aws risk and compliance whitepaper · controlli specifici richiesti dalle agenzie governative degli...
TRANSCRIPT
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 1 di 89
Amazon Web Services: Risk and Compliance Dicembre 2015
(Consultare http://aws.amazon.com/compliance/aws-whitepapers/
per la versione più recente di questo documento)
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 2 di 89
Lo scopo di questo documento è di fornire informazioni utili ai clienti AWS che intendono integrare il framework di controllo che supporta il loro ambiente IT con le soluzioni AWS. Nel documento viene descritto un approccio di base per la valutazione dei controlli AWS e vengono fornite informazioni utili ai clienti che intendono integrare le soluzioni di controllo. Questo documento indirizza anche le informazioni specifiche AWS relative a domande generali sul Cloud Computing
Indice
Panoramica Risk and Compliance ................................................................................................................... 3
Shared Responsibility Environment ............................................................................................................................................... 3
Solida governance della compliance............................................................................................................................................... 4
Valutazione e integrazione dei controlli AWS .............................................................................................. 4
Informazioni sui controlli IT AWS .................................................................................................................................................. 5
AWS Global Regions .......................................................................................................................................................................... 5
Programma Risk and Compliance di AWS .................................................................................................... 5
Gestione del rischio ............................................................................................................................................................................ 6
Ambiente di controllo ........................................................................................................................................................................ 6
Sicurezza delle informazioni ............................................................................................................................................................ 7
Certificazioni AWS, programmi, rapporti e attestazioni di terze parti ................................................. 7
CJIS ...................................................................................................................................................................................................... 7
CSA ....................................................................................................................................................................................................... 7
Cyber Essentials Plus ........................................................................................................................................................................ 8
SRG DoD Livelli 2 e 4 ........................................................................................................................................................................ 8
FedRAMP SM ........................................................................................................................................................................................ 8
FERPA .................................................................................................................................................................................................. 9
FIPS 140-2 ........................................................................................................................................................................................... 9
FISMA e DIACAP ............................................................................................................................................................................. 10
HIPAA ................................................................................................................................................................................................ 10
IRAP ................................................................................................................................................................................................... 11
ISO 9001 ............................................................................................................................................................................................ 11
ISO 27001 .......................................................................................................................................................................................... 12
ISO 27017 ........................................................................................................................................................................................... 13
ISO 27018 .......................................................................................................................................................................................... 14
ITAR ................................................................................................................................................................................................... 15
MPAA ................................................................................................................................................................................................. 16
Certificazione MTCS Tier 3 ............................................................................................................................................................ 16
NIST ................................................................................................................................................................................................... 16
PCI DSS livello 1 ............................................................................................................................................................................... 16
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 3 di 89
SOC 1/ISAE 3402 ............................................................................................................................................................................. 17
SOC 2 .................................................................................................................................................................................................. 19
SOC 3 .................................................................................................................................................................................................. 19
Principali domande sulla compliance e AWS .............................................................................................................................. 19
Contatto AWS ....................................................................................................................................................... 25
Appendice A: Questionario dell'iniziativa di valutazione del consenso CSA v3.01 .......................... 26
Appendice B: Conformità di AWS conConformità di AWS con il Cloud Computing Security Considerations dell'Australian Signals Directorate (ASD) ..................................................................... 66
Appendice C: Glossario dei termini ............................................................................................................... 85
Panoramica Risk and Compliance
AWS e i suoi clienti condividono il controllo sull'ambiente IT ed entrambe le parti hanno la responsabilità di gestire tale ambiente. AWS nella shared responsibility include l'erogazione di servizi su una piattaforma estremamente sicura e controllata e la messa a disposizione di una vasta gamma di features di sicurezza che i clienti possono utilizzare. I clienti sono responsabili della configurazione degli ambienti IT in una modalità sicura e controllata rispetto ai loro scopi. Mentre i clienti non comunicano modalità di utilizzo e configurazioni ad AWS, quest'ultima comunica ai clienti le informazioni relative al proprio ambiente di sicurezza e controllo che li riguardano. La procedura seguita a tale scopo da AWS è la seguente:
Conseguimento delle certificazioni di settore e delle attestazioni di terze parti indipendenti descritte nel presente documento
Pubblicazione delle informazioni relative alle prassi di sicurezza e controllo di AWS in whitepaper e contenuti Web
Fornitura di certificati, rapporti e altri documenti direttamente ai clienti AWS ai sensi dell'accordo di riservatezza (come prescritto)
Per una descrizione più dettagliata della sicurezza AWS consultare il: Centro di Sicurezza AWS: https://aws.amazon.com/security/ Per una descrizione più dettagliata della compliance di AWS consultare AWS Compliance page: https://aws.amazon.com/compliance/ Inoltre, il whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS) illustra i controlli di sicurezza generali di AWS e le misure di sicurezza previste specificamente per i servizi.
Shared Responsibility Environment
La transizione dell'infrastruttura IT ai servizi AWS crea un modello di Shared Responsibility tra il cliente e AWS. Tale modello condiviso può contribuire a ridurre l'onere operativo del cliente, dato che AWS rende operativi, gestisce e controlla tutti i componenti, dal sistema operativo host al layer di virtualizzazione fino alla sicurezza fisica delle strutture in cui operano i servizi. Il cliente si assume la responsabilità della gestione del sistema operativo guest (con relativi aggiornamenti e patch di sicurezza), dell'altro software applicativo associato e della configurazione del security group firewall fornito da AWS. I clienti devono valutare con attenzione i servizi scelti, dato che le loro responsabilità variano in base ai servizi utilizzati, all'integrazione di tali servizi nel loro ambiente IT e alle leggi e ai regolamenti applicabili. I clienti hanno la possibilità di rafforzare la sicurezza e/o di soddisfare requisiti più rigorosi in materia di compliance utilizzando tecnologie come host based firewalls, host based intrusion detection/prevention, encryption and key management. Tale Shared Responsibility, inoltre, offre al cliente flessibilità e controllo, che a loro volta consentono la distribuzione di soluzioni in grado di soddisfare i requisiti di certificazione specifici del settore.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 4 di 89
Questo modello di shared responsibility cliente/AWS si estende anche ai controlli IT. Proprio come avviene con la condivisione della responsabilità di gestione dell'ambiente IT tra AWS ed i suoi clienti, sono condivisi anche la gestione, il funzionamento e la verifica dei controlli IT. AWS può aiutare il cliente a ridurre l'ammontare dei controlli operativi attraverso la gestione dei controlli dell'infrastruttura fisica di AWS, controlli che in precedenza erano completamente a carico del cliente. Poiché ogni cliente in AWS ha una diversa distribuzione, i clienti possono trarre vantaggio dal trasferimento della gestione di alcuni controlli IT ad AWS e ottenere un (nuovo) ambiente di controllo distribuito. I clienti possono quindi utilizzare la documentazione AWS su controllo e compliance a loro disposizione (descritta nella sezione Certificazioni AWS e attestazioni di terze parti del presente documento) per eseguire le proprie procedure di valutazione e verifica dei controlli, come prescritto.
La sezione successiva descrive le modalità con cui i clienti AWS possono valutare e convalidare in maniera efficace l'ambiente di controllo distribuito.
Solida governance della compliance
I clienti AWS sono sempre tenuti a mantenere una governance adeguata sull'intero ambiente di controllo IT, indipendentemente dalla modalità di distribuzione di tale ambiente. Tra le principali prassi adottate si possono menzionare la comprensione degli obiettivi e dei requisiti in termini di compliance (utilizzando fonti pertinenti), la definizione di un ambiente di controllo che soddisfi tali obiettivi e requisiti, la comprensione della convalida richiesta in base alla tolleranza al rischio dell'organizzazione e la verifica dell'efficacia operativa dell'ambiente di controllo. La distribuzione nel cloud AWS offre alle imprese numerose opzioni per l'applicazione dei vari tipi di controlli e dei diversi metodi di verifica.
Una solida Governance & Compliance da parte del cliente potrebbe includere il seguente approccio di base:
1. Esaminare le informazioni messe a disposizione da AWS insieme ad altre informazioni, per capire quanto più possibile dell'ambiente IT nel suo complesso e successivamente documentare tutti i requisiti di compliance.
2. Definire ed implementare gli obiettivi di controllo che soddisfino i requisiti aziendali in materia di compliance.
3. Identificare e documentare i controlli gestiti da soggetti esterni. 4. Verificare che tutti gli obiettivi di controllo siano soddisfatti e che tutti i controlli principali siano
stati definiti e funzionino in modo efficace. L'adozione di tale approccio alla governance della compliance aiuta le aziende a comprendere meglio il proprio ambiente di controllo e a definire chiaramente le attività di verifica da eseguire.
Valutazione e integrazione dei controlli AWS
AWS fornisce ai clienti una vasta gamma di informazioni sull'ambiente di controllo IT, tramite whitepaper, documenti, certificazioni e altre attestazioni di terze parti. Tale documentazione è utile ai clienti per capire quali sono i controlli esistenti e pertinenti ai fini dei servizi AWS utilizzati e come tali controlli sono stati convalidati. Le informazioni, inoltre, aiutano i clienti a verificare e confermare che i controlli presenti nel loro ambiente IT esteso funzionino in modo efficace. Generalmente, l'efficacia progettuale e operativa degli obiettivi di controllo e dei controlli è convalidata da revisori interni e/o esterni tramite valutazioni dettagliate del processo e dei riscontri. L'osservazione/verifica diretta da parte del cliente o dei revisori esterni interpellati dal cliente rappresenta una procedura tipica per convalidare i controlli. Nel caso in cui si avvalgano di fornitori di servizi, come AWS, le aziende richiedono e tengono in considerazione attestati e certificazioni rilasciati da terze parti per avere la garanzia dell'efficacia progettuale e operativa degli obiettivi di controllo e dei controlli. Di conseguenza, sebbene i principali controlli dei clienti potrebbero essere gestiti da AWS, l'ambiente di controllo può comunque rimanere un framework unificata in cui tutti i controlli sono gestiti e verificati in maniera efficace. Gli attestati e le certificazioni rilasciati da terze parti sui servizi di AWS non solo offrono un livello di convalida più alto dell'ambiente di controllo, ma possono liberare i clienti dall'onere di eseguire alcune procedure di convalida per il loro ambiente IT nel cloud AWS.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 5 di 89
Informazioni sui controlli IT AWS
AWS fornisce informazioni sui controlli IT ai clienti secondo queste due modalità:
1. Definizione del controllo specifico. I clienti AWS possono identificare i principali controlli gestiti da AWS. I controlli principali sono essenziali per l'ambiente di controllo dei clienti e richiedono un'attestazione esterna sulla loro efficacia operativa in modo da soddisfare i requisiti di compliance, come ad esempio quelli del controllo finanziario annuale. A questo scopo, AWS pubblica un'ampia gamma di controlli IT specifici all'interno del rapporto Service Organization Controls 1 (SOC 1) di tipo II. Il rapporto SOC 1, ex Statement on Auditing Standards (SAS) No. 70, rapporto Service Organizations, è uno standard di auditing ampiamente riconosciuto sviluppato dall'American Institute of Certified Public Accountants (AICPA). Il SOC 1 è un tipo di controllo che verifica approfonditamente l'efficacia progettuale e operativa degli obiettivi di controllo definiti e delle attività di controllo di AWS (che includono gli obiettivi di controllo e le attività di controllo della parte dell'infrastruttura gestita da AWS). "Type II" fa riferimento al fatto che ciascun controllo descritto all'interno del rapporto non viene soltanto valutato ai fini dell'adeguatezza progettuale, ma anche testato dal punto di vista dell'efficacia operativa dal revisore esterno. Tenuto conto dell'indipendenza e della competenza del revisore esterno di AWS, i controlli identificati nel rapporto offrono ai clienti un alto livello di sicurezza riguardo all'ambiente di controllo di AWS. I controlli operati da AWS possono essere considerati efficaci dal punto di vista progettuale e operativo in riferimento a numerose necessità di compliance, tra cui la revisione dei bilanci secondo la Sarbanes-Oxley (SOX) Section 404. L'uso dei rapporti SOC 1 di tipo II viene di solito consentito da altri organi di certificazione esterna (ad esempio i revisori ISO 27001 possono richiedere un rapporto SOC 1 di tipo II per completare le valutazioni da presentare ai clienti).
Altri controlli specifici sono quelli relativi alla compliance di AWS con la Payment Card Industry (PCI) e con il Federal Information Security Management Act (FISMA). Come illustrato di seguito, AWS segue gli standard FISMA Moderate e lo standard PCI Data Security. Gli standard PCI e FISMA sono molto prescrittivi e richiedono una convalida indipendente che attesti l'aderenza di AWS allo standard pubblicato.
2. Compliance allo standard di controllo generale. Nel caso in cui un cliente AWS richieda che venga soddisfatta un'ampia gamma di obiettivi di controllo, si potrebbe procedere a una valutazione delle certificazioni di settore di AWS. Grazie alla certificazione AWS ISO 27001, AWS soddisfa uno standard di sicurezza ampio e completo e segue le best practice per il mantenimento di un ambiente sicuro. Con lo standard PCI Data Security (PCI DSS), AWS soddisfa una serie di controlli importanti per le aziende che gestiscono informazioni sulle carte di credito. Con gli standard FISMA, AWS soddisfa un'ampia gamma di controlli specifici richiesti dalle agenzie governative degli Stati Uniti. La compliance a questi standard generali offre ai clienti informazioni approfondite sulla completezza dei controlli e dei processi di sicurezza adottati e può essere tenuta in considerazione durante la gestione della compliance.
AWS Global Regions
I data center sono costruiti in cluster in diverse regioni globali. Le undici regioni attualmente esistenti sono: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Francoforte), UE (Irlanda), Asia Pacifico (Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
Programma Risk and Compliance di AWS
AWS fornisce informazioni sul suo programma di gestione del rischio e di compliance in modo da consentire ai clienti di integrare i controlli AWS nel loro framework di governance. Queste informazioni possono aiutare i clienti a documentare un framework di controllo e governance completo in cui AWS ricopre un ruolo importante.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 6 di 89
Gestione del rischio
La direzione di AWS ha sviluppato un piano aziendale strategico che include l'identificazione del rischio e l'implementazione di controlli che limitano o gestiscono i rischi. La direzione di AWS rivaluta il piano aziendale strategico almeno ogni due anni. Questo processo richiede che la direzione identifichi i rischi che rientrano nelle sue aree di responsabilità e che implementi misure adeguate per affrontarli. Inoltre, l'ambiente di controllo AWS è soggetto a diverse valutazioni del rischio sia interne sia esterne. I team AWS che si occupano di compliance e sicurezza hanno stabilito un framework e policy di sicurezza delle informazioni basati sul modello COBIT (Control Objectives for Information and related Technology) e hanno integrato in modo efficace il framework certificabile ISO 27001 sulla base dei controlli ISO 27002, dei criteri Trust Services Principles dell'AICPA (American Institute of Certified Public Accountants), del PCI DSS v3.1 e della pubblicazione 800-53 Rev 3 del NIST (National Institute of Standards and Technology) Recommended Security Controls for Federal Information Systems. AWS gestisce la policy di sicurezza, si occupa della formazione dei dipendenti in materia di sicurezza ed effettua verifiche sulla sicurezza dell'applicazione. Tali verifiche valutano la riservatezza, l'integrità e la disponibilità dei dati, oltre alla conformità alla policy di sicurezza delle informazioni. AWS Security esegue scansioni regolari di tutti gli indirizzi IP dell'endpoint del servizio connessi a Internet per individuare le vulnerabilità (tali scansioni non includono le istanze dei clienti). AWS Security notifica alle parti interessate le eventuali vulnerabilità identificate a cui è necessario porre rimedio. Vengono inoltre eseguite valutazioni di vulnerabilità alle minacce esterne da parte di società indipendenti operanti nel settore della sicurezza. I risultati di tali valutazioni e le relative raccomandazioni sono categorizzati e forniti alla direzione di AWS. Le scansioni sono effettuate in modo da valutare l'integrità e l'adeguatezza dell'infrastruttura AWS sottostante e non hanno lo scopo di sostituire le scansioni di vulnerabilità che il cliente deve eseguire per soddisfare gli specifici obblighi di compliance che gli competono. I clienti possono chiedere l'autorizzazione a eseguire scansioni della propria infrastruttura cloud, purché i controlli siano limitati alle istanze del cliente e non violino l'Acceptable Use Policy (policy di utilizzo accettabile) di AWS. Per ottenere la preventiva approvazione per questo tipo di scansioni è necessario inviare una richiesta utilizzando il modulo di richiesta del Test di vulnerabilità/intrusione di AWS.
Ambiente di controllo
AWS gestisce un ambiente di controllo completo che include policy, processi e attività di controllo che si avvalgono di vari elementi dell'ambiente di controllo globale di Amazon. Questo ambiente di controllo esiste per garantire l'erogazione sicura dei servizi offerti da AWS. L'ambiente di controllo collettivo comprende le persone, i processi e la tecnologia necessari a definire e gestire un ambiente che supporti l'efficacia operativa del framework di controllo di AWS. AWS ha integrato nel proprio framework di controllo i controlli specifici applicabili al cloud computing identificati dai più importanti organismi di settore. AWS continua a monitorare tali gruppi di settore per comprendere quali prassi principali si possano adottare per aiutare al meglio i clienti a gestire l'ambiente di controllo. In Amazon l'ambiente di controllo inizia al più alto livello dell'azienda. I dirigenti e l'alta dirigenza svolgono un ruolo importante nella definizione dei principi e dei valori seguiti dall'azienda. Ogni dipendente riceve il Codice di condotta aziendale ed etica e completa una formazione periodica. Vengono effettuati controlli in materia di compliance affinché i dipendenti comprendano e seguano le policy definite. La struttura organizzativa di AWS offre un framework per la pianificazione, l'esecuzione e il controllo delle operazioni aziendali. La struttura organizzativa assegna ruoli e responsabilità in modo tale da disporre di personale adeguato, favorire l'efficienza delle operazioni e ottenere la separazione dei compiti. La direzione, inoltre, ha definito i livelli di autorità e le linee gerarchiche opportune per il personale più importante. Le verifiche condotte dall'azienda durante la procedura di assunzione prevedono controlli sull'istruzione, sui posti di lavoro precedenti e, in alcuni casi, sui precedenti penali, nei limiti di quanto ammesso dalle leggi e dai regolamenti in materia e in modo commisurato alla posizione del dipendente e al suo livello di accesso alle strutture AWS. L'azienda segue una procedura di formazione iniziale strutturata che consente ai nuovi dipendenti di acquisire familiarità con gli strumenti, i processi, i sistemi, le policy e le procedure Amazon.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 7 di 89
Sicurezza delle informazioni
AWS ha implementato un programma formale per la sicurezza delle informazioni pensato per proteggere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati dei clienti. AWS pubblica un whitepaper sulla sicurezza, disponibile nel sito Web pubblico, che illustra come AWS può aiutare i clienti a rendere sicuri i propri dati.
Certificazioni AWS, programmi, rapporti e attestazioni di terze parti
AWS collabora con organismi di certificazione esterni e revisori indipendenti per fornire ai clienti numerose informazioni sulle policy, i processi e i controlli definiti e gestiti da AWS.
CJIS
AWS soddisfa lo standard CJIS (Criminal Justice Information Services) dell'FBI. AWS sottoscrive accordi di sicurezza CJIS con i clienti, anche per consentire o effettuare controlli sui precedenti penali dei dipendenti, ai sensi della policy di sicurezza CJIS.
I clienti appartenenti alle forze dell'ordine (e i partner che gestiscono i servizi CJI) utilizzano i servizi AWS per migliorare la sicurezza e la protezione dei dati CJI, con l'ausilio dei servizi e delle caratteristiche avanzate di sicurezza di AWS, come la registrazione delle attività (AWS CloudTrail), la crittografia dei dati in movimento e a riposo (crittografia lato server S3 con la possibilità di portare la propria chiave), gestione e protezione complete delle chiavi (AWS Key Management Service e CloudHSM) e la gestione integrata delle autorizzazioni (gestione dell'identità federata IAM, autenticazione a più fattori).
AWS ha creato un Manuale sui servizi CJIS (Criminal Justice Information Services) in un formato di modello di piano di sicurezza in linea con gli ambiti della policy CJIS. È stato inoltre sviluppato un Whitepaper CJIS per aiutare i clienti lungo il cammino verso l'adozione del cloud.
Visita la pagina CJIS Hub: https://aws.amazon.com/compliance/cjis/
CSA
Nel 2011, la Cloud Security Alliance (CSA) ha lanciato STAR, un'iniziativa per incoraggiare la trasparenza delle prassi di sicurezza dei provider di servizi cloud. Il Security, Trust & Assurance Registry (STAR) della CSA è un registro pubblico gratuito che documenta i controlli di sicurezza forniti da varie offerte di cloud computing, per aiutare gli utenti a valutare la sicurezza dei provider di servizi cloud di cui si avvalgono o a cui stanno valutando di rivolgersi. AWS si è registrata allo STAR e ha completato il questionario dell'Iniziativa di valutazione del consenso (CAIQ) della Cloud CSA. Tale questionario pubblicato dalla CSA consente di documentare e descrivere quali sono i controlli di sicurezza presenti nelle offerte IaaS (Infrastructure-as-a-Service) di AWS. Il questionario CAIQ fornisce oltre 298 domande che un consumatore di servizi cloud e un cloud auditor potrebbero chiedere a un fornitore di servizi cloud.
Si veda: Appendice A: Questionario dell'iniziativa di valutazione del consenso CSA v3.0.1
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 8 di 89
Cyber Essentials Plus
Cyber Essentials Plus è un programma di certificazione di settore sostenuto dal governo del Regno Unito introdotto nel paese per aiutare le organizzazioni a dimostrare di possedere una sicurezza operativa in grado di contrastare gli attacchi informatici.
Fornisce la dimostrazione dei controlli di base attuati da AWS per mitigare il rischio legato alle minacce più comuni provenienti da Internet nel quadro dell'iniziativa" 10 Steps to Cyber Security" lanciata dal governo britannico. È sostenuta dai rappresentanti di settore, compresa la Federation of Small Businesses, la Confederation of British Industry e numerose organizzazioni che operano in campo assicurativo e che offrono incentivi alle imprese che sono titolari di tale certificazione.
Cyber Essentials definisce i controlli tecnici necessari e il relativo quadro di certificazione mostra il funzionamento del processo di certificazione indipendente per la certificazione Cyber Essentials Plus mediante una valutazione esterna annuale eseguita da un valutatore accreditato. A causa della natura regionale della certificazione, l'ambito della certificazione è limitato alla regione UE (Irlanda).
SRG DoD Livelli 2 e 4
Il modello di sicurezza del cloud (SRG) del Dipartimento della difesa statunitense (DoD) fornisce una valutazione formale e un processo di autorizzazione per i provider di servizi cloud, al fine di ottenere un'autorizzazione DoD provvisoria che può essere quindi utilizzata dai clienti DoD. L'autorizzazione provvisoria nel quadro del modello di sicurezza del cloud fornisce una certificazione riutilizzabile che attesta la conformità di Amazon agli standard DoD e riduce il tempo necessario affinché un mission owner DoD valuti e autorizzi uno dei sistemi per il funzionamento in AWS. AWS detiene attualmente le autorizzazioni provvisorie dei livelli 2 e 4 di SRG.
Per ulteriori informazioni sui controlli di base sulla sicurezza definiti per i livelli 2, 4, 5 e 6 consultare il sito: http://iase.disa.mil/cloud_security/Pages/index.aspx.
Visita la pagina DoD Hub: https://aws.amazon.com/compliance/dod/
FedRAMP SM
AWS è un fornitore di servizi cloud conforme al programma federale di gestione del rischio e delle autorizzazioni (FedRAMPsm). AWS ha portato a termine i test eseguiti da un'organizzazione di valutazione di terze parti accreditata da FedRAMPsm (3PAO) e ha ottenuto due autorizzazioni a operare (ATO) dal Dipartimento per la salute e i servizi alla persona (HHS) degli Stati Uniti, dopo avere dimostrato la propria compliance ai requisiti FedRAMPsm a livello Impatto moderato. Tutte le agenzie governative degli Stati Uniti possono utilizzare i pacchetti di autorizzazioni ATO di AWS presenti nello storage FedRAMPsm per valutare l'utilizzo di AWS per le loro applicazioni e carichi di lavoro, per autorizzare l'utilizzo di AWS e per trasferire carichi di lavoro nell'ambiente AWS. Le due autorizzazioni ATO FedRAMPsm comprendono tutte le regioni statunitensi (la regione AWS GovCloud (US) e le regioni AWS orientali/occidentali degli Stati Uniti).
I seguenti servizi rientrano tra le competenze di accreditamento delle regioni indicate in precedenza:
Amazon Redshift. Amazon Redshift è un servizio rapido e interamente gestito di data warehouse di scala petabyte che consente di analizzare in modo efficiente, semplice e conveniente tutti i dati dei clienti grazie agli strumenti di business intelligence esistenti.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 9 di 89
Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 offre la possibilità di effettuare il resize della capacità di elaborazione nel cloud. È stato progettato per rendere più facile per gli sviluppatori il web-scale computing.
Amazon Simple Storage Service (S3). Amazon S3 offre un'interfaccia Web Services semplice, utilizzabile per archiviare e recuperare qualunque quantità di dati, in qualsiasi momento, ovunque nel Web.
Amazon Virtual Private Cloud (VPC). Amazon VPC consente di effettuare il provisioning di una sezione di AWS isolata a livello logico dove poter lanciare le risorse AWS in una rete virtuale definita dal cliente.
Amazon Elastic Block Store (EBS). Amazon EBS offre volumi di storage estremamente disponibili, affidabili e prevedibili che possono essere collegati a un'istanza di Amazon EC2 in esecuzione ed esposti come dispositivo all'interno dell'istanza.
AWS Identity and Access Management (IAM). IAM consente di controllare in modo sicuro l'accesso degli utenti ai servizi e alle risorse AWS. Con IAM è possibile creare e gestire gli utenti e i gruppi AWS e utilizzare i permessi per autorizzare e negare l'accesso alle risorse AWS.
Per ulteriori informazioni sulla compliance AWS FedRAMPsm consultare le Domande frequenti di AWS FedRAMPsm all'indirizzo:https://aws.amazon.com/compliance/fedramp/
FERPA
La legge Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. § 1232g; 34 CFR Parte 99) è una legge federale che tutela la privacy della documentazione degli studenti relativa agli studi effettuati. La legge si applica a tutti gli istituti scolastici che ricevono fondi da un programma apposito del Dipartimento dell'istruzione degli Stati Uniti. La legge FERPA concede ai genitori determinati diritti riguardo alla documentazione sugli studi dei loro figli. Tali diritti vengono trasferiti allo studente al compimento del 18° anno di età o quando inizia un corso di studi dopo le superiori. Gli studenti a cui sono stati trasferiti i diritti diventano "studenti idonei".
AWS consente agli enti interessati e ai loro soci d'affari soggetti alla legge FERPA di utilizzare l'ambiente sicuro AWS per elaborare, gestire e archiviare dati protetti relativi all'istruzione.
AWS offre, inoltre, un whitepaper incentrato sulle disposizioni FERPA ai clienti interessati a scoprire come utilizzare AWS per l'elaborazione e lo storage dei dati sull'istruzione.
Il "FERPA Compliance on AWS Whitepaper" (whitepaper AWS sulla compliance FERPA) descrive in che modo le imprese possono utilizzare AWS per elaborare sistemi che facilitino la compliance a FERPA: https://d0.awsstatic.com/whitepapers/compliance/AWS_FERPA_Whitepaper.pdf
FIPS 140-2
Il Federal Information Processing Standard (FIPS) Publication 140-2 è uno standard di sicurezza del governo degli Stati Uniti che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono informazioni sensibili. Per supportare i clienti che devono soddisfare i requisiti FIPS 140-2, le terminazioni SSL in AWS GovCloud (Stati Uniti) utilizzano hardware con convalida FIPS 140-2. AWS collabora con i clienti AWS GovCloud (Stati Uniti) per fornire loro le informazioni necessarie a gestire la compliance quando utilizzano l'ambiente AWS GovCloud (Stati Uniti).
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 10 di 89
FISMA e DIACAP
AWS consente alle agenzie governative degli Stati Uniti di ottenere e mantenere la compliance al Federal Information Security Management Act (FISMA). L'infrastruttura AWS è stata valutata da soggetti indipendenti per una varietà di sistemi governativi nel quadro del processo di approvazione dei rispettivi proprietari dei sistemi. Numerose organizzazioni federali civili e del Dipartimento della difesa (DoD) hanno ottenuto le autorizzazioni di sicurezza per i sistemi ospitati in AWS ai sensi del processo Risk Management Framework (RMF) definito in NIST 800-37 e del processo del DoD Information Assurance Certification and Accreditation Process (DIACAP).
HIPAA
AWS consente agli enti interessati e ai loro soci d'affari soggetti all'Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti di utilizzare l'ambiente sicuro AWS per elaborare, gestire e archiviare dati sanitari protetti. AWS firmerà accordi di associazione commerciale con tali clienti. AWS offre, inoltre, un whitepaper incentrato sulle disposizioni HIPAA ai clienti interessati a scoprire come utilizzare AWS per l'elaborazione e lo storage dei dati sanitari. Il whitepaper Architecting for HIPAA Security and Compliance on Amazon Web Services (progettazione della sicurezza e della conformità a HIPAA su Amazon Web Services) descrive in che modo le imprese possono utilizzare AWS per elaborare sistemi che facilitino la compliance
a HIPAA e a HITECH (Health Information Technology for Economic and Clinical Health).
I clienti possono utilizzare qualunque servizio AWS in un account designato come account HIPAA, ma devono elaborare, archiviare e trasmettere i dati sanitari privati solo mediante servizi idonei ai fini HIPAA nel BAA. Esistono attualmente nove servizi idonei ai fini HIPAA, ovvero:
Amazon DynamoDB
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (Amazon RDS) con il solo utilizzo di motori MySQL e Oracle
Amazon Simple Storage Service (S3)
AWS segue un programma di gestione del rischio basato su standard per garantire che i servizi idonei ai fini HIPAA supportino specificamente i processi di sicurezza, controllo e amministrazione prescritti ai sensi HIPAA. L'utilizzo di questi servizi per lo storage e l'elaborazione dei dati medici privati consente ai clienti e ad AWS di soddisfare i requisiti HIPAA applicabili al modello operativo basato su utilità. AWS aggiunge nuovi servizi idonei secondo una priorità basata sulla domanda dei clienti.
Per ulteriori informazioni consultare le domande frequenti sulla compliance HIPAA: https://aws.amazon.com/compliance/hipaa-compliance/ Progettazione della sicurezza e della conformità a HIPAA su Amazon Web Services: https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 11 di 89
IRAP
L'Information Security Registered Assessors Program (IRAP) consente ai clienti degli enti pubblici australiani di convalidare la presenza di controlli adeguati e di stabilire il modello di responsabilità più adatto a soddisfare le esigenze dell'Information Security Manual (ISM) dell'Australian Signals Directorate (ASD).
Amazon Web Services ha portato a termine una valutazione indipendente che ha accertato l'esistenza di tutti i controlli ISM applicabili nell'ambito del trattamento, dello storage e della trasmissione di dati non classificati (DLM) per la regione AWS di Sydney.
Domande frequenti sulla compliance a IRAP: https://aws.amazon.com/compliance/irap/ Per ulteriori informazioni consultare: Appendice B: Conformità di AWS con le considerazioni in materia di sicurezza del Cloud Computing dell'Australian Signals Directorate (ASD)
ISO 9001
AWS ha conseguito la certificazione ISO 9001, che le consente di supportare direttamente i clienti che sviluppano, migrano e gestiscono i loro sistemi IT di qualità controllata nel cloud AWS. I clienti possono utilizzare i rapporti di compliance AWS come prove nei programmi ISO 9001 e nei programmi di qualità specifici del settore, come GxP nelle scienze biologiche, ISO 13485 nei dispositivi medici, AS9100 nel settore aerospaziale e ISO/TS 16949 nel settore automobilistico. I clienti AWS che non presentano requisiti per i sistemi di qualità trarranno comunque vantaggio dall'ulteriore garanzia e trasparenza offerte dalla certificazione ISO 9001. La certificazione ISO 9001 comprende il sistema di gestione della qualità in un ambito specificato di servizi e di regioni di operazioni AWS (di seguito), tra cui:
AWS CloudFormation AWS Cloud Hardware Security Model (HSM) Amazon CloudFront AWS CloudTrail AWS Direct Connect AWS Directory Service Amazon DynamoDB Amazon EC2 VM Import/Export AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Cloud Compute (EC2) Amazon EC2 Container Service (ECS) Amazon Elastic File System (EFS) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) Amazon Redshift Amazon Relational Database Service (RDS) AWS Route 53 Amazon SimpleDB
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 12 di 89
Amazon Simple Email Service (SES) Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) AWS Storage Gateway Amazon Simple Workflow Service (SWF) Amazon Virtual Private Cloud (VPC) AWS WAF - Web Application Firewall Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces L'infrastruttura fisica sottostante e l'ambiente di gestione AWS
L'accreditamento ISO 9001 comprende le regioni AWS, inclusi Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti), Sud America (San Paolo), UE (Irlanda), UE (Francoforte) e Asia Pacifico (Singapore), Asia Pacifico (Sydney) e Asia Pacifico (Tokyo).
ISO 9001:2008 è uno standard globale per la gestione della qualità di prodotti e servizi. Lo standard 9001 definisce un sistema di gestione della qualità basato su otto principi, definiti dal comitato tecnico per il Quality Management ed il Quality Assurance dell'International Organization for Standardization (ISO). Tali principi sono:
Orientamento al cliente Leadership Coinvolgimento del personale Approccio ai processi Approccio alla gestione basato sui processi Miglioramento continuo Approccio basato sui dati nel processo decisionale Rapporti con i fornitori reciprocamente vantaggiosi
La certificazione AWS ISO 9001 può essere scaricata all'indirizzo: https://d0.awsstatic.com/certifications/iso_9001_certification.pdf
AWS ha pubblicato ulteriori informazioni e le domande frequenti riguardo alla certificazione ISO 9001 all'indirizzo: https://aws.amazon.com/compliance/iso-9001-faqs/
ISO 27001
AWS ha conseguito la certificazione ISO 27001 per il sistema ISMS (Information Security Management System) che copre l'infrastruttura, i data center e i servizi AWS, compresi:
AWS CloudFormation Amazon CloudFront AWS Cloudtrail AWS Directory Service Amazon DynamoDB AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Cloud Compute (EC2) Amazon EC2 Container Service (ECS)
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 13 di 89
AWS Direct Connect Amazon EC2 VM Import/Export AWS Cloud Hardware Security Model (HSM) Elastic Load Balancing (ELB) Amazon Elastic File System (EFS) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) Amazon Redshift Amazon Relational Database Service (RDS) AWS Route 53 Amazon SimpleDB Amazon Simple Email Service (SES) Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) AWS WAF - Web Application Firewall Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces L'Infrastruttura fisica sottostante (compreso GovCloud) e l'ambiente di gestione AWS
ISO 27001/27002 è uno standard di sicurezza ampiamente adottato a livello globale che stabilisce i requisiti e le best practice per un approccio sistematico alla gestione delle informazioni aziendali e dei clienti basato su valutazioni periodiche del rischio idonee a scenari di rischio in continua evoluzione. Per ottenere la certificazione, un'azienda deve dimostrare di avere adottato un approccio sistematico e continuativo per la gestione dei rischi di sicurezza delle informazioni che minacciano la riservatezza, l'integrità e la disponibilità delle informazioni aziendali e dei clienti. La certificazione costituisce un'ulteriore dimostrazione dell'impegno di Amazon teso a fornire informazioni significative circa i suoi controlli e le sue prassi di sicurezza.
L'accreditamento ISO 27001 comprende le regioni AWS, inclusi Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti), Sud America (San Paolo), UE (Irlanda), UE (Francoforte), Asia Pacifico (Singapore), Asia Pacifico (Sydney) e Asia Pacifico (Tokyo).
La certificazione AWS ISO 27001 può essere scaricata all'indirizzo: https://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf
AWS ha pubblicato ulteriori informazioni e le domande frequenti riguardo alla certificazione ISO 27001 all'indirizzo: https://aws.amazon.com/compliance/iso-27001-faqs/
ISO 27017
ISO 27017 è il codice più recente sulle best practice pubblicato all'International Organization for Standardization (ISO). Fornisce indicazioni sull'implementazione dei controlli per la sicurezza delle informazioni che riguardano specificamente i servizi cloud.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 14 di 89
AWS ha conseguito la certificazione ISO 27017 per il sistema ISMS (Information Security Management System) che copre l'infrastruttura, i data center e i servizi AWS, compresi:
Amazon CloudFront Amazon DynamoDB Amazon EC2 Container Service (ECS) Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Amazon Elastic File System (EFS) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon Simple Email Service (SES) Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) Amazon SimpleDB Amazon Virtual Private Cloud (VPC) Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect AWS Directory Service AWS Elastic Beanstalk AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) AWS Storage Gateway AWS WAF (Web Application Firewall) Elastic Load Balancing VM Import/Export
La certificazione AWS ISO 27017 può essere scaricata all'indirizzo: https://d0.awsstatic.com/certifications/iso_27017_certification.pdf
AWS ha pubblicato ulteriori informazioni e le domande frequenti riguardo alla certificazione ISO 27017 all'indirizzo: https://aws.amazon.com/compliance/iso-27017-faqs/
ISO 27018
ISO 27018 è il primo codice internazionale delle best practice incentrato sulla protezione dei dati personali nel cloud. Si basa sullo standard ISO 27002 relativo alla sicurezza delle informazioni e fornisce indicazioni per l'implementazione dei controlli ISO 27002 che si applicano alle informazioni di carattere personale nel cloud pubblico. Prevede, inoltre, una serie di controlli aggiuntivi e di indicazioni associate finalizzati al soddisfacimento dei requisiti relativi alle informazioni di carattere personale nel cloud pubblico non previsti dal gruppo di controlli dello standard ISO 27002 esistente.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 15 di 89
AWS ha conseguito la certificazione ISO 27018 per il sistema ISMS (Information Security Management System) che copre l'infrastruttura, i data center e i servizi AWS, compresi:
Amazon CloudFront Amazon DynamoDB Amazon EC2 Container Service (ECS) Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Amazon Elastic File System (EFS) Amazon Elastic MapReduce (EMR) Amazon ElastiCache Amazon Glacier Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon Simple Email Service (SES) Amazon Simple Queue Service (SQS) Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) Amazon SimpleDB Amazon Virtual Private Cloud (VPC) Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect AWS Directory Service AWS Elastic Beanstalk AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) AWS Storage Gateway AWS WAF (Web Application Firewall) Elastic Load Balancing VM Import/Export
La certificazione AWS ISO 27018 può essere scaricata all'indirizzo: https://d0.awsstatic.com/certifications/iso_27018_certification.pdf
AWS ha pubblicato ulteriori informazioni e le domande frequenti riguardo alla certificazione ISO 27018 all'indirizzo: https://aws.amazon.com/compliance/iso-27018-faqs/
ITAR
La regione AWS GovCloud (Stati Uniti) supporta la compliance all'International Traffic in Arms Regulations (ITAR) degli Stati Uniti. Nel quadro della gestione di un programma completo di compliance ITAR, le aziende soggette alla disciplina ITAR sulle esportazioni devono controllare le esportazioni non volute limitando l'accesso ai dati protetti ai soggetti statunitensi e l'ubicazione fisica di tali dati agli Stati Uniti. AWS GovCloud (Stati Uniti) offre un ambiente ubicato fisicamente negli Stati Uniti, il cui accesso da parte del personale AWS è limitato a soggetti statunitensi, consentendo in tal modo ad aziende qualificate di trasmettere, elaborare e archiviare articoli e dati protetti soggetti alle limitazioni ITAR. L'ambiente AWS GovCloud (Stati Uniti) è stato sottoposto al controllo di una terza parte indipendente per convalidare l'esistenza di controlli adeguati a sostegno dei programmi di compliance delle esportazioni dei clienti finalizzati a questo requisito.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 16 di 89
MPAA
La Motion Picture Association of America (MPAA) ha definito una serie di best practice per archiviare, elaborare e fornire in modo sicuro supporti e contenuti protetti (http://www.fightfilmtheft.org/facility-security-program.html). Le aziende del settore dei media utilizzano queste best practice per valutare il rischio e la sicurezza dei loro contenuti e delle loro infrastrutture. AWS ha dimostrato di rispettare le best practice MPAA e che l'infrastruttura AWS è conforme a tutti i controlli infrastrutturali MPAA applicabili. Sebbene la MPAA non fornisca una "certificazione", i clienti del settore dei media possono utilizzare la documentazione MPAA AWS per migliorare la propria valutazione del rischio e la valutazione dei contenuti di tipo MPAA in AWS. Per ulteriori dettagli, fare riferimento alla pagina AWS Compliance MPAA Hub: https://aws.amazon.com/compliance/mpaa/
Certificazione MTCS Tier 3
Multi-Tier Cloud Security (MTCS) è uno standard operativo di Singapore per la gestione della sicurezza (SPRING SS 584:2013) basato sugli standard ISO 27001/02 del sistema Information Security Management System (ISMS). Ai fini della valutazione della certificazione è necessario rispettare i seguenti requisiti:
• Valutare sistematicamente i rischi di sicurezza delle informazioni, tenendo conto delle minacce e delle vulnerabilità aziendali
• Definire e implementare una serie completa di controlli di sicurezza delle informazioni e altre forme di gestione del rischio per affrontare i rischi di sicurezza dell'azienda e dell'architettura
• Adottare un processo di gestione generale per garantire che i controlli di sicurezza delle informazioni soddisfino i requisiti di sicurezza in maniera continuativa
Visualizza la pagina MTCS Hub all'indirizzo: https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/
NIST
Nel giugno 2015, il National Institute of Standards and Technology (NIST) ha pubblicato le linee guida 800-171, "Final Guidelines for Protecting Sensitive Government Information Held by Contractors". Tali linee guida si applicano alla protezione di informazioni controllate non classificate (Controlled Unclassified Information - CUI) su sistemi non federali.
AWS è già conforme a tali linee guida e i clienti dispongono immediatamente della compliance a NIST 800-171. Le linee guida NIST 800-171 definiscono un sottoinsieme dei requisiti NIST 800-53, una linea guida per la quale AWS è già stata verificata nel quadro del programma FedRAMP. La baseline del controllo di sicurezza FedRAMP Moderate è più rigorosa dei requisiti raccomandati dal Capo 3 di 800-171 e comprende un numero significativo di controlli di sicurezza più stringenti rispetto a quelli prescritti dai sistemi FISMA Moderate che proteggono i dati CUI. Una mappatura dettagliata è disponibile in NIST Special Publication 800-171, a partire dalla pagina D2 (ovvero la pagina 37 del file PDF).
PCI DSS livello 1
AWS è conforme al livello 1 ai fini dello standard PCI Data Security (DSS). I clienti possono eseguire applicazioni nell'infrastruttura tecnologica conforme a PCI per archiviare, elaborare e trasmettere informazioni sulle carte di credito nel cloud. Nel febbraio 2013, il Consiglio per gli standard di sicurezza PCI ha pubblicato le linee guida PCI DSS Cloud Computing. Tali linee guida offrono ai clienti che gestiscono un ambiente per i dati dei titolari di carte di credito indicazioni su come mantenere i controlli PCI DSS nel cloud. AWS ha inserito le linee guida PCI DSS Cloud Computing nel pacchetto Compliance AWS PCI per i clienti. Il pacchetto Compliance AWS PCI include l'attestazione di conformità (AoC) AWS PCI, che dimostra che AWS è stato convalidato sulla base degli standard applicabili a un fornitore di servizi di livello 1 a norma di PCI DSS versione 3.1 e il riepilogo delle responsabilità AWS PCI, che spiega in che modo le responsabilità sono condivise tra AWS e i clienti nel cloud.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 17 di 89
I seguenti servizi rientrano nell'ambito di applicazione di PCI DSS livello 1:
Auto Scaling AWS CloudFormation Amazon CloudFront AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB AWS Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon Elastic Compute Cloud (EC2) Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Key Management Service (KMS) AWS Identity and Access Management (IAM) Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) Amazon Simple Queue Service (SQS) Amazon Simple Workflow Service SWF Amazon Virtual Private Cloud (VPC) L'infrastruttura fisica sottostante (compreso GovCloud) e l'ambiente di gestione AWS
L'ultimo aggiornamento sui servizi e le regioni che rientrano nell'ambito di applicazione della certificazione AWS PCI DSS livello 1 è consultabile in: https://aws.amazon.com/compliance/pci-dss-level-1-faqs/
SOC 1/ISAE 3402
Amazon Web Services pubblica un rapporto Service Organization Controls 1 (SOC 1) di tipo II. Il controllo per questo rapporto viene effettuato ai sensi degli standard American Institute of Certified Public Accountants (AICPA): AT 801 (ex SSAE 16) e International Standards for Assurance Engagements No. 3402 (ISAE 3402). Questo rapporto, che riguarda due standard, ha lo scopo di soddisfare una vasta gamma di requisiti di controllo finanziario per gli organismi di revisione statunitensi e internazionali. Il rapporto SOC 1 attesta che gli obiettivi di controllo di AWS sono stati definiti idoneamente e che i singoli controlli definiti per tutelare i dati dei clienti sono efficaci. Questo rapporto sostituisce il rapporto di controllo Statement on Auditing Standards No. 70 (SAS 70) di tipo II. Gli obiettivi di controllo di AWS SOC 1 sono specificati di seguito. Lo stesso rapporto indica le attività di controllo che supportano ciascuno degli obiettivi e gli esiti delle procedure di prova di ogni controllo effettuate dal revisore indipendente.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 18 di 89
Area dell'obiettivo
Descrizione dell'obiettivo
Organizzazione della sicurezza
I controlli forniscono una ragionevole garanzia del fatto che le policy di sicurezza siano state implementate e comunicate nell'intera organizzazione.
Accesso utente dei dipendenti
I controlli forniscono una ragionevole garanzia del fatto che siano state definite procedure che consentano di aggiungere, modificare e cancellare gli account utente dei dipendenti Amazon in modo tempestivo e di controllarli periodicamente.
Sicurezza logica I controlli forniscono una ragionevole garanzia del fatto che esistano policy e meccanismi capaci di limitare adeguatamente gli accessi interni ed esterni non autorizzati ai dati e di consentire l'opportuna separazione dei dati dei diversi clienti.
Gestione sicura dei dati
I controlli forniscono una ragionevole garanzia del fatto che la gestione dei dati tra il punto iniziale presso il cliente e la posizione di storage AWS avvenga in modo sicuro e sia mappata con precisione.
Sicurezza fisica e protezione ambientale
I controlli forniscono una ragionevole garanzia del fatto che l'accesso fisico ai data center sia limitato al personale autorizzato e che esistano meccanismi capaci di ridurre al minimo gli effetti di un malfunzionamento o di un'emergenza fisica per le strutture dei data center.
Gestione delle modifiche
I controlli forniscono una ragionevole garanzia del fatto che le modifiche (comprese quelle di emergenza/non di routine e relative alla configurazione) alle risorse IT esistenti siano registrate, autorizzate, testate, approvate e documentate.
Integrità, disponibilità e ridondanza dei dati
I controlli forniscono una ragionevole garanzia del fatto che l'integrità dei dati sia preservata in tutte le fasi, compresa la trasmissione, lo storage e l'elaborazione.
Gestione degli eventi imprevisti
I controlli forniscono una ragionevole garanzia del fatto che gli eventi imprevisti relativi ai sistemi siano registrati, analizzati e risolti.
I rapporti SOC 1 sono pensati per focalizzare l'attenzione sui controlli a livello di organizzazione di servizi che potrebbero essere pertinenti ai fini della revisione dei bilanci di un'entità utente. Dato che AWS ha un'ampia base clienti e che l'utilizzo dei servizi AWS è altrettanto diffuso, l'applicabilità dei controlli ai bilanci dei clienti varia in base al cliente. Il rapporto AWS SOC 1, pertanto, è pensato per includere controlli principali specifici che potrebbero essere richiesti durante un controllo finanziario, oltre a comprendere una vasta gamma di controlli IT generali che tengono conto di una vasta gamma di scenari di utilizzo e di controllo. In questo modo i clienti hanno la possibilità di utilizzare l'infrastruttura AWS per archiviare ed elaborare dati critici, compresi quelli che costituiscono parte integrante del processo di rendicontazione finanziaria. AWS esegue periodicamente nuove valutazioni sull'insieme di tali controlli per tenere conto del feedback e dell'utilizzo da parte dei clienti di questo importante rapporto di controllo. AWS si impegna costantemente per migliorare il rapporto SOC 1 e continuerà il processo di revisione periodica. L'ambito di applicazione del rapporto SOC 1 include:
AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB Amazon EC2 VM Import/Export Amazon Elastic Beanstalk Amazon Elastic Block Store (EBS) Amazon ElastiCache Amazon Elastic Compute Cloud (EC2)
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 19 di 89
Amazon Elastic Load Balancing (ELB) Amazon Elastic MapReduce (EMR) Amazon Glacier AWS Identity and Access Management (IAM) AWS Key Management Service (KMS) Amazon Redshift Amazon Relational Database Service (RDS) Amazon Route 53 Amazon SimpleDB Amazon Simple Email Service (SES) Amazon Simple Storage Service (S3) Amazon Simple Workflow (SWF) Amazon Simple Queue Service (SQS) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) Amazon WorkSpaces
SOC 2
Oltre al rapporto SOC 1, AWS pubblica un rapporto Service Organization Controls 2 (SOC 2) di tipo II. Simile al rapporto SOC 1 nella valutazione dei controlli, il rapporto SOC 2 è un'attestazione che estende la valutazione dei controlli ai criteri stabiliti dai Trust Services Principles dell'American Institute of Certified Public Accountants (AICPA). Tali principi definiscono i controlli principali relativi a sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy applicabili alle organizzazioni di servizi come AWS. Il rapporto AWS SOC 2 è una valutazione dell'efficacia progettuale e operativa dei controlli che soddisfano i criteri dei principi di sicurezza e disponibilità definiti dai Trust Services Principles dell'AICPA. Il rapporto aggiunge trasparenza alla sicurezza e disponibilità AWS grazie a uno standard di settore predefinito di prassi principali e costituisce un'ulteriore dimostrazione dell'impegno AWS nei confronti della tutela dei dati dei clienti. Il rapporto SOC 2 comprende gli stessi servizi inclusi nel rapporto SOC 1. Si veda la descrizione di SOC 1 sopra per i servizi compresi nell'ambito di applicazione.
SOC 3
AWS pubblica un rapporto Service Organization Controls 3 (SOC 3). Il rapporto SOC 3 è una sintesi disponibile al pubblico del rapporto AWS SOC 2. Il rapporto comprende il parere del revisore esterno in merito al funzionamento dei controlli (sulla base dei Security Trust Principles AICPA inclusi nel rapporto SOC 2), la dichiarazione della direzione AWS circa l'efficacia dei controlli e una panoramica dell'infrastruttura e dei servizi AWS. Il rapporto AWS SOC 3 comprende tutti i data center AWS a livello mondiale che supportano i servizi compresi nell'ambito di applicazione. Si tratta di un'ottima risorsa per consentire ai clienti di confermare l'avvenuto conseguimento da parte di AWS della garanzia del revisore esterno, senza dover eseguire la procedura di richiesta di un rapporto SOC 2. Il rapporto SOC 3 comprende gli stessi servizi inclusi nel rapporto SOC 1. Si veda la descrizione di SOC 1 sopra per i servizi compresi nell'ambito di applicazione. Visualizza il rapporto AWS SOC 3 qui.
Principali domande sulla compliance e AWS
Questa sezione illustra alcune domande generali in materia di compliance del cloud computing per quanto riguarda specificamente AWS. Le domande comuni in materia di compliance elencate di seguito possono risultare interessanti quando si valuta e si opera in un ambiente di cloud computing e possono aiutare i clienti AWS nell'attività di gestione dei controlli.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 20 di 89
Rif. Domanda sul cloud computing
Informazioni AWS
1 Titolarità dei controlli. Chi è titolare dei controlli sull'infrastruttura distribuita nel cloud?
Per la parte distribuita in AWS, è AWS a controllare i componenti fisici di tale tecnologia. Il cliente è titolare di e controlla tutti gli altri aspetti, compreso il controllo sui punti di connessione e le trasmissioni. Per aiutare i clienti a comprendere meglio quali sono i controlli esistenti e qual è il loro grado di efficienza operativa, viene pubblicato un rapporto SOC 1 di tipo II che riguarda i controlli definiti sulla base di EC2, S3 e VPC, oltre a controlli dettagliati sulla sicurezza fisica e ambientale. Tali controlli sono definiti ad un alto livello di specificità, che dovrebbe riuscire a soddisfare la maggior parte delle esigenze dei clienti. I clienti AWS che hanno sottoscritto un accordo di riservatezza con AWS possono richiedere una copia del rapporto SOC 1 di tipo II.
2 Controllo dell'IT. Come si può effettuare il controllo del fornitore di servizi cloud?
Il controllo della maggior parte dei layer e dei controlli al di sopra dei controlli fisici resta una responsabilità del cliente. La definizione dei controlli logici e fisici di AWS è documentata nel rapporto SOC 1 di tipo II, consultabile da parte dei team di controllo e compliance. AWS ISO 27001 e le altre certificazioni sono anch'esse a disposizione dei revisori per l'eventuale consultazione.
3 Compliance Sarbanes-Oxley (SOX). Come si ottiene la compliance SOX se i sistemi compresi nell'ambito di applicazione sono distribuiti nell'ambiente del fornitore di servizi cloud?
Se un cliente elabora informazioni finanziarie nel cloud AWS, i revisori del cliente possono stabilire che alcuni dei sistemi AWS rientrano nell'ambito di applicazione dei requisiti Sarbanes-Oxley (SOX). I revisori del cliente devono effettuare una propria valutazione circa l'applicabilità SOX. Dato che la maggior parte dei controlli di accesso logico è gestita dal cliente, è quest'ultimo a trovarsi nella posizione migliore per stabilire se le sue attività di controllo soddisfano gli standard pertinenti. Se i revisori SOX richiedono le specifiche relative ai controlli fisici di AWS, possono fare riferimento al rapporto AWS SOC 1 di tipo II che riporta nel dettaglio i controlli previsti da AWS.
4 Compliance HIPAA. È possibile soddisfare i requisiti di compliance HIPAA se la distribuzione è stata effettuata nell'ambiente del fornitore di servizi cloud?
I requisiti HIPAA si applicano al cliente AWS e sono controllati da quest'ultimo. La piattaforma AWS consente di distribuire soluzioni capaci di soddisfare requisiti specifici di certificazione del settore, come HIPAA. I clienti possono utilizzare i servizi AWS per mantenere un livello di sicurezza equivalente o superiore a quello richiesto per proteggere le cartelle cliniche elettroniche. I clienti hanno sviluppato in AWS applicazioni per il settore sanitario conformi alle norme in materia di sicurezza e privacy HIPAA. AWS fornisce ulteriori informazioni sulla compliance HIPAA nel proprio sito Web, compreso un whitepaper sull'argomento.
5 Compliance GLBA. È possibile soddisfare i requisiti di certificazione GLBA se la distribuzione è stata effettuata nell'ambiente del fornitore di servizi cloud?
La maggior parte dei requisiti GLBA è controllata dal cliente AWS. AWS offre ai clienti i mezzi per proteggere i dati, gestire i permessi e sviluppare applicazioni conformi ai requisiti GLBA nell'infrastruttura AWS. Se al cliente occorre una garanzia specifica del fatto che i controlli di sicurezza fisica stiano funzionando in modo efficace, può fare riferimento al rapporto AWS SOC 1 di tipo II, ove pertinente.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 21 di 89
Rif. Domanda sul cloud computing
Informazioni AWS
6 Compliance alla regolamentazione federale. È possibile per un'agenzia governativa degli Stati Uniti essere conforme alla regolamentazione in materia di sicurezza e privacy se ha effettuato la distribuzione nell'ambiente del fornitore di servizi cloud?
Le agenzie federali degli Stati Uniti possono essere conformi a una serie di standard di compliance, compresi il Federal Information Security Management Act (FISMA) del 2002, il Federal Risk and Authorization Management Program (FedRAMPsm), il Federal Information Processing Standard (FIPS) Publication 140-2 e l'International Traffic in Arms Regulations (ITAR). È inoltre possibile ottenere la compliance ad altre leggi e regolamenti, in base ai requisiti definiti dalla legislazione applicabile.
7 Ubicazione dei dati. Dove si trovano i dati dei clienti?
I clienti AWS indicano in quale regione fisica saranno ubicati i propri dati e server. La replica dei dati per gli oggetti dati S3 viene effettuata all'interno del cluster regionale in cui sono archiviati i dati e non viene ripetuta in altri cluster di data center di altre regioni. I clienti AWS indicano in quale regione fisica saranno ubicati i propri dati e server. AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza avvisare il cliente, a meno che ciò non sia necessario in osservanza della legge o di richieste da parte di enti governativi. Le undici regioni attualmente esistenti sono: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Francoforte), UE (Irlanda), Asia Pacifico (Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
8 E-Discovery. Il fornitore di servizi cloud soddisfa le esigenze del cliente di rispettare procedure e requisiti di individuazione elettronica (e-discovery)?
AWS fornisce l'infrastruttura e il cliente gestisce tutto il resto, compreso il sistema operativo, la configurazione di rete e le applicazioni installate. I clienti sono responsabili del rispetto delle procedure legali che prevedono l'identificazione, la raccolta, l'elaborazione, l'analisi e la produzione dei documenti elettronici che i clienti archiviano o elaborano con l'ausilio di AWS. Su richiesta, AWS può collaborare con i clienti che necessitano dell'assistenza di AWS nelle procedure legali.
9 Tour dei data center. Il fornitore di servizi cloud consente ai clienti di effettuare tour dei data center?
No. I data center ospitano più clienti, pertanto AWS non consente tour dei data center, in quanto ciò esporrebbe una vasta gamma di clienti all'accesso fisico da parte di terzi. Per soddisfare le esigenze di questo cliente, un revisore indipendente e competente convalida la presenza e il funzionamento di controlli nel quadro del rapporto SOC 1 di tipo II. Questa convalida da parte di terzi diffusamente accettata offre ai clienti un punto di vista indipendente sull'efficacia dei controlli esistenti. I clienti AWS che hanno sottoscritto un accordo di riservatezza con AWS possono richiedere una copia del rapporto SOC 1 di tipo II. La verifica indipendente della sicurezza fisica dei data center fa anche parte del controllo ISO 27001, della valutazione PCI, del controllo ITAR e dei programmi di test FedRAMPsm.
10 Accesso di terze parti. L'accesso ai data center del fornitore di servizi cloud è consentito a terze parti?
AWS controlla rigorosamente l'accesso ai data center, anche nel caso dei dipendenti interni. Le terze parti hanno accesso ai data center AWS solo se espressamente autorizzate dal responsabile del data center AWS secondo la policy di accesso AWS. Si veda il rapporto SOC 1 di tipo II per i controlli specifici relativi all'accesso fisico, all'autorizzazione di accesso ai data center e ad altri controlli correlati.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 22 di 89
Rif. Domanda sul cloud computing
Informazioni AWS
11 Azioni con privilegi. Le azioni con privilegi sono monitorate e controllate?
I controlli esistenti limitano l'accesso ai sistemi e ai dati e prevedono che l'accesso ai sistemi o ai dati sia limitato e monitorato. I dati dei clienti e le istanze server, inoltre, sono isolati a livello logico da quelli di altri clienti per impostazione predefinita. Il controllo degli accessi da parte di utenti con privilegi è verificato da un revisore indipendente durante i controlli AWS SOC 1, ISO 27001, PCI, ITAR e FedRAMPsm.
12 Accesso a informazioni privilegiate. Il fornitore di servizi cloud affronta la minaccia di un accesso non autorizzato a informazioni privilegiate relative ai dati e alle applicazioni dei clienti?
AWS prevede controlli SOC 1 specifici per gestire la minaccia di accessi non autorizzati a informazioni privilegiate e la certificazione pubblica e le iniziative di compliance illustrate nel presente documento affrontano la questione di tali accessi. Tutte le certificazioni e le attestazioni di terze parti effettuano una valutazione dei controlli di prevenzione e rilevazione degli accessi logici. Valutazioni periodiche del rischio, inoltre, sono incentrate sulle modalità di controllo e monitoraggio dell'accesso a informazioni privilegiate.
13 Multi-tenancy. La separazione tra i clienti viene implementata in modo sicuro?
L'ambiente AWS è di tipo virtualizzato e multi-tenant. AWS ha implementato processi di gestione della sicurezza, controlli PCI e altri controlli di sicurezza pensati per isolare ciascun cliente dagli altri clienti. I sistemi AWS sono progettati per impedire ai clienti di accedere a host fisici o istanze non assegnate loro mediante l'applicazione di filtri attraverso il software di virtualizzazione. Tale architettura è stata convalidata da un revisore indipendente PCI Qualified Security Assessor (QSA) ed è stata giudicata conforme a tutti i requisiti PCI DSS versione 3.1 pubblicata ad aprile 2015. Si noti che AWS offre anche opzioni single-tenancy. Le istanze dedicate sono istanze di Amazon EC2 lanciate all'interno di Amazon Virtual Private Cloud (Amazon VPC) che eseguono hardware dedicato a un unico cliente. Le istanze dedicate consentono di sfruttare pienamente i vantaggi di Amazon VPC e del cloud AWS, isolando allo stesso tempo le istanze di calcolo di Amazon EC2 a livello hardware.
14 Vulnerabilità dell'hypervisor. Il fornitore di servizi cloud ha affrontato le vulnerabilità note dell'hypervisor?
Attualmente, Amazon EC2 utilizza una versione dell'hypervisor Xen con elevata personalizzazione. L'hypervisor viene sottoposto a valutazioni regolari sulle vulnerabilità nuove ed esistenti e sui vettori di attacco da parte di team di intrusione interni ed esterni ed è idoneo a mantenere un forte isolamento tra macchine virtuali ospiti. La sicurezza dell'hypervisor AWS Xen viene verificata regolarmente da revisori indipendenti durante valutazioni e controlli. Si veda il whitepaper sulla sicurezza AWS per avere ulteriori informazioni sull'hypervisor Xen e l'isolamento delle istanze.
15 Gestione delle vulnerabilità. L'applicazione di patch ai sistemi viene effettuata idoneamente?
AWS è responsabile dell'applicazione delle patch ai sistemi che supportano la fornitura di servizi ai clienti, come l'hypervisor e i servizi di rete. Tale operazione viene eseguita come prescritto dalla policy AWS e ai sensi dei requisiti di ISO 27001, NIST e PCI. I clienti controllano i propri sistemi operativi, software e applicazioni guest e sono quindi responsabili dell'applicazione delle patch ai propri sistemi.
16 Crittografia. I servizi forniti supportano la crittografia?
Sì. AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS, SimpleDB ed EC2. I tunnel da IPSec a VPC sono anch'essi crittografati. Amazon S3 offre inoltre, come opzione per i clienti, la crittografia lato server. I clienti possono utilizzare anche tecnologie di crittografia di terze parti. Per ulteriori informazioni, fare riferimento al whitepaper sulla sicurezza di AWS.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 23 di 89
Rif. Domanda sul cloud computing
Informazioni AWS
17 Proprietà dei dati. Quali sono i diritti che il fornitore di servizi cloud può vantare sui dati dei clienti?
I clienti AWS detengono il controllo e la proprietà dei propri dati. AWS si impegna a proteggere la privacy dei clienti ed è vigile nel determinare quali richieste imposte dalle forze dell'ordine devono essere rispettate. AWS non esita a contestare provvedimenti delle forze dell'ordine qualora ritenga che tali misure siano prive di una solida base.
18 Isolamento dei dati. Il fornitore di servizi cloud isola adeguatamente i dati dei clienti?
Tutti i dati archiviati da AWS per conto dei clienti dispongono di solide funzionalità di sicurezza e controllo dell'isolamento dei tenant. Amazon S3 fornisce controlli avanzati sull'accesso ai dati. Per ulteriori informazioni sulla sicurezza di specifici servizi dati consultare il whitepaper sulla sicurezza AWS.
19 Servizi compositi. Il fornitore di servizi cloud integra il proprio servizio con i servizi di altri fornitori cloud?
AWS non ricorre a fornitori terzi di servizi cloud per erogare i servizi AWS ai clienti.
20 Controlli fisici e ambientali. Questi controlli sono gestiti del fornitore di servizi cloud specificato?
Sì. Sono descritti specificamente nel rapporto SOC 1 di tipo II. Altre certificazioni supportate da AWS, come ad esempio, ISO 27001 e FedRAMPsm, richiedono controlli fisici e ambientali eseguiti secondo le best practice.
21 Protezione dal lato del cliente. Il fornitore di servizi cloud consente ai clienti di proteggere e gestire l'accesso dai client, come PC e dispositivi mobili?
Sì. AWS consente ai clienti di gestire le applicazioni client e mobili sulla base dei propri requisiti.
22 Sicurezza dei server. Il fornitore di servizi cloud consente ai clienti di proteggere i propri server virtuali?
Sì. AWS consente ai clienti di implementare l'architettura di sicurezza desiderata. Per maggiori dettagli sulla sicurezza dei server e della rete consultare il whitepaper sulla sicurezza AWS.
23 Identity and Access Management. Il servizio prevede funzionalità IAM?
AWS prevede una serie di offerte relative a Identity and Access Management che consentono ai clienti di gestire le identità degli utenti, assegnare le credenziali di sicurezza, organizzare gli utenti in gruppi e gestire le autorizzazioni degli utenti in maniera centralizzata. Per maggiori informazioni consultare il sito Web di AWS.
24 Interruzioni per manutenzione programmata. Il fornitore specifica quando i sistemi subiranno interruzioni per la manutenzione?
Non occorre che i sistemi siano offline affinché AWS possa eseguire la manutenzione ordinaria e l'applicazione di patch ai sistemi. La manutenzione e l'applicazione di patch ai sistemi AWS non ha, in genere, alcun impatto sui clienti. La manutenzione delle istanze è controllata dal cliente.
25 Scalabilità. Il fornitore consente ai clienti di ampliare le risorse oltre quanto previsto originariamente dal contratto?
Il cloud AWS è distribuito, estremamente sicuro e resiliente, così da offrire ai clienti una scalabilità elevata. I clienti possono ampliare o diminuire le risorse, pagando solo ciò che utilizzano.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 24 di 89
Rif. Domanda sul cloud computing
Informazioni AWS
26 Disponibilità del servizio.
Il fornitore si impegna
a offrire un alto livello di
disponibilità?
Nei contratti sul livello di servizio AWS si impegna a offrire alti livelli di
disponibilità. Amazon EC2, ad esempio, si impegna a offrire una
percentuale di tempo di operatività annuale di almeno il 99,95% durante
l'anno di servizio. Amazon S3 si impegna a fornire una percentuale di
tempo di operatività mensile di almeno il 99,9%. In caso di mancato
rispetto di tali parametri di disponibilità, vengono forniti crediti di servizio. 27 Attacchi Distributed Denial
Of Service (DDoS). In che
modo il fornitore protegge
il proprio servizio da
attacchi DDoS?
La rete AWS offre una protezione elevata contro i tradizionali problemi di
sicurezza della rete e il cliente può implementare un'ulteriore protezione.
Per maggiori informazioni sull'argomento, compresa la trattazione degli
attacchi DDoS, consultare il whitepaper sulla sicurezza AWS.
28 Portabilità dei dati. I dati
archiviati presso un
fornitore di servizi possono
essere esportati su richiesta
del cliente?
AWS permette ai clienti di spostare i dati all'interno e fuori dallo storage
AWS in base alle necessità. Il servizio AWS Import/Export per S3 accelera
lo spostamento di grandi quantità di dati all'interno e all'esterno di AWS
utilizzando dispositivi di storage portatili per il trasporto.
29 Continuità aziendale del
fornitore di servizi. Il
fornitore di servizi gestisce
un programma di Business
Continuity?
AWS gestisce un programma di Business Continuity. Nel whitepaper sulla
sicurezza AWS sono disponibili informazioni dettagliate in merito.
30 Continuità aziendale del
cliente. Il fornitore di
servizi consente ai clienti di
implementare un piano di
Business Continuity?
AWS offre ai clienti la possibilità di implementare un solido piano di
continuità, che comprende l'utilizzo di backup frequenti delle istanze del
server, repliche dei dati e architetture di distribuzione multi
regionale/a zona di disponibilità.
31 Durabilità dei dati. Il
servizio specifica la
durabilità dei dati?
Amazon S3 fornisce un'infrastruttura di storage estremamente durevole. Gli
oggetti sono archiviati in modo ridondante su più dispositivi, in più strutture
di una regione Amazon S3. Una volta effettuato lo storage, Amazon S3
preserva la durabilità degli oggetti individuando e riparando l'eventuale
ridondanza andata perduta. Amazon S3, inoltre, verifica periodicamente
l'integrità dei dati archiviati con l'ausilio di checksum. Gli eventuali elementi
danneggiati individuati vengono riparati con i dati ridondanti. I dati
archiviati in S3 sono pensati per offrire una durabilità del 99,999999999%
e una disponibilità degli oggetti del 99,99% in un dato anno. 32 Backup. Il servizio consente
di effettuare backup su
nastro?
AWS consente ai clienti di eseguire i backup su nastro utilizzando il
proprio fornitore di servizi di backup su nastro. Tuttavia, AWS non
fornisce il servizio di backup su nastro. Il servizio Amazon S3 è stato
progettato per ridurre pressoché a zero il rischio di perdita di dati e la
durabilità equivalente a copie multisito degli oggetti dati è ottenuta
tramite la ridondanza dello storage dei dati. Per informazioni sulla
durabilità dei dati e la ridondanza consultare il sito Web AWS.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 25 di 89
Rif. Domanda sul cloud computing
Informazioni AWS
33 Aumenti di prezzo. Il
fornitore dei servizi
aumenterà i prezzi senza
preavviso?
Le diminuzioni dei prezzi sono una costante nel caso di AWS, dato che il
costo legato alla fornitura di questi servizi si riduce nel tempo. Negli
ultimi anni, infatti, AWS ha ridotto costantemente i prezzi.
34 Sostenibilità. L'azienda che
fornisce i servizi dispone
dei presupposti per una
sostenibilità a lungo
termine?
AWS è leader nella fornitura di servizi cloud e costituisce un tassello
importante della strategia aziendale a lungo termine di Amazon.com.
AWS ha tutti i presupposti per una sostenibilità a lungo termine.
Contatto AWS
I clienti possono richiedere i rapporti e le certificazioni elaborati dai revisori terzi oppure chiedere maggiori informazioni circa la compliance di AWS contattando AWS Sales and Business Development. Il rappresentante indirizzerà i clienti verso il team competente, in base alla natura della richiesta di informazioni. Per ulteriori informazioni sulla compliance di AWS consultare il sito Compliance di AWS o inviare le domande direttamente a [email protected].
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 26 di 89
Appendice A: Questionario dell'iniziativa di valutazione del consenso CSA v3.01
La Cloud Security Alliance (CSA) è una "organizzazione no profit che intende promuovere l'utilizzo delle best practice per offrire la garanzia della sicurezza nel cloud computing ed educare agli utilizzi del cloud computing, rafforzando allo stesso tempo la sicurezza di tutte le altre forme di elaborazione". [Riferimento https://cloudsecurityalliance.org/about/]. Numerosi professionisti, aziende e associazioni che operano nel settore della sicurezza partecipano a questa organizzazione per perseguire tale scopo. Il questionario dell'iniziativa di valutazione del consenso CSA contiene una serie di domande frequenti che un consumatore di servizi cloud e/o un revisore cloud potrebbero voler chiedere a un fornitore di servizi cloud. Riporta una serie di domande relative alla sicurezza, ai controlli e ai processi che si prestano a una vasta gamma di utilizzi, compresa la scelta del fornitore di servizi cloud e la valutazione della sicurezza. AWS ha completato il questionario fornendo le seguenti risposte.
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Sicurezza delle applicazioni e delle interfacce Sicurezza delle applicazioni
AIS-01.1
Vengono utilizzati standard industriali (benchmark BSIMM (Build Security in Maturity Model), Open Group ACS Trusted Technology Provider Framework, NIST e così via) per integrare la sicurezza per l'SDLC (Systems/Software Development Lifecycle)?
Il ciclo di vita dello sviluppo di sistema AWS (SDLC) integra best practice di settore tra cui revisioni formali da parte del team di sicurezza AWS, modellazione delle minacce e completamento di una valutazione del rischio. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS). AWS ha implementato procedure per gestire il nuovo sviluppo di risorse. Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 14. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
AIS-01.2
Viene utilizzato uno strumento di analisi del codice sorgente automatizzato per rilevare i difetti di sicurezza del codice prima della produzione?
AIS-01.3
Viene utilizzata un'analisi manuale del codice sorgente per rilevare i difetti di sicurezza del codice prima della produzione?
AIS-01.4
Viene verificato se tutti i fornitori di software aderiscono agli standard di settore per la sicurezza SDLC (Systems/Software Development Lifecycle)?
AIS-01.5
(Solo SaaS) Viene effettuato il controllo delle applicazioni alla ricerca di vulnerabilità della sicurezza e vengono affrontati gli eventuali problemi prima della distribuzione per la produzione?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 27 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Sicurezza delle applicazioni e delle interfacce Requisiti di accesso dei clienti
AIS-02.1
Tutti i requisiti normativi, contrattuali e di sicurezza identificati per l'accesso dei clienti sono stati presi in considerazione e corretti per contratto prima di concedere ai clienti l'accesso a dati, asset e sistemi informatici?
Spetta sempre ai clienti AWS la responsabilità di garantire che il proprio uso di AWS sia conforme alle leggi e alle norme vigenti. AWS comunica ai clienti informazioni sul proprio ambiente di sicurezza e controllo tramite certificazioni del settore e attestazioni di terze parti, whitepaper (disponibili all'indirizzo http://aws.amazon.com/compliance) e fornendo certificazioni, rapporti e altra documentazione pertinente direttamente ai clienti AWS.
AIS-02.2
Tutti i requisiti e i livelli di attendibilità per l'accesso dei clienti sono stati definiti e documentati?
Sicurezza delle applicazioni e delle interfacce Integrità dei dati
AIS-03.1
Le routine di integrità di ingresso e uscita dei dati (ovvero, controlli di modifiche e riconciliazione) sono state implementate per i database e le interfacce di applicazione in modo da impedire errori di elaborazione, manuali o sistematici o la corruzione dei dati?
I controlli dell'integrità dei dati AWS descritti nei rapporti AWS SOC illustrano i controlli sull'integrità dei dati mantenuti in tutte le fasi, comprese trasmissione, storage ed elaborazione. Per ulteriori informazioni, fare inoltre riferimento allo standard ISO 27001, appendice A, dominio 14. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Sicurezza delle applicazioni e delle interfacce Sicurezza/integrità dei dati
AIS-04.1
L'architettura di sicurezza dei dati è progettata utilizzando uno standard industriale (ad es. CDSA, MULITSAFE, CSA Trusted Cloud Architectural Standard, FedRAMP, CAESARS)?
L'architettura di sicurezza dei dati AWS è stata progettata per integrare pratiche all'avanguardia nel settore. Fare riferimento alle certificazioni, ai rapporti e ai whitepaper AWS per ulteriori dettagli sulle pratiche all'avanguardia a cui AWS aderisce (disponibili all'indirizzo http://aws.amazon.com/compliance).
Affidabilità e compliance dei controlli Pianificazione dei controlli
AAC-01.1
Vengono elaborate asserzioni di controllo utilizzando un formato strutturato e accettato nel settore (ad es. CloudAudit/A6 URI Ontology, CloudTrust, SCAP/CYBEX, GRC XML, Cloud Computing Management Audit/Assurance Program di ISACA, ecc.)?
AWS ottiene determinate certificazioni di settore e attestazioni di terze parti indipendenti e fornisce determinate certificazioni, rapporti e altri documenti pertinenti direttamente ai clienti AWS.
Affidabilità e compliance dei controlli Controlli indipendenti
AAC-02.1
Si consente ai tenant di visualizzare il rapporto SOC2/ISO 27001 o rapporti simili dei controlli o delle certificazioni di terze parti?
AWS fornisce attestazioni di terze parti, certificazioni, rapporti Service Organization Controls (SOC) e altri rapporti di compliance pertinenti direttamente ai clienti ai sensi dell'accordo di riservatezza. La certificazione AWS ISO 27001 può essere scaricata qui: http://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 28 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
AAC-02.2
Vengono eseguiti periodicamente test di intrusione nella rete sul servizio cloud, come previsto dalle best practice e dalle linee guida di settore?
Il rapporto AWS SOC 3 può essere scaricato qui: https://d0.awsstatic.com/whitepapers/compliance/soc3_amazon_web_services.pdf. AWS Security esegue scansioni regolari di tutti gli indirizzi IP dell'endpoint del servizio connessi a Internet per individuare le vulnerabilità (tali scansioni non includono le istanze dei clienti). AWS Security notifica alle parti interessate le eventuali vulnerabilità identificate a cui è necessario porre rimedio. Vengono inoltre eseguite valutazioni di vulnerabilità alle minacce esterne da parte di società indipendenti operanti nel settore della sicurezza. I risultati di tali valutazioni e le relative raccomandazioni sono categorizzati e forniti alla direzione di AWS. Inoltre, l'ambiente di controllo AWS è soggetto a periodici controlli e valutazioni del rischio interni ed esterni. AWS collabora con organi di certificazione esterni e revisori indipendenti per verificare e testare l'ambiente di controllo AWS nel suo insieme.
AAC-02.3
Vengono eseguiti periodicamente test di intrusione nelle applicazioni sull'infrastruttura cloud, come previsto dalle best practice e dalle linee guida di settore?
AAC-02.4
Vengono eseguiti periodicamente controlli interni, come prescritto dalle best practice e dalle linee guida di settore?
AAC-02.5
Vengono eseguiti periodicamente controlli esterni, come prescritto dalle best practice e dalle linee guida di settore?
AAC-02.6
I risultati dei test di intrusione sono messi a disposizione dei tenant su loro richiesta?
AAC-02.7
I risultati dei controlli interni ed esterni sono messi a disposizione dei tenant su loro richiesta?
AAC-02.8
Esiste un programma di controlli interni che consenta una verifica interfunzionale delle valutazioni?
Affidabilità e compliance dei controlli Mappatura normativa del sistema informativo
AAC-03.1
È possibile segmentare a livello logico o crittografare i dati dei clienti, per far sì che i dati possano essere prodotti solo per un unico tenant, senza accedere inavvertitamente ai dati di un altro tenant?
Tutti i dati archiviati da AWS per conto dei clienti dispongono di solide funzionalità di sicurezza e controllo dell'isolamento dei tenant. I clienti mantengono il controllo e la proprietà dei propri dati, pertanto è loro responsabilità scegliere se crittografare i dati. AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS, SimpleDB ed EC2. I tunnel da IPSec a VPC sono anch'essi crittografati. I clienti, inoltre, possono utilizzare AWS Key Management Systems (KMS) per creare e controllare le chiavi di crittografia (fare riferimento a https://aws.amazon.com/kms/). Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security. AWS consente ai clienti di eseguire i backup su nastro utilizzando il proprio fornitore di servizi di backup su nastro. Tuttavia, AWS non fornisce il servizio di backup su nastro. I servizi Amazon S3 e Glacier sono stati progettati per ridurre pressoché a zero il rischio di perdita di dati e la durabilità equivalente a copie multisito degli oggetti dati è ottenuta tramite la ridondanza dello storage dei dati. Per informazioni sulla durabilità dei dati e la ridondanza consultare il sito Web AWS.
AAC-03.2
È possibile recuperare i dati per uno specifico cliente in caso di problemi o di perdita di dati?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 29 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
AAC-03.3
È possibile limitare lo storage dei dati dei clienti a specifici paesi o aree geografiche?
I clienti AWS indicano in quale regione fisica saranno ubicati i propri contenuti. AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza avvisare il cliente, a meno che ciò non sia necessario in osservanza della legge o di richieste da parte di enti governativi. Le undici regioni attualmente esistenti sono: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Irlanda), UE (Francoforte), Asia Pacifico (Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
AAC-03.4
È stato implementato un programma che abbia la capacità di monitorare le modifiche ai requisiti di legge nelle giurisdizioni pertinenti, adeguare il programma di sicurezza a tali modifiche e assicurare la conformità ai requisiti normativi pertinenti?
AWS esegue il monitoraggio dei requisiti di legge e normativi pertinenti. Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice 18. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Gestione della Business Continuity e resilienza operativa Pianificazione della Business Continuity
BCR-01.1
Ai tenant vengono fornite opzioni di hosting resilienti dal punto di vista geografico?
I data center sono costruiti in cluster in diverse regioni globali. AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche e in più zone di disponibilità all'interno di ogni regione. I clienti dovrebbero pianificare l'utilizzo di AWS in modo da sfruttare le diverse regioni e zone di disponibilità. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Cloud Security Processes (Panoramica sulle procedure di sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
BCR-01.2
Ai tenant viene fornita la funzionalità di failover per i servizi infrastrutturali ad altri fornitori?
Gestione della Business Continuity e resilienza operativa Test della Business Continuity
BCR-02.1
I piani di Business Continuity sono sottoposti a test a intervalli pianificati o in caso di modifiche ambientali o organizzative significative per garantire una costante efficacia?
I piani e le policy di Business Continuity AWS sono stati sviluppati e testati in linea con gli standard ISO 27001. Per ulteriori dettagli su AWS e sulla Business Continuity, fare riferimento allo standard ISO 27001, appendice A, domino 17.
Gestione della Business Continuity e resilienza operativa Alimentazione/ telecomunicazioni
BCR-03.1
Ai tenant viene fornita la documentazione in cui è descritto il percorso di trasporto dei propri dati tra un sistema e l'altro?
I clienti AWS indicano in quale regione fisica saranno ubicati i propri dati e server. AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza avvisare il cliente, a meno che ciò non sia necessario in osservanza della legge o di richieste da parte di enti governativi. Nei rapporti AWS SOC sono forniti ulteriori dettagli. I clienti possono anche scegliere il loro percorso di rete alle strutture AWS, tra cui reti private dedicate in cui il cliente controlla l'instradamento del traffico.
BCR-03.2
I tenant possono definire in che modo i propri dati vengono trasportati e attraverso quali giurisdizioni legali?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 30 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Gestione della Business Continuity e resilienza operativa Documentazione
BCR-04.1
I documenti relativi al sistema informatico (ad esempio guide per gli utenti e gli amministratori, schemi dell'architettura e così via) sono messi a disposizione del personale autorizzato per garantire la corretta configurazione, installazione e utilizzo del sistema informatico?
La documentazione sul sistema informativo è resa disponibile internamente al personale AWS tramite il sito Intranet di Amazon. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security/. Fare riferimento allo standard ISO 27001, appendice A, dominio 12.
Gestione della Business Continuity e resilienza operativa Rischi ambientali
BCR-05.1
La protezione fisica contro danni (ad esempio da calamità, eventi naturali, attacchi deliberati) è prevista e progettata e sono applicate contromisure?
I data center AWS si avvalgono di protezioni fisiche contro i rischi ambientali. La protezione fisica adottata da AWS contro i rischi ambientali è stata convalidata da un revisore indipendente e ne è stata certificata la conformità con le best practice ISO 27002. Fare riferimento allo standard ISO 27001, appendice A, dominio 11.
Gestione della Business Continuity e resilienza operativa Ubicazione delle apparecchiature
BCR-06.1
Esistono data center della società situati in luoghi caratterizzati da alta probabilità/frequenza di rischi ambientali a impatto elevato (inondazioni, tornado, terremoti, uragani e così via)?
I data center AWS si avvalgono di protezioni fisiche contro i rischi ambientali. La protezione fisica adottata da AWS contro i rischi ambientali è stata convalidata da un revisore indipendente e ne è stata certificata la conformità con le best practice ISO 27002. Fare riferimento allo standard ISO 27001, appendice A, dominio 11.
Gestione della Business Continuity e resilienza operativa Manutenzione delle apparecchiature
BCR-07.1
Se si utilizza l'infrastruttura virtuale, la soluzione cloud include funzionalità di ripristino e recupero indipendenti dall'hardware?
La funzionalità EBS Snapshot consente ai clienti di acquisire e ripristinare le immagini della macchina virtuale in qualsiasi momento. I clienti possono esportare le proprie AMI e utilizzarle localmente o presso un altro fornitore (soggetto alle limitazioni di licenza del software). Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
BCR-07.2
Se si utilizza l'infrastruttura virtuale, ai tenant viene consentito di ripristinare una macchina virtuale a uno stato precedente nel tempo?
BCR-07.3
Se si utilizza l'infrastruttura virtuale, sono consentiti il download e il trasferimento delle immagini della macchina virtuale a un nuovo fornitore di servizi cloud?
BCR-07.4
Se si utilizza l'infrastruttura virtuale, le immagini delle macchine sono messe a disposizione del cliente in modo tale da permettergli di replicare tali immagini nella propria posizione di storage fuori sede?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 31 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
BCR-07.5
La soluzione cloud include funzionalità di ripristino e recupero indipendenti dal software/provider?
Gestione della Business Continuity e resilienza operativa Interruzione di corrente alle apparecchiature
BCR-08.1
Sono stati implementati meccanismi di sicurezza e ridondanza per proteggere le apparecchiature da interruzioni dei servizi di utilità (ad esempio interruzioni di corrente, interruzioni di rete e così via)?
L'apparecchiatura AWS è protetta dalle interruzioni dei servizi di utilità in conformità allo standard ISO 27001. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. Nei rapporti AWS SOC vengono fornite informazioni aggiuntive sui controlli presenti per ridurre al minimo gli effetti di un malfunzionamento o di un'emergenza fisica per le strutture dei data center e dei computer. Fare inoltre riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
Gestione della Business Continuity e resilienza operativa Analisi dell'impatto
BCR-09.1
Ai tenant vengono forniti visibilità continua e reporting delle prestazioni operative del contratto sul livello di servizio (SLA, Service Level Agreement)?
AWS CloudWatch assicura il monitoraggio delle risorse cloud AWS e delle applicazioni eseguite dai clienti su AWS. Per ulteriori dettagli, fare riferimento alla pagina aws.amazon.com/cloudwatch. AWS pubblica inoltre le informazioni più aggiornate relative alla disponibilità del servizio sul pannello di controllo stato servizi. Fare riferimento a status.aws.amazon.com.
BCR-09.2
Le metriche di sicurezza delle informazioni basate su standard (CSA, CAMM e così via) sono messe a disposizione dei tenant?
BCR-09.3
Ai clienti viene fornita visibilità continua e reporting delle prestazioni del contratto sul livello di servizio (SLA, Service Level Agreement)?
Gestione della Business Continuity e resilienza operativa Policy
BCR-10.1
Policy e procedure vengono stabilite e messe a disposizione di tutto il personale per supportare adeguatamente i ruoli operativi dei servizi?
Sono state stabilite policy e procedure attraverso il framework AWS Information Security in base allo standard NIST 800-53, ISO 27001, ISO 27017, ISO 27018, ISO 9001 e ai requisiti PCI DSS. Per ulteriori dettagli, fare riferimento al whitepaper AWS Risk and Compliance (Rischio e compliance AWS), disponibile all'indirizzo http://aws.amazon.com/compliance.
Gestione della Business Continuity e resilienza operativa Policy di conservazione
BCR-11.1
Si dispone delle capacità di controllo tecnico per attuare le policy di conservazione dei dati dei tenant?
AWS consente ai clienti di eliminare i propri dati. Tuttavia, i clienti AWS detengono il controllo e la proprietà dei propri dati, pertanto è responsabilità dei clienti gestire la conservazione dei dati sulla base dei propri requisiti. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security. AWS si impegna a proteggere la privacy dei clienti ed è vigile nel determinare quali richieste imposte dalle forze dell'ordine devono essere rispettate. AWS non esita a contestare provvedimenti delle forze dell'ordine qualora ritenga che tali misure siano prive di una solida base. Per ulteriori informazioni, fare riferimento a https://aws.amazon.com/compliance/data-privacy-faq/.
BCR-11.2
È stata messa in atto una procedura documentata per rispondere alle richieste di dati dei tenant da parte di governi o di terze parti?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 32 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
BCR-11.4
Sono stati implementati meccanismi di backup o di ridondanza per garantire il rispetto dei requisiti normativi, legali, contrattuali o aziendali?
I meccanismi di backup e di ridondanza AWS sono stati sviluppati e testati in linea con gli standard ISO 27001. Per ulteriori informazioni sui meccanismi di backup e ridondanza AWS, fare riferimento allo standard ISO 27001, appendice A, dominio 12 e al rapporto AWS SOC 2.
BCR-11.5
I meccanismi di backup o di ridondanza sono sottoposti a test almeno una volta all'anno?
Controllo delle modifiche e gestione delle configurazioni Nuovo sviluppo/acquisizione
CCC-01.1
Esistono policy e procedure per la gestione dell'autorizzazione per lo sviluppo o all'acquisizione di nuove applicazioni, sistemi, database, infrastrutture, servizi, operazioni e impianti?
Sono state stabilite policy e procedure attraverso il framework AWS Information Security in base allo standard NIST 800-53, ISO 27001, ISO 27017, ISO 27018, ISO 9001 e ai requisiti PCI DSS. Se il cliente ha mosso i primi passi in AWS oppure se è un utente avanzato, potrà trovare informazioni utili sui servizi, che spaziano dalle nozioni introduttive alle caratteristiche avanzate, nella sezione Documentazione AWS del sito Web all'indirizzo https://aws.amazon.com/documentation/.
CCC-01.2
È disponibile una documentazione che descriva l'installazione, la configurazione e l'utilizzo di prodotti/servizi/caratteristiche?
Controllo delle modifiche e gestione delle configurazioni Sviluppo in outsourcing
CCC-02.1
Sono disponibili controlli per assicurare che gli standard di qualità vengano rispettati per tutto lo sviluppo del software?
AWS generalmente non esternalizza lo sviluppo di software. AWS integra standard di qualità nei processi SDLC (System Development Lifecycle). Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 12. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
CCC-02.2
Sono disponibili controlli per rilevare i difetti di sicurezza del codice sorgente per tutte le attività di sviluppo software in outsourcing?
Controllo delle modifiche e gestione delle configurazioni Test di qualità
CCC-03.1
Ai tenant viene fornita la documentazione in cui è descritta la procedura di controllo qualità?
AWS dispone della certificazione ISO 9001. Si tratta di una convalida indipendente del sistema di qualità AWS che ha accertato che le attività di AWS sono conformi ai requisiti della certificazione ISO 9001. I bollettini sulla sicurezza AWS comunicano ai clienti gli eventi relativi alla sicurezza e alla privacy. I clienti possono iscriversi al feed RSS dei bollettini sulla sicurezza AWS nel sito Web di AWS. Fare riferimento aws.amazon.com/security/security-bulletins/. AWS pubblica inoltre le informazioni più aggiornate relative alla disponibilità del servizio sul pannello di controllo stato servizi. Fare riferimento a status.aws.amazon.com. Il ciclo di vita dello sviluppo di sistema AWS (SDLC) integra best practice di settore tra cui revisioni formali da parte del team di sicurezza AWS, modellazione delle minacce e completamento di una valutazione del rischio. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS).
CCC-03.2
È disponibile una documentazione che descriva i problemi noti di alcuni prodotti/servizi?
CCC-03.3
Sono state implementate policy e procedure per valutare e trovare una soluzione a bug e vulnerabilità della sicurezza segnalati per le offerte di prodotti e servizi?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 33 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
CCC-03.4
Sono stati implementati meccanismi per garantire che tutti gli elementi del debug e del codice di prova siano stati rimossi dalle versioni software rilasciate?
Per ulteriori dettagli, fare inoltre riferimento allo standard ISO 27001, appendice A, dominio 14. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Controllo delle modifiche e gestione delle configurazioni Installazioni software non autorizzate
CCC-04.1
Sono disponibili controlli per limitare e monitorare l'installazione di software non autorizzato sui propri sistemi?
Il programma, i processi e le procedure AWS per la gestione del software malware sono conformi agli standard ISO 27001. Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 12. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Controllo delle modifiche e gestione delle configurazioni Cambi in produzione
CCC-05.1
Ai tenant viene fornita la documentazione in cui sono descritte le procedure di gestione dei cambi in produzione e i loro relativi ruoli/diritti/responsabilità?
Nei rapporti AWS SOC è fornita una panoramica sui controlli disponibili per gestire le modifiche nell'ambiente AWS. Per ulteriori dettagli, fare inoltre riferimento allo standard ISO 27001, appendice A, dominio 14. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Sicurezza dei dati e gestione del ciclo di vita delle informazioni Classificazione
DSI-01.1
Viene offerta la possibilità di identificare le macchine virtuali tramite tag di policy/metadati (ad es. tag che possono essere utilizzati per evitare che i sistemi operativi guest possano avviare/creare istanze/trasportare i dati nel paese errato)?
Ai clienti vengono assegnate macchine virtuali nell'ambito del servizio EC2. I clienti mantengono il controllo su quali risorse vengono utilizzate e su dove le risorse risiedono. Per ulteriori dettagli, fare riferimento al sito Web di AWS all'indirizzo http://aws.amazon.com.
DSI-01.2
Viene offerta la possibilità di identificare l'hardware tramite tag di policy/metadati/tag di hardware (ad es. TXT/TPM, VN-Tag e così via)?
AWS offre la possibilità di aggiungere tag alle risorse EC2. Una forma di metadati, i tag EC2, può essere utilizzata per creare nomi facilmente identificabili dagli utenti, migliorare la ricercabilità e rafforzare il coordinamento tra più utenti. La console di gestione AWS supporta anch'essa i tag.
DSI-01.3
È possibile utilizzare la posizione geografica del sistema come fattore di autenticazione?
AWS offre la possibilità di eseguire l'accesso utente condizionato in base all'indirizzo IP. I clienti possono aggiungere le condizioni per controllare la modalità di utilizzo di AWS da parte degli utenti, come ad esempio l'ora del giorno, il relativo indirizzo IP di origine o l'eventuale utilizzo di SSL.
DSI-01.4
Amazon fornisce la posizione fisica/l'area geografica dello storage dei dati di un tenant su richiesta?
AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche. I clienti AWS indicano in quale regione fisica saranno ubicati i propri dati e server. AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza avvisare il cliente, a meno che ciò non sia necessario in osservanza della legge o di richieste da parte di enti governativi. Le undici regioni attualmente esistenti sono: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Irlanda), UE (Francoforte), Asia Pacifico (Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
DSI-01.5
Amazon fornisce la posizione fisica/l'area geografica dello storage dei dati di un tenant in anticipo?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 34 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
DSI-01.6
Viene seguito uno standard strutturato per l'etichettatura dei dati (ad es. ISO 15489, Oasis XML Catalog Specification, CSA Data Type Guidance)?
I clienti AWS mantengono il controllo e la proprietà dei propri dati e possono implementare uno standard strutturato di etichettatura dei dati per soddisfare i propri requisiti.
DSI-01.7
Si consente ai tenant di definire le posizioni geografiche accettabili per il routing dei dati o la creazione dell'istanza delle risorse?
AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche. I clienti AWS indicano in quale regione fisica saranno ubicati i propri dati e server. AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza avvisare il cliente, a meno che ciò non sia necessario in osservanza della legge o di richieste da parte di enti governativi. Le undici regioni attualmente esistenti sono: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Irlanda), UE (Francoforte), Asia Pacifico (Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
Sicurezza dei dati e gestione del ciclo di vita delle informazioni Inventario/flussi dei dati
DSI-02.1
Vengono inventariati, documentati e gestiti i flussi dei dati residenti (in via permanente o temporanea) nelle applicazioni dei servizi e nella rete e nei sistemi dell'infrastruttura?
I clienti AWS indicano in quale regione fisica saranno ubicati i propri contenuti. AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza avvisare il cliente, a meno che ciò non sia necessario in osservanza della legge o di richieste da parte di enti governativi. Le undici regioni attualmente esistenti sono: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Irlanda), UE (Francoforte), Asia Pacifico (Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
DSI-02.2
Si garantisce che i dati non migrino al di là di una determinata residenza geografica?
Sicurezza dei dati e gestione del ciclo di vita delle informazioni Transazioni eCommerce
DSI-03.1
Ai tenant vengono fornite metodologie di crittografia aperte (3.4ES, AES e così via), in modo da permettere la protezione dei dati se è necessario attraversare reti pubbliche (ad es. Internet)?
Tutte le API AWS sono disponibili tramite gli endpoint SSH protetti che forniscono l'autenticazione del server. AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS, SimpleDB ed EC2. I tunnel da IPSec a VPC sono anch'essi crittografati. I clienti, inoltre, possono utilizzare AWS Key Management Systems (KMS) per creare e controllare le chiavi di crittografia (fare riferimento a https://aws.amazon.com/kms/). I clienti possono utilizzare anche tecnologie di crittografia di terze parti. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
DSI-03.2
Vengono utilizzate metodologie di crittografia aperte ogniqualvolta i componenti dell'infrastruttura devono comunicare tra loro su reti pubbliche (ad es. replica dei dati basata su Internet da un ambiente all'altro)?
Sicurezza dei dati e gestione del ciclo di vita delle informazioni Policy di gestione/etichettatura/ protezione
DSI-04.1
Sono state stabilite policy e procedure per etichettatura, gestione e protezione di dati e oggetti che contengono dati?
I clienti AWS detengono il controllo e la proprietà dei propri dati e possono implementare una policy di etichettatura e gestione e procedure specifiche per soddisfare i propri requisiti.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 35 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
DSI-04.2
Sono stati implementati meccanismi per l'ereditarietà delle etichette per gli oggetti che fungono da contenitori aggregati per i dati?
Sicurezza dei dati e gestione del ciclo di vita delle informazioni Dati non destinati alla produzione
DSI-05.1
Sono state implementate procedure per garantire che i dati di produzione non possano essere replicati o utilizzati negli ambienti non destinati alla produzione?
I clienti AWS detengono il controllo e la proprietà dei propri dati. AWS offre ai clienti la possibilità di gestire e sviluppare ambienti di produzione e non destinati alla produzione. È responsabilità del cliente assicurarsi che i propri dati di produzione non vengano replicati in ambienti non destinati alla produzione.
Sicurezza dei dati e gestione del ciclo di vita delle informazioni Proprietà/amministrazione
DSI-06.1
Le responsabilità relative all'amministrazione dei dati sono definite, assegnate, documentate e comunicate?
I clienti AWS detengono il controllo e la proprietà dei propri dati. Per ulteriori informazioni, fare riferimento al contratto clienti AWS.
Sicurezza dei dati e gestione del ciclo di vita delle informazioni Smaltimento sicuro
DSI-07.1
L'eliminazione sicura (ad esempio smagnetizzazione/cancellazione crittografica) dei dati archiviati e di backup, così come determinato dal tenant, è supportata?
Quando un dispositivo di storage raggiunge la fine della sua vita utile, le procedure AWS includono un processo di disattivazione progettato per impedire che i dati del cliente siano accessibili a persone non autorizzate. AWS utilizza le tecniche riportate in dettaglio nel DoD 5220.22-M ("National Industrial Security Program Operating Manual") o NIST 800-88 ("Guidelines for Media Sanitization") per distruggere i dati come parte del processo di disattivazione. Se non è possibile disattivare un dispositivo hardware mediante queste procedure, il dispositivo sarà smagnetizzato o distrutto fisicamente in linea con le procedure standard del settore. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security. I volumi Amazon EBS si presentano come dispositivi a blocchi vergini non formattati che sono stati sottoposti a cancellazione prima di essere resi disponibili per l'uso. La cancellazione viene effettuata subito prima del riutilizzo, per essere certi che il processo di cancellazione sia stato completato. Amazon EBS consente di implementare procedure che richiedono la cancellazione di tutti i dati con un metodo specifico, come quelli descritti in DoD 5220.22-M ("National Industrial Security Program Operating Manual") o in NIST 800-88 ("Guidelines for Media Sanitization"). È opportuno effettuare una procedura di cancellazione specializzata prima di procedere alla cancellazione del volume per la conformità ai propri requisiti.
La crittografia di dati sensibili è, in genere, una prassi di sicurezza affidabile e AWS consente di crittografare i volumi EBS e le loro snapshot con AES-256. La crittografia viene effettuata sui server che ospitano le istanze EC2, mentre i dati si spostano tra istanze EC2 e storage EBS. Per essere in grado di completare tale procedura in modo efficiente e con una bassa latenza, la caratteristica di crittografia EBS è disponibile solo sui tipi di istanze EC2 più potenti (ad es. M3, C3, R3, G2).
DSI-07.2
Amazon fornisce una procedura pubblicata per la cessazione dell'accordo di servizio, compresa l'assicurazione per la pulizia di tutte le risorse informatiche dei dati del tenant, dopo che un cliente è uscito dal proprio ambiente o ha lasciato libera una risorsa?
Sicurezza dei data center Gestione degli asset
DCS-01.1
Viene mantenuto un inventario completo di tutti gli asset critici che include la proprietà dell'asset?
In linea con gli standard ISO 27001, gli asset hardware AWS sono assegnati ad un responsabile, tracciati e monitorati dal personale AWS mediante gli strumenti di gestione inventario proprietari di AWS. Il team della catena di approvvigionamento e fornitura AWS mantiene i rapporti con tutti i fornitori AWS.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 36 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
DCS-01.2
Viene mantenuto un inventario completo di tutti i rapporti con i fornitori critici?
Per ulteriori dettagli, fare riferimento agli standard ISO 27001, appendice A, dominio 8. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Sicurezza dei data center Punti di accesso controllati
DCS-02.1
Sono stati implementati perimetri di sicurezza fisici (ad es. recinzioni, pareti, barriere, protezioni, cancelli, sorveglianza elettronica, meccanismi di autenticazione fisici, banchi di accoglienza e pattuglie di sicurezza)?
I controlli di sicurezza fisici includono, a titolo esemplificativo, controlli perimetrali, quali recinzioni, pareti, personale addetto alla sicurezza, video sorveglianza, sistemi di rilevamento dell'intrusione e altri dispositivi elettronici. Nei rapporti AWS SOC sono forniti dettagli aggiuntivi sulle attività di controllo specifiche eseguite da AWS. Per ulteriori informazioni, fare riferimento agli standard ISO 27001, appendice A, dominio 11. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Sicurezza dei data center Identificazione delle apparecchiature
DCS-03.1
L'identificazione automatica delle apparecchiature viene utilizzata come metodo per convalidare l'integrità di autenticazione della connessione sulla base dell'ubicazione nota delle apparecchiature?
AWS gestisce l'identificazione delle apparecchiature in conformità allo standard ISO 27001. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Sicurezza dei data center Autorizzazione fuori sede
DCS-04.1
Ai tenant viene fornita la documentazione che descrive gli scenari in cui i dati possono essere spostati da una posizione fisica a un'altra (ad es. backup fuori sede, failover della continuità di servizio, replica)?
I clienti AWS indicano in quale regione fisica saranno ubicati i propri dati. AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza avvisare il cliente, a meno che ciò non sia necessario in osservanza della legge o di richieste da parte di enti governativi. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
Sicurezza dei data center Apparecchiature fuori sede
DCS-05.1
È possibile fornire ai tenant le prove che documentano le policy e le procedure che regolano la gestione degli asset e la riallocazione delle apparecchiature?
In linea con gli standard ISO 27001, quando un dispositivo di storage raggiunge la fine della sua vita utile, le procedure AWS includono un processo di disattivazione progettato per impedire che i dati del cliente siano accessibili a persone non autorizzate. AWS utilizza le tecniche riportate in dettaglio nel DoD 5220.22-M ("National Industrial Security Program Operating Manual") o NIST 800-88 ("Guidelines for Media Sanitization") per distruggere i dati come parte del processo di disattivazione. Se non è possibile disattivare un dispositivo hardware mediante queste procedure, il dispositivo sarà smagnetizzato o distrutto fisicamente in linea con le procedure standard del settore. Per ulteriori dettagli, fare riferimento agli standard ISO 27001, appendice A, dominio 8. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Sicurezza dei data center Policy
DCS-06.1
Amazon fornisce prova che sono state stabilite policy, standard e procedure per il mantenimento di un ambiente di lavoro sicuro e protetto in uffici, sale, strutture e aree protette?
AWS collabora con organismi di certificazione esterni e revisori indipendenti per esaminare e convalidare la nostra compliance con i quadri di compliance. Nei rapporti AWS SOC sono forniti dettagli aggiuntivi sulle attività di controllo della sicurezza fisica specifiche eseguite da AWS. Per ulteriori dettagli, fare riferimento agli standard ISO 27001, appendice A, dominio 11. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 37 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
DCS-06.2
Si può dimostrare che il personale e le terze parti coinvolte hanno ricevuto un'idonea formazione riguardo alle policy, agli standard e alle procedure documentate?
In linea con lo standard ISO 27001, tutti i dipendenti AWS completano una formazione periodica sulla sicurezza delle informazioni per la quale è richiesta conferma di completamento. Vengono effettuati controlli in materia di compliance a cadenza periodica per assicurarsi che i dipendenti comprendano e seguano le policy definite. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con la certificazione ISO 27001. Inoltre nei rapporti AWS SOC 1 e SOC 2 vengono fornite ulteriori informazioni.
Sicurezza dei data center Autorizzazione area protetta
DCS-07.1
Si consente ai tenant di specificare in quale delle vostre aree geografiche possono essere inseriti/estratti i propri dati (per affrontare considerazioni di ordine giuridico in base alla posizione di memorizzazione dei dati rispetto al punto di accesso)?
I clienti AWS indicano in quale regione fisica saranno ubicati i propri dati. AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza avvisare il cliente, a meno che ciò non sia necessario in osservanza della legge o di richieste da parte di enti governativi. Le undici regioni attualmente esistenti sono: Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Irlanda), UE (Francoforte), Asia Pacifico (Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
Sicurezza dei data center Ingresso di persone non autorizzate
DCS-08.1
I punti di ingresso e di uscita, come le aree di servizio e altri punti in cui il personale non autorizzato può accedere ai locali, sono monitorati, controllati e isolati dal processo e dallo storage dei dati?
L'accesso fisico viene rigorosamente controllato sia lungo il perimetro che presso i punti di ingresso dell'edificio e include, a titolo esemplificativo, il personale addetto alla sicurezza che si avvale di sistemi di video sorveglianza e di rilevamento dell'intrusione e di altri dispositivi elettronici. Il personale autorizzato deve superare almeno due volte un controllo di autenticazione a due fattori per accedere ai piani dei data center. I punti di accesso fisico ai server vengono ripresi da un sistema di videocamere a circuito chiuso (CCTV) come previsto dalla policy sulla sicurezza fisica dei data center AWS. I meccanismi di sicurezza fisica AWS (AWS Physical Security Mechanisms) vengono verificati da revisori esterni indipendenti durante i controlli per la compliance con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
Sicurezza dei data center Accesso utente
DCS-09.1
Viene limitato l'accesso fisico agli asset delle informazioni e alle funzioni da parte degli utenti e del personale di supporto?
Gestione della crittografia e delle chiavi Diritto di accesso
EKM-01.1
Si dispone di policy per la gestione delle chiavi che vincolano le chiavi a titolari identificabili?
AWS permette ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. Anche le sessioni VPC sono crittografate. I clienti, inoltre, possono utilizzare AWS Key Management Systems (KMS) per creare e controllare le chiavi di crittografia (fare riferimento a https://aws.amazon.com/kms/). Internamente, AWS stabilisce e gestisce le chiavi crittografiche per i processi di crittografia impiegati all'interno dell'infrastruttura AWS. Un sistema di gestione sicuro delle chiavi e delle credenziali sviluppato da AWS viene utilizzato per creare, proteggere e distribuire chiavi simmetriche e per la sicurezza e la distribuzione di: credenziali AWS richieste sugli host, chiavi pubbliche/private RSA e certificazioni X.509. I processi crittografici AWS vengono verificati da revisori indipendenti di terze parti nell'ambito della compliance continua con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 38 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Gestione della crittografia e delle chiavi Generazione delle chiavi
EKM-02.1
È possibile consentire la
creazione di chiavi di
crittografia univoche per
ciascun tenant?
AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. I tunnel da IPSec a VPC sono anch'essi crittografati. I clienti, inoltre, possono utilizzare AWS Key Management Systems (KMS) per creare e controllare le chiavi di crittografia (fare riferimento a https://aws.amazon.com/kms/). Per maggiori dettagli su KMS fare riferimento ai rapporti AWS SOC. Per ulteriori dettagli, fare inoltre riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security. Internamente, AWS stabilisce e gestisce le chiavi crittografiche per i processi di crittografia impiegati all'interno dell'infrastruttura AWS. AWS produce, controlla e distribuisce chiavi crittografiche simmetriche all'interno del sistema informatico AWS utilizzando la tecnologia e i processi di gestione delle chiavi approvati dal NIST. Un sistema di gestione sicuro delle chiavi e delle credenziali sviluppato da AWS viene utilizzato per creare, proteggere e distribuire chiavi simmetriche e per la sicurezza e la distribuzione di: credenziali AWS richieste sugli host, chiavi pubbliche/private RSA e certificazioni X.509. I processi crittografici AWS vengono verificati da revisori indipendenti di terze parti nell'ambito della compliance continua con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
EKM-02.2
Offrite la possibilità di gestire le chiavi di crittografia per conto dei tenant?
EKM-02.3
Vengono adottate procedure di gestione delle chiavi?
EKM-02.4
Esiste una titolarità documentata per ogni fase del ciclo di vita delle chiavi di crittografia?
EKM-02.5
Vengono utilizzati framework di terze parti/open source/di proprietà per gestire le chiavi di crittografia?
Gestione della crittografia e delle chiavi Crittografia
EKM-03.1
I dati memorizzati (su disco/storage) vengono crittografati all'interno del proprio ambiente?
AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. I tunnel da IPSec a VPC sono anch'essi crittografati. I clienti, inoltre, possono utilizzare AWS Key Management Systems (KMS) per creare e controllare le chiavi di crittografia (fare riferimento a https://aws.amazon.com/kms/). Per maggiori dettagli su KMS fare riferimento ai rapporti AWS SOC. Per ulteriori dettagli, fare inoltre riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
EKM-03.2
Si ricorre alla crittografia per proteggere i dati e le immagini delle macchine virtuali durante il trasporto attraverso e tra le reti e le istanze hypervisor?
EKM-03.3
Le chiavi di crittografia generate dai tenant sono supportate o ai tenant viene consentito di crittografare i dati in un'identità senza accesso a un certificato a chiave pubblica (ad esempio crittografia basata su identità)?
EKM-03.4
Si dispone di una documentazione che stabilisca e definisca le policy, le procedure e le linee guida per la gestione della crittografia?
Crittografia e gestione delle chiavi Storage e accesso
EKM-04.1
Si dispone di una crittografia idonea per le piattaforme e i dati che utilizzi formati aperti/convalidati e algoritmi standard?
AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. I clienti, inoltre, possono utilizzare AWS Key Management Systems (KMS) per creare e controllare le chiavi di crittografia (fare riferimento a https://aws.amazon.com/kms/). Per maggiori dettagli su KMS fare riferimento ai rapporti AWS SOC.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 39 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
EKM-04.2
Le chiavi di crittografia sono gestite dal consumatore di servizi cloud o da un provider affidabile di servizi di gestione delle chiavi?
AWS stabilisce e gestisce le chiavi crittografiche per i processi di crittografia impiegati all'interno dell'infrastruttura AWS. AWS produce, controlla e distribuisce chiavi crittografiche simmetriche utilizzando la tecnologia e i processi di gestione delle chiavi approvati dal NIST all'interno del sistema informatico AWS. Un sistema di gestione sicuro delle chiavi e delle credenziali sviluppato da AWS viene utilizzato per creare, proteggere e distribuire chiavi simmetriche e per la sicurezza e la distribuzione di: credenziali AWS richieste sugli host, chiavi pubbliche/private RSA e certificazioni X.509. I processi crittografici AWS vengono verificati da revisori indipendenti di terze parti nell'ambito della compliance continua con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
EKM-04.3
Le chiavi di crittografia sono archiviate nel cloud?
EKM-04.4
Si dispone di compiti distinti per la gestione delle chiavi e l'utilizzo delle chiavi?
Governance e gestione del rischio Requisiti di baseline
GRM-01.1
Sono disponibili baseline documentate sulla sicurezza delle informazioni per ogni componente dell'infrastruttura (ad es. hypervisor, sistemi operativi, router, server DNS e così via)?
In linea con gli standard ISO 27001, AWS gestisce baseline del sistema per i componenti critici. Per ulteriori dettagli, fare riferimento agli standard ISO 27001, appendice A, domini 14 e 18. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. I clienti possono fornire la propria immagine di macchina virtuale. VM Import consente ai clienti di importare facilmente le immagini della macchina virtuale dall'ambiente esistente nelle istanze EC2 di Amazon. GRM-
01.2 È possibile eseguire un monitoraggio costante e indicare la compliance dell'infrastruttura in relazione alle baseline di sicurezza delle informazioni?
GRM-01.3
Ai clienti è consentito fornire la propria immagine di macchina virtuale collaudata, in modo da garantire la conformità ai propri standard interni?
Governance e gestione del rischio Valutazione dei rischi
GRM-02.1
Vengono forniti dati sullo stato di controllo della sicurezza, in modo da permettere ai tenant di implementare il monitoraggio continuo standard di settore (che consente la convalida continua del tenant del proprio stato di controllo fisico e logico)?
AWS pubblica certificazioni e rapporti di revisori indipendenti per fornire ai clienti numerose informazioni sulle policy, i processi e i controlli definiti e gestiti da AWS. Le certificazioni e i rapporti pertinenti possono essere forniti ai clienti AWS. Il monitoraggio continuo dei controlli logici può essere eseguito dai clienti nei propri sistemi.
GRM-02.2
Vengono effettuate valutazioni dei rischi associati ai requisiti di governance dei dati almeno una volta all'anno?
In linea con lo standard ISO 27001, AWS dispone di un programma di gestione del rischio per ridurre e gestire i rischi. AWS dispone inoltre della certificazione AWS ISO 27018. La conformità alla certificazione ISO 27018 dimostra ai clienti che AWS dispone di un sistema di controlli destinato specificamente alla tutela della privacy dei loro contenuti. Per ulteriori informazioni, fare riferimento alle domande frequenti sulla conformità AWS a ISO 27018 all'indirizzo http://aws.amazon.com/compliance/iso-27018-faqs/.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 40 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Governance e gestione del rischio Controllo della direzione
GRM-03.1
I dirigenti tecnici, commerciali ed esecutivi sono responsabili della sensibilizzazione e della conformità alle policy, procedure e standard di sicurezza per loro stessi e per i dipendenti, nella misura in cui si applicano all'ambito di responsabilità del dirigente e dei dipendenti?
In Amazon l'ambiente di controllo inizia al più alto livello dell'azienda. I dirigenti e l'alta dirigenza svolgono un ruolo importante nella definizione dei principi e dei valori seguiti dall'azienda. Ogni dipendente riceve il Codice di condotta aziendale ed etica e completa una formazione periodica. Vengono effettuati controlli in materia di compliance affinché i dipendenti comprendano e seguano le policy definite. Per ulteriori dettagli, fare riferimento al whitepaper AWS Risk and Compliance (Rischio e compliance AWS), disponibile all'indirizzo http://aws.amazon.com/compliance.
Governance e gestione del rischio Programma di gestione
GRM-04.1
Ai tenant viene fornita la documentazione in cui è descritto il programma di gestione della sicurezza delle informazioni (ISMP, Information Security Management Program)?
AWS fornisce ai clienti la certificazione ISO 27001. La certificazione ISO 27001 riguarda specificamente il sistema ISMS AWS e misura come i processi interni AWS seguono lo standard ISO. Per la certificazione è necessario che un revisore indipendente accreditato da una terza parte abbia eseguito una valutazione dei processi e dei controlli AWS e confermi che questi operano in linea con lo standard di certificazione ISO 27001. Per ulteriori informazioni fare riferimento alle domande frequenti sulla conformità AWS allo standard ISO 27001, disponibili nel sito Web: http://aws.amazon.com/compliance/iso-27001-faqs/.
GRM-04.2
Viene effettuato il controllo del programma di gestione della sicurezza delle informazioni (ISMP) almeno una volta all'anno?
Governance e gestione del rischio Coinvolgimento/supporto della direzione
GRM-05.1
Viene garantito che fornitori aderiscano alle policy relative a privacy e sicurezza delle informazioni?
AWS ha stabilito un framework e policy di sicurezza delle
informazioni, che ha integrato il framework certificabile ISO 27001
basato sui controlli ISO 27002, sui criteri Trust Services Principles
dell'American Institute of Certified Public Accountants (AICPA), sul
PCI DSS v3.1 e sulla National Institute of Standards and Technology
(NIST) Publication 800-53 (Recommended Security Controls for
Federal Information Systems).
AWS gestisce i rapporti con le terze parti in linea con gli standard
ISO 27001.
I requisiti delle terze parti AWS vengono verificati da revisori esterni
indipendenti durante i controlli per la compliance con gli standard
PCI DSS, ISO 27001 e FedRAMP.
Le informazioni relative ai programmi di compliance AWS sono
pubblicate sul sito Web disponibile all'indirizzo
http://aws.amazon.com/compliance/.
Governance e gestione del rischio Policy
GRM-06.1
Le policy adottate in relazione a privacy e sicurezza delle informazioni sono in linea con gli standard di settore (ISO-27001, ISO-22307, CoBIT e così via)?
GRM-06.2
Esistono accordi per garantire che fornitori aderiscano alle policy relative a privacy e sicurezza delle informazioni?
GRM-06.3
Si può dimostrare che è stata eseguita la mappatura di due diligence di controlli, architettura e procedure in base ai regolamenti e/o agli standard?
GRM-06.4
I controlli, gli standard, le certificazioni e/o i regolamenti a cui si è conformi sono resi pubblici?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 41 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Governance e gestione del rischio Applicazione delle policy
GRM-07.1
È stata stabilita una policy disciplinare o sanzionatoria formale per i dipendenti che hanno violato le policy e le procedure di sicurezza?
AWS ha implementato policy di sicurezza e fornisce formazione sulla sicurezza ai dipendenti per educarli sul loro ruolo e sulle responsabilità in relazione alla sicurezza delle informazioni. I dipendenti che violano gli standard o i protocolli di Amazon sono soggetti a indagini e vengono adottati gli opportuni provvedimenti disciplinari (ad esempio avvertimento, piano di prestazioni, sospensione e/o cessazione del rapporto di lavoro). Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security. Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 7. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
GRM-07.2
I dipendenti sono a conoscenza di quali azioni potrebbero essere intraprese in caso di violazione facendo riferimento a policy e procedure?
Governance e gestione del rischio Impatti sui cambiamenti aziendali/di policy
GRM-08.1
I risultati delle valutazioni dei rischi includono aggiornamenti di policy, procedure, standard e controlli di sicurezza per assicurare che rimangano pertinenti ed efficaci?
Gli aggiornamenti di policy, procedure, standard e controlli di sicurezza AWS vengono eseguiti una volta l'anno in conformità allo standard ISO 27001. Per ulteriori informazioni, fare riferimento allo standard ISO 27001. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con la certificazione ISO 27001.
Governance e gestione del rischio Revisione delle policy
GRM-09.1
I tenant sono informati quando vengono apportate modifiche sostanziali alle policy su privacy e sicurezza delle informazioni?
I whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS) e Risk and Compliance (Rischio e compliance), disponibili agli indirizzi http://aws.amazon.com/security e http://aws.amazon.com/compliance, vengono aggiornati periodicamente per riflettere gli aggiornamenti alle policy AWS.
GRM-09.2
Si eseguono valutazioni interne, come minimo annuali, delle policy in materia di privacy e sicurezza?
Nei rapporti AWS SOC sono forniti dettagli sulla valutazione delle policy in materia di privacy e sicurezza.
Governance e gestione del rischio Valutazioni
GRM-10.1
Le valutazioni dei rischi formali sono allineate con il quadro a livello aziendale ed eseguite almeno una volta l'anno, o a intervalli pianificati, per determinare la probabilità e l'impatto di tutti i rischi individuati, utilizzando metodi qualitativi e quantitativi?
In linea con lo standard ISO 27001, AWS ha sviluppato un programma di gestione del rischio per ridurre e gestire i rischi. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con la certificazione ISO 27001. Fare riferimento al whitepaper AWS Risk and Compliance (Rischio e compliance AWS) (disponibile all'indirizzo aws.amazon.com/security) per ulteriori dettagli sul framework di gestione del rischio AWS (RMF, Risk Management Framework).
GRM-10.2
La probabilità e l'impatto associati a rischio inerente e residuo sono determinati indipendentemente, considerando tutte le categorie di rischio (ad esempio risultati dei controlli, analisi di minacce e vulnerabilità, nonché conformità alle normative)?
Governance e gestione del rischio Programma
GRM-11.1
È presente un programma documentato per la gestione del rischio a livello dell'intera organizzazione?
In linea con lo standard ISO 27001, AWS dispone di un programma di gestione del rischio per ridurre e gestire i rischi.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 42 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
GRM-11.2
È resa disponibile la documentazione sul programma di gestione del rischio a livello dell'intera organizzazione?
La direzione di AWS dispone di un piano aziendale strategico che include l'identificazione del rischio e l'implementazione di controlli che limitano o gestiscono i rischi. La direzione di AWS rivaluta il piano aziendale strategico almeno ogni due anni. Questo processo richiede che la direzione identifichi i rischi che rientrano nelle sue aree di responsabilità e che implementi misure adeguate per affrontarli. Il programma di gestione del rischio AWS viene verificato da revisori esterni indipendenti durante i controlli per la compliance con gli standard PCI DSS, ISO 27001 e FedRAMP.
Risorse umane Rendiconti degli asset
HRS-01.1
Sono disponibili sistemi per monitorare le violazioni della privacy e avvertire rapidamente i tenant se un evento di privacy potrebbe avere avuto un impatto su i loro dati?
I clienti AWS hanno la responsabilità di monitorare il proprio ambiente per scongiurare violazioni della privacy. Nei rapporti AWS SOC è fornita una panoramica sui controlli disponibili per monitorare l'ambiente gestito AWS.
HRS-01.2
La policy sulla privacy di Amazon è conforme agli standard di settore?
Risorse umane Controlli dei precedenti penali
HRS-02.1
Ai sensi delle direttive locali, dei regolamenti, dell'etica e dei vincoli contrattuali, per tutti i candidati, gli appaltatori e le terze parti coinvolte vengono eseguite verifiche sulla storia personale?
AWS esegue controlli sui precedenti penali, nei limiti di quanto ammesso dalle leggi in vigore, come parte delle pratiche preliminari di selezione del personale, commisurati alla posizione del dipendente e al livello di accesso alle strutture AWS. Nei rapporti AWS SOC vengono fornite informazioni aggiuntive sui controlli presenti per la verifica dei precedenti penali.
Risorse umane Contratti di lavoro
HRS-03.1
I dipendenti ricevono formazione specifica in relazione al proprio ruolo e rispetto ai controlli di sicurezza delle informazioni che devono soddisfare?
In linea con lo standard ISO 27001, tutti i dipendenti AWS completano una formazione periodica basata sui ruoli che comprende la formazione AWS sulla sicurezza e per la quale è richiesta conferma di completamento. Vengono effettuati controlli in materia di compliance a cadenza periodica per assicurarsi che i dipendenti comprendano e seguano le policy definite. Per ulteriori dettagli fare riferimento ai rapporti SOC. Tutto il personale di supporto dei sistemi e dei dispositivi AWS deve firmare un accordo di non divulgazione prima dell'autorizzazione all'accesso. Inoltre, al momento dell'assunzione, il personale è tenuto a leggere e accettare l'Acceptable Use Policy (policy di utilizzo accettabile) e la policy Codice di condotta aziendale ed etica di Amazon.
HRS-03.2
La conferma di completamento della formazione da parte dei dipendenti viene documentata?
HRS-03.3
Esiste l'obbligo per tutto il personale di firmare accordi di riservatezza quale condizione per il rapporto di lavoro, a tutela delle informazioni dei clienti/tenant?
HRS-03.4
Si ritiene che il positivo completamento del programma di formazione entro il tempo stabilito sia un prerequisito per ottenere e mantenere l'accesso a sistemi sensibili?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 43 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
HRS-03.5
Il personale riceve un'idonea formazione e partecipa a programmi di sensibilizzazione almeno una volta all'anno?
Risorse umane Cessazione del rapporto di lavoro
HRS-04.1
Esistono policy, procedure e linee guida documentate per gestire la variazione delle procedure di lavoro o la cessazione del rapporto di lavoro?
Il team delle risorse umane AWS definisce le responsabilità di gestione interne da seguire per la cessazione e il cambio di ruolo di dipendenti e fornitori. Nei rapporti AWS SOC sono forniti dettagli aggiuntivi.
HRS-04.2
Le suddette procedure e linee guida comprendono disposizioni relative alla tempestiva revoca degli accessi e alla restituzione degli asset?
L'accesso è revocato automaticamente quando il profilo di un dipendente viene eliminato dal sistema delle risorse umane di Amazon. Quando una funzione lavorativa del dipendente cambia, l'accesso deve essere esplicitamente approvato per la risorsa o sarà revocato automaticamente. Nei rapporti AWS SOC vengono fornite ulteriori informazioni sulla revoca dell'accesso utente. Ulteriori informazioni sono inoltre fornite nel whitepaper sulla sicurezza AWS, sezione "Employee Lifecycle" (Ciclo di vita dei dipendenti). Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 7. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Risorse umane Dispositivi portatili/mobili
HRS-05.1
Sono state stabilite policy e procedure e adottate misure per limitare rigorosamente l'accesso ai dati sensibili AWS e ai dati dei tenant da dispositivi portatili e mobili (ad es. computer portatili, telefoni cellulari e PDA), che sono generalmente a più alto rischio rispetto ai dispositivi non portatili (ad esempio, computer desktop presso le strutture dell'organizzazione del fornitore)?
I clienti hanno il controllo e la responsabilità dei propri dati e degli asset media associati. È responsabilità del cliente gestire la sicurezza dei dispositivi mobili e l'accesso ai propri contenuti.
Risorse umane Accordi di riservatezza
HRS-06.1
I requisiti per gli accordi di non divulgazione o di riservatezza che riflettono le esigenze dell'organizzazione di protezione dei dati e i dettagli operativi sono identificati, documentati e riesaminati a intervalli pianificati?
L'ufficio legale di Amazon gestisce e rivede periodicamente l'accordo di riservatezza Amazon in modo da riflettere le esigenze aziendali di AWS.
Risorse umane Ruoli/responsabilità
HRS-07.1
Ai tenant viene fornito un documento di definizione dei ruoli che chiarisce le responsabilità amministrative di AWS rispetto a quelle del tenant?
Nei whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS) e AWS Risk and Compliance (Rischio e compliance AWS) sono forniti dettagli su ruoli e responsabilità di AWS e su quelle dei clienti. I whitepaper sono disponibili all'indirizzo: http://aws.amazon.com/security e http://aws.amazon.com/compliance.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 44 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Risorse umane Utilizzo accettabile
HRS-08.1
Viene fornita la documentazione su come AWS può utilizzare o accedere ai dati e/o ai metadati dei tenant?
AWS dispone di una policy di controllo dell'accesso che viene revisionata e aggiornata annualmente (o quando si verificano modifiche importanti al sistema in grado di influire sulla policy). La policy affronta argomenti come scopo, ambito, ruoli, responsabilità e coinvolgimento gestionale. AWS si avvale del principio del privilegio minimo, consentendo agli utenti soltanto l'accesso necessario per svolgere le proprie mansioni lavorative. I clienti hanno il controllo e la responsabilità dei propri dati e degli asset media associati. È responsabilità del cliente gestire la sicurezza dei dispositivi mobili e l'accesso ai propri contenuti. Per ulteriori informazioni fare riferimento allo standard ISO 27001 e al codice delle best practice ISO 27018. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con la certificazione ISO 27001 e ISO 27018.
HRS-08.2
Vengono raccolti o creati metadati relativi all'uso dei dati dei tenant attraverso l'utilizzo di tecnologie di ispezione (motori di ricerca e così via)?
HRS-08.3
Ai tenant è permesso di scegliere di non rendere i propri dati/metadati accessibili tramite tecnologie di ispezione?
Risorse umane Formazione/ sensibilizzazione
HRS-09.1
Viene fornito un programma di formazione per la sensibilizzazione alla sicurezza formale basato su ruoli per i problemi di accesso e gestione dei dati relativi al cloud (ad esempio, multi-tenancy, nazionalità, implicazioni e conflitti di interesse della separazione dei compiti del modello di erogazione cloud) a tutte le persone che hanno accesso ai dati dei tenant?
In linea con lo standard ISO 27001, tutti i dipendenti AWS completano una formazione periodica sulla sicurezza delle informazioni per la quale è richiesta conferma di completamento. Vengono effettuati controlli in materia di compliance a cadenza periodica per assicurarsi che i dipendenti comprendano e seguano le policy definite. Le responsabilità e i ruoli AWS vengono verificati da revisori esterni indipendenti durante i controlli per la compliance con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
HRS-09.2
Gli amministratori e i gestori dei dati sono adeguatamente istruiti sulle proprie responsabilità legali in materia di sicurezza e integrità dei dati?
Risorse umane Responsabilità dell'utente
HRS-10.1
Tutti gli utenti sono consapevoli delle proprie responsabilità di mantenere la sensibilizzazione e la conformità a policy, procedure, standard di sicurezza pubblicati e ai requisiti normativi applicabili?
AWS ha implementato vari metodi di comunicazione interna a livello globale per aiutare i dipendenti a comprendere i loro ruoli e le responsabilità individuali e a comunicare eventi significativi in modo tempestivo. Questi metodi includono programmi di orientamento e formazione per i neo-assunti, nonché messaggi di posta elettronica e la pubblicazione di informazioni attraverso l'intranet di Amazon. Fare riferimento allo standard ISO 27001, appendice A, domini 7 e 8. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. Il whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security, fornisce ulteriori informazioni.
HRS-10.2
Gli utenti sono consapevoli delle proprie responsabilità di mantenere un ambiente di lavoro sicuro e protetto?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 45 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
HRS-10.3
Gli utenti sono consapevoli delle proprie responsabilità di lasciare le apparecchiature non presidiate in modo sicuro?
Risorse umane Area di lavoro
HRS-11.1
Policy e procedure di gestione dei dati affrontano i conflitti di interesse a livello di servizio e tenant?
Le policy di gestione dei dati AWS sono conformi allo standard ISO 27001. Fare riferimento allo standard ISO 27001, appendice A, domini 8 e 9. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. Nei rapporti AWS SOC sono forniti dettagli aggiuntivi sulle attività di controllo specifiche eseguite da AWS per impedire l'accesso non autorizzato alle risorse AWS. AWS ha identificato categorie di eventi revisionabili sui sistemi e i dispositivi all'interno del sistema AWS. I team di servizio configurano le caratteristiche di revisione per registrare in modo continuo gli eventi relativi alla sicurezza in base ai requisiti. I record di controllo contengono una serie di elementi che supportano i requisiti di analisi necessari. Inoltre i record di controllo sono a disposizione del team di sicurezza AWS o di altri team autorizzati per eseguire ispezioni o analisi su richiesta e in risposta a eventi che riguardano la sicurezza o che hanno un'influenza sulle attività aziendali.
HRS-11.2
Policy e procedure di gestione dei dati comprendono una funzione di integrità software o antimanomissione per l'accesso non autorizzato ai dati dei tenant?
HRS-11.3
L'infrastruttura di gestione delle macchine virtuali include una funzione di integrità software o antimanomissione per rilevare modifiche alla build/configurazione della macchina virtuale?
Identity & Access Management Accesso agli strumenti di controllo
IAM-01.1
L'accesso ai sistemi di gestione della sicurezza delle informazioni viene limitato, registrato e monitorato (ad es. hypervisor, firewall, scanner di vulnerabilità, sniffer di rete, API e così via)?
In linea con gli standard ISO 27001, AWS ha definito policy formali e procedure atte a delineare gli standard minimi per l'accesso logico alle risorse AWS. I rapporti AWS SOC illustrano i controlli in atto per la gestione del provisioning degli accessi alle risorse AWS. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 46 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
IAM-01.2
L'accesso con privilegi (livello amministratore) ai sistemi di gestione della sicurezza delle informazioni viene monitorato e registrato?
AWS ha identificato categorie di eventi revisionabili sui sistemi e i dispositivi all'interno del sistema AWS. I team di servizio configurano le caratteristiche di revisione per registrare in modo continuo gli eventi relativi alla sicurezza in base ai requisiti. Il sistema di storage del log è progettato per offrire un servizio altamente scalabile e disponibile che aumenta in modo automatico la capacità contemporaneamente alla crescita della richiesta di storage del log. I record di controllo contengono una serie di elementi che supportano i requisiti di analisi necessari. Inoltre i record di controllo sono a disposizione del team di sicurezza AWS o di altri team autorizzati per eseguire ispezioni o analisi su richiesta e in risposta a eventi che riguardano la sicurezza o che hanno un'influenza sulle attività aziendali. Il personale incaricato che fa parte dei team AWS riceve avvisi automatici in caso di errore di fallimento di un controllo. Errori di fallimento di un controllo comprendono ad esempio errori software/hardware. Quando riceve l'avviso, il personale reperibile invia un ticket relativo al problema e segue l'evento fino alla sua risoluzione. I processi di log e monitoraggio AWS vengono verificati da revisori indipendenti di terze parti nell'ambito della compliance continua con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
Identity & Access Management Policy di accesso degli utenti
IAM-02.1
Sono stati implementati controlli per garantire la rimozione tempestiva dell'accesso ai sistemi non più necessario per motivi di lavoro?
Nei rapporti AWS SOC vengono fornite ulteriori informazioni sulla revoca dell'accesso utente. Ulteriori informazioni sono inoltre fornite nel whitepaper sulla sicurezza AWS, sezione "Employee Lifecycle" (Ciclo di vita dei dipendenti). Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 9. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
IAM-02.2
Vengono forniti parametri per tenere traccia della velocità con cui si è in grado di rimuovere l'accesso ai sistemi non più necessario per motivi di lavoro?
Identity & Access Management Accesso porte di diagnostica/configurazione
IAM-03.1
Vengono utilizzate reti sicure dedicate per fornire accesso alla gestione per l'infrastruttura del servizio cloud?
I controlli esistenti limitano l'accesso ai sistemi e ai dati e prevedono che l'accesso ai sistemi o ai dati sia limitato e monitorato secondo la policy di accesso AWS. I dati dei clienti e le istanze server, inoltre, sono isolati a livello logico da quelli di altri clienti per impostazione predefinita. I controlli sugli accessi da parte di utenti con privilegi sono verificati da un revisore indipendente durante i controlli AWS SOC, ISO 27001, PCI, ITAR e FedRAMP. Identity & Access
Management Policy e procedure
IAM-04.1
È stata implementata la gestione e l'archiviazione dell'identità di tutto il personale che ha accesso all'infrastruttura IT, compreso il livello di accesso?
IAM-04.2
È stata implementata la gestione e l'archiviazione dell'identità degli utenti che hanno accesso alla rete, compreso il livello di accesso?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 47 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Identity & Access Management Separazione dei compiti
IAM-05.1
Ai tenant viene fornita la documentazione su come mantenere la separazione dei compiti all'interno dell'offerta di servizi cloud?
I clienti mantengono la capacità di gestire le separazioni dei compiti delle loro risorse AWS. Internamente, AWS è conforme agli standard ISO 27001 per la gestione della separazione dei compiti. Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 6.1. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Identity & Access Management Restrizione dell'accesso al codice sorgente
IAM-06.1
Sono presenti controlli per impedire l'accesso non autorizzato all'applicazione, al programma o al codice sorgente oggetto e per garantire che l'accesso sia limitato solo al personale autorizzato?
In linea con gli standard ISO 27001, AWS ha definito policy formali e procedure atte a delineare gli standard minimi per l'accesso logico alle risorse AWS. I rapporti SOC di AWS illustrano i controlli in atto per la gestione del provisioning degli accessi alle risorse AWS. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
IAM-06.2
Sono presenti controlli per impedire l'accesso non autorizzato all'applicazione, al programma o al codice sorgente oggetto dei tenant e per garantire che l'accesso sia limitato solo al personale autorizzato?
Identity & Access Management Accesso di terze parti
IAM-07.1
Viene fornita la funzionalità di disaster recovery multi-failure?
AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche e in più zone di disponibilità all'interno di ogni regione. Ciascuna zona di disponibilità è progettata per essere indipendente dai guasti delle altre zone. In caso di problemi, i processi automatizzati spostano il traffico dati del cliente dall'area colpita. I rapporti AWS SOC forniscono ulteriori dettagli. Per ulteriori informazioni, fare riferimento allo standard ISO 27001, appendice A, dominio 15. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con la certificazione ISO 27001.
IAM-07.2
La continuità del servizio con i fornitori a monte viene monitorata in caso di inadempienza del fornitore?
IAM-07.3
Si dispone di più di un fornitore per ogni servizio da cui si dipende?
IAM-07.4
Viene fornito accesso ai riepiloghi di continuità e ridondanza operativa, compresi i servizi da cui si dipende?
IAM-07.5
Ai tenant è offerta la possibilità di dichiarare una situazione grave?
IAM-07.6
Viene fornita un'opzione di failover attivata dal tenant?
IAM-07.7
I piani di ridondanza e continuità dell'azienda vengono condivisi con i tenant?
Identity & Access Management Restrizione/ autorizzazione dell'accesso utente
IAM-08.1
La modalità di autorizzazione e approvazione dell'accesso ai dati del tenant viene documentata?
I clienti AWS detengono il controllo e la proprietà dei propri dati. I controlli esistenti limitano l'accesso ai sistemi e ai dati e prevedono che l'accesso ai sistemi o ai dati sia limitato e monitorato. Inoltre, i dati dei clienti e le istanze dei server sono isolati logicamente da quelli di altri clienti per impostazione predefinita. I controlli sugli accessi da parte di utenti con privilegi sono verificati da un revisore indipendente durante i controlli AWS SOC, ISO 27001, PCI, ITAR e FedRAMP.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 48 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
IAM-08.2
Si utilizza un metodo specifico per allineare le metodologie di classificazione dei dati di tenant e fornitore ai fini di controllo degli accessi?
Identity & Access Management Autorizzazione dell'accesso utente
IAM-09.1
La direzione esegue il provisioning delle autorizzazioni e delle limitazioni dell'accesso utente (ad es. di dipendenti, appaltatori, clienti (tenant), partner commerciali e/o fornitori) prima del loro accesso ai dati e a qualsiasi applicazione, sistema dell'infrastruttura e componente di rete di proprietà o gestito (fisico e virtuale)?
Gli identificatori unici dell'utente vengono creati nell'ambito del processo del flusso di lavoro che riguarda l'inserimento del personale all'interno del sistema di gestione delle risorse umane AWS. Il processo di fornitura dei dispositivi aiuta a garantire l'assegnazione di identificatori unici. Entrambi i processi comportano l'approvazione da parte del responsabile per determinare l'account utente sul dispositivo. Gli autenticatori iniziali vengono assegnati direttamente all'utente e ai dispositivi nell'ambito del processo di fornitura. Gli utenti interni possono associare le chiavi pubbliche SSH al proprio account. Gli autenticatori dell'account del sistema vengono assegnati al richiedente nell'ambito del processo di creazione dell'account dopo che l'identità del richiedente è stata verificata.
IAM-09.2
Viene fornito l'accesso utente su richiesta (ad es. a dipendenti, appaltatori, clienti (tenant), partner commerciali e/o fornitori) ai dati e a qualsiasi applicazione, sistema dell'infrastruttura e componente di rete di proprietà o gestito (fisico e virtuale)?
AWS dispone di controlli per gestire la minaccia di accessi non autorizzati a informazioni privilegiate. Tutte le certificazioni e le attestazioni di terze parti effettuano una valutazione dei controlli di prevenzione e rilevazione degli accessi logici. Valutazioni periodiche del rischio, inoltre, sono incentrate sulle modalità di controllo e monitoraggio dell'accesso a informazioni privilegiate.
Identity & Access Management Analisi degli accessi utente
IAM-10.1
Viene richiesta almeno la certificazione annuale dei diritti per tutti gli utenti e gli amministratori di sistema (esclusivi di utenti gestiti dai tenant)?
In linea con lo standard ISO 27001, tutte le autorizzazioni concesse vengono riesaminate periodicamente; è richiesta l'approvazione specifica, altrimenti l'accesso alla risorsa viene revocato automaticamente. I controlli specifici delle analisi degli accessi utente sono descritti specificatamente nei rapporti SOC. Le eccezioni nei controlli dei diritti utente sono documentate nei rapporti SOC. Per ulteriori dettagli, fare riferimento agli standard ISO 27001, appendice A, dominio 9. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
IAM-10.2
Se viene rilevato che degli utenti non dispongono di diritti appropriati, vengono registrate tutte le azioni di correzione e di certificazione?
IAM-10.3
I rapporti di correzione e certificazione dei diritti utente verranno condivisi con i tenant nel caso in cui sia stato consentito un accesso improprio ai dati dei tenant?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 49 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Identity & Access Management Revoca dell'accesso utente
IAM-11.1
Il deprovisioning, la revoca o la modifica tempestiva dell'accesso utente ai sistemi delle organizzazioni, agli asset delle informazioni e ai dati sono implementati a ogni cambiamento di stato di dipendenti, appaltatori, clienti, partner commerciali o terze parti coinvolte?
L'accesso è revocato automaticamente quando il profilo di un dipendente viene eliminato dal sistema delle risorse umane di Amazon. Quando una funzione lavorativa del dipendente cambia, l'accesso deve essere esplicitamente approvato per la risorsa o sarà revocato automaticamente. Nei rapporti AWS SOC vengono fornite ulteriori informazioni sulla revoca dell'accesso utente. Ulteriori informazioni sono inoltre fornite nel whitepaper sulla sicurezza AWS, sezione "Employee Lifecycle" (Ciclo di vita dei dipendenti). Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 9. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. IAM-
11.2 Qualsiasi cambiamento di stato dell'accesso utente è destinato a includere la cessazione del rapporto di lavoro, del contratto o dell'accordo, il cambiamento del posto di lavoro o il trasferimento all'interno dell'organizzazione?
Identity & Access Management Credenziali ID utente
IAM-12.1
L'utilizzo di soluzioni SSO (Single Sign On) basate sul cliente, o l'integrazione con esse, è supportato nel servizio offerto?
Il servizio AWS Identity and Access Management (IAM) fornisce la federazione delle identità alla console di gestione AWS. L'autenticazione a più fattori è una funzionalità opzionale utilizzabile dai clienti. Per ulteriori dettagli, fare riferimento al sito Web di AWS all'indirizzo http://aws.amazon.com/mfa. Il servizio AWS Identity and Access Management (IAM) supporta la federazione delle identità per l'accesso delegato alla console di gestione AWS o ad API AWS. Con la federazione delle identità, le identità esterne (utenti federati) possono accedere in modo sicuro alle risorse dell'account AWS senza necessità di creare utenti IAM. Tali identità esterne possono provenire dal provider delle identità aziendali (ad es. Microsoft Active Directory oppure da AWS Directory Service) oppure da un provider di identità Web, come Amazon Cognito, Login with Amazon, Facebook, Google o qualsiasi provider compatibile con OpenID Connect (OIDC).
IAM-12.2
Sono utilizzati standard aperti per delegare le funzionalità di autenticazione ai tenant?
IAM-12.3
Gli standard della federazione delle identità (SAML, SPML, WS-Federation e così via) sono supportati come mezzo di autenticazione/autorizzazione degli utenti?
IAM-12.4
Si dispone di una funzionalità Policy Enforcement Point (ad esempio, XACML) per far rispettare i vincoli giuridici regionali e delle policy in materia di accesso degli utenti?
IAM-12.5
È stato implementato un sistema di gestione delle identità (che consenta la classificazione dei dati di un tenant) per consentire accesso ai dati basato sia sul ruolo sia sul contesto?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 50 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
IAM-12.6
Ai tenant vengono fornite complesse opzioni di autenticazione (multifattore) (certificati digitali, token, biometrica e così via) per l'accesso degli utenti?
IAM-12.7
Ai tenant è permesso utilizzare servizi di garanzia delle identità di terze parti?
IAM-12.8
È supportata l'applicazione di policy relative alle password (lunghezza minima, durata, cronologia, complessità) e al blocco degli account (limite per il blocco, durata del blocco)?
AWS Identity and Access Management (IAM) consente ai clienti di controllare in modo sicuro l'accesso ai servizi e alle risorse AWS per gli utenti. Ulteriori informazioni su IAM sono disponibili nel sito Web, all'indirizzo https://aws.amazon.com/iam/. Nei rapporti AWS SOC sono forniti dettagli sulle attività di controllo specifiche eseguite da AWS.
IAM-12.9
Si consente ai tenant/clienti di definire policy relative alle password e al blocco degli account per i propri account?
IAM-12.10
È supportata la possibilità di forzare modifiche delle password alla prima connessione?
IAM-12.11
Sono stati implementati meccanismi di sblocco degli account che sono stati bloccati (ad es. self-service tramite e-mail, domande di recupero definite, sblocco manuale)?
Identity & Access Management Accesso ai programmi di utilità
IAM-13.1
I programmi di utilità in grado di gestire in modo significativo le partizioni virtualizzate (ad es. arresto, clone e così via) sono limitati e monitorati in modo appropriato?
In linea con gli standard ISO 27001, le utilità di sistema sono opportunamente limitate e monitorate. Nei rapporti AWS SOC sono forniti dettagli sulle attività di controllo specifiche eseguite da AWS. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
IAM-13.2
È possibile rilevare gli attacchi che prendono di mira direttamente l'infrastruttura virtuale (ad es. shimming, Blue Pill, Hyper jumping e così via)?
IAM-13.3
Gli attacchi che prendono di mira l'infrastruttura virtuale vengono prevenuti con controlli tecnici?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 51 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Sicurezza infrastrutturale e della virtualizzazione Log di controllo/rilevamento delle intrusioni
IVS-01.1
Sono stati implementati strumenti di rilevamento delle intrusioni di rete (IDS) e di integrità dei file (host) per facilitare il rilevamento tempestivo, le indagini tramite analisi delle cause principali e la risposta agli eventi imprevisti?
Il programma di risposta agli incidenti AWS (rilevamento, indagine e risposta agli incidenti) è stato sviluppato in conformità allo standard ISO 27001 e le utilità di sistema sono opportunamente limitate e monitorate. Nei rapporti AWS SOC vengono fornite ulteriori informazioni sui controlli esistenti per limitare l'accesso al sistema. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
IVS-01.2
L'accesso utente fisico e logico ai log di controllo è limitato al personale autorizzato?
IVS-01.3
Si può dimostrare che è stata eseguita la mappatura di due diligence dei regolamenti e degli standard per controlli/architettura/ processi?
IVS-01.4
I log di controllo sono archiviati e conservati centralmente?
In linea con gli standard ISO 27001, i sistemi informatici di AWS utilizzano orologi interni al sistema sincronizzati tramite NTP (Network Time Protocol). AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. AWS utilizza sistemi di monitoraggio automatizzati per offrire un alto livello di prestazioni e disponibilità del servizio. Il monitoraggio proattivo è disponibile attraverso una varietà di strumenti online sia per uso interno che per uso esterno. I sistemi all'interno di AWS sono altamente strumentati per monitorare i parametri operativi chiave. Gli allarmi sono configurati in modo da inviare notifiche al personale che si occupa del funzionamento e della gestione nel momento in cui vengono superate le soglie di notifica sui parametri operativi chiave. Viene utilizzata una pianificazione della reperibilità in modo che il personale sia sempre disponibile per rispondere ai problemi operativi. Questa pianificazione comprende un sistema cercapersone in modo che gli allarmi siano comunicati in modo rapido e affidabile al personale operativo. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
IVS-01.5
I log di controllo sono verificati periodicamente per individuare eventi legati alla sicurezza (ad es. con strumenti automatizzati)?
Sicurezza infrastrutturale e della virtualizzazione Rilevazione delle modifiche
IVS-02.1
Sono disponibili log e avvisi per le eventuali modifiche apportate alle immagini di macchine virtuali, indipendentemente dal loro stato di funzionamento (ad es. inattive, spente o operative)?
Ai clienti vengono assegnate macchine virtuali nell'ambito del servizio EC2. I clienti mantengono il controllo su quali risorse vengono utilizzate e su dove le risorse risiedono. Per ulteriori dettagli, fare riferimento al sito Web di AWS all'indirizzo http://aws.amazon.com.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 52 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
IVS-02.2
Le modifiche apportate alle macchine virtuali o lo spostamento di un'immagine e la successiva convalida dell'integrità dell'immagine sono resi immediatamente disponibili ai clienti tramite mezzi elettronici (ad es. portali o avvisi)?
Sicurezza infrastrutturale e della virtualizzazione Sincronizzazione dell'orologio
IVS-03.1
Viene utilizzato un protocollo servizio-tempo sincronizzato (ad es. NTP) per garantire che tutti i sistemi abbiano un riferimento temporale comune?
In linea con gli standard ISO 27001, i sistemi informatici di AWS utilizzano orologi interni al sistema sincronizzati tramite NTP (Network Time Protocol). AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Sicurezza infrastrutturale e della virtualizzazione Pianificazione di capacità/risorse
IVS-04.1
Viene fornita la documentazione relativa ai livelli di richieste in eccesso dei sistemi (ad esempio rete, storage, memoria, I/O e così via) gestiti e in quali circostanze/scenari?
Per ulteriori informazioni sui limiti dei servizi AWS e su come richiedere un aumento per servizi specifici, consultare il sito Web di AWS all'indirizzo http://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html. AWS gestisce i dati di capacità e utilizzo in conformità allo standard ISO 27001. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. IVS-
04.2 Viene limitato l'utilizzo delle capacità di richieste di memoria in eccesso presenti nell'hypervisor?
IVS-04.3
I requisiti di capacità del sistema tengono conto delle esigenze di capacità attuali, previste e anticipate di tutti i sistemi utilizzati per fornire i servizi ai tenant?
IVS-04.4
Si esegue il monitoraggio e l'ottimizzazione delle prestazioni del sistema per soddisfare in maniera continuativa i requisiti normativi, contrattuali e aziendali di tutti i sistemi utilizzati per fornire servizi ai tenant?
Sicurezza infrastrutturale e della virtualizzazione Gestione - gestione delle vulnerabilità
IVS-05.1
Si dispone di strumenti o servizi di valutazione delle vulnerabilità di sicurezza che tengano conto delle tecnologie di virtualizzazione in uso (ad es. ottimizzati per la virtualizzazione)?
Attualmente, Amazon EC2 utilizza una versione dell'hypervisor Xen con elevata personalizzazione. L'hypervisor viene sottoposto a valutazioni regolari sulle vulnerabilità nuove ed esistenti e sui vettori di attacco da parte di team di intrusione interni ed esterni ed è idoneo a mantenere un forte isolamento tra macchine virtuali ospiti. La sicurezza dell'hypervisor AWS Xen viene verificata regolarmente da revisori indipendenti durante valutazioni e controlli. Le scansioni per individuare vulnerabilità interne ed esterne vengono eseguite sul sistema operativo host, sull'applicazione Web e sui database nell'ambiente AWS utilizzando diversi strumenti. Le procedure di scansione e correzione delle vulnerabilità vengono revisionate periodicamente nell'ambito della compliance continua AWS con gli standard PCI DSS e FedRAMP.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 53 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Sicurezza infrastrutturale e della virtualizzazione Sicurezza di rete
IVS-06.1
Per l'offerta IaaS, ai clienti viene fornita una guida su come creare un'architettura di sicurezza stratificata equivalente utilizzando la soluzione virtualizzata?
Il sito Web AWS fornisce una guida sulla creazione di un'architettura di sicurezza stratificata in diversi whitepaper disponibili tramite il sito Web AWS pubblico: http://aws.amazon.com/documentation/.
IVS-06.2
Vengono eseguiti aggiornamenti periodici dei diagrammi dell'architettura di rete che includono i flussi di dati tra domini/zone di sicurezza?
I dispositivi di protezione perimetrale che impiegano set di regole, liste di controllo accessi e configurazioni controllano il flusso di informazioni tra i fabric di rete. Amazon dispone di numerosi fabric di rete, ognuno separato da dispositivi che controllano il flusso di informazioni tra i fabric, che viene definito da autorizzazioni approvate, sotto forma di liste di controllo accessi (ACL), che a loro volta si trovano all'interno dei dispositivi. Questi dispositivi controllano il flusso di informazioni tra i fabric come ordinato dalle liste. Le liste di controllo accessi sono definite e approvate dal personale preposto e gestite e distribuite utilizzando lo strumento di gestione ACL AWS. Il team della sicurezza delle informazioni di Amazon approva queste ACL. I set di regole sul firewall approvate e le liste di controllo accessi tra i fabric di rete limitano il flusso di informazioni ai servizi specifici del sistema informatico. Le liste di controllo accessi e i set di regole vengono verificati e approvati e trasmessi periodicamente in modo automatico ai dispositivi di protezione perimetrale (almeno ogni 24 ore) per garantire l'aggiornamento dei set di regole e delle liste di controllo accessi. La gestione della rete AWS viene verificata da revisori indipendenti di terze parti nell'ambito della compliance con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP. AWS implementa il privilegio minimo nei componenti dell'infrastruttura. AWS proibisce tutte le porte e i protocolli che non hanno uno scopo aziendale specifico. AWS segue un approccio rigoroso all'implementazione minima esclusivamente delle caratteristiche e delle funzioni essenziali per l'utilizzo del dispositivo. Viene eseguita la scansione della rete e le porte o protocolli in uso non necessari vengono corretti. Le scansioni per individuare vulnerabilità interne ed esterne vengono eseguite sul sistema operativo host, sull'applicazione Web e sui database nell'ambiente AWS utilizzando diversi strumenti. Le procedure di scansione e correzione delle vulnerabilità vengono revisionate periodicamente nell'ambito della compliance continua AWS con gli standard PCI DSS e FedRAMP.
IVS-06.3
Viene eseguita una verifica periodica dell'adeguatezza degli accessi/connettività consentiti (ad es. regole del firewall) tra domini/zone di sicurezza all'interno della rete?
IVS-06.4
Si dispone di una documentazione delle liste di controllo accessi al firewall con adeguata giustificazione?
Sicurezza infrastrutturale e della virtualizzazione Protezione avanzata del sistema operativo e controlli base
IVS-07.1
Si dispone di una protezione avanzata per i sistemi operativi che consenta di fornire solo le porte, i protocolli e i servizi necessari a soddisfare le esigenze aziendali, con l'utilizzo di controlli tecnici (ossia e ntivirus, monitoraggio dell'integrità dei file e log) facenti parte del loro standard o modello baseline?
Sicurezza infrastrutturale e della virtualizzazione Ambienti di produzione/non destinati alla produzione
IVS-08.1
Per le offerte SaaS o PaaS, ai tenant vengono forniti ambienti separati per i processi di produzione e test?
I clienti AWS mantengono la capacità e la responsabilità di creare e gestire ambienti di produzione e di test. Il sito Web AWS fornisce una guida sulla creazione di un ambiente utilizzando i servizi AWS: http://aws.amazon.com/documentation/.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 54 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
IVS-08.2
Per l'offerta IaaS, ai tenant viene fornita una guida su come creare ambienti di produzione e test adeguati?
IVS-08.3
Viene effettuata la separazione logica e fisica per garantire la separazione degli ambienti di produzione e non destinati alla produzione?
I clienti AWS mantengono la responsabilità di gestire la propria segmentazione di rete conformemente ai requisiti definiti. Internamente, la segmentazione di rete AWS è conforme agli standard ISO 27001. Per ulteriori informazioni, fare riferimento allo standard ISO 27001, appendice A, dominio 13. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. Sicurezza
infrastrutturale e della virtualizzazione Segmentazione
IVS-09.1
Gli ambienti di rete e di sistema sono protetti da un firewall o un firewall virtuale per soddisfare i requisiti di sicurezza di azienda e cliente?
IVS-09.2
Gli ambienti di rete e di sistema sono protetti da un firewall o un firewall virtuale per soddisfare i requisiti legislativi, normativi e contrattuali?
IVS-09.3
Gli ambienti di rete e di sistema sono protetti da un firewall o firewall virtuale per garantire la separazione degli ambienti di produzione e non destinati alla produzione?
IVS-09.4
Gli ambienti di rete e di sistema sono protetti da un firewall o un firewall virtuale per garantire la protezione e l'isolamento dei dati sensibili?
Sicurezza infrastrutturale e della virtualizzazione Sicurezza VM - Protezione dei dati vMotion
IVS-10.1
Si utilizzano canali di comunicazione protetti e crittografati per la migrazione di server fisici, applicazioni o dati nei server virtuali?
AWS permette ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. Anche le sessioni VPC sono crittografate.
IVS-10.2
Si utilizza una rete separata dalle reti impiegate per la produzione, ai fini della migrazione di server fisici, applicazioni o dati nei server virtuali?
I clienti AWS detengono il controllo e la proprietà dei propri dati. AWS offre ai clienti la possibilità di gestire e sviluppare ambienti di produzione e non destinati alla produzione. È responsabilità del cliente assicurarsi che i propri dati di produzione non vengano replicati in ambienti non destinati alla produzione.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 55 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Sicurezza infrastrutturale e della virtualizzazione Sicurezza VMM - Protezione avanzata dell'hypervisor
IVS-11.1
Si limita l'accesso del personale a tutte le funzioni di gestione dell'hypervisor o alle console di amministrazione dei sistemi che ospitano sistemi virtualizzati sulla base del principio del privilegio minimo e con l'ausilio di controlli tecnici (ad es. autenticazione a due fattori, audit trail, filtro degli indirizzi IP, firewall e comunicazioni con incapsulamento TLS per le console di amministrazione)?
AWS si avvale del principio del privilegio minimo, consentendo agli utenti soltanto l'accesso necessario per svolgere le proprie mansioni lavorative. Gli account utente vengono creati per disporre dell'accesso minimo. Per accedere a livelli superiori rispetto a quello minimo è necessario ottenere l'autorizzazione adeguata. Per maggiori informazioni sui controlli sugli accessi fare riferimento ai rapporti AWS SOC.
Sicurezza infrastrutturale e della virtualizzazione Sicurezza wireless
IVS-12.1
Sono state stabilite policy e procedure e sono stati configurati e implementati meccanismi per la protezione del perimetro dell'ambiente di rete wireless e per limitare il traffico wireless non autorizzato?
Sono presenti policy, procedure e meccanismi per proteggere l'ambiente di rete AWS. I controlli di sicurezza AWS vengono verificati da revisori esterni indipendenti durante i controlli per la compliance con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
IVS-12.2
Sono state stabilite policy e procedure e sono stati implementati meccanismi per garantire l'attivazione delle impostazioni di sicurezza wireless con crittografia avanzata per l'autenticazione e la trasmissione, in sostituzione delle impostazioni predefinite del fornitore (ad esempio, chiavi di crittografia, password, stringhe community SNMP)?
IVS-12.3
Sono state stabilite policy e procedure e sono stati implementati meccanismi per proteggere gli ambienti di rete wireless e rilevare la presenza di dispositivi di rete non autorizzati (rogue) per una disconnessione tempestiva dalla rete?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 56 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Sicurezza infrastrutturale e della virtualizzazione Architettura di rete
IVS-13.1
I diagrammi dell'architettura di rete identificano chiaramente gli ambienti ad alto rischio e i flussi di dati che potrebbero avere ripercussioni sulla conformità legale?
I clienti AWS mantengono la responsabilità di gestire la propria segmentazione di rete conformemente ai requisiti definiti. Internamente, la segmentazione di rete AWS è conforme allo standard ISO 27001. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
IVS-13.2
Sono state applicate misure e tecniche difensive valide (ad es. analisi approfondita dei pacchetti, limitazione del traffico e blackholing) per il rilevamento e la reazione tempestiva ad attacchi basati sulla rete associati a modelli anomali di traffico in ingresso e in uscita (ad es. attacchi MAC spoofing e ARP poisoning) e/o attacchi Distributed Denial of Service (DDoS)?
AWS Security esegue scansioni regolari di tutti gli indirizzi IP dell'endpoint del servizio connessi a Internet per individuare le vulnerabilità (tali scansioni non includono le istanze dei clienti). AWS Security notifica alle parti interessate le eventuali vulnerabilità identificate a cui è necessario porre rimedio. Vengono inoltre eseguite valutazioni di vulnerabilità alle minacce esterne da parte di società indipendenti operanti nel settore della sicurezza. I risultati di tali valutazioni e le relative raccomandazioni sono categorizzati e forniti alla direzione di AWS. Inoltre, l'ambiente di controllo AWS è soggetto a periodiche valutazioni del rischio interne ed esterne. AWS collabora con organi di certificazione esterni e revisori indipendenti per verificare e testare l'ambiente di controllo AWS nel suo insieme. I controlli di sicurezza AWS vengono verificati da revisori esterni indipendenti durante i controlli per la compliance con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
Interoperabilità e portabilità API
IPY-01
Viene pubblicato un elenco di tutte le API disponibili nel servizio, con l'indicazione di quali sono standard e di quali sono invece personalizzate?
Per ulteriori informazioni sulle API AWS, consultare il sito Web di AWS all'indirizzo https://aws.amazon.com/documentation/. In linea con gli standard ISO 27001, AWS ha definito policy formali e procedure atte a delineare gli standard minimi per l'accesso logico alle risorse AWS. I rapporti AWS SOC illustrano i controlli in atto per la gestione del provisioning degli accessi alle risorse AWS. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
Interoperabilità e portabilità Richiesta dati
IPY-02
I dati non strutturati dei clienti sono disponibili su richiesta in un formato standard del settore (ad es. .doc, .xls o .pdf)?
Interoperabilità e portabilità Policy e aspetti legali
IPY-03.1
Vengono fornite policy e procedure (ossia contratti sul livello di servizio) che disciplinano l'utilizzo delle API ai fini dell'interoperabilità tra il servizio AWS e le applicazioni di terze parti?
IPY-03.2
Vengono fornite policy e procedure (ossia contratti sul livello di servizio) che disciplinano la migrazione dei dati delle applicazioni da e verso il servizio?
I clienti detengono il controllo e la proprietà dei propri contenuti. I clienti possono scegliere come migrare le applicazioni e i contenuti da e verso la piattaforma AWS, a loro discrezione.
Interoperabilità e portabilità Protocolli di rete standardizzati
IPY-04.1
È possibile importare ed esportare dati e gestire servizi su protocolli di rete standardizzati, accettati nel settore e sicuri (ad esempio, con testo crittografato e autenticazione)?
AWS permette ai clienti di spostare i dati all'interno e fuori dallo storage AWS in base alle necessità. Per ulteriori informazioni sulle opzioni di storage, fare riferimento a http://aws.amazon.com/choosing-a-cloud-platform.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 57 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
IPY-04.2
Ai clienti (tenant) viene fornita una documentazione che descriva nei dettagli gli standard dei protocolli di rete pertinenti relativi a interoperabilità e portabilità?
Interoperabilità e portabilità Virtualizzazione
IPY-05.1
Per garantire l'interoperabilità si utilizzano una piattaforma di virtualizzazione riconosciuta dal settore e formati di virtualizzazione standard (ad esempio, OVF)?
Attualmente, Amazon EC2 utilizza una versione dell'hypervisor Xen con elevata personalizzazione. L'hypervisor viene sottoposto a valutazioni regolari sulle vulnerabilità nuove ed esistenti e sui vettori di attacco da parte di team di intrusione interni ed esterni ed è idoneo a mantenere un forte isolamento tra macchine virtuali ospiti. La sicurezza dell'hypervisor AWS Xen viene verificata regolarmente da revisori indipendenti durante valutazioni e controlli. Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security. IPY-
05.2 I clienti hanno la possibilità di esaminare le modifiche personalizzate e documentate apportate agli hypervisor in uso e tutti i punti di aggancio per la virtualizzazione specifici per soluzione?
Sicurezza dei dispositivi mobili Anti-malware
MOS-01
La formazione di sensibilizzazione alla sicurezza delle informazioni include una formazione anti-malware specifica per dispositivi mobili?
Il programma, i processi e le procedure AWS per la gestione del software antivirus/malware sono conformi agli standard ISO 27001. Per ulteriori informazioni, fare riferimento allo standard ISO 27001, appendice A, dominio 12.
Sicurezza dei dispositivi mobili Store di applicazioni
MOS-02
Gli elenchi di store approvati di applicazioni per dispositivi mobili che accedono ai dati e/o ai sistemi aziendali ed effettuano operazioni di archiviazione sono documentati e disponibili?
AWS ha stabilito un framework e policy di sicurezza delle informazioni e ha efficacemente integrato il framework certificabile ISO 27001 basato sui controlli ISO 27002, sui criteri Trust Services Principles dell'American Institute of Certified Public Accountants (AICPA), sul PCI DSS v3.1 e sulla National Institute of Standards and Technology (NIST) Publication 800-53 (Recommended Security Controls for Federal Information Systems). I clienti hanno il controllo e la responsabilità dei propri dati e degli asset media associati. È responsabilità del cliente gestire la sicurezza dei dispositivi mobili e l'accesso ai propri contenuti.
Sicurezza dei dispositivi mobili Applicazioni approvate
MOS-03
È presente una funzionalità Policy Enforcement Point (ad esempio, XACML) per garantire che sui dispositivi mobili vengano caricate solo le applicazioni e i relativi store approvati?
Sicurezza dei dispositivi mobili Software approvato per BYOD
MOS-04
La policy e la formazione per BYOD (Bring Your Own Device) indicano con precisione quali applicazioni e relativi store sono approvati per i dispositivi BYOD?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 58 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Sicurezza dei dispositivi mobili Sensibilizzazione e formazione
MOS-05
La formazione per i dipendenti include una policy documentata sui dispositivi mobili che indica con precisione sia i dispositivi mobili che i requisiti e l'utilizzo accettato per tali dispositivi?
Sicurezza dei dispositivi mobili Servizi basati sul cloud
MOS-06
È disponibile un elenco documentato di servizi preapprovati basati su cloud che è consentito utilizzare per gestire e archiviare dati aziendali sui dispositivi mobili?
Sicurezza dei dispositivi mobili Compatibilità
MOS-07
È stato implementato un processo di convalida delle applicazioni documentato per testare dispositivi, sistemi operativi e compatibilità delle applicazioni?
Sicurezza dei dispositivi mobili Idoneità dei dispositivi
MOS-08
È presente una policy BYOD che indica i dispositivi e i requisiti di idoneità per l'utilizzo BYOD?
Sicurezza dei dispositivi mobili Inventario dei dispositivi
MOS-09
Viene mantenuto un inventario di tutti i dispositivi mobili utilizzati per archiviare e accedere ai dati aziendali che includa lo stato dei dispositivi (sistema operativo e livelli di patch, dispositivi persi o disattivati, assegnatari dei dispositivi)?
Sicurezza dei dispositivi mobili Gestione dei dispositivi
MOS-10
È presente una soluzione di gestione centralizzata dei dispositivi mobili distribuita su tutti i dispositivi mobili autorizzati ad archiviare, trasmettere o elaborare i dati aziendali?
Sicurezza dei dispositivi mobili Crittografia
MOS-11
La policy sui dispositivi mobili richiede l'utilizzo della crittografia, per l'intero dispositivo o per i dati considerati sensibili, applicabile mediante controlli tecnologici per tutti i dispositivi mobili?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 59 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Sicurezza dei dispositivi mobili Jailbreak e root
MOS-12.1
La policy sui dispositivi mobili vieta la circonvenzione dei controlli di sicurezza integrati nei dispositivi mobili (ad esempio, jailbreak o root)?
MOS-12.2
I dispositivi o il sistema di gestione centralizzata dei dispositivi dispongono di controlli di prevenzione e rilevazione che impediscono la circonvenzione dei controlli di sicurezza integrati?
Sicurezza dei dispositivi mobili Note legali
MOS-13.1
La policy BYOD indica con precisione le aspettative relative a privacy, requisiti in caso di contenzioso, E-Discovery e conservazione a fini legali?
I clienti hanno il controllo e la responsabilità dei propri dati e degli asset media associati. È responsabilità del cliente gestire la sicurezza dei dispositivi mobili e l'accesso ai propri contenuti.
MOS-13.2
I dispositivi o il sistema di gestione centralizzata dei dispositivi dispongono di controlli di prevenzione e rilevazione che impediscono la circonvenzione dei controlli di sicurezza integrati?
Sicurezza dei dispositivi mobili Schermata di blocco
MOS-14
Per i dispositivi BYOD e aziendali è richiesta e attivata una schermata di blocco automatica gestita da controlli tecnici?
Sicurezza dei dispositivi mobili Sistemi operativi
MOS-15
Tutte le modifiche apportate ai sistemi operativi, ai livelli di patch e alle applicazioni dei dispositivi mobili vengono amministrate mediante processi aziendali di gestione delle modifiche?
Sicurezza dei dispositivi mobili Password
MOS-16.1
Si dispone di policy sulle password per i dispositivi mobili aziendali e/o BYOD?
MOS-16.2
Le policy sulle password vengono applicate mediante controlli tecnici (ad esempio, MDM)?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 60 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
MOS-16.3
Le policy sulle password vietano di modificare i requisiti di autenticazione (ad esempio, lunghezza di password/PIN) mediante dispositivi mobili?
Sicurezza dei dispositivi mobili Policy
MOS-17.1
È presente una policy che richiede agli utenti BYOD di eseguire il backup di determinati dati aziendali?
MOS-17.2
È presente una policy che richiede agli utenti BYOD di vietare l'utilizzo di store di applicazioni non approvati?
MOS-17.3
È presente una policy che richiede agli utenti BYOD di utilizzare software anti-malware (se supportato)?
Sicurezza dei dispositivi mobili Cancellazione remota dei contenuti
MOS-18.1
Il reparto IT è in grado di eseguire la cancellazione, anche remota, dei dati aziendali su tutti i dispositivi BYOD accettati dall'azienda?
MOS-18.2
Il reparto IT è in grado di eseguire la cancellazione, anche remota, dei dati aziendali su tutti i dispositivi BYOD assegnati dall'azienda?
Sicurezza dei dispositivi mobili Patch di sicurezza
MOS-19.1
Nei dispositivi mobili sono state installate le patch di sicurezza più aggiornate dopo il rilascio generale da parte del produttore o del carrier dei dispositivi?
MOS-19.2
I dispositivi mobili consentono la convalida remota per permettere al personale IT dell'azienda di scaricare le patch di sicurezza più aggiornate?
Sicurezza dei dispositivi mobili Utenti
MOS-20.1
La policy BYOD specifica i sistemi e i server che i dispositivi BYOD possono utilizzare e a cui sono autorizzati ad accedere?
MOS-20.2
La policy BYOD specifica i ruoli utente autorizzati a eseguire l'accesso mediante dispositivi BYOD?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 61 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Gestione degli incidenti di sicurezza, E-Discovery e Cloud Forense Mantenimento dei contatti con le autorità
SEF-01.1
Vengono mantenuti rapporti e punti di contatto con gli enti locali, conformemente ai contratti e alla normativa pertinente?
AWS mantiene contatti con organismi di settore, organizzazioni che operano nell'ambito del rischio e della compliance, enti locali e organismi di regolamentazione, come prescritto dallo standard ISO 27001. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Gestione degli incidenti di sicurezza, E-Discovery e Cloud Forense Gestione degli incidenti
SEF-02.1
Si dispone di un piano di intervento documentato per gli incidenti di sicurezza?
I piani, le procedure e il programma di risposta agli incidenti AWS sono stati sviluppati in conformità allo standard ISO 27001. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. Nei rapporti AWS SOC sono forniti dettagli aggiuntivi sulle attività di controllo specifiche eseguite da AWS. Tutti i dati archiviati da AWS per conto dei clienti dispongono di solide funzionalità di sicurezza e controllo dell'isolamento dei tenant. Ulteriori informazioni sono fornite nel whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS) disponibile all'indirizzo http://aws.amazon.com/security.
SEF-02.2
Le esigenze personalizzate dei tenant vengono integrate nei piani di risposta agli incidenti di sicurezza?
SEF-02.3
Viene pubblicato un documento su ruoli e responsabilità in cui sono specificate le proprie responsabilità e quelle dei tenant in caso di incidenti di sicurezza?
SEF-02.4
I piani di risposta agli incidenti di sicurezza sono stati sottoposti a test durante l'ultimo anno?
Gestione degli incidenti di sicurezza, E-Discovery e Cloud Forense Segnalazione degli incidenti
SEF-03.1
Il sistema SIEM (Security Information and Event Management) unisce le origini dati (log app, log firewall, log IDS, log accessi fisici e così via) per l'analisi granulare e gli avvisi?
SEF-03.2
Il framework di log e monitoraggio consente l'isolamento di un incidente a tenant specifici?
Gestione degli incidenti di sicurezza, E-Discovery e Cloud Forense Aspetti giuridici della risposta agli incidenti
SEF-04.1
Il piano di risposta agli incidenti è conforme agli standard di settore per i processi e i controlli di gestione della catena di custodia giuridicamente ammissibili?
SEF-04.2
La capacità di risposta agli incidenti comprende l'uso di tecniche di raccolta e analisi dei dati forensi giuridicamente ammissibili?
SEF-04.3
È possibile supportare i contenziosi (congelamento dei dati da un determinato momento) per un tenant specifico senza congelare i dati degli altri tenant?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 62 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
SEF-04.4
La separazione dei dati dei tenant viene applicata e attestata durante la produzione di dati in risposta a citazioni legali?
Gestione degli incidenti di sicurezza, E-Discovery e Cloud Forense Parametri di risposta agli incidenti
SEF-05.1
Tipi, volumi e impatti vengono monitorati e quantificati su tutti gli incidenti di sicurezza informatica?
I parametri di sicurezza AWS sono monitorati e analizzati in conformità allo standard ISO 27001. Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 16. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
SEF-05.2
I dati statistici sugli incidenti della sicurezza delle informazioni vengono condivisi con i tenant su richiesta?
Gestione della catena di fornitura, trasparenza e responsabilità Qualità e integrità dei dati
STA-01.1
L'azienda esamina e si assume la responsabilità dei problemi legati alla qualità dei dati e i relativi rischi e collabora con i partner della catena di fornitura cloud per risolverli?
I clienti detengono il controllo e la proprietà della qualità dei propri dati e dei potenziali problemi di qualità che possono sorgere durante l'utilizzo dei servizi AWS. Per informazioni dettagliate su integrità dei dati e gestione dell'accesso (incluso l'accesso con privilegi minimi), fare riferimento al rapporto AWS SOC
STA-01.2
Sono stati definiti e implementati obiettivi di controllo per ridurre e contenere i rischi legati alla sicurezza dei dati mediante una corretta separazione di compiti, accessi basati sui ruoli e accessi con privilegi minimi per tutto il personale coinvolto nella catena di fornitura?
Gestione della catena di fornitura, trasparenza e responsabilità Segnalazione degli incidenti
STA-02.1
Le informazioni sugli incidenti legati alla sicurezza vengono messe periodicamente a disposizione di tutti i clienti e i fornitori interessati tramite mezzi elettronici (ad esempio, portali)?
I piani, le procedure e il programma di risposta agli incidenti AWS sono stati sviluppati in conformità allo standard ISO 27001. Nei rapporti AWS SOC sono forniti dettagli sulle attività di controllo specifiche eseguite da AWS. Per ulteriori informazioni, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security.
Gestione della catena di fornitura, trasparenza e responsabilità Servizi infrastrutturali/ di rete
STA-03.1
Vengono raccolti dati su capacità e utilizzo per tutti i componenti rilevanti del servizio cloud offerto?
AWS gestisce i dati di capacità e utilizzo in conformità allo standard ISO 27001. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
STA-03.2
Ai tenant vengono forniti i rapporti su utilizzo e pianificazione della capacità?
Gestione della catena di fornitura, trasparenza e responsabilità Valutazioni interne dei fornitori
STA-04.1
Si eseguono valutazioni interne annuali della conformità e dell'efficacia di policy, procedure e misure e parametri a supporto?
Il team della catena di approvvigionamento e fornitura AWS mantiene i rapporti con tutti i fornitori AWS. Per ulteriori dettagli, fare riferimento agli standard ISO 27001, appendice A, dominio 8. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 63 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
Gestione della catena di fornitura, trasparenza e responsabilità Accordi con terzi
STA-05.1
I fornitori di outsourcing sono selezionati e monitorati in conformità con la legislazione del paese in cui i dati vengono elaborati, memorizzati e trasmessi?
I requisiti di sicurezza del personale per i fornitori di terze parti che supportano sistemi e dispositivi AWS sono stabiliti in un accordo di non divulgazione reciproco tra l'organizzazione padre di AWS, Amazon.com e il rispettivo fornitore terzo. L'ufficio legale di Amazon e l'ufficio acquisti di AWS definiscono i requisiti del personale per i fornitori terzi AWS in accordi contrattuali con il fornitore terzo. Tutte le persone che lavorano con le informazioni AWS devono come minimo superare il processo di selezione per i controlli preliminari sui precedenti penali e firmare un accordo di non divulgazione prima di poter essere autorizzate ad accedere alle informazioni AWS. AWS generalmente non esternalizza lo sviluppo di servizi AWS a subappaltatori.
STA-05.2
I fornitori di outsourcing sono selezionati e monitorati in conformità con la legislazione del paese in cui sono stati originati i dati?
STA-05.3
L'ufficio legale esamina tutti gli accordi con terze parti?
STA-05.4
Gli accordi con terze parti includono la garanzia di sicurezza e protezione di informazioni e asset?
STA-05.5
Ai client vengono forniti elenchi e copie sempre aggiornati di tutti gli accordi secondari di trattamento?
Gestione della catena di fornitura, trasparenza e responsabilità Revisioni della governance della catena di fornitura
STA-06.1
Viene effettuato il controllo dei processi di governance e gestione dei rischi dei partner per verificare i rischi ereditati da altri membri della catena di fornitura di tali partner?
AWS sottoscrive accordi formali con i principali fornitori di terze parti e implementa appropriati meccanismi di gestione dei rapporti in linea con le relazioni con l'azienda. I processi AWS per la gestione di terze parti vengono verificati da revisori indipendenti nell'ambito della compliance continua di AWS con gli standard SOC e ISO 27001.
Gestione della catena di fornitura, trasparenza e responsabilità Parametri della catena di fornitura
STA-07.1
Sono stata stabilite policy e procedure e sono stati implementati processi aziendali e misure tecniche a supporto per mantenere accordi completi, accurati e rilevanti (ad esempio, SLA, Service Level Agreement, contratto sul livello di servizio) tra fornitori e clienti (tenant)?
STA-07.2
È possibile rilevare e risolvere i problemi di non conformità delle disposizioni e/o dei termini lungo l'intera catena di fornitura (a monte/a valle)?
STA-07.3
È possibile gestire conflitti o incoerenze a livello di servizio derivanti dai rapporti con diversi fornitori?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 64 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
STA-07.4
Accordi, policy e processi vengono revisionati almeno una volta l'anno?
Gestione della catena di fornitura, trasparenza e responsabilità Valutazione di terze parti
STA-08.1
Viene garantita una ragionevole sicurezza delle informazioni lungo la relativa catena di fornitura mediante l'esecuzione di una verifica annuale?
STA-8.2
La verifica annuale include tutti i partner/fornitori di terze parti da cui la catena di fornitura dipende?
Gestione della catena di fornitura, trasparenza e responsabilità Controlli di terze parti
STA-09.1
Si consente ai tenant di eseguire valutazioni indipendenti della vulnerabilità?
I clienti possono chiedere l'autorizzazione a eseguire scansioni della propria infrastruttura cloud, purché i controlli siano limitati alle istanze del cliente e non violino l'Acceptable Use Policy (policy di utilizzo accettabile) di AWS. Per ottenere la preventiva approvazione per questo tipo di scansioni è necessario inviare una richiesta utilizzando il modulo di richiesta del Test di vulnerabilità/intrusione di AWS. AWS Security chiede periodicamente a imprese che operano nel settore della sicurezza di eseguire valutazioni di vulnerabilità alle minacce esterne. Nei rapporti AWS SOC sono forniti dettagli aggiuntivi sulle attività di controllo specifiche eseguite da AWS.
STA-09.2
Vengono fatte eseguire a servizi di terze parti esterni scansioni di vulnerabilità e test di intrusione periodici su applicazioni e reti?
Gestione di minacce e vulnerabilità Software antivirus/malware
TVM-01.1
Sono stati installati su tutti i sistemi programmi anti-malware che supportano o si connettono ai servizi cloud offerti?
Il programma, i processi e le procedure AWS per la gestione del software antivirus/malware sono conformi agli standard ISO 27001. Ulteriori dettagli sono disponibili nei rapporti AWS SOC. Per ulteriori dettagli, fare inoltre riferimento allo standard ISO 27001, appendice A, dominio 12. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
TVM-01.2
Ci si assicura che i sistemi di rilevamento delle minacce alla sicurezza che utilizzano firme, elenchi o modelli di comportamento siano aggiornati su tutti i componenti dell'infrastruttura entro intervalli di tempo accettati nel settore?
Gestione di minacce e vulnerabilità Gestione patch/vulnerabilità
TVM-02.1
Vengono eseguite periodicamente scansioni di vulnerabilità a livello di rete come prescritto dalle best practice di settore?
I clienti mantengono il controllo dei propri sistemi operativi, software e applicazioni guest e sono responsabili dell'esecuzione delle scansioni di vulnerabilità e dell'applicazione delle patch ai propri sistemi. I clienti possono chiedere l'autorizzazione a eseguire scansioni della propria infrastruttura cloud, purché i controlli siano limitati alle istanze del cliente e non violino l'Acceptable Use Policy (policy di utilizzo accettabile) di AWS. AWS Security esegue scansioni regolari di tutti gli indirizzi IP dell'endpoint del servizio connessi a Internet per individuare le vulnerabilità. AWS Security notifica alle parti interessate le eventuali vulnerabilità identificate a cui è necessario porre rimedio. La manutenzione e l'applicazione di patch ai sistemi AWS non ha, in genere, alcun impatto sui clienti.
TVM-02.2
Vengono eseguite periodicamente scansioni di vulnerabilità a livello di applicazione come prescritto dalle best practice di settore?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 65 di 89
Gruppo di controllo CID Domande sulla valutazione del
consenso Risposta AWS
TVM-02.3
Vengono eseguite periodicamente scansioni di vulnerabilità a livello di sistema operativo locale come prescritto dalle best practice di settore?
Per ulteriori informazioni, fare riferimento al whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo http://aws.amazon.com/security. Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 12. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
TVM-02.4
I risultati delle scansioni di vulnerabilità saranno messi a disposizione dei tenant su richiesta?
TVM-02.5
È possibile correggere rapidamente le vulnerabilità attraverso tutti i dispositivi informatici, le applicazioni e i sistemi?
TVM-02.6
Ai tenant saranno forniti su richiesta gli intervalli di tempo basati sul rischio per l'applicazione di patch ai sistemi?
Gestione di minacce e vulnerabilità Codice mobile
TVM-03.1
Il codice mobile è stato autorizzato prima dell'installazione e dell'utilizzo e la configurazione del codice è stata verificata per assicurarsi che il codice mobile autorizzato funzioni secondo una politica di sicurezza chiaramente definita?
AWS permette ai clienti di gestire le applicazioni client e mobili sulla base dei propri requisiti.
TVM-03.2
È stata impedita l'esecuzione di tutto il codice mobile autorizzato?
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 66 di 89
Appendice B: Conformità di AWS conConformità di AWS con il Cloud Computing Security Considerations dell'Australian Signals Directorate (ASD)
Il Cloud Computing Security Consideration è stato creato per aiutare le agenzie nella valutazione del rischio dei servizi offerti dai provider di servizi cloud. I seguenti punti illustrano la conformità AWS al Cloud Computing Security Consideration pubblicato nel settembre del 2012. Per ulteriori dettagli fare riferimento a: http://www.asd.gov.au/publications/csocprotect/Cloud_Computing_Security_Considerations.pdf.
Area chiave Domande RISPOSTA AWS
Mantenimento della disponibilità e della funzionalità aziendale
a. Criticità aziendale dei dati o delle funzionalità. Sto spostando dati o funzionalità aziendali di importanza critica nel cloud?
I clienti AWS detengono il controllo e la proprietà dei propri contenuti. I clienti sono responsabili della classificazione e dell'utilizzo dei propri contenuti.
b. Piano di Business Continuity e disaster recovery del fornitore. Posso esaminare con attenzione una copia del piano di Business Continuity e disaster recovery che copre la disponibilità e il ripristino dei dati e dei servizi utilizzati offerti dal fornitore? Dopo quanto tempo a partire dal disastro i dati e i servizi utilizzati vengono ripristinati e i clienti del fornitore che dispongono di più risorse e pagano cifre più alte hanno priorità rispetto a me?
I clienti AWS detengono il controllo e la proprietà dei propri dati. AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche e in più zone di disponibilità all'interno di ogni regione. Ciascuna zona di disponibilità è progettata per essere indipendente dai guasti delle altre zone. In caso di problemi, i processi automatizzati spostano il traffico dati del cliente dall'area colpita. Il rapporto AWS SOC 1 di tipo 2 fornisce ulteriori dettagli. Per ulteriori informazioni, fare riferimento allo standard ISO 27001, appendice A, dominio 11.2. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con la certificazione ISO 27001. I clienti utilizzano AWS per attuare un disaster recovery più rapido dei propri sistemi IT di importanza critica senza dover sostenere le spese infrastrutturali di una seconda sede fisica. Il cloud AWS supporta diverse architetture per disaster recovery (DR) molto utilizzate, dagli ambienti "pilot light" pronti a estendersi senza necessità di preavviso fino agli ambienti "hot standby" che consentono un failover rapido. Per ulteriori informazioni sulle procedure di disaster recovery di AWS visitare https://aws.amazon.com/disaster-recovery/. AWS offre ai clienti la possibilità di implementare un solido piano di continuità, che comprende l'utilizzo di backup frequenti delle istanze del server, repliche dei dati e architetture di distribuzione multi regionale/a zona di disponibilità. AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche e in più zone di disponibilità all'interno di ogni regione. Ciascuna zona di disponibilità è progettata per essere indipendente dai guasti delle altre zone. In caso di problemi, i processi automatizzati spostano il traffico dati del cliente dall'area colpita. I data center AWS si avvalgono di protezioni fisiche contro i rischi ambientali. La protezione fisica adottata da AWS contro i rischi ambientali è stata convalidata da un revisore indipendente e ne è stata certificata la conformità con le best practice ISO 27002. Per ulteriori informazioni fare riferimento allo standard ISO 27001, appendice A dominio 9.1 e al rapporto AWS SOC 1 di tipo II.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 67 di 89
Area chiave Domande RISPOSTA AWS
c. Il mio piano di backup dati. Devo sostenere ulteriori spese per mantenere una copia di backup aggiornata dei miei dati custodita presso la sede della mia agenzia o archiviata da un secondo fornitore che non ha singoli punti di vulnerabilità in comune con il primo fornitore?
I clienti AWS detengono il controllo e la proprietà dei propri contenuti ed è responsabilità dei clienti gestire i propri piani di backup dei dati. AWS permette ai clienti di spostare i dati all'interno e fuori dallo storage AWS in base alle necessità. Il servizio AWS Import/Export per S3 accelera lo spostamento di grandi quantità di dati all'interno e all'esterno di AWS utilizzando dispositivi di storage portatili per il trasporto. AWS consente ai clienti di eseguire i backup su nastro utilizzando il proprio fornitore di servizi di backup su nastro. Tuttavia, AWS non fornisce il servizio di backup su nastro. Il servizio Amazon S3 è stato progettato per ridurre pressoché a zero il rischio di perdita di dati e la durabilità equivalente a copie multisito degli oggetti dati è ottenuta tramite la ridondanza dello storage dei dati. Per informazioni sulla durabilità dei dati e la ridondanza consultare il sito Web AWS. AWS offre una gamma di servizi di cloud computing per supportare la procedura di disaster recovery. Per ulteriori informazioni sulle procedure di disaster recovery di AWS, visitare https://aws.amazon.com/disaster-recovery/.
d. Il mio piano di business continuity e disaster recovery. Devo sostenere ulteriori spese per replicare i miei dati o la funzionalità aziendale con un secondo fornitore che utilizza un data center diverso e che non ha singoli punti di vulnerabilità in comune con il primo fornitore? Questa replica dovrebbe essere preferibilmente configurata per la procedura automatica di "failover", in modo che quando i servizi di un fornitore non sono disponibili, il controllo viene trasferito automaticamente e senza problemi all'altro fornitore.
I clienti detengono il controllo e la proprietà dei propri dati. I clienti possono esportare le proprie AMI e utilizzarle localmente o presso un altro fornitore (soggetto alle limitazioni di licenza del software). Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security. AWS permette ai clienti di spostare i dati all'interno e fuori dallo storage AWS in base alle necessità. Il servizio AWS Import/Export per S3 accelera lo spostamento di grandi quantità di dati all'interno e all'esterno di AWS utilizzando dispositivi di storage portatili per il trasporto. AWS consente ai clienti di eseguire i backup su nastro utilizzando il proprio fornitore di servizi di backup su nastro. Tuttavia, AWS non fornisce il servizio di backup su nastro. I data center AWS costruiti in cluster in diverse regioni globali. Tutti i data center sono online e al servizio dei clienti; nessun data center è inutilizzato. In caso di problemi, i processi automatizzati spostano il traffico dati del cliente dall'area colpita. Le applicazioni strategiche sono distribuite seguendo una configurazione N+1, in questo modo in caso di problemi al data center viene garantita una capacità sufficiente per permettere al traffico di essere distribuito sui siti rimanenti. AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche e in più zone di disponibilità all'interno di ogni regione. Ciascuna zona di disponibilità è progettata per essere indipendente dai guasti delle altre zone. Questo significa che le zone di disponibilità sono fisicamente separate all'interno di una regione metropolitana e sono situate su piane alluvionali a basso rischio (la categorizzazione specifica delle zone alluvionali varia in base alla regione). Oltre ai gruppi di continuità separati e alle strutture di generazione del backup in loco, ciascuna zona viene alimentata attraverso reti diverse da fornitori indipendenti in modo da ridurre ulteriormente i singoli punti di vulnerabilità. Le zone di disponibilità sono tutte collegate in modo ridondante a diversi fornitori di collegamento di primo livello. I clienti dovrebbero pianificare l'utilizzo di AWS in modo da sfruttare le diverse regioni e zone di disponibilità. La distribuzione delle applicazioni su diverse zone di disponibilità offre la capacità di rimanere operativi anche in situazioni fortemente problematiche, come quelle legate ai disastri naturali o alle vulnerabilità del sistema.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 68 di 89
Area chiave Domande RISPOSTA AWS
Il rapporto AWS SOC 1 di tipo 2 fornisce ulteriori dettagli. Per ulteriori informazioni, fare riferimento allo standard ISO 27001, appendice A, dominio 11.2. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con la certificazione ISO 27001.
e. La mia connettività di rete sul cloud. La connettività di rete tra gli utenti della mia agenzia e la rete del fornitore è appropriata in termini di disponibilità, throughput di traffico (larghezza della banda), ritardi (latenza) e perdita dei pacchetti?
I clienti possono scegliere il percorso di rete per le strutture AWS, inclusi endpoint VPN in ogni regione AWS. Inoltre, AWS Direct Connect rende facile stabilire una connessione di rete dedicata dalla propria sede ad AWS. Utilizzando AWS Direct Connect è possibile stabilire una connettività privata tra AWS e il data center, ufficio o ambiente di colocation. In molti casi, questo permette di ridurre i costi di rete, aumentare il throughput della larghezza di banda e offrire un'esperienza di rete più uniforme rispetto alle connessioni basate su Internet. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
f. Garanzia di disponibilità da parte del fornitore. Il contratto sul livello di servizio (SLA, Service Level Agreement) garantisce che il fornitore offra una disponibilità del sistema e una qualità del servizio appropriate, utilizzando la robusta architettura del sistema e i processi aziendali?
Nei contratti sul livello di servizio AWS si impegna a offrire alti livelli di disponibilità. Amazon EC2, ad esempio, si impegna a offrire una percentuale di tempo di operatività annuale di almeno il 99,95% durante l'anno di servizio. Amazon S3 si impegna a offrire una percentuale di tempo di operatività mensile di almeno 99,99%. Vengono emessi dei crediti di servizio nel caso in cui tali parametri di disponibilità non vengano soddisfatti. I clienti dovrebbero pianificare l'utilizzo di AWS in modo da sfruttare le diverse regioni e zone di disponibilità. La distribuzione delle applicazioni su diverse zone di disponibilità offre la capacità di rimanere operativi anche in situazioni fortemente problematiche, come quelle legate ai disastri naturali o alle vulnerabilità del sistema. AWS utilizza sistemi di monitoraggio automatizzati per offrire un alto livello di prestazioni e disponibilità del servizio. Il monitoraggio proattivo è disponibile attraverso una varietà di strumenti online sia per uso interno che per uso esterno. I sistemi all'interno di AWS sono altamente strumentati per monitorare i parametri operativi chiave. Gli allarmi sono configurati in modo da inviare notifiche al personale che si occupa del funzionamento e della gestione nel momento in cui vengono superate le soglie di notifica sui parametri operativi chiave. Viene utilizzata una pianificazione della reperibilità in modo che il personale sia sempre disponibile per rispondere ai problemi operativi. Questa pianificazione comprende un sistema cercapersone in modo che gli allarmi siano comunicati in modo rapido e affidabile al personale operativo. La gestione della rete AWS viene verificata da revisori indipendenti di terze parti nell'ambito della compliance con gli standard SOC, PCI DSS,
ISO 27001 e FedRAMPsm.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 69 di 89
Area chiave Domande RISPOSTA AWS
g. Impatto delle interruzioni. Posso tollerare l'interruzione massima possibile prevista dal contratto sul livello di servizio? Le finestre di interruzione programmata sono accettabili sia in termini di durata, sia di orario, oppure le interruzioni programmate interferiranno con i miei processi aziendali fondamentali?
Non occorre che i sistemi siano offline affinché AWS possa eseguire la manutenzione ordinaria e l'applicazione di patch ai sistemi. La manutenzione e l'applicazione di patch ai sistemi AWS non ha, in genere, alcun impatto sui clienti. La manutenzione delle istanze è controllata dal cliente.
h. Inclusione nel contratto sul livello di servizio delle interruzioni programmate. La percentuale di disponibilità garantita nel contratto sul livello di servizio include le interruzioni programmate?
Poiché offre ai clienti la possibilità di pianificare il proprio ambiente in modo da sfruttare le diverse regioni e zone di disponibilità, AWS non gestisce un ambiente con interruzioni programmate.
i. Risarcimento previsto dal contratto sul livello di servizio. Il contratto sul livello di servizio rispecchia in modo adeguato il danno reale causato da una violazione del contratto stesso, ad esempio per un'interruzione imprevista o per la perdita dei dati?
AWS prevede la remunerazione dei clienti per le perdite che possono verificarsi a causa di interruzioni in linea con il contratto sul livello di servizio.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 70 di 89
Area chiave Domande RISPOSTA AWS
j. Integrità e disponibilità dei dati. In che modo il fornitore implementa meccanismi quali la ridondanza o i backup offsite per evitare la corruzione o la perdita dei dati e garantirne l'integrità e la disponibilità?
I controlli dell'integrità dei dati AWS descritti nel rapporto AWS SOC 1 di tipo II offrono una ragionevole garanzia che l'integrità dei dati venga mantenuta in tutte le fasi, comprese trasmissione, storage ed elaborazione. Per ulteriori informazioni, fare inoltre riferimento allo standard ISO 27001, appendice A, dominio 12.2. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. I data center sono costruiti in cluster in diverse regioni globali. AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche e in più zone di disponibilità all'interno di ogni regione. I clienti dovrebbero pianificare l'utilizzo di AWS in modo da sfruttare le diverse regioni e zone di disponibilità. È possibile scegliere dove archiviare i propri dati specificando una regione (per Amazon S3) o una zona di disponibilità all'interno di una regione (per EBS). Nell'ambito del normale funzionamento dei servizi e senza ulteriori
costi, per i dati archiviati in Amazon Elastic Block Store (Amazon EBS) è prevista la ridondanza in diverse località fisiche. Tuttavia, l'archiviazione della replica offerta da Amazon EBS avviene nella stessa zona di disponibilità, non in più zone. Amazon S3 fornisce un'infrastruttura di storage estremamente durevole. Gli oggetti sono archiviati in modo ridondante su più dispositivi, in più strutture di una regione Amazon S3. Una volta effettuato lo storage, Amazon S3 preserva la durabilità degli oggetti individuando e riparando l'eventuale ridondanza andata perduta. Amazon S3, inoltre, verifica periodicamente l'integrità dei dati archiviati con l'ausilio di checksum. Gli eventuali elementi danneggiati individuati vengono riparati con i dati ridondanti. I dati archiviati in S3 sono pensati per offrire una durabilità del 99,999999999% e una disponibilità degli oggetti del 99,99% in un dato anno. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
k. Ripristino dei dati. Se per errore vengono eliminati file, email o altri dati, quanto tempo occorre perché siano ripristinati dal backup in tutto o in parte? Inoltre, il tempo massimo accettabile è incluso nel contratto sul livello di servizio?
I clienti AWS detengono il controllo e la proprietà dei propri dati. AWS offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati all'interno di più regioni geografiche e in più zone di disponibilità all'interno di ogni regione.
l. Scalabilità. Quante risorse di elaborazione libere e disponibili mette a disposizione il fornitore per consentire di usare i suoi servizi in modo scalabile con breve preavviso?
Il cloud AWS è distribuito, altamente sicuro e resiliente, così da offrire ai clienti una scalabilità elevata. I clienti possono ampliare o diminuire le risorse, pagando solo ciò che utilizzano.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 71 di 89
Area chiave Domande RISPOSTA AWS
m. Cambio del fornitore. Se un cliente intendesse trasferire i propri dati alla propria agenzia o a un fornitore diverso, o se il fornitore dovesse fallire all'improvviso o lasciasse per altre ragioni l'attività cloud, in che modo potrebbe accedere ai dati in formato neutro per evitare blocchi specifici del fornitore? Quanta collaborazione offrirà il fornitore? Come è possibile accertarsi che i dati vengano eliminati in modo definitivo dai supporti di storage del fornitore? Per quanto riguarda il servizio Platform-as-a-Service, quali sono gli standard applicati dal fornitore per agevolare la portabilità e l'interoperabilità e per trasferire in modo semplice le applicazioni a un fornitore diverso o all'agenzia?
I clienti detengono il controllo e la proprietà dei propri dati. I clienti possono esportare le proprie AMI e utilizzarle localmente o presso un altro fornitore (soggetto alle limitazioni di licenza del software). Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security. AWS permette ai clienti di spostare i dati all'interno e fuori dallo storage AWS in base alle necessità. Il servizio AWS Import/Export per S3 accelera lo spostamento di grandi quantità di dati all'interno e all'esterno di AWS utilizzando dispositivi di storage portatili per il trasporto. AWS consente ai clienti di eseguire i backup su nastro utilizzando il proprio fornitore di servizi di backup su nastro. Tuttavia, AWS non fornisce il servizio di backup su nastro.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 72 di 89
Area chiave Domande RISPOSTA AWS
Protezione dei dati da accessi non autorizzati di terze parti
a. Scelta del modello di distribuzione del cloud. Si sta prendendo in considerazione l'idea di usare un cloud pubblico potenzialmente meno sicuro, un cloud ibrido o di community potenzialmente più sicuro o quello potenzialmente più sicuro di tutti, ovvero un cloud privato?
I team Sicurezza e compliance di AWS hanno stabilito delle policy e una struttura di sicurezza delle informazioni basate sul framework Control Objectives for Information and related Technology (COBIT). Il framework di sicurezza AWS integra le best practice ISO 27002 e lo standard PCI Data Security. Per ulteriori dettagli, fare riferimento al whitepaper AWS Risk and Compliance (Rischio e compliance AWS), disponibile all'indirizzo http://aws.amazon.com/security. AAWS fornisce direttamente ai clienti coperti dall'accordo di riservatezza attestazioni di terze parti, certificazioni, il rapporto Service Organization Controls 1 (SOC 1) di tipo II e altri rapporti di compliance. Amazon Virtual Private Cloud (Amazon VPC) consente di fornire una sezione del cloud Amazon Web Services (AWS) isolata a livello logico dove è possibile lanciare le risorse AWS in una rete virtuale definita dall'utente. Quest'ultimo ha il controllo completo dell'ambiente di rete virtuale, che include la selezione di una gamma di indirizzi IP, la creazione di subnet e la configurazione di tabelle di routing e gateway di rete. Personalizzare la configurazione di rete di Amazon VPC è molto semplice. Ad esempio è possibile creare una subnet pubblica con accesso a Internet per i server Web e posizionare i sistemi di backend, come i database o i server delle applicazioni, in una subnet privata senza accesso a Internet. Per controllare gli accessi alle istanze di Amazon EC2 in ogni subnet, l'utente ha a disposizione diversi livelli di sicurezza, compresi security group ed elenchi di controllo per l'accesso alla rete. Inoltre può creare una connessione VPN (Virtual Private Network) hardware tra il data center aziendale e VPC, sfruttando quindi il cloud AWS come fosse un'estensione dello stesso data center aziendale.
b. Sensibilità dei dati. I dati da archiviare o elaborare nel cloud sono riservati, sensibili o privati oppure sono dati disponibili pubblicamente, come le informazioni del sito Web pubblico? Una volta aggregati, i dati diventano più sensibili di quanto lo siano singolarmente? Ad esempio, la sensibilità può aumentare in caso di archiviazione di dati in grande quantità oppure di una serie di dati che, se compromessi, potrebbero agevolare un furto d'identità. Se i dati vengono compromessi, è possibile dimostrare alla direzione, ai funzionari governativi e al pubblico di aver applicato la due diligence?
I clienti AWS detengono il controllo e la proprietà dei propri dati e possono implementare un programma strutturato di classificazione dei dati per soddisfare i propri requisiti.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 73 di 89
Area chiave Domande RISPOSTA AWS
c. Obblighi di legge. Quali sono gli obblighi dell'utente in termini di protezione e gestione dei dati ai sensi di diverse normative, ad esempio il Privacy Act o l'Archives Act, nonché di altre normative specifiche per il tipo di dati? Il fornitore accetta per contratto di ottemperare a tali obblighi per aiutare il cliente a garantirne il rispetto così da soddisfare il governo australiano?
Spetta sempre ai clienti AWS la responsabilità di garantire che il proprio uso di AWS sia conforme alle leggi e alle norme vigenti. AWS comunica ai clienti informazioni sul proprio ambiente di sicurezza e controllo tramite certificazioni del settore e attestazioni di terze parti, whitepaper (disponibili all'indirizzo http://aws.amazon.com/security) e fornendo certificazioni, rapporti e altra documentazione pertinente direttamente ai clienti AWS. AWS ha pubblicato un whitepaper sull'uso di AWS nel contesto delle considerazioni sulla privacy in Australia, disponibile qui.
d. Paesi con accesso ai miei dati. In quali paesi viene eseguita l'archiviazione, il backup e l'elaborazione dei dati? In quali paesi stranieri transitano i dati? In quali paesi si trovano i data center ridondanti o di failover? Qualora le risposte a queste domande dovessero cambiare, il fornitore invierà una notifica all'utente?
I clienti AWS possono scegliere la regione o le regioni in cui verranno ubicati i propri contenuti e server. Ciò consente agli utenti con specifiche esigenze geografiche di stabilire gli ambienti in una località a scelta. I clienti AWS in Australia possono scegliere di distribuire i propri servizi AWS esclusivamente nella regione Asia Pacifico (Sydney) e archiviare i propri contenuti sul suolo australiano. Effettuata questa scelta, i contenuti saranno posti in Australia a meno che il cliente non scelga di spostare i dati. I clienti possono riprodurre i contenuti ed eseguirne il backup in diverse regioni; AWS non sposta né replica i contenuti del cliente al di fuori delle regioni che lo stesso ha scelto. AWS vigila sulla sicurezza dei clienti e non divulga né sposta i dati in risposta a richieste del governo australiano, degli Stati Uniti o di altri paesi, a meno che questa azione sia legalmente richiesta per ottemperare a un ordine valido e vincolante dal punto di vista legale, ad esempio una citazione o un'ordinanza del tribunale, o sia altrimenti prevista dalla legge vigente. Gli enti governativi o normativi non statunitensi, in genere, devono utilizzare procedimenti internazionali riconosciuti, quali i trattati di mutua assistenza giudiziaria con il governo degli Stati Uniti, per avanzare ordini validi e vincolanti. È inoltre nostra prassi, ove possibile, avvisare il cliente prima di divulgarne i contenuti per dargli l'opportunità di richiederne il fermo, a meno che ci sia legalmente vietato agire in questo modo.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 74 di 89
Area chiave Domande RISPOSTA AWS
e. Tecnologie di crittografia dei dati. Algoritmi di hashing e di crittografia e lunghezze della chiave sono considerati appropriati dall'ISM del DSD utilizzato per proteggere i dati quando transitano su una rete e vengono archiviati sui computer e sui supporti di backup del fornitore? La tecnologia che consente di crittografare i dati durante la loro elaborazione da parte dei computer del fornitore è ancora agli albori ed è un'area su cui attualmente si concentrano le ricerche settoriali e accademiche. La crittografia è considerata abbastanza efficace per proteggere i dati durante il periodo di tempo in cui questi sono sensibili?
AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS, SimpleDB ed EC2. Anche le sessioni VPC sono crittografate. Amazon S3 offre inoltre, come opzione per i clienti, la crittografia lato server. I clienti possono utilizzare anche tecnologie di crittografia di terze parti. Internamente, AWS stabilisce e gestisce le chiavi crittografiche per i processi di crittografia impiegati all'interno dell'infrastruttura AWS. AWS produce, controlla e distribuisce chiavi crittografiche simmetriche all'interno del sistema informatico AWS utilizzando la tecnologia e i processi di gestione delle chiavi approvati dal NIST. Un sistema di gestione sicuro delle chiavi e delle credenziali sviluppato da AWS viene utilizzato per creare, proteggere e distribuire chiavi simmetriche e per la sicurezza e la distribuzione di: credenziali AWS richieste sugli host, chiavi pubbliche/private RSA e certificazioni X.509. I processi crittografici AWS vengono verificati da revisori indipendenti di terze parti nell'ambito della compliance continua con gli standard SOC,
PCI DSS, ISO 27001 e FedRAMPsm. Il servizio AWS CloudHSM consente di proteggere le chiavi crittografiche all'interno di HSM progettati e convalidati secondo gli standard governativi per la gestione sicura delle chiavi. È possibile generare, archiviare e gestire in modo sicuro le chiavi crittografiche usate per la crittografia dei dati, in modo che siano accessibili solo all'utente. AWS CloudHSM consente di rispettare requisiti severi in materia di gestione delle chiavi senza sacrificare le prestazioni delle applicazioni. Il servizio AWS CloudHSM funziona insieme ad Amazon Virtual Private Cloud (VPC). Il provisioning dei modelli CloudHSM avviene all'interno della VPC dell'utente con un indirizzo IP da questi specificato. Il risultato è una connessione di rete semplice e privata alle proprie istanze di Amazon Elastic Compute Cloud (EC2). Il posizionamento dei CloudHSM vicino alle istanze EC2 riduce la latenza della rete, con conseguente possibile miglioramento delle prestazioni dell'applicazione. AWS offre un accesso dedicato ed esclusivo a CloudHSM, isolato rispetto agli altri clienti AWS. Disponibile in più regioni e zone di disponibilità, AWS CloudHSM consente di aggiungere alle applicazioni Amazon EC2 funzionalità di storage delle chiavi sicure e durevoli.
f. Sterilizzazione dei supporti. Quali processi vengono messi in atto per sterilizzare i supporti di storage su cui erano archiviati i dati, alla fine della loro vita utile? I processi in questione sono considerati appropriati dall'ISM del DSD?
Quando un dispositivo di storage raggiunge la fine della sua vita utile, le procedure AWS includono un processo di disattivazione progettato per impedire che i dati del cliente siano accessibili a persone non autorizzate. AWS utilizza le tecniche riportate in dettaglio nel DoD 5220.22-M ("National Industrial Security Program Operating Manual") o NIST 800-88 ("Guidelines for Media Sanitization") per distruggere i dati come parte del processo di disattivazione. Se non è possibile disattivare un dispositivo hardware mediante queste procedure, il dispositivo sarà smagnetizzato o distrutto fisicamente in linea con le procedure standard del settore. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 75 di 89
Area chiave Domande RISPOSTA AWS
g. Monitoraggio e gestione in remoto da parte del fornitore. Il fornitore monitora, amministra o gestisce i computer su cui sono archiviati o vengono elaborati i dati? In caso affermativo, queste operazioni vengono eseguite in remoto da paesi stranieri o dall'Australia? Il fornitore è in grado di fornire i rapporti sulla compliance delle patch e altri dettagli relativi alla sicurezza delle workstation utilizzate per queste operazioni, nonché sui controlli che impediscono ai dipendenti del fornitore di utilizzare computer portatili personali non affidabili?
La transizione dell'infrastruttura IT ai servizi AWS crea un modello di Shared Responsibility tra il cliente e AWS. Tale modello condiviso può contribuire a ridurre l'onere operativo del cliente, dato che AWS rende operativi, gestisce e controlla tutti i componenti, dal sistema operativo host al layer di virtualizzazione fino alla sicurezza fisica delle strutture in cui operano i servizi. Il cliente si assume la responsabilità della gestione del sistema operativo guest (con relativi aggiornamenti e patch di sicurezza), dell'altro software applicativo associato e della configurazione del security group firewall fornito da AWS.
h. Monitoraggio e gestione da parte dell'utente. È possibile utilizzare i propri strumenti esistenti per il controllo dell'integrità e della compliance, per il monitoraggio della sicurezza e la gestione di rete, nonché per ottenere visibilità sui propri sistemi, indipendentemente dall'ubicazione in sede o nel cloud di questi ultimi? È necessario imparare a usare altri strumenti offerti dal fornitore? Il fornitore offre un simile sistema per consentire il monitoraggio da parte dell'utente?
AWS CloudWatch assicura il monitoraggio delle risorse cloud AWS e delle applicazioni eseguite dai clienti su AWS. Per ulteriori dettagli, fare riferimento alla pagina aws.amazon.com/cloudwatch. AWS pubblica inoltre le informazioni più aggiornate relative alla disponibilità del servizio sul pannello di controllo stato servizi. Fare riferimento a status.aws.amazon.com. AWS Trusted Advisor analizza l'ambiente AWS e fornisce suggerimenti nel caso in cui vi siano opportunità di risparmiare denaro, migliorare le prestazioni o l'affidabilità del sistema o colmare le lacune legate alla sicurezza.
i. Proprietà dei dati. La proprietà legale dei dati rimane dell'utente o passa al fornitore? Eventuali liquidatori possono considerare i dati come asset destinato alla vendita, se il fornitore dichiara fallimento?
I clienti AWS detengono la proprietà e il controllo dei propri dati. AWS utilizza i contenuti di ogni cliente solo per fornire al cliente stesso i servizi AWS che ha selezionato. I contenuti dei clienti non vengono utilizzati per altri scopi. AWS tratta allo stesso modo tutti i contenuti dei clienti e non ha modo di vedere che tipo di contenuti il cliente sceglie di archiviare in AWS. AWS rende semplicemente disponibili servizi di calcolo, storage, database e reti selezionati dal cliente: non ha necessità di accedere ai contenuti del cliente per fornire i propri servizi.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 76 di 89
Area chiave Domande RISPOSTA AWS
j. Tecnologie per i gateway. Quali tecnologie usa il fornitore per creare un ambiente di gateway sicuro? Ecco alcuni esempi: firewall, filtri per il flusso di traffico, filtri per i contenuti e, se appropriato, software antivirus e data diode.
La rete AWS offre una protezione elevata contro i tradizionali problemi di sicurezza della rete e i clienti possono implementare un'ulteriore protezione. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security. Gli asset Amazon (ad esempio laptop) sono configurati con un software anti- virus che include il filtro delle e-mail e il rilevamento dei malware. La gestione del firewall di rete AWS e il programma anti-virus Amazon vengono verificati da revisori indipendenti di terze parti nell'ambito della
compliance con gli standard SOC, PCI DSS, ISO 27001 e FedRAMPsm.
k. Certificazione dei gateway. L'ambiente gateway del fornitore è certificato rispetto agli standard e alle normative del governo sulla sicurezza?
AWS ottiene determinate certificazioni di settore e attestazioni di terze parti indipendenti anche per l'ambiente gateway AWS.
l. Filtro dei contenuti e-mail. Per il servizio Software-as-a-Service, il fornitore ha previsto un sistema di filtro personalizzabile dei contenuti e-mail che consenta l'attuazione della relativa policy dell'agenzia?
Un cliente può utilizzare un sistema per ospitare le funzionalità e-mail; tuttavia, in questo caso è responsabilità del cliente impiegare i livelli idonei di protezione anti-spam e anti-malware nei punti di ingresso e di uscita delle e-mail e aggiornare le specifiche anti-spam e anti-malware quando sono disponibili nuove versioni.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 77 di 89
Area chiave Domande RISPOSTA AWS
m. Policy e processi a supporto dell'assetto di sicurezza IT del fornitore. È possibile conoscere nei dettagli in che modo l'assetto di sicurezza del fornitore in termini di computer e rete è supportato da policy e processi che comprendano le valutazioni delle minacce e dei rischi, la gestione continua delle vulnerabilità, un processo di gestione del cambiamento che includa sicurezza, test di intrusione, sistemi di log e loro analisi regolare, uso di prodotti di sicurezza approvati dal governo australiano e compliance con gli standard e le normative di sicurezza dello stesso governo australiano?
Sono state stabilite policy e procedure attraverso il framework AWS Information Security in base allo standard NIST 800-53, ISO 27001, ISO 27017, ISO 27018, ISO 9001 e ai requisiti PCI DSS. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001. Inoltre, AWS pubblica un rapporto SOC 1 di tipo II. Per ulteriori dettagli, fare riferimento al rapporto SOC 1. Per ulteriori dettagli, fare riferimento al whitepaper AWS Risk and Compliance (Rischio e compliance AWS), disponibile all'indirizzo http://aws.amazon.com/security. I clienti AWS possono identificare i controlli principali gestiti da AWS. I controlli principali sono essenziali per l'ambiente di controllo dei clienti e richiedono un'attestazione esterna sulla loro efficacia operativa in modo da soddisfare i requisiti di compliance, come ad esempio quelli del controllo finanziario annuale. A questo scopo, AWS pubblica un'ampia gamma di controlli IT specifici all'interno del rapporto Service Organization Controls 1 (SOC 1) di tipo II. Il rapporto SOC 1, in precedenza Statement on Auditing Standards (SAS, Dichiarazione sugli standard per i controlli) No. 70, i rapporti delle organizzazioni di servizio (Service Organizations) e il report in precedenza noto come Statement on Standards for Attestation Engagements No. 16 (SSAE 16) costituiscono uno standard per i controlli ampiamente riconosciuto, sviluppato dall'American Institute of Certified Public Accountants (AICPA). Il SOC 1 è un tipo di controllo che verifica approfonditamente l'efficacia progettuale e operativa degli obiettivi di controllo definiti e delle attività di controllo di AWS (che includono gli obiettivi di controllo e le attività di controllo della parte dell'infrastruttura gestita da AWS). "Tipo II" fa riferimento al fatto che ciascun controllo descritto all'interno del rapporto non viene soltanto valutato ai fini dell'adeguatezza progettuale, ma anche testato dal punto di vista dell'efficacia operativa dal revisore esterno. Tenuto conto dell'indipendenza e della competenza del revisore esterno di AWS, i controlli identificati nel rapporto offrono ai clienti un alto livello di sicurezza riguardo all'ambiente di controllo di AWS.
n. Tecnologie a supporto dell'assetto di sicurezza IT del fornitore. È possibile conoscere nei dettagli in che modo l'assetto di sicurezza del fornitore in termini di computer e rete è supportato da controlli tecnici diretti che comprendono l'applicazione tempestiva di patch di sicurezza, l'aggiornamento regolare del software antivirus, meccanismi di difesa approfonditi per la protezione contro vulnerabilità sconosciute, sistemi operativi rafforzati e applicazioni software configurate con le impostazioni di sicurezza più efficaci possibili, sistemi di rilevamento delle intrusioni e di prevenzione, nonché meccanismi di prevenzione delle perdite di dati?
AWS fornisce attestazioni di terze parti, certificazioni, il rapporto Service Organization Controls 1 (SOC 1) di tipo II e altri rapporti di compliance pertinenti direttamente ai clienti ai sensi dell'accordo di riservatezza. AWS Security esegue scansioni regolari di tutti gli indirizzi IP dell'endpoint del servizio connessi a Internet per individuare le vulnerabilità (tali scansioni non includono le istanze dei clienti). AWS Security notifica alle parti interessate le eventuali vulnerabilità identificate a cui è necessario porre rimedio. Vengono inoltre eseguite valutazioni di vulnerabilità alle minacce esterne da parte di società indipendenti operanti nel settore della sicurezza. I risultati di tali valutazioni e le relative raccomandazioni sono categorizzati e forniti alla direzione di AWS. Inoltre, l'ambiente di controllo AWS è soggetto a periodiche valutazioni del rischio interne ed esterne. AWS collabora con organi di certificazione esterni e revisori indipendenti per verificare e testare l'ambiente di controllo AWS nel suo insieme.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 78 di 89
Area chiave Domande RISPOSTA AWS
o. Controllo dell'assetto di sicurezza IT del fornitore. È possibile controllare l'implementazione da parte del fornitore di misure di sicurezza quali l'esecuzione di scansioni e altri test di intrusione nell'ambiente offerto all'utente? Se sussistono ragioni valide per cui tale controllo non è possibile, quale terza parte affidabile ha eseguito i controlli e altre valutazioni sulle vulnerabilità? Che tipo di controlli interni esegue il fornitore e su quali standard di conformità e altre prassi raccomandate da organizzazioni come la Cloud Security Alliance si basano tali valutazioni? È possibile esaminare in modo approfondito una copia recente dei rapporti risultanti?
AWS fornisce attestazioni di terze parti, certificazioni, il rapporto Service Organization Controls 1 (SOC 1) di tipo II e altri rapporti di compliance pertinenti direttamente ai clienti ai sensi dell'accordo di riservatezza. I clienti possono chiedere l'autorizzazione a eseguire scansioni della propria infrastruttura cloud, purché i controlli siano limitati alle istanze del cliente e non violino l'Acceptable Use Policy (policy di utilizzo accettabile) di AWS. Per ottenere la preventiva autorizzazione per questo tipo di scansioni è necessario inviare una richiesta utilizzando il modulo di richiesta del Test di vulnerabilità/intrusione di AWS. AWS Security chiede periodicamente a imprese che operano nel settore della sicurezza di eseguire valutazioni di vulnerabilità alle minacce esterne. Nel rapporto AWS SOC 1 di tipo 2 sono forniti dettagli aggiuntivi sulle attività di controllo specifiche eseguite da AWS.
p. Autenticazione dell'utente. Quali sistemi di gestione delle identità e degli accessi supporta il fornitore per consentire agli utenti di accedere e utilizzare la soluzione Software-as-a-Service?
AWS Identity and Access Management (IAM) consente di controllare in modo sicuro l'accesso ai servizi e alle risorse AWS per gli utenti. Con IAM è possibile creare e gestire gli utenti e i gruppi AWS e utilizzare i permessi per autorizzare e negare l'accesso alle risorse AWS. AWS supporta la federazione delle identità, che agevola la gestione degli utenti conservando le rispettive identità in un unico punto. AWS IAM include il supporto per Security Assertion Markup Language (SAML) 2.0, uno standard aperto impiegato da molti fornitori di identità. Questa nuova funzionalità consente l'accesso federato SSO (Single Sign On), grazie al quale gli utenti possono accedere alla console di gestione AWS o eseguire chiamate programmatiche alle API AWS tramite le dichiarazioni di un fornitore di identità conforme allo standard SAML, come Shibboleth e Windows Active Directory Federation Services.
q. Controllo centralizzato dei dati. Che tipo di training dell'utente, policy e controlli tecnici impediscono agli utenti dell'agenzia del cliente di impiegare dispositivi di elaborazione non approvati o non sicura in assenza di un ambiente operativo affidabile per lo storage o l'elaborazione dei dati sensibili a cui accedono per il Software-as-a-Service?
N/D
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 79 di 89
Area chiave Domande RISPOSTA AWS
r. Assetto di sicurezza fisica del fornitore. Il fornitore impiega prodotti e dispositivi di sicurezza fisica approvati dal governo australiano? In che modo è stato studiato il data center fisico del fornitore al fine di impedire la manomissione o il furto di server, infrastruttura e dati in esso archiviati? Il data center del fornitore è accreditato da una terza parte autorevole?
La definizione dei controlli logici e fisici di AWS è documentata nel rapporto SOC 1 di tipo II, consultabile da parte dei team di audit e compliance. AWS ISO 27001 e le altre certificazioni sono anch'esse a disposizione dei revisori per l'eventuale consultazione. I controlli di sicurezza fisici includono, a titolo esemplificativo, controlli perimetrali, quali recinzioni, pareti, personale addetto alla sicurezza, video sorveglianza, sistemi di rilevamento dell'intrusione e altri dispositivi elettronici. L'accesso fisico viene rigorosamente controllato sia lungo il perimetro che presso i punti di ingresso dell'edificio e include, a titolo esemplificativo, il personale addetto alla sicurezza che si avvale di sistemi di video sorveglianza e di rilevamento dell'intrusione e di altri dispositivi elettronici. Il personale autorizzato deve superare almeno due volte un controllo di autenticazione a due fattori per accedere ai piani dei data center. I punti di accesso fisico ai server vengono ripresi da un sistema di videocamere a circuito chiuso (CCTV) come previsto dalla policy sulla sicurezza fisica dei data center AWS. I filmati vengono conservati per 90 giorni, a meno che obblighi di natura legale o contrattuale non limitino questo periodo a 30 giorni. AWS fornisce accesso e informazioni sul data center fisico a dipendenti e appaltatori approvati, per i quali sussistono legittime esigenze aziendali che dettano la necessità di tali privilegi. Tutti i visitatori devono presentare una prova d'identificazione, quindi firmano in ingresso e sono scortati dal personale autorizzato. Si veda il rapporto SOC 1 di tipo II per i controlli specifici relativi all'accesso fisico, all'autorizzazione di accesso ai data center e ad altri controlli correlati. Per ulteriori informazioni, fare riferimento allo standard ISO 27001, appendice A, dominio 9.1. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
s. Approvvigionamento di software e hardware. Quali processi di approvvigionamento vengono utilizzati per garantire che il software e l'hardware dell'infrastruttura cloud siano stati forniti da una fonte legittima e non siano stati intenzionalmente modificati durante il transito?
In linea con gli standard ISO 27001, gli asset hardware AWS sono assegnati ad un responsabile, tracciati e monitorati dal personale AWS mediante gli strumenti di gestione inventario proprietari di AWS. Il team della catena di approvvigionamento e fornitura AWS mantiene i rapporti con tutti i fornitori AWS. Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice A, dominio 7.1. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 80 di 89
Area chiave Domande RISPOSTA AWS
Protezione dei dati da accessi non autorizzati dai clienti del fornitore
a. Separazione dei clienti. Quali rassicurazioni può dare il fornitore sul fatto che la virtualizzazione e i meccanismi di multitenancy garantiscano un'adeguata separazione logica e di rete tra più tenant, così che un cliente malintenzionato che usa lo stesso computer di un utente non possa accedere ai dati di quest'ultimo?
Attualmente, Amazon EC2 utilizza una versione dell'hypervisor Xen con elevata personalizzazione. L'hypervisor viene sottoposto a valutazioni regolari sulle vulnerabilità nuove ed esistenti e sui vettori di attacco da parte di team di intrusione interni ed esterni ed è idoneo a mantenere un forte isolamento tra macchine virtuali ospiti. La sicurezza dell'hypervisor AWS Xen viene verificata regolarmente da revisori indipendenti durante valutazioni e controlli. Tutti i dati archiviati da AWS per conto dei clienti dispongono di solide funzionalità di sicurezza e controllo dell'isolamento dei tenant. I clienti mantengono il controllo e la proprietà dei propri dati, pertanto è loro responsabilità scegliere se crittografare i dati. AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. Anche le sessioni VPC sono crittografate. Amazon S3 offre inoltre, come opzione per i clienti, la crittografia lato server. Per ulteriori dettagli, fare riferimento al whitepaper AWS Risk and Compliance (Rischio e compliance AWS), disponibile all'indirizzo http://aws.amazon.com/security.
b. Indebolimento dell'assetto di sicurezza del cliente. L'utilizzo dell'infrastruttura cloud del fornitore indebolirebbe l'assetto di sicurezza della rete attualmente adottato dall'agenzia del cliente? Il fornitore potrebbe pubblicizzare l'utente come proprio cliente senza il suo consenso esplicito, fornendo così informazioni preziose a chi volesse prenderlo di mira?
Le informazioni sull'identità dei clienti AWS sono considerate riservate e AWS non le pubblicizzerà senza consenso esplicito. Amazon Virtual Private Cloud (Amazon VPC) consente di fornire una sezione del cloud Amazon Web Services (AWS) isolata a livello logico dove è possibile lanciare le risorse AWS in una rete virtuale definita dall'utente. Il cliente ha il controllo completo dell'ambiente di rete virtuale, che include la scelta degli indirizzi IP, la creazione di subnet e la configurazione di tabelle di routing e gateway di rete.
c. Server dedicati. È possibile avere un certo grado di controllo sul computer fisico sul quale vengono eseguite le macchine virtuali di un dato cliente? L'utente può pagare un extra per assicurarsi che altri clienti non usino lo stesso suo computer fisico, come se fossero server dedicati o Virtual Private Cloud?
VPC consente ai clienti di avviare istanze di Amazon EC2 fisicamente isolate al livello dell'hardware che pertanto verranno eseguite su hardware a singolo tenant. È possibile creare una VPC con una tenancy "dedicata": in questo caso, tutte le istanze avviate nella VPC utilizzeranno questa funzionalità. In alternativa è possibile creare una VPC con tenancy "predefinita", ma i clienti possono comunque specificare una tenancy "dedicata" per istanze particolari avviate in VPC.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 81 di 89
Area chiave Domande RISPOSTA AWS
d. Sterilizzazione dei supporti. Quando vengono eliminate porzioni di dati, quali processi vengono messi in atto per sterilizzare i supporti di storage prima di renderli disponibili per altri clienti? I processi in questione sono considerati appropriati dall'ISM del DSD?
I clienti detengono la proprietà e il controllo dei propri contenuti e hanno la possibilità di eliminare i propri dati. Quando un dispositivo di storage raggiunge la fine della sua vita utile, le procedure AWS includono un processo di disattivazione progettato per impedire che i dati del cliente siano accessibili a persone non autorizzate. AWS utilizza le tecniche riportate in dettaglio nel DoD 5220.22-M ("National Industrial Security Program Operating Manual") o NIST 800-88 ("Guidelines for Media Sanitization") per distruggere i dati come parte del processo di disattivazione. Se non è possibile disattivare un dispositivo hardware mediante queste procedure, il dispositivo sarà smagnetizzato o distrutto fisicamente in linea con le procedure standard del settore. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
Protezione dei dati da accessi non autorizzati da parte di dipendenti malintenzionati del fornitore
a. Gestione delle chiavi di crittografia dei dati. Il fornitore conosce la password o la chiave usata per decifrare i dati dell'utente? Oppure è necessario crittografare e decifrare i dati sul proprio computer in modo che al fornitore arrivino soltanto i dati crittografati?
I clienti AWS gestiscono autonomamente la crittografia a meno che non utilizzino un servizio di crittografia lato server AWS. In tal caso, AWS crea una chiave di crittografia univoca per ciascun tenant. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
b. Verifica dei dipendenti del fornitore. Che tipi di controlli sul personale e processi di verifica esegue il fornitore per garantire l'affidabilità dei dipendenti?
AWS esegue controlli sui precedenti penali, nei limiti di quanto ammesso dalle leggi in vigore, come parte delle pratiche preliminari di selezione del personale, commisurati alla posizione del dipendente e al livello di accesso alle strutture AWS.
c. Controllo dei dipendenti del fornitore. Quale efficace sistema di gestione delle identità e degli accessi usano i dipendenti del fornitore? Quale processo di controllo viene attuato per registrare ed esaminare le azioni eseguite dai dipendenti del fornitore?
In linea con gli standard ISO 27001, AWS ha definito policy formali e procedure atte a delineare gli standard minimi per l'accesso logico alle risorse AWS. I rapporti AWS SOC 1 di tipo 2 illustrano i controlli in atto per la gestione del provisioning degli accessi alle risorse AWS. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
d. Visitatori nel data center. Nel data center i visitatori vengono scortati sempre? E vengono verificati e registrati il nome e altri dati personali di ogni visitatore?
Tutti i visitatori e gli appaltatori devono presentare una prova d'identificazione, quindi firmano in ingresso e sono scortati continuamente dal personale autorizzato. AWS fornisce accesso e informazioni sul data center solo a dipendenti e collaboratori per cui sussistono legittime esigenze aziendali che dettano la necessità di tali privilegi. Quando termina l'esigenza aziendale che ha portato alla concessione dei privilegi, al dipendente viene immediatamente revocato l'accesso, anche se questi continua a essere alle dipendenze di Amazon o di Amazon Web Services. Ogni accesso fisico dei dipendenti AWS ai data center è registrato e controllato di routine.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 82 di 89
Area chiave Domande RISPOSTA AWS
e. Manomissione fisica da parte dei dipendenti del fornitore. Il cablaggio di rete è installato in modo professionale e in linea con gli standard australiani o con altri standard internazionali accettabili, al fine di impedire ai dipendenti del fornitore di commettere errori nel collegamento dei cavi ai computer e per evidenziare prontamente qualsiasi deliberato tentativo di manomissione dei cavi posto in atto dai dipendenti del fornitore?
I controlli di sicurezza fisici includono, a titolo esemplificativo, controlli perimetrali, quali recinzioni, pareti, personale addetto alla sicurezza, video sorveglianza, sistemi di rilevamento dell'intrusione e altri dispositivi elettronici. È compresa un'appropriata protezione dei cavi di rete. Nel rapporto AWS SOC 1 di tipo 2 sono forniti dettagli aggiuntivi sulle attività di controllo specifiche eseguite da AWS. Per ulteriori informazioni, fare riferimento allo standard ISO 27001, appendice A, dominio 9.1. AWS è stato convalidato e certificato da un revisore indipendente per confermare l'allineamento con lo standard di certificazione ISO 27001.
f. Subappaltatori del fornitore. Le risposte a queste domande sono ugualmente valide per tutti i subappaltatori del fornitore?
Il provisioning dell'accesso di appaltatori e fornitori è gestito allo stesso modo sia per i dipendenti, sia per gli appaltatori, con Shared Responsibility tra le risorse umane, la gestione aziendale e i proprietari del servizio. I fornitori sono soggetti agli stessi requisiti di accesso validi per i dipendenti.
Gestione degli incidenti di sicurezza
a. Supporto tempestivo del fornitore. Il fornitore è facilmente contattabile e pronto a rispondere alla richieste di supporto? Il tempo di risposta massimo accettabile è incluso nel contratto sul livello di servizio o è una semplice dichiarazione di marketing secondo cui il fornitore farà del suo meglio? Il supporto è fornito a livello locale o da un paese straniero, oppure da diversi paesi stranieri utilizzando un approccio che tiene conto dei fusi orari? Quali meccanismi usa il fornitore per ottenere una comprensione in tempo reale dell'assetto di sicurezza dell'utente nell'uso dei servizi del fornitore al fine di offrire supporto?
AWS Support è un canale di supporto personale a risposta rapida, in cui tecnici di supporto esperti e preparati sono presenti 24 ore su 24, 7 giorni su 7, 365 giorni l'anno. Il servizio ha lo scopo di aiutare clienti di qualsiasi dimensione o competenza tecnica a utilizzare con successo i prodotti e le caratteristiche offerte da Amazon Web Services. Con tutti i livelli di assistenza di AWS Support, i clienti dei servizi infrastrutturali AWS hanno a disposizione un numero illimitato di interventi di assistenza a un prezzo mensile e senza contratti a lungo termine. I quattro livelli offrono a sviluppatori e aziende la flessibilità di scegliere l'assistenza più adatta alle proprie specifiche esigenze.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 83 di 89
Area chiave Domande RISPOSTA AWS
b. Piano di risposta agli incidenti del fornitore. Il fornitore dispone di un piano di risposta agli incidenti di sicurezza in cui sia specificato come rilevare e rispondere a tali incidenti in modo simile alle procedure di gestione degli incidenti illustrate in dettaglio nell'ISM del DSD? È possibile esaminarne in modo approfondito una copia?
Il team di gestione degli incidenti di Amazon impiega procedure diagnostiche standard di settore per risolvere i problemi durante gli eventi che influiscono sulle attività aziendali. Gli operatori offrono una copertura 24x7x365 per rilevare gli incidenti e gestire l'impatto e la soluzione. I piani, le procedure e il programma di risposta agli incidenti AWS sono stati sviluppati in conformità allo standard ISO 27001. Nel rapporto AWS SOC 1 di tipo 2 sono forniti dettagli sulle attività di controllo specifiche eseguite da AWS. Per ulteriori informazioni, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
c. Formazione dei dipendenti del fornitore. Quali qualifiche, certificazioni e regolare formazione sulla sicurezza delle informazioni vengono richieste ai dipendenti del fornitore perché possano conoscerne i sistemi in modo sicuro e per identificare potenziali incidenti di sicurezza?
In linea con lo standard ISO 27001, tutti i dipendenti AWS completano una formazione periodica sulla sicurezza delle informazioni per la quale è richiesta conferma di completamento. Vengono effettuati controlli in materia di compliance a cadenza periodica per assicurarsi che i dipendenti comprendano e seguano le policy definite. Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
d. Notifica degli incidenti di sicurezza. Il fornitore informa il cliente (tramite comunicazioni protette) degli incidenti di sicurezza più gravi della soglia concordata, specie nei casi in cui il fornitore potrebbe esserne responsabile? Il fornitore informa automaticamente le forze dell'ordine o altre autorità che potrebbero sequestrare le apparecchiature di calcolo utilizzate per lo storage o l'elaborazione dei dati di un cliente?
Le notifiche relative agli incidenti di sicurezza sono gestite caso per caso, secondo quanto previsto dalla legge vigente. Eventuali notifiche vengono inviate tramite comunicazioni protette.
e. Portata del supporto del fornitore. In che misura il fornitore offrirà assistenza nelle indagini qualora si verifichi una violazione della sicurezza, ad esempio una divulgazione non autorizzata dei dati, o se fosse necessario eseguire una rilevazione elettronica delle prove di natura legale?
AWS fornisce l'infrastruttura e il cliente gestisce tutto il resto, compreso il sistema operativo, la configurazione di rete e le applicazioni installate. I clienti sono responsabili del rispetto delle procedure legali che prevedono l'identificazione, la raccolta, l'elaborazione, l'analisi e la produzione dei documenti elettronici che i clienti archiviano o elaborano con l'ausilio di AWS. Su richiesta, AWS può collaborare con i clienti che necessitano dell'assistenza di AWS nelle procedure legali.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 84 di 89
Area chiave Domande RISPOSTA AWS
f. Accesso ai log. In che modo è possibile accedere ai log di controllo a sincronizzazione temporale e ad altri log per eseguire indagini forensi? In che modo vengono creati e archiviati i log per costituire una prova valida in tribunale?
I clienti mantengono il controllo dei propri sistemi operativi, software e applicazioni guest e sono responsabili dello sviluppo di un monitoraggio logico delle condizioni di tali sistemi. In linea con gli standard ISO 27001, i sistemi informatici di AWS utilizzano orologi interni al sistema sincronizzati tramite NTP (Network Time Protocol). AWS CloudTrail offre una soluzione semplice per registrare l'attività dell'utente, che consente di evitare l'utilizzo un complesso sistema di registrazione. Per ulteriori dettagli, fare riferimento alla pagina aws.amazon.com/cloudtrail. AWS CloudWatch assicura il monitoraggio delle risorse cloud AWS e delle applicazioni eseguite dai clienti su AWS. Per ulteriori dettagli, fare riferimento alla pagina aws.amazon.com/cloudwatch. AWS pubblica inoltre le informazioni più aggiornate relative alla disponibilità del servizio sul pannello di controllo stato servizi. Fare riferimento a status.aws.amazon.com.
g. Risarcimento per gli incidenti di sicurezza. In che modo il fornitore corrisponderà un risarcimento adeguato al cliente qualora le azioni dello stesso fornitore oppure guasti a livello software o hardware abbiano contribuito a una violazione della sicurezza?
I piani, le procedure e il programma di risposta agli incidenti AWS sono stati sviluppati in conformità allo standard ISO 27001. Nel rapporto AWS SOC 1 di tipo 2 sono forniti dettagli sulle attività di controllo specifiche eseguite da AWS. Per ulteriori informazioni, fare riferimento al whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo http://aws.amazon.com/security.
h. Fughe di dati. Se per errore nel cloud fossero trasferiti dati considerati troppo sensibili dall'utente per questa soluzione, in una situazione denominata "fuoriuscita di dati", in che modo è possibile eliminare i dati fuoriusciti utilizzando tecniche di sterilizzazione forense? La porzione interessata del supporto di storage fisico viene azzerata ogni volta che vengono eliminati dati? In caso contrario, quanto tempo è necessario perché i dati eliminati vengano sovrascritti dai clienti nell'ambito di un normale funzionamento, tenendo conto che in genere i cloud presentano una notevole capacità di storage libera e non utilizzata? È possibile eliminare con tecniche forensi dai supporti di backup del fornitore i dati fuoriusciti? In quale altro punto sono archiviati i dati fuoriusciti? Possono essere eliminati con tecniche forensi?
I clienti detengono la proprietà e il controllo dei propri contenuti. Tutti i dati archiviati da AWS per conto dei clienti dispongono di solide funzionalità di sicurezza e controllo dell'isolamento dei tenant. AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. I tunnel da IPSec a VPC sono anch'essi crittografati. Amazon S3 offre inoltre, come opzione per i clienti, la crittografia lato server. Per ulteriori dettagli, fare riferimento al whitepaper AWS Risk and Compliance (Rischio e compliance AWS), disponibile all'indirizzo http://aws.amazon.com/security. Per ulteriori dettagli, fare riferimento al whitepaper AWS Risk and Compliance (Rischio e compliance AWS), disponibile all'indirizzo http://aws.amazon.com/security.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 85 di 89
Appendice C: Glossario dei termini
Autenticazione: si definisce autenticazione il processo atto a determinare se qualcuno o qualcosa è in effetti chi o cosa dichiara di essere. Zona di disponibilità: le località di EC2 sono composte da regioni e zone di disponibilità. Queste ultime sono località distinte progettate per rimanere isolate dai guasti che si verificano in altre zone di disponibilità e offrono una connettività di rete economica e a bassa latenza ad altre zone di disponibilità nella stessa regione. DSS: il PCI-DSS (Payment Card Industry Data Security Standard) è uno standard mondiale per la sicurezza delle informazioni predisposto e gestito dal Payment Card Industry Security Standards Council. EBS: Amazon Elastic Block Store (EBS) offre volumi di storage a livello di blocco per l'uso combinato con istanze di Amazon EC2. I volumi Amazon EBS rappresentano uno storage non legato all'istanza che persiste indipendentemente dalla durata dell'istanza stessa. FedRAMPsm: il Federal Risk and Authorization Management Program (FedRAMPsm) è un programma a livello governativo che fornisce un approccio standardizzato a valutazione della sicurezza, autorizzazioni e monitoraggio continuo per prodotti e servizi cloud. L'adozione del programma FedRAMPsm è obbligatoria per le distribuzioni cloud e i modelli di servizio delle agenzie federali con livelli di impatto contraddistinti da un rischio basso e moderato. FISMA: è il Federal Information Security Management Act del 2002. La legge prevede che ogni agenzia federale sviluppi, documenti e implementi un programma, esteso a tutta l'agenzia, per la sicurezza delle informazioni. Sono interessate le informazioni e i sistemi informativi che supportano le operazioni e gli asset dell'agenzia, inclusi quelli forniti o gestiti da un'altra agenzia, un altro appaltatore o altre fonti. FIPS 140-2: il Federal Information Processing Standard (FIPS) Publication 140-2 è uno standard di sicurezza del governo degli Stati Uniti che specifica i requisiti di sicurezza previsti per i moduli crittografici che proteggono informazioni sensibili. GLBA: la legge Gramm-Leach-Bliley Act (GLB o GLBA), nota anche come Financial Services Modernization Act del 1999, stabilisce i requisiti per gli istituti finanziari per quanto concerne, tra gli altri, la divulgazione di informazioni non pubbliche dei clienti e la protezione dalle minacce all'integrità di sicurezza e dati. HIPAA: la legge Health Insurance Portability and Accountability Act (HIPAA) del 1996 prevede la definizione di standard nazionali per le transazioni elettroniche in ambito sanitario e di identificativi nazionali per fornitori, piani di assicurazione medica e datori di lavoro. Nelle disposizioni relative alla semplificazione amministrativa si approfondisce anche il tema della sicurezza e della riservatezza dei dati sanitari. Gli standard hanno l'obiettivo di migliorare l'efficienza e l'efficacia del sistema sanitario degli Stati Uniti favorendo la diffusione dell'interscambio elettronico di dati al suo interno. Hypervisor: si definisce hypervisor, o Virtual Machine Monitor (VMM), un software di virtualizzazione di una piattaforma software/hardware che consente l'esecuzione contemporanea di più sistemi operativi su un computer host. IAM: AWS Identity and Access Management (IAM) consente ai clienti di creare più utenti e gestire i permessi per ciascuno di essi dal proprio account AWS.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 86 di 89
ITAR: l'International Traffic in Arms Regulations (ITAR) è una serie di normative definite dal governo degli Stati Uniti per il controllo dell'esportazione e dell'importazione di articoli e servizi legati alla sfera della difesa inclusi nella United States Munitions List (USML). Agenzie governative e appaltatori devono rispettare la conformità all'ITAR e limitare l'accesso ai dati protetti.
ISAE 3402: l'International Standards for Assurance Engagements No. 3402 (ISAE 3402) è lo standard internazionale relativo agli impegni di garanzia. È stato stilato dall'International Auditing and Assurance Standards Board (IAASB), un organismo di standardizzazione interno alla International Federation of Accountants (IFAC). ISAE 3402 è ormai riconosciuto come nuovo standard globale per il reporting di garanzia sulle organizzazioni di servizi. ISO 9001: la certificazione AWS 9001 di ISO è a diretto supporto dei clienti che sviluppano, migrano e gestiscono i propri sistemi IT di qualità controllata nel cloud AWS. I clienti possono utilizzare i rapporti di compliance AWS come prove nei programmi ISO 9001 e nei programmi di qualità specifici del settore, come GxP nelle scienze biologiche, ISO 13485 nei dispositivi medici, AS9100 nel settore aerospaziale e ISO/TS 16949 nel settore automobilistico. I clienti AWS che non presentano requisiti per i sistemi di qualità trarranno comunque vantaggio dall'ulteriore garanzia e trasparenza offerte dalla certificazione ISO 9001.
ISO 27001: ISO/IEC 27001 è uno standard per i sistemi di gestione della sicurezza delle informazioni (ISMS, Information Security Management System) pubblicato dalla International Organization for Standardization (ISO) e dalla International Electrotechnical Commission (IEC). Lo standard ISO 27001 delinea formalmente un sistema di gestione il cui scopo è portare la sicurezza delle informazioni sotto un esplicito controllo di gestione. Trattandosi di una specifica formale, lo standard prescrive requisiti specifici. Le organizzazioni che dichiarano di aver adottato lo standard ISO/IEC 27001 possono quindi essere controllate e può essere certificata la loro conformità allo standard.
NIST: il National Institute of Standards and Technology è un'agenzia che definisce standard di sicurezza dettagliati secondo le esigenze dei programmi governativi o di settore. Per essere conformi alle disposizioni della legge FISMA, le agenzie devono rispettare gli standard del NIST. Oggetto: entità fondamentali archiviate in Amazon S3. L'oggetto è composto da dati e metadati. La prima parte non è visibile per Amazon S3. I metadati invece sono un insieme di coppie nome-valore che descrivono l'oggetto e in cui sono inclusi alcuni metadati predefiniti, ad esempio la data dell'ultima modifica e metadati HTTP standard come Content-Type. Lo sviluppatore può inoltre specificare metadati standard al momento dell'archiviazione dell'oggetto. PCI: acronimo relativo al Payment Card Industry Security Standards Council, un comitato indipendente formato in origine da American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International, con l'obiettivo di gestire la continua evoluzione dello standard PCI-DSS (Payment Card Industry Data Security Standard). QSA: la qualifica di Qualified Security Assessor (QSA) del Payment Card Industry (PCI) viene conferita dal PCI Security Standards Council alle persone che soddisfano specifici requisiti di qualifica e sono autorizzate a eseguire valutazioni di conformità PCI. SAS 70: il documento Statement on Auditing Standards No. 70: Service Organizations è una dichiarazione di controllo emesso dall'Auditing Standards Board dell'American Institute of Certified Public Accountants (AICPA). SAS 70 offre indicazioni ai revisori dei servizi durante la valutazione dei controlli interni di un'organizzazione di servizi (come AWS) e l'emissione del relativo rapporto. SAS 70 offre anche linee guida ai revisori del bilancio contabile di un soggetto che si avvale di una o più organizzazioni di servizi. Il rapporto SAS 70 è stato sostituito dal report Service Organization Controls 1.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 87 di 89
Servizio: software o capacità di calcolo fornita in una rete (ad esempio, EC2, S3, VPC, ecc.). Contratto sul livello di servizio (Service Level Agreement, SLA): è la parte di un contratto di servizio dove vengono definiti in modo formale i livelli di servizio. Lo SLA è utilizzato come riferimento per i tempi di consegna (del servizio) o le prestazioni definiti da contratto. SOC 1: il rapporto Service Organization Controls 1 (SOC 1) di Tipo II, in precedenza Statement on Auditing Standards (SAS, Dichiarazione sugli standard per i controlli) No. 70, il rapporto delle organizzazioni di servizio (Service Organizations), in precedenza noto come SSAE 16, costituisce uno standard per i controlli ampiamente riconosciuto, sviluppato dall'American Institute of Certified Public Accountants (AICPA). Si fa riferimento allo standard internazionale con la denominazione International Standards for Assurance Engagements No. 3402 (ISAE 3402). SSAE 16 [obsoleta]: la dichiarazione Statement on Standards for Attestation Engagements No. 16 (SSAE 16) rappresenta uno standard di attestazione pubblicato dall'Auditing Standards Board (ASB) dell'American Institute of Certified Public Accountants (AICPA). Lo standard definisce gli impegni assunti da un revisore di servizi per il reporting sui controlli nelle organizzazioni che offrono servizi a soggetti utenti, per cui i controlli dell'organizzazione di servizi sono probabilmente importanti per i controlli interni sui rapporti finanziari (ICFR) dei soggetti utenti. Lo standard SSAE 16 sostituisce a tutti gli effetti il precedente Statement on Auditing Standards No. 70 (SAS 70) per revisori con periodi di reporting terminanti dal 15 giugno 2011 in poi. SOC 2: i rapporti Service Organization Controls 2 (SOC 2) sono progettati per soddisfare le esigenze di una vasta gamma di utenti che necessitano di comprendere i controlli interni in un'organizzazione di servizi perché sono collegati a sicurezza, disponibilità, integrità dell'elaborazione, confidenzialità e riservatezza. Si tratta di rapporti stilati seguendo la guida AICPA: Reporting on Controls at a Service Organizations Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy (Report sui controlli presso organizzazioni di servizi importanti per sicurezza, disponibilità, integrità dell'elaborazione, confidenzialità o riservatezza) e sono studiati per essere utilizzati dai soggetti interessati (ad esempio, clienti, enti di regolamentazione, partner commerciali, fornitori, responsabili) dell'organizzazione di servizi, i quali hanno una comprensione approfondita dell'organizzazione stessa e dei relativi controlli interni. SOC 3: i rapporti Service Organization Controls 3 (SOC 3) sono progettati per soddisfare le esigenze di utenti che desiderano garanzie sui controlli in un'organizzazione di servizi in relazione a sicurezza, disponibilità, integrità dell'elaborazione, confidenzialità o riservatezza, ma non hanno l'esigenza o la conoscenza necessarie per utilizzare appieno un rapporto SOC 2. Si tratta di report stilati seguendo quanto stabilito dall'AICPA/Canadian Institute of Chartered Accountants (CICA) in Trust Services Principles, Criteria, and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Principi, criteri e illustrazioni relativi all'affidabilità dei servizi in termini di sicurezza, disponibilità, integrità dell'elaborazione, confidenzialità e riservatezza). Essendo destinati a un uso generico, i rapporti SOC 3 possono essere liberamente distribuiti o pubblicati su un sito Web come elemento di prestigio. Istanza virtuale: una volta avviata un'AMI, ci si riferisce con il termine "istanza" al sistema che di conseguenza è in esecuzione. Tutte le istanze basate sulla stessa AMI iniziano in modo identico e tutte le informazioni relative ad esse vanno perdute in caso di conclusione o mancata riuscita dell'istanza.
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 88 di 89
Cronologia delle versioni Dicembre 2015
Aggiornamento dei riepiloghi delle certificazioni e delle attestazioni di terze parti
Aggiunta della certificazione ISO 27017
Aggiunta della certificazione ISO 27018
Aggiunta dell'undicesima regione (Cina Pechino) Novembre 2015
Aggiornamento a CSA v3.0.1
Agosto 2015
Aggiornamento dei servizi compresi nell'ambito di applicazione per PCI 3.1
Aggiornamento delle regioni comprese nell'ambito di applicazione per PCI 3.1 Maggio 2015
Aggiunta della decima regione (UE Francoforte)
Aggiornamento dei servizi compresi nell'ambito di applicazione per SOC 3
Testo SSAE 16 reso obsoleto Aprile 2015
Aggiornamento dei servizi compresi nell'ambito di applicazione per: FedRAMPsm, HIPAA, SOC 1, ISO 27001, ISO 9001
Febbraio 2015
Aggiornamento degli endpoint VPN FIPS 140-2 e sistemi di bilanciamento del carico terminanti con SSL
Aggiornamento della descrizione di PCI DSS Dicembre 2014
Aggiornamento dei riepiloghi delle certificazioni e delle attestazioni di terze parti
Versione novembre 2013
Modifica della descrizione della crittografia in modalità tunnel IPsec
Versione giugno 2013
Aggiornamento dei riepiloghi delle certificazioni e delle attestazioni di terze parti
Aggiornamenti dell'Appendice C: Glossario dei termini
Modifiche secondarie alla formattazione Versione gennaio 2013
Modifica dei riepiloghi delle certificazioni e delle attestazioni di terze parti
Versione novembre 2012
Modifica dei contenuti e aggiornamento dell'ambito delle certificazioni
Aggiunta del riferimento a SOC 2 e MPAA
Versione luglio 2012
Modifica dei contenuti e aggiornamento dell'ambito delle certificazioni
Aggiunta del Questionario sull'iniziativa di valutazione del consenso CSA (Appendice A) Versione gennaio 2012
Modifiche secondarie dei contenuti basate sull'aggiornamento dell'ambito delle certificazioni
Modifiche grammaticali secondarie
Amazon Web Services Risk and Compliance Dicembre 2015
Pagina 89 di 89
Versione dicembre 2011
Modifica della sezione Certificazioni e attestazioni di terze parti per includere SOC 1/SSAE 16, FISMA Moderate, International Traffic in Arms Regulations e FIPS 140-2
Aggiunta della crittografia lato server S3
Aggiunta di ulteriori argomenti sui problemi del cloud computing Versione maggio 2011
Rilascio iniziale
Note
© 2010-2016, Amazon.com, Inc., o società affiliate. Il presente documento è fornito a solo scopo informativo. In esso sono illustrate le attuali offerte di prodotti di AWS alla data di uscita del documento, offerte che sono soggette a modifica senza preavviso. È responsabilità dei clienti effettuare una propria valutazione indipendente delle informazioni contenute nel presente documento e dell'uso dei prodotti o dei servizi di AWS, ciascuno dei quali viene fornito "così com'è", senza garanzie di alcun tipo, né esplicite né implicite. Il presente documento non crea garanzie, rappresentazioni, impegni contrattuali, condizioni o assicurazioni da parte di AWS, delle società affiliate, dei fornitori o dei licenziatari. Le responsabilità di AWS nei confronti dei propri clienti sono definite dai contratti AWS e il presente documento non costituisce parte né modifica qualsivoglia contratto tra AWS e i suoi clienti.