Allgemeines

1. Was ist die beste Art und Weise meinen jährlichen Verkäufer-/Lieferanten-/Due-Diligence-Fragebogen von AWS auszufüllen?

Für den Fall, dass Sie Unterstützung brauchen, um einen Fragebogen auszufüllen, damit die Sicherheits- und Compliance-Positionen von AWS dokumentieren werden, bietet AWS einen empfohlenen Ansatz, mit dem Sie die Ressourcen erhalten, müssen Sie Ihre Sicherheits- und Compliance-Fragen im Kontext der Cloud und des AWS-Geschäftsmodells beantworten. Die am häufigsten verwendeten Ressourcen, um die Sicherheits- und Compliance-Fragebögen auszufüllen, sind:

  • AWS Artifact – AWS Artifact ist Ihre zuverlässige, zentrale Ressource für wichtige Compliance-bezogene Informationen. Dieses Portal stellt On-Demand-Zugriff auf Sicherheits- und Compliance-Berichte sowie ausgewählte Online-Vereinbarungen von AWS bereit. Der AWS SOC 2-Bericht ist besonders hilfreich zum Ausfüllen von Fragebögen, weil es eine umfassende Beschreibung der Implementierung und betrieblichen Effektivität von AWS-Sicherheitskontrollen bereitstellt. Ein weiteres nützliches Dokument ist das Executive Briefing innerhalb des AWS FedRAMP Partner Package.
  • CSA Consensus Assessments Initiative Questionnaire – Der Fragebogen-CSA zur Initiative zur Konsensbewertung enthält eine Reihe von Fragen, die ein CSA von einem Cloud-Konsumenten und/oder einem Auditor an einen Cloud-Anbieter vorweg nimmt. Es bietet eine Reihe von Sicherheits-, Kontroll- und Prozessfragen, die dann für eine Vielzahl von Anwendungen verwendet werden können, einschließlich der Auswahl von Cloud-Anbietern und der Sicherheitsbewertung. Dieses Dokument enthält die AWS-Antworten zum CSA-Fragebogen.
  • AWS Risk and Compliance Whitepaper – In diesem Dokument werden AWS-spezifische Informationen zu allgemeinen Compliance-Fragen von Cloud Computing behandelt. Darin enthalten sind detaillierte Beschreibungen aller AWS-Zertifizierungen, Programmen, Berichten und Bescheinigungen von Dritten. 
  • AWS Data Center Controls-Webseite – Viele Fragebögen verfügen über einen gesamten Abschnitt mit Fragen in Bezug auf die physische Sicherheit des Rechenzentrums. Diese Webseite stellt Ihnen einen Einblick in einige unserer physischen und Umgebungskontrollen bereit.
2. Welche AWS-Services und Funktionen stimmt mit gängigen Cloudsicherheits- und Compliance-Standards überein?

Zugelassene AWS Services stellen eine Liste von Services bereit, die geprüft wurden, um mit gängigen Compliance-Standards übereinzustimmen. Sofern nicht explizit als ausgeschlossen notiert, wurden die einzelnen Funktionen der gelisteten Services mit den Compliance-Programmen überprüft und haben diese bestanden. Die einzelnen Funktionen eines AWS-Service entnehmen Sie bitte der AWS-Dokumentation

3. Kann ich die gesetzlichen Bestimmungen in AWS erfüllen?

AWS hat Kunden auf der ganzen Welt und passt sich kontinuierlich an sich weiterentwickelnde Bestimmungen an. Das AWS Compliance Center bietet Ihnen einen zentralen Ort zur Untersuchung cloudbezogener gesetzlicher Bestimmungen und wie sie sich auf Ihre Branche auswirken. Wählen Sie das Land aus, an dem Sie interessiert sind und das AWS Compliance Center zeigt die gesetzliche Position bezüglich der Anpassung an Cloud-Services an.  

4. Verfügt AWS über irgendwelche Unterverarbeiter?

AWS kann die auf der Website AWS Sub-Processors gelisteten Entitäten beauftragen, bestimmte Verarbeitungsaktivitäten im Namen des Kunden, oder Gebäudemanagement-Aktivitäten für die Rechenzentren, durchzuführen. Diese Webseite stellt Kunden auch die Option bereit, um E-Mail-Benachrichtigungen zu abonnieren, wenn sich die Liste der Unterverarbeiter ändert.

AWS informiert unsere Kunden im Vorfeld über alle Subunternehmen, die Zugriff auf Kundeninhalte haben, die Sie in AWS hochladen, einschließlich Inhalte, die persönliche Daten enthalten können. Es gibt keine Subunternehmen, die von AWS autorisiert wurden, auf Kundeninhalte zuzugreifen, die Sie in AWS hochladen. Um den Zugriff von Subunternehmen das ganze Jahr zu überwachen siehe die Website AWS Third-Party Access

5. Können Sie mir die AWS-Rechenzentrumsstandorte für meine Richtlinie zur Geschäftskontinuität oder Notfallwiederherstellung bereitstellen?

AWS hält Ihre Rechenzentrumsstandorte streng vertraulich, um die Sicherheit und Privatsphäre von Kundendaten zu bewahren. Standorte werden nur AWS-Mitarbeiter und -Auftragnehmern offengelegt, die ein in der Einrichtung einen genehmigten Geschäftsbedarf haben.

Kunden können die Sicherheit und Resilienz der physischen Infrastruktur von AWS bewerten, indem Sie alle Sicherheitskontrollen berücksichtigen, die AWS für seine Rechenzentren vor Ort hat. Um die Kundenbewertungsrisiken bezüglich des AWS-Rechenzentrums zu unterstützen, bietet AWS die Website AWS Data Center Controls und den AWS SOC 2-Bericht, der in AWS Artifact verfügbar ist. 

6. Welche Faktoren sind wichtig für Kunden zur Bewertung als Teil ihrer Notfallwiederherstellungsplanung?

Kunden, die AWS als Teil ihrer Notfallwiederherstellungsplanung bewerten, sollten zuerst ihre Resilienziele identifizieren und alle anwendbaren gesetzlichen Anforderungen für Resilienz- und Notfallwiederherstellung berücksichtigen. Kunden können dann Ihre AWS-Umgebung planen, um ihre Resilienzziele und gesetzlichen Anforderungen zu erfüllen. Um beispielsweise Umweltrisiken zu mindern, können Kunden ihre AWS-Workloads planen, um physische getrennte Availability Zones und Regionen zu nutzen, um ihre Ziele zu erreichen. Kunden mit hohen Verfügbarkeitsanforderungen verwenden oft mehrere Regionen für kritischen Anwendungen. Erfahren Sie mehr über die Website AWS Disaster Recovery, die Website AWS Data Center Controls, und innerhalb des AWS SOC 2-Berichts verüfgbar in AWS Artifact.

Compliance-Berichte

1. Wo kann ich AWS-Compliance-Berichte wie einen SOC- oder PCI-bericht herunterladen?

AWS Artifact stellt mehrere Compliance-Berichte von externen Auditoren zur Verfügung, die unsere Einhaltung einer Vielzahl von globalen, regionalen und branchenspezifischen Sicherheitsstandards und -vorschriften geprüft und verifiziert haben. Wenn neue Berichte freigegeben werden, stehen sie zum Herunterladen für Kunden in AWS Artifact zur Verfügung. Weitere Informationen finden Sie in den FAQ zu den Compliance-Berichten. Sie können AWS Artifact direkt über die AWS-Managementkonsole aufrufen.

2. Wo kann ich einen Bridge-Buchstaben für die AWS SOC 1- und SOC 2-Berichte finden?

Basierend auf der ganzjährigen Abdeckung innerhalb unserer SOC 1- und SOC 2-Berichtszyklen, veröffentlichen wir einen SOC Continued Operations Letter statt eines Bridge-Buchstaben oder eines Lücken-Buchstabens. Dieses Dokument kann mit AWS Artifact von der AWS Managementkonsole heruntergeladen werden.

3. Laufen die AWS SOC-Bericht am Ende des Berichterstattungszeitraums ab?

Nein. SOC-Prüfungen werden über einen Zeitraum durchgeführt. Sobald der Prüfungszeitraum vorbei ist, wird der Bericht vorbereitet und den Kunden innerhalb von 6-8 Wochen zur Verfügung gestellt. AWS gibt zwei SOC 1- und SOC 2-Berichte heraus, die je 6 Monate pro Jahr abdecken (der erste Bericht gilt für den Zeitraum vom 01.Oktober bis zum 31. März, der zweite für den Zeitraum vom 01. April bis zum 30. September). Es gibt viele Faktoren, die bei diesem Freigabedatum des Berichts eine Rolle spielen, aber wir visieren Anfang Mai bis Anfang November jedes Jahr an, um neue Berichte zu veröffentlichen. Wenn neue Berichte freigegeben werden, stehen sie zum Herunterladen für Kunden in AWS Artifact zur Verfügung.

4. Wie bekommen meine Endkunden eine Kopie der AWS SOC 1- und SOC 2-Berichte?

AWS stellt gerne Ihren Kunden eine Kopie unseres SOC 1- oder SOC 2-Berichtes bereit; wir fordern jedoch, dass der vorgesehene Benutzer des Berichts eine Vertraulichkeitsvereinbarung (Nondisclosure Agreement, NDA) direkt bei AWS vor Ort hat. Um Ihre Kunden am besten zu unterstützen, empfehlen wir, dass sie das Handbuch Erste Schritte mit AWS Artifact verwenden, um die geforderten Compliance-Berichte herunterzuladen.

Wenn Ihr Kunde keine Vertraulichkeitsvereinbarung (Nondisclosure Agreement, NDA) mit AWS abschließen möchte, veröffentlichen wir den AWS SOC 3-Bericht auf unsere Website SOC Compliance. Der SOC 3-Bericht ist eine Zusammenfassung des AWS SOC 2-Berichts; er bietet Sicherheit, einschließlich der Meinung des externen Prüfers, dass AWS wirksame Kontrollen basierend auf den Kriterien erhält, die in den Trust Services Principles von AICPA dargelegt werden.

Compliance-Programme

1. Ist AWS HIPAA-zertifiziert?

Für Cloud-Serviceanbieter (CSP) wie AWS gibt es keine HIPAA-Zertifizierung. Um die HIPAA-Anforderungen zu erfüllen, die auf unser Betriebsmodell anwendbar sind, richtet AWS sein HIPAA-Risikomanagementprogramm an den höheren Sicherheitsstandards FedRAMP und NIST 800-53 aus, die den HIPAA-Sicherheitsregeln entsprechen. NIST unterstützt diese Ausrichtung und hat das Dokument SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule herausgegeben, in dem beschrieben wird, wie sich NIST 800-53 an den HIPAA-Sicherheitsregeln orientiert. Siehe die Website AWS HIPAA für mehr Informationen über HIPAA-Compliance in AWS.

2. Unterzeichnet AWS eine Geschäftspartnervereinbarung (BAA) gemäß den HIPAA-Regeln und -Vorschriften?

Ja. AWS hat eine Standard-BAA, die wir mit Kunden abschließen. Darin werden die einzigartigen Dienstleistungen berücksichtigt, die AWS bereitstellt, und das Modell zur übergreifenden Verantwortlichkeit von AWS ausgeführt.

Um den Status des BAA für Ihr Konto, oder für alle Konten, die Teil Ihrer Organisation in AWS Organizations sind zu überprüfen, zu akzeptieren und zu verwalten, melden Sie sich bei AWS Artifact von der AWS Managementkonsole an.

3. Was bedeutet es für einen AWS-Service, HIPAA-konform zu sein?

AWS folgt einem auf Standards basierenden Risikomanagementprogramm, um sicherzustellen, dass die für HIPAA geeigneten Services insbesondere die gemäß HIPAA geforderten Sicherheits-, Kontroll- und Administrationsverfahren unterstützen. Kunden können jeden beliebigen AWS-Service in einem Konto verwenden, das als HIPAA-Konto definiert wurde, aber dürfen Daten aus dem Gesundheitswesen (PHI) nur mit HIPAA-konforme Services verarbeiten, speichern und übertragen. Siehe die folgenden AWS-Ressourcen für mehr Informationen über HIPAA-Compliance in AWS:

4. Wie werde ich HITRUST-konform in AWS?

AWS verfügt über eine Vielzahl an Zertifizierungen und Bescheinigungen für internationale Compliance-Programme. Sie können diese Zertifizierungen und Bescheinigungen als Nachweis für Ihre zusätzlichen Compliance-Programme wie das HITRUST Common Security Framework oder für Programme wie das der Electronic Healthcare Network Accreditation Commission (EHNAC) verwenden. Bei Compliance-Fragen helfen Ihnen auch unsere Compliance-Partner für das Gesundheitswesen.

5. Wie schließe ich einen DSGVO-konformen Zusatz zur Datenverarbeitung (DPA) mit AWS ab?

Sie müssen keine Maßnahmen ergreifen, um den Vorteil der DSGVO DPA zu nutzen. Die Bedingungen der Zusatz DSGVO DPA sind in die AWS-Servicebedingungen integriert und, seit dem 25. Mai 2018 gilt die Zusatz DSGVO DPA für Kunden, deren Aktivitäten im Umfang der DSGVO enthalten sind. Siehe dieser AWS Security-Blog-Beitrag, um mehr über die DPA von AWS zu erfahren.

6. Ist AWS für EU-US Privacy Shield zertifiziert?

Ja, AWS ist für EU-US Privacy Shield zertifiziert. Sie können die Zertifizierung von AWS hier sehen. Obwohl der Gerichtshof der Europäischen Union im Juli 2020 ein Urteil fällte, in dem er die Entscheidung 2016/1250 der Europäischen Kommission (über die Angemessenheit des Schutzes durch den EU-US Privacy Shield) für ungültig erklärte, entbindet diese Entscheidung die Teilnehmer am EU-US Privacy Shield nicht von ihren Verpflichtungen aus den Rahmenbedingungen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »