Domande generali

1. Qual è il modo migliore per compilare il questionario annuale di valutazione di AWS da venditore/fornitore?

Ove ti occorra assistenza nella compilazione di un questionario per documentare le posizioni di sicurezza e conformità AWS, AWS dispone di un approccio raccomandato, studiato per fornirti le risorse per rispondere alle tue domande su sicurezza e conformità nel contesto del cloud e del modello di business di AWS. Le risorse utilizzate più di frequente per i questionari sulla sicurezza e la conformità sono:

  • AWS Artifact - AWS Artifact è la risorsa centrale di riferimento per le informazioni importanti sulla conformità. Consente l'accesso on demand ai report di sicurezza e conformità di AWS e a una selezione di contratti online. Il report SOC 2 di AWS è particolarmente utile per completare il questionario, in quanto fornisce una descrizione completa dell'efficacia dell'implementazione e del funzionamento dei controlli di sicurezza di AWS. Un altro documento utile è Briefing esecutivo con il pacchetto di partner FedRAMP di AWS.
  • Questionario dell'Iniziativa di valutazione del consenso di CSA - Il Questionario dell'Iniziativa di valutazione del consenso di CSA fornisce un insieme di domande che CSA prevede domande che potrebbero essere poste al cliente cloud e/o all'entità di controllo dal fornitore del cloud. Fornisce una serie di domande su sicurezza, controllo e processi che possono poi essere usate per un'ampia gamma di utilizzi, incluse la selezione del fornitore del cloud e la valutazione della sicurezza. Questo documento contiene le risposte di AWS al questionario CSA.
  • Whitepaper su rischi e conformità AWS - Questo documento offre informazioni specifiche di AWS su domande generali di conformità del cloud computing. Presenta descrizioni dettagliate di tutte le certificazioni AWS, nonché programmi, rapporti e attestazioni di terzi. 
  • Pagina Web dei controlli dei data center di AWS - Molti questionari dispongono di un'intera sezione con domande relative alla sicurezza fisica dei data center. Questa pagina Web fornisce insight su alcuni dei controlli fisici e ambientali.
2. Quali servizi e caratteristiche AWS sono conformi ai comuni standard di conformità e sicurezza cloud?

Servizi AWS inclusi fornisce un elenco di servizi che sono valutati per essere conformi ai comuni standard di conformità. A meno che non siano espressamente identificate come escluse, le caratteristiche di ciascun servizio elencato sono considerate nell'ambito del programma di conformità e sono esaminate e testate nell'ambito della valutazione. Per le caratteristiche di un servizio AWS, consulta la Documentazione AWS

3. Posso essere conforme ai miei requisiti normativi su AWS?

AWS ha clienti in tutto il mondo e si adatta continuamente alle normative in evoluzione. Il Centro di conformità AWS offre un punto centrale per le ricerche sui requisiti normativi relativi al cloud e al modo in cui influiscono sul settore. Seleziona il paese di interesse e nel Centro di conformità AWS apparirà la posizione normativa del paese rispetto all'adozione dei servizi cloud.  

4. AWS dispone di subincaricati al trattamento dei dati?

AWS può incaricare le entità elencate sulla pagina Web dei subincaricati al trattamento dei dati di AWS di svolgere attività di elaborazione specifiche per conto del cliente o attività di gestione delle strutture dei data center. Questa pagina Web fornisce inoltre ai clienti l'opzione di registrarsi per la ricezione di notifiche via e-mail per le modifiche all'elenco dei subincaricati.

AWS informa anticipatamente i propri clienti di qualsiasi subappaltatore che ha accesso a contenuti di proprietà dei clienti caricati in AWS, inclusi i contenuti che potrebbero contenere informazioni personali. Non vi sono subappaltatori autorizzati da AWS per accedere ai contenuti di proprietà dei clienti caricati su AWS. Per monitorare l'accesso dei subappaltatori per tutto l'anno, fai riferimento alla pagina Web dell'accesso di terze parti di AWS

5. Puoi fornirmi le posizioni dei data center di AWS per la mia policy di continuità aziendale o di disaster recovery?

AWS mantiene la massima riservatezza sulle posizioni dei data center per salvaguardare la sicurezza e la privacy dei dati dei clienti. Le posizioni sono rivelate solo ai dipendenti e ai professionisti AWS che hanno una necessità aziendale comprovata per essere in struttura.

I clienti possono valutare la sicurezza e la resilienza dell'infrastruttura fisica AWS considerando tutti i controlli di sicurezza che AWS adotta per i propri data center. Per supportare i clienti nella valutazione dei rischi legati ai data center di AWS, quest'ultima dispone della pagina Web dei controlli dei data center di AWS e del report SOC 2 di AWS disponibile in AWS Artifact

6. Quali fattori sono importanti da valutare per il cliente come parte del proprio piano di disaster recovery?

I clienti che valutano AWS come parte del piano di disaster recovery devono innanzitutto identificare i propri obiettivi di resilienza e considerare qualsiasi requisito normativo applicabile per la resilienza e il disaster recovery. I clienti possono quindi progettare il proprio ambiente AWS per soddisfare i requisiti di resilienza e normativi. Ad esempio per mitigare i rischi ambientali, i clienti possono progettare i propri carichi di lavoro AWS per sfruttare le zone di disponibilità e le Regioni fisicamente separate per raggiungere i propri obiettivi. I clienti con requisiti di elevata disponibilità spesso utilizzano più Regioni per le applicazioni critiche. Ulteriori informazioni sulla pagina Web di disaster recovery di AWS, la pagina Web dei controlli dei data center di AWS e all'interno del report SOC 2 di AWS disponibile in AWS Artifact.

Report di conformità

1. Dove posso scaricare i report di conformità AWS, tipo report SOC o PCI?

AWS Artifact offre diversi report di conformità rilasciati da entità di controllo di terze parti, che hanno testato e verificato la conformità in base a una serie di standard e normative di sicurezza globali, regionali e specifici di settore. Quando vengono rilasciati nuovi report, questi vengono resi disponibili per il download ai clienti in AWS Artifact. Per ulteriori informazioni, consulta la pagina Domande frequenti sui report di conformità. Puoi accedere ad AWS Artifact direttamente dalla Console di gestione AWS.

2. Dove posso trovare una "bridge letter" per i report SOC 1 e SOC 2 di AWS?

In base alla copertura annuale di AWS all'interno dei cicli di report SOC 1 e SOC 2, pubblichiamo una "SOC Continued Operations Letter" piuttosto che una "bridge letter" o "gap letter". Questo documento può essere scaricato utilizzando AWS Artifact dalla Console di gestione AWS.

3. I report SOC di AWS scadono alla fine del periodo di report?

No. Gli audit SOC vengono eseguiti per un periodo di tempo. Al termine dell'audit, il report viene preparato e reso disponibile ai clienti in 6-8 settimane. AWS rilascia due report SOC 1 e SOC 2 all'anno, ciascuno dei quali copre un periodo di 6 mesi; il primo report copre dal 1° ottobre al 31 marzo, il secondo dal 1° aprile al 30 settembre. Sono molti i fattori che contribuiscono alla data di rilascio del report, ma noi consideriamo inizio maggio e inizio novembre di ogni anno per rilasciarli. Quando vengono rilasciati nuovi report SOC, questi vengono resi disponibili per il download ai clienti in AWS Artifact.

4. In che modo il mio utente finale ottiene una copia dei report SOC 1 e SOC 2 di AWS?

AWS è lieto di fornire ai clienti una copia del report SOC 1 e SOC 2; tuttavia, richiediamo che il presunto utente del report stipuli un accordo di riservatezza (NDA) direttamente con AWS. Per supportare meglio i nostri clienti, consigliamo che utilizzino la guida Nozioni di base su AWS Artifact per effettuare il download dei report di conformità richiesti.

Se il cliente non vuole stipulare un NDA con AWS, pubblichiamo il report SOC 3 di AWS sulla nostra pagina Web di conformità SOC. Il report SOC 3 è un riassunto del report SOC 2 di AWS: assicura, inclusa l'opinione dell'entità di controllo esterna, che AWS mantenga il funzionamento effettivo dei controlli in base ai criteri definiti nell'accordo AICPA’s Trust Services Principles.

Programmi per la conformità

1. AWS ha la certificazione HIPAA?

Non è previsto alcun tipo di certificazione HIPAA per i provider di servizi cloud (CSP) come AWS. Per soddisfare i requisiti HIPAA applicabili al nostro modello operativo, AWS ha allineato il proprio programma di gestione del rischio HIPAA con FedRAMP e NIST 800-53, che sono standard di sicurezza superiori che fanno riferimento alla normativa di sicurezza HIPAA. NIST supporta questo allineamento e ha rilasciato la SP 800-66, una guida introduttiva per l'implementazione della normativa di sicurezza HIPAA, per documentare come NIST 800-53 si allinei alla normativa di sicurezza HIPAA. Fai riferimento alla pagina Web della normativa HIPAA di AWS per ulteriori informazioni sulla conformità HIPAA su AWS.

2. AWS firmerà un BAA (Business Associate Addendum, Addendum al contratto di società in affari) secondo quanto descritto nella normativa e nelle disposizioni HIPAA?

Sì. AWS dispone di un BAA standard che stipuliamo con i clienti. Tiene conto dei servizi unici forniti da AWS e impiega il modello di responsabilità condivisa di AWS.

Per rivedere, accettare e gestire lo stato del BAA per il tuo account o per tutti gli account che fanno parte dell'organizzazione in AWS Organizations, accedi ad AWS Artifact dalla Console di gestione AWS.

3. Cosa significa essere idoneo alla normativa HIPAA per un servizio AWS?

AWS segue un programma di gestione del rischio basato su standard, per garantire la conformità ai processi previsti dalla normativa HIPAA in fatto di sicurezza, controlli e amministrazione. I clienti potranno impiegare tutti i servizi AWS all'interno dell'account designato per l'uso secondo la normativa HIPAA, ma potranno elaborare, immagazzinare e trasmettere informazioni sanitarie protette solamente nell'ambito dei servizi idonei secondo la normativa HIPAA. Fai riferimento alle seguenti risorse AWS per ulteriori informazioni sulla conformità HIPAA su AWS:

4. In che modo divento conforme a HITRUST su AWS?

AWS offre un'ampia gamma di certificazioni e attestazioni nell'ambito dei programmi di conformità da tutto il mondo. Puoi sfruttare queste certificazioni e attestazioni per soddisfare ulteriori programmi di conformità, come l'HITRUST Common Security Framework o programmi offerti dall'Electronic Healthcare Network Accreditation Commission (EHNAC). Puoi anche lavorare con uno dei nostri partner che si specializza nella conformità della sanità.

5. In che modo stipulo un DPA (Data Processing Addendum, Aggiunta all'elaborazione dei dati) conforme al GDPR con AWS?

Non devi eseguire alcuna operazione per ottenere i vantaggi del DPA del DGPR. Le condizioni del DPA del GDPR sono incluse nei termini del servizio AWS e dal 25 maggio 2018 il DPA del GDPR si applica automaticamente ai clienti le cui attività rientrano nell'ambito del GDPR. Per ulteriori informazioni sul DPA di AWS fai riferimento a questo post di blog di AWS Security.

6. AWS è certificato ai fini dello Scudo UE-USA per la privacy?

Sì, AWS ha ottenuto la certificazione ai fini dello Scudo UE-USA per la privacy. Puoi visualizzare la certificazione di AWS qui. Sebbene la Corte di giustizia dell'Unione Europea nel luglio 2020 abbia pubblicato una sentenza in cui dichiara "non valida" la decisione della Commissione europea 2016/1250 (in merito all'adeguatezza della protezione fornita dallo Scudo UE-USA per la privacy), la delibera non solleva le parti coinvolte nello Scudo UE-USA per la privacy dalle rispettive obbligazioni previste dal quadro.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »