OPS01-BP04 Valutazione dei requisiti di conformità

I requisiti di conformità interna, di settore e normativa sono un fattore importante per la definizione delle priorità della tua organizzazione. L'assetto di conformità della tua azienda potrebbe impedirti di usare tecnologie specifiche o posizioni geografiche. Applica la due diligence in assenza di contesti di conformità esterni. Genera revisioni o report per convalidare la conformità.

Se comunichi all'esterno che il tuo prodotto è in linea con standard specifici di conformità, devi avere un processo interno in grado di garantire costantemente che tale affermazione sia vera. Gli esempi di standard di conformità includono PCI DSS, FedRAMP e HIPAA. Gli standard di conformità applicabili vengono stabiliti in base a diversi fattori, come il tipo di dati che la soluzione archivia o trasmette e quali aree geografiche sono supportate dalla soluzione.

Risultato desiderato:

• Requisiti di conformità interni, di settore e normativi sono parte integrante della selezione dell'architettura.

• Puoi verificare la conformità e generare report di audit.

Anti-pattern comuni:

• Parti del tuo carico di lavoro rientrano nel framework Payment Card Industry Data Security Standard (PCI-DSS), ma il tuo carico di lavoro archivia dati di carte di credito non crittografati.

• Gli architetti e gli sviluppatori software non conoscono il contesto di conformità che la tua organizzazione è tenuta a rispettare.

• L'audit annuale Systems and Organizations Control (SOC2) Type II avrà luogo a breve e tu non sei in grado di verificare la presenza dei controlli richiesti.

Vantaggi dell'adozione di questa best practice:

• Valutando e comprendendo i requisiti di conformità che si applicano al carico di lavoro sarà possibile organizzare le attività in base a priorità e offrire valore aggiunto.

• Scegli le sedi e le tecnologie corrette, in linea con il tuo contesto di integrità.

• La progettazione del tuo carico di lavoro ai fini dell'auditing ti consente di dimostrare la tua aderenza al modello di conformità.

Livello di rischio associato se questa best practice non fosse adottata: Elevato

Guida all'implementazione

Implementare questa best practice significa integrare requisiti di conformità nel processo di progettazione dell'architettura. I membri del tuo team sono a conoscenza del contesto di conformità richiesto. Convalidi la conformità in linea con il contesto.

Esempio del cliente

AnyCompany Retail archivia informazioni sulle carte di credito per i clienti. Gli sviluppatori del team di archiviazione delle carte sono al corrente della necessità di rispettare la conformità agli standard PCI-DSS. Hanno adottato misure per verificare che le informazioni sulle carte di credito siano archiviate e consultabili in totale sicurezza, in linea con quanto stabilito dagli standard PCI-DSS: Ogni anno collaborano con il team di sicurezza per confermare la conformità.

Passaggi dell'implementazione

1. Collabora con i team di sicurezza e governance per stabilire quali conformità interne, normative o di settore deve rispettare il tuo carico di lavoro. Integra gli standard di conformità nel tuo carico di lavoro.

   1. Convalida continuamente la conformità delle risorse AWS con servizi come AWS Compute Optimizer e AWS Security Hub.

2. Comunica ai membri del tuo team i requisiti di conformità, in modo che possano gestire e far evolvere il carico di lavoro in linea con tali requisiti. I requisiti di conformità devono essere inclusi nelle scelte tecnologiche e architetturali.

3. A seconda del contesto di conformità, potresti dover generare un report di audit o conformità. Collabora con la tua organizzazione per automatizzare il più possibile questo processo.

   1. Usa servizi come AWS Audit Manager per convalidare la conformità e generare report di audit.

   2. Puoi scaricare documenti su conformità e sicurezza AWS con AWS Artifact.

Livello di impegno per il piano di implementazione: Medio. Implementare i requisiti di conformità può essere complesso. Generare report di audit o documenti di conformità aggiunge altre complessità.

Risorse

Best practice correlate:

• SEC01-BP03 Identificazione e convalida degli obiettivi di controllo - Gli obiettivi di controllo della sicurezza sono una parte importante della conformità nel suo complesso.

• SEC01-BP06 Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline - Come parte delle tue pipeline, convalida i controlli di sicurezza. Puoi anche generare la documentazione di conformità per le nuove modifiche.

• SEC07-BP02 Definizione dei controlli di protezione dei dati - Molti standard di conformità si basano su policy di gestione e di archiviazione dei dati.

• SEC10-BP03 Preparazione di funzionalità forensi - Le funzionalità forensi possono a volte essere usate nella conformità di auditing.

Documenti correlati:

• AWS Compliance Center

• Risorse di conformità AWS

• Whitepaper Risk and Compliance AWS:

• Modello di responsabilità condivisa AWS

• Servizi AWS inerenti secondo i programmi di conformità

Video correlati:

• AWS re:Invent 2020: Ottieni compliance as code con AWS Compute Optimizer

• AWS re:Invent 2021 - Conformità, garanzia e auditing del cloud

• AWS Summit ATL 2022 - Implementare conformità, garanzia e auditing su AWS (COP202)

Esempi correlati:

• PCI DSS e best practice per la sicurezza di base di AWS su AWS

Servizi correlati:

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub