OPS01-BP04 Évaluer les exigences de conformité
Les exigences en matière de conformité réglementaire, sectorielle et interne constituent un facteur important pour définir les priorités de votre organisation. Votre cadre de conformité peut vous empêcher d'utiliser des technologies ou des emplacements géographiques spécifiques. Appliquez les principes de diligence raisonnable si aucun cadre de conformité externe n'est identifié. Générez des audits ou des rapports qui valident la conformité.
Si vous mettez en avant le fait que votre produit respecte des normes de conformité spécifiques, vous devez mettre en place un processus interne pour assurer une conformité constante. Les normes PCI DSS, FedRAMP et HIPAA sont des exemples de normes de conformité. Les normes de conformité applicables sont déterminées par divers facteurs, tels que les types des données stockées ou transmises par la solution et les régions géographiques prises en charge par la solution.
Résultat souhaité :
-
Les exigences en matière de conformité réglementaire, industrielle et interne sont intégrées dans le choix de l'architecture.
-
Vous pouvez valider la conformité et générer des rapports d'audit.
Anti-modèles courants :
-
Certaines parties de votre charge de travail relèvent du cadre de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), mais votre charge de travail stocke les données des cartes de crédit sans les chiffrer.
-
Vos développeurs et architectes de logiciels ne connaissent pas le cadre de conformité auquel votre organisation doit se conformer.
-
L'audit annuel SOC2 (Systems and Organizations Control) de type II aura lieu prochainement et vous n'êtes pas en mesure de vérifier que les contrôles sont en place.
Avantages liés au respect de cette bonne pratique :
-
L'évaluation et la compréhension des exigences de conformité qui s'appliquent à votre charge de travail détermineront la façon dont vous priorisez vos efforts pour produire de la valeur ajoutée.
-
Vous choisissez les bons sites et les bonnes technologies, en accord avec votre cadre de conformité.
-
La conception de votre charge de travail en vue de son auditabilité vous permet de prouver que vous adhérez à votre cadre de conformité.
Niveau de risque exposé si cette bonne pratique n'est pas respectée : élevé
Directives d'implémentation
La mise en œuvre de cette bonne pratique signifie que vous intégrez les exigences de conformité dans votre processus de conception de l'architecture. Les membres de votre équipe connaissent le cadre de conformité requis. Vous validez la conformité conformément au cadre.
Exemple de client
AnyCompany Retail stocke les informations relatives aux cartes de crédit des clients. Les développeurs de l'équipe chargée du stockage des cartes comprennent qu'ils doivent se conformer au cadre PCI-DSS. Ils ont pris des mesures pour vérifier que les informations relatives aux cartes de crédit sont stockées et accessibles en toute sécurité, conformément au cadre PCI-DSS. Chaque année, ils travaillent avec leur équipe de sécurité pour valider la conformité.
Étapes d'implémentation
-
Travaillez avec vos équipes de sécurité et de gouvernance pour déterminer les cadres de conformité sectoriels, réglementaires ou internes auxquels votre charge de travail doit se conformer. Incorporez les cadres de conformité à votre charge de travail.
-
Validez la conformité constante des ressources AWS avec des services comme AWS Compute Optimizer et AWS Security Hub.
-
-
Informez les membres de votre équipe sur les exigences de conformité afin qu'ils puissent travailler et faire évoluer la charge de travail en fonction de celles-ci. Les exigences de conformité doivent être incorporées aux choix architecturaux et technologiques.
-
En fonction du cadre de conformité, vous pouvez être amené à générer un audit ou un rapport de conformité. Travaillez avec votre organisation pour automatiser ce processus autant que possible.
-
Utilisez des services tels que AWS Audit Manager pour valider la conformité et générer des rapports d'audit.
-
Vous pouvez télécharger des documents sur la sécurité et la conformité d'AWS avec AWS Artifact.
-
Niveau d'effort du plan d'implémentation : moyen. La mise en œuvre de cadres de conformité peut s'avérer difficile. La production de rapports d'audit ou de documents de conformité ajoute un niveau de complexité supplémentaire.
Ressources
Bonnes pratiques associées :
-
SEC01-BP03 Identifier et valider les objectifs de contrôle : les objectifs de contrôle de la sécurité sont une part importante de la conformité globale.
-
SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines : dans le cadre de vos pipelines, validez les contrôles de sécurité. Vous pouvez également générer des documents de conformité pour les nouvelles modifications.
-
SEC07-BP02 Définir les contrôles de protection des données : de nombreux cadres de conformité reposent sur des politiques de traitement et de stockage des données.
-
SEC10-BP03 Préparer les fonctionnalités d'analyse poussée : les capacités d'analyse permettent parfois de vérifier la conformité.
Documents connexes :
Vidéos connexes :
-
AWS re:Invent 2020: Achieve compliance as code using AWS Compute Optimizer
(AWS re:Invent 2020 : mettre en œuvre la conformité en tant que code en utilisant AWS Config) -
AWS re:Invent 2021 - Cloud compliance, assurance, and auditing
(AWS re:Invent 2021 : conformité, assurance et audit du cloud) -
AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202)
[Sommet AWS ATL 2022 : mise en œuvre de la conformité, de l'assurance et de l'audit sur AWS (COP202)]
Exemples connexes :
-
PCI DSS and AWS Foundational Security Best Practices on AWS
(Bonnes pratiques en matière de sécurité de base PCI DSS et AWS sur le cloud AWS)
Services associés :