疑難點撥 | AWS 合規性控制
官方指導
AWS 具備最為全面的合規性控制。AWS 支持 143 項安全標準和合規性認證,包括 PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR、FIPS 140-2 和 NIST 800-171,以幫助客戶滿足全球各地的合規要求。AWS 遵守的IT 標準,可以分為認證和鑒證、法律法規、隱私,協定和框架,共計四大類別。
比較分析
認證/鑒證
合規性認證和鑒證由第三方獨立審計機構評估,評估結果為證書、審計報告或合規性鑒證。
1. PCI DSS
PCI DSS 是英文 Payment Card Industry Data Security Standard 的縮寫,中文是支付卡行業數據安全標準,它是一項支付卡行業數據安全標準。適用于存儲、處理或傳輸持卡者數據 (CHD) 或敏感身份驗證數據 (SAD) 的實體,包括商家、處理機構、購買方、發行機構和服務提供商。PCI DSS 由多家支付卡品牌聯合制定,由支付卡行業安全標準委員會管理。
2. FedRAMP
FedRAMP 是英文 Federal Risk and Authorization Management Program 的縮寫,中文是聯邦風險與授權管理計劃,是一項美國政府層面的計劃,它提供一種標準方法來對云產品和云服務進行安全性評估、授權以及持續監控。想要向美國政府提供云服務產品 (CSO) 的云服務提供商 (CSP) 必須證明自己符合 FedRAMP 的規定。
法律/法規
AWS 客戶有責任遵守適用的合規性法律法規。在此類法律和監管領域中,沒有可用于云服務提供商(或由其分配)的正規認證。
HIPAA
HIPAA 是英文 Health Insurance Portability and Accountability Act 的縮寫,中文是健康保險流通與責任法案。HIPAA 的條例適用于所涉實體,其中包括直接接觸病人并處理病人數據的醫院、醫療服務提供商、由雇主贊助的健康計劃、研究機構和保險公司。
協定/框架
包含針對特定目的(如特定的行業或職能)發布的安全或合規性要求。
NIST
NIST 是 National Institute of Standards and Technology 的縮寫,中文是美國國家標準與技術研究院,廣泛適用于美國聯邦信息系統。NIST 網絡安全框架 (CSF) 已獲得全球各個政府和各行各業的支持,將其作為建議所有組織(無論任何領域或任何規模)使用的基準。
隱私權
AWS 服務嚴格遵守大多數國家的隱私條例,為 190 多個國家/地區的數百萬個活動客戶提供服務,包括企業、教育機構和政府機構。
GDPR
備考要點
PCI DSS 是一項支付卡行業數據安全標準;向美國政府提供云服務產品 (CSO) 必須證明自己符合 FedRAMP 的規定。HIPAA 是醫療和健康行業數據保護的合規要求;NIST 是確保充分保護信息和信息系統的機密性、完整性和可用性的一組框架和協議;GDPR 是歐盟用來保護基本隱私和個人數據的數據保護條例。