一般問題

1.填寫我的年度 AWS 廠商/供應商/盡職調查問卷的最佳方法是什麼?

如果您需要協助來填寫調查問卷以記錄 AWS 安全性和合規性,AWS 會提供一種建議的方法,為您提供在雲端和 AWS 業務模型環境中您解決安全性和合規性問題所需的資源。完成安全性和合規性調查問卷最常用的資源包括:

  • AWS Artifact – AWS Artifact 是您的首選中心資源,其會提供您在乎的合規相關資訊。它可讓您隨需存取 AWS 安全與合規報告和選取線上協議。AWS Artifact 提供的報告包括各地理地區和合規行業的認證機構提供的服務組織控制 (SOC) 報告、支付卡產業 (PCI) 合規聲明文件及認證,以證明 AWS 有效地實作和操作安全控制。AWS Artifact 提供的協議則包括商業夥伴增補合約 (BAA) 和保密協議 (NDA)。
  • AWS 合規計劃網頁 – AWS 合規計畫可協助客戶了解 AWS 在維護雲端安全和合規方面所具備的強大控制能力。
  • AWS 資料中心控制網頁 – 許多調查問卷部分都涉及與資料中心實體安全相關的問題。該網頁可讓您深入了解我們的一些實體和環境控制。
  • AWS 風險與合規白皮書 – 本文件還提供有關一般雲端運算合規性問題中關於 AWS 的特定資訊。
  • CSA 共識評定倡議調查問卷 – CSA 共識評定倡議調查問卷提供 CSA 預期雲端消費者及/或稽核員會向雲端供應商詢問的一系列問題。這提供一系列安全、控制和流程問題,可用於廣泛的用途,包括雲端供應商選擇和安全評估。本文件包含 AWS 對 CSA 調查問卷的答案。
  • AWS CyberGRX 評定 – 客戶可利用 AWS CyberGRX 報告來取代過時的靜態試算表,以及每年存取 AWS 評定的重複需求,以減輕供應商的盡職調查負擔。客戶還可使用 CyberGRX 的 Framework Mapper 功能,讓他們能夠將 AWS 評定映射至常用的產業架構和標準,以便立即深入了解控制涵蓋範圍的可視性。
  • AWS CyberVadis 評定 – 客戶可利用 AWS CyberVadis 風險評定報告和計分卡來進行供應商盡職調查。CyberVadis 評定透過整合 AWS 的回應與分析和複雜的風險模型,藉此提供進階功能,以深入檢視 AWS 的安全狀態。客戶可使用 CyberVadis 結果,將 AWS 評定映射至常用的產業架構和標準,以便立即深入了解控制範圍的可視性。
  • SIG 問卷調查 – 標準化資訊收集 (SIG) 問卷調查旨在讓客戶利用 Shared Assessment 的 SIG 問卷調查工具,來標準化其第三方風險評估程序。AWS 已完成問卷調查,並附有敘述性回覆,以協助 AWS 客戶完成 AWS 雲端的盡職調查程序。SIG 可在 AWS Artifact 上找到。
2.哪些 AWS 服務符合常見的雲端安全性和合規性標準?

標準範圍內的 AWS 服務網頁提供經過評估且符合通用合規標準的服務清單。

3.AWS 是否有任何子處理者?

AWS 會委託 AWS 子處理者網頁上列出的實體,代表客戶或資料中心進行特定處理活動或資料中心機構管理活動。本網頁還為客戶提供訂閱電子郵件通知選項,以在子處理者清單發生變更時通知您。

4.我可以在哪裡了解 AWS 的資料隱私權?

您可以在 AWS 資料隱私權中心,進一步了解資料隱私權。本網頁提供 AWS 隱私權、隱私權法律與法規、常見問答集和資源的相關資訊。

5.能否針對我的業務連續性或災難復原政策為我提供 AWS 資料中心位置?

