Geral

1. Qual é a melhor maneira de preencher meu questionário anual de fornecedor/prestador/due-diligence da AWS?

Se você precisa de ajuda para preencher um questionário para documentar as posições de segurança e conformidade da AWS, a AWS tem uma abordagem recomendada, desenvolvida para fornecer a você os recursos de que você precisa para responder às suas perguntas de segurança e conformidade no contexto da nuvem e do modelo de negócios da AWS. Os recursos mais utilizados para preencher questionários de segurança e conformidade são:

  • AWS Artifact – O AWS Artifact é sua primeira opção de recurso para informações relacionadas à conformidade que importam para você. Ele oferece acesso sob demanda aos relatórios de segurança e conformidade da AWS e a acordos online específicos. O relatório SOC 2 da AWS é particularmente útil para o preenchimento de questionários, pois fornece uma descrição abrangente da implementação e da eficácia operacional dos controles de segurança da AWS. Outro documento útil é o briefing executivo dentro do pacote de parceiros do FedRAMP da AWS.
  • Questionário da iniciativa de avaliações de consenso da CSA – O Questionário da iniciativa de avaliações de consenso da CSA oferece um conjunto de perguntas que a CSA prevê que um consumidor e/ou auditor de nuvem faria a um provedor de nuvem. Ele fornece uma série de perguntas sobre segurança, controle e processo, que podem ser usadas em uma ampla variedade de situações, como a seleção de provedor de nuvem e a avaliação de segurança. Esse documento contém as respostas da AWS ao questionário da CSA.
  • Whitepaper de conformidade e avaliação de riscos da AWS – Este documento também aborda informações específicas da AWS sobre questões gerais de conformidade da computação em nuvem. Há descrições detalhadas de todos os programas, certificações, relatórios e declarações de terceiros da AWS. 
  • Página da web de controels de data center da AWS – Muitos questionários têm uma seção inteira com perguntas relacionadas à segurança física de data centers. Essa página da web fornece informações sobre alguns dos nossos controles físicos e ambientais.
2. Quais serviços e recursos da AWS estão em conformidade com os padrões comuns de segurança e conformidade na nuvem?

Serviços da AWS dentro do escopo fornece uma lista de serviços avaliados e aprovados por atenderem aos padrões comuns de conformidade. A menos que especificamente indicados como excluídos, os recursos de cada um dos serviços listados são considerados no escopo do programa de conformidade e foram revisados e testados como parte da avaliação. Consulte a Documentação da AWS para conhecer os recursos de um serviço da AWS. 

3. Posso cumprir meus requisitos regulamentares na AWS?

A AWS tem clientes em todo o mundo e está se adaptando continuamente às regulamentações em constante evolução. O AWS Compliance Center oferece a você um local central para pesquisar requisitos normativos relacionados à nuvem e como eles afetam seu setor. Selecione o país em que você está interessado, e o AWS Compliance Center exibirá a posição normativa do país em relação à adoção de serviços em nuvem.  

4. A AWS tem subprocessadores?

A AWS pode envolver as entidades listadas na página da web de subprocessadores da AWS para realizar atividades de processamento específicas em nome do cliente ou atividades de gerenciamento de instalações de data center. Essa página da web também oferece aos clientes a opção de assinar notificações por e-mail se a lista de subprocessadores mudar.

A AWS informa proativamente nossos clientes sobre quaisquer subcontratados que tenham acesso ao conteúdo de propriedade do cliente que você carregar na AWS, incluindo conteúdo que possa conter dados pessoais. Não há subcontratados autorizados pela AWS a acessar qualquer conteúdo de propriedade do cliente que você carregue na AWS. Para monitorar o acesso dos subcontratados durante todo o ano, consulte a página da web de acesso por terceiros da AWS

5. Vocês podem fornecer os locais de data centers da AWS para minha política de continuidade de negócios ou recuperação de desastres?

A AWS mantém nossos locais de data centers estritamente confidenciais, para manter a segurança e a privacidade dos dados dos clientes. Os locais são divulgados apenas para funcionários e contratados da AWS que tenham uma necessidade de negócios aprovada de estar nesses locais.

Os clientes podem avaliar a segurança e a resiliência da infraestrutura física da AWS considerando todos os controles de segurança que a AWS tem em vigor para seus data centers. Para oferecer suporte aos clientes que avaliam riscos relacionados aos data centers da AWS, a AWS fornece a página da web sobre controles de data center da AWS e o relatório SOC 2 da AWS, disponível no AWS Artifact

6. Quais fatores são importantes para os clientes avaliarem como parte do planejamento para recuperação de desastres?

Os clientes que avaliam a AWS como parte do planejamento para recuperação de desastres devem primeiro identificar suas metas de resiliência e considerar quaisquer requisitos normativos aplicáveis em termos de resiliência e recuperação de desastres. Os clientes podem, então, arquitetar seus ambientes da AWS para atender a suas metas de resiliência e seus requisitos normativos. Por exemplo, para reduzir os riscos ambientais, os clientes podem projetar suas cargas de trabalho da AWS para aproveitar as Zonas de disponibilidade e regiões fisicamente separadas para atingir seus objetivos. Os clientes com requisitos de alta disponibilidade costumam usar várias regiões para aplicações essenciais. Saiba mais na página da web sobre recuperação de desastres da AWS, na página da web sobre controles de data center da AWS e no relatório SOC 2 da AWS, disponível no AWS Artifact.

Relatórios de conformidade

1. Onde posso fazer download relatórios de conformidade da AWS, como um relatório SOC ou PCI?

O AWS Artifact oferece vários relatórios de conformidade emitidos por auditores externos que testaram e verificaram a nossa conformidade com diversos padrões e regulamentos de segurança globais, regionais e específicos do setor. Quando novos relatórios são lançados, eles são disponibilizados para download pelos clientes no AWS Artifact. Para saber mais, acesse as Perguntas frequentes sobre relatórios de conformidade. Acesse o AWS Artifact diretamente no Console de Gerenciamento da AWS.

2. Onde posso encontrar uma carta de ponte para os relatórios SOC 1 e SOC 2 da AWS?

Com base no ano inteiro de cobertura da AWS em nossos ciclos dos relatórios SOC 1 e SOC 2, publicamos uma Carta de operações continuadas do SOC em vez de uma carta de ponte ou uma letra de lacuna. Esse documento pode ser transferido por download usando o AWS Artifact no Console de Gerenciamento da AWS.

3. Os relatórios SOC da AWS expiram no final do período de relatório?

Não. As auditorias SOC são realizadas ao longo de um período de tempo. Terminado o período de auditoria, o relatório é preparado e disponibilizado aos clientes dentro de 6 a 8 semanas. A AWS emite dois relatórios SOC 1 e SOC 2 abrangendo períodos de 6 meses todos os anos (o primeiro relatório abrange de 1º de outubro a 31 de março e o segundo, de 1º de abril a 30 de setembro). Há muitos fatores que influenciam a data de lançamento do relatório, mas nossa meta é o início de maio e o início de novembro de cada ano para o lançamento de novos relatórios. Quando novos relatórios SOC são lançados, eles são disponibilizados para download pelos clientes no AWS Artifact.

4. Como meus clientes finais obtêm uma cópia dos relatórios SOC 1 e SOC 2 da AWS?

A AWS tem o prazer de fornecer ao cliente uma cópia dos nossos relatórios SOC 1 ou SOC 2. No entanto, exigimos que o usuário pretendido do relatório tenha um Contrato de não divulgação (NDA) em vigor diretamente com a AWS. Para melhor oferecer suporte aos seus clientes, recomendamos que eles usem o Guia de conceitos básicos com o AWS Artifact para fazer download dos relatórios de conformidade solicitados.

Se o cliente não quiser celebrar um NDA com a AWS, publicaremos o relatório SOC 3 da AWS em nossa página da web de conformidade com o SOC. O relatório SOC 3 é um resumo do relatório SOC 2 da AWS. Ele fornece garantia, incluindo o parecer do auditor externo, de que a AWS mantém a operação efetiva dos controles com base nos critérios estabelecidos nos Princípios de serviços de confiança da AICPA.

Programas de conformidade

1. A AWS é certificada pela HIPAA?

Não há certificação da HIPAA para um provedor de serviços de nuvem (CSP) como a AWS. Para atender aos requisitos da HIPAA aplicáveis ao nosso modelo operacional, a AWS alinha nosso programa de gerenciamento de risco da HIPAA com a FedRAMP e a NIST 800-53, que são normas de segurança mais abrangentes relacionadas à regra de segurança da HIPAA. A NIST aceita esse alinhamento e lançou o guia SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule, que documenta como a NIST 800-53 está alinhada à regra de segurança da HIPAA. Consulte a página da web sobre HIPAA da AWS para obter mais informações sobre a conformidade com a HIPAA na AWS.

2. A AWS assinará um Adendo de associado comercial (BAA – Business Associate Addendum) conforme descrito nas regras e regulamentos da HIPAA?

Sim. A AWS tem um BAA padrão que celebramos com os clientes. Esse acordo considera os serviços exclusivos que a AWS oferece e acomoda o modelo de responsabilidade compartilhada da AWS.

Para revisar, aceitar e gerenciar o status do BAA da sua conta ou de todas as contas que fazem parte de sua organização no AWS Organizations, faça login no AWS Artifact a partir do Console de Gerenciamento da AWS.

3. O que significa que um serviço da AWS é qualificado para a HIPAA?

A AWS segue um programa de gerenciamento de risco baseado em normas para garantir que os serviços qualificados pela HIPAA ofereçam suporte especificamente aos processos de segurança, controle e administração exigidos de acordo com a HIPAA. Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta HIPAA, mas devem apenas processar, armazenar e transmitir informações de saúde protegidas (PHI) usando serviços elegíveis para a HIPAA. Consulte os seguintes recursos da AWS para obter mais informações sobre a conformidade com a HIPAA na AWS:

4. Como faço para manter minha conformidade com a HITRUST na AWS?

A AWS oferece uma grande variedade de certificações e credenciamentos que contemplam programas de conformidade de todo o mundo. Você pode utilizar as certificações e os credenciamentos para atender a programas de conformidade adicionais, como HITRUST Common Security Framework ou programas oferecidos pela Healthcare Network Accreditation Commission (EHNAC, Comissão de credenciamento de redes de saúde). Também é possível trabalhar com um de nossos parceiros especializados em conformidade na área de saúde.

5. Como faço para celebrar um Adendo de processamento de Dados (DPA - Data Processing Addendum) em conformidade com o RGPD com a AWS?

Você não precisa tomar nenhuma medida para obter o benefício do DPA do RGPD. Os termos do DPA do RGPD estão incorporados aos Termos de serviço da AWS e, desde 25 de maio de 2018, o DPA do RGPD aplica-se automaticamente a clientes cujas atividades estejam dentro do escopo do RGPD. Consulte este post de blog de segurança da AWS para saber mais sobre o DPA da AWS.

6. A AWS é certificada pelo Privacy Shield entre UE e EUA?

Sim, a AWS é certificada pelo Privacy Shield entre UE e EUA. Você pode visualizar a certificação da AWS aqui. Apesar do tribunal de justiça da União Europeia em julho 2020 ter julgado como “inválida” a Decisão de Execução (UE) 2016/1250 (quanto à adequação da proteção fornecida pelo Privacy Shield entre UE e EUA), essa decisão não isenta os participantes do Privacy Shield entre UE e EUA de suas obrigações de acordo com esta estrutura de trabalho.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »