OPS01-BP04 Evaluar los requisitos de conformidad

Los requisitos de cumplimiento normativo, del sector e internos son importantes a la hora de definir las prioridades de la organización. Es posible que su marco de cumplimiento le impida utilizar determinadas tecnologías o ubicaciones geográficas. Aplique la diligencia debida si no se identifican marcos de cumplimiento externos. Genere auditorías o informes que validen el cumplimiento.

Si indica que su producto se ajusta a estándares de cumplimiento específicos, debe tener un proceso interno que garantice el cumplimiento continuo. Algunos ejemplos de estándares de cumplimiento incluyen la Fed PCI DSS RAMP y. HIPAA Las estándares de cumplimiento aplicables se determinan en función de diversos factores, como los tipos de datos que la solución almacena o transmite, o las regiones geográficas compatibles con la solución.

Resultado deseado:

• Los requisitos de cumplimiento normativo, sectorial e interno se incorporan a la selección de arquitectura.

• Puede validar el cumplimiento y generar informes de auditoría.

Patrones comunes de uso no recomendados:

• Algunas partes de su carga de trabajo se rigen por el marco de las normas de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), pero su carga de trabajo almacena los datos de las tarjetas de crédito sin cifrar.

• Sus desarrolladores y arquitectos de software desconocen el marco de cumplimiento al que debe adherirse su organización.

• La auditoría anual de Systems and Organizations Control (SOC2) Tipo II se realizará pronto y no podrá verificar que los controles estén implementados.

Beneficios de establecer esta práctica recomendada:

• Evaluar y comprender los requisitos de cumplimiento se aplican a su carga de trabajo determinarán cómo priorizar sus esfuerzos para ofrecer valor empresarial.

• Elige las ubicaciones y las tecnologías adecuadas que sean congruentes con su marco de cumplimiento.

• Diseñar su carga de trabajo para que pueda auditar lo ayuda a demostrar que se atiene a su marco de cumplimiento.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

La implementación de esta práctica recomendada significa que se incorporan los requisitos de cumplimiento a su proceso de diseño de la arquitectura. Los miembros de su equipo conocen el marco de cumplimiento necesario. Valida el cumplimiento de acuerdo con el marco.

Ejemplo de cliente

AnyCompany El comercio minorista almacena la información de las tarjetas de crédito de los clientes. Los desarrolladores del equipo de almacenamiento de tarjetas entienden que deben cumplir con el PCI DSS marco. Han tomado medidas para verificar que la información de las tarjetas de crédito se almacene y se acceda a ella de forma segura, de acuerdo con el PCI DSS marco... Cada año colaboran con su equipo de seguridad para validar el cumplimiento.

Pasos para la implementación

1. Colabore con sus equipos de seguridad y gobernanza para determinar qué marcos de cumplimiento sectorial, normativo o interno debe cumplir su carga de trabajo. Incorpore los marcos de cumplimiento a su carga de trabajo.

   1. Valide el cumplimiento continuo de AWS los recursos con servicios como AWS Compute Optimizery AWS Security Hub.

2. Informe a los miembros de su equipo sobre los requisitos de cumplimiento para que puedan utilizar y hacer evolucionar la carga de trabajo de acuerdo con ellos. Los requisitos de cumplimiento deben incluirse en las opciones de arquitectura y tecnología.

3. En función del marco de cumplimiento, puede que deba generar un informe de auditoría o de cumplimiento. Colabore con su organización para automatizar este proceso en la medida de lo posible.

   1. Utilice servicios como AWS Audit Manager para validar el cumplimiento y generar informes de auditoría.

   2. Puede descargar documentos AWS de seguridad y cumplimiento con AWS Artifact.

Nivel de esfuerzo para el plan de implementación: medio. La implementación de marcos de cumplimiento puede suponer un desafío. La generación de informes de auditoría o documentos de cumplimiento agrega complejidad adicional.

Recursos

Prácticas recomendadas relacionadas:

• SEC01-BP03 Identifique y valide los objetivos de control: los objetivos de control de seguridad son una parte importante del cumplimiento general.

• SEC01-BP06 Automatice las pruebas y la validación de los controles de seguridad en las canalizaciones: como parte de sus canalizaciones, valide los controles de seguridad. También puede generar documentación de cumplimiento para los nuevos cambios.

• SEC07-BP02 Defina los controles de protección de datos: muchos marcos de cumplimiento se basan en políticas de almacenamiento y manejo de datos.

• SEC10-BP03 Prepare las capacidades forenses: las capacidades forenses a veces se pueden utilizar para auditar el cumplimiento.

Documentos relacionados:

• AWS Centro de cumplimiento

• AWS Recursos de cumplimiento

• AWS Documento técnico sobre riesgos y cumplimiento

• AWS Modelo de responsabilidad compartida

• AWS servicios incluidos en el ámbito de aplicación de los programas de cumplimiento

Videos relacionados:

• AWS re:Invent 2020: Logre la conformidad mediante el uso del código AWS Compute Optimizer

• AWS re:Invent 2021: conformidad, garantía y auditoría en la nube

• AWS Cumbre ATL 2022: Implementación del cumplimiento, la garantía y la auditoría el AWS (02) COP2

Ejemplos relacionados:

• PCIDSSy las mejores prácticas AWS fundamentales de seguridad sobre AWS

Servicios relacionados:

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub