合规性

AWS 合规性计划可以帮助客户了解 AWS 用于维护 AWS 云中安全性和实施数据保护的强大管控措施。如果系统是在 AWS 云中构建的，那么 AWS 和客户共担合规责任。亚马逊云科技计算环境持续接受审计，并获得来自不同地理区域和垂直行业的认证机构的认证，包括 SOC 1/SSAE 16/ISAE 3402（以前是 SAS 70）、SOC 2、SOC 3、SO 9001 / ISO 27001、FedRAMP、DoD SRG 和 PCI DSS 级别 1.i。此外，亚马逊云科技还具有保证计划，这些计划提供模板和控制映射，以帮助客户确立其在亚马逊云科技上运行的环境的合规性。有关计划的完整列表，请参阅亚马逊云科技合规性计划。

我们可以确认所有 AWS 服务均符合 GDPR 的规定。这意味着，除了受益于 AWS 为维护服务安全性而采取的所有措施之外，客户还能将 AWS 服务部署为其 GDPR 合规性计划的一部分。AWS 提供了一项符合 GDPR 规定的数据处理附录 (GDPR DPA)，让您能够履行 GDPR 合同义务。AWS GDPR DPA 包含在 AWS 服务条款中，自动适用于全球需要 AWS 遵守 GDPR 的所有客户。Amazon.com, Inc. 通过了欧盟-美国隐私护盾认证，AWS 也通过了这项认证。这有助于那些选择将个人数据传输到美国的客户履行其数据保护义务。Amazon.com Inc. 的认证可在欧盟-美国隐私护盾网站上找到：https://www.privacyshield.gov/list

客户在经过认证的环境中运营，就能缩小审计范围并降低执行审计所需的成本。AWS 会持续评估其底层基础设施，包括硬件和数据中心的物理和环境安全性，以便客户能够利用这些认证并直接使用固有的控制措施。

在传统数据中心，常见合规性活动通常是需要手动定期执行的活动。这些活动包括验证资产配置和报告管理活动。此外，生成的报告甚至尚未发布就已过时。通过在亚马逊云科技环境中运行，客户可以利用嵌入式自动化工具（如 AWS Security Hub、AWS Config 和 AWS CloudTrail）来验证合规性。这些工具可以减少执行审计所需处理的工作量，因为这些任务已经成为持续自动执行的常规活动。由于花费在需要手动执行的活动上的时间减少，您可以帮助公司将合规性角色从必要的管理负担变成管理风险和改善安全状况的角色。