OPS01-BP04 Evaluasi persyaratan kepatuhan

Persyaratan kepatuhan peraturan, industri, dan internal merupakan pendorong penting dalam menentukan prioritas organisasi Anda. Kerangka kerja kepatuhan Anda dapat menghalangi Anda menggunakan teknologi atau lokasi geografi tertentu. Terapkan uji tuntas jika tidak ada kerangka kerja kepatuhan eksternal yang diidentifikasi. Buat audit atau laporan yang memvalidasi kepatuhan.

Jika Anda mengiklankan bahwa produk Anda memenuhi standar kepatuhan tertentu, Anda harus memiliki proses internal untuk memastikan kepatuhan yang berkelanjutan. Contoh standar kepatuhan antara lain PCI DSS, FedRAMP, dan HIPAA. Standar kepatuhan yang berlaku akan ditentukan oleh berbagai faktor, seperti jenis data yang disimpan atau dikirim oleh solusi dan wilayah geografis mana yang didukung oleh solusi.

Hasil yang diinginkan:

• Persyaratan kepatuhan peraturan, industri, dan internal disertakan ke dalam pemilihan arsitektur.

• Anda dapat memvalidasi kepatuhan dan membuat laporan audit.

Antipola umum:

• Bagian dari beban kerja Anda termasuk dalam kerangka kerja Standar Keamanan Data Industri Kartu Pembayaran (Payment Card Industry Data Security Standard, PCI-DSS) tetapi beban kerja Anda menyimpan data kartu kredit tanpa enkripsi.

• Arsitek dan developer perangkat lunak Anda tidak mengetahui kerangka kerja kepatuhan yang harus ditaati oleh organisasi Anda.

• Audit tahunan Kontrol Sistem dan Organisasi (SOC2) Tipe II akan segera diadakan dan Anda tidak dapat memverifikasi bahwa kontrol sudah ada.

Manfaat menjalankan praktik terbaik ini:

• Mengevaluasi dan memahami persyaratan kepatuhan yang berlaku untuk beban kerja Anda akan menginformasikan bagaimana Anda memprioritaskan usaha untuk memberikan nilai bisnis.

• Anda memilih teknologi dan lokasi yang tepat yang selaras dengan kerangka kerja kepatuhan Anda.

• Mendesain beban kerja Anda agar dapat diaudit memungkinkan Anda membuktikan bahwa Anda menaati kerangka kerja kepatuhan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Mengimplementasikan praktik terbaik ini berarti Anda menyertakan persyaratan kepatuhan ke dalam proses desain arsitektur. Anggota tim Anda mengetahui kerangka kerja kepatuhan yang diperlukan. Anda memvalidasi kepatuhan selaras dengan kerangka kerja.

Contoh pelanggan

AnyCompany Retail menyimpan informasi kartu kredit bagi pelanggan. Developer di tim penyimpanan kartu memahami bahwa mereka harus mematuhi kerangka kerja PCI-DSS. Mereka telah mengambil langkah untuk memverifikasi bahwa informasi kartu kredit disimpan dan diakses dengan aman sesuai dengan kerangka kerja PCI-DSS. Setiap tahun mereka bekerja sama dengan tim keamanan mereka untuk memvalidasi kepatuhan.

Langkah implementasi

1. Bekerjasamalah dengan tim tata kelola dan kepatuhan Anda untuk menentukan kerangka kerja kepatuhan industri, peraturan, atau internal apa yang harus ditaati beban kerja Anda. Sertakan kerangka kerja kepatuhan ke dalam beban kerja Anda.

   1. Validasi kepatuhan sumber daya AWS yang berkelanjutan dengan layanan seperti AWS Compute Optimizer dan AWS Security Hub.

2. Didik anggota tim Anda tentang persyaratan kepatuhan sehingga mereka dapat mengoperasikan dan mengubah beban kerja sesuai dengan persyaratan kepatuhan. Persyaratan kepatuhan harus disertakan dalam pilihan arsitektur dan teknologi.

3. Tergantung pada kerangka kerja kepatuhannya, Anda mungkin diharuskan untuk membuat laporan kepatuhan atau audit. Bekerjasamalah dengan organisasi Anda untuk mengotomatiskan proses ini sebanyak mungkin.

   1. Gunakan layanan seperti AWS Audit Manager untuk memvalidasi kepatuhan dan membuat laporan audit.

   2. Anda dapat mengunduh dokumen kepatuhan dan keamanan AWS dengan AWS Artifact.

Tingkat upaya untuk rencana implementasi: Sedang. Mengimplementasikan kerangka kerja kepatuhan bisa sulit dilakukan. Membuat laporan audit atau dokumen kepatuhan menambahkan kompleksitas tambahan.

Sumber daya

Praktik terbaik terkait:

• SEC01-BP03 Mengidentifikasi dan memvalidasi tujuan kontrol - Tujuan kontrol keamanan merupakan bagian penting dari kepatuhan secara keseluruhan.

• SEC01-BP06 Mengotomatiskan pengujian dan validasi kontrol keamanan di pipeline - Sebagai bagian dari pipeline Anda, validasikan kontrol keamanan. Anda juga dapat membuat dokumentasi kepatuhan untuk perubahan baru.

• SEC07-BP02 Menentukan kontrol perlindungan data - Sejumlah besar kerangka kerja kepatuhan didasarkan pada penanganan data dan kebijakan penyimpanan.

• SEC10-BP03 Menyiapkan kemampuan forensik - Kemampuan forensik terkadang dapat digunakan dalam mengaudit kepatuhan.

Dokumen terkait:

• Pusat Kepatuhan AWS

• Sumber Daya Kepatuhan AWS

• Laporan Resmi Kepatuhan dan Risiko AWS

• Model Tanggung Jawab Bersama AWS

• Layanan AWS dalam cakupan berdasarkan program kepatuhan

Video terkait:

• AWS re:Invent 2020: Capai kepatuhan sebagai kode menggunakan AWS Compute Optimizer

• AWS re:Invent 2021 - Kepatuhan cloud, jaminan, dan audit

• AWS Summit ATL 2022 - Mengimplementasikan kepatuhan, jaminan, dan audit di AWS (COP202)

Contoh terkait:

• PCI DSS dan Praktik Terbaik Keamanan Mendasar AWS di AWS

Layanan terkait:

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub