Validação de conformidade com o Amazon CloudFront - Amazon CloudFront

Validação de conformidade com o Amazon CloudFront

Auditores externos avaliam a segurança e a conformidade do Amazon CloudFront como parte de vários programas de conformidade da AWS. Isso inclui SOC, PCI, HIPAA e outros.

Para obter uma lista dos produtos da AWS no escopo de programas de conformidade específicos, consulte Produtos da AWS no escopo por programa de conformidade. Para obter informações gerais, consulte Programas de conformidade da AWS.

Você pode fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte Fazer download dos relatórios no AWS Artifact.

Sua responsabilidade com relação à conformidade ao usar o CloudFront é determinada pela confidencialidade dos dados, pelos objetivos de conformidade da empresa e pelos regulamentos e leis aplicáveis. A AWS fornece os seguintes recursos para ajudar com a conformidade:

  • Guias de início rápido de segurança e conformidade: esses guias de implantação abordam as considerações de arquitetura e fornecem etapas para a implantação de ambientes de linha de base concentrados em conformidade e segurança na AWS.

  • Architecting for HIPAA Security and Compliance Whitepaper: este whitepaper descreve como as empresas podem usar a AWS para criar aplicações em conformidade com a HIPAA.

    O programa de conformidade com a HIPAA da AWS inclui o CloudFront como um serviço qualificado para a HIPAA. Se você tiver um Adendo de associado comercial (BAA) assinado com a AWS, poderá usar o CloudFront para entregar conteúdo com informações de saúde protegidas (PHI). Para obter mais informações, consulte Conformidade com a HIPAA.

  • Recursos de conformidade da AWS: esta coleção de manuais e guias pode ser aplicável a seu setor e local.

  • AWS Config: este produto da AWS avalia até que ponto suas configurações de recursos atendem adequadamente às práticas internas e às diretrizes e regulamentações do setor.

  • AWS Security Hub: este produto da AWS fornece uma visão abrangente do estado de sua segurança na AWS que ajuda você a verificar sua conformidade com padrões e práticas recomendadas de segurança do setor.

Melhores práticas de conformidade do CloudFront

Esta seção fornece as melhores práticas e recomendações sobre conformidade ao usar o Amazon CloudFront para fornecer conteúdo.

Se você tiver workloads em conformidade com o PCI ou HIPAA, com base no Modelo de responsabilidade compartilhada da AWS, recomendamos registrar em log os dados de uso do CloudFront dos últimos 365 dias para fins de auditoria futura. Para registrar dados de uso:

Além disso, consulte as seções a seguir para obter detalhes sobre como o CloudFront está em conformidade com os padrões PCI DSS e SOC.

Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS – Payment Card Industry Data Security Standard)

O CloudFront é compatível com o processamento, o armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços, e foi validado como em conformidade com o Data Security Standard (DSS, Padrão de segurança de dados) da Payment Card Industry (PCI, Padrão de cartão de crédito). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do Pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.

Como uma prática recomendada de segurança, recomendamos não armazenar informações de cartão de crédito em pontos de presença de caches de borda do CloudFront. Por exemplo, você pode configurar a origem para incluir um cabeçalho Cache-Control:no-cache="field-name" em respostas que contenham informações de cartão de crédito, como os últimos quatro dígitos do número do cartão de crédito e as informações de contato do proprietário do cartão.

Controles do Sistema e da Organização (CSO)

O CloudFront é compatível com medidas de Controle do sistema e da organização (SOC), incluindo SOC 1, SOC 2 e SOC 3. Os relatórios SOC são relatórios de exame terceiros e independentes que demonstram como a AWS satisfaz os principais controles e objetivos de conformidade. Essas auditorias garantem que os procedimentos e as proteções devidos sejam estabelecidos para minimizar os riscos que podem afetar a segurança, a confidencialidade, e a disponibilidade dos dados dos clientes e da empresa. Os resultados dessas auditorias de terceiros são disponibilizados no Site de conformidade com o SOC da AWS, onde é possível ver os relatórios publicados para obter mais informações sobre os controles que oferecem suporte às operações e conformidade da AWS.