Você está na página 1de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Amazon Web Services: Risco e Compliance


Dezembro de 2015

(Consulte http://aws.amazon.com/compliance/aws-whitepapers/
para obter a verso mais recente deste documento)

Pgina 1 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Este documento tem a inten

o de fornecer informa
es para auxiliar os clientes da AWS a integrar a AWS
estrutura de controle existente, que oferece suporte ao seu ambiente de TI. Este documento inclui uma
abordagem b
sica para avaliar os controles da AWS e oferece informa
es para ajudar os clientes na integra
o
de ambientes de controle. O documento tamb
m aborda informa
es espec
ficas da AWS sobre questes gerais
de compliance da computa

o em nuvem.

ndice
Viso geral de risco e compliance ...................................................................................................................3
Ambiente de responsabilidade compartilhada ............................................................................................................................. 4
Governan
a r
gida de conformidade .............................................................................................................................................. 4

Avaliao e integrao dos controles da AWS .............................................................................................5


Informa
es de controle de TI da AWS .......................................................................................................................................... 5
Regies globais da AWS.................................................................................................................................................................... 6

Programa de conformidade e riscos da AWS...............................................................................................6


Gerenciamento de risco .................................................................................................................................................................... 6
Ambiente de controle ......................................................................................................................................................................... 7
Seguran
a da informa
o ................................................................................................................................................................ 7

Certificaes, programas, relatrios e atestados de terceiros da AWS.................................................8


CJIS ...................................................................................................................................................................................................... 8
CSA ....................................................................................................................................................................................................... 8
Cyber Essentials Plus ........................................................................................................................................................................ 8
DoD SRG n
veis 2 e 4 ......................................................................................................................................................................... 9
FedRAMP SM ........................................................................................................................................................................................ 9
FERPA ................................................................................................................................................................................................ 10
FIPS 140-2 ......................................................................................................................................................................................... 10
FISMA e DIACAP ............................................................................................................................................................................. 11
HIPAA ................................................................................................................................................................................................ 11
IRAP ................................................................................................................................................................................................... 12
ISO 9001 ............................................................................................................................................................................................ 12
ISO 27001 .......................................................................................................................................................................................... 13
ISO 27017........................................................................................................................................................................................... 15
ISO 27018 .......................................................................................................................................................................................... 16
ITAR ................................................................................................................................................................................................... 17
MPAA ................................................................................................................................................................................................. 17
Certifica
o Tier 3 da MTCS .......................................................................................................................................................... 17
NIST ................................................................................................................................................................................................... 18

Pgina 2 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

PCI DSS, n
vel 1 ................................................................................................................................................................................ 18
SOC 1/ISAE 3402 ............................................................................................................................................................................. 19
SOC 2 .................................................................................................................................................................................................. 21
SOC 3 .................................................................................................................................................................................................. 21
As principais questes de conformidade e a AWS ...................................................................................................................... 21

Contato com a AWS .......................................................................................................................................... 27


Apndice A: Questionrio da iniciativa de avaliao de consenso v3.0.1 da CSA ............................. 28
Apndice B: Alinhamento da AWS com as Consideraes de Segurana de Computao em
Nuvem do ASD (Australian Signals Directorate) ...................................................................................... 71
Apndice C: Glossrio de termos .................................................................................................................. 91

Viso geral de risco e compliance


A AWS e seus clientes compartilham o controle sobre o ambiente de TI. Ambas as partes so responsveis por
gerenciar o ambiente de TI. A participa

o da AWS nesta responsabilidade compartilhada inclui fornecer seus


servi
os em uma plataforma altamente segura e controlada, bem como disponibilizar uma grande variedade de
recursos de seguran
a para uso pelos clientes. A responsabilidade dos clientes inclui a configura
o de seus
ambientes de TI de forma segura e controlada para os seus propsitos. Mesmo se os clientes no comunicarem
o seu uso e as suas configura
es para a AWS, a AWS comunica a sua seguran
a e o ambiente de controle
relevante para os clientes. A AWS faz isso da seguinte maneira:

Obtendo certifica
es do setor e declara
es de terceiros independentemente do descrito neste
documento.
Publicando informa
es sobre as pr
ticas de controle e seguran
a da AWS nos whitepapers e no
contedo do site.
Fornecendo certificados, relatrios e outra documenta
o diretamente para clientes da AWS mediante
acordo de confidencialidade (ou NDA, Non-Disclosure Agreement), conforme necessrio.

Para obter uma descri

o mais detalhada da seguran


a da AWS, consulte:
Centro de Seguran
a da AWS: https://aws.amazon.com/security/
Para obter uma descri

o mais detalhada do compliance da AWS, consulte


P
gina de compliance da AWS: https://aws.amazon.com/compliance/
Al
m disso, o whitepaper AWS Overview of Security Processes cobre os controles gerais de seguran
a e a seguran
a
espec
fica dos servi
os da AWS.

Pgina 3 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Ambiente de responsabilidade compartilhada


A movimenta

o da infraestrutura de TI para os servi


os da AWS cria um modelo de responsabilidade
compartilhada entre o cliente e a AWS. Esse modelo compartilhado pode auxiliar a reduzir os encargos
operacionais do cliente na medida em que a AWS opera, gerencia e controla os componentes do sistema
operacional do host e a camada de virtualiza
o, incluindo a seguran
a f
sica das instala
es em que o servi
o
opera. O cliente assume a gesto e a responsabilidade pelo sistema operacional convidado (inclusive
atualiza
es e patches de seguran
a), por outro software de aplicativo associado, bem como pela configura

o
do firewall do grupo de seguran
a fornecido pela AWS. Os clientes devem examinar cuidadosamente os
servi
os que escolherem, pois suas respectivas responsabilidades variam de acordo com os servi
os utilizados,
a integra
o desses servi
os ao seu ambiente de TI e as leis e regulamentos aplicveis. Os clientes podem
aumentar a seguran
a e/ou atender aos seus mais rigorosos requisitos de conformidade utilizando tecnologias
como firewalls baseados em hosts, detec

o/preven

o de intruses baseadas em host, criptografia e gerenciamento


de chaves. A natureza desta responsabilidade compartilhada tamb
m fornece a flexibilidade e o controle do
cliente que permitem a implanta

o de solu
es que atendem aos requisitos de certifica
o espec
ficos do setor.
Esse modelo de responsabilidade compartilhada entre o cliente e a AWS tamb
m se estende aos controles de TI.
Assim como a responsabilidade para operar o ambiente de TI compartilhada entre a AWS e os seus clientes,
o mesmo ocorre com o gerenciamento, a opera

o e a verifica

o de controles compartilhados de TI. A AWS


pode auxiliar a reduzir os encargos operacionais de controles do cliente gerenciando os controles associados
infraestrutura f
sica implementada no ambiente da AWS que, anteriormente, eram gerenciados pelo cliente.
Jque cada cliente implementado de forma diferente na AWS, os clientes podem aproveitar a mudan
a de
gerenciamento de determinados controles de TI para a AWS, resultando em um (novo) ambiente de controle
distribu
do. Os clientes podem utilizar a documenta
o de conformidade e controle da AWS dispon
vel
(descrita na se
o Declara
es de terceiros e certifica
es da AWS deste documento) para realizar
procedimentos de avalia

o e verifica

o de controle, conforme necess


rio.
A prxima se

o oferece uma abordagem sobre como os clientes da AWS podem avaliar e validar eficazmente
o seu ambiente de controle distribu
do.

Governana r
gida de conformidade
Como sempre, os clientes da AWS t
m de continuar a manter uma governan
a adequada sobre todo o ambiente
de controle de TI, independentemente de como a TI implementada. As principais pr
ticas incluem a compreens
o
dos objetivos de conformidade e requisitos exigidos (com base em fontes relevantes), a cria

o de um ambiente
de controle que atenda a esses requisitos e objetivos, uma compreenso de valida
o necess
ria com base na
toler
ncia ao risco da organiza

o e a verifica

o da efic
cia operacional do ambiente de controle da organiza

o.
A implementa

o na nuvem da AWS oferece s empresas op


es diferentes para aplicar diversos tipos de
controles e vrios m
todos de verifica

o.
Gesto e conformidade r
gida do cliente podem incluir a seguinte abordagem bsica:
1. Revise as informa
es dispon
veis na AWS juntamente com outras informa
es para entender
o m
ximo poss
vel sobre o ambiente de TI e, em seguida, documente todos os requisitos de
conformidade.
2. Projete e implemente os objetivos de controle para atender aos requisitos de conformidade
corporativa.
3. Identifique e documente controles pertencentes a terceiros.
4. Verifique se todos os objetivos de controle so atendidos e todos os controles principais foram
projetados com efici
ncia e se apresentam com bom funcionamento.

Pgina 4 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Abordar a gesto de conformidade dessa forma ajudaras empresas a obterem uma melhor compreenso do
ambiente de controle e ajudara delinear claramente as atividades de verifica
o a serem executadas.

Avaliao e integrao dos controles da AWS


A AWS fornece uma ampla variedade de informa
es relacionadas ao seu ambiente de controle de TI por meio
de whitepapers, relatrios, certifica
es e depoimentos de terceiros. Esta documenta
o ajuda os clientes
a compreenderem os controles vigentes relevantes aos servi
os da AWS que eles usam e como esses controles
foram validados. Essas informa
es ajudam os clientes a prestarem contas e a validarem se os controles no seu
ambiente de TI estendido est
o operando de modo eficaz.
Tradicionalmente, o projeto e a efic
cia operacional de objetivos de controle e controles s
o validados por
auditores internos e/ou externos atrav
s do acompanhamento do processo e da avalia
o de evid
ncias.
A observa
o/verifica

o direta, pelo cliente ou auditor externo do cliente, geralmente realizada para validar
controles. No caso de utiliza

o de prestadores de servi
os, tais como a AWS, solicita-se que as empresas
avaliem declara
es de terceiros e certifica
es a fim de obter uma garantia razovel do projeto e eficcia
operacional do objetivo de controle e dos controles. Como resultado, embora os controles essenciais do cliente
possam ser gerenciados pela AWS, o ambiente de controle ainda pode ser uma estrutura unificada, onde todos
os controles s
o considerados e verificados como operacionais com efic
cia. Declara
es de terceiros e certifica
es
da AWS podem no apenas fornecer um n
vel mais alto de valida

o do ambiente de controle, mas podem


tamb
m eximir os clientes do requisito de terem de realizar determinados trabalhos de valida
o para seu
ambiente de TI na nuvem da AWS.

Informaes de controle de TI da AWS


A AWS fornece informa
es de controle de TI aos clientes de duas maneiras:
1. Definio de controle espec
fico. Os clientes da AWS podem identificar os principais controles
gerenciados pela AWS. Controles essenciais so cr
ticos para o ambiente de controle do cliente e exigem
uma declara

o externa da efic
cia operacional desses controles essenciais para que possam estar em
ordem com os requisitos de conformidade tais como a auditoria financeira anual. Para esse fim,
a AWS publica uma ampla variedade de controles de TI espec
ficos em seu relatrio de controles
organizacionais de servi
o 1 (SOC 1), tipo II. O relatrio SOC 1, anteriormente o relatrio de declara
o
sobre as normas de auditoria (SAS) n70, empresas de servi
os, um padro de auditoria amplamente
reconhecido desenvolvido pelo American Institute of Certified Public Accountants (AICPA). A auditoria
SOC 1 uma auditoria aprofundada do projeto e da eficcia operacional de atividades de controle
e objetivos de controle definidos da AWS (que incluem objetivos de controle e atividades de controle
sobre a parte da infraestrutura que a AWS gerencia). O tipo II refere-se ao fato de que cada um dos
controles descritos no relatrio n
o avaliado apenas em rela
o adequa
o do projeto, mas tamb
m
testado em rela

o eficcia operacional pelo auditor externo. Em virtude da independ


ncia
e compet
ncia do auditor externo da AWS, os controles identificados no relatrio devem fornecer aos
clientes um elevado n
vel de confian
a no ambiente de controle da AWS. Os controles da AWS podem
ser considerados desenvolvidos e operacionais com eficcia para muitos fins de conformidade,
incluindo auditorias de demonstrativos financeiros de acordo com a se

o 404 da Sarbanes-Oxley
(SOX). A utiliza

o de relatrios SOC 1 tipo II geralmente tamb


m permitida por outros rgos
externos de certifica

o (p.ex., auditores do ISO 27001 podem solicitar um relatrio SOC 1 tipo II para
concluir suas avalia
es para os clientes).

Pgina 5 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Outras atividades de controle espec


ficas relacionam-se conformidade com a Payment Card Industry (PCI,
Setor de cartes de pagamento) e a Federal Information Security Management Act (FISMA, Lei federal de
gerenciamento de seguran
a da informa

o) da AWS. Como discutido a seguir, a AWS estem conformidade


com os padres da FISMA, n
vel moderado, e com o padro de seguran
a de dados do PCI. Os padres do PCI
e da FISMA s
o muito prescritivos e requerem uma valida
o independente de que a AWS estaderindo aos
padres publicados.
2. Conformidade padro do controle geral. Se um cliente da AWS requer que um amplo conjunto
de objetivos de controle seja atendido, poss
vel realizar uma avalia
o das certifica
es do setor da
AWS. Com a certifica

o ISO 27001 da AWS, a AWS estem conformidade com um amplo e abrangente


padr
o de seguran
a e segue as pr
ticas recomendadas para manter um ambiente seguro. Com o PCI
Data Security Standard (PCI DSS, padr
o de seguran
a de dados do PCI), a AWS estem conformidade
com um conjunto de controles importantes para as empresas que lidam com informa
es de cart
o de
cr
dito. Com a conformidade da AWS com os padres da FISMA, a AWS estem conformidade com
uma ampla variedade de controles espec
ficos exigidos pelas ag
ncias governamentais americanas.
A conformidade com esses padres gerais disponibiliza aos clientes informa
es detalhadas sobre
a natureza abrangente dos controles e processos de seguran
a em vigor e pode ser considerada ao
gerenciar a conformidade.

Regies globais da AWS


Os datacenters s
o constru
dos em clusters em v
rias regies globais. Neste momento, existem onze regies:
Leste dos EUA (Norte da Virg
nia), Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califrnia), AWS
GovCloud (EUA) (Oregon), UE (Frankfurt), UE (Irlanda), sia-Pac
fico (Cingapura), sia-Pac
fico (Tquio),
sia-Pac
fico (Sydney), China (Pequim) e Am
rica do Sul (S
o Paulo).

Programa de conformidade e riscos da AWS


A AWS fornece informa
es sobre seu programa de conformidade e gerenciamento de riscos para permitir que
os clientes incorporem controles da AWS em sua estrutura de gesto. Essas informa
es podem ajudar os
clientes a documentar uma estrutura de gesto e de controle completa com a AWS inclu
da como uma parte
importante dessa estrutura.

Gerenciamento de risco
A ger
ncia da AWS desenvolveu um plano estrat
gico de negcios, que inclui a identifica

o de riscos
e a implementa

o de controles para reduzir ou gerenciar riscos. A ger


ncia da AWS avalia o plano estrat
gico de
negcios pelo menos duas vezes por ano. Esse processo requer que o gerenciamento identifique riscos em suas
reas
de responsabilidade, bem como implemente medidas adequadas projetadas para solucionar esses riscos.
Al
m disso, o ambiente de controle da AWS estsujeito a vrias avalia
es internas e externas de riscos. As
equipes de seguran
a e conformidade da AWS estabeleceram pol
ticas e uma estrutura de seguran
a da
informa
o com base na estrutura dos Control Objectives for Information and related Technology (COBIT,
Objetivos de controle para informa
es e tecnologia relacionada) e integraram com eficcia a estrutura
certificvel pelo ISO 27001, com base nos controles do ISO 27002, nos Princ
pios de Servi
os de Confian
a do AICPA
(American Institute of Certified Public Accountants), no PCI DSS v3.1 e na Publica
o 800-53 Rev. 3 (Controles de
Seguran
a recomendados para Sistemas de Informa

o Federais) do National Institute of Standards and


Technology (NIST). A AWS mant
m a pol
tica de seguran
a, oferece treinamento de seguran
a para os
funcionrios e realiza revises de seguran
a do aplicativo. Essas avalia
es verificam a confidencialidade,
a integridade e a disponibilidade de dados, bem como a conformidade com a pol
tica de seguran
a da
informa
o.

Pgina 6 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

A seguran
a da AWS examina regularmente todos os endere
os IP de endpoint, de servi
o voltado Internet,
quanto exist
ncia de vulnerabilidades (essas verifica
es no incluem instncias de clientes). A seguran
a da
AWS notificaras partes adequadas para solucionar quaisquer vulnerabilidades identificadas. Al
m disso,
avalia
es de amea
a de vulnerabilidade externa so realizadas regularmente por empresas de seguran
a
independentes. As concluses e recomenda
es resultantes dessas avalia
es so categorizadas e entregues
lideran
a da AWS. Essas verifica
es so feitas para avaliar a sade e a viabilidade da infraestrutura
subjacente da AWS e n
o se destinam a substituir as verifica
es de vulnerabilidade do cliente necessrias para
atender aos seus requisitos de conformidade espec
ficos. Os clientes podem solicitar permisso para conduzir
pesquisas de sua infraestrutura em nuvem, contanto que elas se limitem a instncias do cliente e no violem
a pol
tica de uso aceitvel da AWS. A pr
via aprova
o para esses tipos de verifica
es pode ser iniciada
enviando-se uma solicita

o atrav
s do formul
rio AWS Vulnerability/Penetration Testing Request (Solicita

o
de Teste de Penetra

o/Vulnerabilidade da AWS).

Ambiente de controle
A AWS gerencia um ambiente de controle abrangente que inclui pol
ticas, processos e atividades de controle
que utilizam diversos aspectos do ambiente de controle geral da Amazon. Esse ambiente de controle estem
vigor para a entrega segura de ofertas de servi
os da AWS. O ambiente de controle coletivo abrange as pessoas,
os processos e a tecnologia necess
rios para estabelecer e manter um ambiente que ofere
a suporte eficcia
operacional da estrutura de controle da AWS. A AWS integrou controles espec
ficos de nuvem aplicveis
identificados pelos principais rg
os do setor de computa

o em nuvem na estrutura de controle da AWS.


A AWS continua acompanhando esses grupos de setor quanto a ideias sobre como as pr
ticas de lideran
a
podem ser implementadas para melhor atender aos clientes no gerenciamento de seu ambiente de controle.
O ambiente de controle na Amazon come
a no mais alto n
vel da empresa. As lideran
as executiva e s
nior
desempenham um papel importante no estabelecimento de valores fundamentais e do objetivo da empresa.
Cada funcionrio recebe o cdigo de
tica e conduta nos negcios da empresa, al
m de realizar treinamento
peridico. As auditorias de conformidade so realizadas para que os funcionrios entendam e sigam as pol
ticas
estabelecidas.
A AWS fornece uma estrutura organizacional para planejar, executar e controlar as opera
es de negcios.
A estrutura organizacional atribui fun
es e responsabilidades para fornecer uma equipe adequada, efici
ncia
das opera
es e a diferencia

o de direitos. A ger
ncia tamb
m estabeleceu autoridade e linhas apropriadas de
subordina
o para a equipe principal. Os processos de verifica
o de contrata
o da empresa incluem educa
o,
empregos anteriores e, em alguns casos, verifica
es de histrico na forma permitida pela legisla
o e pelas
regulamenta
es trabalhistas, de acordo com o cargo do funcion
rio e com o seu n
vel de acesso aos recursos
da AWS. A empresa segue um processo estruturado de integra
o para familiarizar novos funcionrios com as
ferramentas, processos, sistemas, pol
ticas e procedimentos da Amazon.

Segurana da informao
A AWS implementou um programa formal de seguran
a da informa
o, o qual foi desenvolvido para proteger
a confidencialidade, integridade e disponibilidade de sistemas e dados dos clientes. A AWS publica um
whitepaper de seguran
a, estdispon
vel no site pblico, que aborda como a AWS pode ajudar os clientes
a proteger seus dados.

Pgina 7 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Certificaes, programas, relatrios e atestados de terceiros


da AWS
A AWS contrata rgos externos de certifica
o e auditores independentes para fornecer aos clientes um
grande volume de informa
es sobre as pol
ticas, os processos e os controles estabelecidos e operados
pela AWS.

CJIS
AWS estem conformidade com o padr
o CJIS (Servi
os de Informa
es da Justi
a Criminal) do FBI. Ns
assinamos acordos de seguran
a CJIS com os nossos clientes, incluindo permitir ou realizar quaisquer
verifica
es de antecedentes dos empregados exigidos de acordo com a Pol
tica de Segurana CJIS.
Clientes de responsveis legais (e parceiros que administram o CJI) esto aproveitando os servi
os da AWS
para melhorar a seguran
a e a prote

o dos dados CJI, usando os servi


os de seguran
a avan
ados e recursos
da AWS, tais como registro de atividades (AWS CloudTrail), criptografia de dados em movimento e em
repouso (S3 Server-Side Encryption com a op

o de trazer a sua prpria chave), gerenciamento de chaves


e prote
o abrangentes (AWS Key Management Service e CloudHSM) e gerenciamento integrado de
permisso (gerenciamento de identidade federada IAM, autentica
o multifator).
A AWS criou um Manual da CJIS (Servi
os de Informa
es da Justi
a Criminal) em um formato de modelo
de plano de seguran
a alinhado com as reas de Pol
tica CJIS. Al
m disso, um whitepaper da CJIS foi
desenvolvido para ajudar a guiar os clientes em sua jornada para a ado
o da nuvem.
Visite a pgina principal do CJIS: https://aws.amazon.com/compliance/cjis/

CSA
Em 2011, o Cloud Security Alliance (CSA Alian
a de seguran
a da nuvem) lan
ou o STAR, uma iniciativa que
incentiva a transpar
ncia nas pr
ticas de seguran
a dentro dos provedores de nuvem. O CSA Security, Trust
& Assurance Registry (STAR Seguran
a, confian
a e registro de seguro) um registro gratuito, acess
vel
ao pblico, que documenta os controles de seguran
a fornecidos por v
rias ofertas de computa
o em nuvem,
ajudando os usurios a avaliarem a seguran
a dos provedores de nuvem que utilizam atualmente ou que esto
considerando contratar. A AWS registrada pelo CSA ESTRELA e concluiu o CAIQ (Questionrio da
iniciativa de avalia

o de consenso) da CSA (Cloud Security Alliance). Esse CAIQ publicado pela CSA fornece
uma forma de referenciar e documentar quais controles de seguran
a existem nas ofertas de infraestrutura
como servi
o da AWS. O CAIQ fornece 298 perguntas que um auditor de nuvem e um cliente de nuvem podem
querer fazer a um provedor de nuvem.
Consulte: Apndice A: Questionrio da iniciativa de avaliao de consenso v3.0.1 da CSA

Cyber Essentials Plus


Cyber Essentials Plus o sistema de certifica
o reconhecido pela indstria e apoiado pelo governo do
Reino Unido. Ele foi introduzido no pa
s para ajudar as empresas a demonstrar a seguran
a operacional contra
ataques cibern
ticos comuns.

Pgina 8 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Ele demonstra a linha de base de controle que a AWS implementa para mitigar o risco de amea
as comuns
com base na Internet, dentro do contexto do governo do Reino Unido de "10 passos para a segurana
ciberntica". apoiado pela indstria, incluindo a Federa
o das Pequenas Empresas, a Confedera
o da
Indstria Britnica e diversas organiza
es de seguros que oferecem incentivos para as empresas que contam
com esta certifica

o.
Cyber Essentials estabelece os controles t
cnicos necessrios; o quadro de garantia relacionado mostra como
o processo de verifica

o independente trabalha pela certifica


o do Cyber Essentials Plus atravs de uma
avalia
o externa anual realizada por um avaliador credenciado. Devido natureza regional da certifica
o,
o seu escopo limitado regio da UE (Irlanda).

DoD SRG n
veis 2 e 4
O Modelo de Segurana de Nuvem (SRG) do Departamento de Defesa (DoD) oferece uma avalia
o
formalizada e um processo de autoriza

o para os provedores de servi


o na nuvem (CSPs) obterem uma
autoriza
o provisria do DoD, que posteriormente pode ser aproveitada pelos clientes do DoD. Uma
autoriza
o provisria sob o SRG oferece uma certifica
o reutiliz
vel que atesta nossa conformidade com as
normas do DoD, reduzindo o tempo necess
rio para que um proprietrio de misso do DoD avalie e autorize
um dos seus sistemas para opera

o na AWS. A AWS atualmente det


m as autoriza
es provisrias nos n
veis
2 e 4 da SRG.
Informa
es adicionais das linhas de base de controle de seguran
a definidas para os n
veis 2, 4, 5, e 6
podem ser encontradas em: http://iase.disa.mil/cloud_security/Pages/index.aspx.
Visite a pgina principal do DoD: https://aws.amazon.com/compliance/dod/

FedRAMP SM
A AWS um provedor de servi
o na nuvem em conformidade com o FedRAMPsm (Federal Risk and
Authorization Management Program). A AWS concluiu os testes realizados por uma 3PAO (Third Party
Assessment Organization) acreditada pelo FedRAMPsm e recebeu duas ATOs (Authority to Operate) pelo
Departamento de Sade e Servi
os Humanos dos EUA (HHS) depois de demonstrar conformidade com os
requisitos do FedRAMPsm em n
vel de impacto moderado. Todas as ag
ncias do governo americano podem
aproveitar os pacotes de ATO para ag
ncias da AWS armazenados no repositrio do FedRAMPsm para avaliar
a AWS em rela
o aos seus aplicativos e cargas de trabalho, fornecer autoriza
es para usar a AWS e fazer
a transi
o de cargas de trabalho dentro do ambiente da AWS. As duas ATOs de agncia do FedRAMPsm englobam todas
as regies dos EUA (a regio AWS GovCloud (EUA) e as regies AWS Leste e Oeste dos EUA).

Os seguintes servi
os fazem parte do conjunto de acredita

o nas regies citadas acima:

Amazon Redshift. O Amazon Redshift um servi


o de armazenamento de dados rpido, totalmente
gerenciado e em escala de petabytes, que torna mais simples e acess
vel a anlise eficiente de todos os
seus dados usando as ferramentas de intelig
ncia de negcios de que vocdispe.
Amazon Elastic Compute Cloud (Amazon EC2). O Amazon EC2 fornece capacidade computacional
redimension
vel na nuvem. Ele foi projetado para facilitar a computa

o na escala da web para os


desenvolvedores.
Amazon Simple Storage Service (S3). O Amazon S3 fornece uma interface simples de servi
o da web
que pode ser usada para armazenar e recuperar qualquer quantidade de dados, a qualquer momento,
de qualquer lugar na web.

Pgina 9 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Amazon Virtual Private Cloud (VPC). O Amazon VPC fornece a capacidade de provisionar uma
rea
logicamente isolada da AWS onde poss
vel executar recursos da AWS em uma rede virtual definida
por voc
.
Amazon Elastic Block Store (EBS). O Amazon EBS fornece volumes de armazenamento altamente
dispon
veis, confiveis e previs
veis que podem ser conectados a uma inst
ncia do Amazon EC2 em
execu
o e expostos como um dispositivo dentro da instncia.
AWS Identity and Access Management (IAM). O IAM permite que voccontrole com seguran
a o acesso
aos servi
os e recursos da AWS para seus usu
rios. Usando o IAM, vocpode criar e gerenciar usurios
e grupos da AWS e usar permisses para permitir e negar suas permisses para recursos da AWS.

Para obter mais informa


es sobre a conformidade com o FedRAMPsm na AWS, acesse as Perguntas
Frequentes sobre o FedRAMPsm na AWS em: https://aws.amazon.com/compliance/fedramp/

FERPA
A Lei da Privacidade e dos Direitos Educacionais da Fam
lia (FERPA) (20 U.S.C. 1232g; 34 CFR
Part 99) uma lei federal que protege a privacidade dos registros educacionais do estudante. A lei se aplica
a todas as escolas que recebem fundos do programa aplicado do Departamento de Educa
o dos Estados
Unidos. FERPA daos pais certos direitos com rela
o aos registros educacionais de seus filhos. Estes direitos
so transferidos para o aluno quando ele completa 18 anos ou frequenta uma escola aps o ensino m
dio.
Os estudantes a quem os diretos foram transferidos so "estudantes eleg
veis".
A AWS habilita entidades abrangidas e os seus associados de trabalho sujeitos ao FERPA a alavancarem
o ambiente seguro da AWS para processar, manter e armazenar informa
es protegidas da educa
o.
A AWS tamb
m oferece um whitepaper sobre a FERPA para os clientes interessados em saber mais sobre
como podem aproveitar a AWS para o processamento e armazenamento de dados educacionais.
O "whitepaper FERPA Compliance on AWS" descreve como as empresas podem usar a AWS para
processar sistemas que facilitam a conformidade com a FERPA:
https://d0.awsstatic.com/whitepapers/compliance/AWS_FERPA_Whitepaper.pdf

FIPS 140-2
A publicao 140-2 do Federal Information Processing Standard (FIPS) um padro de seguran
a
do governo dos EUA que especifica os requisitos de seguran
a para mdulos de criptografia que protegem
informa
es confidenciais. Para oferecer suporte a clientes com requisitos FIPS 140-2, as termina
es SSL no
AWS GovCloud (EUA) operam usando o hardware validado pela FIPS 140-2. A AWS trabalha com clientes
do AWS GovCloud (EUA) para fornecer as informa
es necessrias para ajudar a gerenciar a conformidade ao
usar o ambiente AWS GovCloud (EUA).

Pgina 10 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

FISMA e DIACAP
A AWS permite que os rgos governamentais dos EUA alcancem e mantenham a conformidade com a FISMA
(Federal Information Security Management Act). A infraestrutura da AWS foi avaliada por assessores
independentes para diversos sistemas governamentais, como parte do processo de aprova

o dos propriet
rios
desses sistemas. V
rias organiza
es civis e do DoD (Department of Defense) conseguiram autoriza
es de
seguran
a para sistemas hospedados na AWS, de acordo com o processo do Risk Management Framework
(RMF - Estrutura de gerenciamento de riscos) definido na NIST 800-37 e no DIACAP (DoD Information
Assurance Certification and Accreditation Process).

HIPAA
A AWS permite que entidades cobertas e seus associados de negcios sujeitos ao U.S. Health Insurance
Portability and Accountability Act (HIPAA, Lei de Responsabilidade e Portabilidade de Seguro-sade dos
Estados Unidos) aproveitem o ambiente seguro da AWS para processar, manter e armazenar informa
es de
sade protegidas. A AWS assinaracordos de associados de negcios com tais clientes. A AWS tamb
m oferece
um whitepaper sobre a HIPAA para os clientes interessados em saber mais sobre como podem aproveitar
a AWS para o processamento e armazenamento de informa
es de sade. O whitepaper Architecting for
HIPAA Security and Compliance on Amazon Web Services descreve como as empresas podem usar a AWS
para processar sistemas que facilitam a conformidade com a HIPAA e a Health Information Technology for
Economic and Clinical Health (HITECH, Tecnologia da informa
o da sade para a sade econmica e cl
nica).
Os clientes podem usar qualquer servi
o da AWS em uma conta designada como conta da HIPAA, mas devem
somente processar, armazenar e transmitir PHI nos servi
os qualificados para a HIPAA definidos no BAA. H
nove servi
os eleg
veis para HIPAA hoje, incluindo:

Amazon DynamoDB
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (Amazon RDS) usando apenas mecanismos MySQL e Oracle
Amazon Simple Storage Service (S3)

A AWS segue um programa de gerenciamento de riscos baseado em padres para garantir que os servi
os
qualificados ofere
am suporte espec
fico a processos de seguran
a, controle e administra
o exigidos pela
HIPAA. Usar esses servi
os para armazenar e processar PHI permite que os nossos clientes e a AWS atendam
aos requisitos da HIPAA aplic
veis ao nosso modelo de opera
o com base em utilitrios. A AWS prioriza
e acrescenta novos servi
os qualificados com base na demanda do cliente.
Para obter informa
es adicionais, consulte nossas Perguntas Frequentes sobre HIPAA Compliance:
https://aws.amazon.com/compliance/hipaa-compliance/
Architecting for HIPAA Security and Compliance on Amazon Web Services:
https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Pgina 11 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

IRAP
O Programa de Assessores Registrados de Seguran
a da Informa
o (IRAP) permite que os clientes do governo
australiano validem os controles apropriados que esto em vigor e determinem o modelo de responsabilidade
adequado para responder
s necessidades do Manual de Seguran
a da Informa

o (ISM) da Australian Signals


Directorate (ASD).

A Amazon Web Services concluiu uma avaliao independente que determinou que todos os controles
ISM aplic
veis est
o em vigor em rela

o ao processamento, armazenamento e transmiss


o de Unclassified
(DLM) para o AWS Sydney Region.
Perguntas Frequentes sobre Conformidade com a IRAP:
https://aws.amazon.com/compliance/irap/
Para obter mais informa
es, consulte: Apndice B: Alinhamento da AWS com as consideraes de
segurana de computao em nuvem do ASD (Australian Signals Directorate)

ISO 9001
A AWS obteve a certifica

o ISO 9001, que oferece suporte direto aos clientes que desenvolvem, migram
e operam seus sistemas de TI com controle de qualidade na nuvem da AWS. Os clientes podem usar os
relatrios de conformidade da AWS como evid
ncia para seus prprios programas ISO 9001 e para programas
de qualidade espec
ficos por setor, como GxP em ci
ncias biolgicas, ISO 13485 em dispositivos m
dicos,
AS9100 no setor aeroespacial e ISO/TS 16949 no setor automotivo. Os clientes da AWS que no t
m requisitos
de sistema da qualidade tamb
m se beneficiaro da garantia e transpar
ncia adicionais proporcionadas por
uma certifica
o pela ISO 9001.
A ISO 9001 abrange o sistema de gerenciamento de qualidade em um escopo espec
fico de servi
os e regies de
opera
o da AWS (abaixo), que inclui:

AWS CloudFormation
AWS Cloud Hardware Security Model (HSM)
Amazon CloudFront
AWS CloudTrail
AWS Direct Connect
AWS Directory Service
Amazon DynamoDB
Amazon EC2 VM Import/Export
AWS Elastic Beanstalk
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)
Amazon EC2 Container Service (ECS)
Amazon Elastic File System (EFS)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon ElastiCache
Amazon Glacier
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
Amazon Redshift
Amazon Relational Database Service (RDS)
AWS Route 53

Pgina 12 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Amazon SimpleDB
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
Amazon Simple Storage Service (S3)
AWS Storage Gateway
Amazon Simple Workflow Service (SWF)
Amazon Virtual Private Cloud (VPC)
AWS WAF - Web Application Firewall
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
A infraestrutura f
sica subjacente e o ambiente de gerenciamento da AWS

O credenciamento ISO 9001 da AWS cobre as regies da AWS, incluindo Leste dos EUA (Norte da Virg
nia),
Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud (EUA), Am
rica do Sul (S
o
Paulo), UE (Irlanda), UE (Frankfurt) e sia-Pac
fico (Cingapura), sia-Pac
fico (Sydney) e sia-Pac
fico
(Tquio).
A ISO 9001:2008 uma norma global para o gerenciamento da qualidade de produtos e servi
os. O padr
o
9001 descreve um sistema de gerenciamento da qualidade com base em oito princ
pios definidos pelo
Technical Committee for Quality Management and Quality Assurance da International Organization for
Standardization (ISO). Os princ
pios incluem:

Foco no cliente
Lideran
a
Envolvimento das pessoas
Abordagem de processo
Abordagem sist
mica da gesto
Melhoria cont
nua
Abordagem factual da tomada de deciso
Relacionamento mutuamente ben
fico com fornecedores

A certifica

o AWS ISO 9001 pode ser baixada em:


https://d0.awsstatic.com/certifications/iso_9001_certification.pdf
A AWS fornece informa
es adicionais e perguntas frequentes sobre sua conformidade com o ISO 9001 em:
https://aws.amazon.com/compliance/iso-9001-faqs/

ISO 27001
A AWS obteve a certifica

o ISO 27001 do nosso Information Security Management System (ISMS - Sistema de


gesto de seguran
a da informa

o) que abrange a infraestrutura, datacenters e servi


os da AWS como:

AWS CloudFormation
Amazon CloudFront
AWS Cloudtrail
AWS Directory Service
Amazon DynamoDB
AWS Elastic Beanstalk
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)

Pgina 13 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Amazon EC2 Container Service (ECS)


AWS Direct Connect
Amazon EC2 VM Import/Export
AWS Cloud Hardware Security Model (HSM)
Elastic Load Balancing (ELB)
Amazon Elastic File System (EFS)
Amazon Elastic MapReduce (EMR)
Amazon ElastiCache
Amazon Glacier
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
Amazon Redshift
Amazon Relational Database Service (RDS)
AWS Route 53
Amazon SimpleDB
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
Amazon Simple Storage Service (S3)
Amazon Simple Workflow Service (SWF)
AWS Storage Gateway
Amazon Virtual Private Cloud (VPC)
AWS WAF - Web Application Firewall
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
A infraestrutura f
sica subjacente (incluindo a GovCloud) e o Ambiente de Gerenciamento da AWS

A ISO 27001/27002 um padr


o de seguran
a global amplamente adotado que estabelece os requisitos e as
prticas recomendadas para uma abordagem sistem
tica de gerenciamento de informa
es da empresa e do
cliente, com base em avalia
es peridicas de riscos apropriadas e cenrios de amea
a em constante mudan
a.
Para obter a certifica

o, uma empresa deve demonstrar que tem uma abordagem constante e sistem
tica para
gerenciar os riscos de seguran
a da informa

o que afetam a confidencialidade, a integridade e a disponibilidade da


empresa e das informa
es do cliente. Essa certifica
o refor
a o compromisso da Amazon de fornecer
informa
es importantes sobre nossas pr
ticas e controles de seguran
a.
O credenciamento ISO 27001 da AWS cobre as regies da AWS, incluindo Leste dos EUA (Norte da Virg
nia),
Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud (EUA), Am
rica do Sul (S
o
Paulo), UE (Irlanda), UE (Frankfurt), sia-Pac
fico (Cingapura), sia-Pac
fico (Sydney) e sia-Pac
fico
(Tquio).
A certifica

o AWS ISO 27001 pode ser baixada em:


https://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf
A AWS fornece informa
es adicionais e perguntas frequentes sobre sua conformidade com a ISO 27001 em:
https://aws.amazon.com/compliance/iso-27001-faqs/

Pgina 14 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

ISO 27017
ISO 27017 o mais novo cdigo de boas pr
ticas divulgado pela Organiza

o Internacional de Normaliza
o
(ISO). Ele fornece orienta

o de implementa

o em controles de seguran
a da informa

o que dizem respeito


especificamente a servi
os de nuvem.
A AWS obteve a certifica

o ISO 27017 do nosso Information Security Management System (ISMS - Sistema


de gesto de seguran
a da informa

o) que abrange a infraestrutura, datacenters e servi


os da AWS como:

Amazon CloudFront
Amazon DynamoDB
Amazon EC2 Container Service (ECS)
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud (EC2)
Amazon Elastic File System (EFS)
Amazon Elastic MapReduce (EMR)
Amazon ElastiCache
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Route 53
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
Amazon Simple Storage Service (S3)
Amazon Simple Workflow Service (SWF)
Amazon SimpleDB
Amazon Virtual Private Cloud (VPC)
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
AWS Directory Service
AWS Elastic Beanstalk
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
AWS Storage Gateway
AWS WAF (Firewalls de aplicativos Web)
Elastic Load Balancing
VM Import/Export

A certifica

o AWS ISO 27017 pode ser baixada em:


https://d0.awsstatic.com/certifications/iso_27017_certification.pdf
A AWS fornece informa
es adicionais e perguntas frequentes sobre sua conformidade com o ISO 27017 em:
https://aws.amazon.com/compliance/iso-27017-faqs/

Pgina 15 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

ISO 27018
A ISO 27018 o primeiro cdigo internacional de boas pr
ticas que incide sobre a prote

o de dados pessoais na
nuvem. Ela baseada no padr
o de seguran
a da informa

o ISO 27002 e fornece orienta

o sobre a implementa

o
dos controles da ISO 27002 aplic
veis PII (Informa
es de Identifica

o Pessoal) de nuvens pblicas. Ela


tamb
m fornece um conjunto de controles adicionais e orienta
es associadas destinadas a abordar os requisitos
de prote

o PII de nuvem pblica n


o abordados pelo conjunto de controle existente da ISO 27002.
A AWS obteve a certifica

o ISO 27018 do nosso Information Security Management System (ISMS - Sistema de


gesto de seguran
a da informa

o) que abrange a infraestrutura, datacenters e servi


os da AWS como:

Amazon CloudFront
Amazon DynamoDB
Amazon EC2 Container Service (ECS)
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud (EC2)
Amazon Elastic File System (EFS)
Amazon Elastic MapReduce (EMR)
Amazon ElastiCache
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Route 53
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
Amazon Simple Storage Service (S3)
Amazon Simple Workflow Service (SWF)
Amazon SimpleDB
Amazon Virtual Private Cloud (VPC)
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
AWS Directory Service
AWS Elastic Beanstalk
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
AWS Storage Gateway
AWS WAF (Firewalls de aplicativos Web)
Elastic Load Balancing
VM Import/Export

A certifica

o AWS ISO 27018 pode ser baixada em:


https://d0.awsstatic.com/certifications/iso_27018_certification.pdf
A AWS fornece informa
es adicionais e perguntas frequentes sobre sua conformidade com o ISO 27018 em:
https://aws.amazon.com/compliance/iso-27018-faqs/

Pgina 16 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

ITAR
A regio AWS GovCloud (EUA) oferece suporte ao cumprimento dos ITAR (International Traffic in Arms
Regulations). Como parte do gerenciamento de um abrangente programa de conformidade com o ITAR,
empresas sujeitas a regulamenta
es de exporta

o do ITAR devem controlar as exporta


es n
o intencionais
restringindo o acesso a dados protegidos de cidados americanos e restringindo a localiza
o f
sica dos dados
ao territrio dos EUA. O AWS GovCloud (EUA) fornece um ambiente fisicamente localizado nos EUA no qual
o acesso por parte do pessoal da AWS limitado aos cidados americanos, permitindo que empresas
qualificadas transmitam, processem e armazenem artigos e dados sujeitos s restri
es do ITAR. O ambiente
AWS GovCloud (EUA) foi auditado por um terceiro independente para validar que os controles apropriados
est
o em vigor para apoiar programas de conformidade de exporta
o do cliente para esse requisito.
MPAA
a Motion Picture Association of America estabeleceu um conjunto de prticas recomendadas para armazenar,
processar e fornecer com seguran
a contedo e m
dia protegida (http://www.fightfilmtheft.org/facilitysecurity-program.html). As empresas de m
dia usam essas prticas recomendadas como forma de avaliar
o risco e a seguran
a do seu contedo e infraestrutura. A AWS demonstrou alinhamento com as prticas
recomendadas da MPAA e a infraestrutura da AWS compat
vel com todos os controles de infraestrutura
aplicveis da MPAA. Embora a MPAA no oferea uma certificao, os clientes do setor de mdia podem
usar a documenta

o da MPAA da AWS para aprimorar sua avalia


o de riscos e do contedo do tipo MPAA
na AWS.
Consulte a pgina principal da AWS Compliance MPAA para obter detalhes adicionais:
https://aws.amazon.com/compliance/mpaa/

Certificao Tier 3 da MTCS


O Multi-Tier Cloud Security (MTCS) um padro de gerenciamento de seguran
a de Cingapura
operacional (SPRING SS 584:2013), com base nos padres ISMS (Sistema de gesto de seguran
a da
informa
o) da ISO 27001/02. A avalia

o de certifica

o nos obriga a:
Avaliar sistematicamente os nossos riscos de seguran
a da informa
o, tendo em conta o impacto das
amea
as e vulnerabilidades da empresa
Projetar e implementar um conjunto abrangente de controles de seguran
a da informa

o e outras formas
de gerenciamento de risco para abordar a empresa e projetar riscos de seguran
a
Adotar um processo de gerenciamento abrangente para assegurar que os controles de segurana da
informa
o atendam continuamente
s nossas necessidades de seguran
a da informa
o
Visualize a pgina principal do MTCS em:
https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/

Pgina 17 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

NIST
Em junho de 2015, o Instituto Nacional de Padres e Tecnologia (NIST) lan
ou as diretrizes 800-171,
"Diretrizes Finais para Proteger Informa
es Confidenciais do Governo Retidas por Contratantes". Esta
orienta

o aplicvel prote

o de CUI (Controlled Unclassified Information) em sistemas no federais.


A AWS jestem conformidade com estas diretrizes, e os clientes podem efetivamente cumprir a NIST 800-171
imediatamente. A NIST 800-171 descreve um subconjunto dos requisitos da NIST 800-53, uma diretriz
segundo a qual a AWS jfoi auditada no
mbito do programa FedRAMP. A linha de base de controle de
seguran
a da FedRAMP Moderate mais rigorosa que os requisitos recomendados estabelecidos no cap
tulo
3 da 800-171, e inclui um nmero significativo de controles de seguran
a acima e al
m dos exigidos aos
sistemas FISMA Moderate que protegem os dados CUI. Um mapeamento detalhado estdispon
vel na
publicao especial NIST 800-171, come
ando na pgina D2 (pgina 37 no PDF).
PCI DSS, n
vel 1
A AWS tem conformidade n
vel 1 com o Padr
o de Seguran
a de Dados (DSS) da Indstria de Cartes de
Pagamento (PCI). Os clientes podem executar aplicativos em nossa infraestrutura de tecnologia em
conformidade com a PCI para armazenar, processar e transmitir informa
es de carto de cr
dito na nuvem.
Em fevereiro de 2013, o Conselho do Padr
o de Seguran
a de Dados da PCI publicou as Diretrizes de
Computa

o em Nuvem do DSS da PCI. Essas diretrizes fornecem aos clientes que administram um ambiente
de dados de proprietrios de cartes de cr
dito considera
es para manter os controles do DSS da PCI na
nuvem. A AWS incorporou as Diretrizes de Computa
o em Nuvem do DSS da PCI no Pacote de Conformidade
com a PCI da AWS para os clientes. O Pacote de Conformidade com a PCI da AWS inclui o Atestado de
Conformidade com a PCI (AoC) da AWS, que mostra que a AWS recebeu valida
o em rela
o
s normas
aplicveis a um provedor de servi
os de n
vel 1 no DSS da PCI verso 3.1, e o Resumo de Responsabilidade
quanto PCI da AWS, que explica como as responsabilidades de conformidade so compartilhadas entre
a AWS e nossos clientes na nuvem.
Os seguintes servi
os est
o no escopo para o PCI DSS n
vel 1:

Auto Scaling
AWS CloudFormation
Amazon CloudFront
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
Amazon DynamoDB
AWS Elastic Beanstalk
Amazon Elastic Block Store (EBS)
Amazon Elastic Compute Cloud (EC2)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
AWS Key Management Service (KMS)
AWS Identity and Access Management (IAM)
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Route 53
Amazon SimpleDB
Amazon Simple Storage Service (S3)

Pgina 18 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Amazon Simple Queue Service (SQS)


Amazon Simple Workflow Service SWF
Amazon Virtual Private Cloud (VPC)
A infraestrutura f
sica subjacente (incluindo a GovCloud) e o Ambiente de Gerenciamento da AWS

O escopo de servi
os e regies mais recentes para a certifica
o AWS PCI DSS n
vel 1 pode ser encontrado em:
https://aws.amazon.com/compliance/pci-dss-level-1-faqs/

SOC 1/ISAE 3402


A Amazon Web Services publica um relatrio de controles de empresa de servi
os 1 (SOC 1), tipo II. A auditoria
para este relatrio conduzida de acordo com o AICPA (American Institute of Certified Public Accountants):
AT 801 (antigo SSAE 16) e as Normas Internacionais para Contratos de Garantia n3402 (ISAE 3402). Esse
relatrio de padro duplo destina-se a atender a uma ampla variedade de requisitos de auditoria financeira dos
Estados Unidos e de rgos internacionais de auditoria. A auditoria do relatrio SOC 1 declara que os objetivos
de controle da AWS foram devidamente desenvolvidos e que os controles individuais definidos para proteger os
dados do cliente operam com efic
cia. Este relatrio a substitui

o da Declara
o sobre Normas de Auditoria
n70 (SAS 70) tipo II.
Os objetivos de controle do SOC 1 da AWS so disponibilizados aqui. O prprio relatrio identifica as
atividades de controle que oferecem respaldo a cada um desses objetivos, bem como os resultados de auditores
independentes de seus procedimentos de teste de cada controle.
rea do objetivo

Descrio do objetivo

Organizao de
segurana

Os controles fornecem garantias suficientes de que as pol


ticas de seguran
a da informa
o
foram implementadas e comunicadas em toda a organiza
o.

Acesso de
usurio para
funcionrios

Os controles fornecem garantias suficientes de que procedimentos foram estabelecidos para que
contas de usurio de funcionrios da Amazon sejam adicionadas, modificadas e exclu
das em
tempo hbil e sejam revistas periodicamente.
Os controles fornecem garantias suficientes de que pol
ticas e mecanismos esto implementados
para restringir adequadamente o acesso no autorizado interno e externo aos dados e os dados
dos clientes so adequadamente separados dos outros clientes.

Segurana lgica
Manipulao
segura de dados

Os controles fornecem garantias suficientes de que a manipula


o de dados entre o ponto de
in
cio do cliente e um local de armazenamento da AWS seja protegida e mapeada com preciso.

Protees de
segurana f
sica
e ambiental

Os controles fornecem garantias suficientes de que o acesso aos datacenters estrestrito ao


pessoal autorizado, al
m da exist
ncia de mecanismos implementados para minimizar o efeito
de problemas no funcionamento ou de desastres f
sicos para as instala
es do datacenter.
Os controles fornecem garantias suficientes de que as altera
es (incluindo emerg
ncia/no
rotineiras e configura
o) em recursos de TI existentes so registradas, autorizadas, testadas,
aprovadas e documentadas.

Gerenciamento
de alteraes
Redundncia,
disponibilidade
e integridade
dos dados

Os controles fornecem garantias suficientes de que a integridade dos dados seja mantida em
todas as fases, incluindo a transmisso, o armazenamento e o processamento.

Tratamento de
incidentes

Os controles fornecem garantias suficientes de que os incidentes de sistema so registrados,


analisados e resolvidos.

Pgina 19 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Os novos relatrios SOC 1 foram desenvolvidos com enfoque em controles em uma empresa de servi
os, os
quais provavelmente ser
o relevantes para uma auditoria de demonstrativos financeiros da entidade de um usu
rio.
Como a base de clientes da AWS ampla e o uso de servi
os da AWS igualmente amplo, a aplicabilidade dos
controles aos demonstrativos financeiros de clientes varia conforme o cliente. Portanto, o relatrio SOC 1 da
AWS foi desenvolvido para abranger controles essenciais espec
ficos que provavelmente sero necessrios
durante uma auditoria financeira, bem como abranger uma ampla variedade de controles gerais de TI, a fim de
acomodar uma grande diversidade de uso e cenrios de auditoria. Isso permite que os clientes utilizem
a infraestrutura da AWS para armazenar e processar dados essenciais, incluindo os que so integrais ao
processo de gera

o de relatrios financeiros. A AWS reavalia periodicamente a sele


o desses controles para
considerar feedback de clientes e uso desse importante relatrio de auditoria.
O compromisso da AWS com o relatrio SOC 1 ininterrupto e daremos continuidade ao nosso processo de
auditorias peridicas. O escopo do relatrio SOC 1 abrange:

AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
Amazon DynamoDB
Amazon EC2 VM Import/Export
Amazon Elastic Beanstalk
Amazon Elastic Block Store (EBS)
Amazon ElastiCache
Amazon Elastic Compute Cloud (EC2)
Amazon Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
Amazon Redshift
Amazon Relational Database Service (RDS)
Amazon Route 53
Amazon SimpleDB
Amazon Simple Email Service (SES)
Amazon Simple Storage Service (S3)
Amazon Simple Workflow (SWF)
Amazon Simple Queue Service (SQS)
AWS Storage Gateway
Amazon Virtual Private Cloud (VPC)
Amazon WorkSpaces

Pgina 20 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

SOC 2
Al
m do relatrio SOC 1, a AWS publica um relatrio de controles de empresas de servi
os 2 (SOC 2), tipo II.
Semelhante ao SOC 1 na avalia

o de controles, o SOC 2 um relatrio de comprova


o que expande
a avalia
o de controles para os crit
rios definidos pelos princ
pios de servi
os de confian
a do American
Institute of Certified Public Accountants (AICPA). Esses princ
pios definem os principais controles de prtica
relevantes para a seguran
a, disponibilidade, integridade de processamento, confidencialidade e privacidade
aplicveis a organiza
es de servi
os como a AWS. O SOC 2 da AWS uma avalia
o do design e eficcia
operacional de controles que atendem aos crit
rios para os princ
pios de seguran
a e disponibilidade definidos
nos crit
rios de princ
pios de servi
os de seguran
a do AICPA. Este relatrio fornece mais transpar
ncia para
a seguran
a e disponibilidade da AWS com base em um padro predefinido das principais pr
ticas do setor
e demonstra ainda mais o compromisso da AWS com a prote
o de dados de clientes. O escopo do relatrio
SOC 2 abrange os mesmos servi
os inclu
dos no relatrio SOC 1. Consulte a descri

o do SOC 1 acima para


verificar os servi
os inclu
dos no escopo.

SOC 3
A AWS publica um relatrio de controles de empresas de servi
os 3 (SOC 3). O relatrio SOC 3 um resumo
dispon
vel publicamente do relatrio SOC 2 da AWS. O relatrio inclui a opinio do auditor externo da
opera
o de controles (com base nos Princ
pios de Confian
a de Seguran
a do AICPA inclu
dos no relatrio
SOC 2), a declara

o do gerenciamento da AWS em rela


o efetividade dos controles e uma viso geral da
infraestrutura e servi
os da AWS. O relatrio SOC 3 da AWS inclui todos os datacenters da AWS em todo
o mundo que do suporte a servi
os no escopo. Este um excelente recurso para os clientes validarem que
a AWS obteve garantia de um auditor externo sem passar pelo processo de solicita

o de um relatrio SOC 2.
O escopo do relatrio SOC 3 abrange os mesmos servi
os inclu
dos no relatrio SOC 1. Consulte a descri
o
do SOC 1 acima para verificar os servi
os inclu
dos no escopo. Veja o relatrio SOC 3 da AWS.

As principais questes de conformidade e a AWS


Esta se
o aborda questes gen
ricas de conformidade sobre a computa
o em nuvem especificamente para
a AWS. Estes problemas comuns de conformidade relacionados podem ser interessantes para avaliar e operar
em um ambiente de computa

o em nuvem e podem contribuir para os esfor


os de gerenciamento de controle
dos clientes da AWS.

Ref. Pergunta sobre


computao em
nuvem

Informaes sobre a AWS

Para a parte implementada na AWS, a AWS controla os componentes


f
sicos dessa tecnologia. O cliente possui e controla todo o resto,
incluindo o controle sobre pontos de conexo e transmisses. Para ajudar
os clientes a compreenderem melhor os controles que temos em vigor
e como efetivamente eles operam, publicamos um relatrio SOC 1 tipo II
com controles definidos em torno do EC2, do S3 e da VPC, bem como
controles de seguran
a f
sica detalhada e controles ambientais. Esses
controles s
o definidos em um alto n
vel de especificidade, que deve
atender a maioria das necessidades do cliente. Os clientes da AWS que
assinaram um acordo de confidencialidade com a AWS podem solicitar
uma cpia do relatrio SOC 1 tipo II.

Propriedade de dados.
Quem o proprietrio de
quais controles para
a infraestrutura
implementada em nuvem?

Pgina 21 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Ref. Pergunta sobre


computao em
nuvem

Informaes sobre a AWS

Auditoria de TI. Como


poss
vel realizar
a auditoria do provedor em
nuvem?

A auditoria para a maioria das camadas e de controles acima dos


controles f
sicos continua a ser de responsabilidade do cliente.
A defini
o de controles lgicos e f
sicos definidos pela AWS
documentada no relatrio SOC 1 tipo II, e o relatrio estdispon
vel
para anlise por equipes de auditoria e conformidade. A ISO 27001 da
AWS e outras certifica
es tamb
m est
o dispon
veis para anlise dos
auditores.

Compliance com
a Sarbanes-Oxley. Como
estar em conformidade com
a SOX se sistemas em
escopo so implementados
no ambiente de provedor
em nuvem?

Se um cliente processa informa


es financeiras na nuvem da AWS, as
contas do cliente podem determinar que alguns sistemas da AWS entram
no escopo para os requisitos da Sarbanes-Oxley (SOX). Os auditores dos
clientes devem fazer sua prpria determina

o sobre a aplicabilidade da
SOX. Como a maioria dos controles de acesso lgico gerenciada pelo
cliente, o cliente estmais bem posicionado para determinar se as suas
atividades de controle atendem
s normas pertinentes. Se auditores da
SOX solicitarem informa
es espec
ficas sobre controles f
sicos da AWS,
eles podem consultar o relatrio SOC 1 tipo II da AWS que detalha os
controles fornecidos pela AWS.

Compliance com a HIPAA.


poss
vel atender aos
requisitos de compliance
com HIPAA com
implementa

o no
ambiente de provedor em
nuvem?

Os requisitos da HIPAA se aplicam ao cliente AWS e so controlados por


ele. A plataforma da AWS permite a implanta

o de solu
es que
atendem aos requisitos de certifica

o espec
ficos do setor, como HIPAA.
Os clientes podem usar os servi
os da AWS para manter um n
vel de
seguran
a que seja equivalente ou superior aos necessrios para proteger
registros eletrnicos de sade. Os clientes t
m criado aplicativos na
rea
de sade em conformidade com as Regras de Privacidade e Seguran
a da
HIPAA na AWS. A AWS fornece informa
es adicionais sobre
o compliance da HIPAA em seu site, incluindo um whitepaper sobre esse
tema.

Compliance com GLBA.


poss
vel atender aos
requisitos de certifica

o da
GLBA com implementa

o
no ambiente de provedor
em nuvem?

Os requisitos da GLBA se aplicam ao cliente da AWS e so controlados


por ele. A AWS fornece meios para que os clientes protejam dados,
gerenciem permisses e construam aplicativos compat
veis com a GLBA
na infraestrutura da AWS. Se o cliente exigir garantia espec
fica de que
controles de seguran
a f
sica esto operando com efici
ncia, eles podem
fazer refer
ncia ao relatrio SOC 1 tipo II da AWS conforme for
apropriado.

Compliance com regula


es
federais. poss
vel para
uma ag
ncia do governo
dos Estados Unidos estar
em conformidade com as
normas de seguran
a
e privacidade quando
implementada no ambiente
de provedor em nuvem?

As ag
ncias federais dos EUA podem estar em conformidade com vrios
padres de compliance, incluindo o Federal Information Security
Management Act (FISMA) de 2002, o Federal Risk and Authorization
Management Program (FedRAMPsm), a Publica
o 140-2 do Federal
Information Processing Standard (FIPS) e os International Traffic in
Arms Regulations (ITAR). A conformidade com outras leis e estatutos
tamb
m pode ser acomodada dependendo dos requisitos estabelecidos
na legisla
o aplicvel.

Pgina 22 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Ref. Pergunta sobre


computao em
nuvem

Informaes sobre a AWS

Localiza
o dos dados.
Onde ficam os dados do
cliente?

Os clientes da AWS determinam a regio f


sica em que seus dados
e servidores estaro localizados. A replica

o de dados para objetos


de dados S3 feita dentro do cluster regional em que os dados s
o
armazenados e no s
o replicados para outros clusters de datacenters em
outras regies. Os clientes da AWS determinam a regio f
sica em que
seus dados e servidores estaro localizados. A AWS no mover
o contedo de clientes das regies selecionadas sem notificar o cliente,
exceto se necessrio para cumprir a legisla

o ou atender a solicita
es
de entidades governamentais. Neste momento, existem onze regies:
Leste dos EUA (Norte da Virg
nia), Oeste dos EUA (Oregon), Oeste dos
EUA (Norte da Califrnia), AWS GovCloud (EUA) (Oregon), UE
(Frankfurt), UE (Irlanda), sia-Pac
fico (Cingapura), sia-Pac
fico
(Tquio), sia-Pac
fico (Sydney), China (Pequim) e Am
rica do Sul
(S
o Paulo).

E-Discovery. O provedor
em nuvem atende
s
necessidades do cliente
para atender aos requisitos
e aos procedimentos de
detec
o eletrnica?

A AWS fornece infraestrutura e os clientes gerenciam todo o resto,


incluindo o sistema operacional, a configura
o de rede e os aplicativos
instalados. Os clientes s
o respons
veis por responder adequadamente
aos procedimentos legais envolvendo a identifica
o, coleta,
processamento, anlise e produ
o de documentos eletrnicos que
armazenam ou processam usando a AWS. Mediante solicita
o, a AWS
pode trabalhar com os clientes que precisem de aux
lio da AWS em
processos judiciais.

Tours pelos datacenters. Os


tours de clientes pelos
datacenters s
o autorizados
pelo provedor em nuvem?

N
o. Devido ao fato de que nossos datacenters hospedam v
rios clientes,
a AWS no permite tours de clientes pelos datacenters, visto que isso
expe um vasto nmero de clientes ao acesso f
sico de terceiros. Para
atender a essa necessidade de cliente, um auditor independente
e competente valida a presen
a e o funcionamento dos controles como
parte do nosso relatrio SOC 1 tipo II. Essa valida
o de terceiros
amplamente aceita oferece aos clientes a perspectiva independente da
efic
cia dos controles em vigor. Os clientes da AWS que assinaram um
acordo de confidencialidade com a AWS podem solicitar uma cpia do
relatrio SOC 1 tipo II. Anlises independentes da seguran
a f
sica do
datacenter tamb
m fazem parte da auditoria ISO 27001, da avalia
o do
PCI, da auditoria dos ITAR e dos programas de testes da FedRAMPsm.

10

Acesso de terceiros.
permitido o acesso de
terceiros aos datacenters de
provedor em nuvem?

A AWS mant
m um controle restrito de acesso aos datacenters, mesmo
para funcionrios internos. No concedido acesso de terceiros aos
datacenters da AWS, exceto quando explicitamente aprovado pelo
gerente responsvel do datacenter da AWS, conforme as pol
ticas de
acesso da AWS. Consulte o relatrio SOC 1, tipo II, para controles
espec
ficos referentes ao acesso f
sico, autoriza
o de acesso ao
datacenter e a outros controles relacionados.

Pgina 23 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Ref. Pergunta sobre


computao em
nuvem

Informaes sobre a AWS

11

A
es privilegiadas. As
a
es privilegiadas s
o
monitoradas e controladas?

Os controles implementados limitam o acesso aos sistemas e aos dados,


fornecendo acesso restrito e monitorado. Al
m disso, por padro, os
dados do cliente e as instncias do servidor so logicamente isolados de
outros clientes. O controle de acesso de usu
rio privilegiado revisto por
um auditor independente durante as auditorias SOC 1, ISO 27001, PCI,
ITAR e da FedRAMPsm.

12

Acesso privilegiado.
O provedor em nuvem
aborda a amea
a de acesso
privilegiado inadequado
aos dados e aos aplicativos
do cliente?

A AWS fornece controles espec


ficos SOC 1 para abordar a amea
a de
acesso privilegiado inadequado, a certifica

o pblica e as iniciativas
de conformidade discutidas neste documento, na se
o de acesso
privilegiado. Todas as certifica
es e declara
es de terceiros avaliam
o acesso lgico e os controles preventivo e de detec
o. Al
m disso,
as avalia
es peridicas de riscos concentram-se em como o acesso
privilegiado controlado e monitorado.

13

Multiusu
rios.
A diferencia

o de cliente
implementada com
seguran
a?

O ambiente da AWS virtualizado e multiusurio. A AWS implementou


processos de gerenciamento de seguran
a, controles do PCI e outros
controles de seguran
a projetados para isolar os clientes uns dos outros.
Os sistemas da AWS s
o projetados para impedir que os clientes acessem
hosts f
sicos ou instncias no atribu
das a eles por filtragem atrav
s do
software de virtualiza
o. Essa arquitetura foi validada por um Qualified
Security Assessor (QSA) independente do PCI e foi determinada para
estar em conformidade com todos os requisitos do PCI DSS, verso 3.1,
publicado em abril de 2015.
Observe que a AWS tamb
m tem op
es de loca
o nica. Instncias
dedicadas so instncias do Amazon EC2 iniciadas da sua Amazon
Virtual Private Cloud (Amazon VPC) que executam o hardware dedicado
a um nico cliente. Inst
ncias dedicadas permitem aproveitar ao m
ximo
os benef
cios da Amazon VPC e a nuvem da AWS, isolando ao mesmo
tempo suas instncias de computa
o do Amazon EC2 no n
vel do
hardware.

14

Vulnerabilidades do
hypervisor. O provedor em
nuvem abordou as
vulnerabilidades
conhecidas do hypervisor?

O Amazon EC2 atualmente utiliza uma verso altamente personalizada


do hypervisor Xen. O hypervisor regularmente avaliado para verificar
vulnerabilidades novas e existentes e vetores de ataque por equipes de
penetra
o interna e externa e bem adequado para manter um r
gido
isolamento entre m
quinas virtuais convidadas. O hypervisor AWS Xen
regularmente avaliado por auditores independentes durante avalia
es
e auditorias. Consulte a documenta
o de seguran
a da AWS para obter
mais informa
es sobre o isolamento de instncia e o hypervisor Xen.

15

Gerenciamento de
vulnerabilidades. Os
sistemas so corrigidos
adequadamente?

A AWS respons
vel pela corre
o dos sistemas que fornecem suporte
disponibiliza
o dos servi
os ao cliente, tais como o hypervisor e os
servi
os de rede. Isso feito como exigido pela pol
tica da AWS e em
conformidade com o ISO 27001, NIST e os requisitos do PCI. Os clientes
controlam seus prprios sistemas operacionais convidados, software
e aplicativos; portanto, so respons
veis pela aplica
o de corre
es em
seus prprios sistemas.

Pgina 24 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Ref. Pergunta sobre


computao em
nuvem

Informaes sobre a AWS

16

Criptografia. Os servi
os
prestados oferecem suporte
para criptografia?

Sim. A AWS permite que os clientes usem seus prprios mecanismos de


criptografia para quase todos os servi
os, incluindo S3, EBS, SimpleDB
e EC2. Os tneis IPSec para a VPC tamb
m so criptografados.
O Amazon S3 tamb
m oferece criptografia no servidor como uma op
o
para os clientes. Os clientes tamb
m podem usar tecnologias de
criptografia de terceiros. Consulte o Whitepaper de Seguran
a da AWS
para obter mais informa
es.

17

Propriedade de dados.
Quais so os direitos do
provedor em nuvem sobre
os dados de cliente?

Os clientes da AWS mant


m o controle e a propriedade sobre os seus
dados. A AWS no mede esfor
os para proteger a privacidade de seus
clientes e se mant
m atenta ao determinar as solicita
es legais com as
quais deve estar em conformidade. A AWS no hesita em desafiar ordens
legais se acreditar que elas sejam infundadas ou no possuam
embasamento slido.

18

Isolamento de dados.
O provedor em nuvem isola
adequadamente os dados
do cliente?

Todos os dados armazenados pela AWS em nome dos clientes t


m
recursos slidos de seguran
a e controle de isolamento de grupos de
usurios. O Amazon S3 fornece controles de acesso de dados avan
ados.
Consulte o Whitepaper de Seguran
a da AWS para obter mais
informa
es sobre a seguran
a de servi
os de dados espec
ficos.

19

Servi
os compostos.
A camada de provedor
em nuvem de seu servi
o
funciona com outros
servi
os de provedor em
nuvem?

A AWS no utiliza nenhum provedor de nuvem terceirizado para fornecer


servi
os da AWS para os clientes.

20

Controles f
sico
e ambiental. Estes controles
so operados por um
provedor em nuvem
especificado?

Sim. Estes s
o descritos especificamente no relatrio SOC 1, tipo II. Al
m
disso, outras certifica
es utilizadas pela AWS, tais como ISO 27001
e FedRAMPsm, exigem pr
ticas recomendadas de controle f
sico e ambiental.

21

Prote
o do cliente.
O provedor em nuvem
permite a prote

o
e o gerenciamento do
acesso de clientes, tais
como PC e dispositivos
mveis?

Sim. A AWS permite aos clientes gerenciar os aplicativos mveis


e clientes para suas prprias necessidades.

22

Seguran
a do servidor.
O provedor em nuvem
permite que os clientes
protejam seus servidores
virtuais?

Sim. A AWS permite que os clientes implementem sua prpria


arquitetura de seguran
a. Consulte o Whitepaper de Seguran
a da AWS
para mais detalhes sobre seguran
a de rede e de servidor.

Pgina 25 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Ref. Pergunta sobre


computao em
nuvem

Informaes sobre a AWS

23

Identity and Access


Management. O servi
o
inclui recursos de IAM?

A AWS tem um pacote de ofertas de gerenciamento de identidade


e acesso, que permite aos clientes gerenciar identidades de usu
rios,
atribuir credenciais de seguran
a, organizar os usurios em grupos
e gerenciar permisses de usurio de maneira centralizada. Consulte
o site da AWS para obter mais informa
es.

24

Paralisa
es de
manuten
o programadas.
O provedor especifica
quando os sistemas ser
o
paralisados para
manuten
o?

A AWS no exige que os sistemas sejam paralisados para executar


a manuten
o regular e aplica
o de corre
es de sistema. A manuten
o
da AWS e a aplica
o de corre
es de sistema geralmente no afetam os
clientes. A manuten

o das instncias em si controlada pelo cliente.

25

Capacidade de
escalabilidade. O provedor
permite que os clientes
utilizem a escalabilidade
al
m do acordo original?

A nuvem da AWS distribu


da, altamente segura e flex
vel, dando aos
clientes enorme potencial de escalabilidade. Os clientes podem expandir
para mais ou para menos, pagando apenas pelo que utilizarem.

26

Disponibilidade de servi
o.
O provedor compromete-se
com um alto n
vel de
disponibilidade?

A AWS compromete-se com altos n


veis de disponibilidade em seus
Acordos de N
vel de Servi
o (SLA). Por exemplo, o Amazon EC2
compromete-se com a porcentagem de tempo de atividade anual de pelo
menos 99,95% durante o ano de servi
o. O Amazon S3 se compromete
com uma porcentagem de tempo de atividade mensal de pelo menos
99,9%. Caso essas m
tricas de disponibilidade n
o sejam atendidas,
sero fornecidos cr
ditos de servi
o.

27

Ataques distribu
dos de
nega
o de servi
o (DDoS).
Como o provedor protege
seu servi
o contra ataques
de DDoS?

A rede da AWS fornece prote

o significativa contra problemas de


seguran
a de rede tradicional e o cliente pode implementar mais
prote

o. Consulte o Whitepaper de Seguran


a da AWS para obter mais
informa
es sobre esse tpico, incluindo uma discuss
o sobre ataques
de DDoS.

28

Portabilidade de dados. Os
dados armazenados em um
provedor de servi
o podem
ser exportados por
solicita
o do cliente?

A AWS permite que os clientes movam os dados conforme necessrio


e desativem o armazenamento da AWS. O servi
o AWS Import/Export
para S3 acelera a movimenta
o de grandes volumes de dados na AWS,
interna e externamente, usando dispositivos de armazenamento portteis
para transporte.

29

Continuidade de negcios
do provedor de servi
o.
O provedor de servi
o
executa um programa de
continuidade de negcios?

A AWS executa um programa de continuidade de negcios. Informa


es
detalhadas s
o fornecidas no Whitepaper de Seguran
a da AWS.

30

Continuidade de negcios
do cliente. O provedor de
servi
o permite que os
clientes implementem um
plano de continuidade de
negcios?

A AWS oferece aos clientes a capacidade de implementar um plano de


continuidade robusto, incluindo a utiliza
o de backups frequentes de
inst
ncia de servidor, replica
o de redundncia de dados e arquiteturas
de implementa
o da zona de disponibilidade/vrias regies.

Pgina 26 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Ref. Pergunta sobre


computao em
nuvem

Informaes sobre a AWS

31

Durabilidade dos dados.


O servi
o especifica
a durabilidade dos dados?

O Amazon S3 oferece aos clientes uma infraestrutura de armazenamento


altamente durvel. Os objetos so armazenados de forma redundante em
vrios dispositivos em diversas instala
es em uma regio do Amazon S3.
Uma vez armazenados, o Amazon S3 mant
m a durabilidade dos objetos
ao detectar e reparar rapidamente qualquer redundncia perdida.
O Amazon S3 tamb
m verifica regularmente a integridade dos dados
armazenados usando somas de verifica
o. Se uma corrup
o for
detectada, ela serreparada usando dados redundantes. Os dados
armazenados no S3 so projetados para fornecer disponibilidade de
99,99% de objetos e durabilidade de 99,999999999% ao longo de um
determinado ano.

32

Backups. O servi
o fornece
backups em fita?

A AWS permite que os clientes fa


am seus backups em fitas usando seu
prprio provedor de servi
o de backup em fita. No entanto, um backup
em fita no um servi
o prestado pela AWS. O servi
o Amazon S3
projetado para conduzir a probabilidade de perda de dados para perto
de zero por cento e a durabilidade equivalente das cpias multissite de
objetos de dados conseguida atrav
s de redund
ncia de armazenamento
de dados. Para obter informa
es sobre dados de durabilidade e redund
ncia,
consulte o website da AWS.

33

Aumentos de pre
o.
O provedor de servi
o
aumentaros pre
os
inesperadamente?

A AWS tem uma histria de redu


o frequente de pre
os, pois o custo
para fornecer esses servi
os reduz ao longo do tempo. A AWS teve seu
pre
o reduzido de forma consistente nos ltimos anos.

34

Sustentabilidade.
A empresa do provedor de
servi
o tem o potencial de
sustentabilidade de longo
prazo?

A AWS um provedor l
der de nuvem e uma estrat
gia de negcios
a longo prazo da Amazon.com. A AWS tem um potencial muito elevado
de sustentabilidade a longo prazo.

Contato com a AWS


Os clientes podem solicitar os relatrios e as certifica
es produzidas pelos nossos auditores terceirizados ou
solicitar mais informa
es sobre a conformidade da AWS entrando em contato com o desenvolvimento de
vendas e negcios da AWS. O representante encaminha os clientes para a equipe adequada dependendo da
natureza da consulta. Para obter informa
es adicionais sobre AWS Compliance, consulte o site de AWS
Compliance ou envie suas dvidas diretamente para o e-mail awscompliance@amazon.com.

Pgina 27 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Apndice A: Questionrio da iniciativa de avaliao de consenso


v3.0.1 da CSA
O Cloud Security Alliance (CSA) uma organizao sem fins lucrativos com a miss
o de promover o uso de
pr
ticas recomendadas para fornecer garantias de seguran
a na computa

o em nuvem, bem como fornecer


educa

o sobre os usos de computa

o em nuvem para ajudar a proteger todas as outras formas de computao.


[Refer
ncia https://cloudsecurityalliance.org/about/] Uma ampla variedade de associa
es, corpora
es
e pessoas do setor de seguran
a participam desta organiza

o para cumprir sua miss


o.
O CSA Consensus Assessments Initiative Questionnaire fornece um conjunto de perguntas que a CSA prev
que um consumidor de nuvem e/ou auditor de nuvem faria a um provedor de nuvem. Ele fornece uma s
rie
de perguntas de seguran
a, controle e processo, que podem ento ser utilizadas de vrias formas, incluindo
avalia
o de seguran
a e sele

o de provedor de nuvem. A AWS concluiu esse question


rio com as perguntas
a seguir.
Grupo de controle
Segurana de aplicativo
e interface
Seguran
a de aplicativo

Pgina 28 de 95

CID
AIS01.1

Perguntas de avaliao
do consenso
Voc
s utilizam padres do
setor (compara
es de
BSIMM [Build Security in
Maturity Model, Cria
o de
seguran
a em modelo de
maturidade], estrutura de
provedor de tecnologia
confivel de ACS de grupo
aberto etc.) para criar
seguran
a para seu SDLC?

AIS01.2

Voc
s utilizam uma
ferramenta de anlise de
cdigo-fonte automatizada
para detectar defeitos de
seguran
a no cdigo antes
da produ
o?

AIS01.3

Voc
s utilizam uma
ferramenta de anlise de
cdigo-fonte manual para
detectar defeitos de
seguran
a no cdigo antes
da produ
o?

AIS01.4

Voc
s verificam se todos os
fornecedores de software
seguem os padres do setor
para seguran
a de SDLC?

AIS01.5

(Apenas SaaS) Vocrevisa


seus aplicativos para evitar
vulnerabilidades de
seguran
a e resolver
quaisquer problemas antes
da implanta
o para
a produ
o?

Resposta da AWS
O ciclo de vida de desenvolvimento de sistema da AWS incorpora
pr
ticas recomendadas do setor, que incluem revises formais de
design pela equipe de seguran
a da AWS, modelagem de amea
as
e conclus
o de uma avalia

o de risco. Consulte a vis


o geral de
processos de seguran
a da AWS para obter mais detalhes.
AWS implementou procedimentos para gerenciar novo
desenvolvimento de recursos. Consulte o padro ISO 27001,
Anexo A, dom
nio 14 para obter mais detalhes. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padro de certifica
o ISO 27001.

Risco e Compliance da Amazon Web Services

Grupo de controle
Segurana de aplicativo
e interface
Exig
ncias de acesso do
cliente

Segurana de aplicativo
e interface
Integridade de dados

CID

Resposta da AWS

AIS02.1

Todas as exig
ncias
normativas, contratuais
e de seguran
a
identificadas para acesso
do cliente contratualmente
foram atendidas
e remediadas antes da
concesso de acesso de
clientes a dados, ativos
e sistemas de informa
es?

AIS02.2

Serque todos os
requisitos e n
veis de
confian
a para o acesso dos
clientes esto definidos
e documentados?

AIS03.1

Hrotinas de integridade
de entrada e sa
da de dados
(ou seja, verifica
es de
edi
es e reconcilia
o)
implementadas para
bancos de dados
e interfaces de aplicativos,
a fim de prevenir corrup
o
de dados ou erros de
processamento sistemtico
ou manual?

Os controles de integridade de dados da AWS, como descrito no


relatrio SOC da AWS, ilustram os controles da integridade de
dados mantidos em todas as fases, incluindo transmisso,
armazenamento e processamento.

Sua arquitetura de
seguran
a de dados
projetada usando um
padro da indstria (por
exemplo, CDSA,
MULITSAFE, CSA Trusted
Cloud Architectural
Standard, FedRAMP,
CAESARS)?

A arquitetura de seguran
a de dados da AWS foi desenvolvida
para incorporar prticas l
deres do setor.

Voc
s produzem
declara
es de auditoria
usando um formato
estruturado e aceito pelo
setor (por exemplo,
CloudAudit/A6 URI
Ontology, CloudTrust,
SCAP/CYBEX, GRC XML,
Programa de
garantia/auditoria de
gerenciamento da
computa
o em nuvem da
ISACA etc.)?

A AWS obt
m determinadas certifica
es do setor e declara
es
de terceiros independentes e fornece determinadas certifica
es,
relatrios e outros documentos relevantes para clientes da AWS
(acordo de confidencialidade).

Segurana de aplicativo
e interface
Integridade/Seguran
a de
dados

AIS04.1

Garantia de Auditoria
e Conformidade
Planejamento de Auditoria

AAC01.1

Pgina 29 de 95

Perguntas de avaliao
do consenso

Dezembro de 2015

Os clientes da AWS continuam com a responsabilidade de


garantir que seu uso da AWS esteja em conformidade com
regulamentos e legisla
es aplicveis. A AWS comunica seu
ambiente de controle e seguran
a para clientes atrav
s de
declara
es de terceiros e certifica
es, whitepapers (dispon
veis
em http://aws.amazon.com/compliance) e fornecendo
certifica
es, relatrios e outros documentos relevantes
diretamente para clientes da AWS.

Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio
14 para obter mais informa
es. A AWS foi validada e certificada
por um auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.

Consulte Certifica
es, relatrios e whitepapers da AWS para
obter mais detalhes sobre as vrias prticas de lideran
a s quais
adere a AWS (dispon
vel em
http://aws.amazon.com/compliance).

Risco e Compliance da Amazon Web Services

Grupo de controle
Garantia de Auditoria
e Conformidade
Auditorias Independentes

CID
AAC02.1

AAC02.2

Garantia de Auditoria
e Conformidade
Mapeamento Normativo do
Sistema de Informa
es

Pgina 30 de 95

Perguntas de avaliao
do consenso
Voc
s permitem que
grupos de usurios vejam
seus relatrios SOC2/ISO
27001 ou relatrios de
auditoria ou certifica
o de
terceiros semelhantes?
Voc
s realizam
regularmente testes de
penetra
o em rede de sua
infraestrutura de servi
o
em nuvem, como prescrito
pelas orienta
es e prticas
recomendadas do setor?

AAC02.3

Voc
s executam testes de
penetra
o de aplicativos
na sua infraestrutura em
nuvem regularmente,
conforme indicado pelas
prticas recomendadas
e orienta
es do setor?

AAC02.4

Voc
s realizam
regularmente auditorias
internas, como prescrito
pelas orienta
es e prticas
recomendadas do setor?

AAC02.5

Voc
s realizam
regularmente auditorias
externas, como prescrito
pelas orienta
es e prticas
recomendadas do setor?

AAC02.6

Os resultados de testes de
penetra
o esto
dispon
veis para grupos de
usurios mediante
solicita
o?

AAC02.7

Os resultados de auditorias
internas e externas esto
dispon
veis para grupos de
usurios mediante
solicita
o?

AAC02.8

Voctem um programa de
auditoria interna que
permite a auditoria entre
fun
es das avalia
es?

AAC03.1

Voc
s t
m a capacidade de
segmentar ou criptografar
logicamente os dados de
clientes, de forma que esses
dados possam ser
produzidos somente para
um nico grupo de
usurios, sem acessar
inadvertidamente os dados
de outro grupo?

Dezembro de 2015

Resposta da AWS
A AWS fornece declara
es de terceiros, certifica
es,
relatrio de controles de empresa de servi
os (SOC 1), outros
relatrios de conformidade relevantes diretamente para
nossos clientes sob NDA.
A certifica
o AWS ISO 27001 pode ser baixada aqui:
http://d0.awsstatic.com/certifications/iso_27001_global_certifi
cation.pdf.
O relatrio AWS SOC 3 pode ser baixado aqui:
https://d0.awsstatic.com/whitepapers/compliance/soc3_amazo
n_web_services.pdf.
A seguran
a da AWS examina regularmente todos os endere
os
IP de endpoint, de servi
o voltado Internet, quanto exist
ncia
de vulnerabilidades (essas verifica
es no incluem instncias de
clientes). A seguran
a da AWS notificaras partes adequadas
para solucionar quaisquer vulnerabilidades identificadas. Al
m
disso, avalia
es de amea
a de vulnerabilidade externa so
realizadas regularmente por empresas de seguran
a independentes.
As concluses e recomenda
es resultantes dessas avalia
es s
o
categorizadas e entregues lideran
a da AWS.
Al
m disso, o ambiente de controle da AWS estsujeito
a avalia
es regulares internas e externas de riscos e auditorias.
A AWS contrata rgos externos de certifica
o e auditores
independentes para analisar e testar o ambiente de controle
geral da AWS.

Todos os dados armazenados pela AWS em nome dos clientes


t
m recursos slidos de seguran
a e controle de isolamento de
grupo de usurios. Os clientes ret
m o controle e a propriedade
de seus dados; portanto, sua responsabilidade escolher
criptografar os dados. A AWS permite que os clientes usem seus
prprios mecanismos de criptografia para quase todos os
servi
os, incluindo S3, EBS, SimpleDB e EC2. Os tneis IPSec
para a VPC tamb
m so criptografados. Al
m disso, os clientes
podem aproveitar o AWS Key Management Systems (KMS) para
criar e controlar chaves de criptografia (consulte

Risco e Compliance da Amazon Web Services

Grupo de controle

CID
AAC03.2

Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Planejamento de
Continuidade nos Negcios

Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Testes de Continuidade nos
Negcios

Pgina 31 de 95

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

Voc
s t
m capacidade para
recuperar logicamente
dados de um cliente
espec
fico no caso de uma
falha ou perda de dados?

https://aws.amazon.com/kms/). Consulte o Whitepaper de


Seguran
a na Nuvem AWS para obter detalhes adicionais consulte em http://aws.amazon.com/security.

AAC03.3

Voctem a capacidade de
restringir
o armazenamento de dados
do cliente a determinados
pa
ses ou localiza
es
geogrficas?

Os clientes da AWS podem designar em qual regio f


sica seu
contedo estarlocalizado. A AWS no movero contedo de
clientes das regies selecionadas sem notificar o cliente, exceto
se necessrio para cumprir a legisla
o ou atender a solicita
es
de entidades governamentais. Neste momento, existem onze
regies: Leste dos EUA (Norte da Virg
nia), Oeste dos EUA
(Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud
(EUA) (Oregon), UE (Irlanda), UE (Frankfurt), sia-Pac
fico
(Cingapura), sia-Pac
fico (Tquio), sia-Pac
fico (Sydney),
Regio da China (Pequim) e Am
rica do Sul (So Paulo).

AAC03.4

Voctem um programa
local que inclui
a capacidade de monitorar
mudan
as nos requisitos
regulamentares em
jurisdi
es relevantes,
ajustar o seu programa de
seguran
a para altera
es
em requisitos legais
e garantir a conformidade
com os requisitos
regulamentares relevantes?

A AWS monitora os requisitos legais e regulamentares


pertinentes.

BCR01.1

Voc
s fornecem a grupos
de usurios op
es de
hospedagem flex
veis
geograficamente?

BCR01.2

Voc
s fornecem a grupos
de usurios capacidade de
failover de servi
o de
infraestrutura para outros
provedores?

Os datacenters so constru
dos em clusters em vrias regies
globais. A AWS oferece aos clientes a flexibilidade de posicionar
instncias e armazenar dados em vrias regies geogrficas, bem
como em vrias zonas de disponibilidade dentro de cada regio.
Os clientes devem projetar seu uso da AWS para tirar proveito
de vrias regies e zonas de disponibilidade.

BCR02.1

Hplanos de continuidade
de negcios sujeitos
a testes em intervalos
planejados ou mediante
altera
es ambientais ou
organizacionais
significativas, a fim de
garantir a eficcia
cont
nua?

A AWS permite que os clientes fa


am seus backups em fitas
usando seu prprio provedor de servi
o de backup em fita. No
entanto, um backup em fita no um servi
o prestado pela
AWS. Os servi
os Amazon S3 e Glacier so projetados para
conduzir a probabilidade de perda de dados para perto de zero
por cento e a durabilidade equivalente das cpias multissite de
objetos de dados conseguida atrav
s de redundncia de
armazenamento de dados. Para obter informa
es sobre dados
de durabilidade e redundncia, consulte o website da AWS.

Consulte a norma ISO 27001 Anexo 18 para obter detalhes


adicionais. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

Consulte o whitepaper de viso geral de Seguran


a na Nuvem da
AWS para obter detalhes adicionais - consulte em
http://aws.amazon.com/security.
Os planos e pol
ticas de continuidade de negcios da AWS foram
desenvolvidos e testados em alinhamento com os padres ISO
27001.
Consulte o padro ISO 27001, anexo A, dom
nio 17 para obter
mais detalhes sobre a AWS e a continuidade de negcios.

Risco e Compliance da Amazon Web Services

Grupo de controle
Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Energia/Telecomunica
es

Gerenciamento de
Continuidade de Negcios
e Resili
ncia Operacional
Documenta
o

Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Riscos Ambientais

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

BCR03.1

Voc
s fornecem a grupos
de usurios documenta
o
mostrando a rota de
transporte de seus dados
entre seus sistemas?

BCR03.2

Grupos de usurios podem


definir como seus dados
so transportados e por
meio de quais jurisdi
es
legais?

BCR04.1

A documenta
o do
sistema de informa
es (p.
ex., guias do usurio
e administrador, diagramas
de arquitetura etc.)
disponibilizada para
a equipe autorizada, a fim
de garantir a configura
o,
a instala
o e a opera
o do
sistema de informa
es?

A documenta
o do sistema de informa
es disponibilizada
internamente para a equipe da AWS atrav
s do uso do site da
Intranet da Amazon. Consulte o Whitepaper de Seguran
a na
Nuvem AWS para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security/.

Hprote
o f
sica em
rela
o a danos (por
exemplo, desastres e causas
naturais e ataques
deliberados) previstos
e desenvolvidos com
contramedidas aplicadas?

Os datacenters da AWS incorporam prote


o f
sica contra riscos
ambientais. A prote
o f
sica da AWS em rela
o a riscos
ambientais foi validada por um auditor independente
e certificada como estando em alinhamento com as prticas
recomendadas do ISO 27002.

BCR05.1

Os clientes da AWS determinam a regio f


sica em que seus
dados e servidores estaro localizados. A AWS no mover
o contedo de clientes das regies selecionadas sem notificar
o cliente, exceto se necessrio para cumprir a legisla
o ou
atender a solicita
es de entidades governamentais. Para obter
mais detalhes, consulte o relatrio SOC da AWS. Os clientes
tamb
m podem escolher seu caminho de rede para instala
es
da AWS, incluindo em redes privadas e dedicadas, onde o cliente
controla o roteamento de trfego.

Consulte a ISO 27001, Ap


ndice A, dom
nio 12.

Consulte o padro ISO 27001, Anexo A, dom


nio 11.

Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Localiza
o de
Equipamento

BCR06.1

Algum de seus datacenters


estlocalizado em lugares
que tenham alta
probabilidade/ocorr
ncia
de riscos ambientais de alto
impacto (inunda
es,
tornados, terremotos,
furaces etc.)?

Os datacenters da AWS incorporam prote


o f
sica contra riscos
ambientais. A prote
o f
sica da AWS em rela
o a riscos
ambientais foi validada por um auditor independente
e certificada como estando em alinhamento com as prticas
recomendadas do ISO 27002. Consulte o padro ISO 27001,
Anexo A, dom
nio 11.

Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Manuten
o de
Equipamento

BCR07.1

Se estiver usando
a infraestrutura virtual, sua
solu
o em nuvem inclui
capacidades de recupera
o
e restaura
o
independentes de
hardware?

A funcionalidade de snapshot do EBS permite que os clientes


capturem e restaurem a qualquer momento imagens de mquina
virtual. Os clientes podem exportar suas AMIs e us-las
localmente ou em outro provedor (sujeito a restri
es de
licenciamento de software). Consulte o Whitepaper de
Seguran
a na Nuvem AWS para obter detalhes adicionais,
dispon
vel em http://aws.amazon.com/security.

BCR07.2

Se estiver usando
infraestrutura virtual, voc
s
fornecem a grupos de
usurios a capacidade de
restaurar uma mquina
virtual em um estado
anterior espec
fico no
tempo?

Pgina 32 de 95

Risco e Compliance da Amazon Web Services

Grupo de controle

Gerenciamento de
continuidade de
negcios e resilincia
operacional
Falhas de alimenta
o do
equipamento

CID

Perguntas de avaliao
do consenso

BCR07.3

Se estiver usando
infraestrutura virtual, voc
s
permitem que imagens de
mquina virtual sejam
baixadas e postadas em um
novo provedor de nuvem?

BCR07.4

Se estiver usando
infraestrutura virtual,
imagens de mquina so
disponibilizadas para
o cliente, de forma que
permita que ele replique
essas imagens em seu
prprio local de
armazenamento fora do
local?

BCR07.5

Sua solu
o de nuvem
inclui recursos de
recupera
o e restaura
o
independentes de
provedor/software?

BCR08.1

Hredundncias
e mecanismos de seguran
a
implementados para
proteger equipamentos de
interrup
es de servi
os
pblicos (por exemplo,
quedas de energia,
interrup
es de rede, etc.)?

Dezembro de 2015

Resposta da AWS

O equipamento da AWS protegido contra interrup


es de
servi
os pblicos de acordo com a norma ISO 27001. A AWS foi
validada e certificada por um auditor independente para
confirmar a conformidade com o padro de certifica
o ISO
27001.
Os relatrios SOC da AWS fornecem mais detalhes sobre
controles em vigor para minimizar o efeito de uma falha ou um
desastre f
sico no computador e nas instala
es de datacenter.
Al
m disso, consulte o Whitepaper de Seguran
a na Nuvem da
AWS, dispon
vel em http://aws.amazon.com/security.

Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Anlise de Impacto

Pgina 33 de 95

BCR09.1

Voc
s fornecem a grupos
de usurios relatrios
e visibilidade cont
nua do
desempenho de seu acordo
de n
vel de servi
o
operacional?

BCR09.2

Hm
tricas de seguran
a
da informa
o com base
em padres (CSA, CAMM
etc.) dispon
veis para seus
grupos de usurios?

BCR09.3

Voc
s fornecem aos
clientes relatrios
e visibilidade cont
nua do
desempenho de seu acordo
de n
vel de servi
o
operacional?

O AWS CloudWatch oferece monitoramento de recursos em nuvem


da AWS e de aplicativos que clientes executam na AWS. Para obter
detalhes adicionais, consulte aws.amazon.com/cloudwatch. A AWS
tamb
m publica nossas informa
es mais recentes sobre
disponibilidade de servi
o no Painel de Status dos Servi
os.
Consulte status.aws.amazon.com.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Pol
tica

BCR10.1

Gerenciamento de
Continuidade de
Negcios e Resilincia
Operacional
Pol
tica de Reten
o

Controle de Alteraes
e Gerenciamento de
Configurao
Novo
Desenvolvimento/Aquisi
o

Resposta da AWS

Hpol
ticas
e procedimentos
estabelecidos
e disponibilizados para
toda a equipe, a fim de
oferecer adequadamente
suporte s fun
es de
opera
es de servi
os?

Foram estabelecidos procedimentos e pol


ticas pela estrutura de
seguran
a da AWS, com base nas normas NIST 800-53, ISO 27001,
ISO 27017, ISO 27018, ISO 9001 e nos requisitos de PCI DSS.

BCR11.1

Voc
s t
m recursos de
controle t
cnico para
aplicar pol
ticas de
reten
o de dados de grupo
de usurios?

BCR11.2

Voc
s t
m um
procedimento
documentado para
responder a solicita
es de
dados de grupos de
usurios de governos ou
terceiros?

A AWS fornece aos clientes a capacidade de excluir seus dados.


No entanto, os clientes da AWS ret
m controle e propriedade de
seus dados; portanto, de responsabilidade do cliente gerenciar
a reten
o de dados de acordo com seus prprios requisitos.
Consulte o Whitepaper de Seguran
a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.

BCR11.4

Voc
s implementaram
mecanismos de backup ou
redundncia para garantir
a conformidade com
requisitos normativos,
estatutrios, contratuais ou
comerciais?

BCR11.5

Voc
s testam seus
mecanismos de backup ou
redundncia pelo menos
uma vez por ano?

CCC01.1

Hpol
ticas
e procedimentos
estabelecidos para
autoriza
o de
gerenciamento para
desenvolvimento ou
aquisi
o de novas
aplica
es, sistemas,
bancos de dados,
infraestrutura, servi
os,
opera
es e instala
es?

CCC01.2

Pgina 34 de 95

Perguntas de avaliao
do consenso

Dezembro de 2015

Existe alguma
documenta
o dispon
vel
que descreva a instala
o,
a configura
o e o uso de
produtos/servi
os/recursos?

Consulte o Whitepaper de Conformidade e Avalia


o de Riscos
da AWS para obter mais detalhes, dispon
vel em
http://aws.amazon.com/compliance.

A AWS no mede esfor


os para proteger a privacidade de seus
clientes e se mant
m atenta ao determinar as solicita
es legais
com as quais deve estar em conformidade. A AWS no hesita em
desafiar ordens legais se acreditar que elas sejam infundadas ou
no possuam embasamento slido. Para obter informa
es
adicionais, consulte https://aws.amazon.com/compliance/dataprivacy-faq/.
Os mecanismos de backup e redundncia da AWS foram
desenvolvidos e testados de acordo com as normas ISO 27001.
Consulte a norma ISO 27001, anexo A, dom
nio 12 e o relatrio
SOC 2, da AWS, para obter informa
es adicionais sobre os
mecanismos de backup e redundncia da AWS.

Foram estabelecidos procedimentos e pol


ticas pela estrutura de
seguran
a da AWS, com base nas normas NIST 800-53, ISO 27001,
ISO 27017, ISO 27018, ISO 9001 e nos requisitos de PCI DSS.
Independentemente de o cliente ser novo na AWS ou um usurio
avan
ado, informa
es teis sobre os servi
os, desde apresenta
es
a recursos avan
ados, esto dispon
veis na se
o Documenta
o
da AWS do nosso site em
https://aws.amazon.com/documentation/.

Risco e Compliance da Amazon Web Services

Grupo de controle
Controle de Alteraes
e Gerenciamento de
Configurao
Desenvolvimento
Terceirizado

Controle de alteraes
e gerenciamento de
configura
o
Testes de qualidade

CID
CCC02.1

Voc
s t
m controles
vigentes para garantir que
padres de qualidade
estejam sendo atendidos
para todo
o desenvolvimento de
software?

CCC02.2

Hcontroles vigentes para


detectar defeitos de
seguran
a de cdigo-fonte
para quaisquer atividades
de desenvolvimento de
software terceirizadas?

CCC03.1

Voc
s fornecem a seus
grupos de usurios
documenta
o que
descreve seu processo de
garantia de qualidade?

CCC03.2

Existe alguma
documenta
o dispon
vel
que descreva problemas
conhecidos com alguns
produtos/servi
os?

CCC03.3

CCC03.4

Controle de alteraes
e gerenciamento de
configurao
Instala
es de software no
autorizadas

CCC04.1

Controle de Alteraes
e Gerenciamento de
Configurao
Altera
es de Produ
o

CCC05.1

Pgina 35 de 95

Perguntas de avaliao
do consenso

Existem pol
ticas
e procedimentos em vigor
para analisar e corrigir
bugs e vulnerabilidades de
seguran
a relatados para
produtos e servi
os?
Existem mecanismos em
vigor para garantir que
todos os elementos de
depura
o e cdigo de teste
sejam removidos das
verses de software
lan
adas?

Dezembro de 2015

Resposta da AWS
A AWS geralmente no terceiriza o desenvolvimento de
software. A AWS incorpora padres de qualidade como parte
dos processos de SDLC (ciclo de vida de desenvolvimento do
sistema).
Consulte o padro ISO 27001, Anexo A, dom
nio 12 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

A AWS mant
m uma certifica
o ISO 9001. Trata-se de uma
valida
o independente do sistema de qualidade da AWS que
determina se as atividades da AWS esto em conformidade com
os requisitos do ISO 9001.
Os boletins de seguran
a da AWS notificam os clientes sobre
eventos de seguran
a e privacidade. Os clientes podem se
inscrever no feed RSS do boletim de seguran
a da AWS no nosso
site. Consulte aws.amazon.com/security/security-bulletins/.
A AWS tamb
m publica nossas informa
es mais recentes sobre
disponibilidade de servi
o no Painel de Status dos Servi
os.
Consulte status.aws.amazon.com.
O ciclo de vida de desenvolvimento de sistema da AWS (SDLC)
incorpora as melhores prticas do setor, que incluem revises
formais de design pela equipe de seguran
a da AWS, modelagem
de amea
as e concluso de uma avalia
o de risco. Consulte
a viso geral de processos de seguran
a da AWS para obter mais
detalhes.
Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio
14 para obter mais detalhes. A AWS foi validada e certificada por
um auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.

Hcontroles vigentes para


restringir e monitorar
a instala
o de software
no autorizado em seus
sistemas?

Os procedimentos, processos e programa da AWS para gerenciar


software mal-intencionado esto em alinhamento com os
padres ISO 27001.

Voc
s fornecem a grupos
de usurios documenta
o
que descreve seus
procedimentos de
gerenciamento de
altera
es em produ
o,
bem como suas
fun
es/direitos/
responsabilidades?

Os relatrios SOC da AWS fornecem uma viso geral dos


controles vigentes para gerenciar altera
es no ambiente
da AWS.

Consulte o padro ISO 27001, Anexo A, dom


nio 12 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio
14 para obter mais detalhes. A AWS foi validada e certificada por
um auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.

Risco e Compliance da Amazon Web Services

Grupo de controle
Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Classifica
o

Pgina 36 de 95

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

DSI01.1

Voc
s fornecem algum
recurso para identificar
mquinas virtuais por meio
de tags/metadados de
pol
tica (por exemplo, tags
podem ser usadas para
limitar sistemas
operacionais convidados de
inicializar/instanciar/
transportar dados no pa
s
errado)?

As mquinas virtuais so designadas a clientes como parte do


servi
o EC2. Os clientes ret
m o controle sobre quais recursos
esto sendo usados e onde eles residem. Consulte o site da AWS
para obter detalhes adicionais http://aws.amazon.com.

DSI01.2

Voc
s fornecem recursos
para identificar hardware
via tags/metadados/tags de
hardware de pol
tica (por
exemplo, TXT/TPM, VNTag etc.)?

A AWS fornece a capacidade para utilizar tags em recursos do


EC2. As tags do EC2, uma forma de metadados, podem ser
usadas para criar nomes acess
veis, aprimorar o recurso de
pesquisa e melhorar a coordena
o entre vrios usurios.
O Console de Gerenciamento da AWS tamb
m oferece suporte
ao uso de tags.

DSI01.3

Voc
s t
m recursos para
usar localiza
o geogrfica
de sistema como um fator
de autentica
o?

A AWS fornece a capacidade de acesso de usurio condicional


com base em endere
o IP. Os clientes podem acrescentar
condi
es para controlar como os usurios podem utilizar
a AWS, como o horrio do dia, seu endere
o IP originrio e se
eles esto usando SSL.

DSI01.4

Voc
s podem fornecer
a localiza
o
f
sica/geografia de
armazenamento de dados
de um grupo de usurios
mediante solicita
o?

DSI01.5

Voc
s podem fornecer
a localiza
o
f
sica/geografia de
armazenamento de dados
de um grupo de usurios
com anteced
ncia?

A AWS oferece aos clientes a flexibilidade de alocar instncias


e armazenar dados em vrias regies geogrficas. Os clientes da
AWS determinam a regio f
sica em que seus dados e servidores
estaro localizados. A AWS no movero contedo de clientes
das regies selecionadas sem notificar o cliente, exceto se
necessrio para cumprir a legisla
o ou atender a solicita
es
de entidades governamentais. Neste momento, existem onze
regies: Leste dos EUA (Norte da Virg
nia), Oeste dos EUA
(Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud
(EUA) (Oregon), UE (Irlanda), UE (Frankfurt), sia-Pac
fico
(Cingapura), sia-Pac
fico (Tquio), sia-Pac
fico (Sydney),
Regio da China (Pequim) e Am
rica do Sul (So Paulo).

DSI01.6

Voc
s seguem algum
padro de identifica
o de
dados estruturados (por
exemplo, ISO 15489, Oasis
XML Catalog Specification,
diretriz de tipo de
dados CSA)?

Os clientes da AWS ret


m o controle e a propriedade de seus
dados e podem implementar um padro estruturado de rtulos
de dados para atender s suas exig
ncias.

DSI01.7

Voc
s permitem que
grupos de usurios definam
locais geogrficos aceitveis
para roteamento de dados
ou instancia
o de
recursos?

A AWS oferece aos clientes a flexibilidade de alocar instncias


e armazenar dados em vrias regies geogrficas. Os clientes da
AWS determinam a regio f
sica em que seus dados e servidores
estaro localizados. A AWS no movero contedo de clientes
das regies selecionadas sem notificar o cliente, exceto se
necessrio para cumprir a legisla
o ou atender a solicita
es
de entidades governamentais. Neste momento, existem onze
regies: Leste dos EUA (Norte da Virg
nia), Oeste dos EUA
(Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud
(EUA) (Oregon), UE (Irlanda), UE (Frankfurt), sia-Pac
fico
(Cingapura), sia-Pac
fico (Tquio), sia-Pac
fico (Sydney),
Regio da China (Pequim) e Am
rica do Sul (So Paulo).

Risco e Compliance da Amazon Web Services

Perguntas de avaliao
do consenso

Grupo de controle

CID

Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Inventrio/Fluxos de Dados

DSI02.1

Voc
s armazenam,
documentam e mant
m
fluxos de dados que
residem (permanente ou
temporariamente) nos
aplicativos de servi
os
e nos sistemas e redes de
infraestrutura?

DSI02.2

Voc
s podem garantir que
os dados no sero
migrados al
m de uma
fronteira geogrfica
definida?

DSI03.1

Voc
s fornecem
metodologias de
criptografia aberta (3.4ES,
AES, etc.) para grupos de
usurios a fim de solicitar
que eles protejam seus
dados se for necessrio
trafegar por redes pblicas
(por exemplo, a Internet)?

DSI03.2

Voc
s utilizam
metodologias de
criptografia aberta sempre
que seus componentes de
infraestrutura precisam se
comunicar utilizando redes
pblicas (por exemplo,
replica
o de dados via
Internet de um ambiente
para outro)?

DSI04.1

Hpol
ticas
e procedimentos
estabelecidos para
rotulamento, identifica
o
e seguran
a de dados
e objetos que cont
m
dados?

DSI04.2

Hmecanismos de heran
a
de rtulo implementados
para objetos que atuam
como recipientes agregados
para dados?

DSI05.1

Voc
s t
m procedimentos
vigentes para garantir que
os dados de produ
o no
sero replicados ou usados
em ambientes no relativos
produ
o?

Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Transa
es de Com
rcio
Eletrnico

Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Pol
tica de
Manipula
o/Identifica
o/
Seguran
a

Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Dados No de Produ
o

Pgina 37 de 95

Dezembro de 2015

Resposta da AWS
Os clientes da AWS podem designar em qual regio f
sica seu
contedo estarlocalizado. A AWS no movero contedo de
clientes das regies selecionadas sem notificar o cliente, exceto
se necessrio para cumprir a legisla
o ou atender a solicita
es
de entidades governamentais. Neste momento, existem onze
regies: Leste dos EUA (Norte da Virg
nia), Oeste dos EUA
(Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud
(EUA) (Oregon), UE (Irlanda), UE (Frankfurt), sia-Pac
fico
(Cingapura), sia-Pac
fico (Tquio), sia-Pac
fico (Sydney),
Regio da China (Pequim) e Am
rica do Sul (So Paulo).

Todas as APIs da AWS esto dispon


veis atrav
s de endpoints
protegidos por SSH que fornecem autentica
o de servidor.
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS,
SimpleDB e EC2. Os tneis IPSec para a VPC tamb
m so
criptografados. Al
m disso, os clientes podem aproveitar o AWS
Key Management Systems (KMS) para criar e controlar chaves
de criptografia (consulte https://aws.amazon.com/kms/). Os
clientes tamb
m podem usar tecnologias de criptografia de
terceiros.
Consulte o Whitepaper de Seguran
a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.

Os clientes da AWS ret


m controle e propriedade de seus dados
e podem implementar procedimentos e pol
ticas de identifica
o
e rotulagem, a fim de atender s suas exig
ncias.

Os clientes da AWS mant


m o controle e a propriedade sobre os
seus prprios dados. A AWS fornece aos clientes a capacidade de
manter e desenvolver ambientes de produ
o e no relativos
produ
o. de responsabilidade do cliente garantir que seus
dados de produ
o no sejam replicados para ambientes que no
sejam de produ
o.

Risco e Compliance da Amazon Web Services

Perguntas de avaliao
do consenso

Dezembro de 2015

Grupo de controle

CID

Resposta da AWS

Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Propriedade/Administra
o

DSI06.1

As responsabilidades
relacionadas
administra
o de dados
so definidas, atribu
das,
documentadas
e transmitidas?

Os clientes da AWS mant


m o controle e a propriedade sobre os
seus prprios dados. Consulte o Contrato do Cliente da AWS
para obter mais informa
es.

Segurana de Dados
e Gerenciamento do
Ciclo de Vida de
Informaes
Descarte Seguro

DSI07.1

Voc
s oferecem suporte
excluso segura (por
exemplo, limpeza
criptogrfica/inutiliza
o)
de dados arquivados e com
backup como determinado
pelo grupo de usurios?

DSI07.2

Voc
s podem fornecer um
procedimento publicado
para sa
da da disposi
o do
servi
o, incluindo garantia
de tratamento de todos os
recursos de computa
o de
dados do grupo de usurios
assim que o cliente tiver
sa
do de seu ambiente ou
tiver liberado um recurso?

Quando um dispositivo de armazenamento tiver atingido o final


da sua vida til, os procedimentos da AWS incluiro um
processo de desativa
o que projetado para impedir que os
dados do cliente sejam expostos a pessoas no autorizadas.
A AWS usa as t
cnicas detalhadas no DoD 5220.22-M (Manual
operacional do programa de segurana industrial nacional) ou
NIST 800-88 (Orientaes para o tratamento de mdia) para
destruir dados como parte do processo de desativa
o. Se um
dispositivo de hardware for incapaz de ser desativado usando
esses procedimentos, o dispositivo serinutilizado ou
fisicamente destru
do em conformidade com as prticas padro
do setor. Consulte o Whitepaper de Seguran
a na Nuvem AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.
Os volumes do Amazon EBS so apresentados como dispositivos
de blocos no formatados brutos, que foram limpos antes
de serem disponibilizados para uso. A limpeza ocorre
imediatamente antes da reutiliza
o. Assim, vocpode ter
certeza de que o processo de limpeza foi conclu
do. Se voctiver
procedimentos que exigem que todos os dados sejam eliminados
atrav
s de um m
todo espec
fico, como os detalhados no DoD
5220.22-M ("Manual de opera
o do programa nacional de
seguran
a industrial") ou NIST 800-88 ("Orienta
es para
o tratamento de m
dia"), poderfaz
-lo no Amazon EBS. Voc
deve realizar um procedimento especializado de limpeza antes
de excluir o volume para a conformidade com as normas
estabelecidas.
A criptografia de dados confidenciais geralmente uma boa
prtica de seguran
a. A AWS permite a criptografia de volumes
do EBS e de seus snapshots com AES-256. A criptografia ocorre
nos servidores que hospedam as instncias do EC2,
processando-se durante o trnsito dos dados entre as instncias
do EC2 e o armazenamento no EBS. Para poder fazer isso com
efici
ncia e baixa lat
ncia, o recurso de criptografia do EBS s
estdispon
vel nos tipos mais potentes de instncias do EC2
(ex.: M3, C3, R3 e G2).

Segurana do
Datacenter
Gerenciamento de Ativos

Pgina 38 de 95

DCS01.1

Voc
s mant
m um
inventrio completo de
todos os seus ativos
cr
ticos, que inclui
propriedade do ativo?

DCS01.2

Voc
s mant
m um
inventrio completo de
todas as suas rela
es com
fornecedores essenciais?

Em alinhamento com os padres do ISO 27001, os ativos de


hardware da AWS so atribu
dos a um proprietrio, controlados
e monitorados pela equipe da AWS, com ferramentas de
gerenciamento de inventrio de propriedade da AWS. A equipe
da cadeia de suprimentos e aquisi
o da AWS mant
m rela
es
com todos os fornecedores da AWS.
Consulte o padro ISO 27001, Anexo A, dom
nio 8 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

Segurana do
Datacenter
Pontos de Acesso
Controlado

DCS02.1

Hper
metros de
seguran
a f
sica (por
exemplo, cercas, muros,
barreiras, vigias, portes,
vigilncia eletrnica,
mecanismos de
autentica
o f
sica, locais
de recep
o e portas de
seguran
a)
implementados?

Os controles de seguran
a f
sica incluem, mas no de forma
exclusiva, controles de per
metro como cerca, muros, equipe
de seguran
a, vigilncia com v
deo, sistemas de detec
o de
intruso e outros meios eletrnicos. Os relatrios SOC da AWS
fornecem mais detalhes sobre atividades espec
ficas de controle
executadas pela AWS. Consulte o padro ISO 27001, Anexo A,
dom
nio 11 para obter mais informa
es. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padro de certifica
o ISO 27001.

Segurana do
Datacenter
Identifica
o do
Equipamento

DCS03.1

A identifica
o de
equipamento automatizada
usada como um m
todo
para validar a integridade
de autentica
o da conexo
com base em local de
equipamento conhecido?

A AWS gerencia a identifica


o de equipamento em alinhamento
com o padro ISO 27001.

Segurana do
Datacenter
Autoriza
o Fora do Local

DCS04.1

Voc
s fornecem a grupos
de usurios documenta
o
que descreva cenrios em
que os dados podem ser
movidos de um local f
sico
para outro (por exemplo,
replica
o, failovers de
continuidade de negcios,
backups fora do local)?

Os clientes da AWS podem designar em qual regio f


sica seus
dados estaro localizados. A AWS no movero contedo de
clientes das regies selecionadas sem notificar o cliente, exceto
se necessrio para cumprir a legisla
o ou atender a solicita
es
de entidades governamentais.

Voc
s fornecem aos grupos
de clientes evid
ncias que
documentam suas pol
ticas
e procedimentos regendo
gerenciamento de ativos
e realoca
o de
equipamento?

Em alinhamento com os padres do ISO 27001, quando um


dispositivo de armazenamento atingiu o final da sua vida til, os
procedimentos da AWS incluem um processo de desativa
o que
projetado para impedir que os dados do cliente sejam expostos
a pessoas no autorizadas. A AWS usa as t
cnicas detalhadas no
DoD 5220.22-M (Manual operacional do programa de
segurana industrial nacional) ou NIST 800-88 (Orientaes
para o tratamento de mdia) para destruir dados como parte do
processo de desativa
o. Se um dispositivo de hardware for
incapaz de ser desativado usando esses procedimentos,
o dispositivo serinutilizado ou fisicamente destru
do em
conformidade com as prticas padro do setor.

Segurana do
Datacenter
Equipamento Fora do Local

DCS05.1

A AWS foi validada e certificada por um auditor independente


para confirmar o alinhamento com o padro de certifica
o
ISO 27001.

Consulte o Whitepaper de Seguran


a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.

Consulte o padro ISO 27001, Anexo A, dom


nio 8 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.
Segurana do
Datacenter
Pol
tica

Pgina 39 de 95

DCS06.1

Voc
s podem fornecer
evid
ncias de que foram
estabelecidos
procedimentos, padres
e pol
ticas para manter um
ambiente de trabalho
seguro e protegido em
escritrios, salas,
instala
es e reas seguras?

A AWS contrata rgos externos de certifica


o e auditores
independentes para analisar e validar nossa conformidade com
estruturas de conformidade. Os relatrios SOC da AWS
fornecem detalhes adicionais sobre atividades espec
ficas de
controle de seguran
a f
sica executadas pela AWS. Consulte
o padro ISO 27001, Anexo A, dom
nio 11 para obter mais
detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID
DCS06.2

Perguntas de avaliao
do consenso
Voc
s fornecem evid
ncias
de que sua equipe
e terceiros envolvidos
foram treinados nos
procedimentos, padres
e pol
ticas documentados?

Dezembro de 2015

Resposta da AWS
Em alinhamento com o padro ISO 27001, todos os funcionrios
da AWS realizam treinamento peridico em seguran
a da
informa
o, o qual requer uma confirma
o para sua concluso.
As auditorias de conformidade so realizadas periodicamente
para validar que os funcionrios entendem e seguem as pol
ticas
estabelecidas. Consulte o Whitepaper de Seguran
a na Nuvem
AWS para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.
A AWS foi validada e certificada por um auditor independente
para confirmar o alinhamento com a certifica
o ISO 27001.
Al
m disso, os relatrios SOC 1 e SOC 2 da AWS fornecem
informa
es adicionais.

Segurana do
Datacenter
Autoriza
o de rea Segura

DCS07.1

Voc
s permitem que
grupos de usurios
especifiquem em quais de
seus locais geogrficos seus
dados t
m permisso para
entrar/sair (para atender
a considera
es
jurisdicionais legais com
base em onde os dados so
armazenados versus
acessados)?

Os clientes da AWS designam em qual regio f


sica seus dados
estaro localizados. A AWS no movero contedo de clientes
das regies selecionadas sem notificar o cliente, exceto se
necessrio para cumprir a legisla
o ou atender a solicita
es
de entidades governamentais. Neste momento, existem onze
regies: Leste dos EUA (Norte da Virg
nia), Oeste dos EUA
(Oregon), Oeste dos EUA (Norte da Califrnia), AWS GovCloud
(EUA) (Oregon), UE (Irlanda), UE (Frankfurt), sia-Pac
fico
(Cingapura), sia-Pac
fico (Tquio), sia-Pac
fico (Sydney),
Regio da China (Pequim) e Am
rica do Sul (So Paulo).

Segurana do
Datacenter
Entrada de Pessoas No
Autorizadas

DCS08.1

Hpontos de entrada
e sa
da, como reas de
servi
o e outros pontos em
que pessoal no autorizado
pode entrar em locais
monitorados, controlados
e isolados de processo
e armazenamento de
dados?

Segurana do
Datacenter
Acesso do Usurio

DCS09.1

Voc
s restringem o acesso
f
sico de usurios e da
equipe de suporte a ativos
de informa
o e fun
es?

O acesso f
sico estritamente controlado no per
metro e nos
pontos de ingresso dos pr
dios pelos funcionrios de seguran
a
profissional utilizando a vigilncia por v
deo, sistemas de
detec
o de intruso e outros meios eletrnicos. O pessoal
autorizado deve passar pelo menos duas vezes por uma
autentica
o de dois fatores para ter acesso aos andares do
datacenter. Os pontos de acesso f
sico aos locais de servidores
so registrados por um circuito fechado de TV (CCTV), conforme
definido na pol
tica de seguran
a f
sica de datacenters da AWS.

Criptografia
e Gerenciamento de
Chave
Qualifica
o

EKM01.1

Voc
s t
m pol
ticas de
gerenciamento de chave
que associam chaves
a proprietrios
identificveis?

Os mecanismos de seguran
a f
sica da AWS so revisados por
auditores externos independentes durante as nossas auditorias
de conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. As sesses da VPC tamb
m so criptografadas. Al
m
disso, os clientes podem aproveitar o AWS Key Management
Systems (KMS) para criar e controlar chaves de criptografia
(consulte https://aws.amazon.com/kms/).
Internamente, a AWS estabelece e gerencia chaves criptogrficas
para a criptografia necessria empregada na infraestrutura da
AWS. Um gerenciador de credenciais e chaves de seguran
a
desenvolvido pela AWS usado para criar, proteger e distribuir
chaves sim
tricas, al
m de proteger e distribuir: credenciais da
AWS necessrias em hosts, chaves pblicas/privadas de RSA
e Certifica
es X.509.
Os processos criptogrficos da AWS so revisados por auditores
terceirizados independentes, como parte da conformidade
cont
nua com o SOC, PCI DSS, ISO 27001 e FedRAMP.

Pgina 40 de 95

Risco e Compliance da Amazon Web Services

Grupo de controle
Criptografia
e Gerenciamento de
Chave
Gera
o de Chave

Criptografia
e gerenciamento de
chave
Criptografia

Pgina 41 de 95

CID

Perguntas de avaliao
do consenso

EKM02.1

Voc
s t
m recursos para
permitir a cria
o de
chaves de criptografia
exclusivas por grupo de
usurios?

EKM02.2

Voc
s t
m recursos para
gerenciar chaves de
criptografia em nome de
grupos de usurios?

EKM02.3

Voc
s mant
m
procedimentos de
gerenciamento de chaves?

EKM02.4

Voc
s t
m propriedade
documentada para cada
estgio do ciclo de vida de
chaves de criptografia?

EKM02.5

Voc
s utilizam alguma
estrutura de terceiros/de
cdigo aberto/prpria para
gerenciar chaves de
criptografia?

EKM03.1

Voc
s criptografam dados
de grupos de clientes em
repouso (em
disco/armazenamento) em
seu ambiente?

EKM03.2

Voc
s utilizam criptografia
para proteger imagens de
mquina virtual e dados
durante o transporte em
e entre instncias de
hypervisor e redes?

EKM03.3

Voc
s oferecem suporte
a chaves de criptografia
geradas por grupo de
usurios ou permitem que
esses grupos criptografem
dados em uma identidade,
sem acesso a um certificado
de chave pblica (por
exemplo, criptografia com
base em identidade)?

EKM03.4

Voc
s t
m alguma
documenta
o que
estabelece e define
procedimentos, diretrizes
e pol
ticas de
gerenciamento de
criptografia?

Dezembro de 2015

Resposta da AWS
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. Os tneis IPSec para a VPC tamb
m so criptografados.
Al
m disso, os clientes podem aproveitar o AWS Key
Management Systems (KMS) para criar e controlar chaves de
criptografia (consulte https://aws.amazon.com/kms/). Consulte
os relatrios SOC da AWS para obter mais detalhes sobre o KMS.
Al
m disso, consulte o Whitepaper de Seguran
a na Nuvem AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.
Internamente, a AWS estabelece e gerencia chaves criptogrficas
para a criptografia necessria empregada na infraestrutura da
AWS. A AWS produz, controla e distribui chaves criptogrficas
sim
tricas usando tecnologias e processos de gerenciamento de
chaves comprovados no sistema de informa
es da AWS. Um
gerenciador de credenciais e chaves de seguran
a desenvolvido
pela AWS usado para criar, proteger e distribuir chaves
sim
tricas, al
m de proteger e distribuir: credenciais da AWS
necessrias em hosts, chaves pblicas/privadas de RSA
e Certifica
es X.509.
Os processos criptogrficos da AWS so revisados por auditores
terceirizados independentes, como parte da conformidade
cont
nua com o SOC, PCI DSS, ISO 27001 e FedRAMP.
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. Os tneis IPSec para a VPC tamb
m so criptografados.
Al
m disso, os clientes podem aproveitar o AWS Key
Management Systems (KMS) para criar e controlar chaves de
criptografia (consulte https://aws.amazon.com/kms/). Consulte
os relatrios SOC da AWS para obter mais detalhes sobre o KMS.
Al
m disso, consulte o Whitepaper de Seguran
a na Nuvem AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.

Risco e Compliance da Amazon Web Services

Grupo de controle
Criptografia
e Gerenciamento de
Chave
Armazenamento e Acesso

Governana
e Gerenciamento de
Risco
Requisitos Bsicos

Governana
e Gerenciamento de
Risco
Avalia
es de Risco

Pgina 42 de 95

CID

Perguntas de avaliao
do consenso

EKM04.1

Voc
s t
m plataforma
e criptografia de dados
apropriada que usa
formatos abertos/validados
e algoritmos padro?

EKM04.2

Suas chaves de criptografia


so mantidas pelo cliente
da nuvem ou por um
fornecedor confivel de
gerenciamento de chave?

EKM04.3

Voc
s armazenam chaves
de criptografia na nuvem?

EKM04.4

Voc
s t
m fun
es
separadas de
gerenciamento e uso de
chave?

GRM01.1

Voc
s t
m linhas de base de
seguran
a da informa
o
documentadas para cada
componente de sua
infraestrutura (por
exemplo, hypervisor,
sistemas operacionais,
roteadores, servidores
DNS etc.)?

GRM01.2

Voc
s t
m um recurso para
monitorar continuamente
e reportar a conformidade
de sua infraestrutura em
rela
o s suas linhas de
base de seguran
a da
informa
o?

GRM01.3

Voc
s permitem que
clientes forne
am sua
prpria imagem de
mquina virtual confivel,
a fim de garantir
a conformidade com seus
prprios padres internos?

GRM02.1

Voc
s fornecem dados de
sade de controle de
seguran
a, a fim de
permitir que grupos de
usurios implementem
monitoramento cont
nuo
padro do setor (que
permite a valida
o
cont
nua de grupos de
usurios de seu status de
controle f
sico e lgico)?

Dezembro de 2015

Resposta da AWS
A AWS permite que os clientes usem seus prprios mecanismos
de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. Al
m disso, os clientes podem aproveitar o AWS Key
Management Systems (KMS) para criar e controlar chaves de
criptografia (consulte https://aws.amazon.com/kms/). Consulte
os relatrios SOC da AWS para obter mais detalhes sobre o KMS.
A AWS estabelece e gerencia chaves criptogrficas para
a criptografia necessria empregada na infraestrutura da AWS.
A AWS produz, controla e distribui chaves criptogrficas
sim
tricas usando tecnologias e processos de gerenciamento de
chaves comprovados no sistema de informa
es da AWS. Um
gerenciador de credenciais e chaves de seguran
a desenvolvido
pela AWS usado para criar, proteger e distribuir chaves
sim
tricas, al
m de proteger e distribuir: credenciais da AWS
necessrias em hosts, chaves pblicas/privadas de RSA
e Certifica
es X.509.
Os processos criptogrficos da AWS so revisados por auditores
terceirizados independentes, como parte da conformidade
cont
nua com o SOC, PCI DSS, ISO 27001 e FedRAMP.
Em alinhamento com os padres ISO 27001, a AWS mant
m
linhas de base de sistema para componentes essenciais. Consulte
o padro ISO 27001, Anexo A, dom
nios 14 e 18 para obter mais
detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.
Os clientes podem fornecer sua prpria imagem de mquina
virtual. O VM Import permite que os clientes importem
facilmente imagens de mquina virtual do ambiente existente
para instncias do Amazon EC2.

A AWS publica relatrios de auditores independentes


e certifica
es para fornecer aos clientes informa
es
considerveis em rela
o s pol
ticas, aos processos e aos
controles estabelecidos e operados pela AWS. Os relatrios
e certifica
es relevantes podem ser fornecidos a clientes da
AWS. O monitoramento cont
nuo de controles lgicos pode ser
executado por clientes em seus prprios sistemas.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

GRM02.2

Voc
s realizam avalia
es
de risco associadas aos
requisitos de governan
a
de dados pelo menos uma
vez por ano?

Em alinhamento com a norma ISO 27001, a AWS mant


m um
programa de gerenciamento de riscos para minimizar
e gerenciar riscos. Al
m disso, a AWS mant
m uma certifica
o
AWS ISO 27018. A conformidade com o ISO 27018 demonstra
para os clientes que a AWS tem um sistema de controles em
vigor que aborda especificamente a prote
o de privacidade do
contedo. Para obter mais informa
es, consulte as perguntas
frequentes sobre a conformidade da AWS com ISO 27018
http://aws.amazon.com/compliance/iso-27018-faqs/.

Governana
e Gerenciamento de
Risco
Superviso de
Gerenciamento

GRM03.1

Seus gerentes t
cnicos,
comerciais e executivos so
responsveis por manter
a familiariza
o
e o cumprimento de
pol
ticas, procedimentos
e padres de seguran
a
para si mesmos e seus
funcionrios, visto que
pertencem rea de
responsabilidade do
gerente e dos funcionrios?

O ambiente de controle na Amazon come


a no mais alto n
vel da
Empresa. As lideran
as executiva e s
nior desempenham um
papel importante no estabelecimento de valores fundamentais
e do objetivo da empresa. Cada funcionrio recebe o cdigo de
conduta e
tica nos negcios da empresa, al
m de realizar
treinamentos peridicos. As auditorias de conformidade so
realizadas para que os funcionrios entendam e sigam as
pol
ticas estabelecidas. Consulte o Whitepaper de Conformidade
e Avalia
o de Riscos da AWS para obter mais detalhes,
dispon
vel em http://aws.amazon.com/compliance.

Governana
e Gerenciamento de
Risco
Programa de
Gerenciamento

GRM04.1

Voc
s fornecem a grupos
de usurios documenta
o
descrevendo seu ISMP
(Information Security
Management Program,
Programa de
gerenciamento de
seguran
a da informa
o)?

GRM04.2

Voc
s analisam seu
programa de
gerenciamento de
seguran
a de informa
es
(ISMP) pelo menos uma
vez por ano?

A AWS fornece aos clientes nossa certifica


o ISO 27001.
A certifica
o ISO 27001 voltada especificamente para o AWS
ISMS e avalia como os processos internos da AWS seguem
o padro ISO. A certifica
o indica que um auditor independente
reconhecido por terceiros avaliou nossos processos e controles
e confirma que eles esto operando de acordo com o padro de
certifica
o ISO 27001. Para obter mais informa
es, consulte
o site de perguntas frequentes sobre a conformidade da AWS
com ISO 27001: http://aws.amazon.com/compliance/iso27001-faqs/.

Governan
a
e Gerenciamento de Risco
Suporte/Envolvimento de
Gerenciamento

GRM05.1

Voc
s garantem que seus
provedores seguem suas
pol
ticas de privacidade
e seguran
a da informa
o?

Governana
e Gerenciamento de
Risco
Pol
tica

GRM06.1

Suas pol
ticas de privacidade
e seguran
a da informa

o
est
o alinhadas a padres do
setor (ISO-27001,
ISO-22307, CoBIT etc.)?

GRM06.2

Voc
s t
m contratos que
garantem que seus
provedores seguem suas
pol
ticas de privacidade
e seguran
a da informa
o?

GRM06.3

Voc
s podem fornecer
evid
ncias de mapeamento
de auditoria detalhada de
seus controles, arquitetura
e processos para
regulamentos e/ou
padres?

Pgina 43 de 95

A AWS estabeleceu pol


ticas e uma estrutura de seguran
a da
informa
o que integraram com eficcia a estrutura certificvel
por ISO 27001, com base em controles do ISO 27002, nos
princ
pios de servi
os de confian
a do AICPA (American
Institute of Certified Public Accountants), na PCI DSS v3.1 e na
Publica
o 800-53 do NIST (National Institute of Standards and
Technology) sobre controles de seguran
a recomendados para
sistemas de informa
o federais.
A AWS gerencia rela
es de terceiros de acordo com os padres
ISO 27001.
Os requisitos de terceiros da AWS so revisados por auditores
externos independentes durante as nossas auditorias de
conformidade com PCI DSS, ISO 27001 e FedRAMP.
Informa
es sobre os programas de conformidade da AWS so
publicadas e disponibilizadas em nosso site em
http://aws.amazon.com/compliance/.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

GRM06.4

Voc
s divulgam com quais
controles, padres,
certifica
es e/ou normas
esto em conformidade?

GRM07.1

Huma pol
tica de san
o
ou disciplinar formal
estabelecida para
funcionrios que violaram
procedimentos e pol
ticas
de seguran
a?

GRM07.2

Os funcionrios esto
cientes de quais a
es
podem ser tomadas em
caso de viola
o de
pol
ticas e procedimentos?

Governana
e Gerenciamento de
Risco
Impactos de Altera
o de
Pol
tica/Negcios

GRM08.1

Os resultados de avalia
es
de riscos incluem
atualiza
es em controles,
padres, procedimentos
e pol
ticas de seguran
a,
a fim de garantir que
permane
am pertinentes
e eficazes?

As atualiza
es em controles, padres, procedimentos e pol
ticas
de seguran
a da AWS ocorrem anualmente em alinhamento com
o padro ISO 27001.

Governana
e Gerenciamento de
Risco
Anlises de Pol
tica

GRM09.1

Voc
s notificam seus
grupos de usurios quando
fazem altera
es materiais
em suas pol
ticas de
privacidade e/ou seguran
a
da informa
o?

Os Whitepapers sobre Seguran


a da Nuvem AWS e Risco
e Conformidade, dispon
veis em
http://aws.amazon.com/security
e http://aws.amazon.com/compliance, so atualizados
regularmente para refletir as modifica
es em pol
ticas da AWS.

GRM09.2

Voc
s realizam anlises no
m
nimo manuais nas
pol
ticas de privacidade
e seguran
a?

Os relatrios SOC da AWS fornecem detalhes relacionados


anlise da pol
tica de privacidade e seguran
a.

GRM10.1

Havalia
es formais de
risco alinhadas com
a estrutura abrangendo
toda a empresa
e realizadas, pelo menos,
anualmente ou em
intervalos planejados,
determinando
a probabilidade e o impacto
de todos os riscos
identificados, usando
m
todos qualitativos
e quantitativos?

Em alinhamento com o ISO 27001, a AWS desenvolveu um


programa de gerenciamento de riscos para minimizar
e gerenciar riscos.

Governana
e Gerenciamento de
Risco
Imposi
o de Pol
tica

Governana
e Gerenciamento de
Risco
Avalia
es

Pgina 44 de 95

A AWS fornece pol


ticas de seguran
a e treinamento em
seguran
a para funcionrios, a fim de instru
-los em sua fun
o
e responsabilidades relativas seguran
a da informa
o. Os
funcionrios que violarem protocolos ou padres da Amazon
sero investigados e submetidos a
o disciplinar apropriada
(p. ex., advert
ncia, plano de desempenho, suspenso e/ou
resciso).
Consulte o Whitepaper de Seguran
a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/security. Consulte o padr
o ISO 27001,
Anexo A, dom
nio 7 para obter mais detalhes. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padro de certifica
o ISO 27001.

Consulte o ISO 27001 para obter mais informa


es. A AWS foi
validada e certificada por um auditor independente para
confirmar o alinhamento com a certifica
o ISO 27001.

A AWS foi validada e certificada por um auditor independente


para confirmar o alinhamento com a certifica
o ISO 27001.
Consulte o Whitepaper de Conformidade e Avalia
o de Riscos
da AWS (dispon
vel em aws.amazon.com/pt/security) para obter
mais detalhes sobre a Estrutura de Gerenciamento de Riscos
da AWS.

Risco e Compliance da Amazon Web Services

Grupo de controle

Governana
e Gerenciamento de
Risco
Programa

CID

Perguntas de avaliao
do consenso

GRM10.2

Existe a probabilidade
e o impacto associados
a riscos residuais
e inerentes determinados
de forma independente,
considerando todas as
categorias de risco (p. ex.,
resultados de auditoria,
anlise de
vulnerabilidades/amea
as
e conformidade
normativa)?

GRM11.1

Voc
s t
m um programa
documentado em toda
a organiza
o em vigor
para gerenciar riscos?

GRM11.2

Voc
s disponibilizam
a documenta
o do
programa de
gerenciamento de risco
de toda a organiza
o?

Dezembro de 2015

Resposta da AWS

Em alinhamento com ISO 27001, a AWS mant


m um programa
de gerenciamento de riscos para minimizar e gerenciar riscos.
A ger
ncia da AWS tem um plano estrat
gico de negcios, que
inclui a identifica
o de riscos e a implementa
o de controles
para reduzir ou gerenciar riscos. A ger
ncia da AWS avalia
o plano estrat
gico de negcios pelo menos duas vezes por ano.
Esse processo requer que a equipe de gerenciamento identifique
riscos nas reas de responsabilidade e implemente medidas
apropriadas para eliminar esses riscos.
O programa de gerenciamento de risco da AWS analisado por
auditores externos independentes durante auditorias realizadas
para verificar a conformidade com PCI DSS, ISO 27001
e FedRAMP.

Recursos Humanos
Devolu
o de Bens

Recursos Humanos
Triagem de Histrico

Recursos Humanos
Contratos Trabalhistas

Pgina 45 de 95

HRS01.1

Hsistemas vigentes para


monitorar viola
es de
privacidade e notificar os
grupos de usurios
imediatamente se um
evento de privacidade
puder ter afetado seus
dados?

Os clientes da AWS t
m a responsabilidade por monitorar seu
prprio ambiente quanto a viola
es de privacidade.
Os relatrios SOC da AWS fornecem uma viso geral dos
controles vigentes para monitorar o ambiente gerenciado
da AWS.

HRS01.2

Sua pol
tica de privacidade
estalinhada com os
padres do setor?

HRS02.1

De acordo com as
restri
es contratuais,

tica, regulamentos
e legisla
es locais, todos
os candidatos
contrata
o, contratantes
e terceiros envolvidos esto
sujeitos verifica
o de
antecedentes?

A AWS realiza verifica


es de antecedentes criminais, como
permitido pela legisla
o aplicvel, como parte das prticas de
triagem antes da contrata
o de funcionrios, de acordo com
a posi
o e n
vel de acesso do funcionrio a instala
es da AWS.

Voc
s treinam
especificamente seus
funcionrios em rela
o
sua fun
o espec
fica
e aos controles de
seguran
a de informa
es
que eles devem seguir?

Em alinhamento com o padro ISO 27001, todos os funcionrios


da AWS realizam treinamento peridico de acordo com a fun
o,
que inclui treinamento em seguran
a da AWS e requer uma
confirma
o para sua concluso. As auditorias de conformidade
so realizadas periodicamente para validar que os funcionrios
entendem e seguem as pol
ticas estabelecidas. Consulte os
relatrios SOC para obter mais detalhes.

HRS03.1

Os relatrios SOC da AWS fornecem mais detalhes sobre os


controles vigentes para verifica
o de histrico.

Risco e Compliance da Amazon Web Services

Grupo de controle

Recursos Humanos
T
rmino de Contrata
o

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

HRS03.2

Voc
s documentam
a confirma
o do
treinamento que
o funcionrio concluiu?

HRS03.3

Toda a equipe obrigada


a assinar um NDA ou
Contratos de
Confidencialidade como
condi
o de contrata
o
para proteger as
informa
es do
cliente/grupo de usurios?

HRS03.4

A concluso bem-sucedida
e dentro do prazo do
programa de treinamento
considerada um pr
requisito para adquirir
e manter o acesso
a sistemas confidenciais?

HRS03.5

A equipe treinada e passa


por programas de
familiariza
o pelo menos
uma vez por ano?

HRS04.1

Existem pol
ticas, diretrizes
e procedimentos
documentados em vigor
para regular altera
es em
contrata
o e/ou t
rmino?

A equipe de Recursos Humanos da AWS define responsabilidades


de gerenciamento interno a serem seguidas para t
rmino e altera

o
de fun

o de funcion
rios e fornecedores.

Os procedimentos
e diretrizes acima so
responsveis pela
revoga
o de acesso e pela
devolu
o de bens
apropriadas?

O acesso revogado automaticamente quando o registro de um


funcionrio finalizado no sistema de Recursos Humanos da
Amazon. Quando ocorrem altera
es em fun
o do trabalho do
funcionrio, a continuidade de acesso deve ser explicitamente
aprovada para o recurso ou serautomaticamente revogada. Os
relatrios SOC da AWS fornecem mais detalhes sobre
a revoga
o de acesso de usurio. Al
m do Whitepaper de
Seguran
a da AWS, a seo Ciclo de vida do funcionrio
fornece informa
es adicionais.

HRS04.2

Toda a equipe que oferece suporte aos sistemas e dispositivos da


AWS deve assinar um acordo de confidencialidade antes de
receber acesso. Al
m disso, aps a contrata
o, a equipe deve ler
e aceitar a Pol
tica de Uso Aceitvel e a Pol
tica de Cdigo de
tica e Conduta nos negcios da Amazon (Cdigo de conduta).

Os relatrios SOC da AWS fornecem mais detalhes.

Consulte o padro ISO 27001, Anexo A, dom


nio 7 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

Pgina 46 de 95

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

Recursos Humanos
Dispositivos
Mveis/Portteis

HRS05.1

Hpol
ticas
e procedimentos
estabelecidos e medidas
implementadas para
limitar rigidamente
o acesso a seus dados
confidenciais e a dados do
grupo de usurios a partir
de dispositivos mveis
e portteis, como laptops,
celulares e PDAs, que
geralmente apresentam
risco maior do que
dispositivos no portteis
(p. ex., computadores
desktop nas instala
es da
organiza
o do provedor)?

Os clientes mant
m o controle e a responsabilidade sobre os
seus dados e ativos de m
dia associados. O cliente responsvel
por gerenciar dispositivos mveis de seguran
a e o acesso
autoriza
o do cliente.

Recursos Humanos
Contratos de No
Divulga
o

HRS06.1

Hrequisitos para acordos


de sigilo ou
confidencialidade
refletindo as necessidades
da organiza
o para
a prote
o de dados
e detalhes operacionais
identificados,
documentados e revisados
em intervalos planejados?

O departamento jur
dico da Amazon gerencia e revisa
periodicamente o acordo de confidencialidade da Amazon,
a fim de refletir as necessidades comerciais da AWS.

Recursos Humanos
Fun
es/Responsabilidades

HRS07.1

Voc
s fornecem a grupos
de usurios um documento
de defini
o de fun
o
esclarecendo suas
responsabilidades
administrativas versus as
do grupo de usurios?

Os Whitepapers de Seguran
a da Nuvem AWS e de
Conformidade e Risco da AWS fornecem detalhes sobre as
fun
es e responsabilidades da AWS e as de nossos clientes.
A rea de whitepapers estdispon
vel em:
http://aws.amazon.com/security
e http://aws.amazon.com/compliance.

Recursos Humanos
Uso Aceitvel

HRS08.1

Voc
s fornecem
documenta
o em rela
o
a como podem utilizar ou
acessar metadados e dados
de grupos de usurios?

HRS08.2

Voc
s coletam ou criam
metadados sobre uso de
dados de grupos de
usurios por meio de
tecnologias de inspe
o
(mecanismos de pesquisa
etc.)?

A AWS possui uma pol


tica de controle de acesso formal que
revisada e atualizada anualmente (ou quando ocorre uma
altera
o importante no sistema que afeta a pol
tica). A pol
tica
aborda o propsito, o escopo, as fun
es, as responsabilidades
e o compromisso com o gerenciamento. A AWS emprega
o conceito de menor privil
gio, permitindo somente o acesso
necessrio para que os usurios executem suas fun
es de
trabalho.

HRS08.3

Pgina 47 de 95

Voc
s permitem que
grupos de usurios neguem
o acesso a seus
dados/metadados atrav
s
de tecnologias de inspe
o?

Os clientes mant
m o controle e a responsabilidade sobre os
seus dados e ativos de m
dia associados. O cliente responsvel
por gerenciar dispositivos mveis de seguran
a e o acesso
autoriza
o do cliente.
Consulte o padro ISO 27001 e o cdigo de prtica 27018 para
obter mais informa
es. A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com os
padres ISO 27001 e ISO 27018.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Recursos Humanos
HRSTreinamento/Familiariza
09.1
o

Recursos Humanos
Responsabilidade do
Usurio

Recursos Humanos
rea de Trabalho

Pgina 48 de 95

Perguntas de avaliao
do consenso
Voc
s fornecem um
programa de treinamento
formal de familiariza
o
com base em fun
o em
seguran
a para questes de
gerenciamento de dados
e acesso relacionado
nuvem (por exemplo,
multiusurios,
nacionalidade,
diferencia
o de
implica
es de direitos no
modelo de fornecimento
em nuvem e conflitos de
interesses) para todas as
pessoas que acessam os
dados de grupos de
usurios?

HRS09.2

Os administradores de
dados e gerentes so
devidamente instru
dos
sobre suas
responsabilidades legais
em rela
o seguran
a
e integridade de dados?

HRS10.1

Os usurios esto cientes


de suas responsabilidades
por manter a familiariza
o
e conformidade com
requisitos normativos
aplicveis, padres,
procedimentos e pol
ticas
de seguran
a publicadas?

HRS10.2

Os usurios esto cientes


de suas responsabilidades
por manter um ambiente
de trabalho seguro
e protegido?

HRS10.3

Os usurios esto cientes


de suas responsabilidades
por deixar equipamentos
no assistidos de forma
segura?

HRS11.1

Seus procedimentos
e pol
ticas de
gerenciamento de dados
atendem aos conflitos de
interesses em n
vel de
servi
o e grupo de
usurios?

HRS11.2

Seus procedimentos
e pol
ticas de
gerenciamento de dados
incluem uma auditoria de
adultera
o ou fun
o de
integridade de software por
acesso no autorizado aos

Dezembro de 2015

Resposta da AWS
Em alinhamento com o padro ISO 27001, todos os funcionrios
da AWS realizam treinamento peridico em seguran
a da
informa
o, o qual requer uma confirma
o para sua concluso.
As auditorias de conformidade so realizadas periodicamente
para validar que os funcionrios entendem e seguem as pol
ticas
estabelecidas.
As fun
es e responsabilidades da AWS so revisadas por
auditores externos independentes durante as nossas auditorias
de conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.

A AWS implementou diversos m


todos de comunica
o interna
em n
vel mundial, a fim de ajudar os funcionrios
a compreender suas responsabilidades e fun
es individuais
e a comunicar eventos significativos em tempo hbil. Esses
m
todos incluem programas de treinamento e orienta
o para
funcionrios rec
m-contratados, bem como mensagens de
e-mail e a publica
o de informa
es via intranet da Amazon.
Consulte o padro ISO 27001, Anexo A, dom
nios 7 e 8. A AWS
foi validada e certificada por um auditor independente para
confirmar o alinhamento com o padro de certifica
o ISO
27001. Al
m disso, o Whitepaper de Seguran
a na Nuvem AWS
fornece mais detalhes, dispon
vel em
http://aws.amazon.com/security.

As pol
ticas de gerenciamento de dados da AWS esto alinhadas
com o padro ISO 27001. Consulte o padro ISO 27001, Anexo
A, dom
nios 8 e 9. A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001. Os relatrios SOC da AWS
fornecem mais detalhes sobre as atividades de controle
espec
ficas executadas pela AWS para impedir o acesso no
autorizado aos recursos da AWS.
A AWS identificou categorias de evento auditveis em sistemas
e dispositivos no sistema da AWS. As equipes de servi
o
configuram os recursos de auditoria para registrar
continuamente os eventos relacionados seguran
a de acordo
com os requisitos. Os registros de auditoria cont
m um conjunto

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso
dados do grupo de
usurios?

Gerenciamento de
Identidade e Acesso
Acesso a Ferramentas de
Auditoria

Dezembro de 2015

Resposta da AWS
de elementos de dados para oferecer suporte aos requisitos de
anlise necessrios. Al
m disso, os registros de auditoria esto
dispon
veis para que a equipe de seguran
a da AWS ou outras
equipes responsveis realizem inspe
o ou anlise sob demanda
e em resposta a eventos relacionados seguran
a ou de impacto
comercial.

HRS11.3

A infraestrutura de
gerenciamento de m
quina
virtual inclui uma auditoria
de adultera

o ou fun

o de
integridade de software,
a fim de detectar altera
es
na compila

o/configura

o
da m
quina virtual?

IAM01.1

Voc
s restringem,
registram e monitoram
o acesso aos seus sistemas
de gerenciamento de
seguran
a da informa
o
(por exemplo, hypervisor,
firewalls, verificadores de
vulnerabilidade, sniffers de
rede, APIs etc.)?

Em alinhamento com os padres ISO 27001, a AWS estabeleceu


procedimentos e pol
ticas formais para delinear os padres
m
nimos para acesso lgico a recursos da AWS. Os relatrios
SOC da AWS descrevem os controles em vigor para gerenciar
o fornecimento de acesso aos recursos da AWS.

Voc
s monitoram
e registram acesso
privilegiado (n
vel de
administrador) a sistemas
de gerenciamento de
seguran
a de informa
es?

A AWS identificou categorias de eventos auditveis em sistemas


e dispositivos da AWS. As equipes de servi
o configuram os
recursos de auditoria para registrar continuamente os eventos
relacionados seguran
a de acordo com os requisitos. O sistema
de armazenamento de logs foi projetado para fornecer um
servi
o altamente escalonvel e dispon
vel que aumenta
a capacidade de acordo com a necessidade de crescimento do
armazenamento de logs. Os registros de auditoria cont
m um
conjunto de elementos de dados para oferecer suporte aos
requisitos de anlise necessrios. Al
m disso, os registros de
auditoria esto dispon
veis para que a equipe de seguran
a da
AWS ou outras equipes responsveis realizem inspe
o ou
anlise sob demanda e em resposta a eventos relacionados
seguran
a ou de impacto comercial.

IAM01.2

Consulte o Whitepaper de Seguran


a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.

A equipe designada nas equipes da AWS recebe alertas


automatizados no caso de falha de processamento de auditoria.
As falhas de processamento de auditoria incluem, por exemplo,
erros de software/hardware. Quando alertada, a equipe de
planto emite uma identifica
o do problema e acompanha
o evento atque ele seja resolvido.
Os processos de log e monitoramento da AWS so revisados por
auditores terceirizados independentes, como parte da
conformidade cont
nua com o SOC, PCI DSS, ISO 27001
e FedRAMP.

Pgina 49 de 95

Risco e Compliance da Amazon Web Services

Grupo de controle
Gerenciamento de
Identidade e Acesso
Pol
tica de Acesso do
Usurio

CID
IAM02.1

Perguntas de avaliao
do consenso
Voc
s t
m controles
vigentes para garantir
a remo
o em tempo hbil
de acessos ao sistema que
no sejam mais necessrios
para fins comerciais?

Dezembro de 2015

Resposta da AWS
Os relatrios SOC da AWS fornecem mais detalhes sobre
a revoga
o de acesso de usurio. Al
m do Whitepaper de
Seguran
a da AWS, a se
o Ciclo de vida do funcionrio
fornece informa
es adicionais.
Consulte o padro ISO 27001, Anexo A, dom
nio 9 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

IAM02.2

Voc
s fornecem m
tricas
que controlam com que
rapidez poss
vel remover
o acesso a sistemas que no
seja mais necessrio para
fins comerciais?

Gerenciamento de
Identidade e Acesso
Diagnstico/Acesso
a Portas de Configura
o

IAM03.1

Voc
s usam redes seguras
dedicadas para fornecer
acesso de gerenciamento
sua infraestrutura de
servi
o em nuvem?

Gerenciamento de
Identidade e Acesso
Pol
ticas e Procedimentos

IAM04.1

Voc
s gerenciam
e armazenam a identidade
de toda a equipe que tem
acesso infraestrutura de
TI, incluindo o n
vel de
acesso?

IAM04.2

Voc
s gerenciam
e armazenam a identidade
de usurio de toda a equipe
que tem acesso rede,
incluindo o n
vel de acesso?

Gerenciamento de
Identidade e Acesso
Diferencia
o de Direitos

IAM05.1

Voc
s fornecem aos grupos
de usurios documenta
o
sobre como manter
a diferencia
o de direitos
em sua oferta de servi
o em
nuvem?

Os clientes det
m a capacidade de gerenciar diferencia
es de
direitos de seus recursos da AWS.

Gerenciamento de
Identidade e Acesso
Restri
o de Acesso ao
Cdigo-fonte

IAM06.1

Hcontroles vigentes para


impedir o acesso no
autorizado ao cdigo-fonte
de seu aplicativo, programa
ou objeto e garantir que ele
esteja restrito somente
equipe autorizada?

Em alinhamento com os padres ISO 27001, a AWS estabeleceu


procedimentos e pol
ticas formais para delinear os padres
m
nimos para acesso lgico a recursos da AWS. Os relatrios
SOC da AWS descrevem os controles vigentes para gerenciar
o provisionamento a recursos da AWS.

IAM06.2

Pgina 50 de 95

Hcontroles vigentes para


impedir o acesso no
autorizado ao cdigo-fonte
do aplicativo, programa ou
objeto do grupo de usurios
e garantir que ele esteja
restrito somente equipe
autorizada?

Os controles implementados limitam o acesso aos sistemas e aos


dados, fornecendo acesso restrito e monitorado de acordo com
a pol
tica de acesso da AWS. Al
m disso, por padro, os dados do
cliente e as instncias do servidor so logicamente isolados de
outros clientes. Os controles de acesso de usurio privilegiado
so revistos por um auditor independente durante as auditorias
SOC da AWS, ISO 27001, PCI, ITAR e da FedRAMP.

Internamente, a AWS estalinhada ao padro ISO 27001 para


gerenciamento de segrega
o de tarefas. Consulte o padro
ISO 27001, Anexo A, dom
nio 6.1 para obter mais detalhes.
A AWS foi validada e certificada por um auditor independente
para confirmar o alinhamento com o padro de certifica
o
ISO 27001.

Consulte o Whitepaper de Viso Geral de Processos de


Seguran
a da AWS para obter mais detalhes, dispon
vel em
http://aws.amazon.com/security.

Risco e Compliance da Amazon Web Services

Grupo de controle
Gerenciamento de
Identidade e Acesso
Acesso de Terceiros

Gerenciamento de
Identidade e Acesso
Restri
o/Autoriza
o de
Acesso do Usurio

Gerenciamento de
Identidade e Acesso
Autoriza
o de Acesso do
Usurio

Pgina 51 de 95

CID

Perguntas de avaliao
do consenso

IAM07.1

Voc
s fornecem capacidade
de recupera
o de
desastres no caso de vrias
falhas?

IAM07.2

Voc
s monitoram
a continuidade de servi
o
com provedores upstream
na hiptese de falha do
provedor?

IAM07.3

Voc
s t
m mais de um
provedor para cada servi
o
com o qual contam?

IAM07.4

Voc
s fornecem acesso
a resumos de continuidade
e redundncia operacional,
incluindo os servi
os com
os quais contam?

IAM07.5

Voc
s fornecem ao grupo
de usurios a capacidade de
declarar um desastre?

IAM07.6

Voc
s fornecem ao grupo
de usurios uma op
o de
failover acionado?

IAM07.7

Voc
s compartilham seus
planos de redundncia
e continuidade de negcios
com seus grupos de
usurios?

IAM08.1

Voc
s documentam como
concedem e aprovam
o acesso a dados de grupos
de usurios?

IAM08.2

Voc
s t
m um m
todo de
alinhamento das
metodologias de
classifica
o de dados de
grupos de usurios
e provedor para fins de
controle de acesso?

IAM09.1

Sua equipe de
gerenciamento fornece
a autoriza
o e restri
es
de acesso do usurio (por
exemplo, funcionrios,
contratantes, clientes
(grupos), parceiros de
negcios e/ou
fornecedores) antes que
acessem os dados
e quaisquer aplica
es,
sistemas de infraestrutura
e componentes de rede
prprios ou gerenciados
(f
sicos e virtuais)?

Dezembro de 2015

Resposta da AWS
A AWS oferece aos clientes a flexibilidade de posicionar
instncias e armazenar dados em vrias regies geogrficas, bem
como em vrias zonas de disponibilidade dentro de cada regio.
Cada zona de disponibilidade concebida como uma zona de
falha independente. Em caso de falha, processos automatizados
desviam o trfego de dados do cliente da rea afetada. Para obter
mais detalhes, consulte os relatrios SOC da AWS. O padro ISO
27001, Anexo A, dom
nio 15 oferece mais detalhes. A AWS foi
validada e certificada por um auditor independente para
confirmar o alinhamento com a certifica
o ISO 27001.

Os clientes da AWS mant


m o controle e a propriedade sobre os
seus dados. Os controles implementados limitam o acesso aos
sistemas e aos dados, fornecendo acesso restrito e monitorado.
Al
m disso, por padro, os dados do cliente e as instncias do
servidor so logicamente isolados de outros clientes. Os
controles de acesso de usurio privilegiado so revistos por um
auditor independente durante as auditorias SOC da AWS, ISO
27001, PCI, ITAR e da FedRAMP.

Identificadores exclusivos de usurios so criados como parte do


processo de fluxo de trabalho a bordo no sistema de
gerenciamento de recursos humanos da AWS. O processo de
provisionamento de dispositivos ajuda a garantir identificadores
exclusivos para dispositivos. Ambos os processos incluem
aprova
o do gerente para estabelecer a conta ou o dispositivo
do usurio. Os autenticadores iniciais so fornecidos ao usurio
pessoalmente e para os dispositivos como parte do processo de
provisionamento. Os usurios internos podem associar chaves
pblicas de SSH com suas contas. Os autenticadores de contas
do sistema so fornecidos para o solicitante como parte do
processo de cria
o de conta, aps a verifica
o da identidade
do solicitante.

Risco e Compliance da Amazon Web Services

Grupo de controle

Gerenciamento de
Identidade e Acesso
Anlises de Acesso do
Usurio

Gerenciamento de
Identidade e Acesso
Revoga
o de Acesso do
Usurio

CID

Resposta da AWS

IAM09.2

Voc
s fornecem, mediante
solicita
o, acesso do
usurio (por exemplo,
funcionrios, contratantes,
clientes (grupos), parceiros
de negcios e/ou
fornecedores) aos dados
e quaisquer aplica
es,
sistemas de infraestrutura
e componentes de rede
prprios ou gerenciados
(f
sicos e virtuais)?

A AWS estabeleceu controles para abordar a amea


a de acesso
privilegiado inadequado. Todas as certifica
es e declara
es de
terceiros avaliam o acesso lgico e os controles preventivo e de
detec
o. Al
m disso, as avalia
es peridicas de riscos
concentram-se em como o acesso privilegiado controlado
e monitorado.

IAM10.1

Voc
s exigem, pelo menos,
uma certifica
o anual de
qualifica
es de todos os
administradores e usurios
do sistema (exceto usurios
mantidos por seus grupos
de usurios)?

Em alinhamento com o padro ISO 27001, todas as concesses


de acesso so revisadas periodicamente; a reaprova
o expl
cita
necessria ou o acesso ao recurso serautomaticamente
revogado. Os controles espec
ficos para revises de acesso de
usurio so descritos nos relatrios SOC. As exce
es nos
controles de qualifica
o de usurio so documentadas nos
relatrios SOC.

IAM10.2

Se for detectado que os


usurios no t
m as
qualifica
es necessrias,
todas as a
es de
atualiza
o e certifica
o
sero registradas?

Consulte o padro ISO 27001, Anexo A, dom


nio 9 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

IAM10.3

Voc
s compartilham
relatrios de atualiza
o
e certifica
o de
qualifica
o de usurios
com seus grupos no caso de
acesso no adequado ter
sido permitido a dados de
grupos de usurios?

IAM11.1

O desprovisionamento,
revoga
o ou modifica
o
em tempo hbil de acesso
de usurios aos sistemas de
organiza
es, ativos de
informa
es e dados so
implementados mediante
qualquer altera
o no
status de funcionrios,
contratantes, clientes,
parceiros comerciais ou
terceiros envolvidos?

IAM11.2

Pgina 52 de 95

Perguntas de avaliao
do consenso

Dezembro de 2015

Altera
es no status de
acesso do usurio incluem
t
rmino de contrata
o,
contrato ou acordo,
altera
o de contrata
o ou
transfer
ncia na
organiza
o?

O acesso revogado automaticamente quando o registro de um


funcionrio finalizado no sistema de Recursos Humanos da
Amazon. Quando ocorrem altera
es em fun
o do trabalho do
funcionrio, a continuidade de acesso deve ser explicitamente
aprovada para o recurso ou serautomaticamente revogada.
Os relatrios SOC da AWS fornecem mais detalhes sobre
a revoga
o de acesso de usurio. Al
m do Whitepaper de
Seguran
a da AWS, a seo Ciclo de vida do funcionrio
fornece informa
es adicionais.
Consulte o padro ISO 27001, Anexo A, dom
nio 9 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

Risco e Compliance da Amazon Web Services

Grupo de controle
Gerenciamento de
Identidade e Acesso
Credenciais de ID do
Usurio

Pgina 53 de 95

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

IAM12.1

Voc
s oferecem suporte ou
integra
o com solu
es
existentes de logon nico
baseadas em cliente com
seu servi
o?

O servi
o AWS Identity and Access Management (IAM) fornece
federa
o de identidades para o AWS Management Console.
A autentica
o multifator um recurso opcional que um cliente
pode utilizar. Acesse o site da AWS para obter mais detalhes:
http://aws.amazon.com/mfa.

IAM12.2

Voc
s usam padres
abertos para delegar
recursos de autentica
o
aos seus grupos?

IAM12.3

Voc
s oferecem suporte
a padres de federa
o de
identidades (SAML, SPML,
Federa
o WS etc.) como
uma forma de
autenticar/autorizar
usurios?

AWS Identity and Access Management (IAM) oferece suporte


para federa
o de identidades para acesso delegado ao Console
de Gerenciamento da AWS ou s APIs da AWS. Com a federa
o
de identidades, identidades externas (usurios federados)
recebem acesso seguro aos recursos na conta da AWS sem
precisar criar usurios do IAM. Essas identidades externas
podem ser provenientes do seu provedor de identidades
corporativas (como Microsoft Active Directory ou do AWS
Directory Service) ou de um provedor de identidades da Web,
como Amazon Cognito, Login with Amazon, Facebook, Google
ou qualquer provedor compat
vel com OpenID Connect (OIDC).

IAM12.4

Voc
s t
m algum recurso
de ponto de imposi
o de
pol
tica (por exemplo,
XACML) para impor
restri
es jur
dicas
regionais e de pol
tica para
o acesso do usurio?

IAM12.5

Voc
s t
m um sistema de
gerenciamento de
identidade vigente (que
permite a classifica
o de
dados para um grupo de
usurios) para qualifica
o
com base em contexto
e fun
es para dados?

IAM12.6

Voc
s fornecem aos grupos
de usurios op
es r
gidas
de autentica
o
(multifator) (certificados
digitais, tokens, biom
trica
etc.) para acesso de
usurio?

IAM12.7

Voc
s permitem que os
grupos de usurios utilizem
servi
os de garantia de
identidade de terceiros?

IAM12.8

Voc
s oferecem suporte
para pol
tica de senha
(comprimento m
nimo,
idade, histrico,
complexidade) e bloqueio
de conta (limite de
bloqueio, dura
o do
bloqueio)?

IAM12.9

Voc
s permitem que
grupos de usurios/clientes
definam pol
ticas de senha
e bloqueio da conta para
suas contas?

O AWS Identity and Access Management (IAM) permite que


voccontrole com seguran
a o acesso aos servi
os e aos recursos
da AWS para seus usurios. Informa
es adicionais sobre o IAM
esto dispon
veis no site em https://aws.amazon.com/iam/.
Os relatrios SOC da AWS fornecem detalhes sobre atividades
espec
ficas de controle executadas pela AWS.

Risco e Compliance da Amazon Web Services

Grupo de controle

Gerenciamento de
Identidade e Acesso
Acesso a Programas
Utilitrios

Segurana de
Virtualizao
e Infraestrutura
Registros de
Auditoria/Detec
o de
Invaso

Pgina 54 de 95

CID

Perguntas de avaliao
do consenso

IAM12.10

Voc
s oferecem algum
recurso para for
ar
altera
es de senha depois
do primeiro login?

IAM12.11

Voc
s t
m mecanismos
vigentes para desbloquear
contas que foram
bloqueadas (por exemplo,
autoatendimento por email, perguntas de desafio
definidas, desbloqueio
manual)?

IAM13.1

Hutilitrios que podem


gerenciar
significativamente
parti
es virtualizadas
(p. ex., desligamento,
clone etc.) devidamente
restringidas
e monitoradas?

IAM13.2

Voc
s t
m recursos para
detectar ataques que
almejam a infraestrutura
virtual diretamente (p. ex.,
shimming, Blue Pill,
Hyper jumping etc.)?

IAM13.3

Hataques que almejam


a infraestrutura virtual que
sejam impedidos com
controles t
cnicos?

IVS01.1

Hferramentas de IDS
(detec
o de intruso de
rede) e integridade de
arquivo (host)
implementadas para ajudar
a facilitar a detec
o em
tempo hbil, a investiga
o
por anlise de causa raiz
e a resposta a incidentes?

IVS01.2

Hacesso de usurio lgico


e f
sico para auditar logs
restritos equipe
autorizada?

IVS01.3

Voc
s podem fornecer
evid
ncias de que
o mapeamento de auditoria
detalhada de regulamentos
e padres em seus
controles/arquitetura/
processos foi feito?

Dezembro de 2015

Resposta da AWS

Em alinhamento com os padres ISO 27001, os utilitrios do


sistema so devidamente restringidos e monitorados. Os
relatrios SOC da AWS fornecem detalhes sobre atividades
espec
ficas de controle executadas pela AWS.
Consulte o Whitepaper de Viso Geral de Processos de
Seguran
a da AWS para obter mais detalhes, dispon
vel em
http://aws.amazon.com/security.

O programa de resposta a incidentes da AWS (detec


o,
investiga
o e resposta a incidentes) foi desenvolvido em
alinhamento com padres ISO 27001. Os utilitrios do sistema
so devidamente restritos e monitorados. Os relatrios SOC da
AWS fornecem detalhes adicionais sobre controles vigentes para
restringir o acesso ao sistema.
Consulte o Whitepaper de Viso Geral de Processos de
Seguran
a da AWS para obter mais detalhes, dispon
vel em
http://aws.amazon.com/security.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

IVS01.4

Hlogs de auditoria
armazenados e retidos
centralmente?

IVS01.5

Os logs de auditoria so
revisados regularmente
quanto a eventos de
seguran
a (por exemplo,
com ferramentas
automticas)?

Dezembro de 2015

Resposta da AWS
Em alinhamento com os padres do ISO 27001, os sistemas de
informa
o da AWS utilizam relgios do sistema interno
sincronizados via NTP (Network Time Protocol, Protocolo de
horrio de rede). A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.
A AWS utiliza sistemas de monitoramento automatizados para
fornecer um alto n
vel de disponibilidade e desempenho do
servi
o. O monitoramento proativo estdispon
vel atrav
s de
uma variedade de ferramentas on-line para uso interno
e externo. Os sistemas dentro da AWS so extensivamente
instrumentados para monitorar as principais m
tricas
operacionais. Os alarmes so configurados para notificar
opera
es e gerenciar colaboradores quando limites de alerta de
in
cio so cruzados nas principais m
tricas operacionais. Uma
agenda de planto usada para que colaboradores estejam
sempre dispon
veis para auxiliar com problemas operacionais.
Isso inclui um sistema de pager para que os alertas sejam
comunicados de maneira rpida e confivel equipe de
opera
es.
Consulte o Whitepaper de Seguran
a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.

Segurana de
Virtualizao
e Infraestrutura
Detec
o de Altera
es

Segurana de
Virtualizao
e Infraestrutura
Sincroniza
o do Relgio

Pgina 55 de 95

IVS02.1

Voc
s registram e enviam
alertas sobre altera
es
feitas em imagens de
mquina virtual
independentemente do
estado de execu
o (por
exemplo, pausada,
desligada ou em execu
o)?

IVS02.2

As altera
es feitas em
mquinas virtuais ou
a mudan
a de uma imagem
e a valida
o subsequente
da integridade da imagem
so disponibilizadas
imediatamente para os
clientes por meio de
m
todos eletrnicos (por
exemplo, portais ou
alertas)?

IVS03.1

Voc
s usam um protocolo
de servi
o de hora
sincronizado (por exemplo,
NTP) para garantir que
todos os sistemas tenham
uma refer
ncia de hora
comum?

As mquinas virtuais so designadas a clientes como parte do


servi
o EC2. Os clientes ret
m o controle sobre quais recursos
esto sendo usados e onde eles residem. Consulte o site da AWS
para obter detalhes adicionais http://aws.amazon.com.

Em alinhamento com os padres do ISO 27001, os sistemas de


informa
o da AWS utilizam relgios do sistema interno
sincronizados via NTP (Network Time Protocol, Protocolo de
horrio de rede).
A AWS foi validada e certificada por um auditor independente
para confirmar o alinhamento com o padro de certifica
o
ISO 27001.

Risco e Compliance da Amazon Web Services

Grupo de controle
Segurana de
Virtualizao
e Infraestrutura
Planejamento de
Capacidade/Recursos

Segurana de
Virtualizao
e Infraestrutura
Gerenciamento Gerenciamento de
Vulnerabilidades

CID
IVS04.1

Perguntas de avaliao
do consenso
Voc
s fornecem
documenta

o em rela

o
a quais n
veis de assinatura
em excesso do sistema (rede,
armazenamento, memria,
E/S etc.) e em quais
circunst
ncias/cen
rios?

IVS04.2

Voc
s restringem o uso das
capacidades de assinatura
em excesso de memria
presentes no hypervisor?

IVS04.3

Seus requisitos de
capacidade do sistema
levam em conta
necessidades de capacidade
atuais, projetadas
e previstas para todos os
sistemas usados para
fornecer servi
os aos
grupos de usurios?

IVS04.4

O desempenho do sistema
monitorado e ajustado
para satisfazer
constantemente requisitos
normativos, contratuais
e comerciais para todos os
sistemas usados para
fornecer servi
os aos
grupos de usurios?

IVS05.1

As ferramentas ou os
servi
os de avalia
o de
vulnerabilidade de
seguran
a acomodam as
tecnologias de virtualiza
o
usadas (por exemplo,
reconhecimento de
virtualiza
o)?

Dezembro de 2015

Resposta da AWS
Detalhes sobre limites de servi
o da AWS e como solicitar um
aumento para servi
os espec
ficos esto dispon
veis no site da
AWS em
http://docs.aws.amazon.com/general/latest/gr/aws_service_li
mits.html.
A AWS gerencia dados de capacidade e utiliza
o de acordo com
o padro ISO 27001. A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.

O Amazon EC2 atualmente utiliza uma verso altamente


personalizada do hypervisor Xen. O hypervisor regularmente
avaliado para verificar vulnerabilidades novas e existentes
e vetores de ataque por equipes de penetra
o interna e externa
e bem adequado para manter um r
gido isolamento entre
mquinas virtuais convidadas. O hypervisor AWS Xen
regularmente avaliado por auditores independentes durante
avalia
es e auditorias.
As varreduras de vulnerabilidade regulares internas e externas
so realizadas no sistema operacional de host, na aplica
o web
e nos bancos de dados do ambiente da AWS atrav
s de vrias
ferramentas. A varredura de vulnerabilidade e as prticas de
remedia
o so revisadas regularmente como parte da
conformidade cont
nua da AWS com o PCI DSS e o FedRAMP.

Segurana de
Virtualizao
e Infraestrutura
Seguran
a de Rede

Pgina 56 de 95

IVS06.1

Para sua oferta IaaS, voc


s
fornecem aos clientes
orienta
es sobre como
criar uma arquitetura de
seguran
a em camadas
equivalente usando sua
solu
o virtualizada?

O site fornece orienta


es sobre como criar uma arquitetura de
seguran
a em camadas em vrios whitepapers, dispon
veis no
site pblico da AWS http://aws.amazon.com/documentation/.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID
IVS06.2

Segurana de
Virtualizao
e Infraestrutura
Prote
o e Controles Base
do SO

Perguntas de avaliao
do consenso
Voc
s atualizam
regularmente diagramas de
arquitetura de rede que
incluem fluxos de dados
entre dom
nios/zonas de
seguran
a?

IVS06.3

Voc
s revisam
regularmente a adequa
o
da conectividade/acesso
permitido (por exemplo,
regras de firewall) entre
dom
nios/zonas de
seguran
a na rede?

IVS06.4

Todas as listas de controle


de acesso do firewall so
documentadas com
justificativa de negcios?

IVS07.1

Os sistemas operacionais
so protegidos para
fornecer somente as portas,
os protocolos e servi
os
necessrios para satisfazer
as necessidades de
negcios usando controles
t
cnicos (isto
,
monitoramento e registro
de integridade do arquivo)
como parte do padro ou
modelo bsico de cria
o?

Dezembro de 2015

Resposta da AWS
Dispositivos de prote
o de per
metro que empregam conjuntos
de regras, listas de controle de acesso e configura
es impem
o fluxo de informa
es entre estruturas de rede.
Existem vrias estruturas de rede na Amazon, cada uma
separada por dispositivos que controlam o fluxo de informa
es
entre si. O fluxo de informa
es entre estruturas estabelecido
por autoriza
es aprovadas, que existem como Access Control
Lists (ACL - Listas de controle de acesso) dentro desses
dispositivos. Esses dispositivos controlam o fluxo de
informa
es entre as estruturas, conforme exigido por essas
ACLs. As ACLs so definidas, aprovadas pela equipe
responsvel, gerenciadas e implantadas usando a ferramenta de
gerenciamento da AWS.
A equipe de seguran
a de informa
es da Amazon aprova essas
ACLs. Os conjuntos de regras de firewall e as listas de controle
de acesso aprovadas entre as estruturas de rede restringem
o fluxo de informa
es para servi
os de sistemas de informa
es
espec
ficos. As listas de controle de acesso e os conjuntos de
regras so revisados, aprovados e automaticamente enviados
para dispositivos de prote
o do per
metro periodicamente (pelo
menos a cada 24 horas) para garantir que os conjuntos de regras
e as listas de controle de acesso esto atualizadas.
O gerenciamento de rede da AWS revisado regularmente por
auditores terceirizados independentes, como parte da
conformidade cont
nua da AWS com o SOC, PCI DSS, ISO 27001
e FedRAMPsm.
A AWS implementa o m
nimo de privil
gios poss
vel em todos os
componentes da sua infraestrutura. A AWS pro
be todas as
portas e protocolos que no tenham uma finalidade comercial
espec
fica. A AWS segue uma abordagem rigorosa para
implementa
o m
nima dos recursos e fun
es que so
essenciais para o uso do dispositivo. A varredura de rede
executada, e quaisquer portas ou protocolos desnecessrios
que estiverem em uso so corrigidos.
As varreduras de vulnerabilidade regulares internas e externas
so realizadas no sistema operacional de host, na aplica
o web
e nos bancos de dados do ambiente da AWS atrav
s de vrias
ferramentas. A varredura de vulnerabilidade e as prticas de
remedia
o so revisadas regularmente como parte da
conformidade cont
nua da AWS com o PCI DSS e o FedRAMP.

Segurana de
Virtualizao
e Infraestrutura
Ambientes de
Produ
o/No Produ
o

Pgina 57 de 95

IVS08.1

Para sua oferta SaaS ou


PaaS, voc
s fornecem aos
grupos de usurios
ambientes separados para
processos de teste
e produ
o?

IVS08.2

Para sua oferta IaaS, voc


s
fornecem aos grupos de
usurios orienta
es sobre
como criar ambientes
adequados de produ
o
e teste?

Os clientes da AWS mant


m a capacidade e a responsabilidade
por criar e manter ambientes de produ
o e teste. O site da AWS
fornece orienta
es sobre a cria
o de um ambiente utilizando
os servi
os da AWS http://aws.amazon.com/documentation/.

Risco e Compliance da Amazon Web Services

Grupo de controle

Segurana de
Virtualizao
e Infraestrutura
Segmenta
o

Segurana de
Virtualizao
e Infraestrutura
Seguran
a de VM Prote
o de Dados do
vMotion

Pgina 58 de 95

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

IVS08.3

Voc
s separam os
ambientes de produ
o
e no produ
o lgica
e fisicamente?

Os clientes da AWS continuam tendo responsabilidade por


gerenciar sua prpria segmenta
o de rede em adeso com seus
requisitos definidos.

IVS09.1

Hambientes de rede
e sistema protegidos por
um firewall ou firewall
virtual para garantir os
requisitos de seguran
a dos
negcios e do cliente?

IVS09.2

Hambientes de rede
e sistema protegidos por
um firewall ou firewall
virtual para garantir
a conformidade com
requisitos legislativos,
normativos e contratuais?

IVS09.3

Hambientes de rede
e sistema protegidos por
um firewall ou firewall
virtual para garantir
a separa
o de ambientes
de produ
o e no
produ
o?

IVS09.4

Hambientes de rede
e sistema protegidos por
um firewall ou firewall
virtual para garantir
prote
o e isolamento de
dados confidenciais?

IVS10.1

Canais de comunica
o
protegidos e criptografados
so usados ao migrar
servidores f
sicos,
aplica
es ou dados para
servidores virtuais?

A AWS permite que os clientes usem seus prprios mecanismos


de criptografia para quase todos os servi
os, incluindo S3, EBS
e EC2. As sesses da VPC tamb
m so criptografadas.

IVS10.2

Voc
s usam uma rede
separada das redes de
produ
o migrar servidores
f
sicos, aplica
es ou dados
para servidores virtuais?

Os clientes da AWS mant


m o controle e a propriedade sobre os
seus prprios dados. A AWS fornece aos clientes a capacidade de
manter e desenvolver ambientes de produ
o e no relativos
produ
o. de responsabilidade do cliente garantir que seus
dados de produ
o no sejam replicados para ambientes que no
sejam de produ
o.

Internamente, a segmenta
o de rede da AWS estalinhada com
os padres ISO 27001. Consulte o padro ISO 27001, Anexo A,
dom
nio 13 para obter mais detalhes. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padro de certifica
o ISO 27001.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

Segurana de
Virtualizao
e Infraestrutura
Seguran
a de VMM Prote
o de hypervisor

IVS11.1

Voc
s restringem o acesso
pessoal a todas as fun
es
de gerenciamento de
hypervisor ou consoles
administrativos para
sistemas que hospedam
sistemas virtualizados com
base no princ
pio de
privil
gio m
nimo e t
m
suporte de controles
t
cnicos (por exemplo,
autentica
o de dois
fatores, trilhas de auditoria,
filtragem de endere
o IP,
firewalls e comunica
o
encapsulada por TLS para
os consoles
administrativos)?

A AWS emprega o conceito de menor privil


gio, permitindo
somente o acesso necessrio para que os usurios executem suas
fun
es de trabalho. Quando criadas, as contas de usurio
fornecem apenas o m
nimo de acesso. O acesso acima desse n
vel
exige autoriza
o adequada. Consulte os relatrios SOC da AWS
para obter mais informa
es sobre controles de acesso.

Segurana de
Virtualizao
e Infraestrutura
Seguran
a sem Fio

IVS12.1

Hpol
ticas
e procedimentos
estabelecidos
e mecanismos configurados
e implementados para
proteger o per
metro do
ambiente de rede sem fio
e para restringir o trfego
sem fio no autorizado?

Hpol
ticas, procedimentos e mecanismos para proteger
o ambiente de rede da AWS.

Pgina 59 de 95

IVS12.2

Hpol
ticas
e procedimentos
estabelecidos
e mecanismos
implementados, a fim de
garantir que as
configura
es apropriadas
de seguran
a sem fio
estejam habilitadas com
r
gida criptografia para
autentica
o e transmisso,
substituindo configura
es
padro de fornecedor (p.
ex., chaves de criptografia,
senhas, sequ
ncia de
caracteres de comunidade
de SNMP)?

IVS12.3

Hpol
ticas
e procedimentos
estabelecidos
e mecanismos
implementados, a fim de
proteger ambientes de rede
sem fio e detectar
a presen
a de dispositivos
de rede no autorizados
(invasores) para uma
desconexo da rede em
tempo hbil?

Os controles de seguran
a da AWS so revisados por auditores
externos independentes durante as nossas auditorias de
conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.

Risco e Compliance da Amazon Web Services

Grupo de controle
Segurana de
Virtualizao
e Infraestrutura
Arquitetura de Rede

CID
IVS13.1

IVS13.2

Interoperabilidade
e portabilidade
APIs

IPY01

Interoperabilidade
e Portabilidade
Solicita
o de Dados

IPY02

Interoperabilidade
e Portabilidade
Pol
tica e Aspectos Legais

Pgina 60 de 95

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

Seus diagramas de
arquitetura de rede
identificam claramente
ambientes de alto risco
e fluxos de dados que
podem ter impactos de
conformidade legal?

Os clientes da AWS continuam tendo responsabilidade por


gerenciar sua prpria segmenta
o de rede em adeso com seus
requisitos definidos.

Voc
s implementam
medidas t
cnicas e aplicam
t
cnicas avan
adas de
defesa (por exemplo,
anlise avan
ada de pacote,
acelera
o de trfego
e black-holing) para
detec
o e resposta rpida
a ataques com base em
rede associados a padres
anmalos de trfego de
entrada ou sa
da (por
exemplo, spoofing de MAC
e ataques de
envenenamento de ARP)
e/ou ataques distribu
dos
de nega
o de servi
o
(DDoS)?

A seguran
a da AWS examina regularmente todos os endere
os
IP de endpoint de servi
o voltados Internet quanto exist
ncia
de vulnerabilidades (essas verifica
es no incluem instncias de
clientes). A seguran
a da AWS notificaras partes adequadas
para solucionar quaisquer vulnerabilidades identificadas. Al
m
disso, avalia
es de amea
a de vulnerabilidade externa so
realizadas regularmente por empresas de seguran
a
independentes. As concluses e recomenda
es resultantes
dessas avalia
es so categorizadas e entregues lideran
a da
AWS.

Voc
s publicam uma lista
de todas as APIs
dispon
veis no servi
o
e indicam quais so padro
e quais so personalizadas?

Detalhes sobre as APIs da AWS esto dispon


veis no site da AWS
em https://aws.amazon.com/documentation/.

Os dados no estruturados
do cliente so
disponibilizados mediante
solicita
o em um formato
padro do setor (por
exemplo, .doc, .xls
ou .pdf)?

IPY03.1

Voc
s fornecem pol
ticas
e procedimentos (isto
,
acordos de n
vel de servi
o)
que regem o uso de APIs
quanto
interoperabilidade entre
seu servi
o e aplica
es de
terceiros?

IPY03.2

Voc
s fornecem pol
ticas
e procedimentos (isto
,
acordos de n
vel de servi
o)
que regem a migra
o de
dados de aplicativo de
e para o seu servi
o?

Internamente, a segmenta
o de rede da AWS estalinhada com
o padro ISO 27001. A AWS foi validada e certificada por um
auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.

Al
m disso, o ambiente de controle da AWS estsujeito
a avalia
es regulares internas e externas de riscos. A AWS
contrata rgos externos de certifica
o e auditores
independentes para analisar e testar o ambiente de controle
geral da AWS.
Os controles de seguran
a da AWS so revisados por auditores
externos independentes durante as nossas auditorias de
conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.

Em alinhamento com os padres ISO 27001, a AWS estabeleceu


procedimentos e pol
ticas formais para delinear os padres
m
nimos para acesso lgico a recursos da AWS. Os relatrios
SOC da AWS descrevem os controles em vigor para gerenciar
o fornecimento de acesso aos recursos da AWS.
Consulte o Whitepaper de Seguran
a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.

Os clientes mant
m o controle e a propriedade sobre seu
contedo. Os clientes podem escolher a forma de migra
o de
aplica
es e contedo dentro e fora da plataforma da AWS como
desejarem.

Risco e Compliance da Amazon Web Services

Grupo de controle
Interoperabilidade
e Portabilidade
Protocolos de Rede
Padronizados

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

IPY04.1

poss
vel importar
e exportar dados
e gerenciar servi
os por
meio de protocolos de rede
padronizados seguros (por
exemplo, texto no claro
e autenticado) e aceitos no
setor?

IPY04.2

Voc
s fornecem aos
clientes (grupos de
usurios) alguma
documenta
o que detalhe
os padres relevantes de
protocolo de rede
envolvidos em
interoperabilidade
e portabilidade?

IPY05.1

Voc
s usam uma
plataforma de virtualiza
o
reconhecida pelo setor
e formatos de virtualiza
o
padro (por exemplo, OVF)
para ajudar a garantir
a interoperabilidade?

IPY05.2

Voc
s documentaram
altera
es personalizadas
feitas em algum hypervisor
em uso? Todos os ganchos
de virtualiza
o espec
ficos
da solu
o esto
dispon
veis para anlise do
cliente?

Segurana de
Dispositivos Mveis
Antimalware

MOS01

Voc
s fornecem
treinamento antimalware
espec
fico para dispositivos
mveis como parte do
treinamento de seguran
a
de informa
es?

Os procedimentos, processos e programa da AWS para gerenciar


software mal-intencionado/antiv
rus esto em alinhamento com
os padres ISO 27001. Consulte o padro ISO 27001, Anexo A,
dom
nio 12 para obter mais informa
es.

Segurana de
Dispositivos Mveis
Lojas de Aplicativo

MOS02

Voc
s documentam
e disponibilizam listas de
lojas de aplicativo
aprovadas para dispositivos
mveis que acessam ou
armazenam dados da
empresa e/ou sistemas da
empresa?

A AWS estabeleceu pol


ticas e uma estrutura de seguran
a da
informa
o e integrou com eficcia a estrutura certificvel por
ISO 27001, com base em controles do ISO 27002, nos princ
pios
de servi
os de confian
a do AICPA (American Institute of
Certified Public Accountants), na PCI DSS v3.1 e na Publica
o
800-53 do NIST (National Institute of Standards and
Technology) sobre controles de seguran
a recomendados para
sistemas de informa
o federais.

Segurana de
Dispositivos Mveis
Aplicativos Aprovados

MOS03

Voc
s t
m algum recurso
de imposi
o de pol
tica
(por exemplo, XACML)
para garantir que somente
aplicativos aprovados
e aqueles de lojas de
aplicativo aprovadas sejam
carregados em um
dispositivo mvel?

Interoperabilidade
e Portabilidade
Virtualiza
o

Pgina 61 de 95

A AWS permite que os clientes movam os dados conforme


necessrio e desativem o armazenamento da AWS. Consulte
http://aws.amazon.com/choosing-a-cloud-platform para obter
mais informa
es sobre op
es de armazenamento.

O Amazon EC2 atualmente utiliza uma verso altamente


personalizada do hypervisor Xen. O hypervisor regularmente
avaliado para verificar vulnerabilidades novas e existentes
e vetores de ataque por equipes de penetra
o interna e externa
e bem adequado para manter um r
gido isolamento entre
mquinas virtuais convidadas. O hypervisor AWS Xen
regularmente avaliado por auditores independentes durante
avalia
es e auditorias. Consulte o Whitepaper de Seguran
a na
Nuvem AWS para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security.

Os clientes mant
m o controle e a responsabilidade sobre os
seus dados e ativos de m
dia associados. O cliente responsvel
por gerenciar dispositivos mveis de seguran
a e o acesso
autoriza
o do cliente.

Risco e Compliance da Amazon Web Services

Perguntas de avaliao
do consenso

Grupo de controle

CID

Segurana de
Dispositivos Mveis
Software Aprovado para
BYOD

MOS04

A pol
tica e o treinamento
de BYOD declaram
claramente quais
aplicativos e lojas de
aplicativo so aprovados
para uso em dispositivos
BYOD?

Segurana de
Dispositivos Mveis
Familiariza
o
e Treinamento

MOS05

Voc
s t
m uma pol
tica de
dispositivos mveis
documentada no
treinamento de
funcionrios que define
claramente dispositivos
mveis e o uso aceitvel
e requisitos de dispositivos
mveis?

Segurana de
Dispositivos Mveis
Servi
os com Base na
Nuvem

MOS06

Voc
s t
m uma lista
documentada de servi
os
com base em nuvem
pr
-aprovados que podem
ser usados para uso
e armazenamento de dados
comerciais da empresa por
meio de um dispositivo
mvel?

Segurana de
Dispositivos Mveis
Compatibilidade

MOS07

Voc
s t
m um processo de
valida
o de aplicativo
documentado para testar
problemas de
compatibilidade de
dispositivo, sistema
operacional e aplicativo?

Segurana de
Dispositivos Mveis
Qualifica
o do Dispositivo

MOS08

Voc
s t
m uma pol
tica
BYOD que define os
dispositivos e os requisitos
de qualifica
o permitidos
para uso de BYOD?

Segurana de
Dispositivos Mveis
Inventrio de Dispositivos

MOS09

Voc
s mant
m um
inventrio de todos os
dispositivos mveis que
armazenam e acessam
dados da empresa e que
inclui o status do
dispositivo (n
veis de patch
e sistema operacional,
perda ou desativa
o,
designa
o de dispositivo)?

Segurana de
Dispositivos Mveis
Gerenciamento de
Dispositivos

MOS10

Voc
s t
m uma solu
o
central de gerenciamento
de dispositivos mveis
implantada em todos os
dispositivos mveis que
pode armazenar, transmitir
ou processar dados da
empresa?

Pgina 62 de 95

Dezembro de 2015

Resposta da AWS

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

Segurana de
Dispositivos Mveis
Criptografia

MOS11

Sua pol
tica de dispositivos
mveis exige o uso de
criptografia para
o dispositivo inteiro ou
para dados identificados
como imposi
o
confidencial por meio de
controles de tecnologia
para todos os dispositivos
mveis?

Segurana de
Dispositivos Mveis
Viola
o e Acesso Raiz

MOS12.1

Sua pol
tica de dispositivos
mveis pro
be a falsifica
o
de controles de seguran
a
incorporados em
dispositivos mveis (por
exemplo, viola
o ou
acesso raiz)?

MOS12.2

Voc
s t
m controles de
detec
o e preven
o no
dispositivo ou por meio de
um sistema central de
gerenciamento de
dispositivos que pro
be
a falsifica
o de controles
de seguran
a integrados?

MOS13.1

Sua pol
tica BYOD define
claramente a expectativa de
privacidade, requisitos de
processo, detec
o
eletrnica e reten
es
legais?

MOS13.2

Voc
s t
m controles de
detec
o e preven
o no
dispositivo ou por meio de
um sistema central de
gerenciamento de
dispositivos que pro
be
a falsifica
o de controles
de seguran
a integrados?

Segurana de
Dispositivos Mveis
Bloqueio de Tela

MOS14

Voc
s exigem e impem
por meio de controles
t
cnicos o bloqueio
automtico da tela para
dispositivos BYOD e de
propriedade da empresa?

Segurana de
Dispositivos Mveis
Sistemas Operacionais

MOS15

Voc
s gerenciam todas as
altera
es em sistemas
operacionais de
dispositivos mveis, n
veis
de patch e aplicativos por
meio dos processos de
gerenciamento de
altera
es da empresa?

Segurana de
Dispositivos Mveis
Aspectos Legais

Pgina 63 de 95

Dezembro de 2015

Resposta da AWS

Os clientes mant
m o controle e a responsabilidade sobre os
seus dados e ativos de m
dia associados. O cliente responsvel
por gerenciar dispositivos mveis de seguran
a e o acesso
autoriza
o do cliente.

Risco e Compliance da Amazon Web Services

Grupo de controle
Segurana de
Dispositivos Mveis
Senhas

Segurana de
Dispositivos Mveis
Pol
tica

Segurana de
Dispositivos Mveis
Limpeza Remota

Segurana de
dispositivos mveis
Patches de seguran
a

Pgina 64 de 95

CID

Perguntas de avaliao
do consenso

MOS16.1

Voc
s t
m pol
ticas de
senha para dispositivos
mveis emitidos pela
empresa e/ou dispositivos
mveis BYOD?

MOS16.2

Suas pol
ticas de senha so
impostas por meio de
controles t
cnicos (isto
,
MDM)?

MOS16.3

Suas pol
ticas de senha
pro
bem a altera
o dos
requisitos de autentica
o
(isto
, comprimento da
senha/PIN) por meio de
um dispositivo mvel?

MOS17.1

Voc
s t
m alguma pol
tica
que exija que os usurios
BYOD realizem backups de
dados corporativos
espec
ficos?

MOS17.2

Voc
s t
m alguma pol
tica
que exija que os usurios
BYOD pro
bam o uso de
lojas de aplicativos no
aprovadas?

MOS17.3

Voc
s t
m alguma pol
tica
que exija que os usurios
BYOD usem software
antimalware (onde
permitido)?

MOS18.1

Sua equipe de TI fornece


limpeza remota ou limpeza
de dados corporativos para
todos os dispositivos BYOD
aceitos pela empresa?

MOS18.2

Sua equipe de TI fornece


limpeza remota ou limpeza
de dados corporativos para
todos os dispositivos
mveis atribu
dos pela
empresa?

MOS19.1

Seus dispositivos mveis


t
m os ltimos patches
relacionados seguran
a
dispon
veis instalados na
verso geral pelo fabricante
do dispositivo ou pela
operadora?

MOS19.2

Seus dispositivos mveis


permitem a valida
o
remota para baixar os
ltimos patches de
seguran
a da equipe de TI
da empresa?

Dezembro de 2015

Resposta da AWS

Risco e Compliance da Amazon Web Services

Grupo de controle
Segurana de
Dispositivos Mveis
Usurios

CID

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

MOS20.1

Sua pol
tica BYOD
esclarece os sistemas
e servidores que podem ser
usados ou acessados no
dispositivo BYOD?

MOS20.2

Sua pol
tica BYOD
especifica as fun
es de
usurio que podem ser
acessadas por meio de um
dispositivo BYOD?

Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
Manuten
o de
Contato/Autoridade

SEF01.1

Voc
s mant
m alian
as
e pontos de contato com
autoridades locais de
acordo com contratos
e regulamentos
apropriados?

A AWS mant
m contatos com rgos do setor, organiza
es de
conformidade e avalia
o de riscos, autoridades locais e rgos
normativos, como exigido pelo padro ISO 27001.

Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
Gerenciamento de
Incidentes

SEF02.1

Voc
s t
m um plano
documentado de resposta
a incidentes de seguran
a?

SEF02.2

Voc
s integram exig
ncias
personalizadas de grupo de
usurios aos seus planos de
resposta a incidentes de
seguran
a?

Os procedimentos, planos e programa de resposta a incidentes


da AWS foram desenvolvidos em alinhamento com o padro ISO
27001. A AWS foi validada e certificada por um auditor
independente para confirmar a conformidade com o padro de
certifica
o ISO 27001.

SEF02.3

Voc
s publicam um
documento com fun
es
e responsabilidades
especificando pelo que
voc
s versus seus grupos de
usurios so responsveis
durante incidentes de
seguran
a?

Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
Relatrios de Incidentes

Pgina 65 de 95

SEF02.4

Voc
s testaram seus planos
de resposta a incidentes de
seguran
a no ano passado?

SEF03.1

Seu sistema de SIEM


(Security Information and
Event Management,
Gerenciamento de eventos
e informa
es de
seguran
a) mescla origens
de dados (logs de
aplicativos, logs de firewall,
logs de IDS, logs de acesso
f
sico etc.) para alertas
e anlise granular?

SEF03.2

A sua estrutura de
monitoramento e registro
de logs permite
o isolamento de um
incidente para grupos de
usurios espec
ficos?

A AWS foi validada e certificada por um auditor independente


para confirmar o alinhamento com o padro de certifica
o ISO
27001.

Os relatrios SOC da AWS fornecem detalhes sobre as atividades


de controle espec
ficas executadas pela AWS. Todos os dados
armazenados pela AWS em nome dos clientes t
m recursos
slidos de seguran
a e controle de isolamento de grupos de
usurios.
O Whitepaper de Seguran
a na Nuvem AWS (dispon
vel em
http://aws.amazon.com/security) fornece detalhes adicionais.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

SEF04.1

O seu plano de resposta


a incidentes estem
conformidade com os
padres do setor para
controles e processos de
gerenciamento de cadeia de
custdia legalmente
admiss
veis?

SEF04.2

O seu recurso de resposta


a incidentes inclui o uso de
t
cnicas forenses de anlise
e coleta de dados
legalmente admiss
veis?

SEF04.3

Voc
s so capazes de
suportar suspenses por
litgio (congelamento de
dados de um ponto
espec
fico no tempo) para
um grupo de usurios
especfico sem congelar
dados de outros grupos de
usurios?

SEF04.4

Voc
s aplicam e atestam
separa
o de dados de
grupos de usurios ao
produzir dados em resposta
a cita
es judiciais?

Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
M
tricas de Resposta
a Incidentes

SEF05.1

Voc
s monitoram
e quantificam os tipos,
volumes e impactos em
todos os incidentes de
seguran
a da informa
o?

SEF05.2

Voc
s compartilharo
dados de incidentes de
seguran
a de informa
es
estat
sticas com seus
grupos de usurios
mediante solicita
o?

Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Qualidade e Integridade dos
Dados

STA01.1

Voc
s inspecionam e se
responsabilizam por erros
de qualidade de dados
e riscos associados,
e trabalham com os seus
parceiros da cadeia de
suprimentos de nuvem
para corrigi-los?

Gerenciamento de
Incidentes de
Segurana, Deteco
Eletrnica e Nuvem
Forense
Prepara
o Legal de
Resposta a Incidentes

STA01.2

Pgina 66 de 95

Voc
s projetam
e implementam controles
para mitigar e conter os
riscos de seguran
a de
dados atrav
s da separa
o
adequada de fun
es,
acesso baseado em fun
o
e acesso com menos
privil
gios para todo
o pessoal dentro de sua
cadeia de suprimentos?

Dezembro de 2015

Resposta da AWS

As m
tricas de seguran
a da AWS so monitoradas e analisadas
de acordo com o padro ISO 27001. Consulte o padro
ISO 27001, Anexo A, dom
nio 16 para obter mais detalhes.
A AWS foi validada e certificada por um auditor independente
para confirmar o alinhamento com o padro de certifica
o
ISO 27001.

Os clientes mant
m o controle e a propriedade sobre a qualidade
de seus dados e de erros potenciais de qualidade que podem
surgir atrav
s do uso de servi
os da AWS.
Consulte o relatrio SOC da AWS para obter detalhes espec
ficos
em rela
o integridade de dados e gerenciamento de acesso
(incluindo o acesso com privil
gio m
nimo)

Risco e Compliance da Amazon Web Services

Grupo de controle
Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Relatrio de Incidentes

CID

Resposta da AWS

Voc
s deixam as
informa
es de incidentes
de seguran
a dispon
veis
para todos os clientes
afetados e prestadores
periodicamente atrav
s de
meios eletrnicos (por
exemplo, portais)?

Os procedimentos, planos e programa de resposta a incidentes


da AWS foram desenvolvidos em alinhamento com o padro ISO
27001. Os relatrios SOC da AWS fornecem detalhes sobre
atividades espec
ficas de controle executadas pela AWS.

STA03.1

Voc
s coletam dados de
capacidade e utiliza
o
para todos os componentes
relevantes de sua oferta de
servi
o em nuvem?

A AWS gerencia dados de capacidade e utiliza


o em
alinhamento com o padro ISO 27001. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padro de certifica
o ISO 27001.

STA03.2

Voc
s fornecem aos grupos
de usurios relatrios de
utiliza
o e planejamento
de capacidade?

Gesto, transparncia
e contabilidade da
cadeia de suprimentos
Fornecedor de avalia
es
internas

STA04.1

Voc
s realizam avalia
es
internas anuais de
conformidade e eficcia de
suas pol
ticas,
procedimentos e medidas
de apoio e m
tricas?

A equipe da cadeia de suprimentos e aquisi


o da AWS mant
m
rela
es com todos os fornecedores da AWS.

Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Contratos de Terceiros

STA05.1

Voc
s selecionam
e monitoram provedores
terceirizados em
conformidade com
legisla
es no pa
s onde os
dados so processados,
armazenados
e transmitidos?

STA05.2

Voc
s selecionam
e monitoram provedores
terceirizados em
conformidade com
legisla
es no pa
s do qual
os dados so originados?

Os requisitos de seguran
a da equipe para provedores
terceirizados que oferecem suporte a sistemas e dispositivos da
AWS so estabelecidos em um Acordo de Confidencialidade
Mtua entre a organiza
o pai da AWS, o Amazon.com
e o respectivo provedor terceirizado. O departamento jur
dico da
Amazon e a equipe de aquisi
o da AWS definem os requisitos
de seguran
a da equipe de provedores terceirizados da AWS em
acordos de contrato com o provedor terceirizado. Todas as
pessoas que trabalham com informa
es da AWS devem pelo
menos atender ao processo de triagem para verifica
es de
antecedentes antes da contrata
o e assinar um Non-Disclosure
Agreement (NDA - Acordo de confidencialidade) antes de
receberem acesso s informa
es da AWS.

STA05.3

O departamento jur
dico
revisa todos os contratos de
terceiros?

STA05.4

Os acordos de terceiros
incluem proviso para
a seguran
a e prote
o de
informa
es e ativos?

STA05.5

Voc
s fornecem ao cliente
uma lista e cpias de todos
os contratos de
processamento substitui
o
e o mant
m atualizado?

Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Servi
os de
Infraestrutura/Rede

Pgina 67 de 95

STA02.1

Perguntas de avaliao
do consenso

Dezembro de 2015

O Whitepaper de Seguran
a na Nuvem AWS (dispon
vel em
http://aws.amazon.com/security) fornece detalhes adicionais.

Consulte o padro ISO 27001, Anexo A, dom


nio 8 para obter
mais detalhes. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de
certifica
o ISO 27001.

A AWS geralmente no terceiriza o desenvolvimento de servi


os
AWS a subcontratantes.

Risco e Compliance da Amazon Web Services

Grupo de controle

CID

Perguntas de avaliao
do consenso

Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Avalia
es de Governan
a
da Cadeia de Suprimentos

STA06.1

Voc
s revisam a gesto de
riscos e processos de
governan
a de parceiros
para dar conta dos riscos
herdados de outros
membros da cadeia de
suprimentos do parceiro?

Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
M
tricas da Cadeia de
Suprimentos

STA07.1

Pol
ticas e procedimentos
so estabelecidos, e os
processos de negcios
suportados e as medidas
t
cnicas implementadas,
para a manuten
o de
acordos completos,
precisos e pertinentes (por
exemplo, SLAs) entre
fornecedores e clientes
(grupos de usurios)?

STA07.2

Voc
s t
m a capacidade de
medir e tratar da no
conformidade das
disposi
es e/ou termos
em toda a cadeia de
suprimentos
(upstream/downstream)?

STA07.3

Voc
s podem gerenciar
conflitos ou inconsist
ncias
a n
vel de servi
o
resultantes do
relacionamento com
fornecedores diferentes?

STA07.4

Voc
s revisam todos os
acordos, pol
ticas
e processos ao menos uma
vez ao ano?

STA08.1

Voc
s garantem a seguran
a
razo
vel de informa
es em
toda a sua cadeia de
suprimentos de informa
es
atrav
s da realiza

o de uma
revis
o anual?

STA8.2

A sua reviso anual inclui


todos os
parceiros/fornecedores
terceirizados dos quais
a sua cadeia de
suprimentos de
informa
es depende?

STA09.1

Voc
s permitem que
grupos de usurios
realizem avalia
es
independentes para
verificar vulnerabilidades?

Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Avalia
o de Terceiros

Gesto, Transparncia
e Contabilidade da
Cadeia de Suprimentos
Auditorias de Terceiros

Pgina 68 de 95

Dezembro de 2015

Resposta da AWS
A AWS mant
m acordos formais com os principais fornecedores
de terceiros e implementa mecanismos de gesto de
relacionamento adequadas, de acordo com sua rela
o com
o negcio. Os processos de gerenciamento de terceiros da AWS
revisado regularmente por auditores independentes, como parte
da conformidade cont
nua da AWS com o SOC, e ISO 27001.

Os clientes podem solicitar permisso para conduzir pesquisas


de sua infraestrutura em nuvem contanto que elas se limitem
a instncias do cliente e no violem a pol
tica de uso aceitvel da
AWS. A pr
via aprova
o para esses tipos de verifica
es pode
ser iniciada enviando-se uma solicita
o atrav
s do formulrio

Risco e Compliance da Amazon Web Services

Grupo de controle

CID
STA09.2

Gerenciamento de
Vulnerabilidades
e Ameaas
Software Malintencionado/Antiv
rus

Gerenciamento de
Vulnerabilidades
e Ameaas
Gerenciamento de
Vulnerabilidades/Patch

Pgina 69 de 95

TVM01.1

Perguntas de avaliao
do consenso

Dezembro de 2015

Resposta da AWS

Voc
s t
m servi
os
terceirizados externos que
realizam verifica
es de
vulnerabilidade e testes
peridicos de penetra
o
em seus aplicativos
e redes?

AWS Vulnerability/Penetration Testing Request (Solicita


o de
teste de penetra
o/vulnerabilidade da AWS).

Voc
s t
m programas
antimalware compat
veis
ou que se conectam com
ofertas de servi
o em
nuvem instalados em todos
os seus sistemas?

Os procedimentos, processos e programa da AWS para gerenciar


software mal-intencionado/antiv
rus esto em alinhamento com
os padres ISO 27001. Consulte os relatrios SOC da AWS para
obter mais detalhes.

TVM01.2

Vocgarante que sistemas


de detec
o de amea
as de
seguran
a que usam
assinaturas, listas ou
padres comportamentais
so atualizados em todos os
componentes de
infraestrutura dentro dos
intervalos de tempo
aceitveis do setor?

TVM02.1

Voc
s realizam
regularmente verifica
es
de vulnerabilidade na
camada de rede, como
prescrito por prticas
recomendadas do setor?

TVM02.2

Voc
s realizam verifica
es
de vulnerabilidade na
camada de aplicativos
regularmente, como
prescrito por prticas
recomendadas do setor?

TVM02.3

Voc
s realizam verifica
es
de vulnerabilidade na
camada de sistemas
operacionais locais
regularmente, como
prescrito por prticas
recomendadas do setor?

TVM02.4

Os resultados de
verifica
es de
vulnerabilidade estaro
dispon
veis para grupos de
usurios mediante
solicita
o?

TVM02.5

Voc
s t
m um recurso para
aplicar rapidamente
corre
es em todos os seus
sistemas, aplicativos
e dispositivos de
computa
o?

A seguran
a da AWS contrata regularmente empresas de
seguran
a independentes para realizar avalia
es de amea
a
e vulnerabilidade externa. Os relatrios SOC da AWS fornecem
mais detalhes sobre atividades espec
ficas de controle
executadas pela AWS.

Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio 12
para obter mais detalhes. A AWS foi validada e certificada por
um auditor independente para confirmar o alinhamento com
o padro de certifica
o ISO 27001.

Os clientes det
m o controle de seus prprios sistemas
operacionais convidados, software e aplicativos. Al
m disso, so
responsveis por realizar verifica
es de vulnerabilidade
e aplica
o de corre
es em seus prprios sistemas. Os clientes
podem solicitar permisso para conduzir pesquisas de sua
infraestrutura em nuvem contanto que elas se limitem
a instncias do cliente e no violem a pol
tica de uso aceitvel da
AWS. A seguran
a da AWS examina regularmente todos os
endere
os IP de endpoint, de servi
o voltado Internet, quanto
exist
ncia de vulnerabilidades. A seguran
a da AWS notificar
as partes adequadas para solucionar quaisquer vulnerabilidades
identificadas. A manuten
o da AWS e a aplica
o de corre
es
de sistema geralmente no afetam os clientes.
Consulte o Whitepaper de Seguran
a na Nuvem AWS para obter
detalhes adicionais, dispon
vel em
http://aws.amazon.com/pt/security. Consulte o padr
o ISO 27001,
Anexo A, dom
nio 12 para obter mais detalhes. A AWS foi validada
e certificada por um auditor independente para confirmar
o alinhamento com o padr
o de certifica

o ISO 27001.

Risco e Compliance da Amazon Web Services

Grupo de controle

Gerenciamento de
Vulnerabilidades
e Ameaas
Cdigo para Dispositivo
Mvel

Pgina 70 de 95

CID

Perguntas de avaliao
do consenso

TVM02.6

Voc
s fornecero intervalos
de tempo para a aplica
o
de corre
es em sistemas,
com base em riscos, para
seus grupos de usurios
mediante solicita
o?

TVM03.1

O cdigo para dispositivo


mvel autorizado antes de
sua instala
o e uso?
A configura
o do cdigo
verificada para garantir
que o cdigo para
dispositivo mvel
autorizado opera de acordo
com uma pol
tica de
seguran
a claramente
definida?

TVM03.2

Todos os cdigos para


dispositivos mveis no
autorizados t
m sua
execu
o impedida?

Dezembro de 2015

Resposta da AWS

A AWS permite aos clientes gerenciar os aplicativos mveis


e clientes para suas prprias necessidades.

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Apndice B: Alinhamento da AWS com as Consideraes de


Segurana de Computao em Nuvem do ASD (Australian Signals
Directorate)
As Considera
es de Seguran
a de Computa
o em Nuvem foram criadas para auxiliar ag
ncias na execu
o de
avalia
es de riscos de servi
os oferecidos por provedores de servi
o de nuvem. Os itens a seguir descrevem
o alinhamento da AWS
s considera
es de seguran
a publicadas em setembro de 2012. Para obter detalhes
adicionais, consulte:
http://www.asd.gov.au/publications/csocprotect/Cloud_Computing_Security_Considerations.pdf
rea
principal
Manuten
o
da
disponibilida
de e da
funcionalidade
comercial

Perguntas

RESPOSTA DA AWS

a. Gravidade comercial de
dados ou funcionalidades.
Estou movendo dados ou
funcionalidades cr
ticas de
negcios para a nuvem?

Os clientes da AWS mant


m o controle e a propriedade sobre seu
contedo. Os clientes so responsveis pela classifica
o e uso de seu
contedo.

b. Plano de continuidade
dos negcios e recupera
o
de desastres do fornecedor.
Posso ler uma cpia do
plano de continuidade dos
negcios e recupera
o de
desastres do fornecedor
que abrange
a disponibilidade
e restaura
o dos meus
dados e dos servi
os do
fornecedor que uso?
Quanto tempo leva para
que meus dados e os
servi
os que uso sejam
recuperados aps um
desastre? Os outros
clientes do fornecedor que
so maiores e pagam mais
do que eu recebem
prioridade?

Os clientes da AWS mant


m o controle e a propriedade sobre os seus
dados. A AWS oferece aos clientes a flexibilidade de posicionar instncias
e armazenar dados em vrias regies geogrficas, bem como em vrias
zonas de disponibilidade dentro de cada regio. Cada zona de
disponibilidade concebida como uma zona de falha independente. Em
caso de falha, processos automatizados desviam o trfego de dados do
cliente da rea afetada.
Para obter mais detalhes, consulte o relatrio SOC 1, tipo II, da AWS.
O padro ISO 27001, Anexo A, dom
nio 11.2 oferece mais detalhes. A AWS
foi validada e certificada por um auditor independente para confirmar
o alinhamento com o padro de certifica
o ISO 27001.
Os clientes usam a nuvem da AWS para acelerar a recupera
o de
desastres de seus sistemas de TI cr
ticos, sem incorrer em gastos de
infraestrutura de um segundo lugar f
sico. A nuvem da AWS suporta
diversas arquiteturas populares de recupera
o de desastres (RD), desde
ambientes de "luz piloto" que esto prontos para aumentar em escala
a qualquer momento atambientes em "opera
o cont
nua" que permitem
um failover rpido. Para saber mais sobre Recupera
o de Desastres na
AWS, visite https://aws.amazon.com/disaster-recovery/.
A AWS oferece aos clientes a capacidade de implementar um plano de
continuidade robusta, incluindo a utiliza
o de backups frequentes de
instncia de servidor, replica
o de redundncia de dados e arquiteturas
de implementa
o da zona de disponibilidade/vrias regies. A AWS
oferece aos clientes a flexibilidade de posicionar instncias e armazenar
dados em vrias regies geogrficas, bem como em vrias zonas de
disponibilidade dentro de cada regio. Cada zona de disponibilidade
concebida como uma zona de falha independente. Em caso de falha,
processos automatizados desviam o trfego de dados do cliente da rea
afetada.
Os datacenters da AWS incorporam prote
o f
sica contra riscos
ambientais. A prote
o f
sica da AWS em rela
o a riscos ambientais foi
validada por um auditor independente e certificada como estando em
alinhamento com as prticas recomendadas do ISO 27002. Consulte
o padro ISO 27001, Anexo A, dom
nio 9.1 e relatrio SOC 1 tipo II da
AWS para obter mais informa
es.

Pgina 71 de 95

Risco e Compliance da Amazon Web Services

rea
principal

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

c. Meu plano de backup de


dados. Serque terei gasto
adicional para manter um
backup atualizado dos
meus dados localizado nas
instala
es da minha
ag
ncia, ou armazenado
em um segundo fornecedor
que no tenha pontos
comuns de falha com
o primeiro fornecedor?

Os clientes da AWS mant


m o controle e a propriedade de seu contedo
e de responsabilidade do cliente gerenciar seus planos de backup de
dados.
A AWS permite que os clientes movam os dados conforme necessrio
e desativem o armazenamento da AWS. O servi
o AWS Import/Export
para S3 acelera a movimenta
o de grandes volumes de dados na AWS,
interna e externamente, usando dispositivos de armazenamento portteis
para transporte. A AWS permite que os clientes fa
am seus backups em
fitas usando seu prprio provedor de servi
o de backup em fita. No
entanto, um backup em fita no um servi
o prestado pela AWS.
O servi
o Amazon S3 projetado para conduzir a probabilidade de perda
de dados para perto de zero por cento e a durabilidade equivalente das
cpias multissite de objetos de dados conseguida atrav
s de redundncia
de armazenamento de dados. Para obter informa
es sobre dados
durabilidade e redundncia, consulte o website da AWS.
A AWS oferece uma variedade de servi
os de computa
o em nuvem para
oferecer suporte Recupera
o de Desastres. Para saber mais sobre
Recupera
o de Desastres na AWS, visite
https://aws.amazon.com/disaster-recovery/.

d. Meu plano de
continuidade dos negcios
e recupera
o de desastres.
Serque terei gasto
adicional para replicar
meus dados ou
a funcionalidade dos
negcios em um segundo
fornecedor que use um
datacenter diferente e,
idealmente, no tenha
pontos comuns de falha
com o primeiro
fornecedor? Essa
replica
o deve,
preferencialmente, ser
configurada para
automaticamente
"failover", de modo que se
os servi
os de um
fornecedor se tornarem
indispon
veis, o controle
serautomaticamente
transferido, sem
problemas, para o outro
fornecedor.

Pgina 72 de 95

Os clientes mant
m o controle e a propriedade sobre os seus dados. Os
clientes podem exportar suas AMIs e us-las localmente ou em outro
provedor (sujeito a restri
es de licenciamento de software). Consulte
o Whitepaper de Viso Geral de Processos de Seguran
a da AWS para
obter detalhes adicionais, dispon
veis em
http://aws.amazon.com/pt/security.
A AWS permite que os clientes movam os dados conforme necessrio
e desativem o armazenamento da AWS. O servi
o AWS Import/Export
para S3 acelera a movimenta
o de grandes volumes de dados na AWS,
interna e externamente, usando dispositivos de armazenamento portteis
para transporte. A AWS permite que os clientes fa
am seus backups em
fitas usando seu prprio provedor de servi
o de backup em fita. No
entanto, um backup em fita no um servi
o prestado pela AWS.
Os datacenters da AWS so constru
dos em clusters em vrias regies
globais. Todos os datacenters esto online e a servi
o dos clientes;
nenhum datacenter est"inativo". Em caso de falha, processos
automatizados desviam o trfego de dados do cliente da rea afetada. Os
principais aplicativos so implantados em uma configura
o N + 1 para
que, no caso de uma falha do datacenter, haja capacidade suficiente para
permitir que o trfego seja balanceado para os locais restantes. A AWS
oferece aos clientes a flexibilidade de posicionar instncias e armazenar
dados em vrias regies geogrficas, bem como em vrias zonas de
disponibilidade dentro de cada regio. Cada zona de disponibilidade
concebida como uma zona de falha independente. Isto significa que as
zonas de disponibilidade so fisicamente separadas dentro de uma regio
metropolitana espec
fica e esto localizadas nas plan
cies de inunda
o de
risco inferior (categoriza
o de zona de inunda
o espec
fica varia por
regio). Al
m de discretas fontes de alimenta
o ininterrupta (UPS)
e instala
es de gera
o de backup no local, cada uma alimentada
atrav
s de grades diferentes de utilitrios independentes para reduzir

Risco e Compliance da Amazon Web Services

rea
principal

Perguntas

Dezembro de 2015

RESPOSTA DA AWS
ainda mais os pontos nicos de falha. Zonas de disponibilidade so todas
redundantemente conectadas a vrios provedores de trnsito de n
vel 1. Os
clientes devem projetar seu uso da AWS para tirar proveito de vrias
regies e zonas de disponibilidade. Se distribuir os aplicativos por vrias
zonas de disponibilidade, vocpodermanter a resili
ncia diante de
praticamente qualquer falha, inclusive catstrofes naturais e falhas do
sistema.
Para obter mais detalhes, consulte o relatrio SOC 1, tipo II, da AWS.
O padro ISO 27001, Anexo A, dom
nio 11.2 oferece mais detalhes. A AWS
foi validada e certificada por um auditor independente para confirmar
o alinhamento com a certifica
o ISO 27001.

e. Minha conectividade
com a nuvem.
A conectividade de rede
entre os usurios da minha
ag
ncia e a rede do
fornecedor adequada em
termos de disponibilidade,
taxa de transfer
ncia ou
trfego (largura de banda),
atrasos (lat
ncia) e perda
de pacotes?

Os clientes tamb
m podem escolher o seu caminho de rede para
instala
es da AWS, incluindo vrios endpoints de VPN em cada regio da
AWS. Al
m disso, o AWS Direct Connect torna fcil estabelecer uma
conexo de rede dedicada entre suas instala
es e a AWS. Usando o AWS
Direct Connect, vocpode estabelecer conectividade privada entre a AWS
e o ambiente de datacenter, escritrio ou local compartilhado, o que, em
muitos casos, pode reduzir os custos de rede, aumentar a taxa de
transfer
ncia da largura de banda e proporcionar uma experi
ncia de rede
mais consistente do que conexes com base na Internet.

f. Garantia de
disponibilidade do
fornecedor. O Acordo de
N
vel de Servi
o (SLA)
garante que o fornecedor
fornecerdisponibilidade
de sistema e qualidade de
servi
o adequadas,
usando sua arquitetura de
sistema robusta
e processos comerciais?

A AWS compromete-se com altos n


veis de disponibilidade em seus
Acordos de N
vel de Servi
o (SLAs). Por exemplo, o Amazon EC2
compromete-se com a porcentagem de tempo de atividade anual de pelo
menos 99,95% durante o ano de servi
o. O Amazon S3 compromete-se
com a porcentagem mensal m
nima de tempo de atividade de 99,99%.
Caso essas m
tricas de disponibilidade no sejam atendidas, sero
fornecidos cr
ditos de servi
o.

Consulte o Whitepaper de Viso Geral de Processos de Seguran


a da AWS
para obter mais detalhes, dispon
vel em http://aws.amazon.com/security.

Os clientes devem projetar seu uso da AWS para tirar proveito de v


rias regies
e zonas de disponibilidade. Se distribuir os aplicativos por v
rias zonas de
disponibilidade, vocpodermanter a resili
ncia diante de praticamente
qualquer falha, inclusive cat
strofes naturais e falhas do sistema.
A AWS utiliza sistemas de monitoramento automatizados para fornecer um
alto n
vel de disponibilidade e desempenho do servi
o. O monitoramento
proativo estdispon
vel atrav
s de uma variedade de ferramentas on-line
para uso interno e externo. Os sistemas dentro da AWS s
o extensivamente
instrumentados para monitorar as principais m
tricas operacionais. Os
alarmes s
o configurados para notificar opera
es e gerenciar colaboradores
quando limites de alerta de in
cio s
o cruzados nas principais m
tricas
operacionais. Uma agenda de plant
o usada para que colaboradores estejam
sempre dispon
veis para auxiliar com problemas operacionais. Isso inclui um
sistema de pager para que os alertas sejam comunicados de maneira r
pida
e confi
vel equipe de opera
es.
O gerenciamento de rede da AWS revisado regularmente por auditores
terceirizados independentes, como parte da conformidade cont
nua da
AWS com o SOC, PCI DSS, ISO 27001 e FedRAMPsm.

Pgina 73 de 95

Risco e Compliance da Amazon Web Services

rea
principal

Pgina 74 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

g. Impacto de interrup
es.
Posso tolerar o mximo
poss
vel de tempo de
inatividade do SLA? As
janelas de interrup
o
programadas so aceitveis
em dura
o e hora do dia,
ou as interrup
es
programadas interferem
nos meus processos
comerciais cr
ticos?

A AWS no exige que os sistemas sejam paralisados para executar


a manuten
o regular e aplica
o de corre
es de sistema. A manuten
o
da AWS e a aplica
o de corre
es de sistema geralmente no afetam os
clientes. A manuten
o das instncias em si controlada pelo cliente.

h. Incluso de interrup
es
programadas do SLA.
A porcentagem de
disponibilidade garantida
pelo SLA
inclui as interrup
es
programadas?

A AWS no opera um ambiente com interrup


o programada, pois a AWS
oferece aos clientes a capacidade de projetar seu ambiente para aproveitar
as diversas regies e zonas de disponibilidade.

i. Compensa
o do SLA.
O SLA reflete
adequadamente o dano
real causado por uma
viola
o do SLA, como
paradas no programadas
ou perda de dados?

A AWS fornece remunera


o ao cliente por perdas que podem decorrer de
interrup
es no alinhamento com o acordo de n
vel de servi
o da AWS.

Risco e Compliance da Amazon Web Services

rea
principal

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

j. Integridade
e disponibilidade de dados.
Como o fornecedor
implementa mecanismos
como redundncia
e backups fora do local
para evitar corrup
o ou
perda de meus dados
e garante a integridade
e disponibilidade dos meus
dados?

Os controles de integridade de dados da AWS, como descrito no relatrio


SOC 1 tipo II da AWS, fornecem garantia razovel de que a integridade de
dados sermantida em todas as fases, incluindo transmisso,
armazenamento e processamento.
Al
m disso, consulte o padro ISO 27001, Anexo A, dom
nio 12.2 para
obter mais informa
es. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de certifica
o
ISO 27001.
Os datacenters so constru
dos em clusters em vrias regies globais.
A AWS oferece aos clientes a flexibilidade de posicionar instncias
e armazenar dados em vrias regies geogrficas, bem como em vrias
zonas de disponibilidade dentro de cada regio. Os clientes devem projetar
seu uso da AWS para tirar proveito de vrias regies e zonas de
disponibilidade.
Vocescolhe o local para armazenar seus dados especificando uma regio
(do Amazon S3) ou uma zona de disponibilidade em uma regio (do EBS).
Os dados do Amazon Elastic Block Store (Amazon EBS) so armazenados
redundantemente em vrias localiza
es f
sicas. Isso parte da opera
o
normal desses servi
os e no implica nenhum custo adicional. No entanto,
a replica
o do Amazon EBS armazenada na mesma zona de
disponibilidade, no em vrias zonas.
O Amazon S3 oferece aos clientes uma infraestrutura de armazenamento
altamente durvel. Os objetos so armazenados de forma redundante em
vrios dispositivos em diversas instala
es em uma regio do Amazon S3.
Uma vez armazenados, o Amazon S3 mant
m a durabilidade dos objetos
ao detectar e reparar rapidamente qualquer redundncia perdida.
O Amazon S3 tamb
m verifica regularmente a integridade dos dados
armazenados usando somas de verifica
o. Se uma corrup
o for
detectada, ela serreparada usando dados redundantes. Os dados
armazenados no S3 so projetados para fornecer disponibilidade de
99,99% de objetos e durabilidade de 99,999999999% ao longo de um
determinado ano.
Consulte o Whitepaper de Viso Geral de Processos de Seguran
a da AWS
para obter detalhes adicionais dispon
vel em
http://aws.amazon.com/pt/security.

k. Restaura
o de dados.
Se eu excluir
acidentalmente um
arquivo, e-mail ou outros
dados, quanto tempo
levarpara que meus
dados sejam restaurados
do backup, parcial ou
totalmente? O tempo
mximo aceitvel de
acordo com o SLA?

Pgina 75 de 95

Os clientes da AWS mant


m o controle e a propriedade sobre os seus
dados. A AWS oferece aos clientes a flexibilidade de posicionar instncias
e armazenar dados em vrias regies geogrficas, bem como em vrias
zonas de disponibilidade dentro de cada regio.

Risco e Compliance da Amazon Web Services

rea
principal

Pgina 76 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

I. Escalabilidade. Qual
a disponibilidade dos
recursos de computa
o
que o fornecedor oferece
para permitir meu uso dos
servi
os do fornecedor
para escalonar a curto
prazo?

A nuvem da AWS distribu


da, altamente segura e flex
vel, dando aos
clientes grande potencial de escalabilidade. Os clientes podem expandir
para mais ou para menos, pagando apenas pelo que utilizarem.

m. Mudan
a de fornecedor.
Se quiser passar meus
dados para minha ag
ncia
ou para um fornecedor
diferente, ou se
o fornecedor encerrar suas
atividades de repente, ou
sair das atividades
comerciais de nuvem,
como fa
o para obter
acesso aos meus dados em
um formato neutro para
evitar que fique preso ao
fornecedor? Qual ser
o n
vel de coopera
o do
fornecedor? Como garanto
que meus dados sejam
permanentemente
exclu
dos da m
dia de
armazenamento do
fornecedor? Para
o Plataforma como Servi
o,
quais padres o fornecedor
utiliza que facilitam
a portabilidade
e interoperabilidade para
mover facilmente meu
aplicativo para um
fornecedor diferente ou
para minha ag
ncia?

Os clientes mant
m o controle e a propriedade sobre os seus dados. Os
clientes podem exportar suas AMIs e us-las localmente ou em outro
provedor (sujeito a restri
es de licenciamento de software). Consulte
o Whitepaper de Viso Geral de Processos de Seguran
a da AWS para
obter detalhes adicionais, dispon
veis em
http://aws.amazon.com/pt/security.
A AWS permite que os clientes movam os dados conforme necessrio
e desativem o armazenamento da AWS. O servi
o AWS Import/Export
para S3 acelera a movimenta
o de grandes volumes de dados na AWS,
interna e externamente, usando dispositivos de armazenamento portteis
para transporte. A AWS permite que os clientes fa
am seus backups em
fitas usando seu prprio provedor de servi
o de backup em fita. No
entanto, um backup em fita no um servi
o prestado pela AWS.

Risco e Compliance da Amazon Web Services

rea
principal
Prote
o de
dados contra
acesso no
autorizado de
terceiros

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

a. Op
o de modelo de
implanta
o da nuvem.
Estou pensando em usar
uma nuvem pblica
possivelmente menos
segura, uma nuvem h
brida
ou de comunidade
possivelmente mais segura,
ou uma nuvem privada
possivelmente mais
segura?

As equipes de conformidade e seguran


a da AWS estabeleceram pol
ticas
e estrutura de seguran
a da informa
o com base na estrutura de COBIT
(Control Objectives for Information and Related Technology). A estrutura
de seguran
a da AWS integra as prticas recomendadas do ISO 27002
e o padro de seguran
a de dados do PCI.
Consulte o Whitepaper de Conformidade e Avalia
o de Riscos da AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/security. A AWS fornece declara
es de terceiros,
certifica
es, relatrio de controles de empresa de servi
os (SOC 1), tipo II
e outros relatrios de conformidade relevantes diretamente para nossos
clientes sob NDA.
A Amazon Virtual Private Cloud (Amazon VPC) permite provisionar uma
se
o da nuvem da Amazon Web Services (AWS) isolada logicamente onde
vocpode executar recursos da AWS em uma rede virtual que vocmesmo
define. Voctem controle total sobre seu ambiente de rede virtual,
incluindo a sele
o do seu prprio intervalo de endere
os IP, cria
o de
subnets e configura
o de tabelas de roteamento e gateways de rede.
poss
vel personalizar facilmente a configura
o da rede para o Amazon
VPC. Por exemplo, vocpode criar uma sub-rede voltada para o pblico
com foco nos servidores Web que tenham acesso Internet e colocar seus
sistemas back-end, como bancos de dados ou servidores de aplicativos em
uma sub-rede de uso privado sem acesso Internet. Vocpode aproveitar
vrias camadas de seguran
a, incluindo grupos de seguran
a e listas de
controle de acesso rede, para ajudar a controlar o acesso s instncias do
Amazon EC2 em cada subnet.
Al
m disso, vocpode criar uma conexo de rede privada virtual (VPN) de
hardware entre o datacenter corporativo e o VPC e aproveitar a nuvem da
AWS como uma extenso do datacenter corporativo

b. Confidencialidade dos
meus dados. Meus dados
podero ser armazenados
ou processados na nuvem
quando classificados como
confidenciais, privados, ou
dados que estiverem
dispon
veis publicamente,
como informa
es
do meu site pblico?
A agrega
o de meus dados
os tornam mais
confidenciais que qualquer
dado individual? Por
exemplo,
a confidencialidade pode
ser mais estrita com
o armazenamento de uma
quantidade significativa de
dados ou
o armazenamento de uma
variedade de dados que, se

Pgina 77 de 95

Os clientes da AWS mant


m o controle e a propriedade de seus dados
e podem implementar um programa de classifica
o de dados estruturado
para atender s suas exig
ncias.

Risco e Compliance da Amazon Web Services

rea
principal

Perguntas

Dezembro de 2015

RESPOSTA DA AWS

comprometido, facilitaria
o roubo de identidade. Se
houver comprometimento
de dados, eu poderia
demonstrar minha
investiga
o ao
gerenciamento s
nior, aos
oficiais do governo e ao
pblico?

Pgina 78 de 95

c. Obriga
es legislativas.
Quais obriga
es tenho
para proteger e gerenciar
meus dados conforme as
diversas legisla
es, por
exemplo, a Privacy Act (Lei
de Privacidade), a Archives
Act (Lei de Arquivos), bem
como outras legisla
es
espec
ficas ao tipo de
dados? O fornecedor
aceitarseguir
contratualmente essas
obriga
es para me ajudar
a garantir que elas
satisfa
am ao Governo da
Austrlia?

Os clientes da AWS continuam com a responsabilidade de garantir que seu


uso da AWS esteja em conformidade com regulamentos e legisla
es
aplicveis. A AWS comunica seu ambiente de controle e seguran
a para
clientes atrav
s de declara
es de terceiros e certifica
es, whitepapers
(dispon
veis em http://aws.amazon.com/pt/security) e fornecendo
certifica
es, relatrios e outra documenta
o relevante diretamente para
clientes da AWS.

d. Pa
ses com acesso aos
meus dados. Em quais
pa
ses meus dados so
armazenados, feito
o backup e ocorre
o processamento? Em
quais pa
ses meus dados
trafegam? Em quais pa
ses
esto os datacenters de
failover ou redundantes?
O fornecedor me notificar
se as respostas a essas
perguntas forem alteradas?

Os clientes da AWS escolhem as regies ou a regi


o da AWS na qual seu
contedo e os servidores estar
o localizados. Isso permite que os clientes
com necessidades geogr
ficas espec
ficas estabele
am os ambientes em um
local de sua escolha. Os clientes da AWS na Austr
lia podem optar por
implantar seus servi
os da AWS exclusivamente na regi
o da sia-Pac
fico
(Sydney) e armazenar seu contedo onshore na Austr
lia. Se o cliente fizer
essa escolha, seu contedo estarlocalizado na Austr
lia, a menos que
o cliente opte por mover os dados. Os clientes podem replicar e fazer backup
do contedo em mais de uma regi
o, mas a AWS no move ou replica
o contedo do cliente fora da regi
o ou regies escolhidas pelo cliente.

A AWS publicou um whitepaper sobre o uso da AWS no contexto das


considera
es de privacidade da Austrlia, dispon
vel aqui.

A AWS estatenta seguran


a dos clientes e no divulga ou move dados
em resposta a uma solicita
o do governo da Austrlia, dos Estados
Unidos ou de outro governo, a menos que legalmente seja obrigado
a faz
-lo a fim de cumprir uma ordem legalmente vlida e vinculativa,
como uma intima
o ou ordem judicial, ou como seja exigido por lei
aplicvel. Os rgos governamentais ou normativos fora dos EUA
geralmente devem usar os processos internacionais reconhecidos, como os
Tratados de Assist
ncia Legal Mtua com o governo dos Estados Unidos,
para obter ordens vlidas e vinculativas. Al
m disso, a nossa prtica
notificar os clientes, caso seja poss
vel, antes de divulgar o seu contedo
para que eles possam buscar prote
o contra a divulga
o, a menos que
estejamos legalmente impedidos de faz
-lo.

Risco e Compliance da Amazon Web Services

rea
principal

Pgina 79 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

e. Tecnologias de
criptografia de dados. Os
algoritmos de hash,
algoritmos de criptografia
e comprimentos de chave
so considerados
adequados pelo ISM DSD
usado para proteger meus
dados quando eles esto
em trnsito atrav
s de uma
rede, e armazenados em
computadores e m
dia de
backup do fornecedor?
A capacidade de
criptografar dados ao
mesmo tempo que so
processados por
computadores do
fornecedor ainda uma
tecnologia emergente
e uma rea de pesquisa
atual do setor e da
academia. A criptografia
considerada forte
o suficiente para proteger
meus dados pelo tempo
necessrio para que meus
dados continuem
confidenciais?

A AWS permite que os clientes usem seus prprios mecanismos de


criptografia para quase todos os servi
os, incluindo S3, EBS, SimpleDB
e EC2. As sesses da VPC tamb
m so criptografadas. O Amazon S3
tamb
m oferece criptografia no servidor como uma op
o para os clientes.
Os clientes tamb
m podem usar tecnologias de criptografia de terceiros.
Internamente, a AWS estabelece e gerencia chaves criptogrficas para
a criptografia necessria empregada na infraestrutura da AWS. A AWS
produz, controla e distribui chaves criptogrficas sim
tricas usando
tecnologias e processos de gerenciamento de chaves comprovados no
sistema de informa
es da AWS. Um gerenciador de credenciais e chaves
de seguran
a desenvolvido pela AWS usado para criar, proteger
e distribuir chaves sim
tricas, al
m de proteger e distribuir: credenciais da
AWS necessrias em hosts, chaves pblicas/privadas de RSA
e Certifica
es X.509.

d. Higieniza
o da m
dia.
Quais processos so
utilizados para higienizar
a m
dia de armazenamento
dos meus dados no final de
sua vida til, e os processos
so considerados
apropriados pelo ISM
DSD?

Quando um dispositivo de armazenamento tiver atingido o final da sua


vida til, os procedimentos da AWS incluiro um processo de desativa
o
que projetado para impedir que os dados do cliente sejam expostos
a pessoas no autorizadas. A AWS usa as t
cnicas detalhadas no DoD
5220.22-M (Manual operacional do programa de segurana industrial
nacional) ou NIST 800-88 (Orientaes para o tratamento de mdia)
para destruir dados como parte do processo de desativa
o. Se um
dispositivo de hardware for incapaz de ser desativado usando esses
procedimentos, o dispositivo serinutilizado ou fisicamente destru
do em
conformidade com as prticas padro do setor. Consulte o Whitepaper de
Viso Geral de Processos de Seguran
a da AWS para obter detalhes
adicionais dispon
vel em http://aws.amazon.com/pt/security.

Os processos criptogrficos da AWS so revisados por auditores


terceirizados independentes, como parte da conformidade cont
nua com
o SOC, PCI DSS, ISO 27001 e FedRAMPsm.
O servi
o AWS CloudHSM permite que vocproteja suas chaves de
criptografia dentro de HSMs designados e validados de acordo com
padres governamentais para o gerenciamento seguro de chaves.
poss
vel gerar, armazenar e gerenciar as chaves de criptografia usadas
na criptografia de dados de tal forma que somente voctenha acesso
a elas. O AWS CloudHSM ajuda a cumprir requisitos estritos de
gerenciamento de chaves sem sacrificar o desempenho dos aplicativos.
O servi
o AWS CloudHSM funciona com a Amazon Virtual Private Cloud
(VPC). Os CloudHSMs so provisionados dentro da sua VPC com
o endere
o IP que vocespecificar, oferecendo conectividade a redes
simples e privadas para as suas instncias do Amazon Elastic Compute
Cloud (EC2). O posicionamento dos CloudHSMs perto das instncias do
EC2 reduz a lat
ncia de rede, o que pode melhorar o desempenho do
aplicativo. A AWS oferece acesso dedicado e exclusivo aos CloudHSMs de
forma isolada dos outros clientes da AWS. Dispon
vel em vrias regies
e zonas de disponibilidade, o AWS CloudHSM permite que vocadicione
armazenamento seguro e durvel de chaves aos aplicativos do Amazon
EC2.

Risco e Compliance da Amazon Web Services

rea
principal

Pgina 80 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

g. Monitoramento
e gerenciamento remoto do
fornecedor. O fornecedor
monitora, administra ou
gerencia os computadores
que armazenam ou
processam meus dados?
Em caso positivo, isso
realizado remotamente
de outros pa
ses ou da
Austrlia? O fornecedor
pode fornecer relatrios de
conformidade de patch
e outros detalhes sobre
a seguran
a de esta
es de
trabalho utilizadas para
realizar esse trabalho,
e quais controles impedem
que os funcionrios do
fornecedor usem laptops
de propriedade pessoal no
confiveis?

A movimenta
o da infraestrutura de TI para os servi
os da AWS cria um
modelo de responsabilidade compartilhada entre o cliente e a AWS. Esse
modelo compartilhado pode auxiliar a reduzir os encargos operacionais do
cliente na medida em que a AWS opera, gerencia e controla os
componentes do sistema operacional do host e a camada de virtualiza
o,
incluindo a seguran
a f
sica das instala
es em que o servi
o opera.
O cliente assume a gesto e a responsabilidade pelo sistema operacional
convidado (inclusive atualiza
es e patches de seguran
a), por outro
software de aplicativo associado, bem como pela configura
o do firewall
do grupo de seguran
a fornecido pela AWS.

h. Meu monitoramento
e gerenciamento. Posso
usar minhas ferramentas
para verifica
o de
integridade, verifica
o de
conformidade,
monitoramento de
seguran
a e gerenciamento
de rede jexistentes, para
obter visibilidade de todos
os meus sistemas
independentemente se
esses sistemas estiverem
localizados localmente ou
na nuvem? Preciso saber
usar as ferramentas
adicionais fornecidas pelo
fornecedor? O fornecedor
oferece tal mecanismo para
que eu possa realizar
o monitoramento?

O AWS CloudWatch oferece monitoramento de recursos em nuvem da


AWS e de aplicativos que clientes executam na AWS. Para obter detalhes
adicionais, consulte aws.amazon.com/cloudwatch. A AWS tamb
m
publica nossas informa
es mais recentes sobre disponibilidade de servi
o
no Painel de Status dos Servi
os. Consulte status.aws.amazon.com.

i. Propriedade de dados.
Mantenho a propriedade
legal dos meus dados ou
ela pertence ao fornecedor
e poderser considerada
um ativo para venda pelos
liquidantes se o fornecedor
encerrar suas atividades?

Os clientes da AWS mant


m a propriedade e o controle sobre os seus
dados. A AWS usa o contedo de cada cliente somente para oferecer os
servi
os da AWS selecionados pelo cliente e no usa o contedo do cliente
para nenhuma finalidade secundria. A AWS trata o contedo de todos os
clientes da mesma forma e no tem nenhuma informa
o sobre o tipo de
contedo que o cliente opta por armazenar na AWS. A AWS apenas torna
dispon
veis os servi
os de computa
o, armazenamento, banco de dados
e rede selecionados pelo cliente. A AWS no requer o acesso ao contedo
do cliente para prestar os seus servi
os.

O AWS Trusted Advisor inspeciona seu ambiente AWS e faz


recomenda
es quando hoportunidades para economizar dinheiro,
melhorar o desempenho e a confiabilidade do sistema, ou corrigir falha de
seguran
a.

Risco e Compliance da Amazon Web Services

rea
principal

Pgina 81 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

j. Tecnologias de gateway.
Quais tecnologias
o fornecedor usa para criar
um ambiente de gateway
seguro? Exemplos incluem
firewalls, filtros de fluxo de
trfego, filtros de contedo
e softwares antiv
rus, al
m
de diodos de dados,
quando apropriados.

A rede da AWS fornece prote


o significativa contra problemas de
seguran
a de rede tradicional e os clientes podem implementar mais
prote
o. Consulte o Whitepaper de Viso Geral de Seguran
a da AWS
(dispon
vel em http://aws.amazon.com/security) para obter detalhes
adicionais.

k. Certifica
o de gateway.
O ambiente de gateway do
fornecedor estcertificado
pelos padres e normas de
seguran
a do governo?

A AWS obt
m determinadas certifica
es do setor e declara
es de
terceiros independentes que incluem o ambiente de gateway da AWS.

I. Filtro de contedo de email. Para software como


servi
o de e-mail,
o fornecedor oferece filtro
de contedo de e-mail que
possa aplicar a pol
tica de
contedo de e-mail da
minha ag
ncia?

O cliente pode utilizar um sistema para hospedar recursos de e-mail; mas


nesse caso, responsabilidade do cliente implantar os n
veis adequados de
prote
o contra spam e malware nos pontos de entrada e sa
da de e-mail,
bem como atualizar as defini
es de spam e malware quando novas
atualiza
es forem disponibilizadas.

Os ativos da Amazon (como laptops) so configurados com um software


antiv
rus que inclui filtro de e-mail e detec
o de malware.
O gerenciamento de firewalls de rede da AWS e o programa antiv
rus da
Amazon so revisados regularmente por auditores terceirizados
independentes, como parte da conformidade cont
nua da AWS com
o SOC, PCI DSS, ISO 27001 e FedRAMPsm.

Risco e Compliance da Amazon Web Services

rea
principal

Pgina 82 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

m. Pol
ticas e processos
que oferecem suporte
postura de seguran
a de
TI do fornecedor. Posso
obter detalhes de como
a postura de seguran
a de
computador e rede do
fornecedor recebe suporte
de pol
ticas e processos que
incluam avalia
es de
amea
as e riscos,
gerenciamento de
vulnerabilidade cont
nua,
um processo de
gerenciamento de
mudan
a que incorpore
seguran
a, teste de
penetra
o, anlise de
logging e log regular, uso
de produtos de seguran
a
endossados pelo governo
australiano e em
conformidade com os
padres e normas de
seguran
a do governo
australiano?

Foram estabelecidos procedimentos e pol


ticas pela seguran
a da
informa
o da AWS, com base na estrutura de COBIT, padres do ISO
27001 e requisitos de PCI DSS.

n. Tecnologias que
oferecem suporte postura
de seguran
a de TI do
fornecedor. Posso obter
detalhes de como a postura
de seguran
a de
computador e rede do
fornecedor recebe suporte
de controles t
cnicos
diretos que incluam
aplica
o oportuna de
patches de seguran
a,
software antiv
rus
atualizado regularmente,
defesa em mecanismos
profundos para prote
o
contra vulnerabilidades
desconhecidas, sistemas
operacionais refor
ados
e aplica
es de software
configuradas para

A AWS fornece declara


es de terceiros, certifica
es, relatrio de
controles de empresa de servi
os (SOC 1), tipo II e outros relatrios de
conformidade relevantes diretamente para nossos clientes sob NDA.

A AWS foi validada e certificada por um auditor independente para


confirmar o alinhamento com o padro de certifica
o ISO 27001. Al
m
disso, a AWS publica um relatrio SOC 1, tipo II. Consulte o relatrio SOC
1 para obter mais detalhes. Consulte o Whitepaper de Conformidade
e Avalia
o de Riscos da AWS para obter detalhes adicionais, dispon
vel
em http://aws.amazon.com/pt/security.
Os clientes da AWS podem identificar os principais controles gerenciados
pela AWS. Controles essenciais so cr
ticos para o ambiente de controle do
cliente e exigem uma declara
o externa da eficcia operacional desses
controles essenciais para que possam estar em ordem com os requisitos de
conformidade tais como a auditoria financeira anual. Para esse fim,
a AWS publica uma ampla variedade de controles de TI espec
ficos em seu
relatrio de controles organizacionais de servi
o 1 (SOC 1), tipo II.
O relatrio SOC 1, antigo relatrio de declara
o sobre as normas de
auditoria (SAS) n70, empresas de servi
os, e anteriormente referido
como o relatrio de declara
o sobre normas para comprova
o de
contratos n16 (SSAE 16), um padro amplamente reconhecido de
auditoria desenvolvido pelo AICPA (American Institute of Certified Public
Accountants). A auditoria SOC 1 uma auditoria aprofundada do projeto
e da eficcia operacional de atividades de controle e objetivos de controle
definidos da AWS (que incluem objetivos de controle e atividades de
controle sobre a parte da infraestrutura que a AWS gerencia). O tipo II
refere-se ao fato de que cada um dos controles descritos no relatrio no
avaliado apenas em rela
o adequa
o do projeto, mas tamb
m
testado em rela
o eficcia operacional pelo auditor externo. Em
virtude da independ
ncia e compet
ncia do auditor externo da AWS, os
controles identificados no relatrio devem fornecer aos clientes um
elevado n
vel de confian
a no ambiente de controle da AWS.

A seguran
a da AWS examina regularmente todos os endere
os IP de
endpoint, de servi
o voltado Internet, quanto exist
ncia de
vulnerabilidades (essas verifica
es no incluem instncias de clientes).
A seguran
a da AWS notificaras partes adequadas para solucionar
quaisquer vulnerabilidades identificadas. Al
m disso, avalia
es de
amea
a de vulnerabilidade externa so realizadas regularmente por
empresas de seguran
a independentes. As concluses e recomenda
es
resultantes dessas avalia
es so categorizadas e entregues lideran
a
da AWS.
Al
m disso, o ambiente de controle da AWS estsujeito a avalia
es
regulares internas e externas de riscos. A AWS contrata rgos externos de
certifica
o e auditores independentes para analisar e testar o ambiente de
controle geral da AWS.

Risco e Compliance da Amazon Web Services

rea
principal

Perguntas

Dezembro de 2015

RESPOSTA DA AWS

a mxima seguran
a,
detec
o de invaso
e sistemas de preven
o,
al
m de mecanismos de
preven
o contra perda de
dados?

Pgina 83 de 95

o. Auditoria de postura de
seguran
a de TI do
fornecedor. Posso auditar
a implementa
o de
medidas de seguran
a do
fornecedor, incluindo
a realiza
o de verifica
es
e outros testes de
penetra
o do ambiente
que foi fornecido? Se
houver um motivo
justificvel para
o impedimento da
auditoria, qual empresa
respeitvel de terceiros
realizou auditorias
e avalia
es de
vulnerabilidade? Que tipo
de auditoria interna
o fornecedor realiza e quais
padres de conformidade
e outras melhores prticas
da organiza
o, como
o Cloud Security Alliance
so utilizadas para essas
avalia
es? Posso analisar
detalhadamente uma cpia
dos relatrios de
resultados recente?

A AWS fornece declara


es de terceiros, certifica
es, relatrio de
controles de empresa de servi
os (SOC 1), tipo II e outros relatrios de
conformidade relevantes diretamente para nossos clientes sob NDA.

p. Autentica
o do usurio.
Em quais sistemas de
gerenciamento de
identidade e acesso o
fornecedor oferece suporte
aos usurios para login
e uso de software como
servi
o?

O AWS Identity and Access Management (IAM) permite que voccontrole


com seguran
a o acesso aos servi
os e recursos da AWS para seus
usurios. Usando o IAM, vocpode criar e gerenciar usurios e grupos da
AWS e usar permisses para permitir e negar suas permisses para
recursos da AWS.

Os clientes podem solicitar permisso para conduzir pesquisas de sua


infraestrutura em nuvem contanto que elas se limitem a instncias do
cliente e no violem a pol
tica de uso aceitvel da AWS. A pr
via aprova
o
para esses tipos de verifica
es pode ser iniciada ao se enviar uma
solicita
o atrav
s do formulrio AWS Vulnerability/Penetration Testing
Request.
A seguran
a da AWS contrata regularmente empresas de seguran
a
independentes para realizar avalia
es de amea
a e vulnerabilidade
externa. O relatrio SOC 1, tipo II, da AWS fornece detalhes adicionais
sobre atividades espec
ficas de controle executadas pela AWS.

A AWS oferece suporte federa


o de identidades que torna mais fcil
gerenciar usurios, mantendo suas identidades em um nico lugar.
O AWS IAM inclui suporte para o Security Assertion Markup Language
(SAML) 2.0, um padro aberto usado por muitos provedores de
identidade. Essa nova funcionalidade permite o logon nico federado, ou
SSO, capacitando os usurios para fazer login no AWS Management
Console ou fazer chamadas programticas para APIs da AWS, usando
declara
es de um provedor de identidades em conformidade com SAML,
como Shibboleth e Windows Active Directory Federation Services.

Risco e Compliance da Amazon Web Services

rea
principal

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

q. Controle centralizado de
dados. Quais controles
t
cnicos, pol
ticas
e treinamento de
usurios impedem que os
usurios da minha ag
ncia
utilizem dispositivos de
computa
o no aprovados
ou inseguros sem um
ambiente operacional
confivel para armazenar
ou processar dados
confidenciais acessados ao
usar o software como
servi
o?

N/D

r. Postura de seguran
a
f
sica do fornecedor.
O fornecedor utiliza
produtos e dispositivos de
seguran
a f
sica
endossados pelo governo
da Austrlia? Como
o datacenter f
sico do
fornecedor foi planejado
para impedir a viola
o ou
o roubo de servidores,
infraestrutura e dados
neles armazenados?
O datacenter f
sico do
fornecedor est
credenciado por um
terceiro com autoridade?

A defini
o de controles lgicos e f
sicos definidos pela AWS
documentada no relatrio SOC 1 tipo II, e o relatrio estdispon
vel para
anlise por equipes de auditoria e conformidade. O ISO 27001 da AWS
e outras certifica
es tamb
m esto dispon
veis para anlise dos auditores.
Os controles de seguran
a f
sica incluem, mas no de forma exclusiva,
controles de per
metro como cerca, muros, equipe de seguran
a, vigilncia
com v
deo, sistemas de detec
o de intruso e outros meios eletrnicos.
O acesso f
sico estritamente controlado no per
metro e nos pontos de
ingresso dos pr
dios pelos funcionrios de seguran
a profissional
utilizando a vigilncia por v
deo, sistemas de detec
o de intruso e outros
meios eletrnicos. O pessoal autorizado deve passar pelo menos duas
vezes por uma autentica
o de dois fatores para ter acesso aos andares do
datacenter. Os pontos de acesso f
sico aos locais de servidores so
registrados por um circuito fechado de TV (CCTV), conforme definido na
pol
tica de seguran
a f
sica de datacenters da AWS. As imagens so retidas
por 90 dias, exceto quando limitadas a 30 dias por obriga
es legais ou
contratuais
A AWS sfornece acesso f
sico ao datacenter e informa
es para
funcionrios e prestadores de servi
os aprovados com uma necessidade
comercial leg
tima para esse privil
gio. Todos os visitantes esto obrigados
a apresentar identifica
o e so cadastrados e escoltados por pessoal
autorizado.
Consulte o relatrio SOC 1, tipo II, para controles espec
ficos referentes ao
acesso f
sico, autoriza
o de acesso ao datacenter e a outros controles
relacionados.
Consulte o padro ISO 27001, Anexo A, dom
nio 9.1 para obter mais
informa
es. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de certifica
o
ISO 27001.

Pgina 84 de 95

Risco e Compliance da Amazon Web Services

rea
principal

Prote
o de
dados contra
acesso no
autorizado de
clientes de
fornecedores

Pgina 85 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

s. Aquisi
o de software
e hardware. Qual processo
de aquisi
o usado para
garantir que o software
e hardware de
infraestrutura em nuvem
tenham sido fornecidos por
uma fonte leg
tima e no
tenham sido modificados
de forma mal-intencionada
durante o trnsito?

Em alinhamento com os padres do ISO 27001, os ativos de hardware da


AWS so atribu
dos a um proprietrio, controlados e monitorados pela
equipe da AWS, com ferramentas de gerenciamento de inventrio de
propriedade da AWS. A equipe da cadeia de suprimentos e aquisi
o da
AWS mant
m rela
es com todos os fornecedores da AWS.

a. Diferencia
o de
clientes. Qual a garantia
de que os mecanismos de
virtualiza
o e "loca
o
mltipla" asseguram
a diferencia
o de rede
e lgica adequada entre
vrios grupos de usurios,
para que um cliente
mal-intencionado que usa
o meu computador f
sico
no consiga acessar os
meus dados?

O Amazon EC2 atualmente utiliza uma verso altamente personalizada do


hypervisor Xen. O hypervisor regularmente avaliado para verificar
vulnerabilidades novas e existentes e vetores de ataque por equipes de
penetra
o interna e externa e bem adequado para manter um r
gido
isolamento entre mquinas virtuais convidadas. O hypervisor AWS Xen
regularmente avaliado por auditores independentes durante avalia
es
e auditorias.

b. Enfraquecimento da
minha postura de
seguran
a. Como o uso da
infraestrutura em nuvem
do fornecedor poderia
enfraquecer minha postura
de seguran
a de rede da
ag
ncia jexistente? Ser
que o fornecedor me
anunciaria como um de
seus clientes sem meu
consentimento expl
cito,
ajudando assim um
adversrio que est
especificamente focado
em mim?

Os clientes da AWS so considerados confidenciais e os detalhes dos


clientes no so publicados sem o consentimento expl
cito. A Amazon
Virtual Private Cloud (Amazon VPC) permite provisionar uma se
o da
nuvem da Amazon Web Services (AWS) isolada logicamente onde voc
pode executar recursos da AWS em uma rede virtual que vocmesmo
define. Voctem controle total sobre seu ambiente de rede virtual,
incluindo a sele
o do seu prprio intervalo de endere
os IP, cria
o de
subnets e configura
o de tabelas de roteamento e gateways de rede.

Consulte o padro ISO 27001, Anexo A, dom


nio 7.1 para obter mais
detalhes. A AWS foi validada e certificada por um auditor independente
para confirmar o alinhamento com o padro de certifica
o ISO 27001.

Todos os dados armazenados pela AWS em nome dos clientes t


m
recursos slidos de seguran
a e controle de isolamento de grupos de
usurios. Os clientes ret
m o controle e a propriedade de seus dados;
portanto, sua responsabilidade escolher criptografar os dados. A AWS
permite que os clientes usem seus prprios mecanismos de criptografia
para quase todos os servi
os, incluindo S3, EBS e EC2. As sesses da VPC
tamb
m so criptografadas. O Amazon S3 tamb
m oferece criptografia no
servidor como uma op
o para os clientes. Consulte o Whitepaper de
Conformidade e Avalia
o de Riscos da AWS para obter detalhes
adicionais dispon
vel em http://aws.amazon.com/pt/security.

Risco e Compliance da Amazon Web Services

rea
principal

Prote
o de
dados contra
acesso no
autorizado de
funcionrios
de
fornecedores
invasores

Pgina 86 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

c. Servidores dedicados.
Tenho algum controle
sobre qual computador
executa minhas mquinas
virtuais? Posso pagar um
adicional para garantir que
nenhum outro cliente
possa utilizar o mesmo
computador f
sico que
o meu, como servidores
dedicados ou nuvem
privada virtual?

A VPC permite que os clientes iniciem as instncias do Amazon EC2 que


so fisicamente isoladas em n
vel de hardware de host; elas sero
executadas em um hardware dedicado. Um VPC pode ser criado com
loca
o 'dedicada', nesse caso todas as instncias lan
adas para o VPC vo
utilizar esse recurso. Como alternativa, um VPC pode ser criado com
loca
o 'padro', mas os clientes podem especificar uma loca
o 'dedicada'
para casos especiais lan
ados no VPC.

d. Higieniza
o da m
dia.
Quando excluo partes de
meus dados, quais
processos so usados para
higienizar a m
dia de
armazenamento antes que
se tornem dispon
veis
a outros clientes? Os
processos so considerados
adequados pelo ISM DSD?

Os clientes ret
m a propriedade e o controle de seu contedo; portanto, os
clientes t
m a capacidade de excluir seus dados.

a. Gerenciamento de chave
de criptografia de dados.
O fornecedor sabe a senha
ou a chave usada para
descriptografar meus
dados, ou criptografo
e descriptografo os dados
no meu computador para
que o fornecedor apenas
criptografe meus dados?

Os clientes da AWS gerenciam sua prpria criptografia, exceto que esto


utilizando o servi
o de criptografia do servidor da AWS. Nesse caso,
a AWS cria uma chave de criptografia exclusiva por grupo de usurios.
Consulte o Whitepaper de Viso Geral de Processos de Seguran
a da AWS
para obter detalhes adicionais dispon
vel em
http://aws.amazon.com/pt/security.

b. Inspe
o de funcionrios
do fornecedor. Quais
verifica
es e processos de
inspe
o de contrata
o de
funcionrios o fornecedor
realiza para garantir que
eles sejam confiveis?

A AWS realiza verifica


es de antecedentes criminais, como permitido
pela legisla
o aplicvel, como parte das prticas de triagem antes da
contrata
o de funcionrios, de acordo com a posi
o e n
vel de acesso do
funcionrio a instala
es da AWS.

c. Auditoria de
funcionrios do
fornecedor. Qual sistema
de gerenciamento de
identidade e acesso
robusto os funcionrios do
fornecedor utilizam? Qual
processo de auditoria

Em alinhamento com os padres ISO 27001, a AWS estabeleceu


procedimentos e pol
ticas formais para delinear os padres m
nimos para
acesso lgico a recursos da AWS. O relatrio SOC 1, tipo II, da AWS
descreve os controles vigentes para gerenciar o provisionamento
a recursos da AWS.

Quando um dispositivo de armazenamento atinge o final da sua vida til,


os procedimentos da AWS incluem um processo de desativa
o que
projetado para impedir que os dados do cliente sejam expostos a pessoas
no autorizadas. A AWS usa as t
cnicas detalhadas no DoD 5220.22-M
(Manual operacional do programa de segurana industrial nacional) ou
NIST 800-88 (Orientaes para o tratamento de mdia) para destruir
dados como parte do processo de desativa
o. Se um dispositivo de
hardware for incapaz de ser desativado usando esses procedimentos,
o dispositivo serinutilizado ou fisicamente destru
do em conformidade
com as prticas padro do setor. Consulte o Whitepaper de Viso Geral de
Processos de Seguran
a da AWS para obter detalhes adicionais
dispon
vel em http://aws.amazon.com/pt/security.

Consulte o Whitepaper de Viso Geral de Processos de Seguran


a da AWS
para obter mais detalhes, dispon
vel em http://aws.amazon.com/security.

Risco e Compliance da Amazon Web Services

rea
principal

Perguntas

Dezembro de 2015

RESPOSTA DA AWS

usado para registrar


e revisar as a
es
realizadas pelos
funcionrios do
fornecedor?

Pgina 87 de 95

d. Visitantes do datacenter.
Os visitantes dos
datacenters so sempre
escoltados e o nome
e outros detalhes pessoais
de cada visitante so
verificados e registrados?

Todos os visitantes e prestadores de servi


os esto obrigados a apresentar
identifica
o e so cadastrados e continuamente escoltados por pessoal
autorizado.
A AWS sfornece acesso de datacenter e informa
es para funcionrios
e prestadores de servi
os que t
m uma necessidade comercial leg
tima de
tais privil
gios. Quando um funcionrio no tem mais uma necessidade de
negcio para estes privil
gios, seu acesso imediatamente revogado,
mesmo se continuam a ser um funcionrio da Amazon ou da Amazon Web
Services. Todo o acesso f
sico aos datacenters por funcionrios da AWS
registrado e auditado rotineiramente.

e. Viola
o f
sica pelos
funcionrios do
fornecedor. O cabeamento
de rede instalado
profissionalmente
conforme as normas da
Austrlia ou os padres
internacionalmente
aceitveis para ajudar
a evitar que os funcionrios
do fornecedor
acidentalmente conectem
cabos em computadores
errados e para ajudar
a facilmente identificar
tentativas deliberadas
pelos funcionrios do
fornecedor de interferir no
cabeamento?

Os controles de seguran
a f
sica incluem, mas no de forma exclusiva,
controles de per
metro como cerca, muros, equipe de seguran
a, vigilncia
com v
deo, sistemas de detec
o de intruso e outros meios eletrnicos.
Isso inclui prote
o adequada para cabos de rede.

f. Subcontratantes do
fornecedor. As respostas
a essas perguntas
aplicam-se igualmente
a todos os subcontratantes
do fornecedor?

O provisionamento do acesso do contratante/fornecedor gerenciado da


mesma forma que para funcionrios e contratantes, com responsabilidade
compartilhada entre proprietrios de servi
o, opera
es corporativas
e recursos humanos (RH). Os fornecedores esto sujeitos aos mesmos
requisitos de acesso que os funcionrios.

O relatrio SOC 1, tipo II, da AWS fornece detalhes adicionais sobre


atividades espec
ficas de controle executadas pela AWS.
Consulte o padro ISO 27001, Anexo A, dom
nio 9.1 para obter mais
informa
es. A AWS foi validada e certificada por um auditor
independente para confirmar o alinhamento com o padro de certifica
o
ISO 27001.

Risco e Compliance da Amazon Web Services

rea
principal
Tratamento
de incidentes
de seguran
a

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

a. Suporte de fornecedor
apropriado. poss
vel
facilmente contatar e obter
resposta do fornecedor s
solicita
es de suporte
e o tempo mximo de
resposta aceitvel
registrado no SLA, ou
simplesmente uma
promessa de marketing do
fornecedor para tentar
resolver o problema?

O AWS Support um canal de suporte individual e de resposta rpida


fornecido 24 horas por dia, 7 dias por semana, 365 dias por ano por
engenheiros experientes de suporte t
cnico. O servi
o ajuda clientes de
todos os portes e especialidades t
cnicas a utilizarem, de forma bem-sucedida,
os produtos e recursos fornecidos pela Amazon Web Services.
Todos os n
veis do AWS Support oferecem aos clientes dos AWS
Infrastructure Services um nmero ilimitado de casos de suporte com
pre
os mensais e sem contratos a longo prazo. Os quatro n
veis fornecem
aos desenvolvedores e empresas a flexibilidade de escolher os n
veis de
suporte que atendam a suas necessidades espec
ficas.

O suporte fornecido
localmente, de outro pa
s ou
de v
rios outros pa
ses que
utilizam a abordagem de
"follow the sun"? Quais
mecanismos o fornecedor
usa para obter uma
compreens
o em tempo real
da postura de seguran
a do
meu uso dos servi
os do
fornecedor para que ele
possa fornecer o suporte?

Pgina 88 de 95

b. Plano de resposta
a incidentes do fornecedor.
O fornecedor tem um plano
de resposta a incidentes de
seguran
a que especifica
como detectar e responder
a incidentes de seguran
a, de
um modo que seja similar
aos procedimentos de
tratamento de incidentes
detalhados no ISM DSD?
Posso analisar uma cpia
detalhadamente?

A equipe de gerenciamento de incidentes da Amazon emprega


procedimentos de diagnstico padro do setor para impulsionar
a resolu
o durante eventos que afetam os negcios. Os colaboradores
operacionais fornecem apoio e suporte 24h x 7 dias x 365 dias para
detectar incidentes e gerenciar o impacto e a resolu
o. Os procedimentos,
planos e programa de resposta a incidentes da AWS foram desenvolvidos
em alinhamento com o padro ISO 27001. O relatrio SOC 1, tipo II, da
AWS fornece detalhes sobre atividades espec
ficas de controle executadas
pela AWS.

c. Treinamento dos
funcionrios do
fornecedor. Quais
qualifica
es, certifica
es
e treinamento peridico de
conscientiza
o de
seguran
a das informa
es
os funcionrios do
fornecedor necessitam
para saber como usar os
sistemas do fornecedor de
uma maneira segura
e identificar incidentes
potenciais de seguran
a?

Em alinhamento com o padro ISO 27001, todos os funcionrios da AWS


realizam treinamento peridico em seguran
a da informa
o, o qual
requer uma confirma
o para sua concluso. As auditorias de
conformidade so realizadas periodicamente para validar que os
funcionrios entendem e seguem as pol
ticas estabelecidas. Consulte
o Whitepaper de Viso Geral de Processos de Seguran
a da AWS para
obter detalhes adicionais dispon
vel em
http://aws.amazon.com/pt/security.

O Whitepaper de Viso Geral de Processos de Seguran


a da AWS
(dispon
vel em http://aws.amazon.com/pt/security) fornece detalhes
adicionais.

Risco e Compliance da Amazon Web Services

rea
principal

Perguntas

Dezembro de 2015

RESPOSTA DA AWS

d. Notifica
o de
A notifica
o de incidentes de seguran
a tratada individualmente
incidentes de seguran
a.
e conforme exigido pela lei aplicvel. Todas as notifica
es so realizadas
O fornecedor me notificar por comunica
o segura.
por comunica
o segura os
incidentes de seguran
a
mais graves que o limite
acordado, especialmente
nos casos em que
o fornecedor possa ser
responsvel? O fornecedor
notificar
automaticamente as
autoridades responsveis
pela aplica
o da lei, que
podero confiscar os
equipamentos de
computa
o utilizados para
armazenar ou processar
meus dados?
e. Extenso de suporte do
fornecedor. Que n
vel de
assist
ncia o fornecedor
me oferecercom as
investiga
es se houver
uma viola
o de seguran
a,
como uma divulga
o no
autorizada dos meus
dados, ou se houver
a necessidade de realizar
a descoberta de evid
ncias
eletrnicas legais?

A AWS fornece infraestrutura e os clientes gerenciam todo o resto,


incluindo o sistema operacional, a configura
o de rede e os aplicativos
instalados. Os clientes so responsveis por responder adequadamente aos
procedimentos legais envolvendo a identifica
o, coleta, processamento,
anlise e produ
o de documentos eletrnicos que armazenam ou
processam usando a AWS. Mediante solicita
o, a AWS pode trabalhar
com os clientes que precisem de aux
lio da AWS em processos judiciais.

f. Meu acesso aos logs.


Como obtenho acesso aos
logs de auditoria com
sincroniza
o horria
e outros logs para realizar
uma investiga
o legal,
e como os logs so criados
e armazenados para serem
evid
ncias adequadas para
o tribunal de justi
a?

Os clientes det
m o controle de seus prprios sistemas operacionais
convidados, software e aplicativos. Al
m disso, so responsveis por
desenvolver o monitoramento lgico das condi
es desses sistemas. Em
alinhamento com os padres do ISO 27001, os sistemas de informa
o da
AWS utilizam relgios do sistema interno sincronizados via NTP (Network
Time Protocol, Protocolo de horrio de rede).
O AWS CloudTrail fornece uma solu
o simples para registrar em log
a atividade dos usurios, o que ajuda a aliviar o trabalho de execu
o de
um sistema de log complexo. Para obter detalhes adicionais, consulte
aws.amazon.com/cloudtrail.
O AWS CloudWatch oferece monitoramento de recursos em nuvem da
AWS e de aplicativos que clientes executam na AWS. Para obter detalhes
adicionais, consulte aws.amazon.com/cloudwatch. A AWS tamb
m
publica nossas informa
es mais recentes sobre disponibilidade de servi
o
no Painel de Status dos Servi
os. Consulte status.aws.amazon.com.

Pgina 89 de 95

Risco e Compliance da Amazon Web Services

rea
principal

Pgina 90 de 95

Dezembro de 2015

Perguntas

RESPOSTA DA AWS

g. Compensa
o de
incidentes de seguran
a.
Como o fornecedor me
compensar
adequadamente se as a
es
do fornecedor, software ou
hardware com defeito
contribu
rem para uma
viola
o de seguran
a?

Os procedimentos, planos e programa de resposta a incidentes da AWS


foram desenvolvidos em alinhamento com o padro ISO 27001.
O relatrio SOC 1, tipo II, da AWS fornece detalhes sobre atividades
espec
ficas de controle executadas pela AWS.

h. Vazamento de dados. Se
os dados que considero
serem muito confidenciais
para serem armazenados
na nuvem forem colocados
acidentalmente na nuvem,
o que caracteriza um
vazamento de dados, como
os dados que vazaram
podero ser apagados
usando t
cnicas de
higieniza
o legais?
A parte relevante da m
dia
de armazenamento f
sico
anulada sempre que um
dado apagado? Caso
contrrio, quanto tempo
demora para que os dados
apagados sejam
substitu
dos pelos clientes
como parte de uma
opera
o normal,
observando que nuvens
geralmente t
m uma
capacidade significativa de
armazenamento no
utilizada? Os dados que
vazaram podem ser
apagados legalmente na
m
dia de backup? Houtro
local de armazenamento
no qual os dados vazados
podem estar? Eles podem
ser apagados legalmente?

Os clientes mant
m a propriedade e o controle sobre seu contedo. Todos
os dados armazenados pela AWS em nome dos clientes t
m recursos
slidos de seguran
a e controle de isolamento de grupos de usurios.
A AWS permite que os clientes usem seus prprios mecanismos de
criptografia para quase todos os servi
os, incluindo S3, EBS e EC2. Os
tneis IPSec para a VPC tamb
m so criptografados. O Amazon S3
tamb
m oferece criptografia no servidor como uma op
o para os clientes.
Consulte o Whitepaper de Conformidade e Avalia
o de Riscos da AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/pt/security.

O Whitepaper de Viso Geral de Processos de Seguran


a da AWS
(dispon
vel em http://aws.amazon.com/security) fornece mais detalhes.

Consulte o Whitepaper de Conformidade e Avalia


o de Riscos da AWS
para obter detalhes adicionais, dispon
vel em
http://aws.amazon.com/pt/security.

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Apndice C: Glossrio de termos


Autenticao: a autentica

o o processo de determinar se algu


m ou alguma coisa realmente quem ou
o que ele declara ser.
Zona de disponibilidade: os locais do Amazon EC2 s
o compostos pelas regies e pelas zonas de
disponibilidade. As zonas de disponibilidade so as posi
es distintas que so projetadas para serem isoladas
das falhas em outras zonas da disponibilidade e fornecem rede de conectividade acess
vel e de baixa lat
ncia
para outras zonas de disponibilidade da mesma regio.
DSS: o padro de seguran
a de dados do setor de carto de pagamento (DSS) um padro mundial de
seguran
a da informa

o criado e gerenciado pelo conselho de padres de seguran


a de dados do setor de
carto de pagamento.
EBS: o Amazon Elastic Block Store (EBS) fornece volumes de armazenamento em n
vel de bloco para uso com
instncias do Amazon EC2. Os volumes do Amazon EBS so armazenamentos fora da instncia que persiste
independentemente da dura

o de uma inst
ncia.
FedRAMPsm: o Programa Federal de Gerenciamento de Risco e Autoriza
o (FedRAMPsm) um amplo
programa governamental que fornece uma abordagem padronizada para avalia
o, autoriza
o
e o monitoramento cont
nuo da seguran
a para produtos e servi
os na nuvem. O FedRAMPsm obrigatrio
para modelos de servi
o e implementa
es em nuvem da Ag
ncia Federal em n
veis de impacto de risco baixo
e moderado.
FISMA: Federal Information Security Management Act de 2002. A lei exige que cada ag
ncia federal
desenvolva, documente e implemente um programa em toda a ag
ncia, a fim de fornecer a seguran
a para as
informa
es e sistemas que oferecem suporte a opera
es e ativos da ag
ncia, incluindo aqueles fornecidos ou
gerenciados por outra ag
ncia, contratante ou de outra fonte.
FIPS 140-2: a publica

o 140-2 do Federal Information Processing Standard (FIPS) um padr


o de
seguran
a do governo dos EUA que especifica os requisitos de seguran
a para mdulos de criptografia que
protegem informa
es confidenciais.
GLBA: a Gramm-Leach-Bliley Act (GLB ou GLBA), tamb
m conhecida como a Lei de Moderniza
o de
Servi
os Financeiros de 1999, estabelece requisitos para institui
es financeiras com rela
o , entre outras
coisas, divulga
o de informa
es confidenciais dos clientes e a prote
o das amea
as integridade de dados
e seguran
a.
HIPAA: a Health Insurance Portability e Accountability Act (Lei da Portabilidade e Presta

o de Contas em
Seguro Sade, HIPAA) de 1996 exige o estabelecimento de normas nacionais para transa
es eletrnicas de
cuidados de sade e identificadores nacionais para provedores, planos de sade e empregadores. As
disposi
es de simplifica

o de administra
o tamb
m abordam a seguran
a e a privacidade dos dados de
sade. As normas so destinadas a melhorar a efici
ncia e a eficcia do sistema de sade do pa
s, incentivando
o uso generalizado de transfer
ncia eletrnica de dados no sistema de cuidados de sade dos EUA.
Hypervisor: um hypervisor, tamb
m chamado de Monitor de Mquina Virtual (VMM), um software de
virtualiza
o de plataforma de hardware/software que permite que vrios sistemas operacionais sejam
executados simultaneamente em um computador host.

Pgina 91 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

IAM: o AWS Identity and Access Management (IAM) permite que o cliente crie mltiplos usurios e gerencie
permisses para cada um desses usurios a partir de sua conta da AWS.
ITAR: International Traffic in Arms Regulations ou Regulamentos sobre trfico internacional de armas um
conjunto de regulamentos do governo dos EUA, que controlam a exporta
o e a importa
o de artigos
relacionados defesa e servi
os na United States Munitions List (USML). As ag
ncias governamentais
e contratantes devem cumprir os ITAR e restringir o acesso a dados protegidos.
ISAE 3402: as normas internacionais para contratos de garantia n 3402 (ISAE 3402) so o padr
o
internacional sobre contratos de garantia. Ela foi aplicada pelo International Auditing and Assurance
Standards Board (IAASB), um comitde defini
o de padres na International Federation of Accountants
(IFAC). O ISAE 3402 agora o novo padr
o reconhecido globalmente para relatrios de garantias em empresas
de servi
os.
ISO 9001: a certifica

o ISO 9001 da AWS oferece suporte direto aos clientes que desenvolvem, migram
e operam seus sistemas de TI com controle de qualidade na nuvem da AWS. Os clientes podem usar os
relatrios de conformidade da AWS como evid
ncia para seus prprios programas ISO 9001 e para programas
de qualidade espec
ficos por setor, como GxP em ci
ncias biolgicas, ISO 13485 em dispositivos m
dicos,
AS9100 no setor aeroespacial e ISO/TS 16949 no setor automotivo. Os clientes da AWS que no t
m requisitos
de sistema da qualidade tamb
m se beneficiar
o da garantia e transpar
ncia adicionais proporcionadas por
uma certifica
o pela ISO 9001.
ISO 27001: o ISO/IEC 27001 um padro do Information Security Management System (Sistema de
gerenciamento de seguran
a da informa
o, ISMS), publicado pela International Organization for
Standardization (Organiza

o internacional para padroniza

o, ISO) e International Electrotechnical


Commission (Comiss
o eletrot
cnica internacional, IEC). O ISO 27001 especifica formalmente um sistema de
gesto que destina-se a fornecer seguran
a da informa

o sob o controle de gerenciamento expl


cito. Sendo um
meio de especifica

o formal, exige requisitos espec


ficos. As organiza
es que alegam ter adotado o ISO/IEC
27001 podem, portanto, ser auditadas e certificadas em conformidade com o padro.
NIST: National Institute of Standards and Technology (Instituto nacional de normas e tecnologia). Esta
ag
ncia define normas detalhadas de seguran
a conforme necessrio para programas do setor ou do governo.
A conformidade com a FISMA exige que ag
ncias sigam padres NIST.
Objeto: entidades fundamentais armazenadas no Amazon S3. Os objetos consistem em metadados e dados de
objeto. A por
o de dados n
o vis
vel para o Amazon S3. Os metadados so um conjunto de pares de nome
e valor que descrevem o objeto. Estes incluem alguns metadados padr
o tais como a data da ltima
modifica

o e metadados HTTP padr


o como Content-Type. O desenvolvedor tamb
m pode especificar
metadados personalizados no momento em que o objeto armazenado.
PCI: refere-se ao Payment Card Industry Security Standards Council, um conselho independente formado
originalmente pela American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa
International, com o objetivo de gerenciar a cont
nua evolu
o da norma de seguran
a de dados (DSS) do
Payment Card Industry (PCI DSS).
QSA: a designa

o de Qualified Security Assessor (Assessor de seguran


a qualificado, QSA) da Payment Card
Industry (Indstria de cartes de pagamento, PCI) conferida pelo PCI Security Standards Council aos
indiv
duos que atendem aos requisitos de qualifica
o espec
fica e esto autorizados a efetuar avalia
es de
conformidade com PCI.

Pgina 92 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

SAS 70: declara

o sobre as normas de auditoria n70: empresas de servi


os uma instru
o de auditoria
emitida pelo Auditing Standards Board do American Institute of Certified Public Accountants (AICPA). O SAS
70 fornece orienta

o para auditores de servi


o ao avaliarem os controles internos de uma empresa de servi
os
(tais como a AWS) e emitirem um relatrio de auditoria de um servi
o. O SAS 70 tamb
m fornece orienta

o
para auditores de demonstrativos financeiros de uma entidade que usa uma ou mais empresas de servi
os.
O relatrio SAS 70 foi substitu
do pelo relatrio SOC 1.
Servio: software ou capacidade de computa
o fornecida atrav
s de uma rede (por exemplo, EC2, S3, VPC
etc.).
Acordo de N
vel de Servio (SLA): a parte de um acordo de servi
o em que o n
vel de servi
o
formalmente definido. O SLA usado para referir-se ao tempo de entrega contratado (do servi
o) ou
desempenho.
SOC 1: o Relatrio de Controles de Empresas de Servi
os 1 (SOC 1) Tipo II, anteriormente o Relatrio de
Declara
o sobre as Normas de Auditoria (SAS) n70, empresas de servi
os (antes referido como o relatrio
SSAE 16), um padr
o amplamente reconhecido de auditoria desenvolvido pelo AICPA (American Institute of
Certified Public Accountants). O padr
o internacional referido como o International Standards for Assurance
Engagements No. 3402 (ISAE 3402).
SSAE 16 [obsoleto]: o Statement on Standards for Attestation Engagements No. 16 (SSAE 16) um padr
o
de declara
o publicado pelo Auditing Standards Board (ASB) do American Institute of Certified Public
Accountants (AICPA). O padr
o atende a contratos realizados por um auditor de servi
o para relatrios sobre
controles em organiza
es que fornecem servi
os a entidades de usu
rios, para as quais os controles da
empresa de servi
os provavelmente sero relevantes para um controle interno de entidades de usurio em
relatrios financeiros (ICFR). O SSAE 16 substitui eficazmente o Statement on Auditing Standards No. 70 (SAS
70) para per
odos de relatrios de auditor de servi
os encerrando em 15 de junho de 2011 ou posteriormente.
SOC 2: os relatrios de controles de empresa de servi
os 2 (SOC 2) t
m a finalidade de atender s
necessidades de uma grande variedade de usurios que precisam compreender o controle interno em uma
empresa de servi
os em rela

o seguran
a, disponibilidade, integridade de processamento, confidencialidade
e privacidade. Esses relatrios so executados usando o guia da AICPA: Reporting on Controls at a Service
Organizations Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy e so
destinados ao uso por partes interessadas (p.ex., clientes, regulamentadores, parceiros comerciais,
fornecedores, diretores) da organiza

o de servi
os que tem uma compreenso detalhada da organiza
o de
servi
os e seus controles internos.
SOC 3: os relatrios de controles de empresa de servi
os 3 (SOC 3) t
m a finalidade de atender
s necessidades
dos usurios que desejam garantia sobre os controles de uma empresa de servi
os em rela
o seguran
a,
disponibilidade, integridade de processamento, confidencialidade ou privacidade, mas no precisam do
conhecimento necessrio para usar eficazmente um relatrio SOC 2. Esses relatrios so preparados usando os
princ
pios, crit
rios e ilustra
es de servi
os de confian
a para seguran
a, disponibilidade, integridade de
processamento, confidencialidade e privacidade da AICPA/Canadian Institute of Chartered Accountants
(CICA). Como so relatrios de uso geral, os relatrios SOC 3 podem ser livremente distribu
dos ou publicados
em um site como um selo.
Instncia virtual: uma vez que uma AMI seja executada, o sistema resultante em execu
o referido como
uma instncia. Todas as instncias baseadas na mesma AMI iniciam id
nticas e qualquer informa
o sobre elas
perdida quando as inst
ncias s
o conclu
das ou na ocorr
ncia de falhas.

Pgina 93 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Histrico de verses
Dezembro de 2015
Atualiza
es de certifica
es e resumos de atestados de terceiros
Certifica
o ISO 27017 adicionada
Certifica
o ISO 27018 adicionada
D
cima primeira regio adicionada (Pequim, China)
Novembro de 2015
Atualizar para CSA v3.0.1
Agosto de 2015
Atualiza
es nos servi
os inclu
dos no escopo de PCI 3.1
Atualiza
es nas regies inclu
das no escopo de PCI 3.1
Maio de 2015
D
cima regio adicionada (UE Frankfurt)
Atualiza
es nos servi
os inclu
dos no escopo de SOC 3
SSAE 16 idioma obsoleto
Abril de 2015
Atualiza
es nos servi
os inclu
dos no escopo de: FedRAMP sm, HIPAA, SOC 1, ISO 27001, ISO 9001
Fevereiro de 2015
Atualiza
es nos endpoints da FIPS 140-2 VPN e load balancers de termina
o SSL
Atualiza
es no texto do PCI DSS
Dezembro de 2014
Atualiza
es de certifica
es e resumos de atestados de terceiros
Verso de novembro de 2013
Edi
es no texto sobre criptografia do tnel IPsec
Verso de junho de 2013
Atualiza
es de certifica
es e resumos de atestados de terceiros
Atualiza
es no Ap
ndice C: Glossrio de termos
Pequenas altera
es de formata
o
Verso de janeiro de 2013
Edi
es nas certifica
es e resumos de atestados de terceiros
Verso de novembro de 2012
Edi
es em contedo e escopo de certifica
o atualizado
Adi
o de refer
ncia ao SOC 2 e MPAA
Verso de julho de 2012
Edi
es em contedo e escopo de certifica
o atualizado
Acr
scimo do CSA Consensus Assessments Initiative Questionnaire (Ap
ndice A)
Verso de janeiro de 2012
Pequenas edi
es em contedo com base no escopo de certifica
o atualizado
Pequenas corre
es gramaticais
Verso de dezembro de 2011
Altera
o na se
o de declara
o de terceiros e certifica
es para refletir SOC 1/SSAE 16, FISMA, n
vel
moderado, regulamentos sobre o trfico internacional de armas e FIPS 140-2

Pgina 94 de 95

Risco e Compliance da Amazon Web Services

Dezembro de 2015

Acr
scimo da criptografia de servidor do S3
Tpicos adicionais da questo de computa
o em nuvem adicionados

Verso de maio de 2011


Verso inicial
Avisos

2010-2016 Amazon.com, Inc., ou suas afiliadas. Este documento fornecido apenas para fins informativos.
Ele relaciona as atuais ofertas de produtos da AWS a contar da data de emisso deste documento, que esto
sujeitas a altera
es sem aviso pr
vio. Os clientes so responsveis por fazer sua prpria avalia
o
independente das informa
es neste documento e de qualquer uso dos produtos ou servi
os da AWS, cada um
dos quais fornecido como est, sem garantia de qualquer tipo, expressa ou impl
cita. Este documento no
cria quaisquer garantias, representa
es, compromissos contratuais, condi
es ou seguros da AWS, suas
afiliadas, fornecedores ou licenciadores. As responsabilidades e as obriga
es da AWS com os seus clientes so
controladas por contratos da AWS, e este documento no parte, nem modifica, qualquer contrato entre
a AWS e seus clientes.

Pgina 95 de 95

Você também pode gostar