AWS 對我們的資料中心位置嚴格保密,以維護客戶資料的安全性和隱私性。我們的 AWS 區域的命名慣例指示該區域的可用區域和資料中心的一般地理位置。如需有關資料中心一般位置的更多詳細資訊,請參閱我們的 PCI-DSS 報告中,該報告可透過 AWS Artifact 獲得。 如需進一步了解資訊,請瀏覽我們的 AWS 全球基礎設施網頁

6.如何評估 AWS 資料中心的安全性和彈性?

客戶可以透過考慮 AWS 為其資料中心實施的所有安全控制,來評估 AWS 實體基礎設施的安全性和彈性。為協助客戶更深入地了解我們的實體安全性和彈性控制,獨立且稱職的稽核人員將驗證控制的設置和運作,作為我們透過 AWS Artifact 向客戶提供的 SOC 報告的一部分。這種被廣泛接受的第三方驗證為客戶提供了對現有控制有效性的獨立證明。資料中心實體安全性的獨立審查也是 ISO 27001、PCI、ITAR 和 FedRAMP 合規計劃的一部分。

7.AWS 是否允許客戶參觀實體資料中心?
否。由於我們的資料中心託管多個客戶,AWS 不允許客戶參觀資料中心,因為這會讓大量客戶暴露於第三方的實體存取中。然而,客戶和公眾可透過數位方式 參觀 AWS 資料中心,以更好地了解我們網站上的基礎設施和控制。
8.評估作為客戶災難復原計劃的一部分,哪些因素在其評估時至關重要?

評估 AWS 作為客戶災難復原計劃一部分,客戶應首先確定其彈性目標,並考慮有關彈性和災難復原的任何適用法規要求。然後,客戶可以建置其 AWS 環境,以滿足其彈性目標和法規要求。例如,為減輕環境風險,客戶可以設計其 AWS 工作負載,以利用實體上分開的可用區域和區域來實現其目標。在規劃業務持續性和災難復原時,AWS 客戶應利用 AWS Well Architected Framework可靠性支柱中包含的最佳實務。如需有關災難復原建議的詳細資訊,請參閱 AWS 上的工作負載災難復原:在雲端復原

合規報告

1.我可以在哪裡下載 AWS 合規報告,例如 SOC 報告、PCI 合規聲明文件或 SIG 問卷調查?

AWS Artifact 提供第三方稽核員簽發的合規報告,這些稽核員已測試並驗證我們對於各項全球、區域和業界特定安全標準與法規的合規。發佈新報告時,即可在 AWS Artifact 中下載這些為客戶提供的報告。如需詳細資訊,請移至合規報告常見問答集。您還可直接從 AWS 管理主控台存取 AWS Artifact。

2.在哪裡可以找到 AWS SOC 1 和 SOC 2 報告的過渡聲明 (Bridge Letter)?

根據我們每年多次簽發的 12 個月 SOC 報告提供的 AWS 持續涵蓋範圍,我們會發布 SOC 持續營運聲明,而非過渡聲明或差距聲明。可以使用 AWS ArtifactAWS 管理主控台下載這些定期發布的聲明。

3.AWS SOC 報告是否會在報告期末到期?

否。SOC 稽核在一段時間內執行。稽核期結束後,即會準備報告,並於約 6 週內將其提供給客戶。自 2023 年 9 月 30 日起,AWS 每年簽發多次涵蓋 12 個月期間的 SOC 報告。SOC 1 報告每季度簽發一次,而 SOC 2 和 SOC 3 報告則每 6 個月簽發一次。發布新的 SOC 報告時,即可在 AWS Artifact 中下載這些為客戶提供的報告。

4.我的終端客戶如何獲得 AWS SOC 1 和 SOC 2 報告的副本?

AWS 很高興為您的客戶提供我們的 SOC 1 或 SOC 2 報告的副本。為了向您的客戶提供最佳支援,我們建議他們參閱 AWS Artifact 入門指南,使用他們自己的 AWS 帳戶下載 SOC 1 或 SOC 2 報告。建立帳戶不會產生相關費用。客戶登入他們的帳戶之後,在 AWS Console 中導覽至安全、身分和合規下的成品,即可存取可用的報告。

如果適用於特定 AWS 合規報告的條款與條件允許,則您可以從 AWS Artifact 下載 AWS 合規報告並直接與您的客戶共享。請參閱從 AWS Artifact 下載的 AWS 合規報告首頁的適用條款與條件,以查看是否允許共享該報告。

我們還在 SOC 合規網頁上發佈 AWS SOC 3 報告SOC 3 報告是 AWS SOC 2 報告的摘要;該報告提供相關保證,包括外部稽核員的意見,即 AWS 會根據 AICPA 的《信託服務原則》中規定的標準確保有效的控制操作。

合規計劃

1.AWS 是否通過 HIPAA 認證?

沒有適用於 AWS 這類雲端服務供應商 (CSP) 的 HIPAA 認證。但是,AWS 將其 HIPAA 風險管理計畫與美國衛生和人類服務部隱私權 (CFR 第 45 篇第 160 部分和第 164 部分的 A 和 E 子部分) 和安全性 (CFR 第 45 篇第 160 部分和 164 部分的 A 和 C 子部分) 規則、HIPAA 管理簡化法規 (CFR 第 45 篇第 160、162 和 164 部分)、FedRAMP、NIST 800-30 和 NIST 800-53 保持一致。NIST 支援符合這些標準且已簽發 SP 800-66 Rev. 1 實作 HIPAA 安全規則的基礎資源指南,其中闡述 NIST 800-53 如何符合 HIPAA 安全規則。請參閱 AWS HIPAA 網頁,以獲取有關 AWS 上的 HIPAA 合規的詳細資訊。

2.AWS 是否會根據 HIPAA 法規和規定中所述,簽署商業夥伴增補合約 (BAA)?

是。AWS 擁有我們與客戶簽訂的標準 BAA。它將 AWS 提供的特殊服務列入協定,並採用 AWS 共同的責任模型

若要檢閱、接受和管理您的帳戶或屬於 AWS Organizations 中組織所有帳戶的 BAA 狀態,請從 AWS 管理主控台登入 AWS Artifact

3.AWS 服務符合 HIPAA 資格意味著什麼?

AWS 遵循符合標準的風險管理計劃,以確保 HIPAA 合格服務具體支援 HIPAA 要求的安全、控制和管理程序。客戶可在指定為 HIPAA 帳戶的帳戶中使用任何 AWS 服務,但他們只能使用符合 HIPAA 資格的服務來處理、存放和傳輸受保護的健康資訊 (PHI)。請參閱以下 AWS 資源,以獲取有關 AWS 上的 HIPAA 合規的詳細資訊︰

4.能否在 AWS 上實現 HITRUST 合規?

客戶可考慮利用標準範圍內服務的 AWS HITRUST CSF 認證來支援自己的 HITRUST CSF 認證。如需通過 HITRUST CSF 認證的最新 AWS 服務清單,請參閱 AWS 服務範圍網頁。如果客戶僅使用了範圍內服務並套用了 HITRUST Alliance (健康資訊信任聯盟) 網站上詳細列明的控制內容,則可以繼承 AWS HITRUST CSF 認證。客戶可以下載 AWS Custom HITRUST 共同的責任矩陣,以確定 AWS 客戶可以作為共享責任模型的一部分繼承的 HITRUST 要求。客戶應參考 MyCSF 使用者指南網頁,獲取有關如何啟動繼承請求的指導。

5.如何與 AWS 簽訂 GDPR 合規資料處理增補合約 (DPA)?

您無需採取任何動作,即可從 GDPR DPA 中獲益。GDPR DPA 的條款已合併到 AWS 服務條款中,並且自 2018 年 5 月 25 日起,GDPR DPA 自動適用於其活動在 GDPR 範圍內的客戶。請參閱此 AWS 安全部落格文章,進一步了解有關 AWS DPA 的資訊。如需詳細資訊,請瀏覽GDPR 中心

6.AWS 遵守哪些區域計畫?

AWS 合規計畫可協助客戶了解 AWS 在維護雲端安全和合規方面所具備的強大控制能力。您可以前往 AWS 合規計畫網頁,尋找 AWS 符合哪些特定區域 (全球、美洲、亞太區域、歐洲、中東和非洲) 計畫。

有問題? 聯繫 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »