Guida alle soluzioni di conformità di AWS


Repository di risorse usate di frequente e processi necessari a ottenere la conformità in AWS.

Benvenuto nella Guida alle soluzioni di conformità di AWS! Questa guida è studiata per offrire un repository di risorse usate di frequente e processi necessari a ottenere la conformità in AWS.

La sicurezza è da sempre la maggiore priorità per AWS. Oggi, AWS protegge milioni di clienti attivi in tutto il mondo, dalle grandi imprese agli enti della pubblica amministrazione, dalle startup alle organizzazioni no profit. Tramite queste relazioni, abbiamo sviluppato risorse di prim’ordine per consentire ai clienti di qualunque settore di comprendere rapidamente come ottenere la conformità nel cloud AWS. I clienti AWS si avvalgono di tutti i vantaggi della nostra esperienza, incluse le migliori pratiche riguardanti policy di sicurezza, architettura e processi convalidati rispetto a framework di verifica esterni.

AWS comunica il proprio ambiente di sicurezza e controllo rilevante per i clienti come segue.

  • Certificazioni di settore e attestazioni di terzi indipendenti elencati sotto
  • Informazioni in merito alle pratiche di sicurezza e controllo AWS in whitepaper e contenuti web
  • Certificati, rapporti e altra documentazione fornita direttamente a clienti AWS dietro sottoscrizione di NDA

Soluzioni di conformità


Il modo migliore per accedere ai rapporti di conformità AWS è tramite la console sotto AWS Artifact. AWS Artifact offre ai clienti l’accesso on demand self-service ai più recenti rapporti di conformità AWS. Quando AWS rilascia nuovi rapporti, questi vengono resi immediatamente disponibili per il download in AWS Artifact. In aggiunta all’accesso on demand. ecco tre vantaggi dell’uso di AWS Artifact.

  1. Non richiede l’immissione di carta di credito. La creazione di un account o l’uso del portale AWS Artifact non prevedono alcun costo.
  2. Consente di configurare account per altri utenti tramite IAD.
  3. Offre la comodità di eseguire il NDA con semplici clic.

Ricordiamo che tutte le attestazioni di terzi, i certificati, i rapporti SOC (Service Organization Controls) e agli altri rapporti di conformità rilevanti richiedono la sottoscrizione di NDA. Costituiscono un’eccezione la certificazione AWS ISO 27001 e i rapporti AWS SOC 3, che sono disponibili al pubblico.

Se disponi di un account AWS e sei pronto a iniziare a usare AWS Artifact, puoi usare le risorse che seguono per acquisire familiarità con questa funzionalità nella console. Se non disponi già di un account AWS, puoi creane uno con questi passaggi.

Sito web AWS Artifact - Questo sito web propone le informazioni di base su Artifact inclusa una Guida rapida per iniziare con istruzioni dettagliate per accedere alla console e scaricare un rapporto, oltre alla pagina Domande frequenti su AWS Artifact con un elenco esaustivo di tutte le domande frequenti poste.

Seguono alcuni degli scenari più comuni che generano domande.

Ove ti occorra assistenza nella compilazione di un questionario di sicurezza per documentare le posizioni di sicurezza e conformità AWS, AWS dispone di un approccio raccomandato, studiato per fornirti le risorse che possono opportunamente rispondere alle tue domande su sicurezza e conformità nel contesto del cloud e del modello di business di AWS. Questa procedura assicura a tutti i nostri clienti risposte coerenti, verificate dai nostri auditor terzi.

AWS Artifact è il primo luogo da visitare, in quanto raccoglie tutti i rapporti di conformità. AWS è sottoposta vari audit durante l’anno da parte di auditor terzi, che per la maggior parte sono condotti conformemente agli standard di sicurezza internazionali quali ISO 27001, PCI e SOC. Puoi usare questi rapporti per rispondere a domande sugli eventuali questionari di sicurezza ricevuti

Inoltre, online sono disponibili vari tipi di risorse per offrire risposte ad alcune delle domande poste più comunemente. I due documenti usati con maggiore frequenza per i questionari sono i seguenti.

Questionario Consensus Assessments Initiative –  Cloud Security Alliance (CSA) è un’organizzazione no profit la cui missione è promuovere l’adozione delle migliori pratiche per l’assicurazione della sicurezza nel cloud computing. Il questionario Consensus Assessments Initiative di CSA contiene un insieme di domande che CSA prevede possano essere poste a un fornitore di cloud da parte di un consumatore di cloud e/o di un auditor. Fornisce una serie di domande di sicurezza, controllo e processo che può poi essere usata per un’ampia gamma di utilizzi, incluse la selezione del fornitore del cloud e la valutazione della sicurezza. Questo documento contiene le risposte di AWS al questionario CSA.

Whitepaper rischi e conformità - Questo documento fornisce ai clienti di AWS informazioni che possono aiutare a integrare AWS nei framework di controllo esistenti nel loro ambiente IT. Include un approccio di base alla valutazione dei controlli di AWS e fornisce informazioni per aiutare i clienti a integrare gli ambienti di controllo. Infine offre informazioni specifiche di AWS su questioni generali di conformità del cloud computing. Presenta descrizioni dettagliate di tutte le certificazioni AWS, nonché programmi, rapporti e attestazioni di terzi. Il questionario CSA è incluso nell’appendice del presente documento.

Se occorre comunque aiuto per rispondere a una domanda, contatta l’Account manager di AWS Sales che può aiutarti a orientarti sulle risorse adatte.

Esempi di questionario di sicurezza

Controllo Domanda Risposta Documenti di riferimento AWS
Crittografia I servizi offerti supportano la crittografia?

Sì. AWS consente ai clienti di usare i loro meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS, SimpleDB ed EC2. Sono crittografati anche i tunnel IPSec a VPC. Amazon S3 offre inoltre la crittografia lato server come alternativa per i clienti. I clienti possono anche usare tecnologie di crittografia di terzi.

Whitepaper sulla sicurezza di AWS
Controlli fisici e ambientali

Il fornitore di cloud specificato pone in atto controlli fisici e ambientali?

Sì. Sono specificamente delineati nel rapporto SOC 1 tipo II. Inoltre, altre certificazioni sostenute da AWS come ad esempio ISO 27001 e FedRAMPsm richiedono migliori pratiche per controlli fisici e ambientali.

Pacchetto FedRAMP, rapporto ISO 27001, SOC 1
Formazione/consapevolezza delle risorse umane

Sono presenti programmi di formazione e consapevolezza sulla sicurezza formali, basati su ruoli, per le questioni di accesso e gestione dei dati relativi al cloud (ad esempio multi-tenancy, nazionalità, modello di fornitura del cloud, separazione dei compiti, implicazioni e conflitti di interessi) per tutte le persone che hanno accesso ai dati tenant?

Sì. Conformemente allo standard ISO 27001, tutti i dipendenti AWS completano una formazione periodica di Sicurezza dell’informazione con una conferma di completamento. I controlli di conformità sono eseguiti periodicamente a conferma del fatto che i dipendenti comprendono e seguono le policy stabilite.

Fare riferimento ai rapporti di conformità SOC, PCI DSS, ISO 27001 e FedRAMP

Seguono alcune delle difficoltà più comuni riscontrate per HIPAA BAA. Per accedere ad altre risorse correlate a BAA, incluso un elenco completo di domande frequenti HIPAA, video didattici BAA, whitepaper ecc. consultare la pagina principale AWS HIPAA Compliance.

D: Posso ottenere una copia cartacea del mio BAA in essere?

R: Non vi sono differenze tra la versione di BAA in Artifact e quella cartacea. Inoltre, usando Artifact, è sempre possibile scaricare una copia del BAA prima e dopo aver accettato i termini. Se hai un BAA in essere offline, puoi contattare il responsabile vendite per averne una copia.

D: Mi occorre un Exhibit A per confermare che sono stati aggiunti account a un BAA esistente oppure mi occorre una prova che un determinato account sia coperto dal BAA.

R: AWS non emette Exhibit A aggiornati a seguito della copertura di account addizionali in un BAA esistente. Utilizzando Artifact, puoi designare immediatamente nuovi account self-service nella console. Dopo che un BAA è stato accettato in Artifact, puoi registrati nella console con l’ID account e confermare che lo stato è attivo. Se desideri aggiungere un nuovo account, puoi farlo in autonomia.  Per confermare lo stato di copertura e condividere il BAA con auditor o autorità, è disponibile il PDF per il download. Inoltre, lo stato funge anche da prova di copertura.

D: Non riesco a entrare in un BAA oppure non riesco a spuntare le caselle per il NDA.

R: Questo problema è dovuto a un errore nelle autorizzazioni. La persona o il team che gestisce le richieste IAM per il tuo account AWS può risolvere questo problema modificando le autorizzazioni. Altre informazioni sulla configurazione di account IAM sono disponibili qui.

Altre risorse per la conformità di AWS


header-icon_apn-partner-programs-orange

La pagina Servizi coperti dettaglia i servizi coperti al momento, indicando quali di essi siano in corso. Puoi anche contattare l’Account manager AWS Sales e SA in merito a specifiche esigenze per un determinato servizio.

header-icon_apn-partner-programs-orange

Il blog AWS Security costituisce un ottimo modo per tenere traccia di tutti i più recenti aggiornamenti ai programmi di sicurezza AWS.

header-icon_apn-partner-programs-orange

Per informazioni su alcune delle esperienze cliente correnti di AWS, visita la pagina delle testimonianze dei clienti che elenca studi di casi dei nostri clienti in tutti i settori.

header-icon_apn-partner-programs-orange

Se occorrono altre informazioni su uno specifico regime di conformità, consulta le seguenti pagine di domande frequenti.

header-icon_apn-partner-programs-orange

Il percorso di apprendimento per auditor AWS è stato ideato per coloro che, ricoprendo il ruolo di auditor o lavorando nel settore legale o di conformità, desiderano scoprire come sia possibile dimostrare la conformità delle proprie attività interne tramite la piattaforma AWS.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »