一般問題

1.填寫我的年度 AWS 廠商/供應商/盡職調查問卷的最佳方法是什麼?

如果您需要協助來填寫調查問卷以記錄 AWS 安全性和合規性,AWS 會提供一種建議的方法,為您提供在雲端和 AWS 業務模型環境中您解決安全性和合規性問題所需的資源。完成安全性和合規性調查問卷最常用的資源包括:

  • AWS Artifact – AWS Artifact 是您的首選中心資源,其會提供您在乎的合規相關資訊。它可讓您隨需存取 AWS 安全與合規報告和選取線上協議。AWS SOC 2 報告對於完成調查問卷特別有用,因為它提供有關 AWS 安全控制的實作和操作有效性的全面說明。另一個實用的文件是 AWS FedRAMP 合作夥伴套件中的 Executive Briefing。
  • CSA 共識評定倡議調查問卷 – CSA 共識評定倡議調查問卷提供 CSA 預期雲端消費者及/或稽核員會向雲端供應商詢問的一系列問題。這提供一系列安全、控制和流程問題,可用於廣泛的用途,包括雲端供應商選擇和安全評估。本文件包含 AWS 對 CSA 調查問卷的答案。
  • AWS 風險與合規白皮書 – 本文件還提供有關一般雲端運算合規性問題中關於 AWS 的特定資訊。有關於全部 AWS 認證、計劃、報告與第三方認證的詳細說明。 
  • AWS 資料中心控制網頁 – 許多調查問卷的整個部分都涉及與資料中心實體安全相關的問題。該網頁可讓您深入了解我們的一些實體和環境控制。
2.哪些 AWS 服務和功能符合常見的雲端安全性和合規性標準?

標準範圍內的 AWS 服務提供經過評估且符合通用合規標準的服務清單。除非明確排除,每個所列服務的功能都視為包含在合規計劃的範圍內,並已在評定時進行審查和測試。請參閱 AWS 文件,了解 AWS 服務的各項功能。 

3.在 AWS 上是否能符合監管要求?

AWS 在世界各地擁有客戶,並不斷適應日益演變的法規。AWS 合規中心為您提供了一個中心位置,來研究與雲端相關的法規要求以及它們影響您產業的方式。選擇您感興趣的國家/地區,AWS 合規中心將顯示該國家/地區關於採用雲端服務的法規立場。 

4.AWS 是否有任何子處理者?

AWS 會委託 AWS 子處理者網頁上列出的實體,代表客戶或資料中心進行特定處理活動或資料中心機構管理活動。本網頁還為客戶提供訂閱電子郵件通知選項,以在子處理者清單發生變更時通知您。

AWS 會主動通知能夠存取您上傳到 AWS 上之客戶擁有內容 (包括可能包含個人資料的內容) 的任何次承攬人客戶。經過 AWS 授權的次承攬人均不會存取您上傳到 AWS 之任何客戶擁有內容。若要全年監控次承攬人的存取權,請參閱 AWS 第三方存取權網頁。 

5.能否針對我的業務連續性或災難復原政策為我提供 AWS 資料中心位置?

AWS 對我們的資料中心位置嚴格保密,以維護客戶資料的安全性和隱私性。位置僅向需要核准業務的 AWS 員工和承攬人公開。

客戶可以透過考慮 AWS 為其資料中心實施的所有安全控制,來評估 AWS 實體基礎架構的安全性和彈性。為了在客戶評估 AWS 資料中心相關風險時提供支援,AWS 提供了 AWS 資料中心控制網頁,以及 AWS Artifact 中提供的 AWS SOC 2 報告。 

6.評估作為客戶災難復原計劃的一部分,哪些因素在其評估時至關重要?

評估 AWS 作為客戶災難復原計劃一部分,客戶應首先確定其彈性目標,並考慮有關彈性和災難復原的任何適用法規要求。然後,客戶可以建置其 AWS 環境,以滿足其彈性目標和法規要求。例如,為減輕環境風險,客戶可以設計其 AWS 工作負載,以利用實體上分開的可用區域和區域來實現其目標。若客戶具有較高的可用性要求,通常可將多個區域用於關鍵應用程式。如需進一步了解,請參閱 AWS 災難復原網頁AWS 資料中心控制網頁,以及 AWS Artifact 中提供的 AWS SOC 2 報告。

合規報告

1.在哪裡可以下載 AWS 合規報告,如 SOC 或 PCI 報告?

AWS Artifact 提供多個第三方稽核員簽發的合規報告,這些稽核員已測試並驗證我們對於各項全球、區域和業界特定安全標準與法規的合規。發佈新報告時,即可在 AWS Artifact 中下載這些為客戶提供的報告。如需詳細資訊,請移至合規報告常見問答集。您可直接從 AWS 管理主控台存取 AWS Artifact。

2.在哪裡可以找到 AWS SOC 1 和 SOC 2 報告的過渡聲明 (Bridge Letter)?

根據 AWS 在 SOC 1 和 SOC 2 報告週期內的全年覆蓋範圍,我們發佈 SOC 持續營運聲明,而非過渡聲明或空缺聲明。可以使用 AWS ArtifactAWS 管理主控台下載該文件。

3.AWS SOC 報告是否會在報告期末到期?

否。SOC 稽核在一段時間內執行。稽核期結束後,即會準備報告,並在 6-8 週內將其提供給客戶。AWS 每年會簽發兩份 SOC 1 和兩份 SOC 2 報告,涵蓋 6 個月期間 (第一份報告的涵蓋時間為 10 月 1 日至 3 月 31 日,第二份報告的涵蓋時間為 4 月 1 日至 9 月 30 日)。報告的發佈日期影響因素有很多,但我們的目標是每年的 5 月初和 11 月初發佈新報告。發佈新的 SOC 報告時,即可在 AWS Artifact 中下載這些為客戶提供的報告。

4.我的最終客戶如何獲得 AWS SOC 1 和 SOC 2 報告的複本?

AWS 很高興為您的客戶提供我們的 SOC 1 或 SOC 2 報告複本;然而,我們要求報告的預期使用者直接與 AWS 簽訂保密協議 (NDA)。為了向您的客戶提供最佳支援,我們建議他們參閱 AWS Artifact 入門指南,下載請求的合規報告。

如果您的客戶不想與 AWS 簽訂 NDA,我們將在 SOC 合規網頁上發佈 AWS SOC 3 報告。SOC 3 報告是 AWS SOC 2 報告的摘要;該報告提供相關保證,包括外部稽核員的意見,即 AWS 會根據 AICPA 的《信託服務原則》中規定的標準確保有效的控制操作。

合規計劃

1.AWS 是否通過 HIPAA 認證?

沒有適用於 AWS 這類雲端供應商 (CSP) 的 HIPAA 認證。為了符合我們操作模型適用的 HIPAA 需求,AWS HIPAA 風險管理計劃符合 FedRAMP 和 NIST 800-53,這兩者是映射至 HIPAA 安全規則的較高安全標準。NIST 支援符合這些標準且發佈 SP 800-66 實作 HIPAA 安全規則的基礎資源指南,其中闡述 NIST 800-53 如何符合 HIPAA 安全規則。請參閱 AWS HIPAA 網頁,以獲取有關 AWS 上的 HIPAA 合規的詳細資訊。

2.AWS 是否會根據 HIPAA 法規和規定中所述,簽署商業夥伴增補合約 (BAA)?

是。AWS 擁有我們與客戶簽訂的標準 BAA。它將 AWS 提供的特殊服務列入協定,並採用 AWS 共同的責任模型

若要檢閱、接受和管理您的帳戶或屬於 AWS Organizations 中組織所有帳戶的 BAA 狀態,請從 AWS 管理主控台登入 AWS Artifact

3.AWS 服務符合 HIPAA 資格意味著什麼?

AWS 遵循符合標準的風險管理計劃,以確保 HIPAA 合格服務具體支援 HIPAA 要求的安全、控制和管理程序。客戶可在指定為 HIPAA 帳戶的帳戶中使用任何 AWS 服務,但他們只能使用符合 HIPAA 資格的服務來處理、存放和傳輸受保護的健康資訊 (PHI)。請參閱以下 AWS 資源,以獲取有關 AWS 上的 HIPAA 合規的詳細資訊︰

4.在 AWS 上如何實現 HITRUST 合規?

AWS 提供廣泛的認證和證明,涵蓋世界各地的合規計劃。您可以充分利用這些認證和證明來滿足您的其他合規計劃,例如 HITRUST 通用安全框架,或者電子醫療保健網路認證委員會 (EHNAC) 提供的計劃。您還可以與我們其中一位專精於醫療保健合規的合作夥伴合作。

5.如何與 AWS 簽訂 GDPR 合規資料處理增補合約 (DPA)?

您無需採取任何動作,即可從 GDPR DPA 中獲益。GDPR DPA 的條款已合併到 AWS 服務條款中,並且自 2018 年 5 月 25 日起,GDPR DPA 自動適用於其活動在 GDPR 範圍內的客戶。請參閱此 AWS 安全部落格文章,進一步了解有關 AWS DPA 的資訊。

6.AWS 是否已獲得歐美隱私屏障的認證?

是,AWS 已獲得歐美隱私屏障的認證。 您可以在此處查看 AWS 的認證。雖然歐盟法院於 2020 年 7 月發佈了一項裁決,宣佈歐盟委員會第 2016/1250 號決定無效 (關於歐盟-美國隱私保護組織提供的保護是否充分),但該決定並未免除歐盟-美國隱私保護組織參與者在該框架下的義務。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »