Caso precise de ajuda para preencher um questionário para documentar a posição de segurança e conformidade da AWS, recomendamos os seguintes recursos que são usados com mais frequência para preencher questionários de segurança e conformidade:
AWS Artifact é seu recurso de referência para as informações relacionadas à conformidade que são importantes para você. Oferece acesso online e sob demanda aos relatórios de conformidade e segurança da AWS e a acordos específicos. O relatório AWS SOC 2 é particularmente útil para preencher questionários porque fornece uma visão geral completa da implementação e eficácia operacional dos controles de segurança da AWS. Outro documento útil é o Executive Briefing dentro do AWS FedRAMP Partner Package.
O Questionário da Iniciativa de Avaliação de Consenso da CSA proporciona um conjunto de perguntas que a CSA antecipa que um consumidor e/ou um auditor faria a um provedor de nuvem. Contém uma série de perguntas de segurança, controle e processos que podem ser utilizads para diversas finalidades, invluso a seleção do provedor de nuvem e avaliação da segurança. Este documento contém as respostas da AWS ao questionário da CSA.
O documento de Riscos e Conformidade Regulatória na AWS aborda informações específicas da AWS sobre questões gerais de conformidade de TI na nuvem. Descrições detalhadas de todas as certificações, programas, relatórios e atestados de terceiros da AWS.
Muitos questionários tem uma seção completa com pertguntas relacionadas à segurança física dos Datacenters. A Página de controles de segurança nos Datacenters da AWS fornece informações sobre alguns dos nossos controles físicos e ambientais.
Faça uma Visita Virtual a um Datacenter da AWS e conheça aspectos chave de como construímos nossos datacenters para lhe oferecer segurança nas seguintes camadas:
A página dos Serviços AWS por escopo fornece uma lista de serviços que são avaliados para atender com os padrões comuns de conformidade. A menos que esteja relacionad especificamente como excluído, as características de cada um dos serviços listados são consideradas no escopo do programa de conformidade e são revisadas e testadas como parte da avaliação. Consulte a documentação da AWS para conhecer as características de um serviço da AWS.
AWS tem clientes em todo o mundo e se adapta continuamente as regulações em evolução. O Centro de Compliance da AWS oferece um local centralizado para analizar os requisitos normativos relacionados a nuvem e como afetam a sua indústria. Escolha o pais desejado e o Centro de Complicance da AWS mostrará a situação regulatória do país com respeito a adoção de serviços na nuvem.
A AWS pode contratar as entidades listadas no site de subprocessadores da AWS para realizar atividades de processamento específicas em nome do cliente ou atividades de gerenciamento de instalações do datacenter. Este site também oferece aos clientes a opção de cadastrar-se para receber notificações por e-mail caso a lista tenha alterações.
A AWS informa proativamente nossos clientes sobre quaisquer subcontratatos que tenham acesso ao conteúdo de propriedade do cliente que eles enviam para a AWS, incluindo conteúdo que pode conter dados pessoais. Não há subcontratados autorizados pela AWS a acessar qualquer conteúdo de propriedade do cliente que você envie para a AWS. Para monitorar o acesso de terceirizados ao longo do ano, consulte o site AWS Third-Party Access
AWS mantém as localizações do nossos datacenters em confidencialidade máxima para manter a segurança e privacidade dos dados dos clientes. As Localizações são divulgadas somente aos empregados e subcontratados da AWS que tem uma necessidade comercial aprovada para estarem nas instalações.
Os clientes podem avaliar a segurança e a confiabilidade da infraestrutura física da AWS considerando todos os controles de segunrança que a AWS tem implementados em seus datacenters. Para ajudar os clienters a avaliar os riscos relacionados com os datacenters da AWS, a AWS possui o site Tour Virtual dos datacenters da AWS e o relatório AWS SOC 2 disponível no AWS Artifact .
Os clientes que avaliam a AWS como parte do seu planejamento de recuperação de desastres devem identificar primeiro seus objetivos de resiliencia e considerar os requisitos normativos aplicáveis para a resiliencia e a recuperação em caso de desastres. Os clientes podem então projetar seu ambiente AWS para atender às suas metas de resiliência e requisitos regulamentares. Por exemplo, para mitigar os riscos ambientais, os clientes podem projetar suas cargas de trabalho da AWS para aproveitar as zonas de disponibilidade e regiões fisicamente separadas para cumprir seus objetivos. Os clientes com requisitos de alta disponibilidade costumam usar várias zonas ou regiões de disponibilidade para aplicações críticas. Obtenha mais informações no site AWS Disaster Recovery , no site AWS Data Center Controls e no relatório AWS SOC 2 disponível no AWS Artifact.