Panduan Solusi Kepatuhan AWS


Repositori sumber daya dan proses kami yang sering digunakan dan diperlukan untuk melakukan tanggung jawab kepatuhan di AWS.

Selamat datang di Panduan Solusi Kepatuhan AWS! Panduan ini dirancang untuk menyediakan repositori berisi sumber daya dan proses kami yang sering digunakan dan diperlukan untuk melakukan tanggung jawab kepatuhan Anda di AWS.

Keamanan di AWS adalah prioritas tertinggi kami. Kini, AWS melindungi jutaan pelanggan aktif di seluruh dunia, mulai dari perusahaan besar dan organisasi pemerintah, hingga start-up dan organisasi nirlaba. Melalui relasi ini, kami telah mengembangkan sumber daya terbaik di kelasnya untuk memudahkan pelanggan, dari industri apa pun, dengan cepat memahami cara mencapai kepatuhan di AWS Cloud. Pelanggan AWS mendapatkan semua keuntungan dari pengalaman kami, termasuk praktik terbaik untuk kebijakan keamanan, arsitektur, dan proses operasional yang teruji pada kerangka kerja jaminan eksternal.

AWS mengomunikasikan lingkungan keamanan dan kontrolnya yang relevan kepada pelanggan dengan melakukan hal-hal berikut:

  • Sertifikasi industri dan pengesahan independen pihak ketiga tertera di bawah ini
  • Informasi tentang keamanan dan praktik kontrol AWS di whitepaper dan konten web
  • Sertifikat, laporan, dan dokumentasi lainnya disediakan secara langsung kepada pelanggan AWS berdasarkan NDA

Solusi Kepatuhan


Praktik terbaik untuk mengakses laporan kepatuhan AWS adalah melalui konsol lewat AWS Artifact. AWS Artifact menyediakan pelanggan akses layanan mandiri, sesuai permintaan, ke laporan kepatuhan AWS terbaru. Ketika AWS mengeluarkan laporan baru, laporan tersebut dapat langsung diunduh di AWS Artifact. Selain akses sesuai permintaan, berikut ini tiga manfaat menggunakan AWS Artifact:

  1. Tidak perlu memasukkan rincian kartu kredit. Membuat akun atau menggunakan portal AWS Artifact tidak dikenakan biaya.
  2. Menyediakan kemampuan untuk menyiapkan akun bagi pengguna lain melalui IAD.
  3. Memungkinkan kemudahan NDA klik-tayang.

Harap perhatikan bahwa semua pengesahan pihak ketiga, sertifikasi, laporan Service Organization Controls (SOC), dan laporan kepatuhan relevan lainnya memerlukan NDA. Ada pengecualian untuk sertifikasi ISO 27001 AWS dan laporan SOC 3 AWS yang tersedia secara umum.

Jika Anda memiliki akun AWS dan siap untuk mulai memanfaatkan AWS Artifact, Anda dapat menggunakan sumber daya di bawah ini untuk mengetahui lebih lanjut tentang fitur di dalam konsol ini. Jika Anda belum memiliki akun AWS, Anda dapat membuat akun dengan membaca langkah-langkah ini.

Situs Web AWS Artifact - Situs web ini akan memberikan informasi dasar tentang Artifact, termasuk Panduan Singkat dalam memulai yang berisi petunjuk langkah demi langkah tentang cara masuk ke dalam konsol dan mengunduh laporan, serta halaman Tanya Jawab AWS Artifact yang mencantumkan daftar pertanyaan umum secara menyeluruh.

Di bawah ini adalah skenario paling umum yang paling sering ditanyakan:

Apabila Anda memerlukan bantuan dalam mengisi Kuesioner Keamanan untuk mendokumentasikan posisi keamanan dan kepatuhan AWS, AWS memiliki pendekatan yang direkomendasikan, yang dirancang untuk menyediakan Anda sumber daya yang sesuai untuk menjawab pertanyaan keamanan dan kepatuhan Anda dalam konteks cloud dan model bisnis AWS. Prosedur ini memastikan bahwa semua pelanggan kami mendapatkan jawaban yang konsisten yang sudah diverifikasi oleh auditor pihak ketiga kami.

AWS Artifact adalah tempat utama yang dapat dikunjungi karena semua laporan kepatuhan ada di sana. AWS menjalani beberapa audit dalam setahun oleh auditor pihak ketiga, yang sebagian besar di antaranya dilakukan sesuai dengan standar keamanan internasional, seperti ISO 27001, PCI, dan SOC. Anda dapat menggunakan laporan ini untuk menjawab pertanyaan dalam kuesioner keamanan apa pun yang mungkin Anda terima.

Selain itu, ada beberapa jenis sumber daya yang tersedia secara online untuk menyediakan jawaban atas pertanyaan yang paling umum. Dua dokumen yang paling sering disebutkan dalam kuesioner adalah:

Kuesioner Inisiatif Penilaian Konsensus – Cloud Security Alliance (CSA) adalah organisasi nirlaba yang bertujuan untuk mempromosikan penggunaan praktik terbaik dalam memberikan jaminan keamanan dalam komputasi cloud. Kuesioner Inisiatif Penilaian Konsensus CSA menyediakan serangkaian pertanyaan yang diperkirakan CSA akan ditanyakan oleh konsumen cloud dan/atau auditor tentang penyedia cloud. Dokumen ini menyediakan serangkaian pertanyaan keamanan, kontrol, dan proses yang kemudian dapat digunakan untuk berbagai penggunaan, termasuk seleksi penyedia cloud dan evaluasi keamanan. Dokumen ini berisi jawaban AWS atas kuesioner CSA.

Whitepaper Risiko dan Kepatuhan – Dokumen ini bertujuan memberikan informasi untuk membantu pelanggan AWS mengintegrasikan AWS mereka ke dalam kerangka kerja kontrol yang ada yang mendukung lingkungan IT mereka. Dokumen ini mencakup pendekatan dasar untuk mengevaluasi kontrol AWS dan memberikan informasi untuk membantu pelanggan dengan mengintegrasikan lingkungan kontrol. Dokumen ini juga membahas informasi khusus AWS seputar pertanyaan kepatuhan komputasi cloud umum. Tersedia deskripsi terperinci untuk semua Sertifikasi, Program, Laporan, dan Pengesahan Pihak Ketiga AWS. Kuesioner CSA disertakan dalam bagian Lampiran dokumen ini.

Jika Anda masih memerlukan bantuan dalam menjawab pertanyaan, hubungi Manajer Akun AWS Sales Anda dan mereka dapat meneruskannya ke sumber daya yang sesuai.

Contoh Kuesioner Keamanan

Kontrol Pertanyaan Jawaban Dokumen Referensi AWS
Enkripsi Apakah layanan yang disediakan mendukung enkripsi?

Ya. AWS memungkinkan pelanggan menggunakan mekanisme enkripsi mereka sendiri untuk hampir semua layanan, termasuk S3, EBS, SimpleDB, dan EC2. Terowongan IPSec ke VPC juga dienkripsi. Amazon S3 juga menawarkan Enkripsi Sisi Server sebagai opsi untuk pelanggan. Pelanggan juga dapat menggunakan teknologi enkripsi pihak ketiga.

Whitepaper Keamanan AWS
Kontrol Fisik dan Lingkungan

Apakah kontrol fisik dan lingkungan dioperasikan oleh penyedia cloud yang ditentukan?

Ya. Hal ini secara khusus dibahas dalam laporan SOC 1 Tipe II. Selain itu, sertifikasi lain yang didukung AWS seperti ISO 27001 dan FedRAMPsm memerlukan kontrol fisik dan lingkungan praktik terbaik.

Paket FedRAMP, ISO 27001 Report, SOC 1
Pelatihan/Kesadaran Sumber Daya Manusia

Apakah program pelatihan kesadaran keamanan formal berbasis peran disediakan untuk masalah manajemen akses dan data terkait cloud (mis., multi-tenancy, kewarganegaraan, pemisahan model pengiriman cloud terkait implikasi tugas dan konflik kepentingan) untuk semua orang yang memiliki akses ke data tenant?

Ya. Sesuai dengan standar ISO 27001, semua karyawan AWS menyelesaikan pelatihan Keamanan Informasi berkala yang memerlukan pengakuan untuk menyelesaikannya. Audit kepatuhan dilakukan secara berkala untuk memvalidasi bahwa karyawan memahami dan mengikuti kebijakan yang ditetapkan.

Lihat SOC, PCI DSS, ISO 27001 dan laporan kepatuhan FedRAMP

Ada beberapa tantangan umum yang dihadapi dengan HIPAA BAA. Untuk mendapatkan akses ke sumber daya lainnya terkait BAA, termasuk daftar lengkap Tanya Jawab HIPAA, video instruksional BAA, whitepaper, dll. silakan kunjungi halaman utama Kepatuhan HIPAA AWS.

T: Apakah saya bisa mendapatkan salinan fisik BAA saya saat ini?

J: Tidak ada perbedaan antara versi BAA di Artifact dan salinan fisik. Dan ketika menggunakan Artifact, Anda selalu dapat mengunduh salinan BAA sebelum dan setelah menyetujui persyaratannya. Jika Anda memiliki BAA offline, Anda dapat menghubungi perwakilan bagian penjualan Anda untuk mendapatkan salinannya.

T: Saya memerlukan Exhibit A untuk mengonfirmasi akun sudah ditambahkan ke BAA yang ada atau saya memerlukan bukti bahwa akun tersebut tercakup dalam BAA.

J: AWS tidak mengeluarkan Exhibit A yang diperbarui setelah akun tambahan tercakup dalam BAA yang ada. Dengan menggunakan Artifact, Anda segera dapat menetapkan layanan mandiri akun baru di konsol. Setelah BAA sudah diterima di Artifact, Anda dapat masuk ke konsol menggunakan ID akun dan mengonfirmasi bahwa statusnya aktif. Jika Anda ingin menambahkan akun baru, Anda dapat melakukannya sendiri.  Untuk mengonfirmasi status ketercakupan dan membagikan BAA dengan auditor atau regulator, tersedia PDF yang dapat diunduh. Selain itu status juga berfungsi sebagai bukti ketercakupan.

T: Saya tidak memiliki kemampuan untuk memasuki BAA atau saya tidak dapat mencentang kotak untuk NDA.

J: Masalah ini muncul karena adanya kesalahan pada izin. Orang atau tim yang menangani permintaan IAM untuk akun AWS Anda dapat mengatasi masalah ini dengan menyesuaikan izin. Informasi lebih lanjut tentang menyiapkan akun IAM dapat ditemukan di sini.

Sumber Daya Kepatuhan AWS Lainnya


header-icon_apn-partner-programs-orange

Halaman Layanan dalam Lingkup akan memperinci layanan mana yang saat ini tercakup dan mana yang masih dalam proses. Anda juga dapat menghubungi Manajer Akun AWS Sales dan SA tentang kebutuhan spesifik untuk layanan tertentu.

header-icon_apn-partner-programs-orange

Blog Keamanan AWS adalah sarana yang tepat untuk mengetahui berbagai informasi terbaru tentang program keamanan AWS.

header-icon_apn-partner-programs-orange

Untuk informasi mengenai beberapa pengalaman pelanggan AWS saat ini, silakan kunjungi halaman testimoni yang menampilkan studi kasus pelanggan kami dari berbagai industri.

header-icon_apn-partner-programs-orange

Jika Anda memerlukan informasi lebih lanjut tentang sistem kepatuhan secara spesifik, silakan lihat Tanya Jawab terkait pada halaman berikut:

header-icon_apn-partner-programs-orange

Jalur Pembelajaran Auditor AWS adalah sumber daya yang dirancang khusus bagi mereka yang mengemban peran auditor, kepatuhan, dan hukum dan ingin mempelajari bagaimana operasi internal mereka dapat menunjukkan kepatuhan dengan menggunakan platform AWS.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »