Orientação para a implementação Recursos

OPS01-BP04 Avaliar os requisitos de conformidade

Os requisitos de conformidade normativos, setoriais e internos são um importante motivador para definir as prioridades de sua organização. Seu framework de conformidade pode impedir você de usar tecnologias ou localizações geográficas específicas. Realize a devida diligência se não for identificado nenhum framework de conformidade externo. Gere auditorias ou relatórios que validem a conformidade.

Se você anunciar que seu produto atende a padrões de conformidade específicos, deverá ter um processo interno para garantir a conformidade contínua. Os exemplos de padrões de conformidade incluem o PCI DSS, o FedRAMP e a HIPAA. Os padrões de conformidade aplicáveis são determinados por vários fatores, por exemplo, quais tipos de dados a solução armazena ou transmite e a quais regiões a solução oferece suporte.

Resultado desejado:

Os requisitos de conformidade normativos, setoriais e internos são incorporados na seleção arquitetural.
Você pode validar a conformidade e gerar relatórios de auditoria.

Antipadrões comuns:

Partes da workload enquadram-se no framework Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS), mas a workload armazena dados de cartões de crédito não criptografados.
Seus desenvolvedores e arquitetos de software não estão a par do framework de conformidade que sua organização deve adotar.
A auditoria anual de Controle de Sistemas e Organizações: Tipo II (SOC2) será feita em breve e você não consegue verificar se esses controles estão em vigor.

Benefícios do estabelecimento desta prática recomendada:

Avaliar e compreender os requisitos de conformidade que se aplicam à sua workload informará como você prioriza seus esforços para entregar valor empresarial.
Você escolhe as localizações e tecnologias corretas, que são congruentes com seu framework de conformidade.
Quando a workload é projetada para ser auditável, você tem a possibilidade de provar que está seguindo seu framework de conformidade.

Nível de exposição a riscos quando esta prática recomendada não é estabelecida: alto

Orientações para a implementação

Implementar essa prática recomendada significa incorporar os requisitos de conformidade no processo de design da arquitetura. Os membros de sua equipe estão a par do framework de conformidade necessário. Você valida a conformidade de acordo com o framework.

Exemplo de clientes

A Loja UmaEmpresa armazena informações de cartão de crédito dos clientes. Os desenvolvedores da equipe de armazenamento de cartões sabem que eles precisam acatar o framework PCI-DSS. Eles tomaram medidas para verificar que as informações de cartão de crédito são armazenadas e acessadas com segurança, de acordo com o framework PCI-DSS. Todo ano, eles trabalham com a equipe de segurança para validar a conformidade.

Etapas da implementação

Trabalhe com as equipes de segurança e governança para determinar quais frameworks de conformidade normativos, setoriais ou internos a workload deve seguir. Incorpore os frameworks de conformidade em sua workload.
1. Valide a conformidade contínua dos recursos da AWS com serviços como o AWS Compute Optimizer e o AWS Security Hub.
Instrua os membros da equipe sobre os requisitos de conformidade para que possam operar e expandir a workload de acordo com eles. Os requisitos de conformidade devem ser incluídos nas escolhas de arquitetura e tecnologia.
Dependendo do framework de conformidade, pode ser necessário gerar um relatório de auditoria ou conformidade. Trabalhe com sua organização para automatizar esse processo o máximo possível.
1. Use serviços como o AWS Audit Manager para validar a conformidade e gerar relatórios de auditoria.
2. Você pode baixar documentos de segurança e conformidade da AWS com o AWS Artifact.

Nível de esforço do plano de implementação: médio. A implementação de frameworks de conformidade pode ser um desafio. A geração de relatórios de auditoria e de documentos de conformidade aumenta ainda mais complexidade.

Recursos

Práticas recomendadas relacionadas:

SEC01-BP03 Identificar e validar objetivos de controle: os objetivos de controle de segurança são uma parte importante da conformidade geral.
SEC01-BP06 Automatizar testes e validar controles de segurança em pipelines: como parte de seus pipelines, validade os controles de segurança. Você também pode gerar documentação de conformidade para novas mudanças.
SEC07-BP02 Definir controles de proteção de dados: muitos frameworks de conformidade têm políticas baseadas em processamento e armazenamento de dados.
SEC10-BP03 Preparar recursos forenses: às vezes é possível usar recursos forenses em auditoria de conformidade.

Documentos relacionados:

Vídeos relacionados:

Exemplos relacionados:

PCI DSS e Práticas recomendadas de segurança básica da AWS na AWS

Serviços relacionados:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

OPS01-BP03 Avaliar os requisitos de governança

OPS01-BP05 Avaliar o cenário de ameaças