일반

1. AWS의 연간 공급업체/실사 질문서를 작성하는 가장 좋은 방법은 무엇입니까?

AWS 보안 및 규정 준수 상황을 기록하기 위한 질문서를 작성하는 데 지원이 필요한 경우를 위하여 AWS는 클라우드 및 AWS 비즈니스 모델의 컨텍스트에서 보안 및 규정 준수 질문에 답변하는 데 필요한 리소스를 제공하도록 고안된 권장 접근 방식을 제시하고 있습니다. 보안 및 규정 준수 질문서를 작성하는 데 가장 자주 사용되는 리소스는 다음과 같습니다.

  • AWS Artifact – AWS Artifact는 자신에게 해당되는 규정 준수와 관련된 정보를 제공하는 신뢰할 수 있는 중앙 리소스입니다. AWS Artifact에서는 AWS의 보안 및 규정 준수 보고서와 엄선된 온라인 계약에 대한 온디맨드 액세스를 제공합니다. AWS SOC 2 보고서는 AWS 보안 제어의 구현 및 운영 효과에 대한 포괄적인 설명을 제공하므로 질문서를 작성할 때 특히 유용합니다. 또 다른 유용한 문서는 AWS FedRAMP 파트너 패키지(AWS FedRAMP Partner Package)에 있는 요약 보고서(Executive Briefing)입니다.
  • CSA 공동 평가 이니셔티브 질문서(CSA Consensus Assessments Initiative Questionnaire) – CSA 공동 평가 이니셔티브 질문서는 클라우드 소비자 및/또는 감사자가 클라우드 공급업체에게 요청할 것으로 CSA가 예상하는 일련의 질문을 제공합니다. 제공되는 일련의 보안, 제어 및 프로세스 질문을 클라우드 공급업체 선택 및 보안 평가를 포함한 폭넓은 용도로 사용할 수 있습니다. 이 문서에는 CSA 질문서에 대한 AWS 답변이 포함되어 있습니다.
  • AWS 위험 및 규정 준수 백서(AWS Risk and Compliance whitepaper) – 이 문서는 일반적인 클라우드 컴퓨팅 규정 준수 질문에 대한 AWS 관련 정보를 다룹니다. 모든 AWS 자격증, 프로그램, 보고서 및 타사 증명에 대한 자세한 설명이 있습니다. 
  • AWS 데이터 센터 제어 웹 페이지 – 많은 질문서에는 데이터 센터의 물리적 보안과 관련된 질문에 할애된 섹션이 있습니다. 이 웹 페이지는 AWS의 물리적 및 환경적 제어에 대한 통찰력을 제공합니다.
2. 어느 AWS 서비스 및 기능이 공통 클라우드 보안 및 규정 준수 표준을 준수합니까?

AWS 범위 내 서비스는 공통 클라우드 보안 및 규정 준수 표준을 준수하는 것으로 평가된 서비스의 목록을 제공합니다. 특별 제외 대상으로 지정되지 않은 한 나열된 각 서비스의 기능은 규정 준수 프로그램의 범위 내에 포함되는 것으로 간주되며 평가의 일부로 검토되고 테스트됩니다. AWS 서비스의 기능은 AWS 설명서를 참조하십시오. 

3. AWS에서 나의 규제 요구 사항을 준수할 수 있습니까?

AWS는 전 세계에 고객이 있으며 변화하는 규제에 지속적으로 적응하고 있습니다. AWS Compliance Center를 이용하면 중앙에서 클라우드 관련 규제 요구 사항과 이러한 규제가 귀사의 업계에 미치는 영향을 조사할 수 있습니다. 원하는 국가를 선택하면 AWS Compliance Center에 클라우드 서비스 채택과 관련된 해당 국가의 규제 상황이 표시됩니다.  

4. AWS에는 하위 프로세서가 있습니까?

AWS는 고객을 대신하여 특정 처리 활동을 수행하거나 데이터 센터 시설 관리 활동을 수행하기 위해 AWS 하위 프로세서 웹 페이지에 나열된 엔터티와 협력할 수 있습니다. 이 웹 페이지는 하위 프로세서 목록이 변경되는 경우 고객이 이메일 알림을 받도록 구독하는 옵션도 제공하고 있습니다.

AWS는 개인 데이터가 포함되어 있을 수 있는 콘텐츠를 비롯하여, 사용자가 AWS에 업로드하는 고객 소유의 콘텐츠에 액세스할 수 있는 모든 협력업체에 대해 사전에 고객에게 알려드립니다. 사용자가 AWS에 업로드하는 모든 고객 소유의 콘텐츠에 액세스할 수 있도록 AWS가 승인한 협력업체는 없습니다. 협력업체의 액세스를 연중내내 모니터링하려면 AWS 협력업체 액세스 웹 페이지를 참조하십시오. 

5. 내 비즈니스 연속성 또는 재해 복구 정책에 사용되는 AWS 데이터 센터 위치를 제공해 줄 수 있습니까?

AWS는 고객 데이터의 보안 및 프라이버시를 보호하기 위해 당사의 데이터 센터 위치를 엄격하게 비밀로 유지하고 있습니다. 위치는 해당 위치에서 승인된 업무를 수행해야 하는 AWS 직원 및 협력업체에게만 공개됩니다.

고객은 AWS에서 AWS 데이터 센터를 위해 구축한 모든 보안 제어 기능을 고려하여 물리적인 AWS 인프라의 보안 및 복원력을 평가할 수 있습니다. AWS 데이터 센터와 관련된 위험에 대한 고객의 평가 작업을 지원하기 위해 AWS에서는 AWS 데이터 센터 제어 웹 페이지를 제공하고 있으며 AWS Artifact를 통해 AWS SOC 2 보고서도 제공하고 있습니다. 

6. 고객이 재해 복구 계획을 수립하기 위해 평가해야 할 중요한 요소는 무엇입니까?

재해 복구 계획을 수립하기 위해 AWS를 평가하는 고객은 먼저 어떤 수준의 복원력을 목표로 하는지 결정하고 복원력 및 재해 복구에 대한 관련 규제 요구 사항을 고려해야 합니다. 그런 다음 고객은 복원력 목표와 규제 요구 사항을 충족하는 AWS 환경을 설계할 수 있습니다. 예를 들어, 환경적 위험을 완화하려는 고객은 물리적으로 분리된 가용 영역 및 리전을 활용하도록 AWS 워크로드를 설계하여 목적을 달성할 수 있습니다. 고가용성 요구 사항을 가진 고객은 중요한 애플리케이션을 위해 복수의 리전을 사용하기도 합니다. AWS 재해 복구 웹 페이지AWS 데이터 센터 제어 웹 페이지를 참조하고 AWS Artifact를 통해 제공되는 AWS SOC 2 보고서도 참조하십시오.

규정 준수 보고서

1. SOC 또는 PCI 보고서와 같은 AWS 규정 준수 보고서는 어디에서 다운로드할 수 있습니까?

AWS Artifact에서는 다양한 글로벌, 지역별 및 산업별 보안 표준 및 규제에 대해 AWS 규정 준수를 테스트하고 검증한 타사 감사자가 발행한 여러 규정 준수 보고서를 제공합니다. 새 보고서가 릴리스되면 고객은 AWS Artifact에서 해당 보고서를 다운로드할 수 있습니다. 자세한 내용은 규정 준수 보고서 FAQ를 참조하십시오. AWS Artifact는 AWS Management Console에서 직접 액세스할 수 있습니다.

2. AWS SOC 1 및 SOC 2 보고서에 대한 브리지 레터는 어디에서 찾을 수 있습니까?

AWS SOC 1 및 SOC 2 보고 주기 내의 1년 기간을 기반으로 AWS는 브리지 레터 또는 갭 레터 대신 SOC 지속 운영 레터(SOC Continued Operations Letter)를 발행합니다. 이 문서는 AWS Management Console에서 AWS Artifact를 사용하여 다운로드할 수 있습니다.

3. AWS SOC 보고서는 보고 기간 종료 시 만료됩니까?

아니요. SOC 감사는 일정 기간에 걸쳐 수행됩니다. 감사 기간이 종료되면 보고서가 준비되고 6~8주 내에 고객이 사용할 수 있도록 제공됩니다. AWS는 매년 6개월 단위(첫 번째 보고서는 10월 1일~3월 31일, 두 번째는 4월 1일~9월 30일 기간을 평가)로 두 개의 SOC 1 및 SOC 2 보고서를 발행합니다. 보고서의 릴리스 날짜를 결정하는 데에는 많은 요소가 영향을 미치지만 AWS에서는 매년 5월 초 및 11월 초에 새 보고서를 릴리스하는 것을 목표로 하고 있습니다. 새 SOC 보고서가 릴리스되면 고객은 AWS Artifact에서 해당 보고서를 다운로드할 수 있습니다.

4. 최종 고객이 AWS SOC 1 및 SOC 2 보고서를 가지려면 어떻게 해야 합니까?

AWS는 SOC 1 또는 SOC 2 보고서의 사본을 고객에게 기꺼이 제공해 드릴 수 있습니다. 그러나, 이를 위해 AWS에서는 보고서의 의도된 사용자가 직접 AWS와 비밀유지계약(NDA)을 체결할 것을 요구합니다. 최고의 지원을 제공할 수 있도록 AWS에서는 귀사의 고객이 AWS 아티팩트 시작하기 안내서를 활용하여 규정 준수 보고서를 다운로드할 것을 권장합니다.

귀사의 고객이 AWS와 NDA를 체결하는 것을 원하지 않는 경우에는 AWS가 SOC 규정 준수 웹 페이지에서 발행하는 AWS SOC 3 보고서를 이용하실 수 있습니다. SOC 3 보고서는 AWS SOC 2 보고서가 요약된 형태로서, AWS가 AICPA의 신뢰 서비스 원칙에 설정된 기준에 따라 효과적인 제어 운영을 유지하고 있음에 대한 보증(외부 감사기관의 의견 포함)을 제공합니다.

규정 준수 프로그램

1. AWS는 HIPAA 인증을 받았습니까?

AWS와 같은 클라우드 서비스 공급자(CSP)를 위한 HIPAA 인증은 없습니다. AWS 운영 모델에 적용되는 HIPAA 요구 사항을 충족하기 위해 AWS에서는 HIPAA 위험 관리 프로그램을 HIPAA 보안 규칙에 대응하는 상위 수준의 보안 표준인 FedRAMP 및 NIST 800-53에 맞추었습니다. NIST는 이렇게 부합되는 점을 확인하고 SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule을 발행했습니다. 이 안내서는 NIST 800-53이 어떻게 HIPAA 보안 규칙과 부합되는지를 설명합니다. AWS의 HIPAA 규정 준수에 대한 자세한 내용은 AWS HIPAA 웹 페이지를 참조하십시오.

2. AWS에서는 HIPAA 규칙 및 규정에 명시된 바와 같이 BAA(Business Associate Addendum)를 체결합니까?

예. AWS는 고객과 체결하는 표준 BAA를 사용합니다. 이 BAA에는 AWS가 제공하는 고유 서비스와 AWS 공동 책임 모델이 반영되어 있습니다.

귀하의 계정 또는 AWS Organizations에 있는 귀사 소속의 모든 계정을 위한 BAA의 상태를 검토, 수락 및 관리하려면 AWS Management Console에서 AWS Artifact에 로그인하십시오.

3. AWS 서비스가 HIPAA 적격이라는 것은 무엇을 의미합니까?

AWS는 HIPAA 적격 서비스가 특히 HIPAA에서 요구하는 보안, 제어 및 관리 프로세스를 지원하도록 표준 기반 위험 관리 프로그램을 따르고 있습니다. 고객은 HIPAA 계정으로 지정된 계정에서 모든 AWS 서비스를 사용할 수 있습니다. 하지만 HIPAA 적격 서비스를 사용해서만 PHI(개인 건강 정보)를 처리, 저장 및 전송해야 합니다. AWS의 HIPAA 규정 준수에 대한 자세한 내용은 다음 AWS 리소스를 참조하십시오.

4. AWS에서 HITRUST 규정을 준수하려면 어떻게 해야 합니까?

AWS에서는 전 세계의 규정 준수 프로그램에 적용되는 광범위한 인증 및 증명을 제공합니다. 이러한 인증과 증명을 활용하여 HITRUST Common Security Framework 또는 EHNAC(Electronic Healthcare Network Accreditation Commission)에서 제공하는 프로그램 등 더 많은 규정 준수 프로그램을 준수할 수 있습니다. 또한, 의료 서비스 규정 준수를 전문으로 하는 AWS 파트너와 협력할 수도 있습니다.

5. AWS와 GDPR 준수 DPA(Data Processing Addendum)를 체결하려면 어떻게 해야 합니까?

GDPR DPA의 이점을 활용하기 위해서는 어떠한 조치도 취할 필요가 없습니다. GDPR DPA의 조항은 AWS 서비스 약관에 통합되어 있으며 2018년 5월 25일부터 GDPR DPA는 GDPR 범위 내의 작업을 수행하는 고객에게 자동으로 적용됩니다. AWS의 DPA에 대한 자세한 내용은 이 AWS Security 블로그 게시물을 참조하십시오.

6. AWS는 EU-미국 프라이버시 실드에 따라 인증을 획득했습니까?

예. AWS에서는 EU-미국 프라이버시 실드에 따라 인증을 획득했습니까. AWS의 인증은 여기에서 확인하십시오. 유럽 연합 사법재판소가 2020년 7월에 유럽 연합 집행 위원회의 결정 2016/1250(EU-US Privacy Shield에서 제공하는 보호의 적절성 관련)이 무효라고 판결을 했지만, 프레임워크에 따른 EU-US Privacy Shield의 의무 사항을 준수해야 할 책임이 면제되지는 않습니다.

compliance-contactus-icon
질문이 있으십니까? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »