OPS01-BP04 Bewerten der Compliance-Anforderungen
Regulatorische, branchenspezifische und interne Compliance-Anforderungen sind ein wichtiger Faktor, wenn Sie die Prioritäten Ihrer Organisation definieren. Ihr Compliance-Regelwerk hindert Sie möglicherweise daran, spezifische Technologien oder geografische Standorte zu nutzen. Wenden Sie die erforderliche Sorgfalt an, wenn keine externen Compliance-Regelwerke identifiziert sind. Erstellen Sie Audits oder Berichte, die die Compliance bestätigen.
Wenn Sie damit werben, dass Ihr Produkt bestimmte Compliance-Standards erfüllt, benötigen Sie einen internen Prozess zur kontinuierlichen Gewährleistung der Compliance. Beispiele für Compliance-Standards umfassen PCI DSS, FedRAMP und HIPAA. Die geltenden Compliance-Standards werden durch verschiedene Faktoren bestimmt, beispielsweise dadurch, welche Datentypen von der Lösung gespeichert oder gesendet werden und welche geografischen Regionen die Lösung unterstützt.
Gewünschtes Ergebnis:
-
Die regulatorischen, branchenspezifischen und internen Compliance-Anforderungen werden bei der Auswahl der Architektur berücksichtigt.
-
Sie können die Compliance bestätigen und Audit-Berichte erstellen.
Typische Anti-Muster:
-
Teile Ihres Workloads fallen unter das Regelwerk des Payment Card Industry Data Security Standard (PCI-DSS), Ihr Workload speichert Kreditkartendaten jedoch unverschlüsselt.
-
Ihren Software-Entwicklern und -Architekten ist das Compliance-Regelwerk, das Ihre Organisation einhalten muss, nicht bekannt.
-
Das jährliche Audit Systems and Organizations Control (SOC2) Type II steht bevor und Sie können nicht nachweisen, dass Kontrollelemente implementiert sind.
Vorteile der Nutzung dieser bewährten Methode:
-
Die Bewertung und das Verständnis der Compliance-Anforderungen für Ihren Workload liefern die Grundlage dafür, wie Sie Ihre Anstrengungen zur Bereitstellung eines geschäftlichen Mehrwerts priorisieren.
-
Sie wählen die Ihrem Compliance-Regelwerk entsprechenden Standorte und Technologien.
-
Indem Sie Ihren Workload so entwerfen, dass Überprüfungen möglich sind, können Sie leichter nachweisen, dass Sie das Compliance-Regelwerk einhalten.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch
Implementierungsleitfaden
Wenn Sie diese bewährte Methode implementieren, bedeutet dies, dass Sie Compliance-Anforderungen in den Entwurfsprozess für Ihre Architektur integrieren. Ihren Teammitgliedern ist das erforderliche Compliance-Regelwerk bekannt. Sie bestätigen Ihre Compliance mit diesem Regelwerk.
Kundenbeispiel
AnyCompany Retail speichert Kreditkarteninformationen für Kunden. Die Entwickler im Team für die Kartenspeicherung wissen, dass sie das PCI-DSS-Regelwerk einhalten müssen. Sie haben Schritte unternommen, um nachzuweisen, dass die Kreditkarteninformationen in Übereinstimmung mit dem PCI-DSS-Regelwerk sicher gespeichert und aufgerufen werden. Jedes Jahr arbeiten sie mit dem Sicherheitsteam zusammen, um die Compliance zu bestätigen.
Implementierungsschritte
-
Arbeiten Sie mit Ihrem Sicherheits- und Governance-Team zusammen, um zu ermitteln, welche branchenspezifischen, regulatorischen oder internen Compliance-Regelwerke Ihr Workload einhalten muss. Integrieren Sie die Compliance-Regelwerke in Ihren Workload.
-
Validieren Sie die kontinuierliche Compliance von AWS-Ressourcen mit Services wie AWS Compute Optimizer und AWS Security Hub.
-
-
Informieren Sie Ihre Teammitglieder über die Compliance-Anforderungen, damit diese den Workload in Übereinstimmung mit den Anforderungen betreiben und weiterentwickeln können. Die Compliance-Anforderungen sollten bei architektur- und technologiebezogenen Entscheidungen berücksichtigt werden.
-
Je nach Compliance-Regelwerk müssen Sie möglicherweise einen Audit- oder Compliance-Bericht erstellen. Arbeiten Sie mit Ihrer Organisation zusammen, um diesen Prozess so weit wie möglich zu automatisieren.
-
Nutzen Sie Services wie AWS Audit Manager, um die Compliance zu validieren und Auditberichte zu erstellen.
-
Sie können AWS-Sicherheits- und Compliance-Dokumente mit AWS Artifact herunterladen.
-
Aufwand für den Implementierungsplan: Mittel. Die Implementierung von Compliance-Regelwerken kann eine Herausforderung darstellen. Das Erstellen von Auditberichten oder Compliance-Dokumenten erfordert zusätzlichen Aufwand.
Ressourcen
Zugehörige bewährte Methoden:
-
SEC01-BP03 Identifizieren und Validieren von Kontrollzielen – Sicherheits-Kontrollziele sind ein wichtiger Teil der Gesamt-Compliance.
-
SEC01-BP06 Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines – Validieren Sie die Sicherheitskontrollen als Teil Ihrer Pipeline. Sie können auch eine Compliance-Dokumentation für neue Änderungen erstellen.
-
SEC07-BP02 Definieren von Datenschutzkontrollen – Bei vielen Compliance-Frameworks sind Datenverarbeitung und -speicherung richtlinienbasiert.
-
SEC10-BP03 Vorbereiten forensischer Funktionen – Forensische Funktionen können manchmal bei der Prüfungs-Compliance verwendet werden.
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Beispiele:
Zugehörige Services: