AWS-Lösungshandbuch zur Compliance

Die beste Vorgehensweise für den Zugriff auf AWS-Compliance-Berichte ist die über die Konsole und AWS Artifact. AWS Artifact bietet Kunden einen Selbstbedienungs-Zugriff auf Abruf auf die neuesten AWS-Compliance-Berichte. Wenn neue Berichte von AWS freigegeben werden, stehen sie sofort zum Herunterladen in AWS Artifact zur Verfügung. Die Verwendung von AWS Artifact bietet neben dem Zugriff auf Abruf, drei Vorteile:

1. Es erfordert keine Eingabe der Kreditkarte. Für die Erstellung eines Kontos oder die Verwendung des AWS Artifact-Portals fallen keine Gebühren an.
2. Es bietet die Möglichkeit, Konten für andere Benutzer über IAD einzurichten.
3. Es ermöglicht den Komfort von Durchklicken-NDA.

Bitte beachten Sie, dass für alle Bescheinigungen Dritter, Zertifizierungen, SOC-Berichte (Service Organization Controls) und andere relevante Compliance-Berichte ein NDA erforderlich ist. Ausnahmen sind die AWS ISO 27001-Zertifizierung und die öffentlich zugänglichen AWS SOC 3-Berichte.

Wenn Sie über ein AWS-Konto verfügen und bereit sind, das AWS Artifact zu nutzen, können Sie folgenden Ressourcen verwenden, um sich mit dieser Funktion in der Konsole vertraut zu machen. Haben Sie noch kein AWS-Konto angelegt haben, können Sie jetzt mit den folgenden Schritten ein Konto erstellen.

AWS Artifact-Website - Diese Website enthält grundlegende Informationen zu Artifact, einschließlich einer Kurzanleitung für die ersten Schritte mit schrittweisen Anweisungen zum Anmelden an der Konsole und Herunterladen eines Berichts sowie einer Seite mit AWS Artifact-FAQs mit einer umfassenden Liste aller häufig gestellten Fragen.

Nachfolgend sind einige der häufigsten Szenarien, die Fragen generieren:

Für den Fall, dass Sie Unterstützung brauchen, um einen Sicherheitsfragebogen auszufüllen, damit die Sicherheits- und Compliance-Positionen von AWS dokumentieren werden, bietet AWS einen empfohlenen Ansatz, mit dem Sie die Ressourcen erhalten, die Ihre Sicherheits- und Compliance-Fragen im Kontext der Cloud und des AWS-Geschäftsmodells angemessen berücksichtigen. Dieses Verfahren stellt sicher, dass alle unsere Kunden konsistente Antworten erhalten, die von unseren externe Auditoren verifiziert worden sind.

AWS Artifact ist der erste Platz, den Sie besuchen, an dem alle Compliance-Berichte gespeichert werden. AWS wird während des gesamten Jahres mehreren Prüfungen durch externe Auditoren unterzogen, von denen die meisten nach internationalen Sicherheitsnormen wie ISO 27001, PCI und SOC durchgeführt werden. Sie können diese Berichte verwenden, um Fragen zu allen Sicherheitsfragebögen zu beantworten, die Sie erhalten.

Darüber hinaus stehen verschiedene Arten von Ressourcen online zur Verfügung, um Antworten auf einige der am häufigsten gestellten Fragen zu erhalten. Die zwei am häufigsten verwendeten Dokumente für Fragebögen sind:

Fragebogen zur Initiative zur Konsensbewertung - Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation mit dem Ziel, den Einsatz bester Praktiken zur Bereitstellung der Sicherheit im Cloud Computing zu fördern. Der Fragebogen-CSA zur Initiative zur Konsensbewertung enthält eine Reihe von Fragen, die ein CSA von einem Cloud-Konsumenten und/oder einem Auditor an einen Cloud-Anbieter vorweg nimmt. Es bietet eine Reihe von Sicherheits-, Kontroll- und Prozessfragen, die dann für eine Vielzahl von Anwendungen verwendet werden können, einschließlich der Auswahl von Cloud-Anbietern und der Sicherheitsbewertung. Dieses Dokument enthält die AWS-Antworten zum CSA-Fragebogen.

Whitepaper „Risiko und Compliance“: Dieses Whitepaper bietet Informationen, mit deren Hilfe AWS-Kunden AWS in ihr vorhandenes Kontrollrahmenwerk integrieren können, das ihre IT-Umgebung unterstützt. In diesem Dokument wird ein grundlegender Ansatz zum Bewerten von AWS-Kontrollen erläutert. Außerdem bietet es Informationen zur Unterstützung von Kunden bei der Integration von Kontrollumgebungen. In diesem Dokument werden auch AWS-spezifische Informationen zu allgemeinen Compliance-Fragen von Cloud Computing behandelt. Darin enthalten sind detaillierte Beschreibungen aller AWS-Zertifizierungen, Programmen, Berichten und Bescheinigungen von Dritten. Der CSA-Fragebogen ist im Anhang dieses Dokuments enthalten.

Wenn Sie bei der Beantwortung einer Frage immer noch Hilfe brauchen, wenden Sie sich an Ihren AWS-Kundenbetreuer, der Sie zu den entsprechenden Ressourcen weiterleiten kann.

Dies sind einige der häufigsten Herausforderungen, mit denen HIPAA BAA konfrontiert ist. Um auf weitere BAA-bezogene Ressourcen zuzugreifen, einschließlich einer vollständigen Liste mit HIPAA-FAQs, BAA-Schulungsvideos, Whitepapers usw., besuchen Sie bitte die Hauptseite der AWS HIPAA-Compliance.

F: Kann ich einen Papierausdruck meiner bestehenden BAA erhalten?

A: BAA-Versionen in Artifact und ein Papierausdruck unterscheiden sich nicht. Auch, wenn Sie Artifact verwenden, können Sie vor und nach dem Akzeptieren der Bedingungen immer eine Kopie des BAA herunterladen. Wenn Sie bereits über ein Offline-BAA verfügen, können Sie sich an Ihren Vertriebsvertreter Handelsvertreter wenden, um eine Kopie zu erhalten.

F: Ich brauche ein Exponat A, um zu bestätigen, dass ein Konto/Konten zu einer bestehenden BAA hinzugefügt wurden, oder ich benötige Nachweise dafür, dass ein bestimmte(s) Konto/Konten unter BAA fällt.

A: AWS gibt kein aktualisiertes Exponat A aus, nachdem zusätzliche Konten unter einem bestehenden BAA fällt. Wenn Sie Artifact verwenden, können Sie sofort neue Selbstbedienungsdienste für Konten in der Konsole festlegen. Nachdem ein BAA in Artifact akzeptiert wurde, können Sie sich mit der Konto-ID an der Konsole anmelden und bestätigen, dass der Status aktiv ist. Wenn Sie ein neues Konto hinzufügen möchten, können Sie dies selbst tun.  Zur Bestätigung des Deckungsstatus und zum Teilen des BAA mit Auditoren oder Aufsichtsbehörden steht das PDF zum Download bereit. Darüber hinaus dient der Status auch als Nachweis der Deckung.

F: Ich bin nicht in der Lage, in einen BAA einzutreten, oder ich kann die Kästchen für die NDA nicht aktivieren.

A: Dieses Problem entsteht durch einen Fehler in den Berechtigungen. Die Einzelperson oder das Team, die IAM-Anforderungen für Ihr AWS-Konto behandeln, können dies durch Anpassen der Berechtigungen beheben. Weitere Informationen zum Einrichten von IAM-Konten finden Sie hier.