Desidero informazioni su MPAA nel cloud

La Motion Picture Association of America (MPAA) ha stabilito una serie di best practice per l'archiviazione, l'elaborazione e la distribuzione sicure di contenuti multimediali protetti http://www.mpaa.org/content-security-program. Le aziende che producono contenuti multimediali usano queste best practice per valutare il rischio e la sicurezza dei loro contenuti e della loro infrastruttura.

Finché la MPAA non offre una "certificazione", i clienti del settore multimediale possono usare la guida AWS MPAA, che illustra l'allineamento di AWS alle best practice della MPAA, per incrementare la valutazione dei rischi e dei contenuti MPAA di AWS.

Per ulteriori informazioni sulle soluzioni per i media digitali consultare il sito:

https://aws.amazon.com/digital-media/


AWS ha fornito un mezzo flessibile di estensione sicura per il nostro data center al cloud attraverso l'offerta del loro Virtual Private Cloud (VPC). Possiamo usare a nostro vantaggio policy/hardware e procedure esistenti per un ambiente di computing sicuro, scalabile e ottimale che richiede risorse minime per la gestione.

Theresa Miller Executive Vice President, Information Technology di LIONSGATE

Best practice
Assicurare la supervisione della direzione aziendale/dei proprietari della funzione Information Security ordinando revisioni periodiche del programma di sicurezza dei dati e dei risultati della valutazione dei rischi.
 
Implementazione AWS      
L'ambiente di controllo in Amazon comincia ai livelli più alti dell'azienda. Le leadership esecutiva e di livello senior gioca un ruolo importante nello stabilire i toni dell'azienda e i suoi valori fondamentali. AWS ha stabilito un framework e delle policy di sicurezza dei dati basati sul modello Control Objectives for Information and related Technology (COBIT) integrando in modo efficace il quadro certificabile ISO 27001 basato sui controlli ISO 27002, American Institute of Certified Public Accountants (AICPA)  Trust Services Principles, PCI DSS v3.1 e National Institute of Standards and Technology (NIST) Publication 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems). I dipendenti AWS completano periodicamente un percorso formativo che comprende anche la sicurezza AWS. I controlli di conformità sono eseguiti in modo che i dipendenti comprendano e seguano le policy stabilite.      
       
Best practice
     
Sviluppare un processo di valutazione dei rischi per la sicurezza formalizzato incentrato sui flussi di lavoro dei contenuti e sugli asset sensibili, allo scopo di identificare e dare priorità ai rischi di furto o fuoriuscita di contenuti rilevanti per la struttura.      
       
Implementazione AWS      
AWS ha implementato una policy di valutazione dei rischi documentata e formale, che viene aggiornata e revisionata almeno una volta l'anno. Questa policy di valutazione si occupa di scopi, obiettivi, ruoli, responsabilità e impegno di gestione.

In linea con questa policy, il team AWS Compliance conduce una valutazione dei rischi annuale che copre tutte le regioni e le attività di AWS, rivista dal responsabile di gestione di AWS. Ciò avviene oltre alla Certificazione, all'attestazione e alle relazioni condotte dai revisori contabili indipendenti. Lo scopo della valutazione dei rischi è quello di identificare minacce e vulnerabilità di AWS, assegnare loro un valore di rischio, documentare formalmente la valutazione e creare un piano di gestione dei rischi per affrontarne i relativi problemi. I risultati della valutazione dei rischi sono rivisti dal responsabile di gestione di AWS su base annuale e quando un cambiamento rilevante giustifica una nuova valutazione dei rischi straordinaria.

I clienti mantengono la proprietà dei propri dati (contenuti) e sono responsabili della valutazione e della gestione dei rischi associati ai flussi di lavoro dei loro dati per soddisfare le esigenze di conformità.

Il framework di gestione del rischio di AWS è rivisto dai revisori contabili indipendenti esterni durante la verifica della conformità SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
Best practice
Identificare i punti chiave di contatto e definire formalmente i ruoli e le responsabilità per la protezione dei contenuti e degli asset.
 
Implementazione AWS      
AWS vanta un'organizzazione per la sicurezza delle informazioni assodata, gestita dal team di sicurezza di AWS e guidata dal Chief Information Security Officer (CISO) di AWS. AWS mantiene e gestisce la formazione per la sensibilizzazione alla sicurezza per tutti gli utenti del sistema di dati all'interno di AWS. La formazione per la sensibilizzazione alla sicurezza annuale comprende i seguenti argomenti: l'obiettivo della formazione per la sensibilizzazione alla sicurezza, la posizione di tutte le policy AWS, le procedure di risposta agli incidenti di AWS (comprese le istruzioni su come fare rapporto sugli incidenti di sicurezza interni ed esterni).

I sistemi all'interno di AWS sono ampiamente equipaggiati per monitorare i parametri chiave operativi e di sicurezza. Gli allarmi sono configurati per notificare automaticamente le operazioni e la gestione del personale, quando vengono superate le soglie di avvertimento iniziale sui parametri chiave. Quando viene superata una soglia, viene avviato il processo di risposta agli incidenti di AWS.  Il team di risposta agli incidenti di Amazon impiega procedure diagnostiche standard del settore per trovare una soluzione nel corso degli eventi a impatto aziendale. Lo staff opera una copertura continua per identificare gli incidenti e trovare una soluzione immediata.

I ruoli e le responsabilità di AWS sono revisionati dai revisori contabili indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
Best practice      
Stabilire policy e procedure in merito alla sicurezza degli asset e dei contenuti. Le policy devono affrontare almeno i seguenti argomenti fondamentali:
• Policy delle risorse umane
• Uso accettabile (ad es. social network, Internet, telefono, ecc.)
• Classificazione degli asset
• Policy di gestione degli asset
• Dispositivi di registrazione digitali (ad es. smartphone, fotocamere digitali, videocamere)
• Policy sulle eccezioni (ad es. il processo di documentazione sulle deviazioni dalla policy)
• Controlli della password (ad es. lunghezza minima della password, screensaver)
• Proibizione della rimozione dell'asset del client dalla struttura
• Gestione dei cambiamenti di sistema
• Policy sul whistleblowing
• Policy sulle sanzioni (ad es. provvedimenti disciplinari)
     
       
Implementazione AWS      
AWS ha stabilito un framework e delle policy di sicurezza dei dati basati sul modello Control Objectives for Information and related Technology (COBIT) integrando in modo efficace il quadro certificabile ISO 27001 basato sui controlli ISO 27002, American Institute of Certified Public Accountants (AICPA)  Trust Services Principles, PCI DSS v3.0 e National Institute of Standards and Technology (NIST) Publication 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems).

AWS mantiene e gestisce la formazione per la sensibilizzazione alla sicurezza per tutti gli utenti del sistema di dati all'interno di AWS. La formazione per la sensibilizzazione alla sicurezza annuale comprende i seguenti argomenti: l'obiettivo della formazione per la sensibilizzazione alla sicurezza, la posizione di tutte le policy AWS, le procedure di risposta agli incidenti di AWS (comprese le istruzioni su come fare rapporto sugli incidenti di sicurezza interni ed esterni).

Le policy, le procedure e i programmi di formazione pertinenti di AWS sono revisionati dai revisori contabili indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
Best practice      
Stabilire un piano formale di risposta agli incidenti che descriva le operazioni da intraprendere qualora venisse rilevato e riportato un incidente sulla sicurezza.      
Implementazione AWS

AWS ha implementato una policy e un programma di risposta agli incidenti formali e documentati. Questa policy si occupa di scopi, obiettivi, ruoli, responsabilità e impegno di gestione.

AWS utilizza un approccio a tre fasi per gestire gli incidenti:
1. Fase di attivazione e notifica: gli incidenti secondo AWS cominciano con il rilevamento di un evento. Ciò può pervenire da diverse fonti quali:
a. Parametri e allarmi – AWS mantiene una capacità di sensibilizzazione situazionale eccezionale, la maggior parte dei problemi vengono rilevati rapidamente da un monitoraggio e un sistema di allarme continui dei parametri e dei pannelli di controllo del servizio in tempo reale. La maggior parte degli incidenti viene rilevata in questo modo. AWS utilizza indicatori di allarme iniziali per identificare in modo preventivo problemi che potrebbero in seguito avere un impatto sui clienti.
b. Una segnalazione di un problema inserita da un dipendente AWS.
c. Chiamate alla linea diretta per il supporto tecnico continuo.

Se l'evento soddisfa i relativi criteri, l'ingegnere di supporto reperibile, attraverso il sistema Event Management Tool di AWS, avvierà una collaborazione e convocherà i relativi resolver del programma attinente (ad es. il team di sicurezza). I resolver eseguiranno un'analisi dell'incidente per determinare se è il caso di convocare altri resolver e per determinare la potenziale causa principale.

2. Fase di ripristino – I resolver implicati eseguiranno un servizio di riparazione dei guasti per risolvere l'incidente. Una volta risolto il problema, eseguita la riparazione e individuate le componenti danneggiate, il call leader assegnerà gli step successivi in termini di documentazione e operazioni di follow-up e terminerà la chiamata di collaborazione.

3. Fase di ricostituzione – Una volta che il servizio di riparazione attinente è completato il call leader dichiarerà la fase di ripristino completata. L'analisi approfondita e a posteriori della causa principale dell'incidente sarà assegnata al team appropriato. I risultati dell'analisi a posteriori saranno revisionati dai relativi responsabili di gestione e le operazioni intraprese quali modifiche alla progettazione ecc. saranno salvate nel documento COE (Correction of Errors, Correzione degli errori) e monitorate fino al completamento.

Oltre ai sistemi di comunicazione interna sopra descritti, AWS ha implementato diversi metodi di comunicazione esterna a supporto dei suoi clienti e della community. Tutto questo per permettere al team di supporto al cliente di ricevere una notifica riguardo i problemi operativi che influenzano l'esperienza del cliente. È disponibile un "Pannello di controllo stato servizi" gestito dal team di supporto al cliente in grado di avvisare i clienti in merito a qualsiasi problema che potrebbe avere un forte impatto.


Programma di gestione degli incidenti di AWS revisionato dai revisori contabili indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMPsm.

La documentazione del flusso di lavoro dei contenuti (dati) è sotto la responsabilità dei clienti AWS, dal momento che i clienti mantengono la proprietà e il controllo dei propri sistemi operativi guest, dei software, delle applicazioni e dei dati.

Best practice      

Eseguire accertamenti sui precedenti penali su tutto il personale dell'azienda e sui collaboratori esterni.

     
       
Implementazione AWS      
AWS conduce accertamenti sui precedenti penali, come previsto dalla legge applicabile, quale parte delle procedure di selezione di preimpiego per i dipendenti, commisurate alla posizione e al grado di accesso alle strutture di AWS del dipendente.

Il programma sugli accertamenti sui precedenti penali di AWS è revisionato dai revisori contabili indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
Best practice      
Richiedere a tutto il personale dell'azienda e ai collaboratori esterni di firmare un accordo di riservatezza (ad es. di non divulgazione) al momento dell'assunzione e successivamente su base annuale, che includa i requisiti per la gestione e la protezione dei contenuti.      
       
Implementazione AWS      
Il consulente legale di Amazon gestisce e revisiona periodicamente gli accordi di riservatezza per rispecchiare le esigenze aziendali di AWS.

L'uso degli accordi di riservatezza da parte di AWS viene esaminato da revisori contabili indipendenti esterni durante la verifica per la compatibilità ISO 27001 and FedRAMP sm.
     
       
Best practice      
Accedere e controllare l'accesso elettronico alle zone ad accesso ristretto in caso di eventi sospetti.      
       
Implementazione AWS      

L'accesso fisico è controllato sia sul perimetro che sui punti di ingresso all'edificio da uno staff di sicurezza professionale che utilizza videosorveglianza, sistemi di rilevamento intrusioni e altri mezzi elettronici.
Tutti gli ingressi ai data center di AWS, compresi gli ingressi principali, la banchina di carico, le porte/i portelli del tetto, sono controllati con dispositivi di rilevamento di intrusioni che generano allarmi sonori avvisando anche il sistema di monitoraggio della sicurezza fisico centralizzato di AWS nel caso si verifichi l'apertura forzata di una porta o venga lasciata aperta.

Oltre ai sistemi elettronici, i data center di AWS godono della protezione continua di guardie di sicurezza qualificate, situate all'interno e intorno all'edificio. Tutti gli allarmi vengono esaminati da una guardia di sicurezza e la causa principale di tutti gli incidenti viene documentata. Tutti gli allarmi sono impostati per intensificarsi automaticamente nel caso in cui non soggiunga una risposta entro i termini SLA (Service Level Agreement, Contratto sul livello di servizio).

I punti di accesso fisici alle sedi dei server sono filmati da telecamere a circuito chiuso (CCTV) come definito nel Data Center Physical Security Policy di AWS. Le immagini vengono conservate per 90 giorni, salvo tale limite non sia limitato a 30 giorni dagli obblighi giuridici o contrattuali.

I sistemi di sicurezza fisica di AWS sono esaminati da revisori contabili indipendenti esterni durante la verifica per la conformità SOC, PCI DSS, ISO 27001 e FedRAMPsm.

     
       
Best practice      

Implementare un sistema di gestione degli asset dei contenuti per fornire una tracciabilità dettagliata degli asset fisici (ad es. client e creati di recente).

     
       
Implementazione AWS      
La gestione dell'asset dei contenuti è di proprietà dei clienti AWS, così come l'implementazione e il funzionamento. È responsabilità dei clienti implementare la tracciabilità dell'inventario dei loro asset fisici.

Per gli ambienti data center di AWS, tutti i nuovi componenti del sistema di dati, che comprendono, a titolo non esaustivo, server, scaffali, dispositivi di rete, hard drive, componenti hardware di sistema e materiali di costruzione spediti a e ricevuti dai data center, richiedono l'autorizzazione preventiva da parte del responsabile del data center e la notifica allo stesso. Gli articoli vengono consegnati alla banchina di carico di ciascun data center di AWS, vengono ispezionati per evitare la presenza di danni o alterazioni dell'imballaggio e accettati dietro firma da un impiegato a tempo pieno di AWS. All'arrivo della spedizione, gli articoli vengono esaminati e registrati all'interno del sistema di gestione degli asset di AWS e del sistema di tracciabilità dell'inventario del dispositivo.

Gli articoli, una volta ricevuti, vengono portati nel magazzino delle attrezzature all'interno del data center; per entrarvi sono necessari badge e PIN. Prima dell'autorizzazione a uscire dal data center, gli articoli vengono esaminati, monitorati e sterilizzati.        

I processi e le procedure della gestione degli asset di AWS sono esaminati dai revisori contabili indipendenti esterni durante la verifica per la conformità, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
Best practice      
Vietare l'accesso a Internet su sistemi (desktop/server) che elaborano o archiviano contenuti digitali.      
       
Implementazione AWS      
I dispositivi di protezione di confine che impiegano serie di regole, ACL (access control lists, liste di controllo degli accessi) e configurazioni implementano il flusso di dati tra i fabric di rete. Tali dispositivi sono configurati in modalità deny-all e richiedono un firewall riconosciuto per consentire la connettività. Fare riferimento a DS-2.0 per ulteriori informazioni sulla gestione dei firewall di rete di AWS.

Non vi è una funzione e-mail insita sugli asset di AWS e la porta 25 non è utilizzata. Un cliente (ad es. uno studio, una struttura di elaborazione dati ecc.) può utilizzare un sistema per fornire un host alla funzione e-mail, sebbene in tal caso sia responsabilità del cliente usare i livelli appropriati di protezione da spam e malware sui punti di ingresso e di uscita e-mail e aggiornare le definizioni spam e malware quando sono disponibili nuove versioni.

Gli asset di Amazon (ad es. portatili) sono configurati con software antivirus che includono filtri e-mail e rilevamento malware.

La gestione dei firewall della rete di AWS e il programma antivirus di Amazon sono esaminati da revisori contabili indipendenti esterni come parte della conformità continua di AWS con SOC, PCI DSS, ISO 27001 and FedRAMP sm.
     
       
blank
blank
MPAA cloud AWS
AWS MPAA
Conformità MPAA

 

Contattaci