OPS01-BP04 評估合規要求

法規、產業和內部合規要求是定義組織優先順序的重要因子。您的合規架構可能會禁止使用特定技術或地理位置。若未識別出外部合規架構，請運用盡職調查。產生驗證合規性的稽核或報告。

如果聲明您的產品符合特定的合規標準，您必須有內部程序來確保持續的合規性。合規標準的例子包括 PCI DSS、FedRAMP 和 HIPAA。適用的合規標準取決於各種因素，例如解決方案存放或傳輸的資料類型，以及解決方案支援的地理區域。

預期成果：

• 將法規、產業和內部合規要求併入架構選擇中。

• 您可以驗證合規性並產生稽核報告。

常見的反模式：

• 您的工作負載有部分屬於支付卡產業資料安全標準 (PCI-DSS) 架構下，但您的工作負載儲存信用卡資料時並未予以加密。

• 您的軟體開發人員和架構師不知道您的組織必須遵循的合規架構。

• 年度 Systems and Organizations Control (SOC2) Type II 稽核即將到來，但您無法驗證已設置控制。

建立此最佳實務的優勢：

• 評估和了解套用到工作負載的合規要求，可讓您了解如何安排工作的優先順序來實現商業價值。

• 您可以選擇與合規架構相符的適當位置和技術。

• 針對可稽核性設計工作負載，可讓您證明您確實遵循合規架構。

未建立此最佳實務時的風險暴露等級：高

實作指引

若實作此最佳實務，即表示您會在架構設計程序中併入合規要求。您的團隊成員將得知必要的合規架構。您會驗證合規性符合架構。

客戶範例

AnyCompany Retail 儲存客戶的信用卡資訊。卡片儲存團隊的開發人員了解他們必須遵從 PCI-DSS 架構。他們執行了相關步驟，驗證信用卡資訊以安全方式儲存和存取，並遵從 PCI-DSS 架構。他們每年都會與安全團隊共同驗證合規性。

實作步驟

1. 與安全和管控團隊合作，確認您的工作負載必須遵循哪些產業、法規或內部合規架構。在您的工作負載中併入合規架構。

   1. 使用 AWS Compute Optimizer 和 AWS Security Hub 之類的服務驗證 AWS 資源的持續合規性。

2. 讓團隊成員了解合規要求，使其能據以操作及設計工作負載。合規要求應包含在架構和技術選擇中。

3. 根據合規架構，您可能必須產生稽核或合規報告。請與組織合作，盡可能將此程序自動化。

   1. 使用 AWS Audit Manager 之類的服務驗證合規性並產生稽核報告。

   2. 您可以透過 AWS Artifact 下載 AWS 安全與合規文件。

實作計劃的工作量：中。實作合規架構可能並不容易。產生稽核報告或合規文件，會增添額外的複雜性。

資源

相關的最佳實務：

• SEC01-BP03 識別和驗證控制目標 - 安全控制目標是整體合規性的重要環節。

• SEC01-BP06 將管道中安全控制的測試和驗證自動化 - 在您的管道中驗證安全控制。您也可以產生新變更的合規文件。

• SEC07-BP02 定義資料保護控制 - 許多合規架構都以資料處理和儲存政策為基礎。

• SEC10-BP03 準備鑑識功能 - 鑑識功能有時可用來稽核合規性。

相關文件：

• AWS 合規中心

• AWS 合規資源

• AWS 風險與合規白皮書

• AWS 共同責任模式

• 範圍內的 AWS 服務 (依合規計劃)

相關影片：

• AWS re:Invent 2020：使用 AWS Compute Optimizer 實現合規即程式碼

• AWS re:Invent 2021 - 雲端合規、保證和稽核

• AWS Summit ATL 2022 - 在 AWS 上實作合規、保證和稽核 (COP202)

相關範例：

• AWS 上的 PCI DSS 和 AWS 基礎安全最佳實務

相關服務：

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub