Allgemeines

1. Was ist die beste Art und Weise meinen jährlichen Verkäufer-/Lieferanten-/Due-Diligence-Fragebogen von AWS auszufüllen?

Für den Fall, dass Sie Unterstützung brauchen, um einen Fragebogen auszufüllen, damit die Sicherheits- und Compliance-Positionen von AWS dokumentieren werden, bietet AWS einen empfohlenen Ansatz, mit dem Sie die Ressourcen erhalten, müssen Sie Ihre Sicherheits- und Compliance-Fragen im Kontext der Cloud und des AWS-Geschäftsmodells beantworten. Die am häufigsten verwendeten Ressourcen zum Ausfüllen von Sicherheits- und Compliance-Fragebögen sind:

  • AWS Artifact – AWS Artifact ist Ihre zuverlässige, zentrale Ressource für wichtige Compliance-bezogene Informationen. Dieses Portal stellt On-Demand-Zugriff auf Sicherheits- und Compliance-Berichte sowie ausgewählte Online-Vereinbarungen von AWS bereit. Zu den in AWS Artifact verfügbaren Berichten gehören beispielsweise Service Organization Control (SOC)-Berichte, Compliance-Bescheinigungen der Zahlungskartenindustrie (PCI) sowie Zertifizierungen von Akkreditierungsstellen – jeweils aus unterschiedlichen Weltregionen und vertikalen Compliance-Ebenen. Allen gemeinsam ist, dass darin die Implementierung und Betriebseffektivität der Sicherheitsmaßnahmen von AWS bewertet wird. Zu den in AWS Artifact verfügbaren Vereinbarungen gehören das Business Associate Addendum (BAA) und das Nondisclosure Agreement (Vertraulichkeitsvereinbarung, NDA).
  • Die Webseite von AWS-Compliance-Programme – AWS-Compliance-Programme ermöglichen unseren Kunden, sich mit den zuverlässigen Kontrollmöglichkeiten in AWS vertraut zu machen, die der Sicherheit und Compliance in der Cloud dienen.
  • Die Website von AWS Data Center Controls – Viele Fragebögen verfügen über einen Abschnitt mit Fragen in Bezug auf die physische Sicherheit des Rechenzentrums. Diese Website stellt Ihnen einen Einblick in einige unserer physischen und Umgebungskontrollen bereit.
  • Whitepaper für AWS Risk und Compliance – In diesem Dokument werden AWS-spezifische Informationen zu allgemeinen Compliance-Fragen von Cloud Computing behandelt.
  • Fragebogen für die CSA-Initiative zur Konsensbewertung – Der Fragebogen für die CSA-Initiative zur Konsensbewertung enthält eine Reihe von Fragen, die ein CSA von einem Cloud-Konsumenten und/oder einem Auditor an einen Cloud-Anbieter vorweg nimmt. Es bietet eine Reihe von Sicherheits-, Kontroll- und Prozessfragen, die dann für eine Vielzahl von Anwendungen verwendet werden können, einschließlich der Auswahl von Cloud-Anbietern und der Sicherheitsbewertung. Dieses Dokument enthält die AWS-Antworten zum CSA-Fragebogen.
  • AWS-CyberGRX-Bewertung — Kunden können den AWS CyberGRX-Bericht nutzen, um die Sorgfaltspflicht ihrer Lieferanten zu reduzieren, indem sie veraltete statische Tabellen ersetzen und jedes Jahr wiederholt Zugriff auf die AWS-Bewertung beantragen müssen. Kunden können auch die Framework Mapper-Feature von CyberGRX verwenden, mit der sie die AWS-Bewertung häufig verwendeten Branchen-Frameworks und -standards zuordnen können, um sofort einen Überblick über den Umfang der Kontrollen zu erhalten.
  • AWS-CyberVadis-Bewertung — Kunden können den AWS CyberVadis-Risikobewertungsbericht und die Scorecard für ihre Sorgfaltspflicht gegenüber Lieferanten nutzen. Die CyberVadis-Bewertung bietet erweiterte Funktionen, indem die Antworten von AWS mit Analysen und ausgeklügelten Risikomodellen kombiniert werden, um einen detaillierten Überblick über die Sicherheitslage von AWS zu erhalten. Kunden können die Ergebnisse von CyberVadis verwenden, um die AWS-Bewertung den gängigen Branchen-Frameworks und -standards zuzuordnen und so sofort einen Überblick über den Umfang der Kontrollen zu erhalten.
  • SIG-Fragebogen – Der standardisierte Informationssammlungsfragebogen (SIG) soll Kunden dazu dienen, mithilfe von Shared-Assessements-SIG-Befragungstools den Prozess Ihrer Drittpartei-Risikobewertung zu standardisieren. AWS hat diesen Fragebogen mit frei formulierten Antworten ausgefüllt, um Ihnen als AWS-Kunden den Sorgfältigkeitsprozess der AWS Cloud näher zu bringen. SIG kann unter AWS Artifact gefunden werden.
2. Welche AWS-Services stimmen mit gängigen Cloudsicherheits- und Compliance-Standards überein?

Die Website von AWS-Services in Scope stellt eine Liste von Services bereit, die geprüft wurden, um mit gängigen Compliance-Standards übereinzustimmen.

3. Verfügt AWS über irgendwelche Unterverarbeiter?

AWS kann die auf der Website AWS-Unterverarbeiter aufgeführten Entitäten beauftragen, bestimmte Verarbeitungsaktivitäten im Namen des Kunden, oder Gebäudemanagement-Aktivitäten für die Rechenzentren durchzuführen. Diese Website gibt den Kunden auch die Möglichkeit, um E-Mail-Benachrichtigungen zu abonnieren, wenn sich die Liste der Unterverarbeiter ändert.

4. Wo kann ich mehr über den Datenschutz bei AWS erfahren?

Informationen zum Datenschutz finden Sie im AWS-Datenschutz-Zentrum. Diese Website bietet Informationen zum Datenschutz bei AWS, Datenschutzgesetzen und -bestimmungen, häufig gestellte Fragen und Ressourcen.

5. Können Sie mir die AWS-Rechenzentrumsstandorte für meine Richtlinie zur Geschäftskontinuität oder Notfallwiederherstellung bereitstellen?

AWS hält Ihre Rechenzentrumsstandorte streng vertraulich, um die Sicherheit und Privatsphäre von Kundendaten zu bewahren. Die Namenskonventionen für unsere AWS-Regionen geben bereits den allgemeinen geographischen Ort der Availability Zones und Rechenzentren dieser Region an. Zusätzliche Details über die allgemeine Position der Rechzentren finden Sie in unserem PCI-DSS-Bericht, auf den Sie über AWS Artifact zugreifen können. Besuchen Sie unsere Website der globalen AWS-Infrastruktur, um zusätzliche Informationen zu erhalten.

6. Wie beurteile ich die Sicherheit und Ausfallsicherheit von AWS-Rechenzentren?

Kunden können die Sicherheit und Ausfallsicherheit der physischen Infrastruktur von AWS bewerten, indem Sie alle Sicherheitskontrollen berücksichtigen, die AWS für seine Rechenzentren vor Ort hat. Um unseren Kunden unsere physischen Sicherheits- und Ausfallsicherheitsmaßnahmen transparenter zu machen, validiert ein unabhängiger und qualifizierter Auditor das Vorhandensein und die Funktionsweise unserer Maßnahmen gemäß dem SOC-Bericht, der unseren Kunden über AWS Artifact zur Verfügung steht. Dieses weitgehend akzeptierte Validierungsverfahren mit einer Dritten Partei ermöglicht unseren Kunden, sich einen unabhängigen Beleg für die Effektivität unserer Sicherheitsmaßnahmen zu sichern. Unabhängige Überprüfungen der physischen Sicherheitsmaßnahmen in Rechenzentren ist auch ein Teil der ISO 27001-, PCI-, ITAR-, und FedRAMP-Complianceprogramme.

7. Ermöglicht AWS Besichtigungen der Rechenzentren vor Ort durch Kunden?
Nein. Da unsere Rechenzentren mehrere Kunden hosten, kann AWS keine Besichtigungen der Rechenzentren durch Kunden zulassen, da dies eine große Zahl von Nutzern dem Zugriff durch eine Drittpartei aussetzen könnte. Unsere Kunden und die ganze Öffentlichkeit sind jedoch herzlich eingeladen, sich in einer digitalen Besichtigung eines AWS-Rechenzentrums auf unserer Website einen konkreten Eindruck von unserer Infrastruktur und unseren Sicherheitsmaßnahmen zu machen.
8. Welche Faktoren sind wichtig für Kunden zur Bewertung als Teil ihrer Notfallwiederherstellungsplanung?

Kunden, die AWS als Teil ihrer Notfallwiederherstellungsplanung bewerten, sollten zuerst ihre Ausfallsicherheitsziele identifizieren und alle anwendbaren gesetzlichen Anforderungen für Ausfallsicherheits- und Notfallwiederherstellung berücksichtigen. Kunden können dann Ihre AWS-Umgebung planen, um ihre Ausfallsicherheitsziele und gesetzlichen Anforderungen zu erfüllen. Um beispielsweise Umweltrisiken zu mindern, können Kunden ihre AWS-Workloads planen, um physische getrennte Availability Zones und Regionen zu nutzen, um ihre Ziele zu erreichen. Beim Planen von Betriebskontinuität und Notfallwiederherstellung sollten AWS-Kunden die Best Practices nutzen, die in der Säule „Zuverlässigkeit“ des AWS-Well Architected-Frameworks dargelegt sind. Weitere Informationen zu Empfehlungen für die Notfallwiederherstellung finden Sie unter Notfallwiederherstellung von Workloads in AWS: Wiederherstellung in der Cloud.

Compliance-Berichte

1. Wo kann ich Compliance-Berichte von AWS wie zum Beispiel den SOC-Bericht, die PCI-Compliance-Bescheinigung oder den SIG-Fragebogen herunterladen?

AWS Artifact stellt Compliance-Berichte von externen Auditoren zur Verfügung, die unsere Einhaltung einer Vielzahl von globalen, regionalen und branchenspezifischen Sicherheitsstandards und -vorschriften geprüft und verifiziert haben. Wenn neue Berichte freigegeben werden, stehen sie zum Herunterladen für Kunden in AWS Artifact zur Verfügung. Weitere Informationen finden Sie in den Häufig gestellten Fragen zu den Compliance-Berichten. Sie können auch AWS Artifact direkt über die AWS-Managementkonsole aufrufen.

2. Wo kann ich einen Bridge-Letter für die AWS SOC 1- und SOC 2-Berichte finden?

Basierend auf der kontinuierlichen Berichterstattung von AWS in unseren 12-monatigen SOC-Berichten, die mehrmals pro Jahr veröffentlicht werden, veröffentlichen wir einen SOC Continued Operations Letter anstelle eines Bridge-Letter oder Gap-Letters. Diese regelmäßig veröffentlichten Briefe können mit AWS Artifact von der AWS-Managementkonsole heruntergeladen werden.

3. Laufen die AWS SOC-Bericht am Ende des Berichterstattungszeitraums ab?

Nein. SOC-Prüfungen werden über einen Zeitraum durchgeführt. Sobald der Prüfungszeitraum vorbei ist, wird der Bericht vorbereitet und den Kunden innerhalb von ca. 6 Wochen zur Verfügung gestellt. Ab dem 30. September 2023 veröffentlicht AWS mehrmals pro Jahr SOC-Berichte für Zeiträume von 12 Monaten. SOC-1-Berichte werden vierteljährlich und SOC-2- und SOC-3-Berichte alle 6 Monate veröffentlicht. Wenn neue Berichte freigegeben werden, stehen sie zum Herunterladen für Kunden in AWS Artifact zur Verfügung.

4. Wie bekommen meine Endkunden eine Kopie der AWS-SOC-1- und SOC-2-Berichte?

AWS stellt Ihnen gerne eine Kopie unserer SOC-1- und SOC-2-Berichte zur Verfügung. Um Ihre Kunden optimal zu unterstützen, empfehlen wir, dass sie mithilfe des Handbuchs Erste Schritte mit AWS Artifact die SOC-1- und SOC-2-Berichte über ihre eigenen AWS-Konten herunterladen. Für die Erstellung dieses Kontos wird keine Gebühr erhoben. Nach der Anmeldung in ihrem Konto können Ihre Kunden unter Sicherheit, Identität und Compliance über die Option Artifact auf die in der AWS-Konsole verfügbaren Berichte zugreifen.

Alternativ können Sie die AWS-Compliance-Berichte über AWS Artifact herunterladen und Ihren Kunden zur Verfügung stellen, wenn die für den jeweiligen AWS-Compliance-Bericht geltenden Bedingungen dies zulassen. Bitte lesen Sie die geltenden Bedingungen auf der ersten Seite des von AWS Artifact heruntergeladenen AWS-Compliance-Berichts, um zu prüfen, ob die Freigabe dieses Berichts erlaubt ist.

Wir veröffentlichen außerdem den AWS-SOC-3-Bericht auf unserer SOC-Compliance-Website. Der SOC-3-Bericht ist eine Zusammenfassung des AWS-SOC-2-Berichts; er bietet Sicherheit, einschließlich der Meinung des externen Prüfers, dass AWS wirksame Kontrollen basierend auf den Kriterien erhält, die in den Trust Services Principles von AICPA dargelegt werden.

Compliance-Programme

1. Ist AWS HIPAA-zertifiziert?

Für Cloud-Serviceanbieter (CSP) sowie AWS gibt es keine HIPAA-Zertifizierung. AWS richtet sein HIPAA-Risikomanagement-Programm jedoch mit den Datenschutzbestimmungen des US Department of Health and Human Services (45 CFR Teil 160 und Unterabschnitte A und E von Teil 164) und Sicherheitsregeln (45 CFR Teil 160 und Unterabschnitte A und C von Teil 164), den HIPAA-Vorschriften zur administrativen Vereinfachung (45 CFR 160, 162 und 164), FedRAMP, NIST 800-30 und NIST 800-53 aus. NIST unterstützt diese Ausrichtung und hat das Dokument SP 800-66 Rev. 1. „An Introductory Resource Guide for Implementing the HIPAA Security Rule“ (Ein einführendes Ressourcen-Handbuch zur Implementierung der HIPAA-Sicherheitsregel) herausgegeben, in dem beschrieben wird, wie sich NIST 800-53 an den HIPAA-Sicherheitsregeln orientiert. Besuchen Sie die Webseite AWS HIPAA, um mehr über HIPAA-Compliance in AWS zu erfahren.

2. Unterzeichnet AWS eine Geschäftspartnervereinbarung (BAA) gemäß den HIPAA-Regeln und -Vorschriften?

Ja. AWS hat eine Standard-BAA, die wir mit Kunden abschließen. Darin werden die einzigartigen Dienstleistungen berücksichtigt, die AWS bereitstellt, und das Modell zur übergreifenden Verantwortlichkeit von AWS ausgeführt.

Um den Status des BAA für Ihr Konto, oder für alle Konten, die Teil Ihrer Organisation in AWS Organizations sind zu überprüfen, zu akzeptieren und zu verwalten, melden Sie sich bei AWS Artifact von der AWS Managementkonsole an.

3. Was bedeutet es für einen AWS-Service, HIPAA-konform zu sein?

AWS folgt einem auf Standards basierenden Risikomanagementprogramm, um sicherzustellen, dass die für HIPAA geeigneten Services insbesondere die gemäß HIPAA geforderten Sicherheits-, Kontroll- und Administrationsverfahren unterstützen. Kunden können jeden beliebigen AWS-Service in einem Konto verwenden, das als HIPAA-Konto definiert wurde, aber dürfen Daten aus dem Gesundheitswesen (PHI) nur mit HIPAA-konforme Services verarbeiten, speichern und übertragen. Siehe die folgenden AWS-Ressourcen für mehr Informationen über HIPAA-Compliance in AWS:

4. Kann ich in AWS HITRUST-konform werden?

Kunden versuchen möglicherweise, die AWS-HITRUST-CSF-Zertifizierung von In-Scope-Services für den Support ihrer eigenen HITRUST-CSF-Zertifizierung zu nutzen. Die aktuelle Liste der HITRUST-CSF-zertifizierten AWS-Services finden Sie auf der Webseite AWS Services in Scope . AWS Kunden können die AWS-HITRUST-CSF-Zertifizierung erben, vorausgesetzt, dass die Kunden nur Services innerhalb des Bereichs nutzen und die auf der Website der HITRUST Alliance beschriebenen Kontrollen anwenden. Kunden können die Matrix der geteilten Verantwortung von AWS Custom HITRUST herunterladen, um die HITRUST-Voraussetzungen zu bestimmen, die AWS-Kunden als Teil des Modells der geteilten Verantwortung erben können. Kunden sollten sich über der Webseite des MyCSF-Benutzerhandbuchs informieren, wie sie einen Erbschaftsantrag einleiten können.

5. Wie schließe ich einen DSGVO-konformen Zusatz zur Datenverarbeitung (DPA) mit AWS ab?

Sie müssen keine Maßnahmen ergreifen, um den Vorteil der DSGVO DPA zu nutzen. Die Bedingungen des DSGVO-Zusatzes zur Datenverarbeitung sind in die AWS-Servicebedingungen integriert und, seit dem 25. Mai 2018 gilt der DSGVO-Zusatz zur Datenverarbeitung für Kunden, deren Aktivitäten im Umfang der DSGVO enthalten sind. Siehe dieser AWS-Security-Blog-Beitrag, um mehr über die DPA von AWS zu erfahren. Besuchen Sie das DSGVO-Center, um weitere Informationen zu erhalten.

6. An welche regionalen Programme hält sich AWS?

Das AWS-Compliance-Programm ermöglicht unseren Kunden, sich mit den zuverlässigen Kontrollmöglichkeiten in AWS vertraut zu machen, die der Sicherheit und Compliance der Cloud dienen. Welche spezifischen regionalen Programme (weltweit, Nord- und Südamerika, Asien-Pazifik, Europa, Naher Osten und Afrika) AWS erfüllt, finden Sie auf der Webseite AWS-Compliance-Programme .

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »