Validasi kepatuhan untuk Amazon CloudFront - Amazon CloudFront
CloudFront praktik terbaik kepatuhan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Validasi kepatuhan untuk Amazon CloudFront

Auditor pihak ketiga menilai keamanan dan kepatuhan Amazon CloudFront sebagai bagian dari beberapa program AWS kepatuhan. Hal ini mencakup SOC, PCI, HIPAA, dan lainnya.

Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan. Untuk informasi umum, lihat Program Kepatuhan AWS.

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat Mengunduh Laporan di AWS Artifact.

Tanggung jawab kepatuhan Anda saat menggunakan CloudFront ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:

  • Panduan Memulai Cepat Keamanan dan Kepatuhan — Panduan penerapan ini membahas pertimbangan arsitektur dan memberikan langkah-langkah untuk menerapkan lingkungan dasar yang berfokus pada keamanan dan kepatuhan. AWS

  • Arsitektur untuk Keamanan dan Kepatuhan HIPAA AWS — Whitepaper ini menjelaskan bagaimana perusahaan dapat menggunakan AWS untuk membuat aplikasi yang sesuai dengan HIPAA.

    Program kepatuhan AWS HIPAA mencakup CloudFront (tidak termasuk pengiriman konten melalui POP CloudFront Tertanam) sebagai layanan yang memenuhi syarat HIPAA. Jika Anda memiliki Business Associate Addendum (BAA) yang dieksekusi AWS, Anda dapat menggunakan CloudFront (tidak termasuk pengiriman konten melalui PoP CloudFront Tertanam) untuk mengirimkan konten yang berisi informasi kesehatan yang dilindungi (PHI). Untuk informasi lebih lanjut, lihat Kepatuhan HIPAA.

  • AWS Sumber Daya Kepatuhan — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.

  • AWS Config AWS Layanan ini menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.

  • AWS Security Hub AWS Layanan ini menggunakan kontrol keamanan untuk mengevaluasi konfigurasi sumber daya dan standar keamanan untuk membantu Anda mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya tentang menggunakan Security Hub guna mengevaluasi CloudFront sumber daya, lihat CloudFront kontrol Amazon di Panduan AWS Security Hub Pengguna.

CloudFront praktik terbaik kepatuhan

Bagian ini memberikan praktik dan rekomendasi terbaik untuk kepatuhan saat Anda menggunakan Amazon CloudFront untuk menayangkan konten Anda.

Jika Anda menjalankan beban kerja yang sesuai dengan PCI atau sesuai dengan HIPAA yang didasarkan pada model tanggung jawab AWS bersama, sebaiknya Anda mencatat CloudFront data penggunaan Anda selama 365 hari terakhir untuk tujuan audit di masa mendatang. Untuk mencatat data penggunaan, Anda bisa melakukan hal berikut ini:

Selain itu, lihat berikut ini untuk detail tentang bagaimana CloudFront sesuai dengan standar PCI DSS dan SOC.

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)

CloudFront (tidak termasuk pengiriman konten melalui PoP CloudFront Tertanam) mendukung pemrosesan, penyimpanan, dan transmisi data kartu kredit oleh pedagang atau penyedia layanan, dan telah divalidasi sebagai sesuai dengan Standar Keamanan Data Industri Kartu Pembayaran (PCI) Data Security Standard (DSS). Untuk informasi selengkapnya tentang PCI DSS, termasuk cara meminta salinan PCI AWS Compliance Package, lihat PCI DSS Level 1.

Sebagai praktik terbaik keamanan, kami menyarankan Anda untuk tidak menyimpan informasi kartu kredit di cache CloudFront tepi. Misalnya, Anda dapat mengonfigurasi asal Anda untuk menyertakan header Cache-Control:no-cache="nama-bidang" dalam respons yang berisi informasi kartu kredit, seperti empat digit terakhir nomor kartu kredit dan informasi kontak pemilik kartu.

Kontrol Sistem dan Organisasi (SOC)

CloudFront (tidak termasuk pengiriman konten melalui PoP CloudFront Tertanam) sesuai dengan tindakan Sistem dan Kontrol Organisasi (SOC), termasuk SOC 1, SOC 2, dan SOC 3. Laporan SOC adalah laporan pemeriksaan pihak ketiga independen yang menunjukkan bagaimana AWS mencapai kontrol dan tujuan kepatuhan utama. Audit ini memastikan adanya perlindungan dan prosedur yang sesuai untuk melindungi dari risiko yang dapat memengaruhi keamanan, kerahasiaan, dan ketersediaan data pelanggan dan perusahaan. Hasil audit pihak ketiga ini tersedia di situs web Kepatuhan AWS SOC, di mana Anda dapat melihat laporan yang dipublikasikan untuk mendapatkan informasi lebih lanjut tentang kontrol yang mendukung AWS operasi dan kepatuhan.