Comece a usar gratuitamente o AWS Artifact »
  • Perguntas frequentes sobre os relatórios de conformidade

    O AWS Artifact, disponível no console, é um portal de autoatendimento para recuperação de artefatos de auditoria que oferece aos clientes acesso sob demanda à documentação de conformidade da AWS.

    O AWS Artifact pode ser usado por todos os clientes da AWS para avaliar e validar a segurança e a conformidade dos serviços e infraestrutura da AWS que eles usam.

    Use o AWS Artifact se você:

    • É obrigado a demonstrar a conformidade das arquiteturas de nuvem durante os ciclos de vida de projeto, desenvolvimento e auditoria de sistemas. Para demonstrar a conformidade histórica e atual da infraestrutura da AWS (específica para os serviços utilizados), os auditores e os reguladores exigem que você forneça evidências na forma de artefatos de auditoria.
    • É obrigado a usar ou tem interesse em utilizar artefatos de auditoria para validar a operação eficaz dos controles implementados na AWS.
    • Tem interesse no monitoramento ou na auditoria contínua dos fornecedores.
    • Faz parte de uma equipe de desenvolvimento que cria arquiteturas seguras de nuvem e precisa de orientação para compreender as responsabilidades de cumprimento dos padrões normativos ISO, PCI e SOC, entre outros. Muitas vezes, o trabalho da equipe permitirá que a empresa use a AWS ou garantirá que a empresa continue a usar a AWS.

    Um artefato de auditoria é um elemento de evidência que demonstra que uma organização segue um processo documentado ou cumpre um requisito específico. Os artefatos de auditoria são coletados e arquivados ao longo do ciclo de vida de desenvolvimento de um sistema e servem como evidência em auditorias e avaliações internas e/ou externas.

    Todas as contas da AWS têm acesso ao AWS Artifact. Os usuários raiz e do IAM com permissões de administrador podem fazer o download de todos os artefatos de auditoria disponíveis na conta concordando com os termos e condições associados.

    Será necessário conceder aos usuários do IAM permissões de acesso não administrativas para o AWS Artifact usando as permissões do IAM. Com isso, você poderá conceder a um usuário o acesso ao AWS Artifact e restringir o acesso a outros serviços e recursos da conta da AWS. Para obter informações sobre como conceder acesso usando o IAM, consulte esse tópico de ajuda na documentação do AWS Artifact.

    Você pode fornecer os artefatos de auditoria da AWS aos auditores ou reguladores como evidência dos controles de segurança da AWS.

    Além disso, é possível usar a orientação sobre responsabilidades fornecida por alguns artefatos de auditoria da AWS para projetar a arquitetura de nuvem. Essa orientação ajuda a determinar os controles de segurança adicionais que devem ser implantados para apoiar casos de uso específicos do sistema. 

    Não. Você pode acessar e fazer o download de todos os artefatos a qualquer momento, tantas vezes quanto precisar.

    Muitas vezes, será necessário que os auditores tenham acesso aos relatórios de conformidade da AWS. Você pode fazer isso facilmente criando credenciais de usuário do IAM específicas para cada auditor, configurando-as para limitar o acesso aos relatórios relevantes para a auditoria conduzida pelo auditor. Para obter mais informações, veja este tópico de ajuda na documentação do AWS Artifact.

    Os clientes podem acessar os relatórios de conformidade da AWS usando sua própria conta da AWS. Se eles ainda não tiverem uma conta, oriente-os a criar uma. A criação de uma conta é gratuita.

    Após fazerem login na conta, os clientes poderão acessar os relatórios disponíveis no console da AWS acessando Compliance Reports em Security, Identity & Compliance. Se o cliente quiser acessar um relatório que exige um contrato de não divulgação (NDA), ele poderá obter acesso assinando um NDA com click-through dentro do console do Artifact.

    Para obter mais informações, consulte Getting Started with AWS Artifact

    Muitas vezes, será necessário que outras pessoas da organização acessem relatórios de conformidade da AWS. Os documentos baixados do AWS Artifact são gerados especificamente para você, e cada domínio tem uma marca exclusiva. Por esse motivo, somente compartilhe os documentos com as pessoas em quem você confia. Não envie os documentos como anexos de e-mail nem compartilhe-os on-line. Para compartilhar um documento, use um serviço de compartilhamento seguro como o Amazon WorkDocs ou crie uma política de permissões do IAM que permita que usuários do IAM no grupo acessem os documentos do AWS Artifact. Para obter mais informações, consulte a documentação do AWS Artifact.

    Sim. Você pode usar o IAM para criar uma política de permissões para um grupo não administrativo que concede acesso ao AWS Artifact para os usuários do IAM no grupo. Essa política pode ser usada para restringir o acesso a outros serviços e recursos da conta associada. Para obter mais informações sobre como criar um grupo não administrativo, consulte a documentação do AWS Artifact.

    Sim. É possível conceder acesso a um ou mais artefatos usando permissões do IAM, proporcionando controle completo sobre quem pode acessar cada artefato. Por exemplo, se você quiser que a equipe de PCI tenha acesso apenas ao relatório AWS PCI e a equipe de SOX tenha acesso apenas ao relatório AWS SOC 1, poderá personalizar as permissões de acesso de cada usuário. Para obter informações sobre como conceder acesso usando o IAM, consulte esse tópico de ajuda na documentação do AWS Artifact.

  • Perguntas frequentes sobre o acordo BAA

    O AWS Artifact Agreements é um recurso do serviço AWS Artifact (nosso portal de auditoria e conformidade). O AWS Artifact Agreements permite revisar, aceitar e gerenciar o status de um acordo de Business Associate Addendum (BAA – Adendo de associado comercial) no Console de Gerenciamento da AWS da sua conta. Você pode usar o console para assinar um acordo BAA, designando imediatamente uma conta da AWS para uso com Protected Health Information (PHI – Informações protegidas de saúde). Além disso, você pode usar o console para confirmar que a sua conta da AWS é designada como conta da HIPAA e revisar os termos do acordo aceito para compreender suas obrigações. Se você não precisa mais usar a conta para PHI, use o AWS Artifact Agreements para encerrar o BAA.

    Se você for um administrador de uma conta da AWS, poderá conceder permissões do IAM a outros usuários para permitir que eles façam o download, aceitem ou encerrem contratos em nome da sua conta no AWS Artifact. Para obter mais informações, consulte a Documentação do AWS Artifact.

    No momento, o adendo de associado comercial (BAA) é o único acordo setorial especializado disponível no AWS Artifact Agreements. Antes de assinar um acordo BAA, você deve fazer o download de um Nondisclosure Agreement (NDA – Acordo de confidencialidade) e concordar com os termos desse acordo. O BAA é confidencial e não pode ser compartilhado com outras pessoas fora da sua organização.

    Sim. Será necessário assinar outro NDA no Artifact para poder fazer o download de documentos confidenciais no Artifact.

    Se você for um administrador de uma conta da AWS, terá automaticamente permissões para fazer o download, aceitar e encerrar acordos dessa conta. Se você não for um administrador, precisará de permissões adicionais para aceitar e encerrar acordos. Usuários com contas do IAM que receberam acesso completo para fazer o download de todos os relatórios não herdarão o acesso para aceitar ou encerrar acordos. No entanto, usuários com contas do IAM que receberam acesso completo ao AWS Artifact (ou seja, uma política do IAM com Artifact*) poderão executar todas as ações.

    Os níveis diferentes de permissões proporcionam aos administradores a flexibilidade de conceder permissões a usuários do IAM de acordo com as necessidades de negócios dos usuários. Para obter mais informações, consulte a Documentação do AWS Artifact.

    Sim. Por padrão, os usuários com privilégios administrativos poderão usar o AWS Artifact Agreements para fazer o download, revisar e aceitar acordos. Você deve sempre revisar todos os termos do acordo com as equipes dos setores jurídico, de privacidade e/ou conformidade antes de aceitar esses acordos. Além disso, é possível usar o IAM para conceder de forma transparente acesso aos usuários com necessidade de negócios (como membros das equipes dos setores jurídico, de privacidade e/ou conformidade) para que possam fazer o download, revisar e aceitar acordos para a organização. Para obter mais informações, consulte a Documentação do AWS Artifact.

    Não. Se você assinou anteriormente um BAA offline, os termos desse BAA continuarão em vigor para as contas já designadas como contas da HIPAA nesse BAA offline.

    Para qualquer conta ainda não designada como conta da HIPAA no BAA offline, você poderá usar o AWS Artifact Agreements para aceitar um BAA online para essa conta e designá-la imediatamente como conta da HIPAA.

    Não. Para proteger a confidencialidade do BAA offline, por padrão, você não poderá fazer o download desse BAA no AWS Artifact Agreements. Se você quiser visualizar uma cópia do BAA offline assinado anteriormente, entre em contato com o gerente de contas da AWS para solicitar essa visualização.

    Sim. Siga as etapas da interface do AWS Artifact para remover a conta como conta da HIPAA no BAA offline. Somente remova uma conta como conta da HIPAA se tiver certeza de que removeu todas as informações protegidas de saúde (PHI) da conta e que não usará essa conta para atividades relacionadas a essas informações.

    Não. Se você precisar designar uma conta como conta da HIPAA no BAA offline assinado anteriormente, siga o processo descrito no BAA offline (ou seja, envie um e-mail para aws-hipaa@amazon.com). Após a confirmação da AWS, a interface do Artifact Agreements será alterada para mostrar que essa conta foi designada como conta da HIPAA no BAA offline.

    Não. Clientes com um BAA offline assinado anteriormente não poderão encerrar esse BAA offline no AWS Artifact. Para encerrar um BAA offline assinado anteriormente, os clientes terão de enviar uma notificação por escrito à AWS de acordo com os termos do BAA offline.

    Quando você aceitar um BAA online no AWS Artifact, a conta usada para fazer login no AWS Artifact será designada automaticamente como conta da HIPAA no BAA online. Nenhuma etapa adicional será necessária.

    Se tiver contas adicionais que precisem da cobertura de um BAA, você precisará fazer login no AWS Artifact para cada uma dessas contas e aceitar separadamente um BAA para cada conta.

    Sim. No entanto, será necessário fazer login no AWS Artifact para cada conta que precisa da cobertura de um BAA e aceitar separadamente um BAA para cada conta.

    De forma semelhante, se você encerrar um BAA online, somente a conta associada com esse acordo BAA online será removida como conta da HIPAA.

    O AWS Artifact Agreements funciona da mesma forma para contas de revendedor. Os revendedores podem usar o IAM para controlar quem tem permissões para fazer o download, aceitar e encerrar acordos. Por padrão, somente os usuários com privilégios administrativos podem conceder acesso.

    O AWS Artifact Agreements e todo o serviço AWS Artifact podem ser usados de forma independente e gratuita por usuários técnicos e não técnicos. Os administradores de contas da AWS podem conceder aos usuários permissões do IAM para executar uma ou mais ações no AWS Artifact. Essas ações incluem fazer o download de relatórios, aceitar acordos e encerrar acordos. Para obter mais informações, consulte a Documentação do AWS Artifact.

    Se você encerrar um BAA online no AWS Artifact, a conta usada para fazer login no AWS Artifact será removida imediatamente como conta da HIPAA e deixará de ser coberta por um BAA com a AWS. O encerramento de um BAA online para uma conta no AWS Artifact não encerrará nenhum outro BAA com a AWS em vigor para qualquer outra conta.

    Somente encerre um BAA para uma conta se tiver certeza de que removeu todas as informações protegidas de saúde (PHI) da conta e que não usará essa conta para atividades relacionadas a essas informações.

    Você poderá usar qualquer serviço da AWS em uma conta designada como conta da HIPAA. No entanto, as PHI somente poderão ser incluídas nos serviços qualificados pela HIPAA. A nossa página Referência de serviços qualificados pela HIPAA contém a lista mais recente dos serviços qualificados pela HIPAA.

    Sim. Se você preferir assinar um BAA offline com a AWS, entre em contato com o gerente de contas da AWS ou entre em contato conosco para enviar sua solicitação. No entanto, recomendamos que você aproveite a velocidade, a eficiência e a visibilidade oferecidas pelo AWS Artifact Agreements.

    1. Verifique se está usando a versão mais recente do navegador da web e se o Adobe Reader está disponível.
    2. Habilite pop-ups no navegador para permitir o download de anexos.
    3. Verifique a pasta de downloads recentes.
    4. Revise o documento e compartilhe-o conforme a necessidade.

 

Comece a usar gratuitamente o AWS Artifact