Allgemeines

1. Was ist die beste Art und Weise meinen jährlichen Verkäufer-/Lieferanten-/Due-Diligence-Fragebogen von AWS auszufüllen?

Für den Fall, dass Sie Unterstützung brauchen, um einen Fragebogen auszufüllen, damit die Sicherheits- und Compliance-Positionen von AWS dokumentieren werden, bietet AWS einen empfohlenen Ansatz, mit dem Sie die Ressourcen erhalten, müssen Sie Ihre Sicherheits- und Compliance-Fragen im Kontext der Cloud und des AWS-Geschäftsmodells beantworten. Die am häufigsten verwendeten Ressourcen, um die Sicherheits- und Compliance-Fragebögen auszufüllen, sind:

  • AWS Artifact – AWS Artifact ist Ihre zuverlässige, zentrale Ressource für wichtige Compliance-bezogene Informationen. Dieses Portal stellt On-Demand-Zugriff auf Sicherheits- und Compliance-Berichte sowie ausgewählte Online-Vereinbarungen von AWS bereit. Zu den in AWS Artifact verfügbaren Berichten gehören beispielsweise Service Organization Control (SOC)-Berichte, Compliance-Bescheinigungen der Zahlungskartenindustrie (PCI) sowie Zertifizierungen von Akkreditierungsstellen – jeweils aus unterschiedlichen Weltregionen und vertikalen Compliance-Ebenen. Allen gemeinsam ist, dass darin die Implementierung und Betriebseffektivität der Sicherheitsmaßnahmen von AWS bewertet wird. Zu den in AWS Artifact verfügbaren Vereinbarungen gehören das Business Associate Addendum (BAA) und das Nondisclosure Agreement (NDA).
  • Die Webseite von AWS-Compliance-Programme – AWS-Compliance-Programme ermöglichen unseren Kunden, sich mit den zuverlässigen Kontrollmöglichkeiten in AWS vertraut zu machen, die der Sicherheit und Compliance in der Cloud dienen.
  • Die Webseite von AWS Data Center Controls – Viele Fragebögen verfügen über einen gesamten Abschnitt mit Fragen in Bezug auf die physische Sicherheit des Rechenzentrums. Diese Webseite stellt Ihnen einen Einblick in einige unserer physischen und Umgebungskontrollen bereit.
  • Whitepaper für AWS Risk and Compliance – In diesem Dokument werden AWS-spezifische Informationen zu allgemeinen Compliance-Fragen von Cloud Computing behandelt.
  • Fragebogen für die CSA Initiative zur Konsensbewertung – Der Fragebogen für die CSA Initiative zur Konsensbewertung enthält eine Reihe von Fragen, die ein CSA von einem Cloud-Konsumenten und/oder einem Auditor an einen Cloud-Anbieter vorweg nimmt. Es bietet eine Reihe von Sicherheits-, Kontroll- und Prozessfragen, die dann für eine Vielzahl von Anwendungen verwendet werden können, einschließlich der Auswahl von Cloud-Anbietern und der Sicherheitsbewertung. Dieses Dokument enthält die AWS-Antworten zum CSA-Fragebogen.
  • SIG-Fragebogen – Der standardisierte Informationssammlungsfragebogen (SIG) soll Kunden dazu dienen, mithilfe von Shared-Assessements-SIG-Befragungstools den Prozess Ihrer Drittpartei-Risikobewertung zu standardisieren. AWS hat diesen Fragebogen mit frei formulierten Antworten ausgefüllt, um Ihnen als AWS-Kunden den Sorgfältigkeitsprozess der AWS Cloud näher zu bringen. SIG kann unter AWS Artifact gefunden werden.
2. Welche AWS-Services stimmen mit gängigen Cloudsicherheits- und Compliancestandards überein?

Die Website von AWS-Services in Scope stellt eine Liste von Services bereit, die geprüft wurden, um mit gängigen Compliance-Standards übereinzustimmen.

3. Verfügt AWS über irgendwelche Unterverarbeiter?

AWS kann die auf der Website AWS Sub-Processors gelisteten Entitäten beauftragen, bestimmte Verarbeitungsaktivitäten im Namen des Kunden, oder Gebäudemanagement-Aktivitäten für die Rechenzentren, durchzuführen. Diese Webseite stellt Kunden auch die Option bereit, um E-Mail-Benachrichtigungen zu abonnieren, wenn sich die Liste der Unterverarbeiter ändert.

4. Können Sie mir die AWS-Rechenzentrumsstandorte für meine Richtlinie zur Geschäftskontinuität oder Notfallwiederherstellung bereitstellen?

AWS hält Ihre Rechenzentrumsstandorte streng vertraulich, um die Sicherheit und Privatsphäre von Kundendaten zu bewahren. Die Namenskonventionen für unsere AWS-Regionen geben bereits den allgemeinen geographischen Ort der Availability Zones und Rechenzentren dieser Region an. Zusätzliche Details über die allgemeine Position der Rechzentren finden Sie in unserem PCI-DSS-Bericht, auf den Sie über AWS Artifact zugreifen können. Besuchen Sie unsere AWS Global Infrastructure Website, um zusätzliche Informationen zu erhalten.

5. Wie beurteile ich die Sicherheit und Resilienz von AWS-Rechenzentren?

Kunden können die Sicherheit und Resilienz der physischen Infrastruktur von AWS bewerten, indem Sie alle Sicherheitskontrollen berücksichtigen, die AWS für seine Rechenzentren vor Ort hat. Um unseren Kunden unsere physischen Sicherheits- und Resilienzmaßnahmen transparenter zu machen, validiert ein unabhängiger und qualifizierter Auditor das Vorhandensein und die Funktionsweise unserer Maßnahmen gemäß dem SOC-2-Type-II-Bericht, wie er unseren Kunden über AWS Artifact zur Verfügung steht. Dieses weitgehend akzeptierte Validierungsverfahren mit einer Drittpartei ermöglicht unseren Kunden sich einen unabhängigen Beleg für die Effektivität unserer Sicherheitsmaßnahmen zu sichern. Unabhängige Überprüfungen der physischen Sicherheitsmaßnahmen in Rechenzentren ist auch ein Teil der ISO 27001-, PCI-, ITAR-, und FedRAMP-Complianceprogramme.

6. Ermöglicht AWS Besichtigungen der Rechenzentren vor Ort durch Kunden?
Nein. Da unsere Rechenzentren mehrere Kunden hosten, kann AWS keine Besichtigungen der Rechenzentren durch Kunden zulassen, da dies eine große Zahl von Nutzern dem Zugriff durch eine Drittpartei aussetzen könnte. Unsere Kunden und die ganze Öffentlichkeit sind jedoch herzlich eingeladen sich in einer digitalen Besichtigung eines AWS-Rechenzentrums auf unserer Website einen konkreten Eindruck von unserer Infrastruktur und unseren Sicherheitsmaßnahmen zu machen.
7. Welche Faktoren sind wichtig für Kunden zur Bewertung als Teil ihrer Notfallwiederherstellungsplanung?

Kunden, die AWS als Teil ihrer Notfallwiederherstellungsplanung bewerten, sollten zuerst ihre Resilienziele identifizieren und alle anwendbaren gesetzlichen Anforderungen für Resilienz- und Notfallwiederherstellung berücksichtigen. Kunden können dann Ihre AWS-Umgebung planen, um ihre Resilienzziele und gesetzlichen Anforderungen zu erfüllen. Um beispielsweise Umweltrisiken zu mindern, können Kunden ihre AWS-Workloads planen, um physische getrennte Availability Zones und Regionen zu nutzen, um ihre Ziele zu erreichen. Wir empfehlen unseren Kunden beim Erstellen von Plänen für die Geschäftskontinuität und Notfallwiederherstellungen, auf die bewährten Methoden, wie sie in der Zuverlässigkeits-Säule des AWS Well Architected Frameworks dargelegt sind, zurückzugreifen.

Compliance-Berichte

1. Wo kann ich Compliance-Berichte von AWS wie zum Beispiel den SOC-Bericht, die PCI-Compliancebescheinigung oder den SIG-Fragebogen herunterladen?

AWS Artifact stellt mehrere Compliance-Berichte von externen Auditoren zur Verfügung, die unsere Einhaltung einer Vielzahl von globalen, regionalen und branchenspezifischen Sicherheitsstandards und -vorschriften geprüft und verifiziert haben. Wenn neue Berichte freigegeben werden, stehen sie zum Herunterladen für Kunden in AWS Artifact zur Verfügung. Weitere Informationen finden Sie in den FAQ zu den Compliance-Berichten. Sie können AWS Artifact direkt über die AWS-Managementkonsole aufrufen.

2. Wo kann ich einen Bridge-Buchstaben für die AWS SOC 1- und SOC 2-Berichte finden?

Basierend auf der ganzjährigen Abdeckung von AWS innerhalb unserer SOC 1- und SOC 2-Berichtszyklen, veröffentlichen wir einen SOC Continued Operations Letter statt eines Bridge-Buchstaben oder eines Lücken-Buchstabens. Dieses Dokument kann mit AWS Artifact von der AWS Managementkonsole heruntergeladen werden.

3. Laufen die AWS SOC-Bericht am Ende des Berichterstattungszeitraums ab?

Nein. SOC-Prüfungen werden über einen Zeitraum durchgeführt. Sobald der Prüfungszeitraum vorbei ist, wird der Bericht vorbereitet und den Kunden innerhalb von 6–8 Wochen zur Verfügung gestellt. AWS veröffentlicht jährlich SOC1- und SOC2-Berichte, die je 6-Monate abdecken (der erste Bericht gilt für den Zeitraum vom 1. Oktober bis 31. März, der zweite für den Zeitraum vom 1. April bis 30. September). Es gibt viele Faktoren, die bei diesem Freigabedatum des Berichts eine Rolle spielen, aber wir visieren Anfang Mai bis Anfang November jedes Jahr an, um neue Berichte zu veröffentlichen. Wenn neue Berichte freigegeben werden, stehen sie zum Herunterladen für Kunden in AWS Artifact zur Verfügung.

4. Wie bekommen meine Endkunden eine Kopie der AWS-SOC-1- und SOC-2-Berichte?

AWS stellt Ihnen gerne eine Kopie unserer SOC-1- und SOC-2-Berichte zur Verfügung. Um Ihre Kunden optimal zu unterstützen, empfehlen wir, dass sie mithilfe des Handbuchs Erste Schritte mit AWS Artifact die SOC-1- und SOC-2-Berichte über ihre eigenen AWS-Konten herunterladen. Für die Erstellung dieses Kontos wird keine Gebühr erhoben. Nach der Anmeldung in ihrem Konto können Ihre Kunden unter Sicherheit, Identität & Compliance über die Option Artifact auf die in der AWS-Konsole verfügbaren Berichte zugreifen.

Alternativ können Sie die AWS-Compliance-Berichte über AWS Artifact herunterladen und Ihren Kunden zur Verfügung stellen, wenn die für den jeweiligen AWS-Compliance-Bericht geltenden Bedingungen dies zulassen. Bitte lesen Sie die geltenden Bedingungen auf der ersten Seite des von AWS Artifact heruntergeladenen AWS-Compliance-Berichts, um zu prüfen, ob die Freigabe dieses Berichts erlaubt ist.

Wir veröffentlichen außerdem den AWS-SOC-3-Bericht auf unserer SOC-Compliance-Webseite. Der SOC-3-Bericht ist eine Zusammenfassung des AWS-SOC-2-Berichts; er bietet Sicherheit, einschließlich der Meinung des externen Prüfers, dass AWS wirksame Kontrollen basierend auf den Kriterien erhält, die in den Trust Services Principles von AICPA dargelegt werden.

Compliance-Programme

1. Ist AWS HIPAA-zertifiziert?

Für Cloud-Serviceanbieter (CSP) wie AWS gibt es keine HIPAA-Zertifizierung. Dennoch passt AWS seine HIPAA-Risiko-Managementprogramme an FedRAMP, NIST 800-30 und NIST 800-53 an. Diese Sicherheitsstandards legen die HIPAA-Sicherheitsregeln dar. NIST unterstützt diese Ausrichtung und hat das Dokument SP 800-66 Rev. 1. An Introductory Resource Guide for Implementing the HIPAA Security Rule herausgegeben, in dem beschrieben wird, wie sich NIST 800-53 an den HIPAA-Sicherheitsregeln orientiert. Besuchen Sie die Webseite AWS HIPAA für mehr Informationen über HIPAA-Compliance in AWS.

2. Unterzeichnet AWS eine Geschäftspartnervereinbarung (BAA) gemäß den HIPAA-Regeln und -Vorschriften?

Ja. AWS hat eine Standard-BAA, die wir mit Kunden abschließen. Darin werden die einzigartigen Dienstleistungen berücksichtigt, die AWS bereitstellt, und das Modell zur übergreifenden Verantwortlichkeit von AWS ausgeführt.

Um den Status des BAA für Ihr Konto, oder für alle Konten, die Teil Ihrer Organisation in AWS Organizations sind zu überprüfen, zu akzeptieren und zu verwalten, melden Sie sich bei AWS Artifact von der AWS Managementkonsole an.

3. Was bedeutet es für einen AWS-Service, HIPAA-konform zu sein?

AWS folgt einem auf Standards basierenden Risikomanagementprogramm, um sicherzustellen, dass die für HIPAA geeigneten Services insbesondere die gemäß HIPAA geforderten Sicherheits-, Kontroll- und Administrationsverfahren unterstützen. Kunden können jeden beliebigen AWS-Service in einem Konto verwenden, das als HIPAA-Konto definiert wurde, aber dürfen Daten aus dem Gesundheitswesen (PHI) nur mit HIPAA-konforme Services verarbeiten, speichern und übertragen. Siehe die folgenden AWS-Ressourcen für mehr Informationen über HIPAA-Compliance in AWS:

4. Kann ich in AWS HITRUST-konform werden?

Kunden versuchen möglicherweise, die AWS-HITRUST-CSF-Zertifizierung der zugelassenen AWS-Services für den Support ihrer eigenen HITRUST-CSF-Zertifizierung zu nutzen. Eine aktuelle Liste der HITRUST-CSF-zertifizierten AWS-Services finden Sie auf der Website AWS-Services im Portfolio nach Compliance-Programm. AWS Kunden können die AWS HITRUST CSF-Zertifizierung übertragen bekommen, vorausgesetzt, dass die Kunden nur Services innerhalb des Bereichs nutzen und die auf der Website der HITRUST Alliance beschriebenen Kontrollen anwenden. Kunden können die AWS Custom HITRUST Shared Responsibility-Matrix herunterladen, um die HITRUST-Voraussetzungen zu bestimmen, die AWS-Kunden als Teil des Shared Responsibility-Modells erben können. Kunden sollten sich über der Webseite des MyCSF-Benutzerhandbuchs informieren, wie sie eine Vererbungsanfrage initiieren können.

5. Wie schließe ich einen DSGVO-konformen Zusatz zur Datenverarbeitung (DPA) mit AWS ab?

Sie müssen keine Maßnahmen ergreifen, um den Vorteil der DSGVO DPA zu nutzen. Die Bedingungen der Zusatz DSGVO DPA sind in die AWS-Servicebedingungen integriert und, seit dem 25. Mai 2018 gilt die Zusatz DSGVO DPA für Kunden, deren Aktivitäten im Umfang der DSGVO enthalten sind. Siehe dieser AWS-Security-Blog-Beitrag, um mehr über die DPA von AWS zu erfahren. Besuchen Sie das DSGVO-Center für weitere Informationen.

6. Ist AWS für EU-US Privacy Shield zertifiziert?

Ja, AWS ist für EU-US Privacy Shield zertifiziert. Sie können die Zertifizierung von AWS hier sehen. Obwohl der Gerichtshof der Europäischen Union im Juli 2020 ein Urteil fällte, in dem er die Entscheidung 2016/1250 der Europäischen Kommission (über die Angemessenheit des Schutzes durch den EU-US Privacy Shield) für ungültig erklärte, entbindet diese Entscheidung die Teilnehmer am EU-US Privacy Shield nicht von ihren Verpflichtungen aus den Rahmenbedingungen.

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »