Melhores práticas de conformidade do CloudFront

Validação de conformidade com o Amazon CloudFront

Auditores externos avaliam a segurança e a conformidade do Amazon CloudFront como parte de vários programas de conformidade da AWS. Isso inclui SOC, PCI, HIPAA e outros.

Para obter uma lista dos produtos da AWS no escopo de programas de conformidade específicos, consulte Produtos da AWS no escopo por programa de conformidade. Para obter informações gerais, consulte Programas de conformidade da AWS.

É possível baixar relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte Fazer download dos relatórios no AWS Artifact.

Sua responsabilidade com relação à conformidade ao usar o CloudFront é determinada pela confidencialidade dos dados, pelos objetivos de conformidade da empresa e pelos regulamentos e leis aplicáveis. A AWS fornece os seguintes recursos para ajudar com a conformidade:

Guias de início rápido de segurança e conformidade: esses guias de implantação abordam as considerações de arquitetura e fornecem etapas para a implantação de ambientes de linha de base concentrados em conformidade e segurança na AWS.
Whitepaper Arquitetura para segurança e conformidade com HIPAA na AWS: este whitepaper descreve como as empresas podem usar a AWS para criar aplicativos que estejam em conformidade com a HIPAA.

O programa de conformidade com a HIPAA da AWS inclui o CloudFront (exceto a entrega de conteúdo por meio de POPs incorporados do CloudFront) como um serviço qualificado para a HIPAA. Se você tiver um Adendo de associado comercial (BAA) assinado com a AWS, poderá usar o CloudFront (exceto a entrega de conteúdo por meio de POPs incorporados do CloudFront) para entregar conteúdo com informações de saúde protegidas (PHI). Para obter mais informações, consulte Conformidade com a HIPAA.
Recursos de compatibilidade da AWS – Esta coleção de guias e pastas de trabalho pode ser aplicada ao seu setor e local.
AWS Config: esse serviço da AWS avalia até que ponto suas configurações de recursos atendem adequadamente às práticas internas e às diretrizes e regulamentações do setor.
AWS Security Hub: esse serviço da AWS usa controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir vários frameworks de conformidade. Para obter mais informações sobre como usar o Security Hub para avaliar os recursos do CloudFront, consulte Controles do Amazon CloudFront no Guia do usuário do AWS Security Hub.

Melhores práticas de conformidade do CloudFront

Esta seção fornece as melhores práticas e recomendações sobre conformidade ao usar o Amazon CloudFront para fornecer conteúdo.

Se você tiver workloads em conformidade com o PCI ou HIPAA, com base no Modelo de responsabilidade compartilhada da AWS, recomendamos registrar em log os dados de uso do CloudFront dos últimos 365 dias para fins de auditoria futura. Para registrar dados de uso:

Habilitar logs de acesso do CloudFront Para ter mais informações, consulte Configurar e usar logs padrão (logs de acesso).
Solicitações de captura que são enviadas à API do CloudFront. Para ter mais informações, consulte Registrar em log chamadas de API do Amazon CloudFront usando o AWS CloudTrail.

Além disso, consulte as seções a seguir para obter detalhes sobre como o CloudFront está em conformidade com os padrões PCI DSS e SOC.

Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS – Payment Card Industry Data Security Standard)

O CloudFront (exceto a entrega de conteúdo por meio de POPs incorporados do CloudFront) é compatível com o processamento, o armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços, e foi validado como em conformidade com o Data Security Standard (DSS, Padrão de segurança de dados) da Payment Card Industry (PCI, Padrão de cartão de crédito). Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.

Como uma prática recomendada de segurança, recomendamos não armazenar informações de cartão de crédito em pontos de presença de caches de borda do CloudFront. Por exemplo, você pode configurar a origem para incluir um cabeçalho Cache-Control:no-cache="field-name" em respostas que contenham informações de cartão de crédito, como os últimos quatro dígitos do número do cartão de crédito e as informações de contato do proprietário do cartão.

Controles do Sistema e da Organização (CSO)

O CloudFront (exceto a entrega de conteúdo por meio de POPs incorporados do CloudFront) é compatível com medidas de controles de organizações e sistemas (SOC), incluindo SOC 1, SOC 2 e SOC 3. Os relatórios SOC são relatórios de exame terceiros e independentes que demonstram como a AWS satisfaz os principais controles e objetivos de conformidade. Essas auditorias garantem que os procedimentos e as proteções devidos sejam estabelecidos para minimizar os riscos que podem afetar a segurança, a confidencialidade, e a disponibilidade dos dados dos clientes e da empresa. Os resultados dessas auditorias de terceiros são disponibilizados no Site de conformidade com o SOC da AWS, onde é possível ver os relatórios publicados para obter mais informações sobre os controles que oferecem suporte às operações e conformidade da AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registro em log e monitoramento

Resiliência