一般性问题

1.填写 AWS 年度供应商尽职调查问卷的最佳方式是什么?

填写调查问卷以记录 AWS 安全性和合规性状况时,如果需要协助,AWS 已拟定建议方法,可为您提供所需的资源,帮助您解决在云和 AWS 业务模型中遇到的安全性和合规性问题。填写安全性和合规性调查问卷的最常使用资源如下:

  • AWS Artifact – AWS Artifact 是对您很重要的与合规性相关的信息的首选中央资源。它允许按需访问 AWS 安全性与合规性报告以及选择在线协议。AWS SOC 2 报告对于完成调查问卷特别有用,因为它提供了有关 AWS 安全控制的实施和运维效果的全面描述。另一个有用的文档是 AWS FedRAMP 合作伙伴资源包中提供的“行政简报”。
  • CSA 共识评估倡议调查问卷 – CSA 共识评估倡议调查问卷包含一系列问题,据 CSA 预计云客户和/或审计机构会可能向云提供商提出。该调查问卷提出了一系列安全、控制和流程问题,用途广泛,包括对云提供商的选择和安全评估。本文档包含由 AWS 针对 CSA 调查问卷提供的答案。
  • AWS 风险与合规性白皮书 – 本文档围绕云计算合规性问题,提供了一些 AWS 特定信息。其中对 AWS 认证、计划、报告和第三方鉴证也给出了详细描述。 
  • AWS 数据中心控制网页 – 许多调查问卷都有一个完整的部分来介绍与数据中心物理安全相关的问题。该网页可以为您提供部分物理和环境控制体系的见解。
2.哪些 AWS 服务和功能符合云安全性和合规性常用标准?

AWS 范围内的服务提供了一个经评估符合常用合规性标准的服务列表。除非明确注明排除,否则每项列出服务的功能均被视为处于合规性计划的范围内,并作为评估的一部分进行审核和测试。有关 AWS 服务的功能,请参阅 AWS 文档。 

3.我能否遵守 AWS 的法规要求?

AWS 的客户遍布全球,并且 AWS 将会持续适应不断变化的法规。AWS 合规性中心为您提供了一个中央位置来研究与云相关的法规要求以及它们对您所在行业有何影响。选择您感兴趣的国家/地区,AWS 合规性中心将会显示该国家/地区与云服务的采用相关的法规状况。 

4.AWS 是否有任何分包商?

AWS 可以聘请 AWS 分包商网页上列出的实体来代表客户执行特定处理活动或数据中心设施管理活动。该网页还为客户提供了订阅分包商列表是否发生更改的电子邮件通知选项。

AWS 会主动通知客户,哪些分包商有权访问您上传至 AWS 的客户所有数据,包括可能包含个人数据的内容。AWS 未授权任何分包商访问您上传至 AWS 的任何客户所有内容。要监控分包商全年的访问权限,请参阅 AWS 第三方访问权限网页。 

5.您能否为我提供用于业务持续性或灾难恢复策略的 AWS 数据中心位置?

AWS 对我们的数据中心位置严格保密,以维持客户数据的安全性和隐私。这些位置仅会透露给业务经批准需要使用该设施的 AWS 员工和分包商。

客户可以考虑 AWS 为其数据数据设定的所有安全性控制措施,以评估 AWS 物理基础设施的安全性和弹性。为了支持客户评估与 AWS 数据中心相关的风险,AWS 提供了 AWS 数据中心控制网页并在 AWS Artifact 中提供了 AWS SOC 2 报告。 

6.哪些因素对于客户评估其灾难恢复计划非常重要?

在评估灾难恢复计划时,客户应首先确定其弹性目标,并考虑针对弹性和灾难恢复的所有适用法规要求。随后,客户可以根据其弹性目标和法规要求构建器 AWS 环境。例如,若要减轻环境风险,客户可以构建其 AWS 工作负载,通过充分利用物理分隔的可用区和区域,以达到其目标。具有高可用性要求的客户通常将多个应用程序用于关键应用程序。通过 AWS 灾难恢复网页AWS 数据中心控制网页以及 AWS Artifact 中提供的 AWS SOC 2 报告了解更多信息。

合规性报告

1.我能否下载 AWS 合规性报告,如 SOC 或 PCI 报告?

AWS Artifact 提供了多份由第三方审核人员出具的合规性报告,他们测试并验证了我们对多种全球性、区域性和行业特定安全标准和法规的合规性。一旦发布新报告,客户便可通过 AWS Artifact 下载。有关更多信息,请转至合规性报告常见问题。可以从 AWS 管理控制台直接访问 AWS Artifact。

2.我可以在哪里找到 AWS SOC 1 和 SOC 2 报告的过渡函?

基于 AWS 在 SOC 1 和 SOC 2 报告周期内的全年覆盖,我们发布 SOC 持续运营法律文书,而不是过渡函。可以使用 AWS 管理控制台中的 AWS Artifact 下载此文档。

3.AWS SOC 报告是否将在报告期结束时到期?

否。SOC 审计是在一段时间内执行的。审计期结束后,将会准备报告,并在 6-8 周内提供给客户。AWS 每年发布两份 SOC 1 和两份 SOC 2 报告,覆盖 6 个月(第一份报告覆盖 10 月 1 日至 3 月 31 日,第二份报告覆盖 4 月 1 日至 9 月 30 日)。影响报告发布日期的因素有很多,但我们的目标是每年 5 月初和 11 月初发布新报告。一旦发布新 SOC 报告,客户便可通过 AWS Artifact 下载。

4.最终客户如何获得 AWS SOC 1 和 SOC 2 报告的副本?

AWS 很高兴为您的客户提供 SOC 1 或 SOC 2 报告的副本;但是,我们要求报告的目标用户直接与 AWS 签订保密协议 (NDA)。为了向客户提供最好的支持,我们建议他们利用 AWS Artifact 入门指南下载请求的合规性报告。

如果您的客户不想与 AWS 签订 NDA,我们会在 SOC 合规性网页上发布 AWS SOC 3 报告。SOC 3 报告是 AWS SOC 2 报告的摘要。它提供了保证(包括外部审计师的意见),即 AWS 会根据 AICPA 信托服务原则中规定的标准保持有效的控制运维。

合规性计划

1.AWS 是否通过了 HIPAA 认证?

没有面向 AWS 等云服务提供商 (CSP) 的 HIPAA 认证。为了满足适用于我们的运营模型的 HIPAA 要求,AWS 根据 FedRAMP 和 NIST 800-53(它们是与 HIPAA 安全规则相对应的更高安全标准)调整了 HIPAA 风险管理计划。NIST 支持这种对应,并发布了 SP 800-66,这是一个“实施 HIPAA 安全规则的介绍性资源指南”的文档,说明了如何将 NIST 800-53 与 HIPAA 安全规则对应。有关 AWS HIPAA 合规性的更多信息,请参阅 AWS HIPAA 网页

2.AWS 是否会按照 HIPAA 法规和条例的规定签署商业伙伴增订合约 (BAA)?

是的。AWS 拥有与客户签订的标准 BAA。该增订合约涵盖 AWS 提供的特色服务,并采用 AWS 责任共担模型

要审核、接受和管理您的账户或 AWS Organizations 中属于组织的所有账户的 BAA 状态,请从 AWS 管理控制台登录到 AWS Artifact

3.AWS 服务符合 HIPAA 要求意味着什么?

AWS 采用基于标准的风险管理计划来确保符合 HIPAA 要求的服务明确支持 HIPAA 法案要求的安全、控制和管理程序。客户可以通过被指定为 HIPAA 账户的账户使用任何 AWS 服务,但他们只能使用符合 HIPAA 要求的服务来处理、存储和传输受保护的健康信息 (PHI)。有关 AWS HIPAA 合规性的更多信息,请参阅以下 AWS 资源:

4.如何在 AWS 上实现 HITRUST 合规性?

AWS 提供各种认证和证明,涵盖全球各地的合规性计划。您可以利用这些认证和证明来完成您的其他合规性计划,例如 HITRUST 常见安全框架或由电子医疗保健网络认证委员会 (EHNAC) 提供的计划。您还可以与专门从事医疗保健合规性事务的一位合作伙伴展开合作。

5.如何与 AWS 签订符合 GDPR 规定的数据处理附录 (DPA) 协议?

您无需采取任何措施即可从 GDPR DPA 中受益。GDPR DPA 的条款已合并到 AWS 服务条款中,自 2018 年 5 月 25 日起,GDPR DPA 自动适用于其活动处于 GDPR 范围内的客户。请参阅此 AWS 安全性博客文章以了解有关 AWS 的 DPA 的更多信息。

6.AWS 是否通过了欧盟-美国隐私护盾认证?

是的,AWS 通过了欧盟-美国隐私护盾认证。 您可以在此处查看 AWS 的认证。虽然欧盟法院 2020 年 7 月发布了一项判决,宣布欧盟委员会决定 2016/1250(关于欧盟-美国隐私护盾所提供保护的充分性)“无效”,但这一决定并不能免除欧盟-美国隐私护盾参与者在该框架下的义务。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »