Geral

1. Qual é a melhor maneira de preencher meu questionário anual de fornecedor/prestador/due-diligence da AWS?

Se você precisa de ajuda para preencher um questionário para documentar as posições de segurança e conformidade da AWS, a AWS tem uma abordagem recomendada, desenvolvida para fornecer a você os recursos de que você precisa para responder às suas perguntas de segurança e conformidade no contexto da nuvem e do modelo de negócios da AWS. Os recursos mais utilizados para preencher questionários de segurança e conformidade são:

  • AWS Artifact – O AWS Artifact é sua primeira opção de recurso para informações relacionadas à conformidade que importam para você. Oferece acesso sob demanda aos relatórios de segurança e conformidade da AWS e a acordos online específicos. Entre os relatórios disponíveis no AWS Artifact, estão os relatórios do Service Organization Control (SOC ), o atestado de conformidade Payment Card Industry (PCI ), bem como certificações de órgãos de credenciamento de diversas áreas geográficas e setores de conformidade que validam a eficácia da implementação e operação dos controles de segurança da AWS. Os acordos disponíveis no AWS Artifact incluem o Business Associate Addendum (BAA) e o Acordo de confidencialidade (NDA).
  • Página de programas de conformidade da AWS: os programas de conformidade da AWS permitem que nossos clientes compreendam os controles robustos estabelecidos na AWS para manter a segurança e a proteção de dados na nuvem.
  • Página de controles de datacenter da AWS: Muitos questionários têm uma seção inteira com perguntas relacionadas à segurança física de datacenters. Essa página da Web fornece insights sobre alguns de nossos controles físicos e ambientais.
  • Whitepaper sobre conformidade e avaliação de riscos da AWS: este documento também aborda informações específicas da AWS sobre questões gerais de conformidade da computação em nuvem.
  • Questionário sobre a iniciativa de avaliações de consenso da CSA: o questionário sobre a iniciativa de avaliações de consenso da CSA oferece um conjunto de perguntas que a CSA prevê que um consumidor ou auditor de nuvem faria a um provedor de nuvem. Ele fornece uma série de perguntas sobre segurança, controle e processo, que podem ser usadas em uma ampla variedade de situações, como a seleção de provedor de nuvem e a avaliação de segurança. Esse documento contém as respostas da AWS ao questionário da CSA.
  • Questionário SIG: o questionário Standardized Information Gathering (SIG) destina-se a ser utilizado por clientes que utilizam as ferramentas de questionário SIG de avaliação compartilhada para padronizar o processo de avaliações de risco de terceiros. A AWS completou o questionário com respostas descritivas para ajudar os clientes da AWS no processo de devida diligência da Nuvem AWS. Você encontra o SIG no AWS Artifact.
2. Quais produtos da AWS estão em conformidade com os padrões comuns de segurança e conformidade na nuvem?

A página Serviços da AWS dentro do escopo fornece uma lista de serviços avaliados e aprovados por atenderem aos padrões comuns de conformidade.

3. A AWS tem subprocessadores?

A AWS pode envolver as entidades listadas na página da web de subprocessadores da AWS para realizar atividades de processamento específicas em nome do cliente ou atividades de gerenciamento de instalações de data center. Essa página da Web também oferece aos clientes a opção de assinar notificações por e-mail se a lista de subprocessadores for alterada.

4. Vocês podem fornecer os locais de datacenters da AWS para minha política de continuidade de negócios ou recuperação de desastres?

A AWS mantém nossos locais de datacenters estritamente confidenciais, para manter a segurança e a privacidade dos dados dos clientes. A convenção de nomenclatura de nossas Regiões da AWS indica a localização geográfica geral das zonas de disponibilidade e datacenters que compõem a região. Outros detalhes sobre a localização geral dos datacenters estão contidos em nosso relatório PCI-DSS disponível pelo AWS Artifact. Para saber mais, acesse nossa página da Web sobre a infraestrutura global da AWS.

5. Como avalio a segurança e a resiliência dos datacenters da AWS?

Os clientes podem avaliar a segurança e a resiliência da infraestrutura física da AWS considerando todos os controles de segurança que a AWS tem em vigor para seus datacenters. Para ajudar os clientes a entender mais profundamente nossos controles de segurança física e resiliência, um auditor independente e competente valida a presença e a operação de controles como parte de nosso relatório SOC 2 Tipo II, disponível aos clientes pelo AWS Artifact. Essa validação de terceiros amplamente aceita fornece aos clientes uma certificação independente da eficácia dos controles em vigor. As análises independentes da segurança física de datacenters também fazem parte dos programas de conformidade ISO 27001, PCI, ITAR e FedRAMP.

6. A AWS permite que clientes visitem datacenters físicos?
Não. Como nossos datacenters hospedam vários clientes, a AWS não permite visitas de clientes aos datacenters, visto que isso expõe um vasto número de clientes ao acesso físico a terceiros. Porém, os clientes e o público em geral podem fazer uma visita digital por um datacenter da AWS para entender melhor a infraestrutura e controles em nosso site.
7. Quais fatores são importantes para os clientes avaliarem como parte do planejamento para recuperação de desastres?

Os clientes que avaliam a AWS como parte do planejamento para recuperação de desastres devem primeiro identificar suas metas de resiliência e considerar os requisitos normativos aplicáveis em termos de resiliência e recuperação de desastres. Os clientes podem, então, arquitetar seus ambientes da AWS para atender a suas metas de resiliência e seus requisitos normativos. Por exemplo, para reduzir os riscos ambientais, os clientes podem projetar suas workloads da AWS para utilizar as zonas de disponibilidade e regiões fisicamente separadas para atingir seus objetivos. Ao planejar a continuidade dos negócios e a recuperação de desastres, os clientes da AWS devem utilizar as práticas recomendadas contidas no pilar de confiabilidade do AWS Well Architected Framework.

Relatórios de conformidade

1. Onde posso baixar relatórios de conformidade da AWS, como um relatório SOC, atestado de conformidade PCI ou questionário SIG?

O AWS Artifact oferece vários relatórios de conformidade emitidos por auditores de terceiros que testaram e verificaram a nossa conformidade com diversos padrões e regulamentos de segurança globais, regionais e específicos do setor. Quando novos relatórios são lançados, eles são disponibilizados para download pelos clientes no AWS Artifact. Para saber mais, acesse as Perguntas frequentes sobre relatórios de conformidade. Acesse o AWS Artifact diretamente no Console de Gerenciamento da AWS.

2. Onde posso encontrar uma carta de ponte para os relatórios SOC 1 e SOC 2 da AWS?

Com base no ano inteiro de cobertura da AWS em nossos ciclos dos relatórios SOC 1 e SOC 2, publicamos uma Carta de operações continuadas do SOC em vez de uma carta de ponte ou uma letra de lacuna. Esse documento pode ser transferido por download usando o AWS Artifact no Console de Gerenciamento da AWS.

3. Os relatórios SOC da AWS expiram no final do período de relatório?

Não. As auditorias SOC são realizadas ao longo de um período de tempo. Terminado o período de auditoria, o relatório é preparado e disponibilizado aos clientes dentro de 6 a 8 semanas. A AWS emite relatórios SOC1 e SOC2 abrangendo períodos de seis meses todos os anos (o primeiro relatório abrange de 1º de outubro a 31 de março e o segundo, de 1º de abril a 30 de setembro). Há muitos fatores que influenciam a data de lançamento do relatório, mas nossa meta é o início de maio e o início de novembro de cada ano para o lançamento de novos relatórios. Quando novos relatórios SOC são lançados, eles são disponibilizados para download pelos clientes no AWS Artifact.

4. Como meus clientes finais obtêm uma cópia dos relatórios SOC 1 e SOC 2 da AWS?

A AWS fica contente em fornecer a seu cliente uma cópia de nosso relatório SOC 1 ou SOC 2. Para melhor oferecer suporte a seus clientes, recomendamos que usem o Guia de conceitos básicos com o AWS Artifact para baixar o relatório SOC1 ou SOC2 usando a própria conta da AWS deles.. A criação de uma conta é gratuita. Após fazerem login na conta, os clientes poderão acessar os relatórios disponíveis no Console AWS acessando Artifact em Security, Identity and Compliance (Segurança, identidade e conformidade).

Se preferir, você pode baixar os relatórios de conformidade da AWS no AWS Artifact e compartilhá-los diretamente com seus clientes, quando permitido pelos termos e condições aplicáveis ao relatório específico de conformidade da AWS. Consulte os termos e as condições aplicáveis na primeira página do relatório de conformidade da AWS baixado do AWS Artifact para verificar se o compartilhamento desse relatório é permitido ou não.

Também publicamos o relatório SOC 3 da AWS em nossa página da Web Conformidade SOC. O relatório SOC 3 é um resumo do relatório SOC 2 da AWS. Ele fornece garantia, inclusive o parecer do auditor externo, de que a AWS mantém a operação efetiva dos controles com base nos critérios estabelecidos nos Princípios de serviços de confiança da AICPA.

Programas de conformidade

1. A AWS é certificada pela HIPAA?

Não há certificação da HIPAA para um provedor de serviços de nuvem (CSP) como a AWS. Porém, a AWS alinha seu programa de gerenciamento de riscos da HIPAA com o FedRAMP, NIST 800-30 e o NIST 800-53, que são padrões de segurança mapeados para a regra de segurança da HIPAA. A NIST aceita esse alinhamento e lançou o guia SP 800-66 Rev. 1, An Introductory Resource Guide for Implementing the HIPAA Security Rule (Guia de recursos introdutórios para implementar a regra de segurança da HIPAA), que documenta como a NIST 800-53 está alinhada à regra de segurança da HIPAA. Consulte a página da Web sobre a HIPAA da AWS para obter mais informações sobre a conformidade com a HIPAA na AWS.

2. A AWS assinará um Adendo de associado comercial (BAA – Business Associate Addendum) conforme descrito nas regras e regulamentos da HIPAA?

Sim. A AWS tem um BAA padrão que celebramos com os clientes. Esse acordo considera os serviços exclusivos que a AWS oferece e acomoda o modelo de responsabilidade compartilhada da AWS.

Para revisar, aceitar e gerenciar o status do BAA da sua conta ou de todas as contas que fazem parte de sua organização no AWS Organizations, faça login no AWS Artifact a partir do Console de Gerenciamento da AWS.

3. O que significa que um serviço da AWS é qualificado para a HIPAA?

A AWS segue um programa de gerenciamento de risco baseado em normas para garantir que os serviços qualificados pela HIPAA ofereçam suporte especificamente aos processos de segurança, controle e administração exigidos de acordo com a HIPAA. Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta HIPAA, mas devem apenas processar, armazenar e transmitir informações de saúde protegidas (PHI) usando serviços elegíveis para a HIPAA. Consulte os seguintes recursos da AWS para obter mais informações sobre a conformidade com a HIPAA na AWS:

4. Como posso manter minha conformidade com a HITRUST na AWS?

Os clientes podem usar a certificação HITRUST CSF da AWS dos serviços no escopo como apoio para sua própria certificação HITRUST CSF. Para obter a lista mais recente de produtos da AWS certificados pelas HITRUST CSF, consulte a página de serviços da AWS no escopo por programa de conformidade. Os clientes da AWS podem herdar a certificação HITRUST CSF da AWS, desde que usem apenas nos serviços do escopo e apliquem os controles detalhados no site do HITRUST Alliance. Os clientes podem baixar a AWS Custom HITRUST Shared Responsibility Matrix para determinar requisitos do HITRUST que os clientes da AWS podem herdar como parte do modelo de responsabilidade compartilhada. Os clientes devem consultar a página do Guia do usuário da MyCSF sobre como iniciar a solicitação de herança.

5. Como faço para celebrar um Adendo de processamento de Dados (DPA - Data Processing Addendum) em conformidade com o RGPD com a AWS?

Você não precisa tomar nenhuma medida para obter o benefício do DPA do RGPD. Os termos do DPA do RGPD estão incorporados aos Termos de Serviço da AWS e, desde 25 de maio de 2018, o DPA do RGPD aplica-se automaticamente a clientes cujas atividades estejam dentro do escopo do RGPD. Consulte esta publicação do blog de segurança da AWS para saber mais sobre o DPA da AWS. Para mais informações, acesse a Central do GDPR.

6. A AWS é certificada pelo Privacy Shield entre UE e EUA?

Sim, a AWS é certificada pelo Privacy Shield entre UE e EUA. Você pode visualizar a certificação da AWS aqui. Apesar de o tribunal de justiça da União Europeia em julho 2020 ter julgado que a Decisão de Execução (UE) 2016/1250 (quanto à adequação da proteção fornecida pelo Privacy Shield entre UE e EUA) não é mais válida, essa decisão não isenta os participantes do Privacy Shield entre UE e EUA de suas obrigações de acordo com este framework.

Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »