OPS01-BP04 Évaluer les exigences de conformité

Les exigences en matière de conformité réglementaire, sectorielle et interne constituent un facteur important pour définir les priorités de votre organisation. Votre cadre de conformité peut vous empêcher d’utiliser des technologies ou des emplacements géographiques spécifiques. Appliquez les principes de diligence raisonnable si aucun cadre de conformité externe n’est identifié. Générez des audits ou des rapports qui valident la conformité.

Si vous mettez en avant le fait que votre produit respecte des normes de conformité spécifiques, vous devez mettre en place un processus interne pour assurer une conformité constante. Des exemples de normes de conformité incluent PCIDSS, FedRAMP, etHIPAA. Les normes de conformité applicables sont déterminées par divers facteurs, tels que les types des données stockées ou transmises par la solution et les régions géographiques prises en charge par la solution.

Résultat escompté :

Les exigences en matière de conformité réglementaire, industrielle et interne sont intégrées dans le choix de l’architecture.
Vous pouvez valider la conformité et générer des rapports d’audit.

Anti-modèles courants :

Une partie de votre charge de travail est régie par le cadre de la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS), mais votre charge de travail stocke les données des cartes de crédit de manière non cryptée.
Vos développeurs et architectes de logiciels ne connaissent pas le cadre de conformité auquel votre organisation doit se conformer.
L'audit annuel du contrôle des systèmes et des organisations (SOC2) de type II aura lieu prochainement et vous n'êtes pas en mesure de vérifier que les contrôles sont en place.

Avantages liés au respect de cette bonne pratique :

L’évaluation et la compréhension des exigences de conformité qui s’appliquent à votre charge de travail détermineront la façon dont vous priorisez vos efforts pour produire de la valeur ajoutée.
Vous choisissez les bons sites et les bonnes technologies, en accord avec votre cadre de conformité.
La conception de votre charge de travail en vue de son auditabilité vous aide à prouver que vous adhérez à votre cadre de conformité.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

La mise en œuvre de cette bonne pratique signifie que vous intégrez les exigences de conformité dans votre processus de conception de l’architecture. Les membres de votre équipe connaissent le cadre de conformité requis. Vous validez la conformité conformément au cadre.

Exemple client

AnyCompany Informations sur les cartes de crédit des magasins de détail pour les clients. Les développeurs de l'équipe de stockage par carte savent qu'ils doivent se conformer au PCI DSS framework. Ils ont pris des mesures pour vérifier que les informations relatives aux cartes de crédit sont stockées et accessibles en toute sécurité conformément au PCI DSS cadre. Chaque année, ils travaillent avec leur équipe de sécurité pour valider la conformité.

Étapes d’implémentation

Travaillez avec vos équipes de sécurité et de gouvernance pour déterminer les cadres de conformité sectoriels, réglementaires ou internes auxquels votre charge de travail doit se conformer. Incorporez les cadres de conformité à votre charge de travail.
1. Validez la conformité continue des AWS ressources avec des services tels que AWS Compute Optimizeret AWS Security Hub.
Informez les membres de votre équipe sur les exigences de conformité afin qu’ils puissent travailler et faire évoluer la charge de travail en fonction de celles-ci. Les exigences de conformité doivent être incorporées aux choix architecturaux et technologiques.
En fonction du cadre de conformité, vous pouvez être amené à générer un audit ou un rapport de conformité. Travaillez avec votre organisation pour automatiser ce processus autant que possible.
1. Utilisez des services comme AWS Audit Manager pour valider des rapports de conformité et générer des rapports d’audit.
2. Vous pouvez télécharger les documents AWS de sécurité et de conformité avec AWS Artifact.

Niveau d’effort du plan d’implémentation : moyen. La mise en œuvre de cadres de conformité peut s’avérer difficile. La génération de rapports d’audit ou de documents de conformité ajoute un niveau de complexité supplémentaire.

Ressources

Bonnes pratiques associées :

SEC01-BP03 Identifier et valider les objectifs de contrôle - Les objectifs de contrôle de sécurité jouent un rôle important dans la conformité globale.
SEC01-BP06 Automatisez les tests et la validation des contrôles de sécurité dans les pipelines - Dans le cadre de vos pipelines, validez les contrôles de sécurité. Vous pouvez également générer des documents de conformité pour les nouvelles modifications.
SEC07-BP02 Définir les contrôles de protection des données - De nombreux cadres de conformité sont basés sur des politiques de gestion et de stockage des données.
SEC10-BP03 Préparer les capacités de criminalistique - Les capacités de criminalistique peuvent parfois être utilisées pour auditer la conformité.

Documents connexes :

Vidéos connexes :

Exemples connexes :

PCIDSSet les meilleures pratiques de sécurité AWS fondamentales sur AWS

Services connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

OPS01-BP03 Évaluer les exigences de gouvernance

OPS01-BP05 Évaluer le paysage des menaces