MPA e sicurezza negli studi di produzione

Panoramica

La Motion Picture Association (MPA) ha stabilito una serie di best practice per l'archiviazione, l'elaborazione e la distribuzione sicure di contenuti multimediali protetti. Le aziende che producono contenuti multimediali usano queste best practice per valutare il rischio e la sicurezza dei loro contenuti e della loro infrastruttura. La MPA e la Content Delivery & Security Association (CDSA) hanno collaborato alla creazione di una partnership denominata Trusted Partner Network (TPN). Il programma TPN punta ad accrescere la consapevolezza, la preparazione e le funzionalità all'interno del settore media e intrattenimento. AWS continua a monitorare e contribuire ai benchmark di sicurezza dei contenuti del TPN.

AWS offre inoltre una Guida per terze parti alla protezione avanzata per la gestione degli asset multimediali, la gestione degli asset digitali e VFX/rendering, disponibile tramite AWS Artifact.

  • Best practice

    Assicurare la supervisione della direzione aziendale/dei proprietari della funzione Information Security ordinando revisioni periodiche del programma di sicurezza dei dati e dei risultati della valutazione dei rischi.

    Implementazione AWS

    L'ambiente di controllo in Amazon comincia ai livelli più alti dell'azienda. Le leadership esecutiva e di livello senior gioca un ruolo importante nello stabilire i toni dell'azienda e i suoi valori fondamentali. AWS ha stabilito un quadro e delle politiche di sicurezza dei dati basati sullo standard System & Organization Control (SOC), integrando in modo efficace il quadro certificabile ISO 27001 basato sui controlli ISO 27002, PCI DSS v3.2 e la Pubblicazione 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems) del National Institute of Standards and Technology (NIST). I dipendenti AWS completano periodicamente un percorso formativo che comprende anche la sicurezza AWS. I controlli di conformità sono eseguiti in modo che i dipendenti comprendano e seguano le policy stabilite.

  • Best practice

    Sviluppare un processo di valutazione dei rischi per la sicurezza formalizzato incentrato sui flussi di lavoro dei contenuti e sugli asset sensibili, allo scopo di identificare e dare priorità ai rischi di furto o fuoriuscita di contenuti rilevanti per la struttura.

    Implementazione AWS

    AWS ha implementato una policy di valutazione dei rischi documentata e formale, che viene aggiornata e revisionata almeno una volta l'anno. Questa policy di valutazione si occupa di scopi, obiettivi, ruoli, responsabilità e impegno di gestione.

    In linea con questa policy, il team AWS Compliance conduce una valutazione dei rischi annuale che copre tutte le regioni e le attività di AWS, rivista dal responsabile di gestione di AWS. Ciò avviene oltre alla Certificazione, all'attestazione e alle relazioni condotte dai revisori contabili indipendenti. Lo scopo della valutazione dei rischi è quello di identificare minacce e vulnerabilità di AWS, assegnare loro un valore di rischio, documentare formalmente la valutazione e creare un piano di gestione dei rischi per affrontarne i relativi problemi. I risultati della valutazione dei rischi sono rivisti regolarmente dal senior management AWS e quando un cambiamento importante giustifica una nuova valutazione dei rischi prima della normale scadenza annuale.

    I clienti mantengono la proprietà dei loro dati (contenuti) e sono responsabili di valutare e gestire i rischi associati ai relativi flussi di lavoro in modo da soddisfare le proprie esigenze di conformità.

    Il framework di gestione del rischio di AWS è ispezionato da revisori indipendenti esterni durante la verifica della conformità SOC, PCI DSS, ISO 27001 e FedRAMP di AWS.

  • Best practice

    Identificare i punti chiave di contatto per la sicurezza e definire formalmente i ruoli e le responsabilità per la protezione dei contenuti e degli asset.

    Implementazione AWS

    AWS vanta un'organizzazione per la sicurezza delle informazioni assodata, gestita dal team di sicurezza di AWS e guidata dal Chief Information Security Officer (CISO) di AWS. AWS mantiene e gestisce la formazione per la sensibilizzazione alla sicurezza per tutti gli utenti del sistema di dati all'interno di AWS. La formazione per la sensibilizzazione alla sicurezza annuale comprende i seguenti argomenti: l'obiettivo della formazione per la sensibilizzazione alla sicurezza, la posizione di tutte le policy AWS, le procedure di risposta agli incidenti di AWS (comprese le istruzioni su come fare rapporto sugli incidenti di sicurezza interni ed esterni).

    I sistemi all'interno di AWS sono ampiamente equipaggiati per monitorare i parametri chiave operativi e di sicurezza. Gli allarmi sono configurati per notificare automaticamente le operazioni e la gestione del personale, quando vengono superate le soglie di avvertimento iniziale sui parametri chiave. Quando viene superata una soglia, viene avviato il processo di risposta agli incidenti di AWS. Il team di risposta agli incidenti di Amazon impiega procedure diagnostiche standard del settore per trovare una soluzione nel corso degli eventi a impatto aziendale. Lo staff opera una copertura continua per identificare gli incidenti e trovare una soluzione immediata.

    I ruoli e le responsabilità di AWS sono ispezionati da revisori indipendenti esterni durante le verifiche per la conformità SOC, PCI DSS, ISO 27001 e FedRAMP di AWS.

  • Best practice

    Stabilire policy e procedure in merito alla sicurezza degli asset e dei contenuti. Le policy devono affrontare almeno i seguenti argomenti fondamentali:
    • Policy delle risorse umane
    • Uso accettabile (ad es. social network, Internet, telefono, ecc.)
    • Classificazione degli asset
    • Policy di gestione degli asset
    • Dispositivi di registrazione digitali (ad es. smartphone, fotocamere digitali, videocamere)
    • Policy sulle eccezioni (ad es. il processo di documentazione sulle deviazioni dalla policy)
    • Controlli della password (ad es. lunghezza minima della password, screensaver)
    • Proibizione della rimozione dell'asset del client dalla struttura
    • Gestione dei cambiamenti di sistema
    • Policy sul whistleblowing
    • Policy sulle sanzioni (ad es. provvedimenti disciplinari)

    Implementazione AWS

    AWS ha stabilito un quadro e delle politiche di sicurezza dei dati basati sullo standard System & Organization Control (SOC), integrando in modo efficace il quadro certificabile ISO 27001 basato sui controlli ISO 27002, PCI DSS v3.2 e la Pubblicazione 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems) del National Institute of Standards and Technology (NIST).

    AWS mantiene e gestisce la formazione per la sensibilizzazione alla sicurezza per tutti gli utenti del sistema di dati all'interno di AWS. La formazione per la sensibilizzazione alla sicurezza annuale comprende i seguenti argomenti: l'obiettivo della formazione per la sensibilizzazione alla sicurezza, la posizione di tutte le policy AWS, le procedure di risposta agli incidenti di AWS (comprese le istruzioni su come fare rapporto sugli incidenti di sicurezza interni ed esterni).

    Le policy, le procedure e i programmi di formazione pertinenti di AWS sono revisionati da revisori indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMP di AWS.

  • Best practice

    Stabilire un piano formale di risposta agli incidenti che descriva le operazioni da intraprendere qualora venisse rilevato e riportato un incidente sulla sicurezza.

    Implementazione AWS

    AWS ha implementato una policy e un programma di risposta agli incidenti formali e documentati. Questa policy si occupa di scopi, obiettivi, ruoli, responsabilità e impegno di gestione.

    AWS utilizza un approccio a tre fasi per gestire gli incidenti:

    1. Fase di attivazione e notifica: gli incidenti secondo AWS cominciano con il rilevamento di un evento, che può essere collegato a diverse origini, come:

    a. Parametri e allarmi – AWS mantiene una capacità di sensibilizzazione situazionale eccezionale, la maggior parte dei problemi vengono rilevati rapidamente da un monitoraggio e un sistema di allarme continui dei parametri e dei pannelli di controllo del servizio in tempo reale. La maggior parte degli incidenti viene rilevata in questo modo. AWS utilizza indicatori di allarme iniziali per identificare in modo preventivo problemi che potrebbero in seguito avere un impatto sui clienti.
    b. Una segnalazione di un problema inserita da un dipendente AWS.
    c. Chiamate alla linea diretta per il supporto tecnico 24 ore su 24, 7 giorni su 7.

    Se l'evento soddisfa i criteri dell'incidente, il tecnico del supporto reperibile avvierà una collaborazione attraverso gli strumenti di gestione degli eventi di AWS per informare chi è tenuto a risolvere il problema. I resolver eseguiranno un'analisi dell'incidente per determinare se è il caso di convocare altri resolver e per determinare la potenziale causa principale.

    2. Fase di ripristino – I resolver implicati eseguiranno un servizio di riparazione dei guasti per risolvere l'incidente. Una volta risolto il problema, eseguita la riparazione e individuate le componenti danneggiate, il call leader assegnerà gli step successivi in termini di documentazione e operazioni di follow-up e terminerà la chiamata di collaborazione.

    3. Fase di ricostituzione – Una volta che il servizio di riparazione attinente è completato il call leader dichiarerà la fase di ripristino completata. L'analisi approfondita e a posteriori della causa principale dell'incidente sarà assegnata al team appropriato. I risultati dell'analisi a posteriori saranno revisionati dai relativi responsabili di gestione e le operazioni intraprese quali modifiche alla progettazione ecc. saranno salvate nel documento COE (Correction of Errors, Correzione degli errori+++) e monitorate fino al completamento.

    Oltre ai sistemi di comunicazione interna sopra descritti, AWS ha implementato diversi metodi di comunicazione esterna a supporto dei suoi clienti e della community. Tutto questo per permettere al team di supporto al cliente di ricevere una notifica riguardo i problemi operativi che influenzano l'esperienza del cliente. È disponibile un "Pannello di controllo stato servizi" gestito dal team di supporto al cliente in grado di avvisare i clienti in merito a qualsiasi problema che potrebbe avere un forte impatto.

    Programma di gestione degli incidenti di AWS revisionato da revisori indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMP di AWS.

    La documentazione del flusso di lavoro dei contenuti (dati) è sotto la responsabilità dei clienti di AWS, poiché i clienti mantengono la proprietà e il controllo dei propri sistemi operativi guest, dei software, delle applicazioni e dei dati.

  • Best practice

    Eseguire accertamenti sui precedenti penali su tutto il personale dell'azienda e sui collaboratori esterni.

    Implementazione AWS

    AWS conduce accertamenti sui precedenti penali, come previsto dalla legge applicabile, come parte delle procedure di selezione di preimpiego per i dipendenti, commisurati alla posizione e al grado di accesso alle strutture di AWS del dipendente.

    Il programma degli accertamenti sui precedenti penali di AWS è revisionato da revisori indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMP di AWS.

  • Best practice

    Richiedere a tutto il personale dell'azienda e ai collaboratori esterni di firmare un accordo di riservatezza (ovvero, di non divulgazione) al momento dell'assunzione e successivamente su base annuale, che includa i requisiti per la gestione e la protezione dei contenuti.

    Implementazione AWS

    Il consulente legale di Amazon gestisce e revisiona periodicamente gli accordi di riservatezza (NDA) per rispecchiare le esigenze aziendali di AWS.

    L'uso degli accordi di riservatezza (NDA) da parte di AWS viene esaminato da revisori indipendenti esterni durante la verifica per la compatibilità ISO 27001 and FedRAMP di AWS.

  • Best practice

    Registrare e controllare l'accesso elettronico alle zone ad accesso ristretto in caso di eventi sospetti.

    Implementazione AWS

    L'accesso fisico è controllato sia sul perimetro che sui punti di ingresso all'edificio da uno staff di sicurezza professionale che utilizza videosorveglianza, sistemi di rilevamento intrusioni e altri mezzi elettronici.

    Tutti gli ingressi ai data center di AWS, compresi gli ingressi principali, la banchina di carico, le porte/i portelli del tetto, sono controllati con dispositivi di rilevamento di intrusioni che generano allarmi sonori avvisando anche il sistema di monitoraggio della sicurezza fisico centralizzato di AWS nel caso si verifichi l'apertura forzata di una porta o venga lasciata aperta.

    Oltre ai sistemi elettronici, i data center di AWS godono della protezione continua di guardie di sicurezza qualificate, situate all'interno e intorno all'edificio. Tutti gli allarmi vengono esaminati da una guardia di sicurezza e la causa principale di tutti gli incidenti viene documentata. Tutti gli allarmi sono impostati per intensificarsi automaticamente nel caso in cui non soggiunga una risposta entro i termini SLA (Service Level Agreement, Contratto sul livello di servizio).

    I punti di accesso fisici alle sedi dei server sono filmati da telecamere a circuito chiuso (CCTV) come definito nel Data Center Physical Security Policy di AWS. Le immagini vengono conservate per 90 giorni, salvo tale limite non sia limitato a 30 giorni dagli obblighi giuridici o contrattuali.

    I meccanismi di sicurezza fisica di AWS sono esaminati da revisori indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMP di AWS.

  • Best practice

    Implementare un sistema di gestione degli asset dei contenuti per fornire una tracciabilità dettagliata degli asset fisici (ovvero, client e creati di recente).

    Implementazione AWS

    La gestione dell'asset dei contenuti è di proprietà dei clienti AWS, così come l'implementazione e il funzionamento. È responsabilità dei clienti implementare la tracciabilità dell'inventario dei loro asset fisici.

    Per gli ambienti data center di AWS, tutti i nuovi componenti del sistema di dati, che comprendono, a titolo non esaustivo, server, scaffali, dispositivi di rete, hard drive, componenti hardware di sistema e materiali di costruzione spediti a e ricevuti dai data center, richiedono l'autorizzazione preventiva da parte del responsabile del data center e la notifica allo stesso. Gli articoli vengono consegnati alla banchina di carico di ciascun data center di AWS, vengono ispezionati per evitare la presenza di danni o alterazioni dell'imballaggio e accettati dietro firma da un impiegato a tempo pieno di AWS. All'arrivo della spedizione, gli articoli vengono esaminati e registrati all'interno del sistema di gestione degli asset di AWS e del sistema di tracciabilità dell'inventario del dispositivo.

    Gli articoli, una volta ricevuti, vengono portati nel magazzino delle attrezzature all'interno del data center; per entrarvi sono necessari badge e PIN. Prima dell'autorizzazione a uscire dal data center, gli articoli vengono esaminati, monitorati e sterilizzati.

    I processi e le procedure della gestione degli asset di AWS sono esaminati da revisori indipendenti esterni durante la verifica per la conformità PCI DSS, ISO 27001 e FedRAMP di AWS.

  • Best practice

    Vietare l'accesso a Internet su sistemi (desktop/server) che elaborano o archiviano contenuti digitali.

    Implementazione AWS

    I dispositivi di protezione di confine che impiegano serie di regole, ACL (access control lists, liste di controllo degli accessi) e configurazioni implementano il flusso di dati tra i fabric di rete. Tali dispositivi sono configurati in modalità deny-all e richiedono un firewall riconosciuto per consentire la connettività. Fare riferimento a DS-2.0 per ulteriori informazioni sulla gestione dei firewall di rete di AWS.

    Non vi è una funzione e-mail insita sugli asset di AWS e la porta 25 non è utilizzata. Un cliente (ad es. uno studio. una struttura di elaborazione dati ecc.) può utilizzare un sistema per fornire un host alla funzione e-mail, sebbene in tal caso sia responsabilità del cliente usare i livelli appropriati di protezione da spam e malware sui punti di ingresso e di uscita e-mail e aggiornare le definizioni spam e malware quando sono disponibili nuove versioni.

    Gli asset di Amazon (ad es. portatili) sono configurati con software antivirus che includono filtri e-mail e rilevamento malware.

    La gestione dei firewall di rete di AWS e il programma antivirus di Amazon sono esaminati da revisori indipendenti esterni come parte della conformità continua di AWS a SOC, PCI DSS, ISO 27001 e FedRAMP.

  • La maggior parte degli studi di produzione (come Disney o Marvel) dispone di requisiti di sicurezza propri, oltre a quelli di MPA, e impone che venga eseguita da revisori terzi un'ispezione degli ambienti on-premise o cloud dei fornitori di servizi e dei servizi a valore aggiunto. Un esempio è il burst rendering basato su cloud del contenuto VFX e di animazione per i titoli in anteprima.

    AWS ha fatto valutare la sua soluzione per l'ambiente di rendering VFX/di animazione a un revisore terzo, che ha anche redatto un modello di best practice per la sicurezza che riguardano i controlli di sicurezza di AWS, in base ai requisiti dei maggiori studi di produzione. È quindi possibile fare riferimento a questo modello per creare un ambiente di rendering VFX/di animazione su AWS approvato per gli studi di produzione.

    La Guida alla protezione avanzata della gestione di asset/media degli studi di produzione rilasciati in anteprima e i Controlli di sicurezza degli studi di produzione per VFX/rendering sono disponibili su AWS Artifact.

Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »