合規

AWS 合規可讓客戶了解 AWS 在維護 AWS 雲端安全和保護資料方面所具備的強大控制能力。當系統內建於 AWS 雲端時，AWS 與客戶會分擔合規責任。AWS 運算環境經過持續稽核，獲得來自各地區和行業認證機構的認證，包括 SOC 1/SSAE 16/ISAE 3402 (之前稱為 SAS 70)、SOC 2、SOC 3、ISO 9001 / ISO 27001、FedRAMP、DoD SRG 和 PCI DSS Level 1.i。此外，AWS 還提供保證計劃，提供範本和控制映射，以協助客户建立其在 AWS 上所執行環境的合規性。如需計劃的完整清單，請參閱 AWS 合規計劃。

我們可以確認所有 AWS 服務均在符合 GDPR 規範的情況下使用。這表示，除了受惠於 AWS 為了維護服務安全而已經採用的所有措施以外，客戶還可將 AWS 服務部署為其 GDPR 合規計劃的一部分。AWS 提供符合 GDPR 的資料處理增補合約 (GDPR DPA)，讓您能夠遵守 GDPR 的合約義務。AWS GDPR DPA 整合於 AWS 服務條款，並自動套用到所有需要它來符合 GDPR 的全球客戶。Amazon.com, Inc. 已依據「歐美隱私保護盾」協議 ( (EU-US Privacy Shield) 取得認證，而 AWS 則涵蓋在此認證之下。這可協助選擇將個人資料轉移到美國的客戶符合其資料保護義務。在「歐美隱私保護盾」 (EU-US Privacy Shield) 網站上可找到 Amazon.com Inc. 的認證：https://www.privacyshield.gov/list

在認可的環境中運作，客戶可縮小其必須執行稽核的範圍和成本。AWS 會持續經歷其基礎架構的評估 (包括其硬體和資料中心的實體和環境安全)，因此客戶可以利用這些認證且只要繼承這些控制項即可。

在傳統資料中心，常見的合規活動通常為定期的手動活動。這些活動包括驗證資產組態及報告系統管理活動。此外，結果產生的報告甚至會在發佈前過時。在 AWS 環境中運作，客戶即可利用內嵌的自動化工具來驗證合規性，例如 AWS Security Hub、AWS Config 和 AWS CloudTrail。這些工具可減少執行稽核所需的付出，因為這些任務會變成例行、持續和自動的任務。在手動活動上花費較少時間，有助於將貴公司的合規角色從其中一個必要系統管理負擔，演變成可管理風險及改善安全狀態的角色。