Guia de soluções de conformidade da AWS


Repositório de recursos e processos usados com frequência necessários para cumprir responsabilidades de conformidade na AWS.

Bem-vindo ao Guia de soluções de conformidade da AWS! Este guia foi desenvolvido para fornecer a você um repositório de recursos e processos usados com frequência e necessários para cumprir suas responsabilidades de conformidade na AWS.

A segurança na AWS é nossa principal prioridade. Atualmente, a AWS protege milhões de clientes ativos ao redor do mundo, desde grandes empresas e organizações governamentais até startups e organizações sem fins lucrativos. Por meio dessas relações, desenvolvemos recursos de alto nível de modo a permitir que clientes de qualquer setor entendam rapidamente como alcançar a conformidade na Nuvem AWS. Os clientes da AWS recebem todos os benefícios de nossa experiência, inclusive melhores práticas para políticas, arquitetura e processos operacionais de segurança validados em relação a estruturas de garantia externas.

A AWS comunica seu ambiente de segurança e controle relevante para os clientes por meio de:

  • Certificações do setor e declarações de terceiros independentes listados abaixo
  • Informações sobre as práticas de segurança e controle da AWS em whitepapers e conteúdo da Web
  • Certificados, relatórios e outros documentos fornecidos diretamente para os clientes da AWS em um NDA (Acordo de confidencialidade)

Soluções de conformidade


A melhor prática para acessar relatórios de conformidade da AWS é por meio do console no AWS Artifact. O AWS Artifact oferece aos clientes um acesso de autoatendimento sob demanda aos relatórios de conformidade mais recentes da AWS. Quando novos relatórios são lançados pela AWS, eles são imediatamente disponibilizados para download no AWS Artifact. Além do acesso sob demanda, o uso do AWS Artifact apresenta estas três vantagens:

  1. Não requer o fornecimento de um cartão de crédito. A criação de uma conta ou o uso do portal do AWS Artifact é gratuito.
  2. Ele oferece a possibilidade de configurar contas para outros usuários por meio de IAD (Dispositivo de acesso integrado).
  3. Possibilita a conveniência de um NDA com click-through.

Todas as declarações de terceiros, certificações, relatórios SOC (Controles de organização de serviços) e outros relatórios de conformidade relevantes exigem um NDA. As exceções são a certificação ISO 27001 da AWS e os relatórios SOC 3 da AWS disponíveis publicamente.

Se você tiver uma conta da AWS e estiver pronto para usar o AWS Artifact, poderá utilizar os recursos abaixo para se familiarizar com esse recurso no console. Se você ainda não tiver uma conta da AWS, poderá criar uma seguindo estas etapas.

Site do AWS Artifact: este site fornece informações básicas sobre o Artifact, incluindo um Guia rápido de conceitos básicos com instruções passo a passo sobre como fazer login no console e baixar um relatório, bem como uma página de Perguntas frequentes sobre o AWS Artifact, com uma lista abrangente de todas as perguntas frequentes.

Veja abaixo alguns dos cenários mais comuns que geram perguntas:

Fechar

Caso você precise de ajuda com o preenchimento de um questionário de segurança para documentar as posições de segurança e conformidade da AWS, a AWS tem uma abordagem recomendada, criada para fornecer a você os recursos que abordam adequadamente suas questões de segurança e conformidade no contexto da nuvem e do modelo de negócios da AWS. Esse procedimento garante que todos os nossos clientes recebam respostas consistentes verificadas por nossos auditores terceirizados.

O AWS Artifact é o primeiro local a ser acessado, pois contém todos os relatórios de conformidade. A AWS passa por diversas auditorias realizadas por auditores independentes ao longo do ano, a maioria delas conduzida de acordo com padrões internacionais de segurança, como ISO 27001, PCI e SOC. Você pode usar esses relatórios para responder a perguntas em questionários de segurança recebidos.

Além disso, há vários tipos de recursos disponíveis online para fornecer respostas a algumas das perguntas mais comuns. Os dois documentos mais usados para questionários são:

Questionário da iniciativa de avaliações de consenso: a Cloud Security Alliance (CSA) é uma organização sem fins lucrativos com a missão de promover o uso de melhores práticas para o fornecimento de garantia de segurança dentro da computação em nuvem. O Questionário da iniciativa de avaliações de consenso da CSA oferece um conjunto de perguntas que a CSA prevê que um consumidor e/ou auditor de nuvem faria a um provedor de nuvem. Ele fornece uma série de perguntas sobre segurança, controle e processo, que podem ser usadas em uma ampla variedade de situações, como a seleção de provedor de nuvem e a avaliação de segurança. Esse documento contém as respostas da AWS ao questionário da CSA.

Whitepaper de conformidade e avaliação de riscos: este documento tem o objetivo de fornecer informações para auxiliar os clientes da AWS a integrar a AWS à estrutura de controle existente que oferece suporte ao ambiente de TI deles. Ele inclui uma abordagem básica para avaliar os controles da AWS e oferece informações para ajudar os clientes na integração de ambientes de controle. Este documento também aborda informações específicas da AWS sobre questões gerais de conformidade da computação em nuvem. Há descrições detalhadas de todos os programas, certificações, relatórios e declarações de terceiros da AWS. O questionário da CSA está incluído no Apêndice deste documento.

