ความปลอดภัย MPAA และ Studio

ภาพรวม

MPAAIcon

สมาคมภาพยนตร์แห่งอเมริกา (MPAA) ได้กำหนดแนวปฏิบัติที่ดีที่สุดสำหรับการจัดเก็บ ประมวลผล และส่งมอบสื่อและเนื้อหาที่ได้รับการป้องกันอย่างปลอดภัย บริษัทด้านสื่อใช้แนวปฏิบัติที่ดีที่สุดเหล่านี้เพื่อประเมินความเสี่ยงและความปลอดภัยของเนื้อหาและโครงสร้างพื้นฐานของตน

MPAA ไม่ได้เสนอ “การรับรอง” แต่ลูกค้าอุตสาหกรรมสื่อสามารถใช้แนวทาง MPAA ของ AWS ซึ่งแสดงให้เห็นว่า AWS มีแนวทางเดียวกับแนวปฏิบัติที่ดีที่สุดของ MPAA เพื่อเพิ่มการประเมินความเสี่ยงและการประเมินเนื้อหาประเภท MPAA บน AWS”

นอกจากนี้ AWS ยังเสนอการประเมินแพลตฟอร์ม AWS และแม่แบบความปลอดภัยของ Studio สำหรับ AWS โดยบุคคลภายนอก ขอเข้าถึงเอกสารนี้ด้วย AWS Artifact

  • การตระหนักถึงความปลอดภัยของผู้บริหาร/การกำกับดูแล

    แนวปฏิบัติที่ดีที่สุด

    ยืนยันว่าผู้บริหารระดับสูง/เจ้าของมีการกำกับดูแลการทำงานของระบบความปลอดภัยของข้อมูล โดยกำหนดให้มีการทบทวนโปรแกรมการรักษาความปลอดภัยของข้อมูลและผลการประเมินความเสี่ยงเป็นระยะ

    การดำเนินการของ AWS

    สภาพแวดล้อมการควบคุมที่ Amazon เริ่มต้นที่ระดับสูงสุดของบริษัท ผู้บริหารและผู้นำระดับสูงมีบทบาทสำคัญในการกำหนดลักษณะและค่านิยมหลักของบริษัท AWS ได้กำหนดกรอบการทำงานด้านความปลอดภัยของข้อมูลและนโยบายตามกรอบการควบคุมระบบและองค์กร (SOC) และได้รวมกรอบการรับรองมาตรฐาน ISO 27001 ที่มีประสิทธิภาพตามมาตรฐานการควบคุม ISO 27002, PCI DSS v3.2 และเอกสารสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) 800-53 Rev 3 (การควบคุมความปลอดภัยที่แนะนำสำหรับระบบข้อมูลกลาง) การฝึกอบรมตามบทบาทเป็นระยะอย่างครบถ้วนของพนักงาน AWS ซึ่งรวมถึงการฝึกอบรมด้านความปลอดภัย AWS มีการตรวจสอบการปฏิบัติตามกฎระเบียบเพื่อให้พนักงานเข้าใจและปฏิบัติตามนโยบายที่กำหนดไว้

  • การบริหารจัดการความเสี่ยง

    แนวปฏิบัติที่ดีที่สุด

    พัฒนากระบวนการประเมินความเสี่ยงด้านความปลอดภัยอย่างเป็นทางการ โดยเน้นไปที่เวิร์กโฟลว์ของเนื้อหาและสินทรัพย์ที่ละเอียดอ่อนเพื่อระบุและจัดลำดับความสำคัญความเสี่ยงของการโจรกรรมและการรั่วไหลของเนื้อหาที่เกี่ยวข้องกับสถานที่ปฏิบัติงาน

    การดำเนินการของ AWS

    AWS ได้ดำเนินการตามนโยบายการประเมินความเสี่ยงอย่างเป็นทางการซึ่งมีการปรับปรุงและทบทวนอย่างน้อยปีละครั้ง นโยบายนี้ระบุถึงวัตถุประสงค์ ขอบเขต บทบาท ความรับผิดชอบ และความมุ่งมั่นของฝ่ายบริหาร

    การประเมินความเสี่ยงประจำปีที่ครอบคลุมทุกภูมิภาคและธุรกิจของ AWS ที่ดำเนินการโดยทีมงานกำกับดูแล AWS และตรวจสอบโดยผู้บริหารอาวุโสของ AWS ซึ่งสอดคล้องกับนโยบายนี้ ซึ่งเป็นสิ่งที่นอกเหนือไปจากการรับรอง การยืนยัน และรายงานที่ดำเนินการโดยผู้ตรวจสอบอิสระ จุดประสงค์ของการประเมินความเสี่ยงคือ เพื่อระบุภัยคุกคามและจุดอ่อนของ AWS กำหนดการจัดระดับความเสี่ยงและจุดอ่อน จัดทำเอกสารการประเมินอย่างเป็นทางการ และจัดทำแผนจัดการความเสี่ยงเพื่อจัดการกับปัญหา มีการตรวจสอบผลการประเมินความเสี่ยงโดยผู้บริหารอาวุโสของ AWS เป็นประจำ รวมถึงการรับประกันว่ามีการประเมินความเสี่ยงใหม่ก่อนการประเมินความเสี่ยงประจำปีเมื่อมีการเปลี่ยนแปลงที่สำคัญ

    ลูกค้าคงความเป็นเจ้าของข้อมูล (เนื้อหา) และเป็นผู้รับผิดชอบในการประเมินและจัดการความเสี่ยงที่เกี่ยวข้องกับเวิร์กโฟลว์ของข้อมูลเพื่อตอบสนองความต้องการในการปฏิบัติตามข้อกำหนด

    กรอบการบริหารจัดการความเสี่ยงของ AWS ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐาน SOC, PCI DSS, ISO 27001 และ FedRAMP ของเรา

  • องค์กรรักษาความปลอดภัย

    แนวปฏิบัติที่ดีที่สุด

    ระบุประเด็นสำคัญด้านความปลอดภัยของการติดต่อ และกำหนดบทบาทและความรับผิดชอบอย่างเป็นทางการสำหรับการปกป้องเนื้อหาและสินทรัพย์

    การดำเนินการของ AWS

    AWS มีการจัดตั้งองค์กรด้านความปลอดภัยของข้อมูลที่บริหารงานโดยทีมรักษาความปลอดภัยของ AWS และนำโดยหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของข้อมูลของ AWS (CISO) AWS รักษาและจัดให้มีการฝึกอบรมด้านความปลอดภัยแก่ผู้ใช้ระบบข้อมูลทั้งหมดที่สนับสนุน AWS การฝึกอบรมการตระหนักถึงความปลอดภัยประจำปีนี้ประกอบด้วยหัวข้อต่อไปนี้ วัตถุประสงค์ของการฝึกอบรมด้านความปลอดภัยและการตระหนักรู้ ตำแหน่งของนโยบาย AWS ทั้งหมด ขั้นตอนการตอบสนองต่อเหตุการณ์ของ AWS (รวมถึงคำแนะนำเกี่ยวกับวิธีการรายงานเหตุการณ์ด้านความปลอดภัยของภายในและภายนอกองค์กร)

    ระบบใน AWS มีเครื่องมือในการตรวจสอบการปฏิบัติงานและการรักษาความปลอดภัยที่สำคัญอย่างครอบคลุม มีการกำหนดค่าการเตือนภัยให้แจ้งบุคลากรฝ่ายปฏิบัติการและบริหารโดยอัตโนมัติเมื่อมีการก้าวข้ามขีดจำกัดการเตือนล่วงหน้าในตัวชี้วัดหลัก เมื่อมีการข้ามขีดจำกัด กระบวนการตอบสนองต่อเหตุการณ์ของ AWS จะเริ่มต้นขึ้น ทีมตอบสนองต่อเหตุการณ์ของ Amazon ใช้ขั้นตอนการวินิจฉัยตามมาตรฐานอุตสาหกรรมเพื่อผลักดันให้เกิดการแก้ไขปัญหาในระหว่างที่เกิดเหตุการณ์ที่กระทบต่อธุรกิจ เจ้าหน้าที่ทำงาน 24 ชั่วโมงทุกวันตลอดปีเพื่อตรวจหาเหตุการณ์และจัดการผลกระทบที่เกิดจากการแก้ไขปัญหา

    บทบาทและความรับผิดชอบของ AWS ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐาน SOC, PCI DSS, ISO 27001 และ FedRAMP ของเรา

  • นโยบายและระเบียบปฏิบัติ

    แนวปฏิบัติที่ดีที่สุด

    กำหนดนโยบายและขั้นตอนเกี่ยวกับความปลอดภัยของสินทรัพย์และเนื้อหา โดยอย่างน้อยที่สุด นโยบายควรกล่าวถึงหัวข้อต่อไปนี้
    • นโยบายด้านทรัพยากรบุคคล
    • การใช้งานที่ยอมรับได้ (เช่น เครือข่ายสังคมออนไลน์ อินเทอร์เน็ต โทรศัพท์ เป็นต้น)
    • การจัดหมวดหมู่สินทรัพย์
    • นโยบายการจัดการสินทรัพย์
    • อุปกรณ์บันทึกข้อมูลดิจิตอล (เช่น สมาร์ทโฟน กล้องดิจิตอล กล้องวิดีโอ)
    • นโยบายการยกเว้น (เช่น กระบวนการจัดทำเอกสารความคลาดเคลื่อนจากนโยบาย)
    • การควบคุมรหัสผ่าน (เช่น ความยาวขั้นต่ำของรหัสผ่าน โปรแกรมรักษาหน้าจอ)
    • การห้ามการนำสินทรัพย์ของลูกค้าออกจากสถานที่
    • การจัดการการเปลี่ยนแปลงระบบ
    • นโยบายการแจ้งเบาะแส
    • นโยบายการลงโทษ (เช่น นโยบายการลงโทษทางวินัย)

    การดำเนินการของ AWS

    AWS ได้กำหนดกรอบการทำงานด้านความปลอดภัยของข้อมูลและนโยบายตามกรอบการควบคุมระบบและองค์กร (SOC) และได้รวมกรอบการรับรองมาตรฐาน ISO 27001 ที่มีประสิทธิภาพตามมาตรฐานการควบคุม ISO 27002, PCI DSS v3.2 และเอกสารสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) 800-53 Rev 3 (การควบคุมความปลอดภัยที่แนะนำสำหรับระบบข้อมูลกลาง)

    AWS รักษาและจัดให้มีการฝึกอบรมด้านความปลอดภัยแก่ผู้ใช้ระบบข้อมูลทั้งหมดที่สนับสนุน AWS การฝึกอบรมการตระหนักถึงความปลอดภัยประจำปีนี้ประกอบด้วยหัวข้อต่อไปนี้ วัตถุประสงค์ของการฝึกอบรมด้านความปลอดภัยและการตระหนักรู้ ตำแหน่งของนโยบาย AWS ทั้งหมด ขั้นตอนการตอบสนองต่อเหตุการณ์ของ AWS (รวมถึงคำแนะนำเกี่ยวกับวิธีการรายงานเหตุการณ์ด้านความปลอดภัยของภายในและภายนอกองค์กร)

    นโยบาย ขั้นตอน และโครงการฝึกอบรมที่เกี่ยวข้องของ AWS ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐาน SOC, PCI DSS, ISO 27001 และ FedRAMP ของเรา

  • การตอบสนองต่อเหตุการณ์

    แนวปฏิบัติที่ดีที่สุด

    จัดทำแผนการตอบสนองต่อเหตุการณ์อย่างเป็นทางการที่อธิบายถึงการดำเนินการที่ต้องทำเมื่อตรวจพบและมีการรายงานเหตุการณ์ด้านความปลอดภัย

    การดำเนินการของ AWS

    AWS ได้ดำเนินนโยบายและโครงการตอบสนองต่อเหตุการณ์อย่างเป็นทางการและมีการจัดทำเป็นเอกสาร นโยบายนี้ระบุถึงวัตถุประสงค์ ขอบเขต บทบาท ความรับผิดชอบ และความมุ่งมั่นของฝ่ายบริหาร

    AWS ใช้แนวทางแบบสามขั้นตอนในการจัดการกับเหตุการณ์ดังนี้

    1. ระยะการเปิดใช้งานและการแจ้งเตือน: เหตุการณ์สำหรับ AWS เริ่มต้นด้วยการตรวจหาเหตุการณ์ ซึ่งอาจมาจากหลายแหล่ง เช่น

    ก. ตัววัดและการแจ้งเตือน – AWS รักษาความสามารถที่ยอดเยี่ยมในการรับรู้สถานการณ์ ปัญหาส่วนใหญ่จะถูกตรวจพบอย่างรวดเร็วจากการตรวจสอบและการแจ้งเตือนของตัววัดแบบเรียลไทม์และแดชบอร์ดการให้บริการ 24 ชั่วโมงทุกวันตลอดทั้งปี เหตุการณ์ส่วนใหญ่ตรวจพบในลักษณะนี้ AWS ใช้การแจ้งเตือนล่วงหน้าในการระบุปัญหาแบบเชิงรุกซึ่งท้ายที่สุดอาจส่งผลกระทบต่อลูกค้า
    ข. ตั๋วแจ้งปัญหาที่ป้อนโดยพนักงาน AWS
    ค. โทรศัพท์ติดต่อสายด่วนความช่วยเหลือด้านเทคนิคได้ 24 ชั่วโมงทุกวันตลอดทั้งปี

    หากเหตุการณ์ตรงตามเกณฑ์ด้านเหตุการณ์ วิศวกรฝ่ายสนับสนุนพร้อมปฏิบัติงานที่เกี่ยวข้องที่จะเริ่มต้นภารกิจโดยใช้เครื่องมือการจัดการเหตุการณ์ของ AWS เพื่อเริ่มภารกิจและตัวแก้ไขโปรแกรมที่เกี่ยวข้องกับหน้า ตัวแก้ไขจะดำเนินการวิเคราะห์เหตุการณ์เพื่อกำหนดว่าควรใช้ตัวแก้ไขเพิ่มเติมหรือไม่ และประเมินต้นเหตุของปัญหาโดยประมาณ

    2. ระยะกู้คืน – ตัวแก้ไขที่เกี่ยวข้องจะดำเนินการแก้ไขความขัดข้อง เมื่อทำการแก้ไขปัญหา แก้ไขความขัดข้องของส่วนประกอบที่ได้รับผลกระทบแล้ว ผู้นำการโทรจะกำหนดขั้นตอนต่อไปในแง่ของเอกสารการติดตามผลและการดำเนินการติดตามผล และสิ้นสุดภารกิจการโทร

    3. ระยะคืนสภาพ – เมื่อเสร็จสิ้นกิจกรรมการแก้ไขที่เกี่ยวข้อง ผู้นำการโทรจะประกาศว่าระยะกู้คืนเสร็จสมบูรณ์แล้ว มีการกำหนดการวินิจฉัยและวิเคราะห์ต้นตอของเหตุการณ์ให้กับทีมงานที่เกี่ยวข้อง ผลลัพธ์ของการวินิจฉัยจะได้รับการตรวจสอบโดยผู้บริหารอาวุโสที่เกี่ยวข้อง และการกระทำที่เกี่ยวข้อง เช่น การเปลี่ยนแปลงด้านการออกแบบ ฯลฯ จะบันทึกไว้ในเอกสารการแก้ไขข้อผิดพลาด (COE) และติดตามไปจนเสร็จสิ้น

    นอกเหนือจากกลไกการสื่อสารภายในที่มีรายละเอียดข้างต้น AWS แล้ว ยังใช้วิธีการสื่อสารภายนอกอีกหลายวิธีในการสนับสนุนฐานลูกค้าและชุมชนอีกด้วย มีกลไกที่ช่วยให้ทีมช่วยเหลือลูกค้าได้รับแจ้งถึงปัญหาในการดำเนินงานที่ส่งผลกระทบต่อประสบการณ์ของลูกค้า มี “Service Health Dashboard” ให้บริการและดูแลโดยทีมช่วยเหลือลูกค้าเพื่อแจ้งเตือนลูกค้าให้ทราบถึงปัญหาที่อาจส่งผลกระทบในวงกว้าง

    โปรแกรมการจัดการเหตุการณ์ของ AWS ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐาน SOC, PCI DSS, ISO 27001 และ FedRAMP ของเรา

    เอกสารเวิร์กโฟลว์ของเนื้อหา (ข้อมูล) เป็นความรับผิดชอบของลูกค้า AWS เนื่องจากลูกค้ายังคงเป็นเจ้าของและควบคุมระบบปฏิบัติการ ซอฟต์แวร์ แอปพลิเคชัน และข้อมูลของลูกค้า

  • การบริหารงานบุคคล

    แนวปฏิบัติที่ดีที่สุด

    ดำเนินการตรวจสอบคัดกรองประวัติพนักงานบริษัทและพนักงานของบริษัทอื่นทั้งหมด

    การดำเนินการของ AWS

    AWS ดำเนินการตรวจสอบประวัติอาชญากรรมตามที่ได้รับอนุญาตตามกฎหมายที่บังคับใช้ ซึ่งเป็นส่วนหนึ่งของการตรวจสอบคัดกรองก่อนการจ้างงานสำหรับพนักงานตามตำแหน่งของพนักงานและระดับการเข้าถึงสถานประกอบการของ AWS

    โปรแกรมการตรวจสอบประวัติของ AWS ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐาน SOC, PCI DSS, ISO 27001 และ FedRAMP ของเรา

  • ข้อตกลงการรักษาความลับ

    แนวปฏิบัติที่ดีที่สุด

    กำหนดให้พนักงานบริษัทและพนักงานของบริษัทอื่นทั้งหมดต้องลงนามในข้อตกลงการรักษาความลับ (เช่น การไม่เปิดเผยข้อมูล) เมื่อได้รับการว่าจ้าง และทุกๆ ปีหลังจากนั้น ซึ่งรวมถึงข้อกำหนดสำหรับการจัดการและการปกป้องเนื้อหา

    การดำเนินการของ AWS

    ที่ปรึกษาด้านกฎหมายของ Amazon ดูแลด้านข้อตกลงการไม่เปิดเผยข้อมูล (NDA) ของ Amazon และทำการแก้ไขเป็นระยะๆ เพื่อให้สอดคล้องกับความต้องการทางธุรกิจของ AWS

    การใช้ข้อตกลงการไม่เปิดเผยข้อมูล (NDA) ของ AWS ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐาน ISO 27001 และ FedRAMP ของเรา

  • การบันทึกและการตรวจสอบ

    แนวปฏิบัติที่ดีที่สุด

    บันทึกและตรวจสอบการเข้าถึงพื้นที่ที่ถูกจำกัดทางอิเล็กทรอนิกส์สำหรับเหตุการณ์ที่น่าสงสัย

    การดำเนินการของ AWS

    ควบคุมการเข้าถึงทางกายภาพทั้งบริเวณรอบนอกและจุดทางเข้าอาคารโดยเจ้าหน้าที่รักษาความปลอดภัยระดับมืออาชีพโดยใช้กล้องวงจรปิด ระบบตรวจจับการบุกรุก และวิธีการทางอิเล็กทรอนิกส์อื่นๆ

    ทางเข้าไปยังศูนย์ข้อมูล AWS ทั้งหมด รวมถึงทางเข้าหลัก ท่าขนถ่าย และประตูหลังคา/ประตูเพดาน จะมีอุปกรณ์ตรวจจับการบุกรุกที่ส่งเสียงเตือนและสร้างสัญญาณเตือนในการตรวจสอบความปลอดภัยทางกายภาพส่วนกลางของ AWS เช่นกันหากมีการพยายามเปิดประตูหรือประตูเปิดค้างไว้

    นอกจากกลไกทางอิเล็กทรอนิกส์แล้ว ศูนย์ข้อมูล AWS ยังมีเจ้าหน้าที่รักษาความปลอดภัยที่ผ่านการฝึกอบรมทุกวันตลอด 24 ชั่วโมงซึ่งประจำการอยู่ทั้งภายในและโดยรอบอาคาร เจ้าหน้าที่รักษาความปลอดภัยจะตรวจสอบสัญญาณเตือนทั้งหมดโดยบันทึกต้นเหตุของเหตุการณ์ทั้งหมดลงในเอกสาร การแจ้งเตือนทั้งหมดได้รับการตั้งค่าให้มีการแจ้งโดยอัตโนมัติ หากการตอบสนองไม่เกิดขึ้นภายในเวลา SLA

    มีการบันทึกจุดเข้าถึงทางกายภาพที่ไปยังตำแหน่งเซิร์ฟเวอร์ด้วยกล้องวงจรปิด (CCTV) ตามที่กำหนดไว้ในนโยบายด้านความปลอดภัยทางกายภาพของศูนย์ข้อมูล AWS มีการเก็บรูปภาพไว้เป็นเวลา 90 วัน เว้นแต่มีข้อจำกัดทางกฎหมายหรือภาระผูกพันตามสัญญาให้เก็บไว้ 30 วัน

    กลไกความปลอดภัยทางกายภาพของ AWS ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐาน SOC, PCI DSS, ISO 27001 และ FedRAMP ของเรา

  • การตรวจสอบสินทรัพย์

    แนวปฏิบัติที่ดีที่สุด

    ใช้ระบบการจัดการสินทรัพย์เนื้อหาเพื่อให้รายละเอียดการติดตามสินทรัพย์ทางกายภาพ (กล่าวคือ ไคลเอ็นต์ และสินทรัพย์ที่สร้างขึ้นใหม่)

    การดำเนินการของ AWS

    ลูกค้า AWS เป็นเจ้าของ ผู้ดำเนินการ และผู้ใช้งานการบริหารจัดการสินทรัพย์เนื้อหา ลูกค้าเป็นผู้รับผิดชอบในการติดตามสินค้าคงคลังของสินทรัพย์ทางกายภาพของตน

    สำหรับสภาพแวดล้อมของศูนย์ข้อมูล AWS ส่วนประกอบระบบข้อมูลใหม่ทั้งหมดซึ่งรวมถึงแต่ไม่จำกัดเพียงเซิร์ฟเวอร์ ชั้นวาง อุปกรณ์เครือข่าย ฮาร์ดไดรฟ์ ส่วนประกอบฮาร์ดแวร์ของระบบ และวัสดุก่อสร้างที่ศูนย์ข้อมูลได้รับต้องได้รับการอนุมัติล่วงหน้าโดยและมีการแจ้งไปยังผู้จัดการศูนย์ข้อมูล รายการสินค้าจะถูกส่งไปยังท่าขนถ่ายของศูนย์ข้อมูล AWS แต่ละแห่ง และได้รับการตรวจสอบถึงความเสียหายหรือการดัดแปลงบรรจุภัณฑ์ และลงนามโดยพนักงานประจำของ AWS เมื่อการจัดส่งสินค้ามาถึง จะมีการสแกนและบันทึกรายการสินค้าภายในระบบการบริหารจัดการสินทรัพย์ของ AWS และระบบการติดตามสินค้าคงคลังของอุปกรณ์

    เมื่อได้รับรายการสินค้า จะนำไปวางไว้ในห้องเก็บอุปกรณ์ภายในศูนย์ข้อมูลที่ต้องใช้การรูดบัตรร่วมกับการใส่ PIN เพื่อเข้าถึงจนกว่าจะนำไปติดตั้งบนชั้นของศูนย์ข้อมูล ก่อนออกจากศูนย์ข้อมูล จะมีการสแกน ติดตาม และฆ่าเชื้อรายการสินค้านั้นก่อนที่จะอนุญาตให้ออกจากศูนย์ข้อมูล

    กระบวนการและขั้นตอนการจัดการสินทรัพย์ของ AWS ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกในระหว่างการตรวจสอบการปฏิบัติตามมาตรฐาน PCI DSS, ISO 27001 และ FedRAMP ของเรา

  • อินเทอร์เน็ต

    แนวปฏิบัติที่ดีที่สุด

    ห้ามการเข้าถึงอินเทอร์เน็ตบนระบบ (เดสก์ท็อป/เซิร์ฟเวอร์) ที่ประมวลผลหรือจัดเก็บเนื้อหาดิจิตอล

    การดำเนินการของ AWS

    อุปกรณ์ป้องกันขอบข่ายที่ใช้ชุดกฎระเบียบ รายการควบคุมการเข้าถึง (ACL) และการกำหนดค่าที่บังคับการไหลของข้อมูลระหว่างโครงสร้างเครือข่าย อุปกรณ์เหล่านี้ได้รับการกำหนดค่าในโหมดปฏิเสธทั้งหมด ซึ่งจำเป็นต้องมีชุดไฟร์วอลล์ที่ผ่านการอนุมัติในการอนุญาตให้มีการเชื่อมต่อ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการจัดการของไฟร์วอลล์เครือข่ายของ AWS ใน DS-2.0

    สินทรัพย์ AWS ไม่มีความสามารถในตัวในการอีเมล และไม่มีการใช้งานพอร์ต 25 ลูกค้า (เช่น สตูดิโอ โรงงานแปรรูป ฯลฯ) สามารถใช้ระบบเพื่อโฮสต์ความสามารถของอีเมลได้ อย่างไรก็ตาม ในกรณีนี้ถือเป็นความรับผิดชอบของลูกค้าในการใช้การป้องกันสแปมและมัลแวร์ในระดับที่เหมาะสมที่จุดเข้าและออกของอีเมล และอัปเดตคำจำกัดความสแปมและมัลแวร์เมื่อมีการเปิดตัวผลิตภัณฑ์ใหม่

    สินทรัพย์ของ Amazon (เช่น แล็ปท็อป) ได้รับการกำหนดค่าด้วยซอฟต์แวร์ป้องกันไวรัสที่มีการกรองอีเมลและการตรวจจับมัลแวร์

    การจัดการไฟร์วอลล์เครือข่ายของ AWS และโปรแกรมป้องกันไวรัสของ Amazon ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอกซึ่งเป็นส่วนหนึ่งของการปฏิบัติตามมาตรฐาน PCI DSS, ISO 27001 และ FedRAMP ของ AWS

  • การประเมินแพลตฟอร์ม AWS และแม่แบบความปลอดภัยของ Studio สำหรับ AWS โดยบุคคลภายนอก

    นอกเหนือจาก MPAA แล้ว Content Studio (เช่น Disney/Marvel) ส่วนใหญ่มีข้อกำหนดด้านความปลอดภัยของตนเอง และผู้ให้บริการและการบริการที่เพิ่มมูลค่าต้องมีสภาพแวดล้อมแบบคลาวด์หรือในสถานที่ที่ได้รับการตรวจสอบโดยผู้ตรวจสอบจากภายนอก ตัวอย่างที่ดีคือ การแสดงเนื้อหา VFX/Animation อย่างรวดเร็วบนคลาวด์สำหรับชื่อเรื่องก่อนเปิดตัว

    AWS ทำงานร่วมกับผู้ตรวจสอบจากภายนอกเพื่อประเมินแพลตฟอร์มของ AWS สำหรับสภาพแวดล้อมการแสดง VFX/Animation ผู้ตรวจสอบจากภายนอกยังได้จัดทำเอกสารแม่แบบแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่เกี่ยวข้องกับการควบคุมความปลอดภัยของ AWS ตามข้อกำหนดของ Studio หลักอีกด้วย เอกสารนี้สามารถนำไปใช้เพื่อสร้างสภาพแวดล้อมการแสดง VFX/Animation ที่ได้รับอนุมัติจาก Studio บน AWS ได้

    ขอเข้าถึงเอกสารการควบคุมความปลอดภัยของ AWS สำหรับข้อกำหนดด้านความปลอดภัยของ Studio ด้วย AWS Artifact

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »