Questions fréquentes (FAQ) sur la conformité AWS
Questions d’ordre général
Ouvrir tout1. Quelle est la meilleure façon de remplir mon questionnaire annuel d’AWS relatif au vendeur/fournisseur/audit préalable raisonnable ?
Dans le cas où vous auriez besoin d'aide pour remplir un questionnaire pour rendre compte de vos positions en matière de sécurité et de conformité AWS, AWS possède une approche recommandée, conçue pour vous fournir les ressources nécessaires pour répondre à vos questions de sécurité et de conformité dans le cadre du cloud et du modèle économique AWS. Les ressources les plus fréquemment utilisées pour remplir les questionnaires sur la sécurité et la conformité sont les suivantes :
- AWS Artifact – AWS Artifact est votre ressource centrale à laquelle vous pouvez vous référer pour obtenir des informations sur la conformité importante pour vous. Il offre un accès à la demande aux rapports de sécurité et conformité d'AWS, ainsi qu'à certains accords en ligne. Les rapports dans AWS Artifact comprennent notre rapport Service Organization Control (SOC) et notre attestation de conformité Payment Card Industry (PCI), ainsi que des certifications des organismes d'accréditation des différentes régions et secteurs de conformité qui valident l'implémentation et l'efficacité opérationnelle des systèmes de contrôle de sécurité AWS. AWS Artifact met à disposition l'annexe au contrat de partenariat (BAA, Business Associate Addendum) et l'accord de confidentialité (NDA, Non-disclosure Agreement).
- Page Web des programmes AWS Compliance – Les programmes AWS Compliance aident les clients à comprendre les contrôles rigoureux mis en place par AWS pour maintenir la sécurité et la conformité dans le cloud.
- Page Web des contrôles du centre de données AWS – De nombreux questionnaires comportent une section de questions relatives à la sécurité physique des centres de données. Cette page web vous donne un aperçu de certains de nos contrôles physiques et environnementaux.
- Livre blanc sur le risque et la conformité dans AWS – Ce document contient des informations spécifiques à AWS et des questions générales de conformité par rapport à l’utilisation du cloud computing.
- Questionnaire Consensus Assessments Initiative – Le questionnaire Consensus Assessments Initiative, mis au point par la CSA, consiste en un ensemble de questionnaires qui pourrait être posé par un consommateur cloud ou par un auditeur à un fournisseur cloud. Il fournit une série de questions de sécurité, de contrôle et sur les processus pouvant être utilisées pour un large ensemble d'utilisations, notamment dans la sélection du fournisseur cloud et l'évaluation de la sécurité. Ce document contient les réponses AWS au questionnaire CSA.
- Évaluation AWS CyberGRX – Les clients peuvent tirer parti du rapport AWS CyberGRX pour réduire la charge de l’audit préalable de leurs fournisseurs en remplaçant les feuilles de calcul statiques obsolètes et en évitant de demander l’accès à l’évaluation d’AWS de manière répétitive chaque année. Les clients peuvent également utiliser la fonctionnalité Framework Mapper de CyberGRX, qui leur permettra de mapper l'évaluation AWS aux cadres et normes couramment utilisés dans le secteur afin d'obtenir instantanément une visibilité sur la couverture des contrôles.
- Évaluation AWS CyberVadis – Les clients peuvent utiliser le rapport d’évaluation des risques et le tableau de bord d’AWS CyberVadis dans le cadre de l’audit préalable de leurs fournisseurs. L'évaluation CyberVadis fournit des fonctionnalités avancées en intégrant les réponses d'AWS à des analyses et à des modèles de risque sophistiqués, afin de fournir une vue approfondie de la posture de sécurité d'AWS. Les clients peuvent utiliser les résultats de CyberVadis pour faire correspondre l'évaluation AWS aux cadres et normes du secteur couramment utilisés afin d'obtenir instantanément une visibilité sur la couverture des contrôles.
- Questionnaire SIG – Le questionnaire Standardized Information Gathering (SIG ou collecte d’informations partagées) est destiné aux clients qui utilisent les outils du questionnaire SIG de Shared Assessment pour standardiser leur processus d’évaluation des risques par des tiers. AWS a complété le questionnaire avec des réponses narratives pour aider les clients d'AWS dans leur processus d'audit préalable des clients du cloud AWS. SIG peut être trouvé sur AWS Artifact.
2. Quels services AWS sont conformes aux normes communes de sécurité et de conformité du cloud ?
La page Web Services AWS concernés fournit une liste de services qui sont évalués pour se conformer à des normes de conformité communes.
3. Est-ce que AWS dispose de sous-traitants ?
AWS est susceptible d’engager les entités répertoriées sur la page Web des sous-traitants AWS pour effectuer des activités de traitement spécifiques pour le compte du client ou des activités de gestion des installations du centre de données. Cette page web offre également aux clients la possibilité de s'abonner à des notifications par e-mail en cas de modification de la liste des sous-traitants.
4. Où puis-je en savoir plus sur la confidentialité des données chez AWS ?
Pour en savoir plus sur la confidentialité des données, consultez le centre de confidentialité des données AWS. Cette page Web fournit des informations sur la confidentialité chez AWS, les lois et réglementations relatives à la confidentialité, les questions fréquentes et les ressources.
5. Pourriez-vous me donner les emplacements des centres de données AWS pour ma stratégie de continuité opérationnelle ou de reprise après sinistre ?
AWS maintient l'emplacement de ses centres de données strictement confidentiel afin de préserver la sécurité et la confidentialité des données des clients. La convention de dénomination de nos régions AWS est indicative de l'emplacement géographique général des zones de disponibilité et des centres de données qui composent cette région. Des détails supplémentaires concernant l’emplacement général des centres de données sont contenus dans notre rapport PCI-DSS disponible via AWS Artifact. Pour en savoir plus, rendez-vous sur la page Web Infrastructure mondiale AWS.
6. Comment puis-je évaluer la sécurité et la résilience des centres de données AWS ?
Les clients peuvent prendre la mesure de la sécurité et de la résilience de l'infrastructure physique d'AWS en constatant tous les contrôles de sécurité qu'AWS a mis en place pour ses centres de données. Pour aider les clients à mieux comprendre nos contrôles de sécurité physique et de résilience, un auditeur indépendant et compétent valide la présence et le fonctionnement des contrôles dans le cadre de nos rapports SOC, qui sont mis à la disposition des clients à l’adresse suivante AWS Artifact. Cette validation par une tierce partie largement acceptée fournit aux clients une attestation indépendante de l'effectivité des contrôles en place. Les examens indépendants de la sécurité physique des centres de données font également partie des programmes de conformité ISO 27001, PCI, ITAR, et FedRAMP.
7. Est-il possible pour les clients de visiter les centres de données physiques ?
Non. Étant donné que nos centres de données hébergent plusieurs clients, AWS n'autorise pas les clients à visiter les centres de données, car cela expose un grand nombre de clients à l'accès physique d'un tiers. Cependant, les clients et le grand public peuvent effectuer une visite numérique d’un centre de données AWS afin de mieux comprendre notre infrastructure et nos contrôles sur notre site Web.
8. Quels facteurs importants les clients doivent-ils prendre en compte dans le cadre de leur plan de reprise après sinistre ?
Les clients qui évaluent AWS dans le cadre de leur plan de reprise après sinistre doivent d'abord identifier leurs objectifs de résilience et prendre en compte toutes les exigences réglementaires applicables en matière de résilience et de reprise après sinistre. Les clients peuvent alors construire leur environnement AWS de façon à respecter leurs objectifs de résilience et les exigences réglementaires. À titre d'exemple, pour atténuer les risques environnementaux, les clients peuvent concevoir leurs charges de travail AWS de manière à tirer parti des zones de disponibilité et des régions physiquement séparées pour atteindre leurs objectifs. Lors de la planification de la continuité de l’activité et de la reprise après sinistre, les client AWS doivent utiliser les bonnes pratiques contenues dans le pilier fiabilité du cadre AWS Well Architected. De plus amples informations sur les recommandations de reprise après sinistre sont disponibles sur Reprise après sinistre des charges de travail sur AWS : Reprise dans le cloud.
Rapports de conformité
Ouvrir tout1. Où puis-je télécharger les rapports de conformité d’AWS, tels que le rapport SOC, l’attestation de conformité PCI, ou le questionnaire SIG ?
AWS Artifact fournit des rapports de conformité émis par des auditeurs tiers qui ont testé et vérifié notre conformité à diverses normes et réglementations mondiales, régionales et sectorielles en matière de sécurité. Lorsque de nouveaux rapports sont publiés, les clients peuvent les télécharger immédiatement dans AWS Artifact. Pour plus d’informations, consultez la page questions fréquentes (FAQ) sur les rapports de conformité. AWS Artifact est accessible directement depuis la Console de gestion AWS.
2. Où puis-je trouver une lettre de pont pour les rapports AWS SOC 1 et SOC 2 ?
Sur la base de la couverture continue d'AWS fournie par nos rapports SOC sur 12 mois publiés plusieurs fois par an, nous publions une lettre de continuité des opérations du SOC au lieu d'une lettre de transition ou d'une lettre de lacune. Ces lettres régulièrement publiées peuvent être téléchargées à l’aide d’AWS Artifact depuis la Console de gestion AWS.
3. Les rapports AWS SOC expirent-ils à la fin de la période considérée ?
Non. Les audits SOC sont effectués sur une certaine période. Une fois la période d'audit terminée, le rapport est préparé et mis à la disposition des clients dans un délai d'environ 6 semaines. À compter du 30 septembre 2023, AWS publie des rapports SOC couvrant des périodes de 12 mois plusieurs fois par an. Les rapports SOC 1 sont publiés tous les trimestres, et les rapports SOC 2 et SOC 3 sont publiés tous les 6 mois. Lorsque de nouveaux rapports SOC sont publiés, les clients peuvent les télécharger immédiatement dans AWS Artifact.
4. Comment mes clients finaux obtiennent-ils une copie des rapports AWS SOC 1 et SOC 2 ?
AWS enverra avec plaisir une copie du rapport SOC 1 ou SOC 2 à votre client. Pour aider au mieux vos clients, nous leur conseillons d’utiliser le guide Mise en route avec AWS Artifact pour télécharger le rapport SOC 1 ou SOC 2 en utilisant leur propre compte AWS. La création d'un compte est gratuite. Une fois connectés à leur compte, vos clients peuvent accéder aux rapports disponibles dans la console AWS en accédant à Artifact (artefact) sous Security, Identity & Compliance (sécurité, identité et conformité).
Vous pouvez également télécharger les rapports de conformité AWS à partir d'AWS Artifact et les partager directement avec vos clients si les conditions générales applicables au rapport de conformité AWS concerné l'autorisent. Veuillez consulter les conditions générales applicables sur la première page du rapport de conformité AWS téléchargé à partir d'AWS Artifact pour vérifier si le partage de ce rapport est autorisé ou non.
Nous publions également lerapport AWS SOC 3 sur notre page Web Conformité SOC. Le rapport SOC 3 est un résumé du rapport AWS SOC 2 ; il garantit, y compris l'avis de l'auditeur externe, qu'AWS maintient un fonctionnement efficace des contrôles basés sur les critères définis dans les Trust Services Principles de l'AICPA.
Programmes de conformité
Ouvrir tout1. AWS a-t-elle reçu la certification HIPAA ?
Il n'existe aucune certification HIPAA pour un fournisseur de services cloud (CSP) tel qu'AWS. AWS aligne toutefois son programme de gestion des risques HIPAA sur les règles de confidentialité (45 CFR partie 160 et sous-parties A et E de la partie 164) et de sécurité (45 CFR partie 160 et sous-parties A et C de la partie 164) du ministère américain de la Santé et des Services sociaux, les réglementations de simplification administrative HIPAA (45 CFR 160, 162 et 164), FedRAMP, NIST 800-30 et NIST 800-53. Le NIST soutient cette mise en conformité et a publié la spécification SP 800-66 Rev.1, « An Introductory Resource Guide for Implementing the HIPAA Security Rule », qui explique de quelle manière la spécification NIST 800-53 s’aligne sur la règle de sécurité HIPAA. Consultez la page Web AWS HIPAA pour plus d’informations sur la conformité HIPAA sur AWS.
2. L'additif au contrat partenaire (BAA) conclu par AWS respectera-t-il les règles et réglementations imposées par la loi HIPAA ?
Oui. AWS a un BAA standard que nous concluons avec les clients. Il tient compte des services uniques qu’AWS fournit et s’adapte au modèle de responsabilité partagée d’AWS.
Pour revoir, accepter et gérer le statut du BAA de votre compte ou pour tous les comptes qui font partie de votre organisation dans AWS Organizations, connectez-vous à AWS Artifact à partir de la console de gestion AWS.
3. Que cela signifie-t-il pour un service AWS d'être conforme à la législation HIPAA ?
AWS suit un programme de gestion des risques reposant sur des normes pour s'assurer que les services conformes à la législation HIPAA prennent en charge les processus de sécurité, de contrôle et d'administration requis par la loi HIPAA. Les clients peuvent utiliser tous les services AWS sur un compte désigné comme étant un compte HIPAA, mais ils doivent traiter, stocker et transmettre des données de santé protégées à l’aide des services conformes à la législation HIPAA. Consultez les ressources AWS suivantes pour plus d'informations sur la conformité HIPAA sur AWS :
4. Comment devenir conforme HITRUST sur AWS ?
Les clients peuvent chercher à tirer parti de la certification HITRUST CSF d'AWS pour soutenir leur propre certification HITRUST CSF. Pour consulter la dernière liste des services AWS certifiés HITRUST CSF, consultez la Page web des services AWS concernés. Les clients d'AWS peuvent hériter de la certification HITRUST CSF d'AWS à condition qu'ils n'utilisent que des services relevant du champ d'application et qu'ils appliquent les contrôles détaillés sur le site web de l'Alliance HITRUST. Les clients AWS doivent télécharger le document AWS Custom HITRUST Shared Responsibility Matrix pour déterminer les exigences HITRUST dont ils peuvent hériter dans le cadre du modèle de responsabilité partagée. Les clients doivent se reporter à la page Web Guide de l’utilisateur MyCSF pour savoir comment lancer une demande d’héritage.
5. Comment conclure un additif sur le traitement des données (DPA) conforme au RGPD avec AWS ?
Vous n'avez rien à faire pour profiter des avantages du DPA du RGPD. Les conditions du DPA RGPD sont incluses dans les conditions d’utilisation AWS et, depuis le 25 mai 2018, le DPA RGPD s’applique automatiquement aux clients dont les activités relèvent du champ d’application du RGPD. Consultez cet article du blog Sécurité AWS pour en savoir plus sur le DPA d’AWS. Pour plus d’informations, consultez le Centre du RGPD.
6. Quels sont les programmes régionaux auxquels AWS est conforme ?
Le programme AWS Compliance aide nos clients à avoir une vision claire des puissants contrôles instaurés par AWS afin de préserver la sécurité et la conformité du cloud. Vous trouverez les programmes régionaux spécifiques (mondial, Amériques, Asie-Pacifique, Europe, Moyen-Orient et Afrique) auxquels AWS se conforme sur la page Web des programmes de conformité AWS.