Se ainda precisar de ajuda para responder a uma pergunta, entre em contato com o gerente de contas da equipe de vendas da AWS, e ele poderá direcionar você aos recursos adequados.

Exemplos de questionário de segurança

Controle Pergunta Resposta Documentos de referência da AWS
Criptografia Os serviços prestados oferecem suporte para criptografia?

Sim. A AWS permite que os clientes usem seus próprios mecanismos de criptografia em quase todos os serviços, inclusive S3, EBS, SimpleDB e EC2. Os túneis IPSec para VPC também são criptografados. O Amazon S3 também oferece criptografia no lado do servidor como opção para os clientes. Além disso, os clientes podem usar tecnologias de criptografia de terceiros.

Whitepaper de segurança da AWS
Controles físicos e ambientais

Os controles físicos e ambientais são operados pelo provedor de nuvem especificado?

Sim. Eles são descritos especificamente no relatório SOC 1 Tipo II. Além disso, outras certificações às quais a AWS oferece suporte, como ISO 27001 e FedRAMPsm, exigem controles físicos e ambientais recomendados.

Pacote do FedRAMP, Relatório ISO 27001, SOC 1
Treinamento de Recursos Humanos/Conscientização

É oferecido um programa de treinamento formal de conscientização de segurança, baseado na função, para questões de acesso e gerenciamento de dados relacionadas à nuvem (por exemplo, multilocação, nacionalidade, modelo de disponibilização na nuvem, segregação de implicações de responsabilidades e conflitos de interesse) para todas as pessoas com acesso a dados de locatários?

Sim. Em conformidade com a norma ISO 27001, todos os funcionários da AWS realizam um treinamento periódico em Segurança da informação, que exige uma confirmação para ser concluído. As auditorias de conformidade são realizadas periodicamente para validar que os funcionários entendem e seguem as políticas estabelecidas.

Consulte os relatórios de conformidade SOC, PCI DSS, ISO 27001 e FedRAMP
Fechar

Estes são alguns dos desafios mais comuns encontrados com o BAA (Contrato de associação comercial) da HIPAA. Para obter acesso a mais recursos relacionados ao BAA, inclusive uma lista completa de perguntas frequentes sobre a HIPAA, vídeos de instrução sobre BAA, whitepapers etc., visite a página principal de conformidade com a HIPAA da AWS.

P: Posso obter uma cópia impressa do meu BAA existente?

R: As versões do BAA no Artifact e em uma cópia impressa não têm diferença. Além disso, ao usar o Artifact, você sempre poderá baixar uma cópia do BAA antes e depois de aceitar os termos. Se você tiver um BAA offline, entre em contato com seu representante de vendas para obter uma cópia.

P: Preciso de um Comprovante A para confirmar que as contas foram adicionadas a um BAA existente ou preciso de provas de que uma conta é coberta pelo BAA.

R: A AWS não emite um Comprovante A atualizado após contas adicionais serem cobertas por um BAA. Com o uso o Artifact, você poderá designar imediatamente o autoatendimento de novas contas no console. Depois que um BAA for aceito no Artifact, você poderá entrar no console com a ID da conta e confirmar se o status está ativo. Se você quiser adicionar uma nova conta, poderá fazer isso por conta própria.  Para confirmar o status de cobertura e compartilhar o BAA com auditores ou reguladores, o pdf está disponível para download. Além disso, o status também serve como prova da cobertura.

P: Não consigo firmar um BAA ou não consigo marcar as caixas do NDA.

R: Esse problema surge de um erro nas permissões. A pessoa ou equipe que lida com solicitações do IAM para sua conta da AWS pode resolver isso ajustando as permissões. Mais informações sobre a configuração de contas do IAM podem ser encontradas aqui.

Fechar

Mais recursos de conformidade da AWS


header-icon_apn-partner-programs-orange

A página de Serviços no escopo detalha quais serviços estão no escopo atualmente e quais estão em andamento. Você também pode entrar em contato com o associado de vendas ou o gerente de contas da equipe de vendas da AWS sobre quaisquer necessidades específicas de determinado serviço.

header-icon_apn-partner-programs-orange

O blog de segurança da AWS é uma ótima maneira de acompanhar todas as atualizações mais recentes dos programas de segurança da AWS.

header-icon_apn-partner-programs-orange

Para obter informações sobre algumas das experiências atuais dos clientes da AWS, visite nossa página de depoimentos de clientes, que lista estudos de caso de nossos clientes em todos os setores.

header-icon_apn-partner-programs-orange

Se você precisar de mais informações sobre um regime de conformidade específico, consulte as seguintes páginas para ver as perguntas frequentes:

header-icon_apn-partner-programs-orange

O Roteiro de aprendizado para auditores da AWS é um recurso projetado especificamente para aqueles que desempenham funções jurídicas, de auditoria e de conformidade e que desejam saber como suas operações internas podem demonstrar conformidade usando a plataforma da AWS.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »