Gostaria de informações sobre a MPAA na Nuvem

A MPAA (Motion Picture Association of America, Associação de cinema das Américas) estabeleceu um conjunto de práticas recomendadas para armazenar, processar e entregar com segurança mídia e conteúdo protegidos http://www.fightfilmtheft.org/facility-security-program.html. As empresas de mídia usam essas melhores práticas como forma de avaliar o risco e a segurança do seu conteúdo e infraestrutura.

Embora a MPAA não ofereça uma "certificação", os clientes do setor de mídia podem usar a orientação da MPAA da AWS, que ilustra o alinhamento da AWS com as melhores práticas da MPAA, para melhorar a sua avaliação de risco e conteúdo do tipo MPAA na AWS."

Para obter informações adicionais sobre as soluções de mídia digital, acesse:

https://aws.amazon.com/digital-media/


"A AWS forneceu um meio flexível de estender nosso datacenter para a nuvem de forma segura, por meio de sua oferta de nuvem privada virtual (VPC)." Você pode aproveitar hardware/políticas existentes e procedimentos para um ambiente computacional seguro, contínuo e escalável que exige poucos recursos para ser gerenciado.

Theresa Miller Vice-presidente executiva de Tecnologia da Informação da LIONSGATE

Melhor prática
Assegurar a supervisão da função de segurança da informação pela administração executiva/proprietários, exigindo análise periódica do programa de segurança da informação e dos resultados da avaliação de riscos.
 
Implementação da AWS      
O ambiente de controle na Amazon começa no mais alto nível da Empresa. As liderança executiva e sênior desempenham um papel importante no estabelecimento de valores fundamentais e objetivo da empresa. A AWS estabeleceu políticas e uma estrutura de segurança da informação com base na estrutura dos Control Objectives for Information and related Technology (COBIT, Objetivos de controle para informações e tecnologia relacionada) e integrou com eficácia a estrutura certificável da ISO 27001, com base nos controles da ISO 27002, nos princípios de serviços de confiança do AICPA (American Institute of Certified Public Accountants), na PCI DSS v3.1 e na Publicação 800-53 Rev. 3 (Controles de segurança recomendados para sistemas de informação federais) do National Institute of Standards and Technology (NIST). Treinamento periódico baseando em função dos funcionários da AWS, que inclui treinamento em segurança da AWS. As auditorias de conformidade são realizadas para que os funcionários entendam e sigam as políticas estabelecidas.      
       
Melhor prática
     
Desenvolva um processo formal de avaliação de riscos de segurança focado em fluxos de trabalho de conteúdo e ativos confidenciais para identificar e priorizar os riscos de roubo e vazamento de conteúdo relevantes ao estabelecimento.      
       
Implementação da AWS      
A AWS implementou uma política de avaliação de risco, formal e documentada, que é atualizada e analisada pelo menos uma vez ao ano. Esta política trata do objetivo, escopo, funções, responsabilidade e compromisso de gerenciamento.

Alinhado com esta política, uma avaliação de risco anual, que abrange todas as regiões e negócios da AWS é conduzida pela equipe de conformidade da AWS e analisada pela gerência sênior da AWS. É complementar à certificação, atestado e relatórios que são conduzidos por auditores independentes. O objetivo da avaliação de risco é identificar ameaças e vulnerabilidades da AWS, atribuir a ameaças e vulnerabilidades uma classificação de risco, documentar formalmente a avaliação e criar um plano de tratamento de risco para tratamento de problemas. Os resultados da avaliação de risco são analisados pela gerência sênior da AWS anualmente e sempre que uma mudança significativa pedir uma nova avaliação de risco antes da avaliação de risco atual.

Os clientes mantêm a propriedade dos seus dados (conteúdo) e são responsáveis pela avaliação e pelo gerenciamento dos riscos associados com os fluxos de trabalho de seus dados para atender às suas necessidades de conformidade.

A estrutura de gerenciamento de risco da AWS é analisada por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
Melhor prática
Identifique os principais pontos de contato de segurança e defina funções e responsabilidades para a proteção de conteúdo e ativos.
 
Implementação da AWS      
A AWS tem uma organização estabelecida de segurança da informação, gerenciada pela equipe de Segurança da AWS e liderada pelo diretor de segurança da informação (CISO) da AWS. A AWS mantém e oferece treinamento sobre conhecimento de segurança a todos os usuários de sistemas de informação compatíveis com a AWS. Este treinamento de segurança anual inclui os seguintes tópicos: objetivos do treinamento de segurança e conhecimento, localização de todas as políticas da AWS, procedimentos de resposta a incidentes da AWS (incluindo instruções sobre como relatar incidentes de segurança internos e externos).

Os sistemas dentro da AWS são extensivamente instrumentados para monitorar as principais métricas operacionais e de segurança. Os alarmes são configurados para notificar o pessoal operacional e de gerenciamento automaticamente quando limites de aviso antecipado são ultrapassados nas principais métricas. Quando o limite é ultrapassado, o processo de resposta a incidentes da AWS é iniciado. A equipe de resposta de incidentes da Amazon emprega procedimentos de diagnóstico padrão do setor para impulsionar a resolução durante eventos que afetam os negócios. Os colaboradores fornecem cobertura 24 horas por dia, 7 dias por semana, 365 dias por ano para detectar incidentes e gerenciar o impacto e a resolução.

As funções e responsabilidades da AWS são analisadas por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
Melhor prática      
Estabeleça políticas e procedimentos a respeito da segurança de ativos e conteúdo. As políticas devem abordar pelo menos os tópicos a seguir:
• Políticas de recursos humanos
• Uso aceitável (p.ex., redes sociais, Internet, telefone, etc.)
• Classificação de ativos
• Políticas de manuseio de ativos
• Dispositivos de gravação digital (p.ex., smartphones, câmeras digitais, câmeras de vídeo)
• Política de exceções (por exemplo, processo para documentar desvios de políticas)
• Controles de senha (p.ex., tamanho mínimo de senha, protetores de tela)
• Proibição da remoção de ativos do cliente do estabelecimento
• Gerenciamento de alterações do sistema
• Política de denúncias
• Política de sanção (por exemplo, política disciplinar)
     
       
Implementação da AWS      
As equipes de segurança e conformidade da AWS estabeleceram políticas e uma estrutura de segurança da informação com base na estrutura dos Control Objectives for Information and related Technology (COBIT, Objetivos de controle para informações e tecnologia relacionada) e integraram com eficácia a estrutura certificável pela ISO 27001, com base nos controles da ISO 27002, nos princípios de serviços de confiança do AICPA (American Institute of Certified Public Accountants), na PCI DSS v3.0 e na Publicação 800-53 Rev. 3 (Controles de segurança recomendados para sistemas de informação federais) do National Institute of Standards and Technology (NIST).

A AWS mantém e oferece treinamento sobre conhecimento de segurança a todos os usuários de sistemas de informação compatíveis com a AWS. Este treinamento de segurança anual inclui os seguintes tópicos: objetivos do treinamento de segurança e conhecimento, localização de todas as políticas da AWS, procedimentos de resposta a incidentes da AWS (incluindo instruções sobre como relatar incidentes de segurança internos e externos).

As políticas, os procedimentos e programas de treinamento relevantes da AWS são analisados por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
Melhor prática      
Estabeleça um plano formal de resposta a incidentes que descreva as ações a serem tomadas quando um incidente de segurança é detectado e relatado.      
Implementação da AWS

A AWS implementou uma política e um programa de reposta a incidentes formais e documentados. A política trata do objetivo, escopo, funções, responsabilidade e compromisso de gerenciamento.

A AWS usa uma abordagem de três fases para gerenciar incidentes:
1. Fase de ativação e notificação: incidentes para a AWS começam com a detecção de um evento. Isso pode vir de várias fontes, incluindo:
a. Métricas e alarmes – a AWS mantém uma capacidade de conhecimento da situação excepcional, a maioria dos problemas são rapidamente detectados com monitoramento e alarme 24 horas por dia, 7 dias por semana, 365 dias por ano, em tempo real, das métricas e painéis de serviço. A maioria dos incidentes é detectada desta maneira. A AWS usa alarmes indicadores logo no início para identificar problemas proativamente que podem acabar causando impacto nos clientes.
b. Tíquete de problema apresentado por um funcionário da AWS.
c. Chamadas para a hotline de suporte técnico, 24 horas por dia, 7 dias por semana, 365 dias por ano.

Se o evento atende a critérios de incidentes, então o engenheiro de suporte relevante em atendimento iniciará o processo usando o sistema da ferramenta de gerenciamento de eventos da AWS e chamará os solucionadores relevantes do programa (por exemplo, a equipe de segurança). Os solucionadores farão uma análise do incidente para determinar se outros solucionadores precisam ser envolvidos e para determinar a causa raiz aproximada.

2. Fase de recuperação – os solucionadores relevantes executarão um reparo para tratar do incidente. Depois de diagnosticar, reparar e tratar dos componentes afetados, o líder da chamada atribuirá os próximos passos em termos de documentação e ações de acompanhamento e encerrará a chamada.

3. Fase de reconstituição – depois que as atividades de reparo relevantes são concluídas, o líder da chamada declarará a fase de recuperação concluída. A análise post mortem e de causa raiz do incidente será atribuída à equipe relevante. Os resultados do post mortem serão analisados pela gerência sênior relevante e ações relevantes, como alterações de projeto, etc. serão capturadas em um documento de correção de erros (COE) e acompanhados até o encerramento.

Além dos mecanismos de comunicação internos detalhados acima, a AWS também implementou vários métodos de comunicação externa para dar suporte à sua base e comunidade de clientes. Há mecanismos implementados para permitir que a equipe de suporte ao cliente seja notificada sobre problemas operacionais que afetam a experiência do cliente. Um "Console de status de serviço" está disponível e é mantido pela equipe de suporte para alertar os clientes sobre quaisquer problemas que possam ser de grande impacto.


O programa de gerenciamento de incidente da AWS é analisado por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMPsm.

A documentação de fluxo de trabalho de conteúdo (dados) é responsabilidade dos clientes da AWS pois os clientes mantém a propriedade e o controle dos seus próprios sistemas operacionais convidados, software, aplicativos e dados.

Melhor prática      

Execute verificações de histórico para todo o pessoal e todos os funcionários terceirizados da empresa.

     
       
Implementação da AWS      
A AWS realiza verificações de antecedentes criminais, como permitido pela legislação aplicável, como parte das práticas de triagem antes da contratação de funcionários, de acordo com a posição e nível de acesso do funcionário a instalações da AWS.

O programa de verificação de antecedentes da AWS é analisado por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
Melhor prática      
Exija que todo o pessoal e todos os funcionários terceirizados da empresa assinem um acordo de confidencialidade (por exemplo, não divulgação) no ato da contratação e a cada ano, incluindo requisitos para o manuseio e a proteção de conteúdo.      
       
Implementação da AWS      
O departamento jurídico da Amazon gerencia e revisa periodicamente o Non-Disclosure Agreement (NDA, Acordo de confidencialidade) da Amazon para que reflita as necessidades comerciais da AWS.

O uso pela AWS de contratos de confidencialidade (NDAs) é analisado por auditores externos independentes durante as auditorias para nossa conformidade de ISO 27001 e FedRAMPsm.
     
       
Melhor prática      
Registre e revise o acesso eletrônico a áreas restritas para identificar eventos suspeitos.      
       
Implementação da AWS      

O acesso físico é controlado no perímetro e nos pontos de ingresso dos prédios por uma equipe de segurança profissional, utilizando vigilância por vídeo, sistemas de detecção de invasão e outros recursos eletrônicos.
Todas as entradas em datacenters da AWS, incluindo a entrada principal, a estação de carga e qualquer porta/alçapão no teto, são protegidas com dispositivos de detecção de invasão que disparam alarmes e criam também um alarme no monitorando de segurança físico centralizado da AWS se uma porta for forçada para abrir ou se for mantida aberta.

Além de mecanismos eletrônicos, os datacenters da AWS usam guardas de segurança 24 horas por dia, 7 dias por semana, que ficam em postos dentro e em torno do edifício. Todos os alarmes são investigados por um guarda de segurança com causa raiz documentada para todos os incidentes. Todos os alarmes são configurados para escalar automaticamente se nenhuma resposta ocorrer no tempo de SLA.

Os pontos de acesso físico aos locais de servidores são registrados por um circuito fechado de TV (CCTV), conforme definido na política de segurança física de datacenters da AWS. As imagens são retidas por 90 dias, exceto quando limitadas a 30 dias por obrigações legais ou contratuais.

Os mecanismos de segurança física da AWS são analisados por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMPsm.

     
       
Melhor prática      

Implemente um sistema de gerenciamento de ativos de conteúdo para proporcionar um controle detalhado de ativos físicos (ou seja, ativos do cliente e criados recentemente).

     
       
Implementação da AWS      
O gerenciamento de ativos de conteúdo é de propriedade dos clientes da AWS, responsáveis também pela sua implementação e operação. É responsabilidade dos clientes implementar um controle de inventário de seus ativos físicos.

Para ambientes de datacenter da AWS, todos os novos componentes de sistemas de informação, que incluem, sem limitação, servidores, racks, dispositivos de rede, unidades de disco rígido, componentes de hardware do sistema e materiais de construção enviados e recebidos pelos datacenters requerem autorização prévia do gerente do datacenter ou por uma notificação dele. Os itens são entregues para a estação de carga de cada datacenter da AWS e são inspecionados quanto a danos ou alterações indevidas na embalagem e aprovados por um funcionário em tempo integral da AWS. Mediante a chegada da remessa, os itens são escaneadas e capturadas dentro do sistema de gerenciamento de ativos da AWS e sistema de rastreamento de inventário de dispositivos.

Depois que os itens são recebidos, eles são colocados em uma sala de armazenamento de equipamentos no datacenter que requer a combinação da passagem do cartão de identificação e o PIN para acesso até que sejam instalados no piso do datacenter. Antes de sair do datacenters, os itens são lidos, rastreados e higienizados antes que sejam autorizados a deixar o datacenter.        

Os processos e procedimentos de gerenciamento de ativo da AWS são analisados por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
Melhor prática      
Proíba o acesso à internet em sistemas (desktops/servidores) que processam ou armazenam conteúdo digital.      
       
Implementação da AWS      
Os dispositivos de proteção de limites que usam conjuntos de regras, listas de controle de acesso (ACLs) e configurações aplicam o fluxo de informações entre fabrics de rede. Esses dispositivos são configurados no modo negar tudo, exigindo a configuração de um firewall aprovado para permitir a conectividade. Consulte o DS-2.0 para obter informações adicionais sobre o gerenciamento de firewalls de rede da AWS.

Não há recurso de e-mail inerente nos ativos da AWS, e a porta 25 não é usada. Um cliente (por exemplo, estúdio, instalação de processamento, etc.) pode usar um sistema para hospedar recursos de e-mail, no entanto, nesse caso, é responsabilidade do cliente aplicar os níveis corretos de proteção contra spam e malware na entrada de e-mails e pontos de saída, e atualizar definições de spam e malware quando novas liberações são disponibilizadas.

Os ativos da Amazon (por exemplo, laptops) são configurados com software antivírus que inclui filtragem de e-mail e detecção de malware.

O gerenciamento de firewall de rede da AWS e o programa antivírus da Amazon são analisados por auditores externos independentes como parte a conformidade da AWS com SOC, PCI DSS, ISO 27001 e FedRAMPsm.
     
       
blank
blank
Nuvem AWS da MPAA
AWS MPAA
Conformidade da MPAA

 

Entre em contato conosco