Généralités
Dans le cas où vous auriez besoin d'aide pour remplir un questionnaire pour rendre compte de vos positions en matière de sécurité et de conformité AWS, AWS possède une approche recommandée, conçue pour vous fournir les ressources nécessaires pour répondre à vos questions de sécurité et de conformité dans le cadre du cloud et du modèle économique AWS. Voici les ressources utilisées le plus fréquemment pour remplir les questionnaires relatifs à la sécurité et à la conformité :
- AWS Artifact - AWS Artifact est votre ressource centrale à laquelle vous pouvez vous référer pour obtenir des informations sur la conformité importante pour vous. Il offre un accès à la demande aux rapports de sécurité et conformité d'AWS, ainsi qu'à certains accords en ligne. Les rapports dans AWS Artifact comprennent notre rapport Service Organization Control (SOC) et notre attestation de conformité Payment Card Industry (PCI), ainsi que des certifications des organismes d'accréditation des différentes régions et secteurs de conformité qui valident l'implémentation et l'efficacité opérationnelle des systèmes de contrôle de sécurité AWS. AWS Artifact met à disposition l'annexe au contrat de partenariat (BAA, Business Associate Addendum) et l'accord de confidentialité (NDA, Non-disclosure Agreement).
- Page Web des programmes AWS Compliance - Les programmes AWS Compliance aident nos clients à avoir une vision claire des puissants contrôles instaurés par AWS afin de préserver la sécurité et la conformité sur le cloud.
- Page Web des contrôles du centre de données AWS - Plusieurs questionnaires possèdent une partie entière consacrée aux questions liées à la sécurité physique du centre de données. Cette page Web vous apporte des informations sur certains de nos contrôles physiques et environnementaux.
- Livre blanc Risque et conformité AWS - Ce document contient des informations spécifiques à AWS et des questions générales de conformité par rapport à l'utilisation du cloud computing.
- Questionnaire Consensus Assessments Initiative Le questionnaire Consensus Assessments Initiative, mis au point par la CSA, consiste en un ensemble de questionnaires qui pourrait être posé par un consommateur cloud ou par un auditeur à un fournisseur cloud. Il fournit une série de questions de sécurité, de contrôle et sur les processus pouvant être utilisées pour un large ensemble d'utilisations, notamment dans la sélection du fournisseur cloud et l'évaluation de la sécurité. Ce document contient les réponses AWS au questionnaire CSA.
- Questionnaire SIG - Le questionnaire Standardized Information Gathering (SIG ou collecte d'informations partagées) est destiné aux clients qui utilisent les outils du questionnaire SIG de Shared Assessment pour standardiser leur processus d'évaluation des risques par des tiers. AWS a complété le questionnaire avec des réponses narratives pour aider les clients d'AWS dans leur processus d'audit préalable des clients du cloud AWS. Le questionnaire SIG peut être trouvé sur AWS Artifact.
La page Web Services AWS concernés fournit une liste des services AWS dont leur conformité aux normes communes est évaluée.
AWS est susceptible d'engager les entités répertoriées sur la page Web des sous-traitants AWS pour effectuer des activités de traitement spécifiques pour le compte du client ou des activités de gestion des installations de centres de données. Cette page propose également aux clients de s'abonner aux notifications par e-mail au cas où la liste des sous-traitants change.
AWS garde les emplacements de nos centres de données strictement confidentiels afin de préserver la sécurité et la confidentialité des données des clients. La convention de dénomination de nos régions AWS est indicative de l'emplacement géographique général des zones de disponibilité et des centres de données qui composent cette région. Des détails supplémentaires concernant l'emplacement général des centres de données sont contenus dans notre rapport PCI-DSS disponible via AWS Artifact. Pour en savoir plus, rendez-vous sur la page Web Infrastructure mondiale AWS.
Les clients peuvent prendre la mesure de la sécurité et de la résilience de l'infrastructure physique d'AWS en constatant tous les contrôles de sécurité qu'AWS a mis en place pour ses centres de données. Pour aider les clients à mieux comprendre nos contrôles de sécurité physique et de résilience, un auditeur indépendant et compétent valide la présence et le bon fonctionnement des contrôles dans le cadre de notre rapport SOC 2 Type II qui est disponible pour les clients via AWS Artifact. Cette validation par un tiers, largement acceptée, fournit aux clients une attestation indépendante de l'efficacité des contrôles en place. Les examens indépendants de la sécurité physique des centres de données font également partie des programmes de conformité ISO 27001, PCI, ITAR, et FedRAMP.
Les clients évaluant AWS dans le cadre de leur plan de reprise après sinistre doivent commencer par identifier leurs objectifs de résilience et tenir compte de toutes les exigences réglementaires applicables en matière de résilience et reprise après sinistre. Les clients peuvent alors construire leur environnement AWS de façon à respecter leurs objectifs de résilience et les exigences réglementaires. À titre d'exemple, pour atténuer les risques environnementaux, les clients peuvent concevoir leurs charges de travail AWS de manière à tirer parti des zones de disponibilité et des régions physiquement séparées pour atteindre leurs objectifs. Lors de la planification de la continuité de l'activité et de la reprise après sinistre, les client AWS doivent utiliser les bonnes pratiques contenues dans le pillier fiabilité du cadre AWS Well Architected.
Rapports de conformité
AWS Artifact fournit plusieurs rapports rédigés par des auditeurs tiers qui ont testé et vérifié notre conformité avec différentes réglementations et normes de sécurité internationales, régionales et spécifiques au secteur d'activité. Lorsque de nouveaux rapports sont publiés, les clients peuvent les télécharger immédiatement dans AWS Artifact. Pour plus d'informations, consultez la page FAQ sur les rapports de conformité. AWS Artifact est accessible directement depuis AWS Management Console.
Sur la base de l'année complète de couverture d'AWS dans nos cycles de rapport SOC 1 et SOC 2, nous publions une lettre de poursuite des opérations SOC en lieu et place d'une lettre de pont. Ce document peut être téléchargé via AWS Artifact depuis AWS Management Console.
Non. Les audits SOC sont effectués sur une certaine période. Une fois que la période d'audit est terminée, le rapport est préparé et mis à la disposition des clients sous 6 à 8 semaines. AWS publie des rapports SOC1 et SOC2 couvrant des périodes de 6 mois chaque année (le premier rapport couvre la période du 1er octobre au 31 mars, et le second celle du 1er avril au 30 septembre). Plusieurs facteurs influent sur la date de publication du rapport, mais nous visons début mai et début novembre de chaque année pour publier les nouveaux rapports. Lorsque de nouveaux rapports SOC sont publiés, les clients peuvent les télécharger immédiatement dans AWS Artifact.
AWS enverra avec plaisir une copie du rapport SOC 1 ou SOC 2 à votre client. Pour aider au mieux vos clients, nous leur conseillons d'utiliser le guide Mise en route avec AWS Artifact pour télécharger le rapport SOC 1 ou SOC 2 en utilisant leur propre compte AWS. La création d'un compte est gratuite. Une fois connectés à leur compte, vos clients peuvent accéder aux rapports disponibles dans la console AWS en accédant à Artifact (artefact) sous Security, Identity & Compliance (sécurité, identité et conformité).
Vous pouvez également télécharger les rapports de conformité AWS depuis AWS Artifact et les partager directement avec vos clients si les conditions générales d'utilisation du rapport de conformité AWS en question le permettent. Consultez les conditions applicables sur la première page du rapport de conformité AWS téléchargé depuis AWS Artifact pour vérifier si vous pouvez ou non partager ce rapport.
Nous publions également le rapport AWS SOC 3 sur notre page Web Conformité SOC. Le rapport SOC 3 est un résumé du rapport AWS SOC 2 ; il garantit, y compris l'avis de l'auditeur externe, qu'AWS maintient un fonctionnement efficace des contrôles basés sur les critères définis dans les Trust Services Principles de l'AICPA.
Programmes de conformité
Il n'existe aucune certification HIPAA pour un fournisseur de services cloud (CSP) tel qu'AWS. Cependant, AWS adapte son programme de gestion des risques HIPAA avec FedRAMP, NIST 800-30 et NIST 800-53, qui sont des normes de sécurité correspondant à la règle de sécurité HIPAA. Le NIST soutient cette mise en conformité et a publié la spécification SP 800-66 Rev.1, « An Introductory Resource Guide for Implementing the HIPAA Security Rule », qui explique de quelle manière la spécification NIST 800-53 s'aligne sur la règle de sécurité HIPAA. Consultez la page Web AWS HIPAA pour plus d'informations sur la conformité HIPAA sur AWS.
Oui. AWS a un BAA standard que nous concluons avec les clients. Il tient compte des services uniques qu'AWS fournit et s'adapte au modèle AWS de responsabilité partagée.
Pour revoir, accepter et gérer le statut du BAA de votre compte ou pour tous les comptes qui font partie de votre organisation dans AWS Organizations, connectez-vous à AWS Artifact à partir de AWS Management Console.
AWS suit un programme de gestion des risques reposant sur des normes pour s'assurer que les services conformes à la législation HIPAA prennent en charge les processus de sécurité, de contrôle et d'administration requis par la loi HIPAA. Les clients peuvent utiliser tous les services AWS sur un compte désigné comme étant un compte HIPAA, mais ils doivent traiter, stocker et transmettre des données de santé protégées à l'aide des services conformes à la législation HIPAA. Consultez les ressources AWS suivantes pour plus d'informations sur la conformité HIPAA sur AWS :
Les clients peuvent chercher à tirer profit de la certification HITRUST CSF d'AWS des services concernés pour aider à obtenir leur propre certification HITRUST CSF. Pour obtenir la liste des derniers services AWS certifiés HITRUST CSF, consultez la page Web Services AWS concernés par le programme de conformité. Les clients AWS peuvent hériter d'une certification HITRUST CSF d'AWS, à condition qu'ils n'utilisent que les services concernés et appliquent les contrôles détaillés sur le site Web HITRUST Alliance. Les clients AWS doivent télécharger le document AWS Custom HITRUST Shared Responsibility Matrix pour déterminer les exigences HITRUST dont ils peuvent hériter dans le cadre du modèle de responsabilité partagée. Les clients doivent se reporter à la page Web Guide de l'utilisateur MyCSF pour savoir comment lancer une demande d'héritage.
Vous n'avez rien à faire pour profiter des avantages du DPA du RGPD. Les conditions du DPA RGPD sont incluses dans les conditions générales de services AWS et, depuis le 25 mai 2018, le DPA RGPD s'applique automatiquement aux clients dont les activités relèvent du champ d'application du RGPD. Consultez cet article du blog Sécurité AWS pour en savoir plus sur le DPA d'AWS. Pour plus d'informations, consultez le Centre du RGPD.
Oui. Les services AWS sont certifiés par rapport au bouclier de protection des données UE – États-Unis. Vous pouvez consulter la certification d'AWS ici. L'arrêt de la Cour de justice de l'Union européenne de juillet 2020 déclare que la décision 2016/1250 de la Commission européenne (sur l'adéquation de la protection fournie par le bouclier de protection des données UE-États-Unis) n'est plus valide. Cette décision ne libère pas les participants au bouclier de protection des données UE-États-Unis de leurs obligations en vertu du cadre.