일반

1. AWS의 연간 공급업체/실사 질문서를 작성하는 가장 좋은 방법은 무엇입니까?

AWS 보안 및 규정 준수 상황을 기록하기 위한 질문서를 작성하는 데 지원이 필요한 경우를 위하여 AWS는 클라우드 및 AWS 비즈니스 모델의 컨텍스트에서 보안 및 규정 준수 질문에 답변하는 데 필요한 리소스를 제공하도록 고안된 권장 접근 방식을 제시하고 있습니다. 보안 및 규정 준수 질문서를 작성하는 데 가장 자주 사용되는 리소스는 다음과 같습니다.

  • AWS Artifact – AWS Artifact는 자신에게 해당되는 규정 준수와 관련된 정보를 제공하는 신뢰할 수 있는 중앙 리소스입니다. AWS Artifact에서는 AWS의 보안 및 규정 준수 보고서와 엄선된 온라인 계약에 대한 온디맨드 액세스를 제공합니다. AWS Artifact에서 제공하는 보고서에는 Service Organization Controls(SOC) 보고서와 지불 카드(PCI) 규정 준수 증명, 그리고 여러 지역의 인정 기구와 규정 준수 기관에서 AWS 보안 제어의 구현 및 운영 효율성을 입증하는 인증서가 포함되어 있습니다. AWS Artifact에서 제공하는 계약에는 비즈니스 제휴 계약(BAA)과 비밀 유지 계약(NDA)이 포함되어 있습니다.
  • AWS 규정 준수 프로그램 웹 페이지 - AWS 규정 준수 프로그램은 고객이 AWS의 강력한 제어 기능을 이해하여 클라우드에서 보안과 규정 준수를 유지할 수 있도록 지원합니다.
  • AWS 데이터 센터 제어 웹 페이지 – 많은 질문서에는 데이터 센터의 물리적 보안과 관련된 질문에 할애된 섹션이 있습니다. 이 웹 페이지는 AWS의 물리적 및 환경적 제어에 대한 통찰력을 제공합니다.
  • AWS 위험 및 규정 준수 백서 – 이 문서는 일반적인 클라우드 컴퓨팅 규정 준수 질문에 대한 AWS 관련 정보를 다룹니다.
  • CSA 공동 평가 이니셔티브 질문서 – CSA 공동 평가 이니셔티브 질문서는 클라우드 소비자 및/또는 감사자가 클라우드 공급자에게 요청할 것으로 CSA가 예상하는 일련의 질문을 제공합니다. 제공되는 일련의 보안, 제어 및 프로세스 질문을 클라우드 공급업체 선택 및 보안 평가를 포함한 폭넓은 용도로 사용할 수 있습니다. 이 문서에는 CSA 질문서에 대한 AWS 답변이 포함되어 있습니다.
  • SIG 질문서 - 표준화된 정보 수집(SIG) 질문서는 Shared Assessment의 SIG 질문서 도구를 사용하는 고객이 서드 파티 위험 평가 프로세스를 표준화할 때 사용하도록 만들어졌습니다. 이 질문서는 AWS 클라우드에 대한 고객의 실사 프로세스를 지원하기 위해 서술형 답변 형식으로 작성되었습니다. SIG는 AWS Artifact에서 찾을 수 있습니다.
2. 어느 AWS 서비스가 공통 클라우드 보안 및 규정 준수 표준을 준수합니까?

AWS 범위 내 서비스 웹 페이지는 공통 클라우드 보안 및 규정 준수 표준을 준수하는 것으로 평가된 서비스의 목록을 제공합니다.

3. AWS에는 하위 프로세서가 있습니까?

AWS는 고객을 대신하여 특정 처리 활동을 수행하거나 데이터 센터 시설 관리 활동을 수행하기 위해 AWS 하위 프로세서 웹 페이지에 나열된 엔터티와 협력할 수 있습니다. 이 웹 페이지는 하위 프로세서 목록이 변경되는 경우 고객이 이메일 알림을 받도록 구독하는 옵션도 제공하고 있습니다.

4. 비즈니스 연속성 또는 재해 복구 정책에 사용되는 AWS 데이터 센터 위치를 알려줄 수 있습니까?

AWS는 고객 데이터의 보안 및 프라이버시를 보호하기 위해 당사의 데이터 센터 위치를 엄격하게 비밀로 유지하고 있습니다. AWS 리전에 대한 명명 규칙은 해당 리전을 구성하는 가용 영역 및 데이터 센터의 일반적인 지리적 위치를 나타냅니다. 데이터 센터의 일반적인 위치에 관한 추가 정보는 AWS Artifact를 통해 제공되는 PCI-DSS 보고서에 포함되어 있습니다. 자세히 알아보려면 AWS 글로벌 인프라 웹 페이지를 방문하세요.

5. AWS 데이터 센터의 보안 및 복원력을 평가하려면 어떻게 해야 합니까?

고객은 AWS에서 AWS 데이터 센터를 위해 구축한 모든 보안 제어 기능을 고려하여 물리적인 AWS 인프라의 보안 및 복원력을 평가할 수 있습니다. AWS는 AWS의 물리적 보안 및 복원력 제어에 대한 고객의 이해를 돕기 위해 자격을 갖춘 독립 감사자를 통해 SOC 2 Type II 보고서를 검증합니다. 이 보고서는 AWS Artifact를 통해 사용할 수 있습니다. 널리 용인되는 이 서드 파티 검증은 AWS가 갖추고 있는 제어의 효과를 독립적으로 증명합니다. ISO 27001, PCI, ITAR 및 FedRAMP 규정 준수 프로그램의 일환으로 데이터 센터의 물리적 보안에 대한 독립 심사도 수행됩니다.

6. AWS에서는 고객이 물리적 데이터 센터를 둘러보는 것을 허용합니까?
아니요. 데이터 센터에서는 다수의 고객을 호스트합니다. 이러한 사실 때문에 AWS는 고객의 데이터 센터 투어를 허용하지 않습니다. 서드 파티가 광범위한 고객에게 물리적으로 접근할 수 있기 때문입니다. 그러나 고객과 일반인은 AWS 데이터 센터의 디지털 투어를 통해 AWS 웹 사이트에 대한 인프라와 제어를 파악할 수 있습니다.
7. 고객이 재해 복구 계획을 수립하기 위해 평가해야 할 중요한 요소는 무엇입니까?

재해 복구 계획을 수립하기 위해 AWS를 평가하는 고객은 먼저 어떤 수준의 복원력을 목표로 하는지 결정하고 복원력 및 재해 복구에 대한 관련 규제 요구 사항을 고려해야 합니다. 그런 다음 고객은 복원력 목표와 규제 요구 사항을 충족하는 AWS 환경을 설계할 수 있습니다. 예를 들어 환경적 위험을 완화하려는 고객은 물리적으로 분리된 가용 영역 및 리전을 활용하도록 AWS 워크로드를 설계하여 목적을 달성할 수 있습니다. 비즈니스 연속성 및 재해 복구를 계획할 때 AWS 고객은 AWS Well Architected Framework안정성 원칙에 포함된 모범 사례를 활용해야 합니다.

규정 준수 보고서

1. SOC 보고서, PCI 규정 준수 증명 또는 SIG 질문서와 같은 AWS 규정 준수 보고서를 다운로드할 수 있는 위치는 어디입니까?

AWS Artifact에서는 다양한 글로벌, 지역별 및 산업별 보안 표준 및 규제에 대해 AWS 규정 준수를 테스트하고 검증한 서드 파티 감사자가 발행한 여러 규정 준수 보고서를 제공합니다. 새 보고서가 릴리스되면 고객은 AWS Artifact에서 해당 보고서를 다운로드할 수 있습니다. 자세한 내용은 규정 준수 보고서 FAQ를 참조하십시오. AWS Artifact는 AWS Management Console에서 직접 액세스할 수 있습니다.

2. AWS SOC 1 및 SOC 2 보고서에 대한 브리지 레터는 어디에서 찾을 수 있습니까?

AWS SOC 1 및 SOC 2 보고 주기 내의 1년 기간을 기반으로 AWS는 브리지 레터 또는 갭 레터 대신 SOC 지속 운영 레터(SOC Continued Operations Letter)를 발행합니다. 이 문서는 AWS Management Console에서 AWS Artifact를 사용하여 다운로드할 수 있습니다.

3. AWS SOC 보고서는 보고 기간 종료 시 만료됩니까?

아니요. SOC 감사는 일정 기간에 걸쳐 수행됩니다. 감사 기간이 종료되면 보고서가 준비되고 6~8주 내에 고객이 사용할 수 있도록 제공됩니다. AWS는 매년 6개월 단위(첫 번째 보고서는 10월 1일~3월 31일, 두 번째는 4월 1일~9월 30일 기간을 평가)로 두 개의 SOC 1 및 SOC 2 보고서를 발행합니다. 보고서의 릴리스 날짜를 결정하는 데에는 많은 요소가 영향을 미치지만 AWS에서는 매년 5월 초 및 11월 초에 새 보고서를 릴리스하는 것을 목표로 하고 있습니다. 새 SOC 보고서가 릴리스되면 고객은 AWS Artifact에서 해당 보고서를 다운로드할 수 있습니다.

4. 최종 고객이 AWS SOC 1 및 SOC 2 보고서를 가지려면 어떻게 해야 합니까?

AWS는 SOC 1 또는 SOC 2 보고서의 복사본을 기꺼이 제공해드립니다. 최고의 지원을 제공할 수 있도록 AWS에서는 귀사의 고객이 AWS Artifact 시작하기 가이드를 활용하고 자체 AWS 계정을 사용하여 SOC 1 또는 SOC 2 보고서를 다운로드할 것을 권장합니다. 계정 생성에는 비용이 들지 않습니다. 계정에 로그인한 고객은 AWS 콘솔에서 보안, 자격 증명 및 규정 준수(Security, Identity & Compliance) 아래의 Artifact로 이동하여 제공된 보고서에 액세스할 수 있습니다.

또는 AWS Artifact에서 AWS 규정 준수 보고서를 다운로드하고 해당 AWS 규정 준수 보고서에 적용되는 약관에서 허용하는 경우, AWS 규정 준수 보고서를 고객과 직접 공유할 수 있습니다. AWS Artifact에서 다운로드한 AWS 규정 준수 보고서의 첫 페이지에 있는 관련 약관을 참조하여 해당 보고서의 공유가 허용되는지 여부를 확인하세요.

또한 AWS SOC 3 보고서는 AWS의 SOC 규정 준수 웹 페이지에도 게시됩니다. SOC 3 보고서는 AWS SOC 2 보고서가 요약된 형태로서, AWS가 AICPA의 신뢰 서비스 원칙에 설정된 기준에 따라 효과적인 제어 운영을 유지하고 있음에 대한 보증(외부 감사기관의 의견 포함)을 제공합니다.

규정 준수 프로그램

1. AWS는 HIPAA 인증을 받았습니까?

AWS와 같은 클라우드 서비스 공급자(CSP)를 위한 HIPAA 인증은 없습니다. 그러나 AWS의 HIPAA 위험 관리 프로그램은 HIPAA 보안 규칙에 매핑되는 보안 표준인 FedRAMP, NIST 800-30 및 NIST 800-53에 맞춰집니다. NIST는 이렇게 부합되는 점을 확인하고 SP 800-66 Rev. 1, An Introductory Resource Guide for Implementing the HIPAA Security Rule을 발행했습니다. 이 안내서는 NIST 1-53이 어떻게 HIPAA 보안 규칙과 부합되는지를 설명합니다. AWS의 HIPAA 규정 준수에 대한 자세한 내용은 AWS HIPAA 웹 페이지를 참조하세요.

2. AWS에서는 HIPAA 규칙 및 규정에 명시된 바와 같이 BAA(Business Associate Addendum)를 체결합니까?

예. AWS는 고객과 체결하는 표준 BAA를 사용합니다. 이 BAA에는 AWS가 제공하는 고유 서비스와 AWS 공동 책임 모델이 반영되어 있습니다.

귀하의 계정 또는 AWS Organizations에 있는 귀사 소속의 모든 계정을 위한 BAA의 상태를 검토, 수락 및 관리하려면 AWS Management Console에서 AWS Artifact에 로그인하십시오.

3. AWS 서비스가 HIPAA 적격이라는 것은 무엇을 의미합니까?

AWS는 HIPAA 적격 서비스가 특히 HIPAA에서 요구하는 보안, 제어 및 관리 프로세스를 지원하도록 표준 기반 위험 관리 프로그램을 따르고 있습니다. 고객은 HIPAA 계정으로 지정된 계정에서 모든 AWS 서비스를 사용할 수 있습니다. 하지만 HIPAA 적격 서비스를 사용해서만 PHI(개인 건강 정보)를 처리, 저장 및 전송해야 합니다. AWS의 HIPAA 규정 준수에 대한 자세한 내용은 다음 AWS 리소스를 참조하십시오.

4. AWS에서 HITRUST 규정을 준수할 수 있습니까?

고객은 범위 내 서비스의 AWS HITRUST CSF 인증을 활용하여 자체 HITRUST CSF 인증을 지원할 수도 있습니다. 최신 HITRUST CSF 인증 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지를 참조하세요. AWS 고객은 고객이 범위 내 서비스만 사용하고 HITRUST Alliance 웹 사이트에서 기술한 통제 항목을 적용하는 경우 AWS HITRUST CSF 인증을 승계할 수 있습니다. 고객은 AWS Custom HITRUST Shared Responsibility Matrix를 다운로드하여 AWS 고객이 공동 책임 모델의 일부로 승계할 수 있는 HITRUST 요구 사항을 확인할 수 있습니다. 고객은 MyCSF 사용 설명서 웹 페이지를 참조하여 승계 요청을 시작하는 방법에 대한 지침을 확인해야 합니다.

5. AWS와 GDPR 준수 DPA(Data Processing Addendum)를 체결하려면 어떻게 해야 합니까?

GDPR DPA의 이점을 활용하기 위해서는 어떠한 조치도 취할 필요가 없습니다. GDPR DPA의 조항은 AWS 서비스 약관에 통합되어 있으며 2018년 5월 25일부터 GDPR DPA는 GDPR 범위 내의 작업을 수행하는 고객에게 자동으로 적용됩니다. AWS의 DPA에 대한 자세한 내용은 이 AWS Security 블로그 게시물을 참조하세요. 추가 정보는 GDPR 센터에서 확인하세요.

6. AWS는 EU-미국 프라이버시 실드에 따라 인증을 획득했습니까?

예. AWS에서는 EU-미국 프라이버시 실드에 따라 인증을 획득했습니까. AWS의 인증은 여기에서 확인하세요. 유럽 연합 사법재판소가 2020년 7월에 유럽 연합 집행 위원회의 결정 2016/1250(EU-US Privacy Shield에서 제공하는 보호의 적절성 관련)이 더 이상 유효하지 않다고 판결했지만, 프레임워크에 따른 EU-미국 프라이버시 실드의 의무 사항을 준수해야 할 책임이 면제되지는 않습니다.

compliance-contactus-icon
질문이 있으신가요? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »