Perguntas frequentes de Conformidade da AWS
Geral
Abrir tudo1. Qual é a melhor maneira de preencher meu questionário anual de fornecedor, prestador e diligência devida da AWS?
Se você precisar de ajuda para preencher um questionário para documentar as posições de segurança e conformidade da AWS, a AWS tem uma abordagem recomendada, desenvolvida para fornecer a você os recursos de que você precisa para responder às perguntas de segurança e conformidade no contexto da nuvem e no modelo de negócios da AWS. Os recursos mais utilizados para preencher questionários de segurança e conformidade são:
- AWS Artifact: o AWS Artifact é sua primeira opção de recurso para informações relacionadas à conformidade relevantes para você. Oferece acesso sob demanda aos relatórios de segurança e conformidade da AWS e a acordos online específicos. Entre os relatórios disponíveis no AWS Artifact, estão os relatórios do Service Organization Control (SOC ), o atestado de conformidade Payment Card Industry (PCI ), bem como certificações de órgãos de credenciamento de diversas áreas geográficas e setores de conformidade que validam a eficácia da implementação e operação dos controles de segurança da AWS. Os acordos disponíveis no AWS Artifact incluem o Business Associate Addendum (BAA – Adendo de associado comercial) e o Nondisclosure Agreement (NDA – Acordo de confidencialidade).
- Página de programas de conformidade da AWS: os programas de conformidade da AWS permitem que nossos clientes compreendam os controles robustos estabelecidos na AWS para manter a segurança e a proteção de dados na nuvem.
- Página de controles de data center da AWS: muitos questionários têm uma seção com perguntas relacionadas à segurança física de data centers. Essa página da Web fornece insights sobre alguns dos nossos controles físicos e ambientais.
- Whitepaper sobre conformidade e avaliação de riscos da AWS: este documento também aborda informações específicas da AWS sobre questões gerais de conformidade da computação em nuvem.
- Questionário sobre a iniciativa de avaliações de consenso da CSA: o questionário sobre a iniciativa de avaliações de consenso da CSA oferece um conjunto de perguntas que a CSA prevê que um consumidor ou auditor de nuvem faria a um provedor de nuvem. Ele fornece uma série de perguntas sobre segurança, controle e processo, que podem ser usadas em uma ampla variedade de situações, como a seleção de provedor de nuvem e a avaliação de segurança. Esse documento contém as respostas da AWS ao questionário da CSA.
- Avaliação do AWS CyberGRX: os clientes podem aproveitar o relatório do AWS CyberGRX para reduzir a carga de diligência devida de seus fornecedores, substituindo planilhas estáticas desatualizadas, bem como a necessidade de solicitar repetidamente acesso à avaliação da AWS a cada ano. Os clientes também podem usar o recurso Framework Mapper da CyberGRX, que lhes permitirá mapear a avaliação da AWS de acordo com estruturas e padrões industriais comumente usados para obter instantaneamente visibilidade da cobertura dos controles.
- Avaliação da AWS CyberVadis: os clientes podem utilizar o relatório de avaliação de risco e o cartão de pontuação da AWS CyberVadis para a devida diligência de seus fornecedores. A avaliação da CyberVadis fornece recursos avançados ao integrar as respostas da AWS com análises e modelos de risco sofisticados, para fornecer uma visão aprofundada da postura de segurança da AWS. Os clientes podem usar os resultados da CyberVadis para mapear a avaliação da AWS de acordo com estruturas e padrões do setor comumente usados para obter instantaneamente visibilidade da cobertura dos controles.
- Questionário SIG: o questionário Standardized Information Gathering (SIG) destina-se a ser utilizado por clientes que utilizam as ferramentas de questionário SIG de avaliação compartilhada para padronizar o processo de avaliações de risco de terceiros. A AWS completou o questionário com respostas descritivas para ajudar os clientes da AWS no processo de devida diligência da Nuvem AWS. Você encontra o SIG no AWS Artifact.
2. Quais produtos da AWS estão em conformidade com os padrões comuns de segurança e conformidade na nuvem?
A página Serviços da AWS no escopo fornece uma lista de serviços avaliados e aprovados por atenderem aos padrões comuns de conformidade.
3. A AWS tem subprocessadores?
A AWS pode envolver as entidades listadas na página Subprocessadores da AWS para realizar atividades de processamento específicas em nome do cliente ou atividades de gerenciamento de instalações do data center. Essa página da Web também oferece aos clientes a opção de assinar notificações por e-mail se a lista de subprocessadores for alterada.
4. Onde posso aprender sobre a privacidade de dados na AWS?
Você pode aprender sobre a privacidade de dados no Centro de privacidade dos dados da AWS. Esta página da Web fornece informações sobre privacidade na AWS, leis e regulamentos de privacidade, perguntas frequentes e recursos.
5. Vocês podem me fornecer os locais de datacenters da AWS para a minha política de continuidade de negócios ou recuperação de desastres?
A AWS mantém nossos locais de datacenters estritamente confidenciais, para manter a segurança e a privacidade dos dados dos clientes. A convenção de nomenclatura de nossas regiões da AWS indica a localização geográfica geral das zonas de disponibilidade e datacenters que compõem a região. Outros detalhes sobre a localização geral dos data centers estão contidos em nosso relatório PCI-DSS disponível pelo AWS Artifact. Para saber mais, acesse nossa página Infraestrutura global da AWS.
6. Como eu avalio a segurança e a resiliência dos datacenters da AWS?
Os clientes podem avaliar a segurança e a resiliência da infraestrutura física da AWS considerando todos os controles de segurança que a AWS tem em vigor para seus datacenters. Para ajudar os clientes a entender mais profundamente nossos controles de segurança física e resiliência, um auditor independente e competente valida a presença e a operação dos controles como parte do nosso relatório SOC, disponível aos clientes pelo AWS Artifact. Essa validação de terceiros amplamente aceita fornece aos clientes uma certificação independente da eficácia dos controles em vigor. As análises independentes da segurança física de datacenters também fazem parte dos programas de conformidade ISO 27001, PCI, ITAR e FedRAMP.
7. A AWS permite que clientes visitem datacenters físicos?
Não. Como nossos datacenters hospedam vários clientes, a AWS não permite visitas de clientes aos datacenters, visto que isso expõe um vasto número de clientes ao acesso físico a terceiros. Porém, os clientes e o público em geral podem fazer uma visita digital a um data center da AWS para entender melhor a infraestrutura e controles em nosso site.
8. Quais fatores são importantes para os clientes avaliarem como parte do planejamento para recuperação de desastres?
Os clientes que avaliam a AWS como parte do planejamento para recuperação de desastres devem primeiro identificar suas metas de resiliência e considerar os requisitos normativos aplicáveis em termos de resiliência e recuperação de desastres. Os clientes podem, então, arquitetar seus ambientes da AWS para atender a suas metas de resiliência e seus requisitos normativos. Por exemplo, para reduzir os riscos ambientais, os clientes podem projetar suas workloads da AWS para utilizar as zonas de disponibilidade e regiões fisicamente separadas para atingir seus objetivos. Ao planejar a continuidade dos negócios e a recuperação de desastres, os clientes da AWS devem utilizar as práticas recomendadas contidas no pilar de confiabilidade do AWS Well Architected Framework. Mais informações sobre as recomendações de recuperação de desastres estão disponíveis em Recuperação de desastres de workloads na AWS: recuperação na nuvem.
Relatórios de conformidade
Abrir tudo1. Onde posso baixar relatórios de conformidade da AWS, como um relatório SOC, atestado de conformidade PCI ou questionário SIG?
O AWS Artifact oferece vários relatórios de conformidade emitidos por auditores de terceiros que testaram e verificaram a nossa conformidade com diversos padrões e regulamentos de segurança globais, regionais e específicos do setor. Quando novos relatórios são lançados, eles são disponibilizados para download pelos clientes no AWS Artifact. Para saber mais, acesse as Perguntas frequentes sobre relatórios de conformidade. Acesse também o AWS Artifact diretamente no Console de Gerenciamento da AWS.
2. Onde posso encontrar uma carta intermediária para os relatórios SOC 1 e SOC 2 da AWS?
Com base na cobertura contínua da AWS fornecida por nossos relatórios SOC de 12 meses emitidos várias vezes por ano, publicamos uma carta de operações continuadas do SOC em vez de uma carta intermediária ou carta lacuna. Essas cartas publicadas regularmente podem ser baixadas usando o AWS Artifact no Console de Gerenciamento da AWS.
3. Os relatórios SOC da AWS expiram no final do período de relatório?
Não. As auditorias SOC são realizadas ao longo de um período de tempo. Terminado o período de auditoria, o relatório é preparado e disponibilizado aos clientes em aproximadamente seis semanas. Desde 30 de setembro de 2023, a AWS emite relatórios SOC que cobrem períodos de 12 meses várias vezes ao ano. Os relatórios SOC 1 são emitidos trimestralmente, e os relatórios SOC 2 e SOC 3 são emitidos a cada 6 meses. Quando novos relatórios SOC são lançados, eles são disponibilizados para download pelos clientes no AWS Artifact.
4. Como meus clientes finais obtêm uma cópia dos relatórios SOC 1 e SOC 2 da AWS?
A AWS fica contente em fornecer a seu cliente uma cópia de nosso relatório SOC 1 ou SOC 2. Para melhor oferecer suporte a seus clientes, recomendamos que usem o Guia de conceitos básicos com o AWS Artifact para baixar o relatório SOC1 ou SOC2 usando a própria conta da AWS deles. A criação de uma conta é gratuita. Após fazerem login na conta, os clientes poderão acessar os relatórios disponíveis no Console da AWS acessando Artefato em Segurança, identidade e conformidade.
Se preferir, você pode baixar os relatórios de conformidade da AWS no AWS Artifact e compartilhá-los diretamente com seus clientes, quando permitido pelos termos e condições aplicáveis ao relatório específico de conformidade da AWS. Consulte os termos e as condições aplicáveis na primeira página do relatório de conformidade da AWS baixado do AWS Artifact para verificar se o compartilhamento desse relatório é permitido ou não.
Também publicamos o relatório SOC 3 da AWS em nossa página da Web Conformidade SOC. O relatório SOC 3 é um resumo do relatório SOC 2 da AWS. Ele fornece garantia, incluindo o parecer do auditor externo, de que a AWS mantém a operação efetiva dos controles com base nos critérios estabelecidos nos Princípios de serviços de confiança da AICPA.
Programas de compatibilidade
Abrir tudo1. A AWS é certificada pela HIPAA?
Não há certificação da HIPAA para um provedor de serviços de nuvem (CSP) como a AWS. No entanto, a AWS alinha seu programa de gerenciamento de riscos da HIPAA com as regras de privacidade do Departamento de Saúde e Serviços Humanos dos EUA (45 CFR parte 160 e subpartes A e E da parte 164) e segurança (45 CFR parte 160 e subpartes A e C da parte 164), regulamentos de simplificação administrativa da HIPAA (45 CFR 160, 162 e 164), FedRAMP, NIST 800-30 e NIST 800-53. A NIST aceita esse alinhamento e lançou o guia SP 800-66 Rev. 1, An Introductory Resource Guide for Implementing the HIPAA Security Rule, que documenta como a NIST 800-53 está alinhada à regra de segurança da HIPAA. Consulte a página da HIPAA na AWS para obter mais informações sobre a conformidade com a HIPAA na AWS.
2. A AWS assinará um Adendo de associado comercial (BAA – Business Associate Addendum) conforme descrito nas regras e regulamentos da HIPAA?
Sim. A AWS tem um BAA padrão que celebramos com os clientes. Esse acordo considera os serviços exclusivos que a AWS oferece e acomoda o Modelo de Responsabilidade Compartilhada da AWS.
Para revisar, aceitar e gerenciar o status do BAA da sua conta ou de todas as contas que fazem parte de sua organização no AWS Organizations, faça login no AWS Artifact por meio do Console de Gerenciamento da AWS.
3. O que significa que um serviço da AWS é qualificado para a HIPAA?
A AWS segue um programa de gerenciamento de risco baseado em normas para garantir que os serviços qualificados pela HIPAA ofereçam suporte especificamente aos processos de segurança, controle e administração exigidos de acordo com a HIPAA. Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta HIPAA, mas devem apenas processar, armazenar e transmitir informações de saúde protegidas (PHI) usando serviços elegíveis para a HIPAA. Consulte os seguintes recursos da AWS para obter mais informações sobre a conformidade com a HIPAA na AWS:
4. Como posso manter minha conformidade com a HITRUST na AWS?
Os clientes podem usar a certificação HITRUST CSF da AWS dos serviços em escopo como apoio para sua própria certificação HITRUST CSF. Para obter a lista mais recente dos serviços da AWS certificados pela HITRUST CSF, consulte a página da web AWS Services in Scope. Os clientes da AWS podem herdar a certificação HITRUST CSF da AWS, desde que usem apenas nos serviços do escopo e apliquem os controles detalhados no site do HITRUST Alliance. Os clientes podem baixar a AWS Custom HITRUST Shared Responsibility Matrix para determinar requisitos do HITRUST que os clientes da AWS podem herdar como parte do modelo de responsabilidade compartilhada. Os clientes devem consultar a página do MyCSF User Guide sobre como iniciar a solicitação de herança.
5. Como faço para celebrar um Adendo de processamento de Dados (DPA - Data Processing Addendum) em conformidade com o RGPD com a AWS?
Você não precisa tomar nenhuma medida para obter o benefício do DPA do RGPD. Os termos do DPA do RGPD estão incorporados aos Termos de Serviço da AWS e, desde 25 de maio de 2018, o DPA do RGPD aplica-se automaticamente a clientes cujas atividades estejam dentro do escopo do RGPD. Consulte esta publicação do blog de segurança da AWS para saber mais sobre o DPA da AWS. Para mais informações, acesse o Centro do RGPD.
6. Com quais programas regionais a AWS está em conformidade?
O programa de conformidade da AWS permite que nossos clientes compreendam os controles robustos estabelecidos na AWS para manter a segurança e a conformidade da nuvem. Você pode descobrir quais programas regionais específicos (globais, Américas, Ásia-Pacífico, Europa, Oriente Médio e África) a AWS cumpre na página Programas de conformidade da AWS.
