OPS01-BP04 Valuta i requisiti di conformità

I requisiti di conformità interna, di settore e normativa sono un fattore importante per la definizione delle priorità della tua organizzazione. L'assetto di conformità della tua azienda potrebbe impedirti di usare tecnologie specifiche o posizioni geografiche. Applica la due diligence in assenza di contesti di conformità esterni. Genera audit o report per convalidare la conformità.

Se comunichi all'esterno che il tuo prodotto è in linea con standard specifici di conformità, devi disporre di un processo interno in grado di garantire in modo costante la conformità. Esempi di standard di conformità includono PCIDSS, Fed e. RAMP HIPAA Gli standard di conformità applicabili vengono stabiliti in base a diversi fattori, come il tipo di dati che la soluzione archivia o trasmette e quali aree geografiche sono supportate dalla soluzione.

Risultato desiderato:

Requisiti di conformità interni, di settore e normativi sono integrati nella selezione dell'architettura.
Puoi verificare la conformità e generare report di audit.

Anti-pattern comuni:

Parte del carico di lavoro rientra nel framework Payment Card Industry Data Security Standard (PCI-DSS), ma il carico di lavoro archivia i dati delle carte di credito in modo non crittografato.
Architetti e sviluppatori software non conoscono il contesto di conformità che la tua organizzazione è tenuta a rispettare.
L'audit annuale di Systems and Organizations Control (SOC2) Type II avrà luogo a breve e non sarà possibile verificare che i controlli siano in atto.

Vantaggi dell'adozione di questa best practice:

Grazie alla valutazione e comprensione dei requisiti di conformità applicati al carico di lavoro, sarà possibile organizzare le attività in base a priorità e offrire valore aggiunto.
Scegli le sedi e le tecnologie corrette, in linea con il tuo contesto di integrità.
La progettazione del tuo carico di lavoro ai fini degli audit ti consente di dimostrare il rispetto del modello di conformità.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

L'implementazione di questa best practice significa integrare requisiti di conformità nel processo di progettazione dell'architettura. I membri del tuo team sono a conoscenza del contesto di conformità richiesto. Convalidi la conformità in linea con il contesto.

Esempio del cliente

AnyCompany Al dettaglio archivia i dati delle carte di credito dei clienti. Gli sviluppatori del team di archiviazione delle carte comprendono che devono rispettare il DSS framework PCI -. Hanno adottato misure per verificare che i dati della carta di credito siano archiviati e accessibili in modo sicuro in linea con il PCI - DSS framework. Ogni anno collaborano con il team di sicurezza per confermare la conformità.

Passaggi dell'implementazione

Collabora con i team di sicurezza e governance per stabilire le conformità interne, normative o di settore deve rispettare il tuo carico di lavoro. Integra gli standard di conformità nel tuo carico di lavoro.
1. Convalida la conformità continua delle AWS risorse con servizi come e. AWS Compute Optimizer AWS Security Hub
Comunica ai membri del tuo team i requisiti di conformità, in modo che possano gestire e far evolvere il carico di lavoro in linea con essi. I requisiti di conformità devono essere inclusi nelle scelte tecnologiche e architetturali.
A seconda del contesto di conformità, potresti dover generare un report di audit o conformità. Collabora con la tua organizzazione per automatizzare il più possibile questo processo.
1. Utilizza servizi come AWS Audit Manager per convalidare la conformità e generare report di audit.
2. Puoi scaricare i documenti AWS di sicurezza e conformità con. AWS Artifact

Livello di impegno per il piano di implementazione: medio Implementare i requisiti di conformità può essere complesso. Generare report di audit o documenti di conformità aggiunge altre complessità.

Risorse

Best practice correlate:

SEC01-BP03 Identificare e convalidare gli obiettivi di controllo - Gli obiettivi di controllo della sicurezza sono una parte importante della conformità generale.
SEC01-BP06 Automatizza i test e la convalida dei controlli di sicurezza nelle pipeline: come parte delle tue pipeline, convalida i controlli di sicurezza. Puoi anche generare la documentazione di conformità per le nuove modifiche.
SEC07-BP02 Definizione dei controlli di protezione dei dati - Molti framework di conformità si basano su politiche di gestione e archiviazione dei dati.
SEC10-BP03 Prepara le funzionalità forensi: a volte le funzionalità forensi possono essere utilizzate per verificare la conformità.

Documenti correlati:

Video correlati:

Esempi correlati:

PCIDSSe le migliori AWS pratiche di sicurezza fondamentali su AWS

Servizi correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

OPS01-BP03 Valuta i requisiti di governance

OPS01-BP05 Valuta il panorama delle minacce