Kostenlos mit AWS Artifact starten »
  • Häufig gestellte Fragen zu Compliance-Berichten

    Das über die Konsole bereitgestellte AWS Artifact ist ein Self-Service-Portal zum Abrufen von Prüfartefakten, das unseren Kunden On-Demand-Zugriff auf die Compliance-Dokumentation von AWS bietet.

    AWS Artifact kann von allen AWS-Kunden genutzt werden, um die Sicherheit und Compliance der AWS-Infrastruktur und der von ihnen genutzten AWS-Services zu überprüfen.

    AWS Artifact können Sie zum Beispiel in folgenden Szenarien verwenden:

    • Sie müssen die Compliance Ihrer Cloud-Architekturen während des Systemdesigns, der Entwicklung und der Auditzyklen nachweisen. Als Nachweis der vergangenen und aktuellen Compliance Ihrer AWS-Infrastruktur (insbesondere in Hinblick auf die von Ihnen genutzten Services) müssen Sie Prüfern und Regulierungsstellen Beweise in Form von Prüfartefakten vorlegen.
    • Sie müssen oder wollen mithilfe von Prüfartefakten nachweisen, dass Ihre auf AWS-implementierten Kontrollen effizient funktionieren.
    • Sie möchten Ihre Zulieferer kontinuierlich überwachen und überprüfen.
    • Sie möchten einem Mitglied eines Entwicklungsteams für sichere Cloud-Architekturen nahe bringen, weshalb es so wichtig ist, ISO-, PCI-, SOC- und andere aufsichtsbehördliche Standards zu erfüllen. Oft ist es gerade das Wirken Ihres Teams, das es Ihrem Unternehmen ermöglicht, AWS überhaupt zu verwenden, oder falls es schon eingesetzt wird, weiterhin die dafür notwendige Benutzerakzeptanz zu finden.

    Ein Prüfartefakt ist ein Nachweis für die Einhaltung eines dokumentierten Verfahrens oder die Erfüllung einer bestimmten Anforderung. Prüfartefakte werden während des gesamten Systementwicklungszyklus erfasst und bei internen oder externen Audits und Bewertungen als Nachweise verwendet.

    Alle AWS-Konten haben Zugriff auf AWS Artifact. Root-Benutzer und IAM-Benutzer mit Admin-Berechtigungen können alle für ihr Konto verfügbaren Prüfartefakte herunterladen, sofern sie den entsprechenden Bedingungen zugestimmt haben.

    IAM-Benutzern ohne Admin-Berechtigungen müssen Sie mit den IAM-Berechtigungen Zugriff auf AWS Artifact erteilen. Mit den IAM-Berechtigungen können Sie einem Benutzer explizit Zugriff auf AWS Artifact erteilen, ohne ihm gleichzeitig Zugriff auf andere Services und Ressourcen Ihres AWS-Kontos zu gewähren. Informationen zur Erteilung des Zugriffs mithilfe von IAM finden Sie im entsprechenden Hilfethema in der Dokumentation zu AWS Artifact.

    AWS-Prüfartefakte können Sie Ihren Prüfern oder Regulierungsstellen als Nachweis der AWS-Sicherheitskontrollen bereitstellen.

    Der Haftungsleitfaden, den einige AWS-Prüfartefakte bereitstellen, unterstützt Sie auch bei der Entwicklung Ihrer eigenen Cloud-Architektur. Dieser Leitfaden hilft bei der Ermittlung zusätzlicher Sicherheitskontrollen, die für die spezifischen Anwendungsfälle Ihres Systems eingerichtet werden sollten. 

    Nein. Sie können alle verfügbaren Artefakte jederzeit und so oft Sie möchten aufrufen und herunterladen.

    Vermutlich werden Sie Ihren Prüfern häufig Zugriff auf die Compliance-Berichte von AWS erteilen müssen. Um sich diese Aufgabe zu erleichtern, können Sie für die einzelnen Prüfer IAM-Benutzer-Anmeldeinformationen einrichten und so konfigurieren, dass die Prüfer nur auf die Berichte zugreifen können, die für ihre jeweiligen Prüfungen relevant sind. Weitere Informationen finden Sie unter dem entsprechenden Hilfethema in der Dokumentation zu AWS Artifact.

    Ihre Kunden können über ihre eigenen AWS-Konten auf die AWS-Compliance-Berichte zugreifen. Wenn sie noch nicht über ein Konto verfügen, weisen Sie sie darauf hin, sich eines einzurichten. Für dieses Konto wird keine Gebühr erhoben.

    Nach der Anmeldung bei ihrem Konto können Ihre Kunden unter Sicherheit, Identität & Compliance über die Option Compliance-Berichte auf die in der AWS-Konsole verfügbaren Berichte zugreifen. Falls Ihr Kunde auf einen Bericht zugreifen möchte, für den eine Vertraulichkeitsvereinbarung (NDA) erforderlich ist, kann er diese direkt in der Artifact-Konsole unterzeichnen.

    Weitere Informationen finden Sie unter Erste Schritte mit AWS Artifact

    Vermutlich werden Sie anderen Mitarbeitern Ihres Unternehmens häufig Zugriff auf die Compliance-Berichte von AWS erteilen müssen. Die Dokumente, die Sie aus AWS Artifact herunterladen, wurden speziell für Sie generiert und tragen ein eindeutiges Wasserzeichen. Aus diesem Grund sollten Sie diese Dokumente nur mit Personen austauschen, denen Sie vertrauen. Keinesfalls sollten Sie diese Dokumente als E-Mail-Anhänge versenden oder online austauschen. Nutzen Sie zum Austausch eines Dokuments einen sicheren File-Sharing-Dienst wie Amazon WorkDocs oder erstellen Sie eine IAM-Berechtigungsrichtlinie, mit der IAM-Benutzer der jeweiligen Gruppe Zugriff auf Ihre AWS Artifact-Dokumente erhalten. Weitere Informationen finden Sie in der Dokumentation zu AWS Artifact.

    Ja. Mit IAM können Sie eine Berechtigungsrichtlinie für eine Nicht-Administrator-Gruppe erstellen, die den IAM-Benutzern der Gruppe Zugriff auf AWS Artifact erteilt. In dieser Richtlinie können Sie dann den Zugriff auf andere Services und Ressourcen für das zugehörige Konto einschränken. Informationen zur Erstellung einer Nicht-Administrator-Gruppe finden Sie in der Dokumentation zu AWS Artifact.

    Ja. Mit IAM-Berechtigungen kann Zugriff auf ausschließlich bestimmte Artefakte erteilt werden. Sie haben vollständige Kontrolle darüber, wer auf welche Artefakte zugreifen kann. Soll Ihr PCI-Team beispielsweise ausschließlich Zugriff auf den PCI-Bericht von AWS haben, Ihr SOX-Team hingegen ausschließlich Zugriff auf den SOC 1-Bericht, können Sie die Zugriffsberechtigungen der Benutzer entsprechend anpassen. Informationen zur Erteilung des Zugriffs mithilfe von IAM finden Sie im entsprechenden Hilfethema in der Dokumentation zu AWS Artifact.

  • Häufig gestellte Fragen zu BAA-Verträgen

    AWS Artifact Agreements sind eine Funktion des AWS Artifact Services (unseres Audit- und Compliance-Portals). Mit AWS Artifact Agreements können sie den Status Ihres Business Associate Addendum (BAA) über die AWS Management Console für Ihr Konto einsehen, akzeptieren und verwalten. Sie können über die Konsole einen BAA-Vertrag abschließen und dadurch sofort ein AWS-Konto für die Verwendung mit geschützten Gesundheitsinformationen (Protected Health Information, PHI) bestimmen. Außerdem können Sie über die Konsole bestätigen, dass Ihr AWS-Konto als HIPAA-Konto bestimmt wurde und die Bestimmungen des abgeschlossenen Vertrags einsehen, um sich über Ihre Pflichten zu informieren. Wenn Sie das Konto nicht mehr im Zusammenhang mit PHI nutzen möchten, können Sie AWS Artifact Agreements verwenden, um den BAA-Vertrag zu kündigen.

    Wenn Sie Administrator eines AWS-Kontos sind, können Sie anderen Benutzern IAM-Berechtigungen erteilen, damit diese Verträge für Ihr Konto in AWS Artifact herunterladen, akzeptieren oder kündigen können. Weitere Informationen erhalten Sie in der Dokumentation zu AWS Artifact.

    Derzeit ist das Business Associate Addendum (BAA) der einzige spezialisierte Branchenvertrag, der in AWS Artifact Agreements verfügbar ist. Bevor Sie einen BAA-Vertrag abschließen, müssen Sie eine Vertraulichkeitsvereinbarung (Nondisclosure Agreement, NDA) herunterladen und akzeptieren. Der BAA-Vertrag ist vertraulich und darf an Dritte außerhalb Ihrer Organisation nicht weitergegeben werden.

    Ja. Sie müssen eine weitere Vertraulichkeitsvereinbarung in Artifact unterzeichnen, damit der Zugriff zum Herunterladen vertraulicher Dokumente in Artifact freigeschaltet wird.

    Wenn Sie ein Administrator eines AWS-Kontos sind, haben Sie automatisch die Berechtigung, Verträge für dieses Konto herunterzuladen, zu akzeptieren und zu kündigen. Wenn Sie kein Administrator sind, benötigen Sie zusätzliche Berechtigungen, um Verträge zu akzeptieren und zu kündigen. Benutzer, deren IAM-Konten die volle Berechtigung zum Herunterladen aller Berichte erhalten haben, erben nicht den Zugriff zum Akzeptieren oder Kündigen von Verträgen. Benutzer hingegen, deren IAM-Konten vollen Zugriff auf AWS Artifact erhalten haben (beispielsweise eine IAM-Richtlinie mit Artifact*) sind in der Lage, alle Handlungen durchzuführen.

    Die verschiedenen Berechtigungsebenen geben Administratoren die Flexibilität, Berechtigungen an IAM-Benutzer basierend auf den geschäftlichen Anforderungen der Benutzer zu erteilen. Weitere Informationen erhalten Sie in der Dokumentation zu AWS Artifact.

    Ja. Standardmäßig können Nutzer mit Administratorberechtigung AWS Artifact-Verträge verwenden, um Verträge herunterzuladen, einzusehen und zu akzeptieren. Sie müssen die Vertragsbestimmungen immer mit Ihren zuständigen Teams für Rechtsangelegenheiten, Datenschutz oder Compliance überprüfen, bevor Sie sie akzeptiert. Sie können IAM auch verwenden, um nahtlosen Zugriff für Benutzer mit geschäftlichen Anforderungen (beispielsweise Personen, die für rechtliche Angelegenheiten, Datenschutz bzw. Compliance verantwortlich sind) zu erteilen, damit diese Benutzer Verträge für Ihre Organisation herunterladen, einsehen und akzeptieren können. Weitere Informationen erhalten Sie in der Dokumentation zu AWS Artifact.

    Nein. Wenn Sie bereits ein Offline-BAA unterzeichnet haben, werden die Bestimmungen dieses BAA weiterhin auf die Konten angewendet, die Sie bereits als HIPAA im Rahmen dieses Offline-BAA bezeichnet haben.

    Für jedes Konto, das Sie noch nicht als HIPAA-Konto im Rahmen Ihres Offline-BAA bezeichnet haben, können Sie AWS Artifact Agreements verwenden, um ein Online-BAA für dieses Konto zu akzeptieren und dieses sofort als HIPAA-Konto zu bezeichnen.

    Nein. Um die Vertraulichkeit Ihres Offline-BAA zu schützen, können Sie es standardmäßig in AWS Artifact Agreements nicht herunterladen. Wenn Sie eine Kopie Ihres früher unterzeichneten Offline-BAA einsehen möchten, können Sie dies bei Ihrem AWS-Account Manager anfordern.

    Ja. Sie können die Anweisungen in der AWS Artifact-Benutzeroberfläche verwenden, um Ihr Konto als HIPAA-Konto unter Ihrem Offline-BAA zu entfernen. Planen Sie ein Konto nur dann als HIPAA-Konto, wenn Sie sicher sind, dass Sie alle geschützten Patientendaten (Protected Health Information, PHI) aus dem Konto entfernt haben und das Konto nicht mehr in Verbindung mit PHI nutzen.

    Nein. Wenn Sie ein Konto als HIPAA-Konto unter Ihrem vorher unterzeichneten Offline-BAA bestimmen möchten, halten Sie sich an den Vorgang, der in Ihrem Offline-BAA beschrieben ist (beispielsweise Versand einer E-Mail an aws-hipaa@amazon.com). Nach der Bestätigung durch AWS ändert sich die Benutzeroberfläche von Artifact Agreements auf das neu bezeichnete Konto, um darzustellen, dass es als HIPAA-Konto unter Ihrem Offline-BAA bestimmt wurde.

    Nein. Kunden mit einem vorher unterzeichneten Offline-BAA können diesen Offline-BAA in AWS Artifact nicht kündigen. Zur Kündigung eines vorher unterzeichneten Offline-BAA müssen Kunden AWS gemäß den Vertragsbeziehungen des Offline-BAA schriftlich benachrichtigen.

    Wenn Sie ein BAA online in AWS Artifact akzeptieren, wird das Konto, dass Sie zur Anmeldung bei AWS Artifact verwenden, automatisch als HIPAA-Konto unter diesem Online-BAA bestimmt. Es sind keine weiteren Schritte erforderlich.

    Wenn Sie zusätzliche Konten haben, die unter einem BAA abgedeckt werden müssen, müssen Sie sich bei AWS Artifact für jedes dieser anderen Konten anmelden und getrennt für jedes Konto ein BAA akzeptieren.

    Ja. Allerdings müssen Sie sich bei AWS Artifact für jedes Konto anmelden, dass von einem BAA abgedeckt werden soll, und getrennt ein BAA für jedes Konto akzeptieren.

    Ferner gilt: Wenn Sie einen Online-BAA kündigen, wird nur das Konto, dass mit diesem Online-BAA-Vertrag verbunden ist, als HIPAA-Account entfernt.

    AWS Artifacts Agreements funktionieren gleichermaßen für Wiederverkäuferkonten. Der Wiederverkäufer kann IAM verwenden, um zu kontrollieren, wer Berechtigungen zum Herunterladen, Akzeptieren und Kündigen von Verträgen hat. Standardmäßig können nur Benutzer mit Administratorrechten Zugriff gewähren.

    AWS Artifact Agreements und der gesamte AWS Artifact-Service können unabhängig sowohl von technischen als auch von nicht technischen Benutzern kostenlos genutzt werden. Administratoren von AWS-Konten können Benutzern IAM-Berechtigungen erteilt, um eine oder mehrere Aktionen in AWS Artifact durchzuführen. Diese Aktionen umfassen das Herunterladen von Berichten, dass Akzeptieren von Verträgen und das Kündigen von Verträgen. Weitere Informationen erhalten Sie in der Dokumentation zu AWS Artifact.

    Wenn Sie ein Online-BAA in AWS Artifact kündigen, wird das Konto, dass Sie verwendet haben, um sich bei AWS Artifact anzumelden, sofort als HIPAA-Konto entfernt und nicht mehr durch BAA mit AWS abgedeckt. Die Verwendung von AWS Artifact zum Kündigen eines Online-BAA für ein Konto kündigt kein anderes BAA, das Sie mit AWS für ein anderes Konto abgeschlossen haben.

    Kündigen Sie ein BAA für ein Konto nur dann, wenn Sie sicher sind, dass Sie alle geschützten Patientendaten (Protected Health Information, PHI) aus dem Konto entfernt haben und das Konto nicht mehr in Verbindung mit PHI nutzen.

    Sie können jeden AWS-Service in einem Konto nutzen, das als HIPAA-Konto bezeichnet wurde, aber PHI können nur in Services einbezogen werden, die unter die HIPAA-Bestimmungen fallen. Auf der Seite Referenz zu Services, die unter die HIPAA-Bestimmungen fallen, finden Sie die aktuelle Liste der HIPAA-konformen Services.

    Ja. Wenn Sie lieber einen Offline-BAA mit AWS abschließen möchten, kontaktieren Sie Ihren AWS Account Manager oder uns, damit Sie Ihren Antrag einbringen können. Allerdings empfehlen wir Ihnen, die Vorteile der Geschwindigkeit, Effizienz und Sichtbarkeit zu nutzen, die durch AWS Artifact Agreements gewährleistet werden.

    1. Vergewissern Sie sich, dass Sie die aktuelle Version Ihres Webbrowsers verwenden und auch Adobe Reader installiert haben.
    2. Aktivieren Sie Popups für Ihren Browser, damit der Anhang heruntergeladen werden kann.
    3. Prüfen Sie Ihren jüngsten Download-Ordner.
    4. Prüfen Sie das Dokument und geben Sie es wie erforderlich frei.

 

Kostenlos mit AWS Artifact starten