Domande generali

1. Qual è il modo migliore per compilare il questionario annuale di valutazione di AWS da venditore/fornitore?

Ove ti occorra assistenza nella compilazione di un questionario per documentare le posizioni di sicurezza e conformità AWS, AWS dispone di un approccio raccomandato, studiato per fornirti le risorse per rispondere alle tue domande su sicurezza e conformità nel contesto del cloud e del modello di business di AWS. Le risorse utilizzate più di frequente per i questionari sulla sicurezza e la conformità sono:

  • AWS Artifact: AWS Artifact è la risorsa centrale di riferimento per le informazioni importanti sulla conformità. Consente l'accesso on demand ai report di sicurezza e conformità di AWS e a una selezione di accordi online. I report disponibili in AWS Artifact includono i nostri report SOC (Service Organization Control), l'attestazione di conformità PCI (Payment Card Industry) e le certificazioni di organismi di accreditamento in aree geografiche e verticali di conformità che convalidano l'implementazione e l'efficacia operativa dei controlli di sicurezza AWS. I contratti disponibili in AWS Artifact includono il Business Associate Addendum (BAA) e l'accordo di non divulgazione (NDA).
  • Pagina Web dei programmi per la conformità di AWS: i programmi di conformità AWS aiutano i clienti a comprendere i solidi controlli in atto in AWS per mantenere la sicurezza e la conformità nel cloud.
  • Pagina Web dei controlli dei data center di AWS: molti questionari dispongono di un'intera sezione con domande relative alla sicurezza fisica dei data center. Questa pagina Web fornisce informazioni dettagliate su alcuni dei nostri controlli fisici e ambientali.
  • Whitepaper su rischi e conformità AWS: questo documento offre informazioni specifiche di AWS su domande generali di conformità del cloud computing.
  • Questionario dell'Iniziativa di valutazione del consenso di CSA: il CSA Consensus Assessments Initiative Questionnaire fornisce una serie di domande che CSA prevede che un consumatore di cloud e/o un'entità di controllo farebbe a un provider di cloud. Fornisce una serie di domande su sicurezza, controllo e processi che possono poi essere usate per un'ampia gamma di utilizzi, incluse la selezione del fornitore del cloud e la valutazione della sicurezza. Questo documento contiene le risposte di AWS al questionario CSA.
  • Valutazione AWS CyberGRX : i clienti possono sfruttare il report AWS CyberGRX per ridurre l'onere della due diligence dei fornitori sostituendo fogli di calcolo statici obsoleti e la necessità di richiedere ripetutamente l'accesso alla valutazione di AWS ogni anno. I clienti possono anche utilizzare la funzionalità Framework Mapper di CyberGRX che consentirà loro di mappare la valutazione AWS su framework e standard di settore di uso comune per ottenere immediatamente visibilità sulla copertura dei controlli.
  • AWS CyberVadis Assessment: i clienti possono sfruttare il report e la scorecard di valutazione del rischio di AWS CyberVadis per la due diligence dei fornitori. La valutazione di CyberVadis offre funzionalità avanzate integrando le risposte di AWS con analisi e modelli di rischio sofisticati, per fornire una visione approfondita del livello di sicurezza di AWS. I clienti possono utilizzare i risultati di CyberVadis per mappare la valutazione AWS su framework e standard di settore di uso comune per ottenere immediatamente visibilità sulla copertura dei controlli.
  • Questionario SIG: il questionario SIG (Standardized Information Gathering) è pensato per i clienti che utilizzano strumenti di valutazione condivisi del questionario SIG per standardizzare il processo per la valutazione dei rischi di terze parti. AWS ha completato il questionario con risposte dettagliate per assistere i clienti AWS nelle loro procedure di due diligence nel cloud AWS. Il questionario SIG è disponibile su AWS Artifact.
2. Quali servizi AWS sono conformi ai comuni standard di conformità e sicurezza cloud?

La pagina Web dei servizi AWS inclusi fornisce un elenco di servizi che sono valutati per essere conformi ai comuni standard di conformità.

3. AWS dispone di subincaricati?

AWS può incaricare le entità elencate sulla pagina Web dei subincaricati al trattamento dei dati di AWS di svolgere attività di elaborazione specifiche per conto del cliente o attività di gestione delle strutture dei data center. Questa pagina Web fornisce, inoltre, ai clienti l'opzione di registrarsi per la ricezione di notifiche via e-mail per le modifiche all'elenco dei subincaricati.

4. Dove posso trovare informazioni sulla privacy dei dati in AWS?

Puoi saperne di più sulla privacy dei dati nel Centro per la privacy dei dati di AWS. Questa pagina Web fornisce informazioni sulla privacy in AWS, leggi e regolamenti sulla privacy, domande frequenti e risorse.

5. Puoi fornirmi le posizioni dei data center di AWS per la mia policy di continuità aziendale o di ripristino di emergenza?

AWS mantiene la massima riservatezza sulle posizioni dei data center per salvaguardare la sicurezza e la privacy dei dati dei clienti. La convenzione sulle denominazioni per le nostre Regioni AWS rimanda all’area geografica della zona di disponibilità e dei data center che servono quella Regione. Ulteriori informazioni riguardanti la posizione generale dei data center sono contenute nei nostri report PCI-DSS disponibili su AWS Artifact. Per ulteriori informazioni, visita la nostra pagina Web Infrastruttura globale AWS.

6. Come posso valutare la sicurezza e la resilienza dei data center AWS?

I clienti possono valutare la sicurezza e la resilienza dell'infrastruttura fisica AWS considerando tutti i controlli di sicurezza che AWS adotta per i propri data center. Per aiutare i clienti a comprendere meglio i nostri controlli relativi alla sicurezza fisica e alla resilienza, un revisore indipendente e competente convalida la presenza e lo svolgimento dei controlli come parte dei nostri report SOC, disponibili su AWS Artifact. Questa misura di convalida da parte di terzi è ampiamente accettata e fornisce ai clienti una garanzia dell’efficacia dei controlli in essere. Inoltre, la revisione indipendente della sicurezza fisica dei data center è parte dei programmi di conformità ISO 27001, PCI, ITAR e FedRAMP.

7. AWS consente al cliente di visitare in presenza i data center?
No. Poiché i nostri data center ospitano più clienti, AWS non permette ai clienti di visitarli, dato che ciò esporrebbe un elevato numero di clienti ad accessi fisici da parte di terzi. Tuttavia, i clienti e il pubblico possono fare una visita virtuale di un data center AWS sul nostro sito per comprenderne meglio l’infrastruttura e i controlli.
8. Quali fattori sono importanti da valutare per il cliente come parte del proprio piano di ripristino di emergenza?

I clienti che valutano AWS come parte del piano di ripristino di emergenza devono innanzitutto identificare i propri obiettivi di resilienza e considerare qualsiasi requisito normativo applicabile per la resilienza e il ripristino di emergenza. I clienti possono quindi progettare il proprio ambiente AWS per soddisfare i requisiti di resilienza e normativi. Ad esempio, per mitigare i rischi ambientali, i clienti possono progettare i propri carichi di lavoro AWS per sfruttare le zone di disponibilità e le Regioni fisicamente separate per raggiungere i propri obiettivi. Nel pianificare la propria continuità aziendale e il ripristino di emergenza, i clienti AWS dovrebbero seguire le best practice contenute nel principio dell’affidabilità del framework AWS Well Architected. Ulteriori informazioni sui consigli per il disaster recovery sono disponibili nella pagina Ripristino di emergenza dei carichi di lavoro su AWS: ripristino nel cloud.

Report di conformità

1. Da dove posso scaricare i report di conformità di AWS, come il report SOC, l’attestato di conformità PCI o il questionario SIG?

AWS Artifact fornisce report di conformità rilasciati da revisori di terze parti che hanno testato e verificato la conformità in base a una serie di standard e normative di sicurezza globali, regionali e specifici di settore. Quando vengono rilasciati nuovi report, questi vengono resi disponibili per il download ai clienti in AWS Artifact. Per ulteriori informazioni, consulta la pagina Domande frequenti sui report di conformità. Puoi accedere ad AWS Artifact direttamente dalla Console di gestione AWS.

2. Dove posso trovare una "bridge letter" per i report SOC 1 e SOC 2 di AWS?

Sulla base della copertura continua di AWS fornita dai nostri report SOC di 12 mesi emessi più volte all'anno, pubblichiamo una SOC Continued Operations Letter anziché una lettera ponte o una lettera gap. Queste lettere pubblicate regolarmente possono essere scaricate utilizzando AWS Artifact dalla Console di gestione AWS.

3. I report SOC di AWS scadono alla fine del periodo di report?

No. Gli audit SOC vengono eseguiti per un periodo di tempo. Al termine dell'audit, il report viene preparato e reso disponibile ai clienti in circa 6 settimane. A partire dal 30 settembre 2023, AWS pubblicherà i report SOC che coprono periodi di 12 mesi più volte all'anno. I report SOC 1 vengono emessi trimestralmente e i report SOC 2 e SOC 3 vengono emessi ogni 6 mesi. Quando vengono rilasciati nuovi report SOC, questi vengono resi disponibili per il download ai clienti in AWS Artifact.

4. In che modo il mio cliente finale ottiene una copia dei report SOC 1 e SOC 2 di AWS?

AWS è lieto di fornire al tuo cliente una copia del nostro report SOC 1 o SOC 2. Per supportare meglio i tuoi clienti, consigliamo loro di utilizzare la guida Nozioni di base su AWS Artifact per effettuare il download dei report SOC 1 o SOC 2 attraverso il loro account AWS. La creazione di un account non prevede alcun costo. Una volta effettuato l'accesso all'account, i tuoi clienti possono accedere ai report disponibili nella console AWS navigando alla sezione Artifact in Sicurezza, identità e conformità.

In alternativa, puoi scaricare i report di conformità AWS da AWS Artifact e condividerli con i tuoi clienti, se consentito dai termini e dalle condizioni applicabili allo specifico report di conformità AWS. Fai riferimento ai termini e alle condizioni applicabili nella prima pagina del report di conformità AWS scaricato da AWS Artifact per verificare se la condivisione di tale report è consentita o meno.

Inoltre, pubblichiamo il report SOC 3 di AWS sulla nostra pagina Web relativa alla conformità SOC. Il report SOC 3 è un riassunto del report SOC 2 di AWS: assicura, includendo l'opinione dell'entità di controllo esterna, che AWS mantenga il funzionamento effettivo dei controlli in base ai criteri definiti nell'accordo AICPA Trust Services Principles.

Programmi per la conformità

1. AWS ha la certificazione HIPAA?

Non è previsto alcun tipo di certificazione HIPAA per i provider di servizi cloud (CSP) come AWS. Tuttavia, AWS allinea il suo programma di gestione del rischio HIPAA alle norme sulla privacy (45 CFR Parte 160 e Sottoparti A ed E della Parte 164) e sulla sicurezza (45 CFR Parte 160 e Sottoparti A e C della Parte 164), ai regolamenti di semplificazione amministrativa HIPAA (45 CFR 160, 162 e 164), FedRAMP, NIST 800-30 e NIST 800-53. NIST supporta questo allineamento e ha rilasciato la SP 800-66 Rev.1, una guida introduttiva per l'implementazione della normativa di sicurezza HIPAA, per documentare come NIST 800-53 si allinei alla normativa di sicurezza HIPAA. Fai riferimento alla pagina Web della normativa HIPAA di AWS per ulteriori informazioni sulla conformità HIPAA su AWS.

2. AWS firmerà un BAA (Business Associate Addendum, Addendum al contratto di società in affari) secondo quanto descritto nella normativa e nelle disposizioni HIPAA?

Sì. AWS dispone di un BAA standard che stipuliamo con i clienti. Tiene conto dei servizi unici forniti da AWS e impiega il modello di responsabilità condivisa di AWS.

Per rivedere, accettare e gestire lo stato del BAA per il tuo account o per tutti gli account che fanno parte dell'organizzazione in AWS Organizations, accedi ad AWS Artifact dalla Console di gestione AWS.

3. Cosa significa essere idoneo alla normativa HIPAA per un servizio AWS?

AWS segue un programma di gestione del rischio basato su standard, per garantire la conformità ai processi previsti dalla normativa HIPAA in fatto di sicurezza, controlli e amministrazione. I clienti potranno impiegare tutti i servizi AWS all'interno dell'account designato per l'uso secondo la normativa HIPAA, ma potranno elaborare, immagazzinare e trasmettere informazioni sanitarie protette solamente nell'ambito dei servizi idonei secondo la normativa HIPAA. Fai riferimento alle seguenti risorse AWS per ulteriori informazioni sulla conformità HIPAA su AWS:

4. In che modo divento conforme a HITRUST su AWS?

I clienti possono provare a sfruttare la certificazione AWS HITRUST CSF dei servizi AWS in supporto alla propria certificazione HITRUST CSF. Per l'elenco più recente dei servizi AWS certificati HITRUST CSF, consulta la pagina Web dei servizi AWS forniti. I clienti AWS possono ereditare la certificazione AWS HITRUST CSF a condizione che usufruiscano esclusivamente dei servizi contemplati e applichino i controlli specificati sul sito Web di HITRUST Alliance. I clienti possono scaricare la risorsa AWS Custom HITRUST Shared Responsibility Matrix per determinare i controlli HITRUST che i clienti AWS possono ereditare nella cornice del modello di responsabilità condivisa. I clienti devono fare riferimento alla pagina Web della guida per l’utente di MyCSF per sapere come avviare la richiesta di eredità.

5. In che modo stipulo un DPA (Data Processing Addendum, Aggiunta all'elaborazione dei dati) conforme al GDPR con AWS?

Non devi eseguire alcuna operazione per ottenere i vantaggi del DPA del RGPD. I termini del DPA del GDPR sono inclusi nei Termini del servizio AWS e dal 25 maggio 2018 il DPA del GDPR si applica automaticamente ai clienti le cui attività rientrano nell'ambito del GDPR. Per ulteriori informazioni sul DPA di AWS, fai riferimento a questo post del blog di AWS Security. Per ulteriori informazioni, visita il Centro GDPR.

6. A quali programmi regionali è conforme AWS?

Il programma per la conformità di AWS aiuta i clienti a conoscere i solidi sistemi di controllo messi in atto da AWS per proteggere il cloud e garantirne la conformità. Puoi scoprire a quali programmi regionali specifici (globali, Americhe, Asia Pacifico, Europa, Medio Oriente e Africa) AWS è conforme nella pagina web dei programmi di conformità AWS.

Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »