Validação de conformidade do AWS Secrets Manager

Guias de início rápido de segurança e compatibilidade: estes guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em compatibilidade e segurança na AWS.

Whitepaper Architecting for HIPAA Security and Compliance: este whitepaper descreve como as empresas podem usar a AWS para criar aplicações em conformidade com a HIPAA.

Recursos de conformidade da AWS: essa coleção de manuais e guias pode ser aplicada a seu setor e local.

O AWS Config avalia até que ponto suas configurações de recursos atendem adequadamente às práticas internas e às diretrizes e regulamentações do setor. Para ter mais informações, consulte Monitorar segredos do AWS Secrets Manager para conformidade usando o AWS Config.

O AWS Security Hub fornece uma visão abrangente do estado de sua segurança na AWS que ajuda você a conferir sua conformidade com padrões e práticas recomendadas de segurança do setor. Para obter mais informações sobre como usar o Security Hub para avaliar os recursos do Secrets Manager, consulte Controles do AWS Secrets Manager no Guia do usuário do AWS Security Hub.

O IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política, que permitem que uma entidade externa acesse um segredo. Para obter mais informações, consulte Pré-visualização de acesso com Access Analyzer.

O AWS Systems Manager fornece runbooks predefinidos para o Secrets Manager. Para obter mais informações, consulte Referência do runbook Systems Manager Automation para o Secrets Manager.

É possível fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte Baixar relatórios no AWS Artifact.

HIPAA: a AWS expandiu seu programa de conformidade da lei americana HIPAA (Health Insurance Portability Accountability Act) para incluir o AWS Secrets Manager como um serviço qualificado para a HIPAA. Se você tiver um Acordo de Associação Comercial (BAA) com a AWS, poderá usar o Secrets Manager para ajudar a criar suas aplicações compatíveis com a HIPAA. A AWS oferece um whitepaper sobre a HIPAA para os clientes interessados em saber mais sobre como utilizar a AWS para o processamento e o armazenamento de informações de saúde. Para obter mais informações, consulte Conformidade com a HIPAA.

Organização Participante do PCI: o AWS Secrets Manager tem uma Declaração de conformidade com o padrão de segurança de dados (Data Security Standard, DSS) versão 3.2 da Payment Card Industry (PCI) no nível 1 de prestador de serviços. Os clientes que usam os produtos da AWS para armazenar, processar ou transmitir dados de titulares de cartões podem usar o AWS Secrets Manager ao gerenciar sua própria certificação de conformidade com o PCI DSS. Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.

ISO: o AWS Secrets Manager concluiu com êxito a certificação de conformidade para a ISO/IEC 27001, a ISO/IEC 27017, a ISO/IEC 27018 e a ISO 9001. Para obter mais informações, consulte ISO 27001, ISO 27017, ISO 27018 e ISO 9001.

AICPA SOC: os relatórios de Controles do Sistema e da Organização (CSO) são relatórios de exames de terceiros independentes que demonstram como o Secrets Manager obtém os principais controles e objetivos de compatibilidade. O objetivo desses relatórios é ajudar você e seus auditores a compreenderem os controles da AWS estabelecidos para oferecer suporte às operações e à conformidade. Para obter mais informações, consulte Conformidade com o SOC.

FedRAMP: o Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo que disponibiliza uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem. O programa FedRAMP também fornece autorizações provisórias para serviços e regiões a Leste/Oeste e GovCloud para consumir dados governamentais ou regulamentados. Para obter mais informações, consulte Conformidade com o FedRAMP.

Departamento de Defesa: o Security Requirements Guide (SRG – Guia de requisitos de segurança) de computação em nuvem (SRG) do Departamento de Defesa (DoD) fornece um processo padronizado de avaliação e autorização para provedores de serviço de nuvem (CSPs) obterem uma autorização provisória do DoD, para poderem atender a clientes do DoD. Para obter mais informações, consulte Recursos de SRG do DoD

IRAP: o Information Security Registered Assessors Program (IRAP) permite que os clientes do governo australiano validem se os controles apropriados estão em vigor e determinem o modelo de responsabilidade correto para o cumprimento dos requisitos do Manual de Segurança da Informação (ISM) do governo australiano produzido pelo Australian Cyber Security Centre (ACSC). Para obter mais informações, consulte Recursos do IRAP.

OSPAR: A Amazon Web Services (AWS) obteve o atestado do Outsourced Service Provider’s Audit Report (OSPAR – Relatório de Auditoria do Prestador de Serviços Terceirizados). O alinhamento da AWS com as Diretrizes da Associação de Bancos em Singapura (ABS) sobre Objetivos de Controle e Procedimentos para Prestadores de Serviços Terceirizados (Diretrizes ABS) demonstra aos clientes o compromisso da AWS de atender às altas expectativas para provedores de serviço de nuvem definidas pelo setor de serviços financeiros em Singapura. Para obter mais informações, consulte Recursos do OSPAR.