Inizia a usare AWS Artifact gratis »
  • Domande frequenti sui report di conformità

    AWS Artifact, disponibile nella console, è un portale di recupero degli elementi di audit self-service che offre ai nostri clienti accesso on demand alla documentazione di conformità di AWS.

    AWS Artifact può essere utilizzato da tutti i clienti AWS per valutare e validare sicurezza e compliance dell'infrastruttura e dei servizi AWS che utilizzano.

    AWS Artifact è destinato a:

    • Chi è tenuto a dimostrare la compliance delle proprie architetture cloud durante i cicli di vita di design, sviluppo e audit dei sistemi. Al fine di dimostrare la compliance storica e attuale dell'infrastruttura AWS (in relazione agli specifici servizi utilizzati), auditor e autorità di regolamentazione richiedono di fornire prove sotto forma di elementi di audit.
    • Chi è tenuto, o interessato, a utilizzare elementi di audit per validare l'implementazione dei controlli AWS e il loro funzionamento efficace.
    • Chi è interessato al monitoraggio o audit continuo dei fornitori.
    • Membri di un team di sviluppo che creano architetture cloud sicure e necessitano di linee guida per comprendere la tua responsabilità in termini di compliance con ISO, PCI, SOC e altri standard normativi. Spesso, il lavoro del tuo team consentirà alla tua impresa di utilizzare AWS o garantirà che la tua impresa possa continuare a utilizzarlo.

    Un elemento di audit è una prova che dimostra che un'organizzazione segue un processo documentato o soddisfa un requisito specifico. Gli elementi di audit vengono raccolti e archiviati nel corso dell'intero ciclo di vita di sviluppo dei sistemi e devono essere utilizzati come prova negli audit e nelle valutazioni interni e/o esterni.

    Tutti gli account AWS hanno accesso ad AWS Artifact. Gli utenti root e gli utenti IAM con autorizzazione come amministratori possono scaricare tutti gli elementi di audit disponibili nei propri account accettando i termini e le condizioni associati.

    Dovrai concedere accesso ad AWS Artifact mediante autorizzazioni IAM agli utenti IAM che non dispongano di autorizzazioni come amministratori. Ciò consente di concedere accesso a un utente ad AWS Artifact, limitando l'accesso ad altri servizi e risorse all'interno del tuo account AWS. Per informazioni su come concedere l'accesso utilizzando IAM, fai riferimento a questo argomento di supporto nella documentazione AWS Artifact.

    Puoi fornire gli elementi di audit AWS ai tuoi auditor o autorità di regolamentazione come prova dei controlli di sicurezza AWS.

    Puoi inoltre utilizzare le linee guida di responsabilità fornite da alcuni degli elementi di audit AWS per progettare la tua architettura cloud. Queste linee guida aiutano a determinare i controlli di sicurezza aggiuntivi da implementare al fine di supportare i casi d'uso specifici del tuo sistema. 

    No. Puoi accedere e scaricare tutti gli elementi disponibili in qualsiasi momento, tutte le volte necessarie.

    Spesso dovrai fornire ai tuoi auditor l'accesso ai report di compliance AWS. Puoi effettuare questa operazione con facilità creando credenziali utente IAM specifiche per ciascun auditor e configurando le credenziali in modo che l'auditor possa accedere unicamente ai report pertinenti per l'audit da lui eseguito. Per ulteriori informazioni, consulta questo argomento di supporto nella documentazione AWS Artifact.

    I tuoi clienti possono accedere ai report di compliance AWS utilizzando il proprio account AWS. Se non possiedono già un account, è necessario portarli a crearne uno. La creazione di un account non prevede alcun costo.

    Una volta effettuato l'accesso all'account, i tuoi clienti possono accedere ai report disponibili nella console AWS navigando alla sezione Report di compliance in Sicurezza, identità e compliance. Se il tuo cliente desidera accedere a un report che richieda un NDA, può ottenerlo firmando un NDA con accettazione tramite clic all'interno della console di Artifact.

    Per ulteriori informazioni, fai riferimento a Nozioni di base su AWS Artifact.

    Spesso dovrai fornire accesso ad altri individui all'interno della tua organizzazione ai report di compliance AWS. I documenti che scarichi da AWS Artifact sono specificamente generati per te e ogni documento è dotato di una filigrana unica. Per questo motivo, devi condividere i documenti unicamente con gli individui di cui puoi fidarti. Non inviare per e-mail i documenti come allegati e non condividerli online. Per condividere un documento, utilizza un servizio di condivisione sicuro, come Amazon WorkDocs oppure crea una policy per le autorizzazioni IAM che fornisca accesso agli utenti IAM del gruppo ai documenti AWS Artifact. Per ulteriori informazioni, fai riferimento alla documentazione AWS Artifact.

    Sì. Utilizzando IAM, puoi creare una policy per le autorizzazioni, per un gruppo non dotato di privilegi di amministratore, che offra accesso agli utenti IAM del gruppo ad AWS Artifact. Puoi quindi utilizzare la policy per limitare l'accesso ad altri servizi e risorse all'interno dell'account associato. Per ulteriori informazioni su come creare un gruppo non dotato di privilegi di amministratore, fai riferimento alla documentazione AWS Artifact.

    Sì. È possibile concedere accesso a uno o più elementi utilizzando le autorizzazioni IAM, per avere pieno controllo su chi ha accesso a ciascun elemento. Ad esempio, se desideri che il tuo team PCI abbia accesso solo al report AWS PCI ma che il tuo team SOX abbia accesso solo al report AWS SOC 1, puoi personalizzare ciascuna autorizzazione di accesso degli utenti. Per informazioni su come concedere l'accesso utilizzando IAM, fai riferimento a questo argomento di supporto nella documentazione AWS Artifact.

    Sì, per l'accesso e il download di documenti riservati in Artifact sarà necessario accettare un accordo di non divulgazione separato. Detto questo, se possiedi un accordo di non divulgazione esistente con Amazon e se il tuo accordo esistente copre le stesse informazioni riservate fornite in Artifact, allora farà fede il tuo accordo di non divulgazione esistente e non quello di Artifact. Fai riferimento a quanto indicato nel primo paragrafo dell'accordo di non divulgazione di Artifact:

    "Qualora l'utente abbia stipulato un accordo di non divulgazione separato con Amazon che copra almeno le stesse informazioni riservate coperte dalle informazioni riservate Artifact (come definito nel presente Accordo), allora tale accordo di non divulgazione separato sarà applicabile al posto del presente Accordo (vedere la Sezione 11 seguente)."

  • Domande frequenti sul contratto BAA

    AWS Artifact Agreements è una caratteristica del servizio AWS Artifact (il nostro portale di audit e conformità). AWS Artifact Agreements permette di esaminare, accettare e gestire lo stato di un contratto di società in affari o BAA (Business Associate Addendum) direttamente dalla Console di gestione AWS dell'account. Potrai usare la console per accettare un contratto BAA e designare immediatamente un account AWS per l'utilizzo con le informazioni sanitarie protette. Inoltre, potrai utilizzare la console per confermare che l'account AWS è l'account conforme allo standard HIPAA designato e consultare i termini del contratto per approfondirne gli obblighi a cui sei vincolato. Se in seguito non devi più utilizzare l'account insieme alle informazioni sanitarie protette, potrai utilizzare AWS Artifact Agreements per terminare il contratto BAA.

    Se sei amministratore di un account AWS, puoi assegnare le autorizzazioni di IAM ad altri utenti e permettere loro di scaricare, accettare o terminare contratti a nome del tuo account in AWS Artifact. Per ulteriori informazioni, consulta la documentazione di AWS Artifact.

    Al momento l'unico contratto specialistico di settore disponibile in AWS Artifact Agreements è il Business Associate Addendum (BAA). Prima di stipulare un contratto BAA, è necessario scaricare e fornire l'assenso ai termini dell'accordo di non divulgazione (NDA). Il contratto BAA è riservato e non può essere condiviso con terzi esterni alla tua organizzazione.

    Sì, per l'accesso e il download di documenti riservati in Artifact sarà necessario accettare un accordo di non divulgazione separato. Detto questo, se possiedi un accordo di non divulgazione esistente con Amazon e se il tuo accordo esistente copre le stesse informazioni riservate fornite in Artifact, allora farà fede il tuo accordo di non divulgazione esistente e non quello di Artifact. Fai riferimento a quanto indicato nel primo paragrafo dell'accordo di non divulgazione di Artifact:

    "Qualora l'utente abbia stipulato un accordo di non divulgazione separato con Amazon che copra almeno le stesse informazioni riservate coperte dalle informazioni riservate Artifact (come definito nel presente Accordo), allora tale accordo di non divulgazione separato sarà applicabile al posto del presente Accordo (vedere la Sezione 11 seguente)."

    Se sei l'amministratore di un account AWS, disponi automaticamente dell'autorizzazione a scaricare, accettare e terminare contratti per tale account. Se non sei amministratore, avrai bisogno di autorizzazioni aggiuntive per poter accettare e terminare contratti. Gli utenti i cui account IAM dispongono dell'autorizzazione per l'accesso completo al download di tutti i report non disporranno comunque dell'autorizzazione ad accettare o terminare contratti. Tuttavia, gli utenti i cui account IAM dispongono dell'autorizzazione per l'accesso completo ad AWS Artifact (ad es. una policy IAM per Artifact*) potranno farlo.

    Questi diversi livelli forniscono agli amministratori una maggiore flessibilità nel conferire autorizzazioni agli utenti IAM in base alle esigenze. Per ulteriori informazioni, consulta la documentazione di AWS Artifact.

    Sì. Di default, gli utenti con privilegi di amministratore possono usare AWS Artifact Agreements per scaricare, consultare e accettare contratti. Prima di stipulare un contratto, consultane sempre i termini con i legali aziendali o con il team che si occupa di privacy o conformità. Potrai anche utilizzare IAM per fornire l'accesso agli utenti in base alle esigenze aziendali (ad esempio i legali aziendali o il team che si occupa di privacy o conformità), per consentire loro di scaricare, consultare e accettare accordi. Per ulteriori informazioni, consulta la documentazione di AWS Artifact.

    No. Se hai già firmato un BAA offline, i termini del contratto saranno validi per anche per l'account scelto per la conformità allo standard HIPAA.

    Per gli account non designati per tale conformità nell'ambito del BAA offline, è possibile accettare un BAA online utilizzando AWS Artifact Agreements.

    No. Per proteggere la riservatezza del BBA offline, di default non sarà possibile scaricarlo in AWS Artifact Agreements. Se desideri visualizzare una copia di un BBA offline firmato in precedenza, devi farne richiesta al tuo account manager.

    Sì. Per rimuovere l'account designato per la conformità allo standard HIPAA secondo il BAA offline, segui l'apposita procedura nell'interfaccia di AWS Artifact. Prima di rimuovere l'account HIPAA, accertati di aver cancellato da tale account tutte le informazioni sanitarie protette e i relativi collegamenti.

    No. Se desideri designare un account per la conformità allo standard HIPAA nell'ambito di un BAA offline firmato in precedenza, devi seguire la procedura descritta all'interno del BAA offline stesso (inviando un'e-mail all'indirizzo aws-hipaa@amazon.com). Una volta ricevuta la conferma da AWS, l'interfaccia di Artifact Agreements per il nuovo account designato varierà per riflettere lo stato di designazione nell'ambito del BAA offline.

    No. I clienti con un BAA offline firmato in precedenza non potranno terminarlo in AWS Artifact. Per farlo, dovranno inviarne richiesta scritta ad AWS, secondo le condizioni stabilite nel BAA offline.

    Quando accetti un BAA online in AWS Artifact, l'account utilizzato per eseguire l'accesso è automaticamente designato per la conformità allo standard HIPAA nell'ambito di tale BAA online. Non è necessario seguire alcun ulteriore procedura.

    Se desideri aggiungere altri account alla copertura del BAA, devi accedere ad AWS Artifact tramite questi account e accettare un BAA separato per ciascuno di essi.

    Sì. Tuttavia, è necessario eseguire l'accesso ad AWS Artifact con ogni account che necessita della copertura del BAA e accettare l'accordo per ciascuno di essi separatamente.

    Analogamente, se termini in BAA online, solo l'account associato a tale BAA perderà la conformità.

    Non c'è alcuna differenza nel funzionamento di AWS Artifact Agreements per gli account di rivenditori. I rivenditori potranno usare IAM per controllare chi dispone delle autorizzazioni per scaricare, accettare e terminare contratti. Di default, solo gli utenti con privilegi di amministratore possono conferire le autorizzazioni.

    AWS Artifact Agreements, così come il servizio AWS Artifact nel suo complesso, può essere utilizzato in modo indipendente da utenti tecnici e non tecnici senza alcun costo aggiuntivo. Gli amministratori degli account AWS possono fornire le autorizzazioni IAM per l'esecuzione di una o più operazioni in AWS Artifact. Queste operazioni includono scaricare report e accettare o terminare accordi. Per ulteriori informazioni, consulta la documentazione di AWS Artifact.

    Quando termini un BAA online in AWS Artifact, l'account utilizzato per eseguire l'operazione sarà rimosso dall'elenco di account con conformità allo standard HIPAA e non sarà più coperto dal BAA con AWS. Il termine di un BAA online con AWS Artifact per un determinato account non interesserà eventuali altri BAA firmati con AWS per altri account.

    Prima di terminare un BAA per un account, accertati di aver cancellato da tale account tutte le informazioni sanitarie protette e i relativi collegamenti.

    In un account con conformità allo standard HIPAA puoi utilizzare qualsiasi servizio AWS; le informazioni sanitarie protette potranno tuttavia essere gestiti solo dai servizi soggetti allo standard HIPAA. Per visionare l'elenco aggiornato dei servizi coperti, consulta la pagina Riferimento servizi idonei ai fini HIPAA.

    Sì. Se preferisci stipulare con AWS un BAA offline, parla con il tuo account manager o contattaci per comunicare la tua richiesta. Tuttavia, in genere incoraggiamo l'utilizzo di AWS Artifact Agreements perché si tratta di un metodo veloce, efficiente e chiaro.

    1. Assicurati disporre di Adobe Reader e della versione aggiornata del browser Web.
    2. Abilita i popup per il browser per consentire il download dell'allegato.
    3. Controlla la cartella dei download.
    4. Leggi il documento e, se necessario, condividilo.

 

Inizia la prova gratuita di AWS Artifact