Guia de soluções de conformidade da AWS

A melhor prática para acessar relatórios de conformidade da AWS é por meio do console no AWS Artifact. O AWS Artifact oferece aos clientes um acesso de autoatendimento sob demanda aos relatórios de conformidade mais recentes da AWS. Quando novos relatórios são lançados pela AWS, eles são imediatamente disponibilizados para download no AWS Artifact. Além do acesso sob demanda, o uso do AWS Artifact apresenta estas três vantagens:

1. Não requer o fornecimento de um cartão de crédito. A criação de uma conta ou o uso do portal do AWS Artifact é gratuito.
2. Ele oferece a possibilidade de configurar contas para outros usuários por meio de IAD (Dispositivo de acesso integrado).
3. Possibilita a conveniência de um NDA com click-through.

Todas as declarações de terceiros, certificações, relatórios SOC (Controles de organização de serviços) e outros relatórios de conformidade relevantes exigem um NDA. As exceções são a certificação ISO 27001 da AWS e os relatórios SOC 3 da AWS disponíveis publicamente.

Se você tiver uma conta da AWS e estiver pronto para usar o AWS Artifact, poderá utilizar os recursos abaixo para se familiarizar com esse recurso no console. Se você ainda não tiver uma conta da AWS, poderá criar uma seguindo estas etapas.

Site do AWS Artifact: este site fornece informações básicas sobre o Artifact, incluindo um Guia rápido de conceitos básicos com instruções passo a passo sobre como fazer login no console e baixar um relatório, bem como uma página de Perguntas frequentes sobre o AWS Artifact, com uma lista abrangente de todas as perguntas frequentes.

Veja abaixo alguns dos cenários mais comuns que geram perguntas:

Caso você precise de ajuda com o preenchimento de um questionário de segurança para documentar as posições de segurança e conformidade da AWS, a AWS tem uma abordagem recomendada, criada para fornecer a você os recursos que abordam adequadamente suas questões de segurança e conformidade no contexto da nuvem e do modelo de negócios da AWS. Esse procedimento garante que todos os nossos clientes recebam respostas consistentes verificadas por nossos auditores terceirizados.

O AWS Artifact é o primeiro local a ser acessado, pois contém todos os relatórios de conformidade. A AWS passa por diversas auditorias realizadas por auditores independentes ao longo do ano, a maioria delas conduzida de acordo com padrões internacionais de segurança, como ISO 27001, PCI e SOC. Você pode usar esses relatórios para responder a perguntas em questionários de segurança recebidos.

Além disso, há vários tipos de recursos disponíveis online para fornecer respostas a algumas das perguntas mais comuns. Os dois documentos mais usados para questionários são:

Questionário da iniciativa de avaliações de consenso: a Cloud Security Alliance (CSA) é uma organização sem fins lucrativos com a missão de promover o uso de melhores práticas para o fornecimento de garantia de segurança dentro da computação em nuvem. O Questionário da iniciativa de avaliações de consenso da CSA oferece um conjunto de perguntas que a CSA prevê que um consumidor e/ou auditor de nuvem faria a um provedor de nuvem. Ele fornece uma série de perguntas sobre segurança, controle e processo, que podem ser usadas em uma ampla variedade de situações, como a seleção de provedor de nuvem e a avaliação de segurança. Esse documento contém as respostas da AWS ao questionário da CSA.

Whitepaper de conformidade e avaliação de riscos: este documento tem o objetivo de fornecer informações para auxiliar os clientes da AWS a integrar a AWS à estrutura de controle existente que oferece suporte ao ambiente de TI deles. Ele inclui uma abordagem básica para avaliar os controles da AWS e oferece informações para ajudar os clientes na integração de ambientes de controle. Este documento também aborda informações específicas da AWS sobre questões gerais de conformidade da computação em nuvem. Há descrições detalhadas de todos os programas, certificações, relatórios e declarações de terceiros da AWS. O questionário da CSA está incluído no Apêndice deste documento.

Se ainda precisar de ajuda para responder a uma pergunta, entre em contato com o gerente de contas da equipe de vendas da AWS, e ele poderá direcionar você aos recursos adequados.

Estes são alguns dos desafios mais comuns encontrados com o BAA (Contrato de associação comercial) da HIPAA. Para obter acesso a mais recursos relacionados ao BAA, inclusive uma lista completa de perguntas frequentes sobre a HIPAA, vídeos de instrução sobre BAA, whitepapers etc., visite a página principal de conformidade com a HIPAA da AWS.

P: Posso obter uma cópia impressa do meu BAA existente?

R: As versões do BAA no Artifact e em uma cópia impressa não têm diferença. Além disso, ao usar o Artifact, você sempre poderá baixar uma cópia do BAA antes e depois de aceitar os termos. Se você tiver um BAA offline, entre em contato com seu representante de vendas para obter uma cópia.

P: Preciso de um Comprovante A para confirmar que as contas foram adicionadas a um BAA existente ou preciso de provas de que uma conta é coberta pelo BAA.

R: A AWS não emite um Comprovante A atualizado após contas adicionais serem cobertas por um BAA. Com o uso o Artifact, você poderá designar imediatamente o autoatendimento de novas contas no console. Depois que um BAA for aceito no Artifact, você poderá entrar no console com a ID da conta e confirmar se o status está ativo. Se você quiser adicionar uma nova conta, poderá fazer isso por conta própria.  Para confirmar o status de cobertura e compartilhar o BAA com auditores ou reguladores, o pdf está disponível para download. Além disso, o status também serve como prova da cobertura.

P: Não consigo firmar um BAA ou não consigo marcar as caixas do NDA.

R: Esse problema surge de um erro nas permissões. A pessoa ou equipe que lida com solicitações do IAM para sua conta da AWS pode resolver isso ajustando as permissões. Mais informações sobre a configuração de contas do IAM podem ser encontradas aqui.