OPS01-BP04 Evaluieren Sie die Compliance-Anforderungen

Regulatorische, branchenspezifische und interne Compliance-Anforderungen sind ein wichtiger Faktor, wenn Sie die Prioritäten Ihrer Organisation definieren. Ihr Compliance-Regelwerk hindert Sie möglicherweise daran, spezifische Technologien oder geografische Standorte zu nutzen. Wenden Sie die erforderliche Sorgfalt an, wenn keine externen Compliance-Regelwerke identifiziert sind. Erstellen Sie Audits oder Berichte, die die Compliance bestätigen.

Wenn Sie damit werben, dass Ihr Produkt bestimmte Compliance-Standards erfüllt, benötigen Sie einen internen Prozess zur kontinuierlichen Gewährleistung der Compliance. Zu den Compliance-Standards gehören beispielsweise PCI DSSRAMP, Fed und. HIPAA Die geltenden Compliance-Standards werden durch verschiedene Faktoren bestimmt, beispielsweise dadurch, welche Datentypen von der Lösung gespeichert oder gesendet werden und welche geografischen Regionen die Lösung unterstützt.

Gewünschtes Ergebnis:

Die regulatorischen, branchenspezifischen und internen Compliance-Anforderungen werden bei der Auswahl der Architektur berücksichtigt.
Sie können die Compliance bestätigen und Audit-Berichte erstellen.

Typische Anti-Muster:

Teile Ihres Workloads fallen unter das Payment Card Industry Data Security Standard (PCI-DSS) -Framework, aber Ihr Workload speichert Kreditkartendaten unverschlüsselt.
Ihren Software-Entwicklern und -Architekten ist das Compliance-Regelwerk, das Ihre Organisation einhalten muss, nicht bekannt.
Das jährliche System and Organizations Control (SOC2) Type II Audit findet bald statt, und Sie können nicht überprüfen, ob die Kontrollen vorhanden sind.

Vorteile der Nutzung dieser bewährten Methode:

Die Bewertung und das Verständnis der Compliance-Anforderungen für Ihren Workload liefern die Grundlage dafür, wie Sie Ihre Anstrengungen zur Bereitstellung eines geschäftlichen Mehrwerts priorisieren.
Sie wählen die Ihrem Compliance-Regelwerk entsprechenden Standorte und Technologien.
Indem Sie Ihren Workload so entwerfen, dass Überprüfungen möglich sind, können Sie leichter nachweisen, dass Sie das Compliance-Regelwerk einhalten.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Wenn Sie diese bewährte Methode implementieren, bedeutet dies, dass Sie Compliance-Anforderungen in den Entwurfsprozess für Ihre Architektur integrieren. Ihren Teammitgliedern ist das erforderliche Compliance-Regelwerk bekannt. Sie bestätigen Ihre Compliance mit diesem Regelwerk.

Kundenbeispiel

AnyCompany Einzelhändler speichern Kreditkarteninformationen für Kunden. Die Entwickler des Kartenspeicher-Teams wissen, dass sie das PCI DSS -Framework einhalten müssen. Sie haben Schritte unternommen, um zu überprüfen, ob Kreditkarteninformationen gemäß dem PCI - DSS Framework sicher gespeichert und abgerufen werden. Jedes Jahr arbeiten sie mit dem Sicherheitsteam zusammen, um die Compliance zu bestätigen.

Implementierungsschritte

Arbeiten Sie mit Ihrem Sicherheits- und Governance-Team zusammen, um zu ermitteln, welche branchenspezifischen, regulatorischen oder internen Compliance-Regelwerke Ihr Workload einhalten muss. Integrieren Sie die Compliance-Regelwerke in Ihren Workload.
1. Überprüfen Sie die kontinuierliche Konformität der AWS Ressourcen mit Diensten wie AWS Compute Optimizerund AWS Security Hub.
Informieren Sie Ihre Teammitglieder über die Compliance-Anforderungen, damit diese den Workload in Übereinstimmung mit den Anforderungen betreiben und weiterentwickeln können. Die Compliance-Anforderungen sollten bei architektur- und technologiebezogenen Entscheidungen berücksichtigt werden.
Je nach Compliance-Regelwerk müssen Sie möglicherweise einen Audit- oder Compliance-Bericht erstellen. Arbeiten Sie mit Ihrer Organisation zusammen, um diesen Prozess so weit wie möglich zu automatisieren.
1. Nutzen Sie Services wie AWS Audit Manager, um die Compliance zu validieren und Auditberichte zu erstellen.
2. Sie können AWS Sicherheits- und Compliance-Dokumente mit AWS Artifactherunterladen.

Aufwand für den Implementierungsplan: Mittel. Die Implementierung von Compliance-Regelwerken kann eine Herausforderung darstellen. Das Erstellen von Auditberichten oder Compliance-Dokumenten erfordert zusätzlichen Aufwand.

Ressourcen

Zugehörige bewährte Methoden:

SEC01-BP03 Identifizieren und validieren Sie Kontrollziele — Ziele der Sicherheitskontrolle sind ein wichtiger Bestandteil der allgemeinen Einhaltung von Vorschriften.
SEC01-BP06 Automatisieren Sie das Testen und Validieren von Sicherheitskontrollen in Pipelines — Validieren Sie Sicherheitskontrollen als Teil Ihrer Pipelines. Sie können auch eine Compliance-Dokumentation für neue Änderungen erstellen.
SEC07-BP02 Definieren Sie Datenschutzkontrollen — Viele Compliance-Frameworks basieren auf Datenverarbeitungs - und Speicherrichtlinien.
SEC10-BP03 Vorbereitung forensischer Funktionen — Forensische Funktionen können manchmal bei der Prüfung der Einhaltung von Vorschriften eingesetzt werden.

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

PCIDSSund bewährte AWS grundlegende Sicherheitsverfahren zu AWS

Zugehörige Services:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

OPS01-BP03 Evaluieren Sie die Anforderungen an die Unternehmensführung

OPS01-BP05 Bewerten Sie die Bedrohungslandschaft