Domande generali

1. Qual è il modo migliore per compilare il questionario annuale di valutazione di AWS da venditore/fornitore?

Ove ti occorra assistenza nella compilazione di un questionario per documentare le posizioni di sicurezza e conformità AWS, AWS dispone di un approccio raccomandato, studiato per fornirti le risorse per rispondere alle tue domande su sicurezza e conformità nel contesto del cloud e del modello di business di AWS. Le risorse utilizzate più di frequente per i questionari sulla sicurezza e la conformità sono:

  • AWS Artifact - AWS Artifact è la risorsa centrale di riferimento per le informazioni importanti sulla conformità. Consente l'accesso on demand ai report di sicurezza e conformità di AWS e a una selezione di accordi online. I report disponibili in AWS Artifact includono i nostri report SOC (Service Organization Control), l'attestazione di conformità PCI (Payment Card Industry) e le certificazioni di organismi di accreditamento in aree geografiche e verticali di conformità che convalidano l'implementazione e l'efficacia operativa dei controlli di sicurezza AWS. I contratti disponibili in AWS Artifact includono il Business Associate Addendum (BAA) e l'accordo di non divulgazione (NDA).
  • Pagina Web dei programmi per la conformità di AWS - I programmi di conformità AWS aiutano i clienti a comprendere i solidi controlli in atto in AWS per mantenere la sicurezza e la conformità nel cloud.
  • Pagina Web dei controlli dei data center di AWS - Molti questionari dispongono di un'intera sezione con domande relative alla sicurezza fisica dei data center. Questa pagina Web fornisce informazioni dettagliate su alcuni dei nostri controlli fisici e ambientali.
  • Whitepaper su rischi e conformità AWS - Questo documento offre informazioni specifiche di AWS su domande generali di conformità del cloud computing.
  • Questionario dell'Iniziativa di valutazione del consenso di CSA - Il CSA Consensus Assessments Initiative Questionnaire fornisce una serie di domande che CSA prevede che un consumatore di cloud e/o un'entità di controllo farebbe a un provider di cloud. Fornisce una serie di domande su sicurezza, controllo e processi che possono poi essere usate per un'ampia gamma di utilizzi, incluse la selezione del fornitore del cloud e la valutazione della sicurezza. Questo documento contiene le risposte di AWS al questionario CSA.
  • Questionario SIG - Il questionario SIG (Standardized Information Gathering) è pensato per i clienti che utilizzano strumenti di valutazione condivisi del questionario SIG per standardizzare il processo per la valutazione dei rischi di terze parti. AWS ha completato il questionario con risposte dettagliate per assistere i clienti AWS nelle loro procedure di due diligence in AWS Cloud. Il questionario SIG è disponibile su AWS Artifact.
2. Quali servizi AWS sono conformi ai comuni standard di conformità e sicurezza cloud?

La pagina Web dei servizi AWS inclusi fornisce un elenco di servizi che sono valutati per essere conformi ai comuni standard di conformità.

3. AWS dispone di subincaricati?

AWS può incaricare le entità elencate sulla pagina Web dei subincaricati al trattamento dei dati di AWS di svolgere attività di elaborazione specifiche per conto del cliente o attività di gestione delle strutture dei data center. Questa pagina Web fornisce, inoltre, ai clienti l'opzione di registrarsi per la ricezione di notifiche via e-mail per le modifiche all'elenco dei subincaricati.

4. Puoi fornirmi le posizioni dei data center di AWS per la mia policy di continuità aziendale o di ripristino di emergenza?

AWS mantiene la massima riservatezza sulle posizioni dei data center per salvaguardare la sicurezza e la privacy dei dati dei clienti. La convenzione sulle denominazioni per le nostre Regioni AWS rimanda all’area geografica della zona di disponibilità e dei data center che servono quella regione. Ulteriori informazioni riguardanti la posizione generale dei data center sono contenute nei nostri report PCI-DSS disponibili su AWS Artifact. Per ulteriori informazioni, visita la nostra pagina Web Infrastruttura Globale AWS.

5. Come posso valutare la sicurezza e la resilienza dei data center AWS?

I clienti possono valutare la sicurezza e la resilienza dell'infrastruttura fisica AWS considerando tutti i controlli di sicurezza che AWS adotta per i propri data center. Per aiutare i clienti a comprendere meglio i nostri controlli relativi alla sicurezza fisica e alla resilienza, un revisore indipendente e competente convalida la presenza e lo svolgimento dei controlli come parte del nostro report SOC 2 di tipo II, disponibile su AWS Artifact. Questa misura di convalida da parte di terzi è ampiamente accettata e fornisce ai clienti una garanzia dell’efficacia dei controlli in essere. Inoltre, la revisione indipendente della sicurezza fisica dei data center è parte dei programmi di conformità ISO 27001, PCI, ITAR e FedRAMP.

6. AWS consente al cliente di visitare in presenza i data center?
No. Poiché i nostri data center ospitano più clienti, AWS non permette ai clienti di visitarli, dato che ciò esporrebbe un elevato numero di clienti ad accessi fisici da parte di terzi. Tuttavia, i clienti e il pubblico possono fare una visita virtuale di un data center AWS sul nostro sito per comprenderne meglio l’infrastruttura e i controlli.
7. Quali fattori sono importanti da valutare per il cliente come parte del proprio piano di ripristino di emergenza?

I clienti che valutano AWS come parte del piano di ripristino di emergenza devono innanzitutto identificare i propri obiettivi di resilienza e considerare qualsiasi requisito normativo applicabile per la resilienza e il ripristino di emergenza. I clienti possono quindi progettare il proprio ambiente AWS per soddisfare i requisiti di resilienza e normativi. Ad esempio, per mitigare i rischi ambientali, i clienti possono progettare i propri carichi di lavoro AWS per sfruttare le zone di disponibilità e le Regioni fisicamente separate per raggiungere i propri obiettivi. Nel pianificare la propria continuità aziendale e il ripristino di emergenza, i clienti AWS dovrebbero seguire le best practice contenute nel pilastro di affidabilità dell’ AWS Well Architected Framework.

Report di conformità

1. Da dove posso scaricare i report di conformità di AWS, come il report SOC, l’attestato di conformità PCI o il questionario SIG?

AWS Artifact offre diversi report di conformità rilasciati da revisori di terze parti che hanno testato e verificato la conformità in base a una serie di standard e normative di sicurezza globali, regionali e specifici di settore. Quando vengono rilasciati nuovi report, questi vengono resi disponibili per il download ai clienti in AWS Artifact. Per ulteriori informazioni, consulta la pagina Domande frequenti sui report di conformità. Puoi accedere ad AWS Artifact direttamente dalla Console di gestione AWS.

2. Dove posso trovare una "bridge letter" per i report SOC 1 e SOC 2 di AWS?

In base alla copertura annuale di AWS all'interno dei cicli di report SOC 1 e SOC 2, pubblichiamo una "SOC Continued Operations Letter" piuttosto che una "bridge letter" o "gap letter". Questo documento può essere scaricato utilizzando AWS Artifact dalla Console di gestione AWS.

3. I report SOC di AWS scadono alla fine del periodo di report?

No. Gli audit SOC vengono eseguiti per un periodo di tempo. Al termine dell'audit, il report viene preparato e reso disponibile ai clienti in 6-8 settimane. AWS rilascia due report SOC1 e SOC2 all'anno, ciascuno dei quali copre un periodo di 6 mesi; il primo report copre dal 1° ottobre al 31 marzo, il secondo dal 1° aprile al 30 settembre. Sono molti i fattori che contribuiscono alla data di rilascio del report, ma noi consideriamo inizio maggio e inizio novembre di ogni anno per rilasciarli. Quando vengono rilasciati nuovi report SOC, questi vengono resi disponibili per il download ai clienti in AWS Artifact.

4. In che modo il mio cliente finale ottiene una copia dei report SOC 1 e SOC 2 di AWS?

AWS è lieto di fornire al tuo cliente una copia del nostro report SOC 1 o SOC 2. Per supportare meglio i tuoi clienti, consigliamo loro di utilizzare la guida Nozioni di base su AWS Artifact per effettuare il download dei report SOC 1 o SOC 2 attraverso il loro account AWS. La creazione di un account non prevede alcun costo. Una volta effettuato l'accesso all'account, i tuoi clienti possono accedere ai report disponibili nella console AWS navigando alla sezione Artifact in Sicurezza, identità e conformità.

In alternativa, puoi scaricare i report di conformità AWS da AWS Artifact e condividerli con i tuoi clienti, se consentito dai termini e dalle condizioni applicabili allo specifico report di conformità AWS. Fai riferimento ai termini e alle condizioni applicabili nella prima pagina del report di conformità AWS scaricato da AWS Artifact per verificare se la condivisione di tale report è consentita o meno.

Inoltre, pubblichiamo il report SOC 3 di AWS sulla nostra pagina Web relativa alla conformità SOC. Il report SOC 3 è un riassunto del report SOC 2 di AWS: assicura, includendo l'opinione dell'entità di controllo esterna, che AWS mantenga il funzionamento effettivo dei controlli in base ai criteri definiti nell'accordo AICPA Trust Services Principles.

Programmi per la conformità

1. AWS ha la certificazione HIPAA?

Non è previsto alcun tipo di certificazione HIPAA per i provider di servizi cloud (CSP) come AWS. Tuttavia, AWS allinea il suo programma di gestione del rischio HIPAA a FedRAMP, NIST 800-30 e NIST 800-53, che sono standard di sicurezza associati alla normativa di sicurezza HIPAA. NIST supporta questo allineamento e ha rilasciato la SP 800-66 Rev.1, una guida introduttiva per l'implementazione della normativa di sicurezza HIPAA, per documentare come NIST 800-53 si allinei alla normativa di sicurezza HIPAA. Fai riferimento alla pagina Web della normativa HIPAA di AWS per ulteriori informazioni sulla conformità HIPAA su AWS.

2. AWS firmerà un BAA (Business Associate Addendum, Addendum al contratto di società in affari) secondo quanto descritto nella normativa e nelle disposizioni HIPAA?

Sì. AWS dispone di un BAA standard che stipuliamo con i clienti. Tiene conto dei servizi unici forniti da AWS e impiega il modello di responsabilità condivisa di AWS.

Per rivedere, accettare e gestire lo stato del BAA per il tuo account o per tutti gli account che fanno parte dell'organizzazione in AWS Organizations, accedi ad AWS Artifact dalla Console di gestione AWS.

3. Cosa significa essere idoneo alla normativa HIPAA per un servizio AWS?

AWS segue un programma di gestione del rischio basato su standard, per garantire la conformità ai processi previsti dalla normativa HIPAA in fatto di sicurezza, controlli e amministrazione. I clienti potranno impiegare tutti i servizi AWS all'interno dell'account designato per l'uso secondo la normativa HIPAA, ma potranno elaborare, immagazzinare e trasmettere informazioni sanitarie protette solamente nell'ambito dei servizi idonei secondo la normativa HIPAA. Fai riferimento alle seguenti risorse AWS per ulteriori informazioni sulla conformità HIPAA su AWS:

4. In che modo divento conforme a HITRUST su AWS?

I clienti possono provare a sfruttare la certificazione AWS HITRUST CSF dei servizi AWS in supporto alla propria certificazione HITRUST CSF. Per l'elenco più recente dei servizi AWS certificati HITRUST CSF, consulta la pagina Web Servizi AWS inclusi nei programmi di conformità. I clienti AWS possono ereditare la certificazione AWS HITRUST CSF a condizione che usufruiscano esclusivamente dei servizi contemplati e applichino i controlli specificati sul sito Web di HITRUST Alliance. I clienti possono scaricare la risorsa AWS Custom HITRUST Shared Responsibility Matrix per determinare i controlli HITRUST che i clienti AWS possono ereditare nella cornice del modello di responsabilità condivisa. I clienti devono fare riferimento alla pagina Web della guida per l’utente di MyCSF per sapere come avviare la richiesta di eredità.

5. In che modo stipulo un DPA (Data Processing Addendum, Aggiunta all'elaborazione dei dati) conforme al GDPR con AWS?

Non devi eseguire alcuna operazione per ottenere i vantaggi del DPA del RGPD. Le condizioni del DPA del GDPR sono incluse nei termini del servizio AWS e dal 25 maggio 2018 il DPA del GDPR si applica automaticamente ai clienti le cui attività rientrano nell'ambito del GDPR. Per ulteriori informazioni sul DPA di AWS, fai riferimento a questo post del blog di AWS Security. Per ulteriori informazioni, visita il centro GDPR.

6. AWS è certificato ai fini dello Scudo UE-USA per la privacy?

Sì, AWS ha ottenuto la certificazione ai fini dello Scudo UE-USA per la privacy. Puoi visualizzare la certificazione AWS qui. Sebbene la Corte di giustizia dell'Unione Europea nel luglio 2020 abbia pubblicato una sentenza in cui dichiara "non valida" la decisione 2016/1250 della Commissione europea (in merito all'adeguatezza della protezione fornita dallo Scudo UE-USA per la privacy), la delibera non solleva le parti coinvolte nello Scudo UE-USA per la privacy dalle rispettive obbligazioni previste dal framework.

Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »