Guida alle soluzioni di conformità di AWS

Il modo migliore per accedere ai rapporti di conformità AWS è tramite la console sotto AWS Artifact. AWS Artifact offre ai clienti l’accesso on demand self-service ai più recenti rapporti di conformità AWS. Quando AWS rilascia nuovi rapporti, questi vengono resi immediatamente disponibili per il download in AWS Artifact. In aggiunta all’accesso on demand. ecco tre vantaggi dell’uso di AWS Artifact.

1. Non richiede l’immissione di carta di credito. La creazione di un account o l’uso del portale AWS Artifact non prevedono alcun costo.
2. Consente di configurare account per altri utenti tramite IAD.
3. Offre la comodità di eseguire il NDA con semplici clic.

Ricordiamo che tutte le attestazioni di terzi, i certificati, i rapporti SOC (Service Organization Controls) e agli altri rapporti di conformità rilevanti richiedono la sottoscrizione di NDA. Costituiscono un’eccezione la certificazione AWS ISO 27001 e i rapporti AWS SOC 3, che sono disponibili al pubblico.

Se disponi di un account AWS e sei pronto a iniziare a usare AWS Artifact, puoi usare le risorse che seguono per acquisire familiarità con questa funzionalità nella console. Se non disponi già di un account AWS, puoi creane uno con questi passaggi.

Sito web AWS Artifact - Questo sito web propone le informazioni di base su Artifact inclusa una Guida rapida per iniziare con istruzioni dettagliate per accedere alla console e scaricare un rapporto, oltre alla pagina Domande frequenti su AWS Artifact con un elenco esaustivo di tutte le domande frequenti poste.

Seguono alcuni degli scenari più comuni che generano domande.

Ove ti occorra assistenza nella compilazione di un questionario di sicurezza per documentare le posizioni di sicurezza e conformità AWS, AWS dispone di un approccio raccomandato, studiato per fornirti le risorse che possono opportunamente rispondere alle tue domande su sicurezza e conformità nel contesto del cloud e del modello di business di AWS. Questa procedura assicura a tutti i nostri clienti risposte coerenti, verificate dai nostri auditor terzi.

AWS Artifact è il primo luogo da visitare, in quanto raccoglie tutti i rapporti di conformità. AWS è sottoposta vari audit durante l’anno da parte di auditor terzi, che per la maggior parte sono condotti conformemente agli standard di sicurezza internazionali quali ISO 27001, PCI e SOC. Puoi usare questi rapporti per rispondere a domande sugli eventuali questionari di sicurezza ricevuti

Inoltre, online sono disponibili vari tipi di risorse per offrire risposte ad alcune delle domande poste più comunemente. I due documenti usati con maggiore frequenza per i questionari sono i seguenti.

Questionario Consensus Assessments Initiative –  Cloud Security Alliance (CSA) è un’organizzazione no profit la cui missione è promuovere l’adozione delle migliori pratiche per l’assicurazione della sicurezza nel cloud computing. Il questionario Consensus Assessments Initiative di CSA contiene un insieme di domande che CSA prevede possano essere poste a un fornitore di cloud da parte di un consumatore di cloud e/o di un auditor. Fornisce una serie di domande di sicurezza, controllo e processo che può poi essere usata per un’ampia gamma di utilizzi, incluse la selezione del fornitore del cloud e la valutazione della sicurezza. Questo documento contiene le risposte di AWS al questionario CSA.

Whitepaper rischi e conformità - Questo documento fornisce ai clienti di AWS informazioni che possono aiutare a integrare AWS nei framework di controllo esistenti nel loro ambiente IT. Include un approccio di base alla valutazione dei controlli di AWS e fornisce informazioni per aiutare i clienti a integrare gli ambienti di controllo. Infine offre informazioni specifiche di AWS su questioni generali di conformità del cloud computing. Presenta descrizioni dettagliate di tutte le certificazioni AWS, nonché programmi, rapporti e attestazioni di terzi. Il questionario CSA è incluso nell’appendice del presente documento.

Se occorre comunque aiuto per rispondere a una domanda, contatta l’Account manager di AWS Sales che può aiutarti a orientarti sulle risorse adatte.

Seguono alcune delle difficoltà più comuni riscontrate per HIPAA BAA. Per accedere ad altre risorse correlate a BAA, incluso un elenco completo di domande frequenti HIPAA, video didattici BAA, whitepaper ecc. consultare la pagina principale AWS HIPAA Compliance.

D: Posso ottenere una copia cartacea del mio BAA in essere?

R: Non vi sono differenze tra la versione di BAA in Artifact e quella cartacea. Inoltre, usando Artifact, è sempre possibile scaricare una copia del BAA prima e dopo aver accettato i termini. Se hai un BAA in essere offline, puoi contattare il responsabile vendite per averne una copia.

D: Mi occorre un Exhibit A per confermare che sono stati aggiunti account a un BAA esistente oppure mi occorre una prova che un determinato account sia coperto dal BAA.

R: AWS non emette Exhibit A aggiornati a seguito della copertura di account addizionali in un BAA esistente. Utilizzando Artifact, puoi designare immediatamente nuovi account self-service nella console. Dopo che un BAA è stato accettato in Artifact, puoi registrati nella console con l’ID account e confermare che lo stato è attivo. Se desideri aggiungere un nuovo account, puoi farlo in autonomia.  Per confermare lo stato di copertura e condividere il BAA con auditor o autorità, è disponibile il PDF per il download. Inoltre, lo stato funge anche da prova di copertura.

D: Non riesco a entrare in un BAA oppure non riesco a spuntare le caselle per il NDA.

R: Questo problema è dovuto a un errore nelle autorizzazioni. La persona o il team che gestisce le richieste IAM per il tuo account AWS può risolvere questo problema modificando le autorizzazioni. Altre informazioni sulla configurazione di account IAM sono disponibili qui.