Escolar Documentos
Profissional Documentos
Cultura Documentos
Dezembro de 2015
(Consulte http://aws.amazon.com/compliance/aws-whitepapers/
para obter a verso mais recente deste documento)
Pgina 1 de 95
Dezembro de 2015
o de fornecer informa
es para auxiliar os clientes da AWS a integrar a AWS
estrutura de controle existente, que oferece suporte ao seu ambiente de TI. Este documento inclui uma
abordagem b
sica para avaliar os controles da AWS e oferece informa
es para ajudar os clientes na integra
o
de ambientes de controle. O documento tamb
m aborda informa
es espec
ficas da AWS sobre questes gerais
de compliance da computa
o em nuvem.
ndice
Viso geral de risco e compliance ...................................................................................................................3
Ambiente de responsabilidade compartilhada ............................................................................................................................. 4
Governan
a r
gida de conformidade .............................................................................................................................................. 4
Pgina 2 de 95
Dezembro de 2015
PCI DSS, n
vel 1 ................................................................................................................................................................................ 18
SOC 1/ISAE 3402 ............................................................................................................................................................................. 19
SOC 2 .................................................................................................................................................................................................. 21
SOC 3 .................................................................................................................................................................................................. 21
As principais questes de conformidade e a AWS ...................................................................................................................... 21
Obtendo certifica
es do setor e declara
es de terceiros independentemente do descrito neste
documento.
Publicando informa
es sobre as pr
ticas de controle e seguran
a da AWS nos whitepapers e no
contedo do site.
Fornecendo certificados, relatrios e outra documenta
o diretamente para clientes da AWS mediante
acordo de confidencialidade (ou NDA, Non-Disclosure Agreement), conforme necessrio.
Pgina 3 de 95
Dezembro de 2015
o
do firewall do grupo de seguran
a fornecido pela AWS. Os clientes devem examinar cuidadosamente os
servi
os que escolherem, pois suas respectivas responsabilidades variam de acordo com os servi
os utilizados,
a integra
o desses servi
os ao seu ambiente de TI e as leis e regulamentos aplicveis. Os clientes podem
aumentar a seguran
a e/ou atender aos seus mais rigorosos requisitos de conformidade utilizando tecnologias
como firewalls baseados em hosts, detec
o/preven
o de solu
es que atendem aos requisitos de certifica
o espec
ficos do setor.
Esse modelo de responsabilidade compartilhada entre o cliente e a AWS tamb
m se estende aos controles de TI.
Assim como a responsabilidade para operar o ambiente de TI compartilhada entre a AWS e os seus clientes,
o mesmo ocorre com o gerenciamento, a opera
o e a verifica
o e verifica
o oferece uma abordagem sobre como os clientes da AWS podem avaliar e validar eficazmente
o seu ambiente de controle distribu
do.
Governana r
gida de conformidade
Como sempre, os clientes da AWS t
m de continuar a manter uma governan
a adequada sobre todo o ambiente
de controle de TI, independentemente de como a TI implementada. As principais pr
ticas incluem a compreens
o
dos objetivos de conformidade e requisitos exigidos (com base em fontes relevantes), a cria
o de um ambiente
de controle que atenda a esses requisitos e objetivos, uma compreenso de valida
o necess
ria com base na
toler
ncia ao risco da organiza
o e a verifica
o da efic
cia operacional do ambiente de controle da organiza
o.
A implementa
o.
Gesto e conformidade r
gida do cliente podem incluir a seguinte abordagem bsica:
1. Revise as informa
es dispon
veis na AWS juntamente com outras informa
es para entender
o m
ximo poss
vel sobre o ambiente de TI e, em seguida, documente todos os requisitos de
conformidade.
2. Projete e implemente os objetivos de controle para atender aos requisitos de conformidade
corporativa.
3. Identifique e documente controles pertencentes a terceiros.
4. Verifique se todos os objetivos de controle so atendidos e todos os controles principais foram
projetados com efici
ncia e se apresentam com bom funcionamento.
Pgina 4 de 95
Dezembro de 2015
Abordar a gesto de conformidade dessa forma ajudaras empresas a obterem uma melhor compreenso do
ambiente de controle e ajudara delinear claramente as atividades de verifica
o a serem executadas.
o direta, pelo cliente ou auditor externo do cliente, geralmente realizada para validar
controles. No caso de utiliza
o de prestadores de servi
os, tais como a AWS, solicita-se que as empresas
avaliem declara
es de terceiros e certifica
es a fim de obter uma garantia razovel do projeto e eficcia
operacional do objetivo de controle e dos controles. Como resultado, embora os controles essenciais do cliente
possam ser gerenciados pela AWS, o ambiente de controle ainda pode ser uma estrutura unificada, onde todos
os controles s
o considerados e verificados como operacionais com efic
cia. Declara
es de terceiros e certifica
es
da AWS podem no apenas fornecer um n
vel mais alto de valida
o externa da efic
cia operacional desses controles essenciais para que possam estar em
ordem com os requisitos de conformidade tais como a auditoria financeira anual. Para esse fim,
a AWS publica uma ampla variedade de controles de TI espec
ficos em seu relatrio de controles
organizacionais de servi
o 1 (SOC 1), tipo II. O relatrio SOC 1, anteriormente o relatrio de declara
o
sobre as normas de auditoria (SAS) n70, empresas de servi
os, um padro de auditoria amplamente
reconhecido desenvolvido pelo American Institute of Certified Public Accountants (AICPA). A auditoria
SOC 1 uma auditoria aprofundada do projeto e da eficcia operacional de atividades de controle
e objetivos de controle definidos da AWS (que incluem objetivos de controle e atividades de controle
sobre a parte da infraestrutura que a AWS gerencia). O tipo II refere-se ao fato de que cada um dos
controles descritos no relatrio n
o avaliado apenas em rela
o adequa
o do projeto, mas tamb
m
testado em rela
o 404 da Sarbanes-Oxley
(SOX). A utiliza
o (p.ex., auditores do ISO 27001 podem solicitar um relatrio SOC 1 tipo II para
concluir suas avalia
es para os clientes).
Pgina 5 de 95
Dezembro de 2015
Gerenciamento de risco
A ger
ncia da AWS desenvolveu um plano estrat
gico de negcios, que inclui a identifica
o de riscos
e a implementa
Pgina 6 de 95
Dezembro de 2015
A seguran
a da AWS examina regularmente todos os endere
os IP de endpoint, de servi
o voltado Internet,
quanto exist
ncia de vulnerabilidades (essas verifica
es no incluem instncias de clientes). A seguran
a da
AWS notificaras partes adequadas para solucionar quaisquer vulnerabilidades identificadas. Al
m disso,
avalia
es de amea
a de vulnerabilidade externa so realizadas regularmente por empresas de seguran
a
independentes. As concluses e recomenda
es resultantes dessas avalia
es so categorizadas e entregues
lideran
a da AWS. Essas verifica
es so feitas para avaliar a sade e a viabilidade da infraestrutura
subjacente da AWS e n
o se destinam a substituir as verifica
es de vulnerabilidade do cliente necessrias para
atender aos seus requisitos de conformidade espec
ficos. Os clientes podem solicitar permisso para conduzir
pesquisas de sua infraestrutura em nuvem, contanto que elas se limitem a instncias do cliente e no violem
a pol
tica de uso aceitvel da AWS. A pr
via aprova
o para esses tipos de verifica
es pode ser iniciada
enviando-se uma solicita
o atrav
s do formul
rio AWS Vulnerability/Penetration Testing Request (Solicita
o
de Teste de Penetra
o/Vulnerabilidade da AWS).
Ambiente de controle
A AWS gerencia um ambiente de controle abrangente que inclui pol
ticas, processos e atividades de controle
que utilizam diversos aspectos do ambiente de controle geral da Amazon. Esse ambiente de controle estem
vigor para a entrega segura de ofertas de servi
os da AWS. O ambiente de controle coletivo abrange as pessoas,
os processos e a tecnologia necess
rios para estabelecer e manter um ambiente que ofere
a suporte eficcia
operacional da estrutura de controle da AWS. A AWS integrou controles espec
ficos de nuvem aplicveis
identificados pelos principais rg
os do setor de computa
o de direitos. A ger
ncia tamb
m estabeleceu autoridade e linhas apropriadas de
subordina
o para a equipe principal. Os processos de verifica
o de contrata
o da empresa incluem educa
o,
empregos anteriores e, em alguns casos, verifica
es de histrico na forma permitida pela legisla
o e pelas
regulamenta
es trabalhistas, de acordo com o cargo do funcion
rio e com o seu n
vel de acesso aos recursos
da AWS. A empresa segue um processo estruturado de integra
o para familiarizar novos funcionrios com as
ferramentas, processos, sistemas, pol
ticas e procedimentos da Amazon.
Segurana da informao
A AWS implementou um programa formal de seguran
a da informa
o, o qual foi desenvolvido para proteger
a confidencialidade, integridade e disponibilidade de sistemas e dados dos clientes. A AWS publica um
whitepaper de seguran
a, estdispon
vel no site pblico, que aborda como a AWS pode ajudar os clientes
a proteger seus dados.
Pgina 7 de 95
Dezembro de 2015
CJIS
AWS estem conformidade com o padr
o CJIS (Servi
os de Informa
es da Justi
a Criminal) do FBI. Ns
assinamos acordos de seguran
a CJIS com os nossos clientes, incluindo permitir ou realizar quaisquer
verifica
es de antecedentes dos empregados exigidos de acordo com a Pol
tica de Segurana CJIS.
Clientes de responsveis legais (e parceiros que administram o CJI) esto aproveitando os servi
os da AWS
para melhorar a seguran
a e a prote
CSA
Em 2011, o Cloud Security Alliance (CSA Alian
a de seguran
a da nuvem) lan
ou o STAR, uma iniciativa que
incentiva a transpar
ncia nas pr
ticas de seguran
a dentro dos provedores de nuvem. O CSA Security, Trust
& Assurance Registry (STAR Seguran
a, confian
a e registro de seguro) um registro gratuito, acess
vel
ao pblico, que documenta os controles de seguran
a fornecidos por v
rias ofertas de computa
o em nuvem,
ajudando os usurios a avaliarem a seguran
a dos provedores de nuvem que utilizam atualmente ou que esto
considerando contratar. A AWS registrada pelo CSA ESTRELA e concluiu o CAIQ (Questionrio da
iniciativa de avalia
o de consenso) da CSA (Cloud Security Alliance). Esse CAIQ publicado pela CSA fornece
uma forma de referenciar e documentar quais controles de seguran
a existem nas ofertas de infraestrutura
como servi
o da AWS. O CAIQ fornece 298 perguntas que um auditor de nuvem e um cliente de nuvem podem
querer fazer a um provedor de nuvem.
Consulte: Apndice A: Questionrio da iniciativa de avaliao de consenso v3.0.1 da CSA
Pgina 8 de 95
Dezembro de 2015
Ele demonstra a linha de base de controle que a AWS implementa para mitigar o risco de amea
as comuns
com base na Internet, dentro do contexto do governo do Reino Unido de "10 passos para a segurana
ciberntica". apoiado pela indstria, incluindo a Federa
o das Pequenas Empresas, a Confedera
o da
Indstria Britnica e diversas organiza
es de seguros que oferecem incentivos para as empresas que contam
com esta certifica
o.
Cyber Essentials estabelece os controles t
cnicos necessrios; o quadro de garantia relacionado mostra como
o processo de verifica
DoD SRG n
veis 2 e 4
O Modelo de Segurana de Nuvem (SRG) do Departamento de Defesa (DoD) oferece uma avalia
o
formalizada e um processo de autoriza
FedRAMP SM
A AWS um provedor de servi
o na nuvem em conformidade com o FedRAMPsm (Federal Risk and
Authorization Management Program). A AWS concluiu os testes realizados por uma 3PAO (Third Party
Assessment Organization) acreditada pelo FedRAMPsm e recebeu duas ATOs (Authority to Operate) pelo
Departamento de Sade e Servi
os Humanos dos EUA (HHS) depois de demonstrar conformidade com os
requisitos do FedRAMPsm em n
vel de impacto moderado. Todas as ag
ncias do governo americano podem
aproveitar os pacotes de ATO para ag
ncias da AWS armazenados no repositrio do FedRAMPsm para avaliar
a AWS em rela
o aos seus aplicativos e cargas de trabalho, fornecer autoriza
es para usar a AWS e fazer
a transi
o de cargas de trabalho dentro do ambiente da AWS. As duas ATOs de agncia do FedRAMPsm englobam todas
as regies dos EUA (a regio AWS GovCloud (EUA) e as regies AWS Leste e Oeste dos EUA).
Os seguintes servi
os fazem parte do conjunto de acredita
Pgina 9 de 95
Dezembro de 2015
Amazon Virtual Private Cloud (VPC). O Amazon VPC fornece a capacidade de provisionar uma
rea
logicamente isolada da AWS onde poss
vel executar recursos da AWS em uma rede virtual definida
por voc
.
Amazon Elastic Block Store (EBS). O Amazon EBS fornece volumes de armazenamento altamente
dispon
veis, confiveis e previs
veis que podem ser conectados a uma inst
ncia do Amazon EC2 em
execu
o e expostos como um dispositivo dentro da instncia.
AWS Identity and Access Management (IAM). O IAM permite que voccontrole com seguran
a o acesso
aos servi
os e recursos da AWS para seus usu
rios. Usando o IAM, vocpode criar e gerenciar usurios
e grupos da AWS e usar permisses para permitir e negar suas permisses para recursos da AWS.
FERPA
A Lei da Privacidade e dos Direitos Educacionais da Fam
lia (FERPA) (20 U.S.C. 1232g; 34 CFR
Part 99) uma lei federal que protege a privacidade dos registros educacionais do estudante. A lei se aplica
a todas as escolas que recebem fundos do programa aplicado do Departamento de Educa
o dos Estados
Unidos. FERPA daos pais certos direitos com rela
o aos registros educacionais de seus filhos. Estes direitos
so transferidos para o aluno quando ele completa 18 anos ou frequenta uma escola aps o ensino m
dio.
Os estudantes a quem os diretos foram transferidos so "estudantes eleg
veis".
A AWS habilita entidades abrangidas e os seus associados de trabalho sujeitos ao FERPA a alavancarem
o ambiente seguro da AWS para processar, manter e armazenar informa
es protegidas da educa
o.
A AWS tamb
m oferece um whitepaper sobre a FERPA para os clientes interessados em saber mais sobre
como podem aproveitar a AWS para o processamento e armazenamento de dados educacionais.
O "whitepaper FERPA Compliance on AWS" descreve como as empresas podem usar a AWS para
processar sistemas que facilitam a conformidade com a FERPA:
https://d0.awsstatic.com/whitepapers/compliance/AWS_FERPA_Whitepaper.pdf
FIPS 140-2
A publicao 140-2 do Federal Information Processing Standard (FIPS) um padro de seguran
a
do governo dos EUA que especifica os requisitos de seguran
a para mdulos de criptografia que protegem
informa
es confidenciais. Para oferecer suporte a clientes com requisitos FIPS 140-2, as termina
es SSL no
AWS GovCloud (EUA) operam usando o hardware validado pela FIPS 140-2. A AWS trabalha com clientes
do AWS GovCloud (EUA) para fornecer as informa
es necessrias para ajudar a gerenciar a conformidade ao
usar o ambiente AWS GovCloud (EUA).
Pgina 10 de 95
Dezembro de 2015
FISMA e DIACAP
A AWS permite que os rgos governamentais dos EUA alcancem e mantenham a conformidade com a FISMA
(Federal Information Security Management Act). A infraestrutura da AWS foi avaliada por assessores
independentes para diversos sistemas governamentais, como parte do processo de aprova
o dos propriet
rios
desses sistemas. V
rias organiza
es civis e do DoD (Department of Defense) conseguiram autoriza
es de
seguran
a para sistemas hospedados na AWS, de acordo com o processo do Risk Management Framework
(RMF - Estrutura de gerenciamento de riscos) definido na NIST 800-37 e no DIACAP (DoD Information
Assurance Certification and Accreditation Process).
HIPAA
A AWS permite que entidades cobertas e seus associados de negcios sujeitos ao U.S. Health Insurance
Portability and Accountability Act (HIPAA, Lei de Responsabilidade e Portabilidade de Seguro-sade dos
Estados Unidos) aproveitem o ambiente seguro da AWS para processar, manter e armazenar informa
es de
sade protegidas. A AWS assinaracordos de associados de negcios com tais clientes. A AWS tamb
m oferece
um whitepaper sobre a HIPAA para os clientes interessados em saber mais sobre como podem aproveitar
a AWS para o processamento e armazenamento de informa
es de sade. O whitepaper Architecting for
HIPAA Security and Compliance on Amazon Web Services descreve como as empresas podem usar a AWS
para processar sistemas que facilitam a conformidade com a HIPAA e a Health Information Technology for
Economic and Clinical Health (HITECH, Tecnologia da informa
o da sade para a sade econmica e cl
nica).
Os clientes podem usar qualquer servi
o da AWS em uma conta designada como conta da HIPAA, mas devem
somente processar, armazenar e transmitir PHI nos servi
os qualificados para a HIPAA definidos no BAA. H
nove servi
os eleg
veis para HIPAA hoje, incluindo:
Amazon DynamoDB
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (Amazon RDS) usando apenas mecanismos MySQL e Oracle
Amazon Simple Storage Service (S3)
A AWS segue um programa de gerenciamento de riscos baseado em padres para garantir que os servi
os
qualificados ofere
am suporte espec
fico a processos de seguran
a, controle e administra
o exigidos pela
HIPAA. Usar esses servi
os para armazenar e processar PHI permite que os nossos clientes e a AWS atendam
aos requisitos da HIPAA aplic
veis ao nosso modelo de opera
o com base em utilitrios. A AWS prioriza
e acrescenta novos servi
os qualificados com base na demanda do cliente.
Para obter informa
es adicionais, consulte nossas Perguntas Frequentes sobre HIPAA Compliance:
https://aws.amazon.com/compliance/hipaa-compliance/
Architecting for HIPAA Security and Compliance on Amazon Web Services:
https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
Pgina 11 de 95
Dezembro de 2015
IRAP
O Programa de Assessores Registrados de Seguran
a da Informa
o (IRAP) permite que os clientes do governo
australiano validem os controles apropriados que esto em vigor e determinem o modelo de responsabilidade
adequado para responder
s necessidades do Manual de Seguran
a da Informa
A Amazon Web Services concluiu uma avaliao independente que determinou que todos os controles
ISM aplic
veis est
o em vigor em rela
ISO 9001
A AWS obteve a certifica
o ISO 9001, que oferece suporte direto aos clientes que desenvolvem, migram
e operam seus sistemas de TI com controle de qualidade na nuvem da AWS. Os clientes podem usar os
relatrios de conformidade da AWS como evid
ncia para seus prprios programas ISO 9001 e para programas
de qualidade espec
ficos por setor, como GxP em ci
ncias biolgicas, ISO 13485 em dispositivos m
dicos,
AS9100 no setor aeroespacial e ISO/TS 16949 no setor automotivo. Os clientes da AWS que no t
m requisitos
de sistema da qualidade tamb
m se beneficiaro da garantia e transpar
ncia adicionais proporcionadas por
uma certifica
o pela ISO 9001.
A ISO 9001 abrange o sistema de gerenciamento de qualidade em um escopo espec
fico de servi
os e regies de
opera
o da AWS (abaixo), que inclui:
AWS CloudFormation
AWS Cloud Hardware Security Model (HSM)
Amazon CloudFront
AWS CloudTrail
AWS Direct Connect
AWS Directory Service
Amazon DynamoDB
Amazon EC2 VM Import/Export
AWS Elastic Beanstalk
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)
Amazon EC2 Container Service (ECS)
Amazon Elastic File System (EFS)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon ElastiCache
Amazon Glacier
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
Amazon Redshift
Amazon Relational Database Service (RDS)
AWS Route 53
Pgina 12 de 95
Dezembro de 2015
Amazon SimpleDB
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
Amazon Simple Storage Service (S3)
AWS Storage Gateway
Amazon Simple Workflow Service (SWF)
Amazon Virtual Private Cloud (VPC)
AWS WAF - Web Application Firewall
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
A infraestrutura f
sica subjacente e o ambiente de gerenciamento da AWS
O credenciamento ISO 9001 da AWS cobre as regies da AWS, incluindo Leste dos EUA (Norte da Virg
nia),
Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud (EUA), Am
rica do Sul (S
o
Paulo), UE (Irlanda), UE (Frankfurt) e sia-Pac
fico (Cingapura), sia-Pac
fico (Sydney) e sia-Pac
fico
(Tquio).
A ISO 9001:2008 uma norma global para o gerenciamento da qualidade de produtos e servi
os. O padr
o
9001 descreve um sistema de gerenciamento da qualidade com base em oito princ
pios definidos pelo
Technical Committee for Quality Management and Quality Assurance da International Organization for
Standardization (ISO). Os princ
pios incluem:
Foco no cliente
Lideran
a
Envolvimento das pessoas
Abordagem de processo
Abordagem sist
mica da gesto
Melhoria cont
nua
Abordagem factual da tomada de deciso
Relacionamento mutuamente ben
fico com fornecedores
A certifica
ISO 27001
A AWS obteve a certifica
AWS CloudFormation
Amazon CloudFront
AWS Cloudtrail
AWS Directory Service
Amazon DynamoDB
AWS Elastic Beanstalk
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)
Pgina 13 de 95
Dezembro de 2015
o, uma empresa deve demonstrar que tem uma abordagem constante e sistem
tica para
gerenciar os riscos de seguran
a da informa
Pgina 14 de 95
Dezembro de 2015
ISO 27017
ISO 27017 o mais novo cdigo de boas pr
ticas divulgado pela Organiza
o Internacional de Normaliza
o
(ISO). Ele fornece orienta
o de implementa
o em controles de seguran
a da informa
Amazon CloudFront
Amazon DynamoDB
Amazon EC2 Container Service (ECS)
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud (EC2)
Amazon Elastic File System (EFS)
Amazon Elastic MapReduce (EMR)
Amazon ElastiCache
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Route 53
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
Amazon Simple Storage Service (S3)
Amazon Simple Workflow Service (SWF)
Amazon SimpleDB
Amazon Virtual Private Cloud (VPC)
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
AWS Directory Service
AWS Elastic Beanstalk
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
AWS Storage Gateway
AWS WAF (Firewalls de aplicativos Web)
Elastic Load Balancing
VM Import/Export
A certifica
Pgina 15 de 95
Dezembro de 2015
ISO 27018
A ISO 27018 o primeiro cdigo internacional de boas pr
ticas que incide sobre a prote
o de dados pessoais na
nuvem. Ela baseada no padr
o de seguran
a da informa
o sobre a implementa
o
dos controles da ISO 27002 aplic
veis PII (Informa
es de Identifica
Amazon CloudFront
Amazon DynamoDB
Amazon EC2 Container Service (ECS)
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud (EC2)
Amazon Elastic File System (EFS)
Amazon Elastic MapReduce (EMR)
Amazon ElastiCache
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Route 53
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
Amazon Simple Storage Service (S3)
Amazon Simple Workflow Service (SWF)
Amazon SimpleDB
Amazon Virtual Private Cloud (VPC)
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
AWS Directory Service
AWS Elastic Beanstalk
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
AWS Storage Gateway
AWS WAF (Firewalls de aplicativos Web)
Elastic Load Balancing
VM Import/Export
A certifica
Pgina 16 de 95
Dezembro de 2015
ITAR
A regio AWS GovCloud (EUA) oferece suporte ao cumprimento dos ITAR (International Traffic in Arms
Regulations). Como parte do gerenciamento de um abrangente programa de conformidade com o ITAR,
empresas sujeitas a regulamenta
es de exporta
o de certifica
o nos obriga a:
Avaliar sistematicamente os nossos riscos de seguran
a da informa
o, tendo em conta o impacto das
amea
as e vulnerabilidades da empresa
Projetar e implementar um conjunto abrangente de controles de seguran
a da informa
o e outras formas
de gerenciamento de risco para abordar a empresa e projetar riscos de seguran
a
Adotar um processo de gerenciamento abrangente para assegurar que os controles de segurana da
informa
o atendam continuamente
s nossas necessidades de seguran
a da informa
o
Visualize a pgina principal do MTCS em:
https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/
Pgina 17 de 95
Dezembro de 2015
NIST
Em junho de 2015, o Instituto Nacional de Padres e Tecnologia (NIST) lan
ou as diretrizes 800-171,
"Diretrizes Finais para Proteger Informa
es Confidenciais do Governo Retidas por Contratantes". Esta
orienta
o aplicvel prote
o em Nuvem do DSS da PCI. Essas diretrizes fornecem aos clientes que administram um ambiente
de dados de proprietrios de cartes de cr
dito considera
es para manter os controles do DSS da PCI na
nuvem. A AWS incorporou as Diretrizes de Computa
o em Nuvem do DSS da PCI no Pacote de Conformidade
com a PCI da AWS para os clientes. O Pacote de Conformidade com a PCI da AWS inclui o Atestado de
Conformidade com a PCI (AoC) da AWS, que mostra que a AWS recebeu valida
o em rela
o
s normas
aplicveis a um provedor de servi
os de n
vel 1 no DSS da PCI verso 3.1, e o Resumo de Responsabilidade
quanto PCI da AWS, que explica como as responsabilidades de conformidade so compartilhadas entre
a AWS e nossos clientes na nuvem.
Os seguintes servi
os est
o no escopo para o PCI DSS n
vel 1:
Auto Scaling
AWS CloudFormation
Amazon CloudFront
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
Amazon DynamoDB
AWS Elastic Beanstalk
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud (EC2)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
AWS Key Management Service (KMS)
AWS Identity and Access Management (IAM)
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Route 53
Amazon SimpleDB
Amazon Simple Storage Service (S3)
Pgina 18 de 95
Dezembro de 2015
O escopo de servi
os e regies mais recentes para a certifica
o AWS PCI DSS n
vel 1 pode ser encontrado em:
https://aws.amazon.com/compliance/pci-dss-level-1-faqs/
o da Declara
o sobre Normas de Auditoria
n70 (SAS 70) tipo II.
Os objetivos de controle do SOC 1 da AWS so disponibilizados aqui. O prprio relatrio identifica as
atividades de controle que oferecem respaldo a cada um desses objetivos, bem como os resultados de auditores
independentes de seus procedimentos de teste de cada controle.
rea do objetivo
Descrio do objetivo
Organizao de
segurana
Acesso de
usurio para
funcionrios
Os controles fornecem garantias suficientes de que procedimentos foram estabelecidos para que
contas de usurio de funcionrios da Amazon sejam adicionadas, modificadas e exclu
das em
tempo hbil e sejam revistas periodicamente.
Os controles fornecem garantias suficientes de que pol
ticas e mecanismos esto implementados
para restringir adequadamente o acesso no autorizado interno e externo aos dados e os dados
dos clientes so adequadamente separados dos outros clientes.
Segurana lgica
Manipulao
segura de dados
Protees de
segurana f
sica
e ambiental
Gerenciamento
de alteraes
Redundncia,
disponibilidade
e integridade
dos dados
Os controles fornecem garantias suficientes de que a integridade dos dados seja mantida em
todas as fases, incluindo a transmisso, o armazenamento e o processamento.
Tratamento de
incidentes
Pgina 19 de 95
Dezembro de 2015
Os novos relatrios SOC 1 foram desenvolvidos com enfoque em controles em uma empresa de servi
os, os
quais provavelmente ser
o relevantes para uma auditoria de demonstrativos financeiros da entidade de um usu
rio.
Como a base de clientes da AWS ampla e o uso de servi
os da AWS igualmente amplo, a aplicabilidade dos
controles aos demonstrativos financeiros de clientes varia conforme o cliente. Portanto, o relatrio SOC 1 da
AWS foi desenvolvido para abranger controles essenciais espec
ficos que provavelmente sero necessrios
durante uma auditoria financeira, bem como abranger uma ampla variedade de controles gerais de TI, a fim de
acomodar uma grande diversidade de uso e cenrios de auditoria. Isso permite que os clientes utilizem
a infraestrutura da AWS para armazenar e processar dados essenciais, incluindo os que so integrais ao
processo de gera
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
Amazon DynamoDB
Amazon EC2 VM Import/Export
Amazon Elastic Beanstalk
Amazon Elastic Block Store (EBS)
Amazon ElastiCache
Amazon Elastic Compute Cloud (EC2)
Amazon Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Route 53
Amazon SimpleDB
Amazon Simple Email Service (SES)
Amazon Simple Storage Service (S3)
Amazon Simple Workflow (SWF)
Amazon Simple Queue Service (SQS)
AWS Storage Gateway
Amazon Virtual Private Cloud (VPC)
Amazon WorkSpaces
Pgina 20 de 95
Dezembro de 2015
SOC 2
Al
m do relatrio SOC 1, a AWS publica um relatrio de controles de empresas de servi
os 2 (SOC 2), tipo II.
Semelhante ao SOC 1 na avalia
SOC 3
A AWS publica um relatrio de controles de empresas de servi
os 3 (SOC 3). O relatrio SOC 3 um resumo
dispon
vel publicamente do relatrio SOC 2 da AWS. O relatrio inclui a opinio do auditor externo da
opera
o de controles (com base nos Princ
pios de Confian
a de Seguran
a do AICPA inclu
dos no relatrio
SOC 2), a declara
o de um relatrio SOC 2.
O escopo do relatrio SOC 3 abrange os mesmos servi
os inclu
dos no relatrio SOC 1. Consulte a descri
o
do SOC 1 acima para verificar os servi
os inclu
dos no escopo. Veja o relatrio SOC 3 da AWS.
Propriedade de dados.
Quem o proprietrio de
quais controles para
a infraestrutura
implementada em nuvem?
Pgina 21 de 95
Dezembro de 2015
Compliance com
a Sarbanes-Oxley. Como
estar em conformidade com
a SOX se sistemas em
escopo so implementados
no ambiente de provedor
em nuvem?
o sobre a aplicabilidade da
SOX. Como a maioria dos controles de acesso lgico gerenciada pelo
cliente, o cliente estmais bem posicionado para determinar se as suas
atividades de controle atendem
s normas pertinentes. Se auditores da
SOX solicitarem informa
es espec
ficas sobre controles f
sicos da AWS,
eles podem consultar o relatrio SOC 1 tipo II da AWS que detalha os
controles fornecidos pela AWS.
o no
ambiente de provedor em
nuvem?
o de solu
es que
atendem aos requisitos de certifica
o espec
ficos do setor, como HIPAA.
Os clientes podem usar os servi
os da AWS para manter um n
vel de
seguran
a que seja equivalente ou superior aos necessrios para proteger
registros eletrnicos de sade. Os clientes t
m criado aplicativos na
rea
de sade em conformidade com as Regras de Privacidade e Seguran
a da
HIPAA na AWS. A AWS fornece informa
es adicionais sobre
o compliance da HIPAA em seu site, incluindo um whitepaper sobre esse
tema.
o da
GLBA com implementa
o
no ambiente de provedor
em nuvem?
As ag
ncias federais dos EUA podem estar em conformidade com vrios
padres de compliance, incluindo o Federal Information Security
Management Act (FISMA) de 2002, o Federal Risk and Authorization
Management Program (FedRAMPsm), a Publica
o 140-2 do Federal
Information Processing Standard (FIPS) e os International Traffic in
Arms Regulations (ITAR). A conformidade com outras leis e estatutos
tamb
m pode ser acomodada dependendo dos requisitos estabelecidos
na legisla
o aplicvel.
Pgina 22 de 95
Dezembro de 2015
Localiza
o dos dados.
Onde ficam os dados do
cliente?
o ou atender a solicita
es
de entidades governamentais. Neste momento, existem onze regies:
Leste dos EUA (Norte da Virg
nia), Oeste dos EUA (Oregon), Oeste dos
EUA (Norte da Califrnia), AWS GovCloud (EUA) (Oregon), UE
(Frankfurt), UE (Irlanda), sia-Pac
fico (Cingapura), sia-Pac
fico
(Tquio), sia-Pac
fico (Sydney), China (Pequim) e Am
rica do Sul
(S
o Paulo).
E-Discovery. O provedor
em nuvem atende
s
necessidades do cliente
para atender aos requisitos
e aos procedimentos de
detec
o eletrnica?
N
o. Devido ao fato de que nossos datacenters hospedam v
rios clientes,
a AWS no permite tours de clientes pelos datacenters, visto que isso
expe um vasto nmero de clientes ao acesso f
sico de terceiros. Para
atender a essa necessidade de cliente, um auditor independente
e competente valida a presen
a e o funcionamento dos controles como
parte do nosso relatrio SOC 1 tipo II. Essa valida
o de terceiros
amplamente aceita oferece aos clientes a perspectiva independente da
efic
cia dos controles em vigor. Os clientes da AWS que assinaram um
acordo de confidencialidade com a AWS podem solicitar uma cpia do
relatrio SOC 1 tipo II. Anlises independentes da seguran
a f
sica do
datacenter tamb
m fazem parte da auditoria ISO 27001, da avalia
o do
PCI, da auditoria dos ITAR e dos programas de testes da FedRAMPsm.
10
Acesso de terceiros.
permitido o acesso de
terceiros aos datacenters de
provedor em nuvem?
A AWS mant
m um controle restrito de acesso aos datacenters, mesmo
para funcionrios internos. No concedido acesso de terceiros aos
datacenters da AWS, exceto quando explicitamente aprovado pelo
gerente responsvel do datacenter da AWS, conforme as pol
ticas de
acesso da AWS. Consulte o relatrio SOC 1, tipo II, para controles
espec
ficos referentes ao acesso f
sico, autoriza
o de acesso ao
datacenter e a outros controles relacionados.
Pgina 23 de 95
Dezembro de 2015
11
A
es privilegiadas. As
a
es privilegiadas s
o
monitoradas e controladas?
12
Acesso privilegiado.
O provedor em nuvem
aborda a amea
a de acesso
privilegiado inadequado
aos dados e aos aplicativos
do cliente?
o pblica e as iniciativas
de conformidade discutidas neste documento, na se
o de acesso
privilegiado. Todas as certifica
es e declara
es de terceiros avaliam
o acesso lgico e os controles preventivo e de detec
o. Al
m disso,
as avalia
es peridicas de riscos concentram-se em como o acesso
privilegiado controlado e monitorado.
13
Multiusu
rios.
A diferencia
o de cliente
implementada com
seguran
a?
14
Vulnerabilidades do
hypervisor. O provedor em
nuvem abordou as
vulnerabilidades
conhecidas do hypervisor?
15
Gerenciamento de
vulnerabilidades. Os
sistemas so corrigidos
adequadamente?
A AWS respons
vel pela corre
o dos sistemas que fornecem suporte
disponibiliza
o dos servi
os ao cliente, tais como o hypervisor e os
servi
os de rede. Isso feito como exigido pela pol
tica da AWS e em
conformidade com o ISO 27001, NIST e os requisitos do PCI. Os clientes
controlam seus prprios sistemas operacionais convidados, software
e aplicativos; portanto, so respons
veis pela aplica
o de corre
es em
seus prprios sistemas.
Pgina 24 de 95
Dezembro de 2015
16
Criptografia. Os servi
os
prestados oferecem suporte
para criptografia?
17
Propriedade de dados.
Quais so os direitos do
provedor em nuvem sobre
os dados de cliente?
18
Isolamento de dados.
O provedor em nuvem isola
adequadamente os dados
do cliente?
19
Servi
os compostos.
A camada de provedor
em nuvem de seu servi
o
funciona com outros
servi
os de provedor em
nuvem?
20
Controles f
sico
e ambiental. Estes controles
so operados por um
provedor em nuvem
especificado?
Sim. Estes s
o descritos especificamente no relatrio SOC 1, tipo II. Al
m
disso, outras certifica
es utilizadas pela AWS, tais como ISO 27001
e FedRAMPsm, exigem pr
ticas recomendadas de controle f
sico e ambiental.
21
Prote
o do cliente.
O provedor em nuvem
permite a prote
o
e o gerenciamento do
acesso de clientes, tais
como PC e dispositivos
mveis?
22
Seguran
a do servidor.
O provedor em nuvem
permite que os clientes
protejam seus servidores
virtuais?
Pgina 25 de 95
Dezembro de 2015
23
24
Paralisa
es de
manuten
o programadas.
O provedor especifica
quando os sistemas ser
o
paralisados para
manuten
o?
25
Capacidade de
escalabilidade. O provedor
permite que os clientes
utilizem a escalabilidade
al
m do acordo original?
26
Disponibilidade de servi
o.
O provedor compromete-se
com um alto n
vel de
disponibilidade?
27
Ataques distribu
dos de
nega
o de servi
o (DDoS).
Como o provedor protege
seu servi
o contra ataques
de DDoS?
28
Portabilidade de dados. Os
dados armazenados em um
provedor de servi
o podem
ser exportados por
solicita
o do cliente?
29
Continuidade de negcios
do provedor de servi
o.
O provedor de servi
o
executa um programa de
continuidade de negcios?
30
Continuidade de negcios
do cliente. O provedor de
servi
o permite que os
clientes implementem um
plano de continuidade de
negcios?
Pgina 26 de 95
Dezembro de 2015
31
32
Backups. O servi
o fornece
backups em fita?
33
Aumentos de pre
o.
O provedor de servi
o
aumentaros pre
os
inesperadamente?
34
Sustentabilidade.
A empresa do provedor de
servi
o tem o potencial de
sustentabilidade de longo
prazo?
A AWS um provedor l
der de nuvem e uma estrat
gia de negcios
a longo prazo da Amazon.com. A AWS tem um potencial muito elevado
de sustentabilidade a longo prazo.
Pgina 27 de 95
Dezembro de 2015
Pgina 28 de 95
CID
AIS01.1
Perguntas de avaliao
do consenso
Voc
s utilizam padres do
setor (compara
es de
BSIMM [Build Security in
Maturity Model, Cria
o de
seguran
a em modelo de
maturidade], estrutura de
provedor de tecnologia
confivel de ACS de grupo
aberto etc.) para criar
seguran
a para seu SDLC?
AIS01.2
Voc
s utilizam uma
ferramenta de anlise de
cdigo-fonte automatizada
para detectar defeitos de
seguran
a no cdigo antes
da produ
o?
AIS01.3
Voc
s utilizam uma
ferramenta de anlise de
cdigo-fonte manual para
detectar defeitos de
seguran
a no cdigo antes
da produ
o?
AIS01.4
Voc
s verificam se todos os
fornecedores de software
seguem os padres do setor
para seguran
a de SDLC?
AIS01.5
Resposta da AWS
O ciclo de vida de desenvolvimento de sistema da AWS incorpora
pr
ticas recomendadas do setor, que incluem revises formais de
design pela equipe de seguran
a da AWS, modelagem de amea
as
e conclus
o de uma avalia
Grupo de controle
Segurana de aplicativo
e interface
Exig
ncias de acesso do
cliente
Segurana de aplicativo
e interface
Integridade de dados
CID
Resposta da AWS
AIS02.1
Todas as exig
ncias
normativas, contratuais
e de seguran
a
identificadas para acesso
do cliente contratualmente
foram atendidas
e remediadas antes da
concesso de acesso de
clientes a dados, ativos
e sistemas de informa
es?
AIS02.2
Serque todos os
requisitos e n
veis de
confian
a para o acesso dos
clientes esto definidos
e documentados?
AIS03.1
Hrotinas de integridade
de entrada e sa
da de dados
(ou seja, verifica
es de
edi
es e reconcilia
o)
implementadas para
bancos de dados
e interfaces de aplicativos,
a fim de prevenir corrup
o
de dados ou erros de
processamento sistemtico
ou manual?
Sua arquitetura de
seguran
a de dados
projetada usando um
padro da indstria (por
exemplo, CDSA,
MULITSAFE, CSA Trusted
Cloud Architectural
Standard, FedRAMP,
CAESARS)?
A arquitetura de seguran
a de dados da AWS foi desenvolvida
para incorporar prticas l
deres do setor.
Voc
s produzem
declara
es de auditoria
usando um formato
estruturado e aceito pelo
setor (por exemplo,
CloudAudit/A6 URI
Ontology, CloudTrust,
SCAP/CYBEX, GRC XML,
Programa de
garantia/auditoria de
gerenciamento da
computa
o em nuvem da
ISACA etc.)?
A AWS obt
m determinadas certifica
es do setor e declara
es
de terceiros independentes e fornece determinadas certifica
es,
relatrios e outros documentos relevantes para clientes da AWS
(acordo de confidencialidade).
Segurana de aplicativo
e interface
Integridade/Seguran
a de
dados
AIS04.1
Garantia de Auditoria
e Conformidade
Planejamento de Auditoria
AAC01.1
Pgina 29 de 95
Perguntas de avaliao
do consenso
Dezembro de 2015
Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio
14 para obter mais informa
es. A AWS foi validada e certificada
por um auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.
Consulte Certifica
es, relatrios e whitepapers da AWS para
obter mais detalhes sobre as vrias prticas de lideran
a s quais
adere a AWS (dispon
vel em
http://aws.amazon.com/compliance).
Grupo de controle
Garantia de Auditoria
e Conformidade
Auditorias Independentes
CID
AAC02.1
AAC02.2
Garantia de Auditoria
e Conformidade
Mapeamento Normativo do
Sistema de Informa
es
Pgina 30 de 95
Perguntas de avaliao
do consenso
Voc
s permitem que
grupos de usurios vejam
seus relatrios SOC2/ISO
27001 ou relatrios de
auditoria ou certifica
o de
terceiros semelhantes?
Voc
s realizam
regularmente testes de
penetra
o em rede de sua
infraestrutura de servi
o
em nuvem, como prescrito
pelas orienta
es e prticas
recomendadas do setor?
AAC02.3
Voc
s executam testes de
penetra
o de aplicativos
na sua infraestrutura em
nuvem regularmente,
conforme indicado pelas
prticas recomendadas
e orienta
es do setor?
AAC02.4
Voc
s realizam
regularmente auditorias
internas, como prescrito
pelas orienta
es e prticas
recomendadas do setor?
AAC02.5
Voc
s realizam
regularmente auditorias
externas, como prescrito
pelas orienta
es e prticas
recomendadas do setor?
AAC02.6
Os resultados de testes de
penetra
o esto
dispon
veis para grupos de
usurios mediante
solicita
o?
AAC02.7
Os resultados de auditorias
internas e externas esto
dispon
veis para grupos de
usurios mediante
solicita
o?
AAC02.8
Voctem um programa de
auditoria interna que
permite a auditoria entre
fun
es das avalia
es?
AAC03.1
Voc
s t
m a capacidade de
segmentar ou criptografar
logicamente os dados de
clientes, de forma que esses
dados possam ser
produzidos somente para
um nico grupo de
usurios, sem acessar
inadvertidamente os dados
de outro grupo?
Dezembro de 2015
Resposta da AWS
A AWS fornece declara
es de terceiros, certifica
es,
relatrio de controles de empresa de servi
os (SOC 1), outros
relatrios de conformidade relevantes diretamente para
nossos clientes sob NDA.
A certifica
o AWS ISO 27001 pode ser baixada aqui:
http://d0.awsstatic.com/certifications/iso_27001_global_certifi
cation.pdf.
O relatrio AWS SOC 3 pode ser baixado aqui:
https://d0.awsstatic.com/whitepapers/compliance/soc3_amazo
n_web_services.pdf.
A seguran
a da AWS examina regularmente todos os endere
os
IP de endpoint, de servi
o voltado Internet, quanto exist
ncia
de vulnerabilidades (essas verifica
es no incluem instncias de
clientes). A seguran
a da AWS notificaras partes adequadas
para solucionar quaisquer vulnerabilidades identificadas. Al
m
disso, avalia
es de amea
a de vulnerabilidade externa so
realizadas regularmente por empresas de seguran
a independentes.
As concluses e recomenda
es resultantes dessas avalia
es s
o
categorizadas e entregues lideran
a da AWS.
Al
m disso, o ambiente de controle da AWS estsujeito
a avalia
es regulares internas e externas de riscos e auditorias.
A AWS contrata rgos externos de certifica
o e auditores
independentes para analisar e testar o ambiente de controle
geral da AWS.
Grupo de controle
CID
AAC03.2
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Planejamento de
Continuidade nos Negcios
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Testes de Continuidade nos
Negcios
Pgina 31 de 95
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
Voc
s t
m capacidade para
recuperar logicamente
dados de um cliente
espec
fico no caso de uma
falha ou perda de dados?
AAC03.3
Voctem a capacidade de
restringir
o armazenamento de dados
do cliente a determinados
pa
ses ou localiza
es
geogrficas?
AAC03.4
Voctem um programa
local que inclui
a capacidade de monitorar
mudan
as nos requisitos
regulamentares em
jurisdi
es relevantes,
ajustar o seu programa de
seguran
a para altera
es
em requisitos legais
e garantir a conformidade
com os requisitos
regulamentares relevantes?
BCR01.1
Voc
s fornecem a grupos
de usurios op
es de
hospedagem flex
veis
geograficamente?
BCR01.2
Voc
s fornecem a grupos
de usurios capacidade de
failover de servi
o de
infraestrutura para outros
provedores?
Os datacenters so constru
dos em clusters em vrias regies
globais. A AWS oferece aos clientes a flexibilidade de posicionar
instncias e armazenar dados em vrias regies geogrficas, bem
como em vrias zonas de disponibilidade dentro de cada regio.
Os clientes devem projetar seu uso da AWS para tirar proveito
de vrias regies e zonas de disponibilidade.
BCR02.1
Hplanos de continuidade
de negcios sujeitos
a testes em intervalos
planejados ou mediante
altera
es ambientais ou
organizacionais
significativas, a fim de
garantir a eficcia
cont
nua?
Grupo de controle
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Energia/Telecomunica
es
Gerenciamento de
Continuidade de Negcios
e Resili
ncia Operacional
Documenta
o
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Riscos Ambientais
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
BCR03.1
Voc
s fornecem a grupos
de usurios documenta
o
mostrando a rota de
transporte de seus dados
entre seus sistemas?
BCR03.2
BCR04.1
A documenta
o do
sistema de informa
es (p.
ex., guias do usurio
e administrador, diagramas
de arquitetura etc.)
disponibilizada para
a equipe autorizada, a fim
de garantir a configura
o,
a instala
o e a opera
o do
sistema de informa
es?
A documenta
o do sistema de informa
es disponibilizada
internamente para a equipe da AWS atrav
s do uso do site da
Intranet da Amazon. Consulte o Whitepaper de Seguran
a na
Nuvem AWS para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security/.
Hprote
o f
sica em
rela
o a danos (por
exemplo, desastres e causas
naturais e ataques
deliberados) previstos
e desenvolvidos com
contramedidas aplicadas?
BCR05.1
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Localiza
o de
Equipamento
BCR06.1
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Manuten
o de
Equipamento
BCR07.1
Se estiver usando
a infraestrutura virtual, sua
solu
o em nuvem inclui
capacidades de recupera
o
e restaura
o
independentes de
hardware?
BCR07.2
Se estiver usando
infraestrutura virtual, voc
s
fornecem a grupos de
usurios a capacidade de
restaurar uma mquina
virtual em um estado
anterior espec
fico no
tempo?
Pgina 32 de 95
Grupo de controle
Gerenciamento de
continuidade de
negcios e resilincia
operacional
Falhas de alimenta
o do
equipamento
CID
Perguntas de avaliao
do consenso
BCR07.3
Se estiver usando
infraestrutura virtual, voc
s
permitem que imagens de
mquina virtual sejam
baixadas e postadas em um
novo provedor de nuvem?
BCR07.4
Se estiver usando
infraestrutura virtual,
imagens de mquina so
disponibilizadas para
o cliente, de forma que
permita que ele replique
essas imagens em seu
prprio local de
armazenamento fora do
local?
BCR07.5
Sua solu
o de nuvem
inclui recursos de
recupera
o e restaura
o
independentes de
provedor/software?
BCR08.1
Hredundncias
e mecanismos de seguran
a
implementados para
proteger equipamentos de
interrup
es de servi
os
pblicos (por exemplo,
quedas de energia,
interrup
es de rede, etc.)?
Dezembro de 2015
Resposta da AWS
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Anlise de Impacto
Pgina 33 de 95
BCR09.1
Voc
s fornecem a grupos
de usurios relatrios
e visibilidade cont
nua do
desempenho de seu acordo
de n
vel de servi
o
operacional?
BCR09.2
Hm
tricas de seguran
a
da informa
o com base
em padres (CSA, CAMM
etc.) dispon
veis para seus
grupos de usurios?
BCR09.3
Voc
s fornecem aos
clientes relatrios
e visibilidade cont
nua do
desempenho de seu acordo
de n
vel de servi
o
operacional?
Grupo de controle
CID
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Pol
tica
BCR10.1
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Pol
tica de Reten
o
Controle de Alteraes
e Gerenciamento de
Configurao
Novo
Desenvolvimento/Aquisi
o
Resposta da AWS
Hpol
ticas
e procedimentos
estabelecidos
e disponibilizados para
toda a equipe, a fim de
oferecer adequadamente
suporte s fun
es de
opera
es de servi
os?
BCR11.1
Voc
s t
m recursos de
controle t
cnico para
aplicar pol
ticas de
reten
o de dados de grupo
de usurios?
BCR11.2
Voc
s t
m um
procedimento
documentado para
responder a solicita
es de
dados de grupos de
usurios de governos ou
terceiros?
BCR11.4
Voc
s implementaram
mecanismos de backup ou
redundncia para garantir
a conformidade com
requisitos normativos,
estatutrios, contratuais ou
comerciais?
BCR11.5
Voc
s testam seus
mecanismos de backup ou
redundncia pelo menos
uma vez por ano?
CCC01.1
Hpol
ticas
e procedimentos
estabelecidos para
autoriza
o de
gerenciamento para
desenvolvimento ou
aquisi
o de novas
aplica
es, sistemas,
bancos de dados,
infraestrutura, servi
os,
opera
es e instala
es?
CCC01.2
Pgina 34 de 95
Perguntas de avaliao
do consenso
Dezembro de 2015
Existe alguma
documenta
o dispon
vel
que descreva a instala
o,
a configura
o e o uso de
produtos/servi
os/recursos?
Grupo de controle
Controle de Alteraes
e Gerenciamento de
Configurao
Desenvolvimento
Terceirizado
Controle de alteraes
e gerenciamento de
configura
o
Testes de qualidade
CID
CCC02.1
Voc
s t
m controles
vigentes para garantir que
padres de qualidade
estejam sendo atendidos
para todo
o desenvolvimento de
software?
CCC02.2
CCC03.1
Voc
s fornecem a seus
grupos de usurios
documenta
o que
descreve seu processo de
garantia de qualidade?
CCC03.2
Existe alguma
documenta
o dispon
vel
que descreva problemas
conhecidos com alguns
produtos/servi
os?
CCC03.3
CCC03.4
Controle de alteraes
e gerenciamento de
configurao
Instala
es de software no
autorizadas
CCC04.1
Controle de Alteraes
e Gerenciamento de
Configurao
Altera
es de Produ
o
CCC05.1
Pgina 35 de 95
Perguntas de avaliao
do consenso
Existem pol
ticas
e procedimentos em vigor
para analisar e corrigir
bugs e vulnerabilidades de
seguran
a relatados para
produtos e servi
os?
Existem mecanismos em
vigor para garantir que
todos os elementos de
depura
o e cdigo de teste
sejam removidos das
verses de software
lan
adas?
Dezembro de 2015
Resposta da AWS
A AWS geralmente no terceiriza o desenvolvimento de
software. A AWS incorpora padres de qualidade como parte
dos processos de SDLC (ciclo de vida de desenvolvimento do
sistema).
Consulte o padro ISO 27001, Anexo A, dom
nio 12 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.
A AWS mant
m uma certifica
o ISO 9001. Trata-se de uma
valida
o independente do sistema de qualidade da AWS que
determina se as atividades da AWS esto em conformidade com
os requisitos do ISO 9001.
Os boletins de seguran
a da AWS notificam os clientes sobre
eventos de seguran
a e privacidade. Os clientes podem se
inscrever no feed RSS do boletim de seguran
a da AWS no nosso
site. Consulte aws.amazon.com/security/security-bulletins/.
A AWS tamb
m publica nossas informa
es mais recentes sobre
disponibilidade de servi
o no Painel de Status dos Servi
os.
Consulte status.aws.amazon.com.
O ciclo de vida de desenvolvimento de sistema da AWS (SDLC)
incorpora as melhores prticas do setor, que incluem revises
formais de design pela equipe de seguran
a da AWS, modelagem
de amea
as e concluso de uma avalia
o de risco. Consulte
a viso geral de processos de seguran
a da AWS para obter mais
detalhes.
Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio
14 para obter mais detalhes. A AWS foi validada e certificada por
um auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.
Voc
s fornecem a grupos
de usurios documenta
o
que descreve seus
procedimentos de
gerenciamento de
altera
es em produ
o,
bem como suas
fun
es/direitos/
responsabilidades?
Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio
14 para obter mais detalhes. A AWS foi validada e certificada por
um auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.
Grupo de controle
Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Classifica
o
Pgina 36 de 95
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
DSI01.1
Voc
s fornecem algum
recurso para identificar
mquinas virtuais por meio
de tags/metadados de
pol
tica (por exemplo, tags
podem ser usadas para
limitar sistemas
operacionais convidados de
inicializar/instanciar/
transportar dados no pa
s
errado)?
DSI01.2
Voc
s fornecem recursos
para identificar hardware
via tags/metadados/tags de
hardware de pol
tica (por
exemplo, TXT/TPM, VNTag etc.)?
DSI01.3
Voc
s t
m recursos para
usar localiza
o geogrfica
de sistema como um fator
de autentica
o?
DSI01.4
Voc
s podem fornecer
a localiza
o
f
sica/geografia de
armazenamento de dados
de um grupo de usurios
mediante solicita
o?
DSI01.5
Voc
s podem fornecer
a localiza
o
f
sica/geografia de
armazenamento de dados
de um grupo de usurios
com anteced
ncia?
DSI01.6
Voc
s seguem algum
padro de identifica
o de
dados estruturados (por
exemplo, ISO 15489, Oasis
XML Catalog Specification,
diretriz de tipo de
dados CSA)?
DSI01.7
Voc
s permitem que
grupos de usurios definam
locais geogrficos aceitveis
para roteamento de dados
ou instancia
o de
recursos?
Perguntas de avaliao
do consenso
Grupo de controle
CID
Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Inventrio/Fluxos de Dados
DSI02.1
Voc
s armazenam,
documentam e mant
m
fluxos de dados que
residem (permanente ou
temporariamente) nos
aplicativos de servi
os
e nos sistemas e redes de
infraestrutura?
DSI02.2
Voc
s podem garantir que
os dados no sero
migrados al
m de uma
fronteira geogrfica
definida?
DSI03.1
Voc
s fornecem
metodologias de
criptografia aberta (3.4ES,
AES, etc.) para grupos de
usurios a fim de solicitar
que eles protejam seus
dados se for necessrio
trafegar por redes pblicas
(por exemplo, a Internet)?
DSI03.2
Voc
s utilizam
metodologias de
criptografia aberta sempre
que seus componentes de
infraestrutura precisam se
comunicar utilizando redes
pblicas (por exemplo,
replica
o de dados via
Internet de um ambiente
para outro)?
DSI04.1
Hpol
ticas
e procedimentos
estabelecidos para
rotulamento, identifica
o
e seguran
a de dados
e objetos que cont
m
dados?
DSI04.2
Hmecanismos de heran
a
de rtulo implementados
para objetos que atuam
como recipientes agregados
para dados?
DSI05.1
Voc
s t
m procedimentos
vigentes para garantir que
os dados de produ
o no
sero replicados ou usados
em ambientes no relativos
produ
o?
Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Transa
es de Com
rcio
Eletrnico
Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Pol
tica de
Manipula
o/Identifica
o/
Seguran
a
Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Dados No de Produ
o
Pgina 37 de 95
Dezembro de 2015
Resposta da AWS
Os clientes da AWS podem designar em qual regio f
sica seu
contedo estarlocalizado. A AWS no movero contedo de
clientes das regies selecionadas sem notificar o cliente, exceto
se necessrio para cumprir a legisla
o ou atender a solicita
es
de entidades governamentais. Neste momento, existem onze
regies: Leste dos EUA (Norte da Virg
nia), Oeste dos EUA
(Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud
(EUA) (Oregon), UE (Irlanda), UE (Frankfurt), sia-Pac
fico
(Cingapura), sia-Pac
fico (Tquio), sia-Pac
fico (Sydney),
Regio da China (Pequim) e Am
rica do Sul (So Paulo).
Perguntas de avaliao
do consenso
Dezembro de 2015
Grupo de controle
CID
Resposta da AWS
Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Propriedade/Administra
o
DSI06.1
As responsabilidades
relacionadas
administra
o de dados
so definidas, atribu
das,
documentadas
e transmitidas?
Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Descarte Seguro
DSI07.1
Voc
s oferecem suporte
excluso segura (por
exemplo, limpeza
criptogrfica/inutiliza
o)
de dados arquivados e com
backup como determinado
pelo grupo de usurios?
DSI07.2
Voc
s podem fornecer um
procedimento publicado
para sa
da da disposi
o do
servi
o, incluindo garantia
de tratamento de todos os
recursos de computa
o de
dados do grupo de usurios
assim que o cliente tiver
sa
do de seu ambiente ou
tiver liberado um recurso?
Segurana do
Datacenter
Gerenciamento de Ativos
Pgina 38 de 95
DCS01.1
Voc
s mant
m um
inventrio completo de
todos os seus ativos
cr
ticos, que inclui
propriedade do ativo?
DCS01.2
Voc
s mant
m um
inventrio completo de
todas as suas rela
es com
fornecedores essenciais?
Grupo de controle
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
Segurana do
Datacenter
Pontos de Acesso
Controlado
DCS02.1
Hper
metros de
seguran
a f
sica (por
exemplo, cercas, muros,
barreiras, vigias, portes,
vigilncia eletrnica,
mecanismos de
autentica
o f
sica, locais
de recep
o e portas de
seguran
a)
implementados?
Os controles de seguran
a f
sica incluem, mas no de forma
exclusiva, controles de per
metro como cerca, muros, equipe
de seguran
a, vigilncia com v
deo, sistemas de detec
o de
intruso e outros meios eletrnicos. Os relatrios SOC da AWS
fornecem mais detalhes sobre atividades espec
ficas de controle
executadas pela AWS. Consulte o padro ISO 27001, Anexo A,
dom
nio 11 para obter mais informa
es. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padro de certifica
o ISO 27001.
Segurana do
Datacenter
Identifica
o do
Equipamento
DCS03.1
A identifica
o de
equipamento automatizada
usada como um m
todo
para validar a integridade
de autentica
o da conexo
com base em local de
equipamento conhecido?
Segurana do
Datacenter
Autoriza
o Fora do Local
DCS04.1
Voc
s fornecem a grupos
de usurios documenta
o
que descreva cenrios em
que os dados podem ser
movidos de um local f
sico
para outro (por exemplo,
replica
o, failovers de
continuidade de negcios,
backups fora do local)?
Voc
s fornecem aos grupos
de clientes evid
ncias que
documentam suas pol
ticas
e procedimentos regendo
gerenciamento de ativos
e realoca
o de
equipamento?
Segurana do
Datacenter
Equipamento Fora do Local
DCS05.1
Pgina 39 de 95
DCS06.1
Voc
s podem fornecer
evid
ncias de que foram
estabelecidos
procedimentos, padres
e pol
ticas para manter um
ambiente de trabalho
seguro e protegido em
escritrios, salas,
instala
es e reas seguras?
Grupo de controle
CID
DCS06.2
Perguntas de avaliao
do consenso
Voc
s fornecem evid
ncias
de que sua equipe
e terceiros envolvidos
foram treinados nos
procedimentos, padres
e pol
ticas documentados?
Dezembro de 2015
Resposta da AWS
Em alinhamento com o padro ISO 27001, todos os funcionrios
da AWS realizam treinamento peridico em seguran
a da
informa
o, o qual requer uma confirma
o para sua concluso.
As auditorias de conformidade so realizadas periodicamente
para validar que os funcionrios entendem e seguem as pol
ticas
estabelecidas. Consulte o Whitepaper de Seguran
a na Nuvem
AWS para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.
A AWS foi validada e certificada por um auditor independente
para confirmar o alinhamento com a certifica
o ISO 27001.
Al
m disso, os relatrios SOC 1 e SOC 2 da AWS fornecem
informa
es adicionais.
Segurana do
Datacenter
Autoriza
o de rea Segura
DCS07.1
Voc
s permitem que
grupos de usurios
especifiquem em quais de
seus locais geogrficos seus
dados t
m permisso para
entrar/sair (para atender
a considera
es
jurisdicionais legais com
base em onde os dados so
armazenados versus
acessados)?
Segurana do
Datacenter
Entrada de Pessoas No
Autorizadas
DCS08.1
Hpontos de entrada
e sa
da, como reas de
servi
o e outros pontos em
que pessoal no autorizado
pode entrar em locais
monitorados, controlados
e isolados de processo
e armazenamento de
dados?
Segurana do
Datacenter
Acesso do Usurio
DCS09.1
Voc
s restringem o acesso
f
sico de usurios e da
equipe de suporte a ativos
de informa
o e fun
es?
O acesso f
sico estritamente controlado no per
metro e nos
pontos de ingresso dos pr
dios pelos funcionrios de seguran
a
profissional utilizando a vigilncia por v
deo, sistemas de
detec
o de intruso e outros meios eletrnicos. O pessoal
autorizado deve passar pelo menos duas vezes por uma
autentica
o de dois fatores para ter acesso aos andares do
datacenter. Os pontos de acesso f
sico aos locais de servidores
so registrados por um circuito fechado de TV (CCTV), conforme
definido na pol
tica de seguran
a f
sica de datacenters da AWS.
Criptografia
e Gerenciamento de
Chave
Qualifica
o
EKM01.1
Voc
s t
m pol
ticas de
gerenciamento de chave
que associam chaves
a proprietrios
identificveis?
Os mecanismos de seguran
a f
sica da AWS so revisados por
auditores externos independentes durante as nossas auditorias
de conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. As sesses da VPC tamb
m so criptografadas. Al
m
disso, os clientes podem aproveitar o AWS Key Management
Systems (KMS) para criar e controlar chaves de criptografia
(consulte https://aws.amazon.com/kms/).
Internamente, a AWS estabelece e gerencia chaves criptogrficas
para a criptografia necessria empregada na infraestrutura da
AWS. Um gerenciador de credenciais e chaves de seguran
a
desenvolvido pela AWS usado para criar, proteger e distribuir
chaves sim
tricas, al
m de proteger e distribuir: credenciais da
AWS necessrias em hosts, chaves pblicas/privadas de RSA
e Certifica
es X.509.
Os processos criptogrficos da AWS so revisados por auditores
terceirizados independentes, como parte da conformidade
cont
nua com o SOC, PCI DSS, ISO 27001 e FedRAMP.
Pgina 40 de 95
Grupo de controle
Criptografia
e Gerenciamento de
Chave
Gera
o de Chave
Criptografia
e gerenciamento de
chave
Criptografia
Pgina 41 de 95
CID
Perguntas de avaliao
do consenso
EKM02.1
Voc
s t
m recursos para
permitir a cria
o de
chaves de criptografia
exclusivas por grupo de
usurios?
EKM02.2
Voc
s t
m recursos para
gerenciar chaves de
criptografia em nome de
grupos de usurios?
EKM02.3
Voc
s mant
m
procedimentos de
gerenciamento de chaves?
EKM02.4
Voc
s t
m propriedade
documentada para cada
estgio do ciclo de vida de
chaves de criptografia?
EKM02.5
Voc
s utilizam alguma
estrutura de terceiros/de
cdigo aberto/prpria para
gerenciar chaves de
criptografia?
EKM03.1
Voc
s criptografam dados
de grupos de clientes em
repouso (em
disco/armazenamento) em
seu ambiente?
EKM03.2
Voc
s utilizam criptografia
para proteger imagens de
mquina virtual e dados
durante o transporte em
e entre instncias de
hypervisor e redes?
EKM03.3
Voc
s oferecem suporte
a chaves de criptografia
geradas por grupo de
usurios ou permitem que
esses grupos criptografem
dados em uma identidade,
sem acesso a um certificado
de chave pblica (por
exemplo, criptografia com
base em identidade)?
EKM03.4
Voc
s t
m alguma
documenta
o que
estabelece e define
procedimentos, diretrizes
e pol
ticas de
gerenciamento de
criptografia?
Dezembro de 2015
Resposta da AWS
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. Os tneis IPSec para a VPC tamb
m so criptografados.
Al
m disso, os clientes podem aproveitar o AWS Key
Management Systems (KMS) para criar e controlar chaves de
criptografia (consulte https://aws.amazon.com/kms/). Consulte
os relatrios SOC da AWS para obter mais detalhes sobre o KMS.
Al
m disso, consulte o Whitepaper de Seguran
a na Nuvem AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.
Internamente, a AWS estabelece e gerencia chaves criptogrficas
para a criptografia necessria empregada na infraestrutura da
AWS. A AWS produz, controla e distribui chaves criptogrficas
sim
tricas usando tecnologias e processos de gerenciamento de
chaves comprovados no sistema de informa
es da AWS. Um
gerenciador de credenciais e chaves de seguran
a desenvolvido
pela AWS usado para criar, proteger e distribuir chaves
sim
tricas, al
m de proteger e distribuir: credenciais da AWS
necessrias em hosts, chaves pblicas/privadas de RSA
e Certifica
es X.509.
Os processos criptogrficos da AWS so revisados por auditores
terceirizados independentes, como parte da conformidade
cont
nua com o SOC, PCI DSS, ISO 27001 e FedRAMP.
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. Os tneis IPSec para a VPC tamb
m so criptografados.
Al
m disso, os clientes podem aproveitar o AWS Key
Management Systems (KMS) para criar e controlar chaves de
criptografia (consulte https://aws.amazon.com/kms/). Consulte
os relatrios SOC da AWS para obter mais detalhes sobre o KMS.
Al
m disso, consulte o Whitepaper de Seguran
a na Nuvem AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.
Grupo de controle
Criptografia
e Gerenciamento de
Chave
Armazenamento e Acesso
Governana
e Gerenciamento de
Risco
Requisitos Bsicos
Governana
e Gerenciamento de
Risco
Avalia
es de Risco
Pgina 42 de 95
CID
Perguntas de avaliao
do consenso
EKM04.1
Voc
s t
m plataforma
e criptografia de dados
apropriada que usa
formatos abertos/validados
e algoritmos padro?
EKM04.2
EKM04.3
Voc
s armazenam chaves
de criptografia na nuvem?
EKM04.4
Voc
s t
m fun
es
separadas de
gerenciamento e uso de
chave?
GRM01.1
Voc
s t
m linhas de base de
seguran
a da informa
o
documentadas para cada
componente de sua
infraestrutura (por
exemplo, hypervisor,
sistemas operacionais,
roteadores, servidores
DNS etc.)?
GRM01.2
Voc
s t
m um recurso para
monitorar continuamente
e reportar a conformidade
de sua infraestrutura em
rela
o s suas linhas de
base de seguran
a da
informa
o?
GRM01.3
Voc
s permitem que
clientes forne
am sua
prpria imagem de
mquina virtual confivel,
a fim de garantir
a conformidade com seus
prprios padres internos?
GRM02.1
Voc
s fornecem dados de
sade de controle de
seguran
a, a fim de
permitir que grupos de
usurios implementem
monitoramento cont
nuo
padro do setor (que
permite a valida
o
cont
nua de grupos de
usurios de seu status de
controle f
sico e lgico)?
Dezembro de 2015
Resposta da AWS
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. Al
m disso, os clientes podem aproveitar o AWS Key
Management Systems (KMS) para criar e controlar chaves de
criptografia (consulte https://aws.amazon.com/kms/). Consulte
os relatrios SOC da AWS para obter mais detalhes sobre o KMS.
A AWS estabelece e gerencia chaves criptogrficas para
a criptografia necessria empregada na infraestrutura da AWS.
A AWS produz, controla e distribui chaves criptogrficas
sim
tricas usando tecnologias e processos de gerenciamento de
chaves comprovados no sistema de informa
es da AWS. Um
gerenciador de credenciais e chaves de seguran
a desenvolvido
pela AWS usado para criar, proteger e distribuir chaves
sim
tricas, al
m de proteger e distribuir: credenciais da AWS
necessrias em hosts, chaves pblicas/privadas de RSA
e Certifica
es X.509.
Os processos criptogrficos da AWS so revisados por auditores
terceirizados independentes, como parte da conformidade
cont
nua com o SOC, PCI DSS, ISO 27001 e FedRAMP.
Em alinhamento com os padres ISO 27001, a AWS mant
m
linhas de base de sistema para componentes essenciais. Consulte
o padro ISO 27001, Anexo A, dom
nios 14 e 18 para obter mais
detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.
Os clientes podem fornecer sua prpria imagem de mquina
virtual. O VM Import permite que os clientes importem
facilmente imagens de mquina virtual do ambiente existente
para instncias do Amazon EC2.
Grupo de controle
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
GRM02.2
Voc
s realizam avalia
es
de risco associadas aos
requisitos de governan
a
de dados pelo menos uma
vez por ano?
Governana
e Gerenciamento de
Risco
Superviso de
Gerenciamento
GRM03.1
Seus gerentes t
cnicos,
comerciais e executivos so
responsveis por manter
a familiariza
o
e o cumprimento de
pol
ticas, procedimentos
e padres de seguran
a
para si mesmos e seus
funcionrios, visto que
pertencem rea de
responsabilidade do
gerente e dos funcionrios?
Governana
e Gerenciamento de
Risco
Programa de
Gerenciamento
GRM04.1
Voc
s fornecem a grupos
de usurios documenta
o
descrevendo seu ISMP
(Information Security
Management Program,
Programa de
gerenciamento de
seguran
a da informa
o)?
GRM04.2
Voc
s analisam seu
programa de
gerenciamento de
seguran
a de informa
es
(ISMP) pelo menos uma
vez por ano?
Governan
a
e Gerenciamento de Risco
Suporte/Envolvimento de
Gerenciamento
GRM05.1
Voc
s garantem que seus
provedores seguem suas
pol
ticas de privacidade
e seguran
a da informa
o?
Governana
e Gerenciamento de
Risco
Pol
tica
GRM06.1
Suas pol
ticas de privacidade
e seguran
a da informa
o
est
o alinhadas a padres do
setor (ISO-27001,
ISO-22307, CoBIT etc.)?
GRM06.2
Voc
s t
m contratos que
garantem que seus
provedores seguem suas
pol
ticas de privacidade
e seguran
a da informa
o?
GRM06.3
Voc
s podem fornecer
evid
ncias de mapeamento
de auditoria detalhada de
seus controles, arquitetura
e processos para
regulamentos e/ou
padres?
Pgina 43 de 95
Grupo de controle
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
GRM06.4
Voc
s divulgam com quais
controles, padres,
certifica
es e/ou normas
esto em conformidade?
GRM07.1
Huma pol
tica de san
o
ou disciplinar formal
estabelecida para
funcionrios que violaram
procedimentos e pol
ticas
de seguran
a?
GRM07.2
Os funcionrios esto
cientes de quais a
es
podem ser tomadas em
caso de viola
o de
pol
ticas e procedimentos?
Governana
e Gerenciamento de
Risco
Impactos de Altera
o de
Pol
tica/Negcios
GRM08.1
Os resultados de avalia
es
de riscos incluem
atualiza
es em controles,
padres, procedimentos
e pol
ticas de seguran
a,
a fim de garantir que
permane
am pertinentes
e eficazes?
As atualiza
es em controles, padres, procedimentos e pol
ticas
de seguran
a da AWS ocorrem anualmente em alinhamento com
o padro ISO 27001.
Governana
e Gerenciamento de
Risco
Anlises de Pol
tica
GRM09.1
Voc
s notificam seus
grupos de usurios quando
fazem altera
es materiais
em suas pol
ticas de
privacidade e/ou seguran
a
da informa
o?
GRM09.2
Voc
s realizam anlises no
m
nimo manuais nas
pol
ticas de privacidade
e seguran
a?
GRM10.1
Havalia
es formais de
risco alinhadas com
a estrutura abrangendo
toda a empresa
e realizadas, pelo menos,
anualmente ou em
intervalos planejados,
determinando
a probabilidade e o impacto
de todos os riscos
identificados, usando
m
todos qualitativos
e quantitativos?
Governana
e Gerenciamento de
Risco
Imposi
o de Pol
tica
Governana
e Gerenciamento de
Risco
Avalia
es
Pgina 44 de 95
Grupo de controle
Governana
e Gerenciamento de
Risco
Programa
CID
Perguntas de avaliao
do consenso
GRM10.2
Existe a probabilidade
e o impacto associados
a riscos residuais
e inerentes determinados
de forma independente,
considerando todas as
categorias de risco (p. ex.,
resultados de auditoria,
anlise de
vulnerabilidades/amea
as
e conformidade
normativa)?
GRM11.1
Voc
s t
m um programa
documentado em toda
a organiza
o em vigor
para gerenciar riscos?
GRM11.2
Voc
s disponibilizam
a documenta
o do
programa de
gerenciamento de risco
de toda a organiza
o?
Dezembro de 2015
Resposta da AWS
Recursos Humanos
Devolu
o de Bens
Recursos Humanos
Triagem de Histrico
Recursos Humanos
Contratos Trabalhistas
Pgina 45 de 95
HRS01.1
Os clientes da AWS t
m a responsabilidade por monitorar seu
prprio ambiente quanto a viola
es de privacidade.
Os relatrios SOC da AWS fornecem uma viso geral dos
controles vigentes para monitorar o ambiente gerenciado
da AWS.
HRS01.2
Sua pol
tica de privacidade
estalinhada com os
padres do setor?
HRS02.1
De acordo com as
restri
es contratuais,
tica, regulamentos
e legisla
es locais, todos
os candidatos
contrata
o, contratantes
e terceiros envolvidos esto
sujeitos verifica
o de
antecedentes?
Voc
s treinam
especificamente seus
funcionrios em rela
o
sua fun
o espec
fica
e aos controles de
seguran
a de informa
es
que eles devem seguir?
HRS03.1
Grupo de controle
Recursos Humanos
T
rmino de Contrata
o
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
HRS03.2
Voc
s documentam
a confirma
o do
treinamento que
o funcionrio concluiu?
HRS03.3
HRS03.4
A concluso bem-sucedida
e dentro do prazo do
programa de treinamento
considerada um pr
requisito para adquirir
e manter o acesso
a sistemas confidenciais?
HRS03.5
HRS04.1
Existem pol
ticas, diretrizes
e procedimentos
documentados em vigor
para regular altera
es em
contrata
o e/ou t
rmino?
o
de fun
o de funcion
rios e fornecedores.
Os procedimentos
e diretrizes acima so
responsveis pela
revoga
o de acesso e pela
devolu
o de bens
apropriadas?
HRS04.2
Pgina 46 de 95
Grupo de controle
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
Recursos Humanos
Dispositivos
Mveis/Portteis
HRS05.1
Hpol
ticas
e procedimentos
estabelecidos e medidas
implementadas para
limitar rigidamente
o acesso a seus dados
confidenciais e a dados do
grupo de usurios a partir
de dispositivos mveis
e portteis, como laptops,
celulares e PDAs, que
geralmente apresentam
risco maior do que
dispositivos no portteis
(p. ex., computadores
desktop nas instala
es da
organiza
o do provedor)?
Os clientes mant
m o controle e a responsabilidade sobre os
seus dados e ativos de m
dia associados. O cliente responsvel
por gerenciar dispositivos mveis de seguran
a e o acesso
autoriza
o do cliente.
Recursos Humanos
Contratos de No
Divulga
o
HRS06.1
O departamento jur
dico da Amazon gerencia e revisa
periodicamente o acordo de confidencialidade da Amazon,
a fim de refletir as necessidades comerciais da AWS.
Recursos Humanos
Fun
es/Responsabilidades
HRS07.1
Voc
s fornecem a grupos
de usurios um documento
de defini
o de fun
o
esclarecendo suas
responsabilidades
administrativas versus as
do grupo de usurios?
Os Whitepapers de Seguran
a da Nuvem AWS e de
Conformidade e Risco da AWS fornecem detalhes sobre as
fun
es e responsabilidades da AWS e as de nossos clientes.
A rea de whitepapers estdispon
vel em:
http://aws.amazon.com/security
e http://aws.amazon.com/compliance.
Recursos Humanos
Uso Aceitvel
HRS08.1
Voc
s fornecem
documenta
o em rela
o
a como podem utilizar ou
acessar metadados e dados
de grupos de usurios?
HRS08.2
Voc
s coletam ou criam
metadados sobre uso de
dados de grupos de
usurios por meio de
tecnologias de inspe
o
(mecanismos de pesquisa
etc.)?
HRS08.3
Pgina 47 de 95
Voc
s permitem que
grupos de usurios neguem
o acesso a seus
dados/metadados atrav
s
de tecnologias de inspe
o?
Os clientes mant
m o controle e a responsabilidade sobre os
seus dados e ativos de m
dia associados. O cliente responsvel
por gerenciar dispositivos mveis de seguran
a e o acesso
autoriza
o do cliente.
Consulte o padro ISO 27001 e o cdigo de prtica 27018 para
obter mais informa
es. A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com os
padres ISO 27001 e ISO 27018.
Grupo de controle
CID
Recursos Humanos
HRSTreinamento/Familiariza
09.1
o
Recursos Humanos
Responsabilidade do
Usurio
Recursos Humanos
rea de Trabalho
Pgina 48 de 95
Perguntas de avaliao
do consenso
Voc
s fornecem um
programa de treinamento
formal de familiariza
o
com base em fun
o em
seguran
a para questes de
gerenciamento de dados
e acesso relacionado
nuvem (por exemplo,
multiusurios,
nacionalidade,
diferencia
o de
implica
es de direitos no
modelo de fornecimento
em nuvem e conflitos de
interesses) para todas as
pessoas que acessam os
dados de grupos de
usurios?
HRS09.2
Os administradores de
dados e gerentes so
devidamente instru
dos
sobre suas
responsabilidades legais
em rela
o seguran
a
e integridade de dados?
HRS10.1
HRS10.2
HRS10.3
HRS11.1
Seus procedimentos
e pol
ticas de
gerenciamento de dados
atendem aos conflitos de
interesses em n
vel de
servi
o e grupo de
usurios?
HRS11.2
Seus procedimentos
e pol
ticas de
gerenciamento de dados
incluem uma auditoria de
adultera
o ou fun
o de
integridade de software por
acesso no autorizado aos
Dezembro de 2015
Resposta da AWS
Em alinhamento com o padro ISO 27001, todos os funcionrios
da AWS realizam treinamento peridico em seguran
a da
informa
o, o qual requer uma confirma
o para sua concluso.
As auditorias de conformidade so realizadas periodicamente
para validar que os funcionrios entendem e seguem as pol
ticas
estabelecidas.
As fun
es e responsabilidades da AWS so revisadas por
auditores externos independentes durante as nossas auditorias
de conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
As pol
ticas de gerenciamento de dados da AWS esto alinhadas
com o padro ISO 27001. Consulte o padro ISO 27001, Anexo
A, dom
nios 8 e 9. A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001. Os relatrios SOC da AWS
fornecem mais detalhes sobre as atividades de controle
espec
ficas executadas pela AWS para impedir o acesso no
autorizado aos recursos da AWS.
A AWS identificou categorias de evento auditveis em sistemas
e dispositivos no sistema da AWS. As equipes de servi
o
configuram os recursos de auditoria para registrar
continuamente os eventos relacionados seguran
a de acordo
com os requisitos. Os registros de auditoria cont
m um conjunto
Grupo de controle
CID
Perguntas de avaliao
do consenso
dados do grupo de
usurios?
Gerenciamento de
Identidade e Acesso
Acesso a Ferramentas de
Auditoria
Dezembro de 2015
Resposta da AWS
de elementos de dados para oferecer suporte aos requisitos de
anlise necessrios. Al
m disso, os registros de auditoria esto
dispon
veis para que a equipe de seguran
a da AWS ou outras
equipes responsveis realizem inspe
o ou anlise sob demanda
e em resposta a eventos relacionados seguran
a ou de impacto
comercial.
HRS11.3
A infraestrutura de
gerenciamento de m
quina
virtual inclui uma auditoria
de adultera
o ou fun
o de
integridade de software,
a fim de detectar altera
es
na compila
o/configura
o
da m
quina virtual?
IAM01.1
Voc
s restringem,
registram e monitoram
o acesso aos seus sistemas
de gerenciamento de
seguran
a da informa
o
(por exemplo, hypervisor,
firewalls, verificadores de
vulnerabilidade, sniffers de
rede, APIs etc.)?
Voc
s monitoram
e registram acesso
privilegiado (n
vel de
administrador) a sistemas
de gerenciamento de
seguran
a de informa
es?
IAM01.2
Pgina 49 de 95
Grupo de controle
Gerenciamento de
Identidade e Acesso
Pol
tica de Acesso do
Usurio
CID
IAM02.1
Perguntas de avaliao
do consenso
Voc
s t
m controles
vigentes para garantir
a remo
o em tempo hbil
de acessos ao sistema que
no sejam mais necessrios
para fins comerciais?
Dezembro de 2015
Resposta da AWS
Os relatrios SOC da AWS fornecem mais detalhes sobre
a revoga
o de acesso de usurio. Al
m do Whitepaper de
Seguran
a da AWS, a se
o Ciclo de vida do funcionrio
fornece informa
es adicionais.
Consulte o padro ISO 27001, Anexo A, dom
nio 9 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.
IAM02.2
Voc
s fornecem m
tricas
que controlam com que
rapidez poss
vel remover
o acesso a sistemas que no
seja mais necessrio para
fins comerciais?
Gerenciamento de
Identidade e Acesso
Diagnstico/Acesso
a Portas de Configura
o
IAM03.1
Voc
s usam redes seguras
dedicadas para fornecer
acesso de gerenciamento
sua infraestrutura de
servi
o em nuvem?
Gerenciamento de
Identidade e Acesso
Pol
ticas e Procedimentos
IAM04.1
Voc
s gerenciam
e armazenam a identidade
de toda a equipe que tem
acesso infraestrutura de
TI, incluindo o n
vel de
acesso?
IAM04.2
Voc
s gerenciam
e armazenam a identidade
de usurio de toda a equipe
que tem acesso rede,
incluindo o n
vel de acesso?
Gerenciamento de
Identidade e Acesso
Diferencia
o de Direitos
IAM05.1
Voc
s fornecem aos grupos
de usurios documenta
o
sobre como manter
a diferencia
o de direitos
em sua oferta de servi
o em
nuvem?
Os clientes det
m a capacidade de gerenciar diferencia
es de
direitos de seus recursos da AWS.
Gerenciamento de
Identidade e Acesso
Restri
o de Acesso ao
Cdigo-fonte
IAM06.1
IAM06.2
Pgina 50 de 95
Grupo de controle
Gerenciamento de
Identidade e Acesso
Acesso de Terceiros
Gerenciamento de
Identidade e Acesso
Restri
o/Autoriza
o de
Acesso do Usurio
Gerenciamento de
Identidade e Acesso
Autoriza
o de Acesso do
Usurio
Pgina 51 de 95
CID
Perguntas de avaliao
do consenso
IAM07.1
Voc
s fornecem capacidade
de recupera
o de
desastres no caso de vrias
falhas?
IAM07.2
Voc
s monitoram
a continuidade de servi
o
com provedores upstream
na hiptese de falha do
provedor?
IAM07.3
Voc
s t
m mais de um
provedor para cada servi
o
com o qual contam?
IAM07.4
Voc
s fornecem acesso
a resumos de continuidade
e redundncia operacional,
incluindo os servi
os com
os quais contam?
IAM07.5
Voc
s fornecem ao grupo
de usurios a capacidade de
declarar um desastre?
IAM07.6
Voc
s fornecem ao grupo
de usurios uma op
o de
failover acionado?
IAM07.7
Voc
s compartilham seus
planos de redundncia
e continuidade de negcios
com seus grupos de
usurios?
IAM08.1
Voc
s documentam como
concedem e aprovam
o acesso a dados de grupos
de usurios?
IAM08.2
Voc
s t
m um m
todo de
alinhamento das
metodologias de
classifica
o de dados de
grupos de usurios
e provedor para fins de
controle de acesso?
IAM09.1
Sua equipe de
gerenciamento fornece
a autoriza
o e restri
es
de acesso do usurio (por
exemplo, funcionrios,
contratantes, clientes
(grupos), parceiros de
negcios e/ou
fornecedores) antes que
acessem os dados
e quaisquer aplica
es,
sistemas de infraestrutura
e componentes de rede
prprios ou gerenciados
(f
sicos e virtuais)?
Dezembro de 2015
Resposta da AWS
A AWS oferece aos clientes a flexibilidade de posicionar
instncias e armazenar dados em vrias regies geogrficas, bem
como em vrias zonas de disponibilidade dentro de cada regio.
Cada zona de disponibilidade concebida como uma zona de
falha independente. Em caso de falha, processos automatizados
desviam o trfego de dados do cliente da rea afetada. Para obter
mais detalhes, consulte os relatrios SOC da AWS. O padro ISO
27001, Anexo A, dom
nio 15 oferece mais detalhes. A AWS foi
validada e certificada por um auditor independente para
confirmar o alinhamento com a certifica
o ISO 27001.
Grupo de controle
Gerenciamento de
Identidade e Acesso
Anlises de Acesso do
Usurio
Gerenciamento de
Identidade e Acesso
Revoga
o de Acesso do
Usurio
CID
Resposta da AWS
IAM09.2
Voc
s fornecem, mediante
solicita
o, acesso do
usurio (por exemplo,
funcionrios, contratantes,
clientes (grupos), parceiros
de negcios e/ou
fornecedores) aos dados
e quaisquer aplica
es,
sistemas de infraestrutura
e componentes de rede
prprios ou gerenciados
(f
sicos e virtuais)?
IAM10.1
Voc
s exigem, pelo menos,
uma certifica
o anual de
qualifica
es de todos os
administradores e usurios
do sistema (exceto usurios
mantidos por seus grupos
de usurios)?
IAM10.2
IAM10.3
Voc
s compartilham
relatrios de atualiza
o
e certifica
o de
qualifica
o de usurios
com seus grupos no caso de
acesso no adequado ter
sido permitido a dados de
grupos de usurios?
IAM11.1
O desprovisionamento,
revoga
o ou modifica
o
em tempo hbil de acesso
de usurios aos sistemas de
organiza
es, ativos de
informa
es e dados so
implementados mediante
qualquer altera
o no
status de funcionrios,
contratantes, clientes,
parceiros comerciais ou
terceiros envolvidos?
IAM11.2
Pgina 52 de 95
Perguntas de avaliao
do consenso
Dezembro de 2015
Altera
es no status de
acesso do usurio incluem
t
rmino de contrata
o,
contrato ou acordo,
altera
o de contrata
o ou
transfer
ncia na
organiza
o?
Grupo de controle
Gerenciamento de
Identidade e Acesso
Credenciais de ID do
Usurio
Pgina 53 de 95
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
IAM12.1
Voc
s oferecem suporte ou
integra
o com solu
es
existentes de logon nico
baseadas em cliente com
seu servi
o?
O servi
o AWS Identity and Access Management (IAM) fornece
federa
o de identidades para o AWS Management Console.
A autentica
o multifator um recurso opcional que um cliente
pode utilizar. Acesse o site da AWS para obter mais detalhes:
http://aws.amazon.com/mfa.
IAM12.2
Voc
s usam padres
abertos para delegar
recursos de autentica
o
aos seus grupos?
IAM12.3
Voc
s oferecem suporte
a padres de federa
o de
identidades (SAML, SPML,
Federa
o WS etc.) como
uma forma de
autenticar/autorizar
usurios?
IAM12.4
Voc
s t
m algum recurso
de ponto de imposi
o de
pol
tica (por exemplo,
XACML) para impor
restri
es jur
dicas
regionais e de pol
tica para
o acesso do usurio?
IAM12.5
Voc
s t
m um sistema de
gerenciamento de
identidade vigente (que
permite a classifica
o de
dados para um grupo de
usurios) para qualifica
o
com base em contexto
e fun
es para dados?
IAM12.6
Voc
s fornecem aos grupos
de usurios op
es r
gidas
de autentica
o
(multifator) (certificados
digitais, tokens, biom
trica
etc.) para acesso de
usurio?
IAM12.7
Voc
s permitem que os
grupos de usurios utilizem
servi
os de garantia de
identidade de terceiros?
IAM12.8
Voc
s oferecem suporte
para pol
tica de senha
(comprimento m
nimo,
idade, histrico,
complexidade) e bloqueio
de conta (limite de
bloqueio, dura
o do
bloqueio)?
IAM12.9
Voc
s permitem que
grupos de usurios/clientes
definam pol
ticas de senha
e bloqueio da conta para
suas contas?
Grupo de controle
Gerenciamento de
Identidade e Acesso
Acesso a Programas
Utilitrios
Segurana de
Virtualizao
e Infraestrutura
Registros de
Auditoria/Detec
o de
Invaso
Pgina 54 de 95
CID
Perguntas de avaliao
do consenso
IAM12.10
Voc
s oferecem algum
recurso para for
ar
altera
es de senha depois
do primeiro login?
IAM12.11
Voc
s t
m mecanismos
vigentes para desbloquear
contas que foram
bloqueadas (por exemplo,
autoatendimento por email, perguntas de desafio
definidas, desbloqueio
manual)?
IAM13.1
IAM13.2
Voc
s t
m recursos para
detectar ataques que
almejam a infraestrutura
virtual diretamente (p. ex.,
shimming, Blue Pill,
Hyper jumping etc.)?
IAM13.3
IVS01.1
Hferramentas de IDS
(detec
o de intruso de
rede) e integridade de
arquivo (host)
implementadas para ajudar
a facilitar a detec
o em
tempo hbil, a investiga
o
por anlise de causa raiz
e a resposta a incidentes?
IVS01.2
IVS01.3
Voc
s podem fornecer
evid
ncias de que
o mapeamento de auditoria
detalhada de regulamentos
e padres em seus
controles/arquitetura/
processos foi feito?
Dezembro de 2015
Resposta da AWS
Grupo de controle
CID
Perguntas de avaliao
do consenso
IVS01.4
Hlogs de auditoria
armazenados e retidos
centralmente?
IVS01.5
Os logs de auditoria so
revisados regularmente
quanto a eventos de
seguran
a (por exemplo,
com ferramentas
automticas)?
Dezembro de 2015
Resposta da AWS
Em alinhamento com os padres do ISO 27001, os sistemas de
informa
o da AWS utilizam relgios do sistema interno
sincronizados via NTP (Network Time Protocol, Protocolo de
horrio de rede). A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.
A AWS utiliza sistemas de monitoramento automatizados para
fornecer um alto n
vel de disponibilidade e desempenho do
servi
o. O monitoramento proativo estdispon
vel atrav
s de
uma variedade de ferramentas on-line para uso interno
e externo. Os sistemas dentro da AWS so extensivamente
instrumentados para monitorar as principais m
tricas
operacionais. Os alarmes so configurados para notificar
opera
es e gerenciar colaboradores quando limites de alerta de
in
cio so cruzados nas principais m
tricas operacionais. Uma
agenda de planto usada para que colaboradores estejam
sempre dispon
veis para auxiliar com problemas operacionais.
Isso inclui um sistema de pager para que os alertas sejam
comunicados de maneira rpida e confivel equipe de
opera
es.
Consulte o Whitepaper de Seguran
a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.
Segurana de
Virtualizao
e Infraestrutura
Detec
o de Altera
es
Segurana de
Virtualizao
e Infraestrutura
Sincroniza
o do Relgio
Pgina 55 de 95
IVS02.1
Voc
s registram e enviam
alertas sobre altera
es
feitas em imagens de
mquina virtual
independentemente do
estado de execu
o (por
exemplo, pausada,
desligada ou em execu
o)?
IVS02.2
As altera
es feitas em
mquinas virtuais ou
a mudan
a de uma imagem
e a valida
o subsequente
da integridade da imagem
so disponibilizadas
imediatamente para os
clientes por meio de
m
todos eletrnicos (por
exemplo, portais ou
alertas)?
IVS03.1
Voc
s usam um protocolo
de servi
o de hora
sincronizado (por exemplo,
NTP) para garantir que
todos os sistemas tenham
uma refer
ncia de hora
comum?
Grupo de controle
Segurana de
Virtualizao
e Infraestrutura
Planejamento de
Capacidade/Recursos
Segurana de
Virtualizao
e Infraestrutura
Gerenciamento Gerenciamento de
Vulnerabilidades
CID
IVS04.1
Perguntas de avaliao
do consenso
Voc
s fornecem
documenta
o em rela
o
a quais n
veis de assinatura
em excesso do sistema (rede,
armazenamento, memria,
E/S etc.) e em quais
circunst
ncias/cen
rios?
IVS04.2
Voc
s restringem o uso das
capacidades de assinatura
em excesso de memria
presentes no hypervisor?
IVS04.3
Seus requisitos de
capacidade do sistema
levam em conta
necessidades de capacidade
atuais, projetadas
e previstas para todos os
sistemas usados para
fornecer servi
os aos
grupos de usurios?
IVS04.4
O desempenho do sistema
monitorado e ajustado
para satisfazer
constantemente requisitos
normativos, contratuais
e comerciais para todos os
sistemas usados para
fornecer servi
os aos
grupos de usurios?
IVS05.1
As ferramentas ou os
servi
os de avalia
o de
vulnerabilidade de
seguran
a acomodam as
tecnologias de virtualiza
o
usadas (por exemplo,
reconhecimento de
virtualiza
o)?
Dezembro de 2015
Resposta da AWS
Detalhes sobre limites de servi
o da AWS e como solicitar um
aumento para servi
os espec
ficos esto dispon
veis no site da
AWS em
http://docs.aws.amazon.com/general/latest/gr/aws_service_li
mits.html.
A AWS gerencia dados de capacidade e utiliza
o de acordo com
o padro ISO 27001. A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.
Segurana de
Virtualizao
e Infraestrutura
Seguran
a de Rede
Pgina 56 de 95
IVS06.1
Grupo de controle
CID
IVS06.2
Segurana de
Virtualizao
e Infraestrutura
Prote
o e Controles Base
do SO
Perguntas de avaliao
do consenso
Voc
s atualizam
regularmente diagramas de
arquitetura de rede que
incluem fluxos de dados
entre dom
nios/zonas de
seguran
a?
IVS06.3
Voc
s revisam
regularmente a adequa
o
da conectividade/acesso
permitido (por exemplo,
regras de firewall) entre
dom
nios/zonas de
seguran
a na rede?
IVS06.4
IVS07.1
Os sistemas operacionais
so protegidos para
fornecer somente as portas,
os protocolos e servi
os
necessrios para satisfazer
as necessidades de
negcios usando controles
t
cnicos (isto
,
monitoramento e registro
de integridade do arquivo)
como parte do padro ou
modelo bsico de cria
o?
Dezembro de 2015
Resposta da AWS
Dispositivos de prote
o de per
metro que empregam conjuntos
de regras, listas de controle de acesso e configura
es impem
o fluxo de informa
es entre estruturas de rede.
Existem vrias estruturas de rede na Amazon, cada uma
separada por dispositivos que controlam o fluxo de informa
es
entre si. O fluxo de informa
es entre estruturas estabelecido
por autoriza
es aprovadas, que existem como Access Control
Lists (ACL - Listas de controle de acesso) dentro desses
dispositivos. Esses dispositivos controlam o fluxo de
informa
es entre as estruturas, conforme exigido por essas
ACLs. As ACLs so definidas, aprovadas pela equipe
responsvel, gerenciadas e implantadas usando a ferramenta de
gerenciamento da AWS.
A equipe de seguran
a de informa
es da Amazon aprova essas
ACLs. Os conjuntos de regras de firewall e as listas de controle
de acesso aprovadas entre as estruturas de rede restringem
o fluxo de informa
es para servi
os de sistemas de informa
es
espec
ficos. As listas de controle de acesso e os conjuntos de
regras so revisados, aprovados e automaticamente enviados
para dispositivos de prote
o do per
metro periodicamente (pelo
menos a cada 24 horas) para garantir que os conjuntos de regras
e as listas de controle de acesso esto atualizadas.
O gerenciamento de rede da AWS revisado regularmente por
auditores terceirizados independentes, como parte da
conformidade cont
nua da AWS com o SOC, PCI DSS, ISO 27001
e FedRAMPsm.
A AWS implementa o m
nimo de privil
gios poss
vel em todos os
componentes da sua infraestrutura. A AWS pro
be todas as
portas e protocolos que no tenham uma finalidade comercial
espec
fica. A AWS segue uma abordagem rigorosa para
implementa
o m
nima dos recursos e fun
es que so
essenciais para o uso do dispositivo. A varredura de rede
executada, e quaisquer portas ou protocolos desnecessrios
que estiverem em uso so corrigidos.
As varreduras de vulnerabilidade regulares internas e externas
so realizadas no sistema operacional de host, na aplica
o web
e nos bancos de dados do ambiente da AWS atrav
s de vrias
ferramentas. A varredura de vulnerabilidade e as prticas de
remedia
o so revisadas regularmente como parte da
conformidade cont
nua da AWS com o PCI DSS e o FedRAMP.
Segurana de
Virtualizao
e Infraestrutura
Ambientes de
Produ
o/No Produ
o
Pgina 57 de 95
IVS08.1
IVS08.2
Grupo de controle
Segurana de
Virtualizao
e Infraestrutura
Segmenta
o
Segurana de
Virtualizao
e Infraestrutura
Seguran
a de VM Prote
o de Dados do
vMotion
Pgina 58 de 95
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
IVS08.3
Voc
s separam os
ambientes de produ
o
e no produ
o lgica
e fisicamente?
IVS09.1
Hambientes de rede
e sistema protegidos por
um firewall ou firewall
virtual para garantir os
requisitos de seguran
a dos
negcios e do cliente?
IVS09.2
Hambientes de rede
e sistema protegidos por
um firewall ou firewall
virtual para garantir
a conformidade com
requisitos legislativos,
normativos e contratuais?
IVS09.3
Hambientes de rede
e sistema protegidos por
um firewall ou firewall
virtual para garantir
a separa
o de ambientes
de produ
o e no
produ
o?
IVS09.4
Hambientes de rede
e sistema protegidos por
um firewall ou firewall
virtual para garantir
prote
o e isolamento de
dados confidenciais?
IVS10.1
Canais de comunica
o
protegidos e criptografados
so usados ao migrar
servidores f
sicos,
aplica
es ou dados para
servidores virtuais?
IVS10.2
Voc
s usam uma rede
separada das redes de
produ
o migrar servidores
f
sicos, aplica
es ou dados
para servidores virtuais?
Internamente, a segmenta
o de rede da AWS estalinhada com
os padres ISO 27001. Consulte o padro ISO 27001, Anexo A,
dom
nio 13 para obter mais detalhes. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padro de certifica
o ISO 27001.
Grupo de controle
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
Segurana de
Virtualizao
e Infraestrutura
Seguran
a de VMM Prote
o de hypervisor
IVS11.1
Voc
s restringem o acesso
pessoal a todas as fun
es
de gerenciamento de
hypervisor ou consoles
administrativos para
sistemas que hospedam
sistemas virtualizados com
base no princ
pio de
privil
gio m
nimo e t
m
suporte de controles
t
cnicos (por exemplo,
autentica
o de dois
fatores, trilhas de auditoria,
filtragem de endere
o IP,
firewalls e comunica
o
encapsulada por TLS para
os consoles
administrativos)?
Segurana de
Virtualizao
e Infraestrutura
Seguran
a sem Fio
IVS12.1
Hpol
ticas
e procedimentos
estabelecidos
e mecanismos configurados
e implementados para
proteger o per
metro do
ambiente de rede sem fio
e para restringir o trfego
sem fio no autorizado?
Hpol
ticas, procedimentos e mecanismos para proteger
o ambiente de rede da AWS.
Pgina 59 de 95
IVS12.2
Hpol
ticas
e procedimentos
estabelecidos
e mecanismos
implementados, a fim de
garantir que as
configura
es apropriadas
de seguran
a sem fio
estejam habilitadas com
r
gida criptografia para
autentica
o e transmisso,
substituindo configura
es
padro de fornecedor (p.
ex., chaves de criptografia,
senhas, sequ
ncia de
caracteres de comunidade
de SNMP)?
IVS12.3
Hpol
ticas
e procedimentos
estabelecidos
e mecanismos
implementados, a fim de
proteger ambientes de rede
sem fio e detectar
a presen
a de dispositivos
de rede no autorizados
(invasores) para uma
desconexo da rede em
tempo hbil?
Os controles de seguran
a da AWS so revisados por auditores
externos independentes durante as nossas auditorias de
conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
Grupo de controle
Segurana de
Virtualizao
e Infraestrutura
Arquitetura de Rede
CID
IVS13.1
IVS13.2
Interoperabilidade
e portabilidade
APIs
IPY01
Interoperabilidade
e Portabilidade
Solicita
o de Dados
IPY02
Interoperabilidade
e Portabilidade
Pol
tica e Aspectos Legais
Pgina 60 de 95
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
Seus diagramas de
arquitetura de rede
identificam claramente
ambientes de alto risco
e fluxos de dados que
podem ter impactos de
conformidade legal?
Voc
s implementam
medidas t
cnicas e aplicam
t
cnicas avan
adas de
defesa (por exemplo,
anlise avan
ada de pacote,
acelera
o de trfego
e black-holing) para
detec
o e resposta rpida
a ataques com base em
rede associados a padres
anmalos de trfego de
entrada ou sa
da (por
exemplo, spoofing de MAC
e ataques de
envenenamento de ARP)
e/ou ataques distribu
dos
de nega
o de servi
o
(DDoS)?
A seguran
a da AWS examina regularmente todos os endere
os
IP de endpoint de servi
o voltados Internet quanto exist
ncia
de vulnerabilidades (essas verifica
es no incluem instncias de
clientes). A seguran
a da AWS notificaras partes adequadas
para solucionar quaisquer vulnerabilidades identificadas. Al
m
disso, avalia
es de amea
a de vulnerabilidade externa so
realizadas regularmente por empresas de seguran
a
independentes. As concluses e recomenda
es resultantes
dessas avalia
es so categorizadas e entregues lideran
a da
AWS.
Voc
s publicam uma lista
de todas as APIs
dispon
veis no servi
o
e indicam quais so padro
e quais so personalizadas?
Os dados no estruturados
do cliente so
disponibilizados mediante
solicita
o em um formato
padro do setor (por
exemplo, .doc, .xls
ou .pdf)?
IPY03.1
Voc
s fornecem pol
ticas
e procedimentos (isto
,
acordos de n
vel de servi
o)
que regem o uso de APIs
quanto
interoperabilidade entre
seu servi
o e aplica
es de
terceiros?
IPY03.2
Voc
s fornecem pol
ticas
e procedimentos (isto
,
acordos de n
vel de servi
o)
que regem a migra
o de
dados de aplicativo de
e para o seu servi
o?
Internamente, a segmenta
o de rede da AWS estalinhada com
o padro ISO 27001. A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.
Al
m disso, o ambiente de controle da AWS estsujeito
a avalia
es regulares internas e externas de riscos. A AWS
contrata rgos externos de certifica
o e auditores
independentes para analisar e testar o ambiente de controle
geral da AWS.
Os controles de seguran
a da AWS so revisados por auditores
externos independentes durante as nossas auditorias de
conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
Os clientes mant
m o controle e a propriedade sobre seu
contedo. Os clientes podem escolher a forma de migra
o de
aplica
es e contedo dentro e fora da plataforma da AWS como
desejarem.
Grupo de controle
Interoperabilidade
e Portabilidade
Protocolos de Rede
Padronizados
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
IPY04.1
poss
vel importar
e exportar dados
e gerenciar servi
os por
meio de protocolos de rede
padronizados seguros (por
exemplo, texto no claro
e autenticado) e aceitos no
setor?
IPY04.2
Voc
s fornecem aos
clientes (grupos de
usurios) alguma
documenta
o que detalhe
os padres relevantes de
protocolo de rede
envolvidos em
interoperabilidade
e portabilidade?
IPY05.1
Voc
s usam uma
plataforma de virtualiza
o
reconhecida pelo setor
e formatos de virtualiza
o
padro (por exemplo, OVF)
para ajudar a garantir
a interoperabilidade?
IPY05.2
Voc
s documentaram
altera
es personalizadas
feitas em algum hypervisor
em uso? Todos os ganchos
de virtualiza
o espec
ficos
da solu
o esto
dispon
veis para anlise do
cliente?
Segurana de
Dispositivos Mveis
Antimalware
MOS01
Voc
s fornecem
treinamento antimalware
espec
fico para dispositivos
mveis como parte do
treinamento de seguran
a
de informa
es?
Segurana de
Dispositivos Mveis
Lojas de Aplicativo
MOS02
Voc
s documentam
e disponibilizam listas de
lojas de aplicativo
aprovadas para dispositivos
mveis que acessam ou
armazenam dados da
empresa e/ou sistemas da
empresa?
Segurana de
Dispositivos Mveis
Aplicativos Aprovados
MOS03
Voc
s t
m algum recurso
de imposi
o de pol
tica
(por exemplo, XACML)
para garantir que somente
aplicativos aprovados
e aqueles de lojas de
aplicativo aprovadas sejam
carregados em um
dispositivo mvel?
Interoperabilidade
e Portabilidade
Virtualiza
o
Pgina 61 de 95
Os clientes mant
m o controle e a responsabilidade sobre os
seus dados e ativos de m
dia associados. O cliente responsvel
por gerenciar dispositivos mveis de seguran
a e o acesso
autoriza
o do cliente.
Perguntas de avaliao
do consenso
Grupo de controle
CID
Segurana de
Dispositivos Mveis
Software Aprovado para
BYOD
MOS04
A pol
tica e o treinamento
de BYOD declaram
claramente quais
aplicativos e lojas de
aplicativo so aprovados
para uso em dispositivos
BYOD?
Segurana de
Dispositivos Mveis
Familiariza
o
e Treinamento
MOS05
Voc
s t
m uma pol
tica de
dispositivos mveis
documentada no
treinamento de
funcionrios que define
claramente dispositivos
mveis e o uso aceitvel
e requisitos de dispositivos
mveis?
Segurana de
Dispositivos Mveis
Servi
os com Base na
Nuvem
MOS06
Voc
s t
m uma lista
documentada de servi
os
com base em nuvem
pr
-aprovados que podem
ser usados para uso
e armazenamento de dados
comerciais da empresa por
meio de um dispositivo
mvel?
Segurana de
Dispositivos Mveis
Compatibilidade
MOS07
Voc
s t
m um processo de
valida
o de aplicativo
documentado para testar
problemas de
compatibilidade de
dispositivo, sistema
operacional e aplicativo?
Segurana de
Dispositivos Mveis
Qualifica
o do Dispositivo
MOS08
Voc
s t
m uma pol
tica
BYOD que define os
dispositivos e os requisitos
de qualifica
o permitidos
para uso de BYOD?
Segurana de
Dispositivos Mveis
Inventrio de Dispositivos
MOS09
Voc
s mant
m um
inventrio de todos os
dispositivos mveis que
armazenam e acessam
dados da empresa e que
inclui o status do
dispositivo (n
veis de patch
e sistema operacional,
perda ou desativa
o,
designa
o de dispositivo)?
Segurana de
Dispositivos Mveis
Gerenciamento de
Dispositivos
MOS10
Voc
s t
m uma solu
o
central de gerenciamento
de dispositivos mveis
implantada em todos os
dispositivos mveis que
pode armazenar, transmitir
ou processar dados da
empresa?
Pgina 62 de 95
Dezembro de 2015
Resposta da AWS
Grupo de controle
CID
Perguntas de avaliao
do consenso
Segurana de
Dispositivos Mveis
Criptografia
MOS11
Sua pol
tica de dispositivos
mveis exige o uso de
criptografia para
o dispositivo inteiro ou
para dados identificados
como imposi
o
confidencial por meio de
controles de tecnologia
para todos os dispositivos
mveis?
Segurana de
Dispositivos Mveis
Viola
o e Acesso Raiz
MOS12.1
Sua pol
tica de dispositivos
mveis pro
be a falsifica
o
de controles de seguran
a
incorporados em
dispositivos mveis (por
exemplo, viola
o ou
acesso raiz)?
MOS12.2
Voc
s t
m controles de
detec
o e preven
o no
dispositivo ou por meio de
um sistema central de
gerenciamento de
dispositivos que pro
be
a falsifica
o de controles
de seguran
a integrados?
MOS13.1
Sua pol
tica BYOD define
claramente a expectativa de
privacidade, requisitos de
processo, detec
o
eletrnica e reten
es
legais?
MOS13.2
Voc
s t
m controles de
detec
o e preven
o no
dispositivo ou por meio de
um sistema central de
gerenciamento de
dispositivos que pro
be
a falsifica
o de controles
de seguran
a integrados?
Segurana de
Dispositivos Mveis
Bloqueio de Tela
MOS14
Voc
s exigem e impem
por meio de controles
t
cnicos o bloqueio
automtico da tela para
dispositivos BYOD e de
propriedade da empresa?
Segurana de
Dispositivos Mveis
Sistemas Operacionais
MOS15
Voc
s gerenciam todas as
altera
es em sistemas
operacionais de
dispositivos mveis, n
veis
de patch e aplicativos por
meio dos processos de
gerenciamento de
altera
es da empresa?
Segurana de
Dispositivos Mveis
Aspectos Legais
Pgina 63 de 95
Dezembro de 2015
Resposta da AWS
Os clientes mant
m o controle e a responsabilidade sobre os
seus dados e ativos de m
dia associados. O cliente responsvel
por gerenciar dispositivos mveis de seguran
a e o acesso
autoriza
o do cliente.
Grupo de controle
Segurana de
Dispositivos Mveis
Senhas
Segurana de
Dispositivos Mveis
Pol
tica
Segurana de
Dispositivos Mveis
Limpeza Remota
Segurana de
dispositivos mveis
Patches de seguran
a
Pgina 64 de 95
CID
Perguntas de avaliao
do consenso
MOS16.1
Voc
s t
m pol
ticas de
senha para dispositivos
mveis emitidos pela
empresa e/ou dispositivos
mveis BYOD?
MOS16.2
Suas pol
ticas de senha so
impostas por meio de
controles t
cnicos (isto
,
MDM)?
MOS16.3
Suas pol
ticas de senha
pro
bem a altera
o dos
requisitos de autentica
o
(isto
, comprimento da
senha/PIN) por meio de
um dispositivo mvel?
MOS17.1
Voc
s t
m alguma pol
tica
que exija que os usurios
BYOD realizem backups de
dados corporativos
espec
ficos?
MOS17.2
Voc
s t
m alguma pol
tica
que exija que os usurios
BYOD pro
bam o uso de
lojas de aplicativos no
aprovadas?
MOS17.3
Voc
s t
m alguma pol
tica
que exija que os usurios
BYOD usem software
antimalware (onde
permitido)?
MOS18.1
MOS18.2
MOS19.1
MOS19.2
Dezembro de 2015
Resposta da AWS
Grupo de controle
Segurana de
Dispositivos Mveis
Usurios
CID
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
MOS20.1
Sua pol
tica BYOD
esclarece os sistemas
e servidores que podem ser
usados ou acessados no
dispositivo BYOD?
MOS20.2
Sua pol
tica BYOD
especifica as fun
es de
usurio que podem ser
acessadas por meio de um
dispositivo BYOD?
Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
Manuten
o de
Contato/Autoridade
SEF01.1
Voc
s mant
m alian
as
e pontos de contato com
autoridades locais de
acordo com contratos
e regulamentos
apropriados?
A AWS mant
m contatos com rgos do setor, organiza
es de
conformidade e avalia
o de riscos, autoridades locais e rgos
normativos, como exigido pelo padro ISO 27001.
Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
Gerenciamento de
Incidentes
SEF02.1
Voc
s t
m um plano
documentado de resposta
a incidentes de seguran
a?
SEF02.2
Voc
s integram exig
ncias
personalizadas de grupo de
usurios aos seus planos de
resposta a incidentes de
seguran
a?
SEF02.3
Voc
s publicam um
documento com fun
es
e responsabilidades
especificando pelo que
voc
s versus seus grupos de
usurios so responsveis
durante incidentes de
seguran
a?
Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
Relatrios de Incidentes
Pgina 65 de 95
SEF02.4
Voc
s testaram seus planos
de resposta a incidentes de
seguran
a no ano passado?
SEF03.1
SEF03.2
A sua estrutura de
monitoramento e registro
de logs permite
o isolamento de um
incidente para grupos de
usurios espec
ficos?
Grupo de controle
CID
Perguntas de avaliao
do consenso
SEF04.1
SEF04.2
SEF04.3
Voc
s so capazes de
suportar suspenses por
litgio (congelamento de
dados de um ponto
espec
fico no tempo) para
um grupo de usurios
especfico sem congelar
dados de outros grupos de
usurios?
SEF04.4
Voc
s aplicam e atestam
separa
o de dados de
grupos de usurios ao
produzir dados em resposta
a cita
es judiciais?
Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
M
tricas de Resposta
a Incidentes
SEF05.1
Voc
s monitoram
e quantificam os tipos,
volumes e impactos em
todos os incidentes de
seguran
a da informa
o?
SEF05.2
Voc
s compartilharo
dados de incidentes de
seguran
a de informa
es
estat
sticas com seus
grupos de usurios
mediante solicita
o?
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Qualidade e Integridade dos
Dados
STA01.1
Voc
s inspecionam e se
responsabilizam por erros
de qualidade de dados
e riscos associados,
e trabalham com os seus
parceiros da cadeia de
suprimentos de nuvem
para corrigi-los?
Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
Prepara
o Legal de
Resposta a Incidentes
STA01.2
Pgina 66 de 95
Voc
s projetam
e implementam controles
para mitigar e conter os
riscos de seguran
a de
dados atrav
s da separa
o
adequada de fun
es,
acesso baseado em fun
o
e acesso com menos
privil
gios para todo
o pessoal dentro de sua
cadeia de suprimentos?
Dezembro de 2015
Resposta da AWS
As m
tricas de seguran
a da AWS so monitoradas e analisadas
de acordo com o padro ISO 27001. Consulte o padro
ISO 27001, Anexo A, dom
nio 16 para obter mais detalhes.
A AWS foi validada e certificada por um auditor independente
para confirmar o alinhamento com o padro de certifica
o
ISO 27001.
Os clientes mant
m o controle e a propriedade sobre a qualidade
de seus dados e de erros potenciais de qualidade que podem
surgir atrav
s do uso de servi
os da AWS.
Consulte o relatrio SOC da AWS para obter detalhes espec
ficos
em rela
o integridade de dados e gerenciamento de acesso
(incluindo o acesso com privil
gio m
nimo)
Grupo de controle
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Relatrio de Incidentes
CID
Resposta da AWS
Voc
s deixam as
informa
es de incidentes
de seguran
a dispon
veis
para todos os clientes
afetados e prestadores
periodicamente atrav
s de
meios eletrnicos (por
exemplo, portais)?
STA03.1
Voc
s coletam dados de
capacidade e utiliza
o
para todos os componentes
relevantes de sua oferta de
servi
o em nuvem?
STA03.2
Voc
s fornecem aos grupos
de usurios relatrios de
utiliza
o e planejamento
de capacidade?
Gesto, transparncia
e contabilidade da
cadeia de suprimentos
Fornecedor de avalia
es
internas
STA04.1
Voc
s realizam avalia
es
internas anuais de
conformidade e eficcia de
suas pol
ticas,
procedimentos e medidas
de apoio e m
tricas?
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Contratos de Terceiros
STA05.1
Voc
s selecionam
e monitoram provedores
terceirizados em
conformidade com
legisla
es no pa
s onde os
dados so processados,
armazenados
e transmitidos?
STA05.2
Voc
s selecionam
e monitoram provedores
terceirizados em
conformidade com
legisla
es no pa
s do qual
os dados so originados?
Os requisitos de seguran
a da equipe para provedores
terceirizados que oferecem suporte a sistemas e dispositivos da
AWS so estabelecidos em um Acordo de Confidencialidade
Mtua entre a organiza
o pai da AWS, o Amazon.com
e o respectivo provedor terceirizado. O departamento jur
dico da
Amazon e a equipe de aquisi
o da AWS definem os requisitos
de seguran
a da equipe de provedores terceirizados da AWS em
acordos de contrato com o provedor terceirizado. Todas as
pessoas que trabalham com informa
es da AWS devem pelo
menos atender ao processo de triagem para verifica
es de
antecedentes antes da contrata
o e assinar um Non-Disclosure
Agreement (NDA - Acordo de confidencialidade) antes de
receberem acesso s informa
es da AWS.
STA05.3
O departamento jur
dico
revisa todos os contratos de
terceiros?
STA05.4
Os acordos de terceiros
incluem proviso para
a seguran
a e prote
o de
informa
es e ativos?
STA05.5
Voc
s fornecem ao cliente
uma lista e cpias de todos
os contratos de
processamento substitui
o
e o mant
m atualizado?
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Servi
os de
Infraestrutura/Rede
Pgina 67 de 95
STA02.1
Perguntas de avaliao
do consenso
Dezembro de 2015
O Whitepaper de Seguran
a na Nuvem AWS (dispon
vel em
http://aws.amazon.com/security) fornece detalhes adicionais.
Grupo de controle
CID
Perguntas de avaliao
do consenso
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Avalia
es de Governan
a
da Cadeia de Suprimentos
STA06.1
Voc
s revisam a gesto de
riscos e processos de
governan
a de parceiros
para dar conta dos riscos
herdados de outros
membros da cadeia de
suprimentos do parceiro?
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
M
tricas da Cadeia de
Suprimentos
STA07.1
Pol
ticas e procedimentos
so estabelecidos, e os
processos de negcios
suportados e as medidas
t
cnicas implementadas,
para a manuten
o de
acordos completos,
precisos e pertinentes (por
exemplo, SLAs) entre
fornecedores e clientes
(grupos de usurios)?
STA07.2
Voc
s t
m a capacidade de
medir e tratar da no
conformidade das
disposi
es e/ou termos
em toda a cadeia de
suprimentos
(upstream/downstream)?
STA07.3
Voc
s podem gerenciar
conflitos ou inconsist
ncias
a n
vel de servi
o
resultantes do
relacionamento com
fornecedores diferentes?
STA07.4
Voc
s revisam todos os
acordos, pol
ticas
e processos ao menos uma
vez ao ano?
STA08.1
Voc
s garantem a seguran
a
razo
vel de informa
es em
toda a sua cadeia de
suprimentos de informa
es
atrav
s da realiza
o de uma
revis
o anual?
STA8.2
STA09.1
Voc
s permitem que
grupos de usurios
realizem avalia
es
independentes para
verificar vulnerabilidades?
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Avalia
o de Terceiros
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Auditorias de Terceiros
Pgina 68 de 95
Dezembro de 2015
Resposta da AWS
A AWS mant
m acordos formais com os principais fornecedores
de terceiros e implementa mecanismos de gesto de
relacionamento adequadas, de acordo com sua rela
o com
o negcio. Os processos de gerenciamento de terceiros da AWS
revisado regularmente por auditores independentes, como parte
da conformidade cont
nua da AWS com o SOC, e ISO 27001.
Grupo de controle
CID
STA09.2
Gerenciamento de
Vulnerabilidades
e Ameaas
Software Malintencionado/Antiv
rus
Gerenciamento de
Vulnerabilidades
e Ameaas
Gerenciamento de
Vulnerabilidades/Patch
Pgina 69 de 95
TVM01.1
Perguntas de avaliao
do consenso
Dezembro de 2015
Resposta da AWS
Voc
s t
m servi
os
terceirizados externos que
realizam verifica
es de
vulnerabilidade e testes
peridicos de penetra
o
em seus aplicativos
e redes?
Voc
s t
m programas
antimalware compat
veis
ou que se conectam com
ofertas de servi
o em
nuvem instalados em todos
os seus sistemas?
TVM01.2
TVM02.1
Voc
s realizam
regularmente verifica
es
de vulnerabilidade na
camada de rede, como
prescrito por prticas
recomendadas do setor?
TVM02.2
Voc
s realizam verifica
es
de vulnerabilidade na
camada de aplicativos
regularmente, como
prescrito por prticas
recomendadas do setor?
TVM02.3
Voc
s realizam verifica
es
de vulnerabilidade na
camada de sistemas
operacionais locais
regularmente, como
prescrito por prticas
recomendadas do setor?
TVM02.4
Os resultados de
verifica
es de
vulnerabilidade estaro
dispon
veis para grupos de
usurios mediante
solicita
o?
TVM02.5
Voc
s t
m um recurso para
aplicar rapidamente
corre
es em todos os seus
sistemas, aplicativos
e dispositivos de
computa
o?
A seguran
a da AWS contrata regularmente empresas de
seguran
a independentes para realizar avalia
es de amea
a
e vulnerabilidade externa. Os relatrios SOC da AWS fornecem
mais detalhes sobre atividades espec
ficas de controle
executadas pela AWS.
Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio 12
para obter mais detalhes. A AWS foi validada e certificada por
um auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.
Os clientes det
m o controle de seus prprios sistemas
operacionais convidados, software e aplicativos. Al
m disso, so
responsveis por realizar verifica
es de vulnerabilidade
e aplica
o de corre
es em seus prprios sistemas. Os clientes
podem solicitar permisso para conduzir pesquisas de sua
infraestrutura em nuvem contanto que elas se limitem
a instncias do cliente e no violem a pol
tica de uso aceitvel da
AWS. A seguran
a da AWS examina regularmente todos os
endere
os IP de endpoint, de servi
o voltado Internet, quanto
exist
ncia de vulnerabilidades. A seguran
a da AWS notificar
as partes adequadas para solucionar quaisquer vulnerabilidades
identificadas. A manuten
o da AWS e a aplica
o de corre
es
de sistema geralmente no afetam os clientes.
Consulte o Whitepaper de Seguran
a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/pt/security. Consulte o padr
o ISO 27001,
Anexo A, dom
nio 12 para obter mais detalhes. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padr
o de certifica
o ISO 27001.
Grupo de controle
Gerenciamento de
Vulnerabilidades
e Ameaas
Cdigo para Dispositivo
Mvel
Pgina 70 de 95
CID
Perguntas de avaliao
do consenso
TVM02.6
Voc
s fornecero intervalos
de tempo para a aplica
o
de corre
es em sistemas,
com base em riscos, para
seus grupos de usurios
mediante solicita
o?
TVM03.1
TVM03.2
Dezembro de 2015
Resposta da AWS
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
a. Gravidade comercial de
dados ou funcionalidades.
Estou movendo dados ou
funcionalidades cr
ticas de
negcios para a nuvem?
b. Plano de continuidade
dos negcios e recupera
o
de desastres do fornecedor.
Posso ler uma cpia do
plano de continuidade dos
negcios e recupera
o de
desastres do fornecedor
que abrange
a disponibilidade
e restaura
o dos meus
dados e dos servi
os do
fornecedor que uso?
Quanto tempo leva para
que meus dados e os
servi
os que uso sejam
recuperados aps um
desastre? Os outros
clientes do fornecedor que
so maiores e pagam mais
do que eu recebem
prioridade?
Pgina 71 de 95
rea
principal
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
d. Meu plano de
continuidade dos negcios
e recupera
o de desastres.
Serque terei gasto
adicional para replicar
meus dados ou
a funcionalidade dos
negcios em um segundo
fornecedor que use um
datacenter diferente e,
idealmente, no tenha
pontos comuns de falha
com o primeiro
fornecedor? Essa
replica
o deve,
preferencialmente, ser
configurada para
automaticamente
"failover", de modo que se
os servi
os de um
fornecedor se tornarem
indispon
veis, o controle
serautomaticamente
transferido, sem
problemas, para o outro
fornecedor.
Pgina 72 de 95
Os clientes mant
m o controle e a propriedade sobre os seus dados. Os
clientes podem exportar suas AMIs e us-las localmente ou em outro
provedor (sujeito a restri
es de licenciamento de software). Consulte
o Whitepaper de Viso Geral de Processos de Seguran
a da AWS para
obter detalhes adicionais, dispon
veis em
http://aws.amazon.com/pt/security.
A AWS permite que os clientes movam os dados conforme necessrio
e desativem o armazenamento da AWS. O servi
o AWS Import/Export
para S3 acelera a movimenta
o de grandes volumes de dados na AWS,
interna e externamente, usando dispositivos de armazenamento portteis
para transporte. A AWS permite que os clientes fa
am seus backups em
fitas usando seu prprio provedor de servi
o de backup em fita. No
entanto, um backup em fita no um servi
o prestado pela AWS.
Os datacenters da AWS so constru
dos em clusters em vrias regies
globais. Todos os datacenters esto online e a servi
o dos clientes;
nenhum datacenter est"inativo". Em caso de falha, processos
automatizados desviam o trfego de dados do cliente da rea afetada. Os
principais aplicativos so implantados em uma configura
o N + 1 para
que, no caso de uma falha do datacenter, haja capacidade suficiente para
permitir que o trfego seja balanceado para os locais restantes. A AWS
oferece aos clientes a flexibilidade de posicionar instncias e armazenar
dados em vrias regies geogrficas, bem como em vrias zonas de
disponibilidade dentro de cada regio. Cada zona de disponibilidade
concebida como uma zona de falha independente. Isto significa que as
zonas de disponibilidade so fisicamente separadas dentro de uma regio
metropolitana espec
fica e esto localizadas nas plan
cies de inunda
o de
risco inferior (categoriza
o de zona de inunda
o espec
fica varia por
regio). Al
m de discretas fontes de alimenta
o ininterrupta (UPS)
e instala
es de gera
o de backup no local, cada uma alimentada
atrav
s de grades diferentes de utilitrios independentes para reduzir
rea
principal
Perguntas
Dezembro de 2015
RESPOSTA DA AWS
ainda mais os pontos nicos de falha. Zonas de disponibilidade so todas
redundantemente conectadas a vrios provedores de trnsito de n
vel 1. Os
clientes devem projetar seu uso da AWS para tirar proveito de vrias
regies e zonas de disponibilidade. Se distribuir os aplicativos por vrias
zonas de disponibilidade, vocpodermanter a resili
ncia diante de
praticamente qualquer falha, inclusive catstrofes naturais e falhas do
sistema.
Para obter mais detalhes, consulte o relatrio SOC 1, tipo II, da AWS.
O padro ISO 27001, Anexo A, dom
nio 11.2 oferece mais detalhes. A AWS
foi validada e certificada por um auditor independente para confirmar
o alinhamento com a certifica
o ISO 27001.
e. Minha conectividade
com a nuvem.
A conectividade de rede
entre os usurios da minha
ag
ncia e a rede do
fornecedor adequada em
termos de disponibilidade,
taxa de transfer
ncia ou
trfego (largura de banda),
atrasos (lat
ncia) e perda
de pacotes?
Os clientes tamb
m podem escolher o seu caminho de rede para
instala
es da AWS, incluindo vrios endpoints de VPN em cada regio da
AWS. Al
m disso, o AWS Direct Connect torna fcil estabelecer uma
conexo de rede dedicada entre suas instala
es e a AWS. Usando o AWS
Direct Connect, vocpode estabelecer conectividade privada entre a AWS
e o ambiente de datacenter, escritrio ou local compartilhado, o que, em
muitos casos, pode reduzir os custos de rede, aumentar a taxa de
transfer
ncia da largura de banda e proporcionar uma experi
ncia de rede
mais consistente do que conexes com base na Internet.
f. Garantia de
disponibilidade do
fornecedor. O Acordo de
N
vel de Servi
o (SLA)
garante que o fornecedor
fornecerdisponibilidade
de sistema e qualidade de
servi
o adequadas,
usando sua arquitetura de
sistema robusta
e processos comerciais?
Pgina 73 de 95
rea
principal
Pgina 74 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
g. Impacto de interrup
es.
Posso tolerar o mximo
poss
vel de tempo de
inatividade do SLA? As
janelas de interrup
o
programadas so aceitveis
em dura
o e hora do dia,
ou as interrup
es
programadas interferem
nos meus processos
comerciais cr
ticos?
h. Incluso de interrup
es
programadas do SLA.
A porcentagem de
disponibilidade garantida
pelo SLA
inclui as interrup
es
programadas?
i. Compensa
o do SLA.
O SLA reflete
adequadamente o dano
real causado por uma
viola
o do SLA, como
paradas no programadas
ou perda de dados?
rea
principal
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
j. Integridade
e disponibilidade de dados.
Como o fornecedor
implementa mecanismos
como redundncia
e backups fora do local
para evitar corrup
o ou
perda de meus dados
e garante a integridade
e disponibilidade dos meus
dados?
k. Restaura
o de dados.
Se eu excluir
acidentalmente um
arquivo, e-mail ou outros
dados, quanto tempo
levarpara que meus
dados sejam restaurados
do backup, parcial ou
totalmente? O tempo
mximo aceitvel de
acordo com o SLA?
Pgina 75 de 95
rea
principal
Pgina 76 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
I. Escalabilidade. Qual
a disponibilidade dos
recursos de computa
o
que o fornecedor oferece
para permitir meu uso dos
servi
os do fornecedor
para escalonar a curto
prazo?
m. Mudan
a de fornecedor.
Se quiser passar meus
dados para minha ag
ncia
ou para um fornecedor
diferente, ou se
o fornecedor encerrar suas
atividades de repente, ou
sair das atividades
comerciais de nuvem,
como fa
o para obter
acesso aos meus dados em
um formato neutro para
evitar que fique preso ao
fornecedor? Qual ser
o n
vel de coopera
o do
fornecedor? Como garanto
que meus dados sejam
permanentemente
exclu
dos da m
dia de
armazenamento do
fornecedor? Para
o Plataforma como Servi
o,
quais padres o fornecedor
utiliza que facilitam
a portabilidade
e interoperabilidade para
mover facilmente meu
aplicativo para um
fornecedor diferente ou
para minha ag
ncia?
Os clientes mant
m o controle e a propriedade sobre os seus dados. Os
clientes podem exportar suas AMIs e us-las localmente ou em outro
provedor (sujeito a restri
es de licenciamento de software). Consulte
o Whitepaper de Viso Geral de Processos de Seguran
a da AWS para
obter detalhes adicionais, dispon
veis em
http://aws.amazon.com/pt/security.
A AWS permite que os clientes movam os dados conforme necessrio
e desativem o armazenamento da AWS. O servi
o AWS Import/Export
para S3 acelera a movimenta
o de grandes volumes de dados na AWS,
interna e externamente, usando dispositivos de armazenamento portteis
para transporte. A AWS permite que os clientes fa
am seus backups em
fitas usando seu prprio provedor de servi
o de backup em fita. No
entanto, um backup em fita no um servi
o prestado pela AWS.
rea
principal
Prote
o de
dados contra
acesso no
autorizado de
terceiros
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
a. Op
o de modelo de
implanta
o da nuvem.
Estou pensando em usar
uma nuvem pblica
possivelmente menos
segura, uma nuvem h
brida
ou de comunidade
possivelmente mais segura,
ou uma nuvem privada
possivelmente mais
segura?
b. Confidencialidade dos
meus dados. Meus dados
podero ser armazenados
ou processados na nuvem
quando classificados como
confidenciais, privados, ou
dados que estiverem
dispon
veis publicamente,
como informa
es
do meu site pblico?
A agrega
o de meus dados
os tornam mais
confidenciais que qualquer
dado individual? Por
exemplo,
a confidencialidade pode
ser mais estrita com
o armazenamento de uma
quantidade significativa de
dados ou
o armazenamento de uma
variedade de dados que, se
Pgina 77 de 95
rea
principal
Perguntas
Dezembro de 2015
RESPOSTA DA AWS
comprometido, facilitaria
o roubo de identidade. Se
houver comprometimento
de dados, eu poderia
demonstrar minha
investiga
o ao
gerenciamento s
nior, aos
oficiais do governo e ao
pblico?
Pgina 78 de 95
c. Obriga
es legislativas.
Quais obriga
es tenho
para proteger e gerenciar
meus dados conforme as
diversas legisla
es, por
exemplo, a Privacy Act (Lei
de Privacidade), a Archives
Act (Lei de Arquivos), bem
como outras legisla
es
espec
ficas ao tipo de
dados? O fornecedor
aceitarseguir
contratualmente essas
obriga
es para me ajudar
a garantir que elas
satisfa
am ao Governo da
Austrlia?
d. Pa
ses com acesso aos
meus dados. Em quais
pa
ses meus dados so
armazenados, feito
o backup e ocorre
o processamento? Em
quais pa
ses meus dados
trafegam? Em quais pa
ses
esto os datacenters de
failover ou redundantes?
O fornecedor me notificar
se as respostas a essas
perguntas forem alteradas?
rea
principal
Pgina 79 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
e. Tecnologias de
criptografia de dados. Os
algoritmos de hash,
algoritmos de criptografia
e comprimentos de chave
so considerados
adequados pelo ISM DSD
usado para proteger meus
dados quando eles esto
em trnsito atrav
s de uma
rede, e armazenados em
computadores e m
dia de
backup do fornecedor?
A capacidade de
criptografar dados ao
mesmo tempo que so
processados por
computadores do
fornecedor ainda uma
tecnologia emergente
e uma rea de pesquisa
atual do setor e da
academia. A criptografia
considerada forte
o suficiente para proteger
meus dados pelo tempo
necessrio para que meus
dados continuem
confidenciais?
d. Higieniza
o da m
dia.
Quais processos so
utilizados para higienizar
a m
dia de armazenamento
dos meus dados no final de
sua vida til, e os processos
so considerados
apropriados pelo ISM
DSD?
rea
principal
Pgina 80 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
g. Monitoramento
e gerenciamento remoto do
fornecedor. O fornecedor
monitora, administra ou
gerencia os computadores
que armazenam ou
processam meus dados?
Em caso positivo, isso
realizado remotamente
de outros pa
ses ou da
Austrlia? O fornecedor
pode fornecer relatrios de
conformidade de patch
e outros detalhes sobre
a seguran
a de esta
es de
trabalho utilizadas para
realizar esse trabalho,
e quais controles impedem
que os funcionrios do
fornecedor usem laptops
de propriedade pessoal no
confiveis?
A movimenta
o da infraestrutura de TI para os servi
os da AWS cria um
modelo de responsabilidade compartilhada entre o cliente e a AWS. Esse
modelo compartilhado pode auxiliar a reduzir os encargos operacionais do
cliente na medida em que a AWS opera, gerencia e controla os
componentes do sistema operacional do host e a camada de virtualiza
o,
incluindo a seguran
a f
sica das instala
es em que o servi
o opera.
O cliente assume a gesto e a responsabilidade pelo sistema operacional
convidado (inclusive atualiza
es e patches de seguran
a), por outro
software de aplicativo associado, bem como pela configura
o do firewall
do grupo de seguran
a fornecido pela AWS.
h. Meu monitoramento
e gerenciamento. Posso
usar minhas ferramentas
para verifica
o de
integridade, verifica
o de
conformidade,
monitoramento de
seguran
a e gerenciamento
de rede jexistentes, para
obter visibilidade de todos
os meus sistemas
independentemente se
esses sistemas estiverem
localizados localmente ou
na nuvem? Preciso saber
usar as ferramentas
adicionais fornecidas pelo
fornecedor? O fornecedor
oferece tal mecanismo para
que eu possa realizar
o monitoramento?
i. Propriedade de dados.
Mantenho a propriedade
legal dos meus dados ou
ela pertence ao fornecedor
e poderser considerada
um ativo para venda pelos
liquidantes se o fornecedor
encerrar suas atividades?
rea
principal
Pgina 81 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
j. Tecnologias de gateway.
Quais tecnologias
o fornecedor usa para criar
um ambiente de gateway
seguro? Exemplos incluem
firewalls, filtros de fluxo de
trfego, filtros de contedo
e softwares antiv
rus, al
m
de diodos de dados,
quando apropriados.
k. Certifica
o de gateway.
O ambiente de gateway do
fornecedor estcertificado
pelos padres e normas de
seguran
a do governo?
A AWS obt
m determinadas certifica
es do setor e declara
es de
terceiros independentes que incluem o ambiente de gateway da AWS.
rea
principal
Pgina 82 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
m. Pol
ticas e processos
que oferecem suporte
postura de seguran
a de
TI do fornecedor. Posso
obter detalhes de como
a postura de seguran
a de
computador e rede do
fornecedor recebe suporte
de pol
ticas e processos que
incluam avalia
es de
amea
as e riscos,
gerenciamento de
vulnerabilidade cont
nua,
um processo de
gerenciamento de
mudan
a que incorpore
seguran
a, teste de
penetra
o, anlise de
logging e log regular, uso
de produtos de seguran
a
endossados pelo governo
australiano e em
conformidade com os
padres e normas de
seguran
a do governo
australiano?
n. Tecnologias que
oferecem suporte postura
de seguran
a de TI do
fornecedor. Posso obter
detalhes de como a postura
de seguran
a de
computador e rede do
fornecedor recebe suporte
de controles t
cnicos
diretos que incluam
aplica
o oportuna de
patches de seguran
a,
software antiv
rus
atualizado regularmente,
defesa em mecanismos
profundos para prote
o
contra vulnerabilidades
desconhecidas, sistemas
operacionais refor
ados
e aplica
es de software
configuradas para
A seguran
a da AWS examina regularmente todos os endere
os IP de
endpoint, de servi
o voltado Internet, quanto exist
ncia de
vulnerabilidades (essas verifica
es no incluem instncias de clientes).
A seguran
a da AWS notificaras partes adequadas para solucionar
quaisquer vulnerabilidades identificadas. Al
m disso, avalia
es de
amea
a de vulnerabilidade externa so realizadas regularmente por
empresas de seguran
a independentes. As concluses e recomenda
es
resultantes dessas avalia
es so categorizadas e entregues lideran
a
da AWS.
Al
m disso, o ambiente de controle da AWS estsujeito a avalia
es
regulares internas e externas de riscos. A AWS contrata rgos externos de
certifica
o e auditores independentes para analisar e testar o ambiente de
controle geral da AWS.
rea
principal
Perguntas
Dezembro de 2015
RESPOSTA DA AWS
a mxima seguran
a,
detec
o de invaso
e sistemas de preven
o,
al
m de mecanismos de
preven
o contra perda de
dados?
Pgina 83 de 95
o. Auditoria de postura de
seguran
a de TI do
fornecedor. Posso auditar
a implementa
o de
medidas de seguran
a do
fornecedor, incluindo
a realiza
o de verifica
es
e outros testes de
penetra
o do ambiente
que foi fornecido? Se
houver um motivo
justificvel para
o impedimento da
auditoria, qual empresa
respeitvel de terceiros
realizou auditorias
e avalia
es de
vulnerabilidade? Que tipo
de auditoria interna
o fornecedor realiza e quais
padres de conformidade
e outras melhores prticas
da organiza
o, como
o Cloud Security Alliance
so utilizadas para essas
avalia
es? Posso analisar
detalhadamente uma cpia
dos relatrios de
resultados recente?
p. Autentica
o do usurio.
Em quais sistemas de
gerenciamento de
identidade e acesso o
fornecedor oferece suporte
aos usurios para login
e uso de software como
servi
o?
rea
principal
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
q. Controle centralizado de
dados. Quais controles
t
cnicos, pol
ticas
e treinamento de
usurios impedem que os
usurios da minha ag
ncia
utilizem dispositivos de
computa
o no aprovados
ou inseguros sem um
ambiente operacional
confivel para armazenar
ou processar dados
confidenciais acessados ao
usar o software como
servi
o?
N/D
r. Postura de seguran
a
f
sica do fornecedor.
O fornecedor utiliza
produtos e dispositivos de
seguran
a f
sica
endossados pelo governo
da Austrlia? Como
o datacenter f
sico do
fornecedor foi planejado
para impedir a viola
o ou
o roubo de servidores,
infraestrutura e dados
neles armazenados?
O datacenter f
sico do
fornecedor est
credenciado por um
terceiro com autoridade?
A defini
o de controles lgicos e f
sicos definidos pela AWS
documentada no relatrio SOC 1 tipo II, e o relatrio estdispon
vel para
anlise por equipes de auditoria e conformidade. O ISO 27001 da AWS
e outras certifica
es tamb
m esto dispon
veis para anlise dos auditores.
Os controles de seguran
a f
sica incluem, mas no de forma exclusiva,
controles de per
metro como cerca, muros, equipe de seguran
a, vigilncia
com v
deo, sistemas de detec
o de intruso e outros meios eletrnicos.
O acesso f
sico estritamente controlado no per
metro e nos pontos de
ingresso dos pr
dios pelos funcionrios de seguran
a profissional
utilizando a vigilncia por v
deo, sistemas de detec
o de intruso e outros
meios eletrnicos. O pessoal autorizado deve passar pelo menos duas
vezes por uma autentica
o de dois fatores para ter acesso aos andares do
datacenter. Os pontos de acesso f
sico aos locais de servidores so
registrados por um circuito fechado de TV (CCTV), conforme definido na
pol
tica de seguran
a f
sica de datacenters da AWS. As imagens so retidas
por 90 dias, exceto quando limitadas a 30 dias por obriga
es legais ou
contratuais
A AWS sfornece acesso f
sico ao datacenter e informa
es para
funcionrios e prestadores de servi
os aprovados com uma necessidade
comercial leg
tima para esse privil
gio. Todos os visitantes esto obrigados
a apresentar identifica
o e so cadastrados e escoltados por pessoal
autorizado.
Consulte o relatrio SOC 1, tipo II, para controles espec
ficos referentes ao
acesso f
sico, autoriza
o de acesso ao datacenter e a outros controles
relacionados.
Consulte o padro ISO 27001, Anexo A, dom
nio 9.1 para obter mais
informa
es. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de certifica
o
ISO 27001.
Pgina 84 de 95
rea
principal
Prote
o de
dados contra
acesso no
autorizado de
clientes de
fornecedores
Pgina 85 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
s. Aquisi
o de software
e hardware. Qual processo
de aquisi
o usado para
garantir que o software
e hardware de
infraestrutura em nuvem
tenham sido fornecidos por
uma fonte leg
tima e no
tenham sido modificados
de forma mal-intencionada
durante o trnsito?
a. Diferencia
o de
clientes. Qual a garantia
de que os mecanismos de
virtualiza
o e "loca
o
mltipla" asseguram
a diferencia
o de rede
e lgica adequada entre
vrios grupos de usurios,
para que um cliente
mal-intencionado que usa
o meu computador f
sico
no consiga acessar os
meus dados?
b. Enfraquecimento da
minha postura de
seguran
a. Como o uso da
infraestrutura em nuvem
do fornecedor poderia
enfraquecer minha postura
de seguran
a de rede da
ag
ncia jexistente? Ser
que o fornecedor me
anunciaria como um de
seus clientes sem meu
consentimento expl
cito,
ajudando assim um
adversrio que est
especificamente focado
em mim?
rea
principal
Prote
o de
dados contra
acesso no
autorizado de
funcionrios
de
fornecedores
invasores
Pgina 86 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
c. Servidores dedicados.
Tenho algum controle
sobre qual computador
executa minhas mquinas
virtuais? Posso pagar um
adicional para garantir que
nenhum outro cliente
possa utilizar o mesmo
computador f
sico que
o meu, como servidores
dedicados ou nuvem
privada virtual?
d. Higieniza
o da m
dia.
Quando excluo partes de
meus dados, quais
processos so usados para
higienizar a m
dia de
armazenamento antes que
se tornem dispon
veis
a outros clientes? Os
processos so considerados
adequados pelo ISM DSD?
Os clientes ret
m a propriedade e o controle de seu contedo; portanto, os
clientes t
m a capacidade de excluir seus dados.
a. Gerenciamento de chave
de criptografia de dados.
O fornecedor sabe a senha
ou a chave usada para
descriptografar meus
dados, ou criptografo
e descriptografo os dados
no meu computador para
que o fornecedor apenas
criptografe meus dados?
b. Inspe
o de funcionrios
do fornecedor. Quais
verifica
es e processos de
inspe
o de contrata
o de
funcionrios o fornecedor
realiza para garantir que
eles sejam confiveis?
c. Auditoria de
funcionrios do
fornecedor. Qual sistema
de gerenciamento de
identidade e acesso
robusto os funcionrios do
fornecedor utilizam? Qual
processo de auditoria
rea
principal
Perguntas
Dezembro de 2015
RESPOSTA DA AWS
Pgina 87 de 95
d. Visitantes do datacenter.
Os visitantes dos
datacenters so sempre
escoltados e o nome
e outros detalhes pessoais
de cada visitante so
verificados e registrados?
e. Viola
o f
sica pelos
funcionrios do
fornecedor. O cabeamento
de rede instalado
profissionalmente
conforme as normas da
Austrlia ou os padres
internacionalmente
aceitveis para ajudar
a evitar que os funcionrios
do fornecedor
acidentalmente conectem
cabos em computadores
errados e para ajudar
a facilmente identificar
tentativas deliberadas
pelos funcionrios do
fornecedor de interferir no
cabeamento?
Os controles de seguran
a f
sica incluem, mas no de forma exclusiva,
controles de per
metro como cerca, muros, equipe de seguran
a, vigilncia
com v
deo, sistemas de detec
o de intruso e outros meios eletrnicos.
Isso inclui prote
o adequada para cabos de rede.
f. Subcontratantes do
fornecedor. As respostas
a essas perguntas
aplicam-se igualmente
a todos os subcontratantes
do fornecedor?
rea
principal
Tratamento
de incidentes
de seguran
a
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
a. Suporte de fornecedor
apropriado. poss
vel
facilmente contatar e obter
resposta do fornecedor s
solicita
es de suporte
e o tempo mximo de
resposta aceitvel
registrado no SLA, ou
simplesmente uma
promessa de marketing do
fornecedor para tentar
resolver o problema?
O suporte fornecido
localmente, de outro pa
s ou
de v
rios outros pa
ses que
utilizam a abordagem de
"follow the sun"? Quais
mecanismos o fornecedor
usa para obter uma
compreens
o em tempo real
da postura de seguran
a do
meu uso dos servi
os do
fornecedor para que ele
possa fornecer o suporte?
Pgina 88 de 95
b. Plano de resposta
a incidentes do fornecedor.
O fornecedor tem um plano
de resposta a incidentes de
seguran
a que especifica
como detectar e responder
a incidentes de seguran
a, de
um modo que seja similar
aos procedimentos de
tratamento de incidentes
detalhados no ISM DSD?
Posso analisar uma cpia
detalhadamente?
c. Treinamento dos
funcionrios do
fornecedor. Quais
qualifica
es, certifica
es
e treinamento peridico de
conscientiza
o de
seguran
a das informa
es
os funcionrios do
fornecedor necessitam
para saber como usar os
sistemas do fornecedor de
uma maneira segura
e identificar incidentes
potenciais de seguran
a?
rea
principal
Perguntas
Dezembro de 2015
RESPOSTA DA AWS
d. Notifica
o de
A notifica
o de incidentes de seguran
a tratada individualmente
incidentes de seguran
a.
e conforme exigido pela lei aplicvel. Todas as notifica
es so realizadas
O fornecedor me notificar por comunica
o segura.
por comunica
o segura os
incidentes de seguran
a
mais graves que o limite
acordado, especialmente
nos casos em que
o fornecedor possa ser
responsvel? O fornecedor
notificar
automaticamente as
autoridades responsveis
pela aplica
o da lei, que
podero confiscar os
equipamentos de
computa
o utilizados para
armazenar ou processar
meus dados?
e. Extenso de suporte do
fornecedor. Que n
vel de
assist
ncia o fornecedor
me oferecercom as
investiga
es se houver
uma viola
o de seguran
a,
como uma divulga
o no
autorizada dos meus
dados, ou se houver
a necessidade de realizar
a descoberta de evid
ncias
eletrnicas legais?
Os clientes det
m o controle de seus prprios sistemas operacionais
convidados, software e aplicativos. Al
m disso, so responsveis por
desenvolver o monitoramento lgico das condi
es desses sistemas. Em
alinhamento com os padres do ISO 27001, os sistemas de informa
o da
AWS utilizam relgios do sistema interno sincronizados via NTP (Network
Time Protocol, Protocolo de horrio de rede).
O AWS CloudTrail fornece uma solu
o simples para registrar em log
a atividade dos usurios, o que ajuda a aliviar o trabalho de execu
o de
um sistema de log complexo. Para obter detalhes adicionais, consulte
aws.amazon.com/cloudtrail.
O AWS CloudWatch oferece monitoramento de recursos em nuvem da
AWS e de aplicativos que clientes executam na AWS. Para obter detalhes
adicionais, consulte aws.amazon.com/cloudwatch. A AWS tamb
m
publica nossas informa
es mais recentes sobre disponibilidade de servi
o
no Painel de Status dos Servi
os. Consulte status.aws.amazon.com.
Pgina 89 de 95
rea
principal
Pgina 90 de 95
Dezembro de 2015
Perguntas
RESPOSTA DA AWS
g. Compensa
o de
incidentes de seguran
a.
Como o fornecedor me
compensar
adequadamente se as a
es
do fornecedor, software ou
hardware com defeito
contribu
rem para uma
viola
o de seguran
a?
h. Vazamento de dados. Se
os dados que considero
serem muito confidenciais
para serem armazenados
na nuvem forem colocados
acidentalmente na nuvem,
o que caracteriza um
vazamento de dados, como
os dados que vazaram
podero ser apagados
usando t
cnicas de
higieniza
o legais?
A parte relevante da m
dia
de armazenamento f
sico
anulada sempre que um
dado apagado? Caso
contrrio, quanto tempo
demora para que os dados
apagados sejam
substitu
dos pelos clientes
como parte de uma
opera
o normal,
observando que nuvens
geralmente t
m uma
capacidade significativa de
armazenamento no
utilizada? Os dados que
vazaram podem ser
apagados legalmente na
m
dia de backup? Houtro
local de armazenamento
no qual os dados vazados
podem estar? Eles podem
ser apagados legalmente?
Os clientes mant
m a propriedade e o controle sobre seu contedo. Todos
os dados armazenados pela AWS em nome dos clientes t
m recursos
slidos de seguran
a e controle de isolamento de grupos de usurios.
A AWS permite que os clientes usem seus prprios mecanismos de
criptografia para quase todos os servi
os, incluindo S3, EBS e EC2. Os
tneis IPSec para a VPC tamb
m so criptografados. O Amazon S3
tamb
m oferece criptografia no servidor como uma op
o para os clientes.
Consulte o Whitepaper de Conformidade e Avalia
o de Riscos da AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/pt/security.
Dezembro de 2015
o de uma inst
ncia.
FedRAMPsm: o Programa Federal de Gerenciamento de Risco e Autoriza
o (FedRAMPsm) um amplo
programa governamental que fornece uma abordagem padronizada para avalia
o, autoriza
o
e o monitoramento cont
nuo da seguran
a para produtos e servi
os na nuvem. O FedRAMPsm obrigatrio
para modelos de servi
o e implementa
es em nuvem da Ag
ncia Federal em n
veis de impacto de risco baixo
e moderado.
FISMA: Federal Information Security Management Act de 2002. A lei exige que cada ag
ncia federal
desenvolva, documente e implemente um programa em toda a ag
ncia, a fim de fornecer a seguran
a para as
informa
es e sistemas que oferecem suporte a opera
es e ativos da ag
ncia, incluindo aqueles fornecidos ou
gerenciados por outra ag
ncia, contratante ou de outra fonte.
FIPS 140-2: a publica
o de Contas em
Seguro Sade, HIPAA) de 1996 exige o estabelecimento de normas nacionais para transa
es eletrnicas de
cuidados de sade e identificadores nacionais para provedores, planos de sade e empregadores. As
disposi
es de simplifica
o de administra
o tamb
m abordam a seguran
a e a privacidade dos dados de
sade. As normas so destinadas a melhorar a efici
ncia e a eficcia do sistema de sade do pa
s, incentivando
o uso generalizado de transfer
ncia eletrnica de dados no sistema de cuidados de sade dos EUA.
Hypervisor: um hypervisor, tamb
m chamado de Monitor de Mquina Virtual (VMM), um software de
virtualiza
o de plataforma de hardware/software que permite que vrios sistemas operacionais sejam
executados simultaneamente em um computador host.
Pgina 91 de 95
Dezembro de 2015
IAM: o AWS Identity and Access Management (IAM) permite que o cliente crie mltiplos usurios e gerencie
permisses para cada um desses usurios a partir de sua conta da AWS.
ITAR: International Traffic in Arms Regulations ou Regulamentos sobre trfico internacional de armas um
conjunto de regulamentos do governo dos EUA, que controlam a exporta
o e a importa
o de artigos
relacionados defesa e servi
os na United States Munitions List (USML). As ag
ncias governamentais
e contratantes devem cumprir os ITAR e restringir o acesso a dados protegidos.
ISAE 3402: as normas internacionais para contratos de garantia n 3402 (ISAE 3402) so o padr
o
internacional sobre contratos de garantia. Ela foi aplicada pelo International Auditing and Assurance
Standards Board (IAASB), um comitde defini
o de padres na International Federation of Accountants
(IFAC). O ISAE 3402 agora o novo padr
o reconhecido globalmente para relatrios de garantias em empresas
de servi
os.
ISO 9001: a certifica
o ISO 9001 da AWS oferece suporte direto aos clientes que desenvolvem, migram
e operam seus sistemas de TI com controle de qualidade na nuvem da AWS. Os clientes podem usar os
relatrios de conformidade da AWS como evid
ncia para seus prprios programas ISO 9001 e para programas
de qualidade espec
ficos por setor, como GxP em ci
ncias biolgicas, ISO 13485 em dispositivos m
dicos,
AS9100 no setor aeroespacial e ISO/TS 16949 no setor automotivo. Os clientes da AWS que no t
m requisitos
de sistema da qualidade tamb
m se beneficiar
o da garantia e transpar
ncia adicionais proporcionadas por
uma certifica
o pela ISO 9001.
ISO 27001: o ISO/IEC 27001 um padro do Information Security Management System (Sistema de
gerenciamento de seguran
a da informa
o, ISMS), publicado pela International Organization for
Standardization (Organiza
Pgina 92 de 95
Dezembro de 2015
o
para auditores de demonstrativos financeiros de uma entidade que usa uma ou mais empresas de servi
os.
O relatrio SAS 70 foi substitu
do pelo relatrio SOC 1.
Servio: software ou capacidade de computa
o fornecida atrav
s de uma rede (por exemplo, EC2, S3, VPC
etc.).
Acordo de N
vel de Servio (SLA): a parte de um acordo de servi
o em que o n
vel de servi
o
formalmente definido. O SLA usado para referir-se ao tempo de entrega contratado (do servi
o) ou
desempenho.
SOC 1: o Relatrio de Controles de Empresas de Servi
os 1 (SOC 1) Tipo II, anteriormente o Relatrio de
Declara
o sobre as Normas de Auditoria (SAS) n70, empresas de servi
os (antes referido como o relatrio
SSAE 16), um padr
o amplamente reconhecido de auditoria desenvolvido pelo AICPA (American Institute of
Certified Public Accountants). O padr
o internacional referido como o International Standards for Assurance
Engagements No. 3402 (ISAE 3402).
SSAE 16 [obsoleto]: o Statement on Standards for Attestation Engagements No. 16 (SSAE 16) um padr
o
de declara
o publicado pelo Auditing Standards Board (ASB) do American Institute of Certified Public
Accountants (AICPA). O padr
o atende a contratos realizados por um auditor de servi
o para relatrios sobre
controles em organiza
es que fornecem servi
os a entidades de usu
rios, para as quais os controles da
empresa de servi
os provavelmente sero relevantes para um controle interno de entidades de usurio em
relatrios financeiros (ICFR). O SSAE 16 substitui eficazmente o Statement on Auditing Standards No. 70 (SAS
70) para per
odos de relatrios de auditor de servi
os encerrando em 15 de junho de 2011 ou posteriormente.
SOC 2: os relatrios de controles de empresa de servi
os 2 (SOC 2) t
m a finalidade de atender s
necessidades de uma grande variedade de usurios que precisam compreender o controle interno em uma
empresa de servi
os em rela
o seguran
a, disponibilidade, integridade de processamento, confidencialidade
e privacidade. Esses relatrios so executados usando o guia da AICPA: Reporting on Controls at a Service
Organizations Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy e so
destinados ao uso por partes interessadas (p.ex., clientes, regulamentadores, parceiros comerciais,
fornecedores, diretores) da organiza
o de servi
os que tem uma compreenso detalhada da organiza
o de
servi
os e seus controles internos.
SOC 3: os relatrios de controles de empresa de servi
os 3 (SOC 3) t
m a finalidade de atender
s necessidades
dos usurios que desejam garantia sobre os controles de uma empresa de servi
os em rela
o seguran
a,
disponibilidade, integridade de processamento, confidencialidade ou privacidade, mas no precisam do
conhecimento necessrio para usar eficazmente um relatrio SOC 2. Esses relatrios so preparados usando os
princ
pios, crit
rios e ilustra
es de servi
os de confian
a para seguran
a, disponibilidade, integridade de
processamento, confidencialidade e privacidade da AICPA/Canadian Institute of Chartered Accountants
(CICA). Como so relatrios de uso geral, os relatrios SOC 3 podem ser livremente distribu
dos ou publicados
em um site como um selo.
Instncia virtual: uma vez que uma AMI seja executada, o sistema resultante em execu
o referido como
uma instncia. Todas as instncias baseadas na mesma AMI iniciam id
nticas e qualquer informa
o sobre elas
perdida quando as inst
ncias s
o conclu
das ou na ocorr
ncia de falhas.
Pgina 93 de 95
Dezembro de 2015
Histrico de verses
Dezembro de 2015
Atualiza
es de certifica
es e resumos de atestados de terceiros
Certifica
o ISO 27017 adicionada
Certifica
o ISO 27018 adicionada
D
cima primeira regio adicionada (Pequim, China)
Novembro de 2015
Atualizar para CSA v3.0.1
Agosto de 2015
Atualiza
es nos servi
os inclu
dos no escopo de PCI 3.1
Atualiza
es nas regies inclu
das no escopo de PCI 3.1
Maio de 2015
D
cima regio adicionada (UE Frankfurt)
Atualiza
es nos servi
os inclu
dos no escopo de SOC 3
SSAE 16 idioma obsoleto
Abril de 2015
Atualiza
es nos servi
os inclu
dos no escopo de: FedRAMP sm, HIPAA, SOC 1, ISO 27001, ISO 9001
Fevereiro de 2015
Atualiza
es nos endpoints da FIPS 140-2 VPN e load balancers de termina
o SSL
Atualiza
es no texto do PCI DSS
Dezembro de 2014
Atualiza
es de certifica
es e resumos de atestados de terceiros
Verso de novembro de 2013
Edi
es no texto sobre criptografia do tnel IPsec
Verso de junho de 2013
Atualiza
es de certifica
es e resumos de atestados de terceiros
Atualiza
es no Ap
ndice C: Glossrio de termos
Pequenas altera
es de formata
o
Verso de janeiro de 2013
Edi
es nas certifica
es e resumos de atestados de terceiros
Verso de novembro de 2012
Edi
es em contedo e escopo de certifica
o atualizado
Adi
o de refer
ncia ao SOC 2 e MPAA
Verso de julho de 2012
Edi
es em contedo e escopo de certifica
o atualizado
Acr
scimo do CSA Consensus Assessments Initiative Questionnaire (Ap
ndice A)
Verso de janeiro de 2012
Pequenas edi
es em contedo com base no escopo de certifica
o atualizado
Pequenas corre
es gramaticais
Verso de dezembro de 2011
Altera
o na se
o de declara
o de terceiros e certifica
es para refletir SOC 1/SSAE 16, FISMA, n
vel
moderado, regulamentos sobre o trfico internacional de armas e FIPS 140-2
Pgina 94 de 95
Dezembro de 2015
Acr
scimo da criptografia de servidor do S3
Tpicos adicionais da questo de computa
o em nuvem adicionados
2010-2016 Amazon.com, Inc., ou suas afiliadas. Este documento fornecido apenas para fins informativos.
Ele relaciona as atuais ofertas de produtos da AWS a contar da data de emisso deste documento, que esto
sujeitas a altera
es sem aviso pr
vio. Os clientes so responsveis por fazer sua prpria avalia
o
independente das informa
es neste documento e de qualquer uso dos produtos ou servi
os da AWS, cada um
dos quais fornecido como est, sem garantia de qualquer tipo, expressa ou impl
cita. Este documento no
cria quaisquer garantias, representa
es, compromissos contratuais, condi
es ou seguros da AWS, suas
afiliadas, fornecedores ou licenciadores. As responsabilidades e as obriga
es da AWS com os seus clientes so
controladas por contratos da AWS, e este documento no parte, nem modifica, qualquer contrato entre
a AWS e seus clientes.
Pgina 95 de 95