OPS01-BP04 Avaliar os requisitos de conformidade

Os requisitos de conformidade normativos, setoriais e internos são um importante motivador para definir as prioridades de sua organização. Seu framework de conformidade pode impedir que você use tecnologias ou localizações geográficas específicas. Realize a devida diligência se não for identificado nenhum framework de conformidade externo. Gere auditorias ou relatórios que validem a conformidade.

Se você anunciar que seu produto atende a padrões de conformidade específicos, deverá ter um processo interno para garantir a conformidade contínua. Os exemplos de padrões de conformidade incluem PCI DSS, FedRAMP e HIPAA. Os padrões de conformidade aplicáveis são determinados por vários fatores, por exemplo, quais tipos de dados a solução armazena ou transmite e a quais regiões a solução oferece suporte.

Resultado desejado:

• Os requisitos de conformidade normativos, setoriais e internos são incorporados na seleção arquitetural.

• É possível validar a conformidade e gerar relatórios de auditoria.

Práticas comuns que devem ser evitadas:

• Partes da workload podem ser enquadradas no framework Payment Card Industry Data Security Standard (PCI-DSS), mas a workload armazena dados de cartões de crédito não criptografados.

• Seus desenvolvedores e arquitetos de software não estão cientes do framework de conformidade que sua organização deve adotar.

• A auditoria anual Systems and Organizations Control (SOC2) Tipo II será feita em breve e você não consegue verificar se esses controles estão em vigor.

Benefícios de implementar esta prática recomendada:

• Avaliar e compreender os requisitos de conformidade que se aplicam à sua workload informará como você prioriza seus esforços para entregar valor empresarial.

• Você escolhe as localizações e tecnologias corretas, que são congruentes com seu framework de conformidade.

• Quando a workload é projetada para ser auditável, é possível provar que você está seguindo seu framework de conformidade.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Implementar essa prática recomendada significa incorporar os requisitos de conformidade no processo de design da arquitetura. Os membros de sua equipe estão cientes do framework de conformidade necessário. Você valida a conformidade de acordo com o framework.

Exemplo de cliente

A AnyCompany Retail armazena informações de cartão de crédito dos clientes. Os desenvolvedores da equipe de armazenamento de cartões sabem que eles precisam respeitar o framework PCI-DSS. Eles adotaram medidas para verificar que as informações de cartão de crédito são armazenadas e acessadas com segurança de acordo com o framework PCI-DSS. Todo ano, eles trabalham com a equipe de segurança para validar a conformidade.

Etapas de implementação

1. Trabalhe com as equipes de segurança e governança para determinar quais frameworks de conformidade normativos, setoriais ou internos a workload deve seguir. Incorpore os frameworks de conformidade em sua workload.

   1. Valide a conformidade contínua dos recursos da AWS com serviços como AWS Compute Optimizer e AWS Security Hub.

2. Instrua os membros da equipe sobre os requisitos de conformidade para que possam operar e expandir a workload de acordo com eles. Os requisitos de conformidade devem ser incluídos nas escolhas de arquitetura e tecnologia.

3. Dependendo do framework de conformidade, talvez seja necessário gerar um relatório de auditoria ou conformidade. Trabalhe com sua organização para automatizar esse processo o máximo possível.

   1. Use serviços como AWS Audit Manager para gerar, validar a conformidade e gerar relatórios de auditoria.

   2. Você pode baixar documentos de segurança e conformidade da AWS com o AWS Artifact.

Nível de esforço do plano de implementação: Médio. A implementação de frameworks de conformidade pode ser um desafio. A geração de relatórios de auditoria e de documentos de conformidade aumenta ainda mais a complexidade.

Recursos

Práticas recomendadas relacionadas:

• SEC01-BP03 Identificar e validar objetivos do controle: os objetivos do controle de segurança são uma parte importante da conformidade geral.

• SEC01-BP06 Automatizar os testes e a validação de controles de segurança em pipelines: como parte de seus pipelines, valide os controles de segurança. Você também pode gerar documentação de conformidade para novas alterações.

• SEC07-BP02 Definir controles de proteção de dados: muitos frameworks de conformidade têm como base políticas de tratamento e armazenamento de dados.

• SEC10-BP03 Preparar recursos forenses: às vezes, os recursos forenses podem ser usados em auditorias de conformidade.

Documentos relacionados:

• Centro de Conformidade da AWS

• Recursos de conformidade do AWS

• Whitepaper Risco e conformidade da AWS

• Modelo de responsabilidade compartilhada da AWS

• Serviços da AWS em escopo por programas de conformidade

Vídeos relacionados:

• AWS re:Invent 2020: Alcançar a conformidade como código usando o AWS Compute Optimizer

• AWS re:Invent 2021: Conformidade, garantia e auditoria na nuvem

• AWS Summit ATL 2022: Implementar conformidade, garantia e auditoria na AWS (COP202)

Exemplos relacionados:

• PCI DSS e as Práticas Recomendadas de Segurança Básica da AWS na AWS

Serviços relacionados:

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub