OPS01-BP04 Avaliar os requisitos de conformidade
Os requisitos de conformidade normativos, setoriais e internos são um importante motivador para definir as prioridades de sua organização. Seu framework de conformidade pode impedir você de usar tecnologias ou localizações geográficas específicas. Realize a devida diligência se não for identificado nenhum framework de conformidade externo. Gere auditorias ou relatórios que validem a conformidade.
Se você anunciar que seu produto atende a padrões de conformidade específicos, deverá ter um processo interno para garantir a conformidade contínua. Os exemplos de padrões de conformidade incluem o PCI DSS, o FedRAMP e a HIPAA. Os padrões de conformidade aplicáveis são determinados por vários fatores, por exemplo, quais tipos de dados a solução armazena ou transmite e a quais regiões a solução oferece suporte.
Resultado desejado:
-
Os requisitos de conformidade normativos, setoriais e internos são incorporados na seleção arquitetural.
-
Você pode validar a conformidade e gerar relatórios de auditoria.
Antipadrões comuns:
-
Partes da workload enquadram-se no framework Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS), mas a workload armazena dados de cartões de crédito não criptografados.
-
Seus desenvolvedores e arquitetos de software não estão a par do framework de conformidade que sua organização deve adotar.
-
A auditoria anual de Controle de Sistemas e Organizações: Tipo II (SOC2) será feita em breve e você não consegue verificar se esses controles estão em vigor.
Benefícios do estabelecimento desta prática recomendada:
-
Avaliar e compreender os requisitos de conformidade que se aplicam à sua workload informará como você prioriza seus esforços para entregar valor empresarial.
-
Você escolhe as localizações e tecnologias corretas, que são congruentes com seu framework de conformidade.
-
Quando a workload é projetada para ser auditável, você tem a possibilidade de provar que está seguindo seu framework de conformidade.
Nível de exposição a riscos quando esta prática recomendada não é estabelecida: alto
Orientações para a implementação
Implementar essa prática recomendada significa incorporar os requisitos de conformidade no processo de design da arquitetura. Os membros de sua equipe estão a par do framework de conformidade necessário. Você valida a conformidade de acordo com o framework.
Exemplo de clientes
A Loja UmaEmpresa armazena informações de cartão de crédito dos clientes. Os desenvolvedores da equipe de armazenamento de cartões sabem que eles precisam acatar o framework PCI-DSS. Eles tomaram medidas para verificar que as informações de cartão de crédito são armazenadas e acessadas com segurança, de acordo com o framework PCI-DSS. Todo ano, eles trabalham com a equipe de segurança para validar a conformidade.
Etapas da implementação
-
Trabalhe com as equipes de segurança e governança para determinar quais frameworks de conformidade normativos, setoriais ou internos a workload deve seguir. Incorpore os frameworks de conformidade em sua workload.
-
Valide a conformidade contínua dos recursos da AWS com serviços como o AWS Compute Optimizer e o AWS Security Hub.
-
-
Instrua os membros da equipe sobre os requisitos de conformidade para que possam operar e expandir a workload de acordo com eles. Os requisitos de conformidade devem ser incluídos nas escolhas de arquitetura e tecnologia.
-
Dependendo do framework de conformidade, pode ser necessário gerar um relatório de auditoria ou conformidade. Trabalhe com sua organização para automatizar esse processo o máximo possível.
-
Use serviços como o AWS Audit Manager para validar a conformidade e gerar relatórios de auditoria.
-
Você pode baixar documentos de segurança e conformidade da AWS com o AWS Artifact.
-
Nível de esforço do plano de implementação: médio. A implementação de frameworks de conformidade pode ser um desafio. A geração de relatórios de auditoria e de documentos de conformidade aumenta ainda mais complexidade.
Recursos
Práticas recomendadas relacionadas:
-
SEC01-BP03 Identificar e validar objetivos de controle: os objetivos de controle de segurança são uma parte importante da conformidade geral.
-
SEC01-BP06 Automatizar testes e validar controles de segurança em pipelines: como parte de seus pipelines, validade os controles de segurança. Você também pode gerar documentação de conformidade para novas mudanças.
-
SEC07-BP02 Definir controles de proteção de dados: muitos frameworks de conformidade têm políticas baseadas em processamento e armazenamento de dados.
-
SEC10-BP03 Preparar recursos forenses: às vezes é possível usar recursos forenses em auditoria de conformidade.
Documentos relacionados:
Vídeos relacionados:
Exemplos relacionados:
Serviços relacionados: