AWS Compliance – Häufig gestellte Fragen

Themen der Seite

Allgemeines
8
Compliance-Berichte
4
Compliance-Programme
6

Allgemeines

Für den Fall, dass Sie Unterstützung brauchen, um einen Fragebogen auszufüllen, damit die Sicherheits- und Compliance-Positionen von AWS dokumentieren werden, bietet AWS einen empfohlenen Ansatz, mit dem Sie die Ressourcen erhalten, müssen Sie Ihre Sicherheits- und Compliance-Fragen im Kontext der Cloud und des AWS-Geschäftsmodells beantworten. Die am häufigsten verwendeten Ressourcen zum Ausfüllen von Sicherheits- und Compliance-Fragebögen sind:

  • AWS Artifact – AWS Artifact ist Ihre zuverlässige, zentrale Ressource für wichtige Compliance-bezogene Informationen. Dieses Portal stellt On-Demand-Zugriff auf Sicherheits- und Compliance-Berichte sowie ausgewählte Online-Vereinbarungen von AWS bereit. Zu den in AWS Artifact verfügbaren Berichten gehören beispielsweise Service Organization Control (SOC)-Berichte, Compliance-Bescheinigungen der Zahlungskartenindustrie (PCI) sowie Zertifizierungen von Akkreditierungsstellen – jeweils aus unterschiedlichen Weltregionen und vertikalen Compliance-Ebenen. Allen gemeinsam ist, dass darin die Implementierung und Betriebseffektivität der Sicherheitsmaßnahmen von AWS bewertet wird. Zu den in AWS Artifact verfügbaren Vereinbarungen gehören das Business Associate Addendum (BAA) und das Nondisclosure Agreement (NDA).
  • Webseite zu AWS-Compliance-Programmen – AWS-Compliance-Programme ermöglichen unseren Kunden, sich mit den zuverlässigen Kontrollmöglichkeiten in AWS vertraut zu machen, die der Sicherheit und Compliance in der Cloud dienen.
  • Webseite zur Steuerung des AWS-Rechenzentrums – Viele Fragebögen verfügen über einen Abschnitt mit Fragen in Bezug auf die physische Sicherheit des Rechenzentrums. Diese Website stellt Ihnen einen Einblick in einige unserer physischen und Umgebungskontrollen bereit.
  • AWS-Whitepaper zu Risiko und Compliance – In diesem Dokument werden AWS-spezifische Informationen zu allgemeinen Compliance-Fragen von Cloud Computing behandelt.
  • Fragebogen für die CSA-Initiative zur Konsensbewertung – Der Fragebogen für die CSA-Initiative zur Konsensbewertung enthält eine Reihe von Fragen, die ein CSA von einem Cloud-Konsumenten und/oder einem Prüfer an einen Cloud-Anbieter vorweg nimmt. Es bietet eine Reihe von Sicherheits-, Kontroll- und Prozessfragen, die dann für eine Vielzahl von Anwendungen verwendet werden können, einschließlich der Auswahl von Cloud-Anbietern und der Sicherheitsbewertung. Dieses Dokument enthält die AWS-Antworten zum CSA-Fragebogen.
  • AWS-CyberGRX-Bewertung – Kunden können den AWS CyberGRX-Bericht nutzen, um die Sorgfaltspflicht ihrer Lieferanten zu reduzieren, indem sie veraltete statische Tabellen ersetzen und jedes Jahr wiederholt Zugriff auf die AWS-Bewertung beantragen müssen. Kunden können auch die Framework Mapper-Feature von CyberGRX verwenden, mit der sie die AWS-Bewertung häufig verwendeten Branchen-Frameworks und -standards zuordnen können, um sofort einen Überblick über den Umfang der Kontrollen zu erhalten.
  • AWS-CyberVadis-Bewertung – Kunden können den AWS CyberVadis-Risikobewertungsbericht und die Scorecard für ihre Sorgfaltspflicht gegenüber Lieferanten nutzen. Die CyberVadis-Bewertung bietet erweiterte Funktionen, indem die Antworten von AWS mit Analysen und ausgeklügelten Risikomodellen kombiniert werden, um einen detaillierten Überblick über die Sicherheitslage von AWS zu erhalten. Kunden können die Ergebnisse von CyberVadis verwenden, um die AWS-Bewertung den gängigen Branchen-Frameworks und -standards zuzuordnen und so sofort einen Überblick über den Umfang der Kontrollen zu erhalten.
  • SIG-Fragebogen – Der Fragebogen zur standardisierten Informationserfassung (SIG) ist für Kunden gedacht, die die SIG-Fragebogen-Tools von Shared Assessment verwenden, um ihren Prozess für Risikobewertungen durch Dritte zu standardisieren. AWS hat diesen Fragebogen mit frei formulierten Antworten ausgefüllt, um Ihnen als AWS-Kunden den Sorgfältigkeitsprozess der AWS Cloud näher zu bringen. Sie finden SIG unter AWS Artifact.

Auf der Webseite AWS-Services im Geltungsbereich finden Sie eine Liste der Services, bei denen die Einhaltung gängiger Compliance-Standards überprüft wurde.

AWS kann die auf der Website AWS-Unterverarbeiter aufgeführten Entitäten beauftragen, bestimmte Verarbeitungsaktivitäten im Namen des Kunden, oder Gebäudemanagement-Aktivitäten für Rechenzentren durchzuführen. Diese Website gibt den Kunden auch die Möglichkeit, um E-Mail-Benachrichtigungen zu abonnieren, wenn sich die Liste der Unterverarbeiter ändert.

Informationen zum Datenschutz finden Sie im AWS-Datenschutz-Zentrum. Diese Website bietet Informationen zum Datenschutz bei AWS, Datenschutzgesetzen und -bestimmungen, häufig gestellte Fragen und Ressourcen.

AWS hält Ihre Rechenzentrumsstandorte streng vertraulich, um die Sicherheit und Privatsphäre von Kundendaten zu bewahren. Die Namenskonventionen für unsere AWS-Regionen geben bereits den allgemeinen geographischen Ort der Availability Zones und Rechenzentren dieser Region an. Weitere Einzelheiten zum allgemeinen Standort von Rechenzentren finden Sie in unserem PCI-DSS-Bericht, der über AWS Artifact verfügbar ist. Weitere Informationen finden Sie auf unserer Website der globalen AWS-Infrastruktur.

Kunden können die Sicherheit und Ausfallsicherheit der physischen Infrastruktur von AWS bewerten, indem Sie alle Sicherheitskontrollen berücksichtigen, die AWS für seine Rechenzentren vor Ort hat. Um den Kunden ein besseres Verständnis unserer physischen Sicherheits- und Ausfallsicherheitskontrollen zu ermöglichen, validiert ein unabhängiger und kompetenter Prüfer das Vorhandensein und Funktionieren der Kontrollen im Rahmen unserer SOC-Berichte, die den Kunden über AWS Artifact zur Verfügung stehen. Dieses weitgehend akzeptierte Validierungsverfahren mit einer Dritten Partei ermöglicht unseren Kunden, sich einen unabhängigen Beleg für die Effektivität unserer Sicherheitsmaßnahmen zu sichern. Unabhängige Überprüfungen der physischen Sicherheitsmaßnahmen in Rechenzentren ist auch ein Teil der ISO 27001-, PCI-, ITAR-, und FedRAMP-Complianceprogramme.

Nein. Da unsere Rechenzentren mehrere Kunden hosten, kann AWS keine Besichtigungen der Rechenzentren durch Kunden zulassen, da dies eine große Zahl von Nutzern dem Zugriff durch eine Drittpartei aussetzen könnte. Kunden und die breite Öffentlichkeit können jedoch auf unserer Website einen digitalen Rundgang durch ein AWS-Rechenzentrum machen, um unsere Infrastruktur und Kontrollen besser zu verstehen.

Kunden, die AWS als Teil ihrer Notfallwiederherstellungsplanung bewerten, sollten zuerst ihre Ausfallsicherheitsziele identifizieren und alle anwendbaren gesetzlichen Anforderungen für Ausfallsicherheits- und Notfallwiederherstellung berücksichtigen. Kunden können dann Ihre AWS-Umgebung planen, um ihre Ausfallsicherheitsziele und gesetzlichen Anforderungen zu erfüllen. Um beispielsweise Umweltrisiken zu mindern, können Kunden ihre AWS-Workloads planen, um physische getrennte Availability Zones und Regionen zu nutzen, um ihre Ziele zu erreichen. Beim Planen von Betriebskontinuität und Notfallwiederherstellung sollten AWS-Kunden die bewährten Methoden nutzen, die in der Säule „Zuverlässigkeit“ des AWS-Well Architected-Frameworks dargelegt sind. Weitere Informationen zu Empfehlungen für die Notfallwiederherstellung finden Sie unter Notfallwiederherstellung von Workloads in AWS: Wiederherstellung in der Cloud.

Compliance-Berichte

AWS Artifact stellt Compliance-Berichte von externen Prüfern zur Verfügung, die unsere Einhaltung einer Vielzahl von globalen, regionalen und branchenspezifischen Sicherheitsstandards und -vorschriften geprüft und verifiziert haben. Wenn neue Berichte freigegeben werden, stehen sie zum Herunterladen für Kunden in AWS Artifact zur Verfügung. Weitere Informationen finden Sie in den Häufig gestellten Fragen zu den Compliance-Berichten. Sie können auch AWS Artifact direkt über die AWS-Managementkonsole aufrufen.

Basierend auf der kontinuierlichen Berichterstattung von AWS in unseren 12-monatigen SOC-Berichten, die mehrmals pro Jahr veröffentlicht werden, veröffentlichen wir einen SOC Continued Operations Letter anstelle eines Bridge-Letter oder Gap-Letters. Diese regelmäßig veröffentlichten Briefe können mithilfe von AWS Artifact von der AWS-Managementkonsole heruntergeladen werden.

Nein. SOC-Prüfungen werden über einen Zeitraum durchgeführt. Sobald der Prüfungszeitraum vorbei ist, wird der Bericht vorbereitet und den Kunden innerhalb von ca. 6 Wochen zur Verfügung gestellt. Ab dem 30. September 2023 veröffentlicht AWS mehrmals pro Jahr SOC-Berichte für Zeiträume von 12 Monaten. SOC-1-Berichte werden vierteljährlich und SOC-2- und SOC-3-Berichte alle 6 Monate veröffentlicht. Wenn neue Berichte freigegeben werden, stehen sie Kunden zum Download in AWS Artifact zur Verfügung.

AWS stellt Ihnen gerne eine Kopie unserer SOC-1- und SOC-2-Berichte zur Verfügung. Um Ihre Kunden optimal zu unterstützen, empfehlen wir, dass sie mithilfe des Handbuchs Erste Schritte mit AWS Artifact die SOC-1- und SOC-2-Berichte über ihre eigenen AWS-Konten herunterladen. Für dieses Konto wird keine Gebühr erhoben. Nach der Anmeldung in ihrem Konto können Ihre Kunden unter Sicherheit, Identität und Compliance über die Option Artifact auf die in der AWS-Konsole verfügbaren Berichte zugreifen.

Alternativ können Sie die AWS-Compliance-Berichte über AWS Artifact herunterladen und Ihren Kunden zur Verfügung stellen, wenn die für den jeweiligen AWS-Compliance-Bericht geltenden Bedingungen dies zulassen. Bitte lesen Sie die geltenden Bedingungen auf der ersten Seite des von AWS Artifact heruntergeladenen AWS-Compliance-Berichts, um zu prüfen, ob die Freigabe dieses Berichts erlaubt ist.

Wir veröffentlichen außerdem den AWS-SOC-3-Bericht auf unserer SOC-Compliance-Website. Der SOC 3-Bericht ist eine Zusammenfassung des AWS SOC 2-Berichts; er bietet Sicherheit, einschließlich der Meinung des externen Prüfers, dass AWS wirksame Kontrollen basierend auf den Kriterien erhält, die in den Trust Services Principles von AICPA dargelegt werden.

Compliance-Programme

Für Cloud-Serviceanbieter (CSP) sowie AWS gibt es keine HIPAA-Zertifizierung. AWS richtet sein HIPAA-Risikomanagement-Programm jedoch mit den Datenschutzbestimmungen des US Department of Health and Human Services (45 CFR Teil 160 und Unterabschnitte A und E von Teil 164) und Sicherheitsregeln (45 CFR Teil 160 und Unterabschnitte A und C von Teil 164), den HIPAA-Vorschriften zur administrativen Vereinfachung (45 CFR 160, 162 und 164), FedRAMP, NIST 800-30 und NIST 800-53 aus. NIST unterstützt diese Ausrichtung und hat SP 800-66 Rev. 1, eine Einführung in die Implementierung der HIPAA-Sicherheitsregel, herausgegeben, in dem dokumentiert wird, wie sich NIST 800-53 an die HIPAA-Sicherheitsregel orientiert. Weitere Informationen zur HIPAA-Konformität in AWS finden Sie auf der Webseite zu AWS HIPAA.

Ja. AWS hat eine Standard-BAA, die wir mit Kunden abschließen. Darin werden die einzigartigen Services berücksichtigt, die AWS bereitstellt, und das AWS-Modell der geteilten Verantwortung ausgeführt.

Um den Status des BAA für Ihr Konto, oder für alle Konten, die Teil Ihres Unternehmens in AWS Organizations sind zu überprüfen, zu akzeptieren und zu verwalten, melden Sie sich bei AWS Artifact von der AWS-Managementkonsole aus an.

AWS folgt einem auf Standards basierenden Risikomanagementprogramm, um sicherzustellen, dass die für HIPAA geeigneten Services insbesondere die gemäß HIPAA geforderten Sicherheits-, Kontroll- und Administrationsverfahren unterstützen. Kunden können jeden beliebigen AWS-Service in einem Konto verwenden, das als HIPAA-Konto definiert wurde, aber dürfen Daten aus dem Gesundheitswesen (PHI) nur mit HIPAA-konformen Services verarbeiten, speichern und übertragen. Siehe die folgenden AWS-Ressourcen für mehr Informationen über HIPAA-Compliance in AWS:

Kunden versuchen möglicherweise, die AWS-HITRUST-CSF-Zertifizierung von In-Scope-Services für den Support ihrer eigenen HITRUST-CSF-Zertifizierung zu nutzen. Die aktuelle Liste der HITRUST-CSF-zertifizierten AWS-Services finden Sie auf der Webseite AWS-Services im Geltungsbereich. AWS Kunden können die AWS-HITRUST-CSF-Zertifizierung erben, vorausgesetzt, dass die Kunden nur Services innerhalb des Bereichs nutzen und die auf der Website der HITRUST Alliance beschriebenen Kontrollen anwenden. Kunden können die Matrix der geteilten Verantwortung von AWS Custom HITRUST herunterladen, um die HITRUST-Voraussetzungen zu bestimmen, die AWS-Kunden als Teil des Modells der geteilten Verantwortung übernehmen können. Kunden sollten sich über der Webseite des MyCSF-Benutzerhandbuchs informieren, wie sie einen Übernahmeanfrage einleiten können.

Sie müssen keine Maßnahmen ergreifen, um den Vorteil der DSGVO DPA zu nutzen. Die Bedingungen des DSGVO-DPA sind in die AWS-Servicebedingungen integriert und seit dem 25. Mai 2018 gilt das DSGVO-DPA automatisch für Kunden, deren Aktivitäten in den Anwendungsbereich der DSGVO fallen. Weitere Informationen zum DPA von AWS finden Sie in diesem AWS-Sicherheits-Blog-Beitrag. Weitere Informationen finden Sie im DSGVO-Center.

Das AWS-Compliance-Programm ermöglicht unseren Kunden, sich mit den zuverlässigen Kontrollmöglichkeiten in AWS vertraut zu machen, die der Sicherheit und Compliance der Cloud dienen. Welche spezifischen regionalen Programme (weltweit, Nord- und Südamerika, Asien-Pazifik, Europa, Naher Osten und Afrika) AWS erfüllt, finden Sie auf der Webseite AWS-Compliance-Programme.

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »