OPS01-BP04 Evaluar los requisitos de cumplimiento

Los requisitos de cumplimiento normativo, sectorial e interno son un motor importante para definir las prioridades de su organización. Es posible que su marco de cumplimiento le impida utilizar determinadas tecnologías o ubicaciones geográficas. Aplique la diligencia debida si no se identifican marcos de cumplimiento externos. Genere auditorías o informes que validen el cumplimiento.

Si indica que su producto se ajusta a estándares de conformidad específicos, debe tener un proceso interno que garantice el cumplimiento continuo. Algunos ejemplos de estándares de cumplimiento son PCI DSS, FedRAMP e HIPAA. Las estándares de conformidad aplicables se determinan en función de diversos factores, como los tipos de datos que la solución almacena o transmite, o las regiones geográficas compatibles con la solución.

Resultado deseado:

• Los requisitos de cumplimiento normativo, sectorial e interno se incorporan a la selección de arquitectura.

• Puede validar el cumplimiento y generar informes de auditoría.

Patrones comunes de uso no recomendados:

• Algunas partes de su carga de trabajo entran dentro del marco del estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), pero su carga de trabajo almacena los datos de las tarjetas de crédito sin cifrar.

• Sus desarrolladores y arquitectos de software desconocen el marco de cumplimiento al que debe adherirse su organización.

• La auditoría anual de sistemas y organizaciones de control (SOC2) de tipo II tendrá lugar en breve y no puede verificar que los controles están aplicados.

Beneficios de establecer esta práctica recomendada:

• Evaluar y comprender los requisitos de cumplimiento se aplican a su carga de trabajo determinarán cómo priorizar sus esfuerzos para ofrecer valor empresarial.

• Elige las ubicaciones y las tecnologías adecuadas que sean congruentes con su marco de cumplimiento.

• Diseñar su carga de trabajo para que pueda auditar le permite demostrar que se atiene a su marco de cumplimiento.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

La implementación de esta práctica recomendada significa que se incorporan los requisitos de cumplimiento a su proceso de diseño de la arquitectura. Los miembros de su equipo conocen el marco de cumplimiento necesario. Valida el cumplimiento de acuerdo con el marco.

Ejemplo de cliente

AnyCompany Retail almacena la información de las tarjetas de crédito de los clientes. Los desarrolladores del equipo de almacenamiento de tarjetas saben que deben cumplir el marco PCI-DSS. Han tomado medidas para verificar que la información de las tarjetas de crédito se almacena y se accede a ella de forma segura de acuerdo con el marco PCI-DSS. Cada año colaboran con su equipo de seguridad para validar el cumplimiento.

Pasos para la implementación

1. Colabore con sus equipos de seguridad y gobernanza para determinar qué marcos de cumplimiento sectorial, normativo o interno debe cumplir su carga de trabajo. Incorpore los marcos de cumplimiento a su carga de trabajo.

   1. Valide el cumplimiento continuo de los recursos de AWS con servicios como AWS Compute Optimizer y AWS Security Hub.

2. Informe a los miembros de su equipo sobre los requisitos de cumplimiento para que puedan utilizar y hacer evolucionar la carga de trabajo de acuerdo con ellos. Los requisitos de cumplimiento deben incluirse en las opciones de arquitectura y tecnología.

3. En función del marco de cumplimiento, puede que deba generar un informe de auditoría o de cumplimiento. Colabore con su organización para automatizar este proceso en la medida de lo posible.

   1. Use servicios como AWS Audit Manager para validar el cumplimiento y generar informes de auditoría.

   2. Puede descargar documentos de seguridad y cumplimiento de AWS con AWS Artifact.

Nivel de esfuerzo para el plan de implementación: medio. La implementación de marcos de cumplimiento puede suponer un desafío. La generación de informes de auditoría o documentos de cumplimiento añade complejidad adicional.

Recursos

Prácticas recomendadas relacionadas:

• SEC01-BP03 Identificar y validar objetivos de control: los objetivos de control de seguridad son una parte importante del cumplimiento general.

• SEC01-BP06 Automatizar la comprobación y validación de controles de seguridad en canalizaciones: como parte de sus canalizaciones, valide los controles de seguridad. También puede generar documentación de cumplimiento para los nuevos cambios.

• SEC07-BP02 Definir controles de protección de datos: muchos marcos de cumplimiento se basan en políticas de gestión y almacenamiento de datos.

• SEC10-BP03: Preparar capacidades forenses: a veces, las capacidades forenses pueden utilizarse para auditar el cumplimiento.

Documentos relacionados:

• Centro de cumplimiento de AWS

• Recursos de cumplimiento de AWS

• Documento técnico de riesgo y conformidad de AWS

• Modelo de responsabilidad compartida de AWS

• Servicios de AWS en el ámbito de los programas de cumplimiento

Vídeos relacionados:

• AWS re:Invent 2020: Achieve compliance as code using AWS Compute Optimizer(AWS re:Invent 2020: Conseguir el cumplimiento como código mediante AWS Compute Optimizer)

• AWS re:Invent 2021 - Cloud compliance, assurance, and auditing (AWS re:Invent 2021: Cumplimiento, garantía y auditoría de la nube)

• AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202) (AWS Summit ATL 2022: Implementación del cumplimiento, la garantía y la auditoría en AWS [COP202])

Ejemplos relacionados:

• PCI DSS and AWS Foundational Security Best Practices on AWS(PCI DSS y prácticas recomendadas de seguridad básicas de AWS en AWS)

Servicios relacionados:

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub