【AWS】AWS合规常见问题

概述

1.填写AWS年度供应商/供应商/尽职调查问卷的最佳方式是什么？

如果您需要帮助来完成一份问卷，以记录AWS的安全和合规状况，AWS提供了一种推荐的方法，旨在为您提供所需的资源，以回答您在云和AWS业务模式背景下的安全和不合规问题。完成安全和合规问卷最常用的资源是：

• AWS Artifact是您获取与合规性相关信息的核心资源。它提供对AWS安全和合规报告以及选定在线协议的按需访问。AWS Artifact中提供的报告包括我们的服务组织控制（SOC）报告、支付卡行业（PCI）合规认证，以及来自不同地区和合规垂直领域的认证机构的认证，这些认证机构验证了AWS安全控制的实施和运营有效性。AWS Artifact中提供的协议包括业务助理附录（BAA）和保密协议（NDA）。
• AWS合规计划网页-AWS合规计划帮助客户了解AWS为维护云中的安全性和合规性而实施的强大控制。
• AWS数据中心控制网页–许多问卷都有一个部分，其中包含与数据中心物理安全相关的问题。此网页让您了解我们的一些物理和环境控制。
• AWS风险与合规性白皮书——本文档探讨了围绕一般云计算合规性问题的AWS特定信息。
• CSA共识评估倡议问卷——CSA共识评估计划问卷提供了一组CSA预计云消费者和/或审计师会向云提供商提出的问题。它提供了一系列安全、控制和流程问题，可用于广泛的用途，包括云提供商选择和安全评估。本文档包含AWS对CSA问卷的答复。
• AWS CyberGRX评估——客户可以利用AWS CyberGRX报告，通过替换过时的静态电子表格以及每年重复请求访问AWS评估来减轻供应商的尽职调查负担。客户还可以使用CyberGRX的Framework Mapper功能，该功能将允许他们将AWS评估映射到常用的行业框架和标准，以立即了解控制范围。
• AWS CyberVadis评估-客户可以利用AWS CyberVadi风险评估报告和记分卡进行供应商尽职调查。CyberVadis评估通过将AWS的响应与分析和复杂的风险模型相结合，提供了高级功能，以深入了解AWS的安全状况。客户可以使用CyberVadis的结果将AWS评估映射到常用的行业框架和标准，以立即了解控制范围。
• SIG问卷-标准化信息收集（SIG）问卷旨在供使用共享评估SIG问卷工具的客户使用，以规范其第三方风险评估流程。AWS已完成问卷调查，并附有叙述性回复，以协助AWS客户对AWS云进行尽职调查。SIG可以在AWS Artifact上找到。

2.哪些AWS服务符合常见的云安全和合规标准？

AWS服务范围网页提供了一份经评估符合通用合规标准的服务列表。
 

3.AWS有子处理器吗？

AWS可能会聘请AWS子处理器网页上列出的实体代表客户或数据中心设施管理活动执行特定的处理活动。如果子处理器列表发生变化，此网页还为客户提供订阅电子邮件通知的选项。

4.我在哪里可以了解AWS的数据隐私？

您可以在AWS数据隐私中心了解数据隐私。此网页提供有关AWS隐私、隐私法律法规、常见问题解答和资源的信息。

5.您能为我的业务连续性或灾难恢复策略提供AWS数据中心的位置吗？

AWS严格保密我们的数据中心位置，以维护客户数据的安全性和隐私性。AWS区域的命名约定表示组成该区域的可用性区域和数据中心的一般地理位置。有关数据中心总体位置的更多详细信息，请参阅我们通过AWS Artifact提供的PCI-DSS报告。要了解更多信息，请访问我们的AWS全球基础设施网页。

6.我如何评估AWS数据中心的安全性和弹性？

客户可以通过考虑AWS为其数据中心实施的所有安全控制来评估AWS物理基础设施的安全性和弹性。为了帮助客户更深入地了解我们的物理安全和弹性控制，一位独立且称职的审计师验证了控制措施的存在和运行，作为我们SOC报告的一部分，这些报告可通过AWS Artifact提供给客户。这种被广泛接受的第三方验证为客户提供了对现有控制措施有效性的独立证明。数据中心物理安全的独立审查也是ISO 27001、PCI、ITAR和FedRAMP合规计划的一部分。

7.AWS是否允许客户参观物理数据中心？

不是。由于我们的数据中心托管多个客户，AWS不允许客户参观数据中心，因为这会使大量客户暴露在第三方的物理访问之下。但是，客户和公众可以对AWS数据中心进行数字导览，以更好地了解我们网站上的基础设施和控制。
 

8.作为灾难恢复计划的一部分，客户需要评估哪些重要因素？

将AWS作为其灾难恢复计划的一部分进行评估的客户应首先确定其弹性目标，并考虑任何适用的弹性和灾难恢复监管要求。然后，客户可以构建他们的AWS环境，以满足他们的弹性目标和监管要求。例如，为了降低环境风险，客户可以构建他们的AWS工作负载，以利用物理上分离的可用区和区域来实现他们的目标。在规划业务连续性和灾难恢复时，AWS客户应利用AWS良好架构框架的可靠性支柱中包含的最佳实践。有关灾难恢复建议的更多信息，请参阅AWS上工作负载的灾难恢复：云中恢复。

合规报告

1.我在哪里可以下载AWS合规报告，如SOC报告、PCI合规证明或SIG问卷？

AWS Artifact提供由第三方审计师发布的合规报告，这些审计师测试并验证了我们对各种全球、区域和行业特定安全标准和法规的合规性。当新报告发布时，客户可以在AWS Artifact中下载。有关更多信息，请访问合规报告常见问题解答。您还可以直接从AWS管理控制台访问AWS工件。

2.我在哪里可以找到AWS SOC 1和SOC 2报告的桥接信？

根据我们每年多次发布的12个月SOC报告提供的AWS连续覆盖范围，我们发布了SOC持续运营函，而不是过渡函或间隙函。这些定期发布的信件可以使用AWS Artifact从AWS管理控制台下载。

3.AWS-SOC报告是否在报告期结束时到期？

否。SOC审计是在一段时间内进行的。审计期结束后，报告将在大约6周内准备好并提供给客户。从2023年9月30日开始，AWS每年多次发布涵盖12个月的SOC报告。SOC 1报告每季度发布一次，SOC 2和SOC 3报告每6个月发布一次。当新的SOC报告发布时，客户可以在AWS Artifact中下载。

4.我的终端客户如何获得AWS SOC 1和SOC 2报告的副本？

AWS很乐意为您的客户提供SOC 1或SOC 2报告的副本。为了更好地支持您的客户，我们建议他们使用AWS Artifact入门指南，使用自己的AWS帐户下载SOC 1或SOC 2报告。创建帐户不收取任何费用。登录帐户后，您的客户可以通过导航到安全、身份和合规下的工件来访问AWS控制台中的可用报告。
或者，您可以从AWS Artifact下载AWS合规性报告，并在适用于特定AWS合规报告的条款和条件允许的情况下直接与您的客户共享。请参阅从AWS Artifact下载的AWS合规报告第一页上的适用条款和条件，以检查是否允许共享该报告。
我们还在SOC合规网页上发布AWS SOC 3报告。SOC 3报告是AWS SOC 2报告的摘要；它提供了保证，包括外部审计师的意见，即AWS根据AICPA信托服务原则中规定的标准保持有效的控制运作。

合规计划

1.AWS HIPAA认证了吗？

AWS等云服务提供商（CSP）没有HIPAA认证。然而，AWS将其HIPAA风险管理计划与美国卫生和公共服务部隐私（45 CFR第160部分和第164部分的A和E子部分）和安全（45 CFR第160部分以及第164部分A和C子部分）规则、HIPAA行政简化条例（45 CFR160、162和164）、FedRAMP、NIST 800-30和NIST 800-53保持一致。NIST支持这种对齐，并发布了SP 800-66第1版，《实施HIPAA安全规则的介绍性资源指南》，其中记录了NIST 800-53如何与HIPAA安全准则对齐。有关AWS上HIPAA合规性的更多信息，请参阅AWS HIPAA网页。

2.AWS是否会按照HIPAA规则和条例的规定签署商业伙伴附录（BAA）？

对。AWS有一个我们与客户签订的标准BAA。它考虑了AWS提供的独特服务，并适应了AWS共享责任模型。

要查看、接受和管理您的帐户或AWS组织中属于您组织的所有帐户的BAA状态，请从AWS管理控制台登录AWS Artifact。
 

3.AWS服务符合HIPAA资格意味着什么？

AWS遵循基于标准的风险管理计划，以确保符合HIPAA标准的服务专门支持HIPAA要求的安全、控制和管理流程。客户可以在指定为HIPAA帐户的帐户中使用任何AWS服务，但只应使用符合HIPAA条件的服务处理、存储和传输受保护的健康信息（PHI）。有关AWS上HIPAA合规性的更多信息，请参阅以下AWS资源：

• Common architecting strategies for HIPAA
• HIPAA FAQs
• HIPAA-related blog posts

4.我可以在AWS上符合HITRUST标准吗？

客户可能希望利用AWS HITRUST CSF范围内服务的认证来支持他们自己的HITRUST脑脊液认证。有关HITRUST CSF认证的AWS服务的最新列表，请参阅AWS服务范围网页。AWS客户可以继承AWS HITRUST CSF认证，前提是客户仅使用范围内的服务并应用HITRUST联盟网站中详述的控制措施。客户可以下载AWS自定义HITRUST共享责任矩阵，以确定AWS客户可以作为共享责任模型的一部分继承的HITRUST要求。客户应参考MyCSF用户指南网页，了解如何发起继承请求。

5.如何使用AWS输入符合GDPR的数据处理附录（DPA）？

您不需要采取任何行动来获得GDPR DPA的好处。GDPR DPA的条款已纳入AWS服务条款，自2018年5月25日起，GDPR DPA自动适用于其活动属于GDPR范围的客户。请参阅此AWS安全博客文章，了解有关AWS DPA的更多信息。如需更多信息，请访问GDPR中心。

6.AWS遵守哪些区域计划？

AWS合规计划帮助客户了解AWS为维护云的安全性和合规性而实施的强大控制。您可以在AWS合规计划网页上找到AWS符合哪些特定的区域（全球、美洲、亚太、欧洲、中东和非洲）计划。