Snabbreferensguide om säkerhet och efterlevnad

Relevanta dokument
AWS SÄKERHET OCH EFTERLEVNAD SNABB- REFERENS- GUIDE

Dokument ID: AJP Er referens: Secur box Mats Enocson. Säkerhetsgranskning. Secur box

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

KRAFTFULLA, SKALBARA SÅRBAR- HETSANALYSER. F-Secure Radar

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Teknologin steg för steg 2. Snyggt grafiskt användargränssnitt 2. Trådlöst Bluetooth -infrastruktur 2. IPCS systemdiagram 3

Molntjänster. Översikt. Lektion 1: Introduktion till molntjänst. Introduktion till molntjänst. Vilka tjänster finns? Säkerhet.

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Topps integritetspolicy för mobilappen Match Attax. Senast uppdaterad: 24 september 2018

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Metoder för verifiering av användare i ELMS 1.1

Dropbox resa mot GDPRefterlevnad

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Datacentertjänster IaaS

Vi bryr oss om din integritet

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

DATASKYDDSPOLICY. Godkännande av denna policy När du använder våra produkter och tjänster, accepterar du denna Dataskyddspolicy och vår Cookiepolicy.

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

SÄKERHET OCH REGELEFTERLEVNAD I COMPLIANT CLOUD

Risk, säkerhet och rättslig analys för migrering till molnet. PART 4: Skydd, rättigheter och juridiska skyldigheter

DIG IN TO Nätverksadministration

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Effektgruppen AB ( ) med adress Trafikgatan 52, Sundsvall/ Sverige bedriver verksamhet i huvudsak Sverige och inom EU/EES.

STYRKAN I ENKELHETEN. Business Suite

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

Vår flexibla lösning för för Intelligent Workload Management

Integritetspolicy. Omfattning. Typ av Data och Insamlingsmetoder

Caperio CloudSystem NICE TO MEET YOU. Komplett molntjänst för etablering av infrastruktur och applikationer

GDPR. General Data Protection Regulation

Fieldglass integritetspolicy

Riktlinjer för informationssäkerhet

JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 9. Virtualisering och molntjänster i planering av teknologiarkitektur

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Digital Lagring. Jukka Salo Flygteknisk inspektör

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Johnson Controls bindande bolagsregler kring sekretess

Personuppgiftsbiträdesavtal

Datacentertjänster PaaS

Genom att använda vår webbplats godkänner du att din personliga information behandlas i enlighet med denna integritetspolicy

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Framgångsfaktorer i molnet!

Denna Sekretesspolicy gäller endast för webbsidor som direkt länkar till denna policy när du klickar på "Sekretesspolicy" längst ner på webbsidorna.

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

I det här dokumentet beskriver IT-mästarens tjänsten E-post, dess ingående komponenter och dess tillägg

GDPR Presentation Agenda

Integritetspolicy CODAN TRIPLUS AB. INTEGRITETSPOLICY för CODAN TRIPLUS AB. avseende. behandling av personuppgifter 1,01. Version Datum

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Integritets- och cookiepolicy

Integritetspolicy Personuppgiftspolicy

Varför utför vi dessa undersökningar och varifrån har vi fått dina uppgifter?

Säkerhet i molnet krav och standarder

Vitbok om dataskyddet i EU

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Efterlevnadsförberedelse

Använd molntjänster på rätt sätt

Gunnebo Industriers Integritetspolicy för kunder och leverantörer

Handlingsplan för persondataskydd

Personuppgiftsbiträdesavtal

Policy för användande av IT

FÖRHINDRA DATORINTRÅNG!

PALAVER INTEGRITETSPOLICY

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Integritetspolicy. Omfattning. Typer av uppgifter och insamlingsmetoder

Adients bindande bolagsregler för sekretess

DATASKYDDSMANUAL för Saferoad-gruppen

VEMS ANSVAR ÄR DET ATT DATASKYDDSFÖRORDNINGEN EFTERLEVS? Copyright Forcepoint. 2

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

ANVÄNDARVILLKOR ILLUSIONEN

ASBRA - Dataskyddspolicy

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Upplev Symantec Backup Exec.cloudcloud

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

PCI DSS 3.0! PCI Vad? För vem? Hur uppnå? Om man inte efterlever?!!! Mathias Elväng, QSA! David Borin, QSA!!

Integritetspolicy( )

Integritetspolicy för givare

GDPR. Dataskyddsförordningen

EU:s dataskyddsförordning

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

I de fall vi har utsett ett dataskyddsombud (DPO) kan du kontakta vår DPO via kontaktuppgifterna som finns i "Frågor och funderingar" nedan.

Global Invests dataskyddspolicy

Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA)

Identity Management för Microsoft

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Riktlinjer för dataskydd

Modul 3 Föreläsningsinnehåll

Vill du läsa mer om personuppgiftshantering och de lagar och regler som gäller, gå in på Datainspektionens hemsida.

GDPR NYA DATASKYDDSFÖRORDNINGEN

Smartare affärer med det bästa från molnet

Transkript:

Snabbreferensguide om säkerhet och efterlevnad 2018

Besked INNEHÅLLSFÖRTECKNING Det här dokumentet ges endast ut i informationssyfte. Innehållet representerar AWS nuvarande produktutbud och praxis från och med det datum dokumentet utfärdades. Innehållet kan komma att ändras utan föregående besked. Kunder är ansvariga att göra sina egna bedömningar vad gäller informationen i detta dokument och av eventuell användning av produkter eller tjänster från AWS, som tillhandahålls i befintligt skick" utan några garantier, uttryckliga eller underförstådda. Detta dokument ger inga garantier, framställningar, avtalsförpliktelser, villkor eller försäkringar från AWS, dess filialer, leverantörer eller licensgivare. De förpliktelser och det ansvar AWS har gentemot sina kunder styrs av AWS-avtal, och detta dokument utgör inte en del av något avtal och ändrar inte något avtal mellan AWS och dess kunder. 2018, Amazon Web Services, Inc. eller dess dotterbolag. Alla rättigheter förbehålls. Översikt 3 Hur vi delar på ansvaret 7 AWS Säkerhet kring molnet Kund Säkerhet i molnet Kvalitetssäkringsprogram 12 Skydda ditt innehåll 17 Lagringsplats för ditt innehåll Affärskontinuitet 22 Automatisering 24 Resurser 26 Partner och marknadsplats Utbildning Snabbstart SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 2

Översikt SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 3

ÖVERSIKT Vi tänker annorlunda vad gäller säkerhet och efterlevnad. Som med allt på Amazon mäts framgången vad gäller vårt säkerhets- och efterlevnadsprogram främst efter en sak: våra kunders framgång. De krav våra kunder ställer är det som driver vår portfölj av efterlevnadsrapporter, intyg och certifieringar som gör det möjligt för våra kunder att driva en säker molnmiljö, som uppfyller tillbörliga krav. Genom att använda Amazons webbtjänst (Amazon Web Services eller AWS) kan ni både spara pengar och få en god skalbarhet samtidigt som ni upprätthåller en stark säkerhet och regelefterlevnad. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 4

ÖVERSIKT Vi har antagit en mer utmanande ståndpunkt och vet att vi kan distribuera några av våra mest kritiska arbetsbelastningar vid produktion på AWS-plattformen. Det här är ett genombrott i branschen. Rob Alexander CIO, Capital One Säkerhet har högsta prioritet hos oss på AWS. Det viktigaste för oss är att skydda er information. Som AWS-kund får ni tillgång till ett datacenter och en nätverksarkitektur som är byggd för att möta kraven hos de mest säkerhetsmedvetna organisationerna. Vi innoverar snabbt i stor skala och vi införlivar kontinuerligt er feedback i AWS-tjänster. Det gynnar er eftersom våra lösningar hela tiden förbättras, och vi utvecklar konstant våra huvudsakliga säkerhetstjänster såsom identitets- och åtkomsthantering, loggning och övervakning, kryptering och nyckelhantering, nätverkssegmentering samt standardiserat DDoS-skydd. Ni får också tillgång till avancerade säkerhetstjänster som konstruerats av ingenjörer med djup inblick i globala säkerhetstrender, vilket gör det möjligt för ert team att proaktivt ta itu med nya risker i realtid. Det innebär att ni kan välja den säkerhet som uppfyller era behov när ni växer, utan initiala kostnader och med mycket lägre driftskostnader än om ni själva hanterar er infrastruktur. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 5

ÖVERSIKT En korrekt säkrad miljö resulterar i en miljö som uppfyller kraven på efterlevnad. AWS har många efterlevnadsfunktioner som ni kan använda för en reglerad arbetsbelastning i AWS-molnet. Funktionerna gör det möjligt för er att uppnå en högre säkerhetsnivå i större skala. Molnbaserad efterlevnad erbjuder lägre inledande kostnader samt enklare och smidigare drift genom bättre övervakning, säkerhetskontroll och central automatisering. Genom att använda AWS drar ni nytta av de många säkerhetskontroller som vi driver, vilket minskar antalet säkerhetsåtgärder som ni behöver underhålla. Era egna efterlevnads- och certifieringsprogram stärks, samtidigt som ni sänker kostnaderna för underhåll och drift av era specifika kvalitetssäkringskrav gällande säkerhet. Vi fick igång molninfrastrukturen på rekordtid, till mycket lägre kostnad än om vi hade gjort det på egen hand. Mark Field CTO, Thermo Fisher Scientific SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 6

Hur vi Delar På ansvaret SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 7

HUR VI DELAR PÅ ANSVARET Modell för delat ansvar När ni flyttar er IT-infrastruktur till AWS, börjar ni använda den modell med delat ansvar som visas till vänster. Modellen minskar er operativa börda eftersom vi driver, hanterar och kontrollerar lagren av IT-komponenter från värdoperativsystemet och virtualiseringsskiktet ned till den fysiska säkerheten i anläggningarna där tjänsterna drivs. AWS ansvarar för säkerheten kring molnet, och du som kund ansvarar för säkerheten imolnet. Precis som ni delar ansvaret för driften av IT-miljön med oss delar ni också hanteringen, driften och verifieringen av IT-kontroller. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 8

HUR VI DELAR PÅ ANSVARET AWS SÄKERHET KRING MOLNET För att hjälpa er att få ut mesta möjliga av kontrollramverket för säkerhet i AWS har vi utvecklat ett kvalitetssäkringsprogram angående säkerhet som använder bästa praxis inom globalt integritets- och dataskydd. För att verifiera att vi upprätthåller en allmänt förekommande kontrollmiljö som fungerar effektivt för våra tjänster och i våra anläggningar över hela världen, använder vi oberoende bedömningar från tredje part. Vår kontrollmiljö omfattar policyer, processer och kontrollaktiviteter som utnyttjar olika aspekter av Amazons övergripande kontrollmiljö. Den kollektiva kontrollmiljön omfattar de medarbetare, de rutiner och den teknik som krävs för att upprätta och upprätthålla en miljö som stöder driftseffektiviteten i kontrollramverket. Kontrollramverket har inbyggda molnspecifika kontroller som har identifierats av ledande branschorgan inom molntjänster. Vi håller noga uppsikt över dessa branschgrupper för att identifiera bästa praxis som ni kan införa och använda och för att bättre hjälpa er hantera kontrollmiljön. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 9

HUR VI DELAR PÅ ANSVARET Vi förevisar vår efterlevnadshållning för att hjälpa er att verifiera kraven på efterlevnad som ställs av branschen och myndigheterna. Vi arbetar med externa certifieringsorgan och oberoende granskare för att ge er detaljerad information om de policyer, rutiner och kontroller som vi har upprättat och använder. Ni kan använda denna information för att utföra era kontrollutvärderings- och verifieringsprocedurer enligt kraven i gällande efterlevnadsstandard. Ni kan införliva informationen vi tillhandahåller om vårt risk- och efterlevnadsprogram och ta med den i ert ramverk för efterlevnad. Vi använder tusentals säkerhetskontroller för att övervaka att vi upprätthåller kraven på efterlevnad enligt globala standarder och med bästa praxis. Vi förser er med tjänster såsom AWS Config för att övervaka säkerheten och efterlevnaden i er miljö. AWS Config AWS Config är en fullt hanterad tjänst som ger er tillgång till en resursförteckning som tillhandahålls i AWS och den ger även tillgång till konfigurationshistorik och underrättelser angående konfigurationsändringar för att möjliggöra för säkerhet och regelefterlevnad. Med AWS Config kan ni upptäcka befintliga och raderade AWSresurser, bestämma en övergripande hållning till efterlevnad av regler hos er och gräva djupt i konfigurationsdetaljerna angående en resurs när som helst. AWS Config möjliggör kontroll av efterlevnad, säkerhetsanalys, spårning av resursförändringar och felsökning. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 10

HUR VI DELAR PÅ ANSVARET AWS Servicekatalog KUND SÄKERHET I MOLNET På samma sätt som vid ett traditionellt datacenter, ansvarar ni för hanteringen av gästoperativsystemet. Det inkluderar att installera uppdateringar och att göra säkerhetskorrigeringar. Ni ansvarar även för hantering av associerad applikationsprogramvara, liksom konfiguration av brandvägg (säkerhetsgrupp) som tillhandahålls i AWS. Era ansvarsområden varierar beroende på vilka AWS-tjänster ni väljer, hur ni integrerar dessa tjänster i er IT-miljö samt beroende på gällande lagar och förordningar. För att kunna hantera era AWS-resurser på ett säkert sätt behöver ni göra följande tre saker: Känna till vilka resurser ni använder (inventering av tillgångar). Konfigurera gästoperativsystem och applikationer på era resurser på ett säkert sätt (säkra konfigurationsinställningar, patchning och anti-malware). Styra ändringar i resurserna (hantering av ändringar). Ni kan använda AWS Servicekatalog för att skapa och hantera kataloger om IT-tjänster (tjänstekataloger) som ni har godkänt för användning på AWS, inklusive virtuella maskinbilder, servrar, programvara och databaser för att slutföra applikationsarkitekturer med multilager. AWS Servicekatalog gör det möjligt för er att hantera vanligt förekommande IT-tjänster och hjälper er att uppnå en enhetlig styrning som uppfyller era krav på efterlevnad, samtidigt som användare snabbt kan sätta de godkända IT-tjänster de behöver i drift. Amazon GuardDuty Amazon GuardDuty erbjuder hjälp för att upptäcka hot och kontinuerlig säkerhetsövervakning av skadlig eller obehörig aktivitet för att hjälpa er att kunna skydda era AWS-konton och arbetsbelastningar. Tjänsten övervakar aktiviteter som kan indikera att ett eventuellt konto har äventyrats, eventuellt äventyrad instans eller tecken på rekognoscering från angripare. Den övervakar immateriella rättigheter och den övervakar kontinuerligt dataåtkomstaktiviteter för avvikelser som kan indikera obehörig åtkomst eller oavsiktligt informationsläckage. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 11

Kvalitetssäkringsprogram SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 12

KVALITETSSÄKRINGSPROGRAM Vi delar in AWS Assurance Programs (kvalitetssäkringsprogram) i tre kategorier: certifieringar/attester, lagar/förordningar/sekretess samt anpassningar/ramverk. Kvalitetssäkringsprogram Certifieringar/intyg utförs av en oberoende revisor från tredje part. Våra certifieringar, revisionsrapporter eller intyg om efterlevnad baseras på resultatet av revisorns arbete. Lagar/förordningar/sekretess och anpassningar/ ramverk är specifika för er bransch eller funktion. Vi stöder er genom att tillhandahålla säkerhetsfunktioner och dokument så som handböcker om efterlevnad, kartläggningsdokument och vitböcker. Efterlevnad av dessa lagar, regler och program har inte formaliserats hos AWS, antingen för att certifiering inte är tillgänglig för molnleverantörer, eller för att certifieringen redan omfattas av ett större paraply inom ett av våra formella certifierings-/certifikatprogram. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 13

KVALITETSSÄKRINGSPROGRAM Global CSA Kontroller av Cloud Security Alliance PCI DSS Nivå 1 Betalkortsstandard USA CJIS Criminal Justice Information Services (USA) FIPS Statliga säkerhetsstandarder (USA) MPAA Skyddat mediainnehåll ISO 9001 Global kvalitetsstandard SOC 1 Kontrollrapport om revision DoD SRG DoD Databehandling FISMA Federal Information Security Management (USA) NIST National Institute of Standards and Technology (USA) Asien-Stillahavsområdet FISC [Japan] Financial Industry Information Systems (Informationssystem i den finansiella industrin) Europa C5 [Tyskland] Intyg om driftsäkerhet IRAP [Australien] Australiska säkerhetsstandarder Cyber Essentials Plus [Storbritannien] Skydd mot cyberhot ISO 27001 Kontroller om säkerhetshantering SOC 2 Rapport om säkerhet, tillgänglighet och konfidentialitet FedRAMP Statliga informationsstandarder (USA) GxP Kvalitetsriktlinjer och föreskrifter SEC Rule 17a-4(f) Finansiella informationsstandarder ENS High [Spanien] Statliga standarder i Spanien ISO 27017 Molnspecifika kontroller SOC 3 Allmän kontrollrapport FERPA Educational Privacy Act (USA) HIPAA Skyddad hälsoinformation (USA) VPAT / Section 508 Tillgänglighetsstandarder (USA) MTCS Tier 3 [Singapore] Multi-Tier Cloud Security Standard (Säkerhetsstandard för moln med multilager) G-Cloud [Storbritannien] Statliga standarder i Storbritannien ISO 27018 Skydd av personuppgifter FFIEC Financial Institutions Regulation (Finansinspektionens förordning) ITAR International Arms Regulations (Internationella vapenförordningarna) My Number Act [Japan] Skyddande av personuppgifter K-ISMS [Korea] Koreansk informationssäkerhet IT- Grundschutz [Tyskland] Grundläggande skyddsmetodik Våra miljöer granskas kontinuerligt, och vår infrastruktur och våra tjänster är godkända för drift enligt flera efterlevnadsstandarder och branschcertifieringar över geografiska områden och industrier, inklusive de som visas nedan. Ni kan använda dessa certifieringar för att validera genomförandet och effektiviteten av våra säkerhetskontroller. Vi lägger ständigt till nya program. För aktuell lista, besök webbplatsen för kvalitetssäkringsprogram i AWS. PCI DSS AWS är en PCI DSS-kompatibel tjänsteleverantör (Payment Card Industry Data Security Standard) sedan 2010, vilket innebär att ni, om ni använder produkter och tjänster från AWS för att lagra, bearbeta eller överföra kortinnehavsuppgifter, kan förlita er på vår tekniska infrastruktur samtidigt som ni hanterar er egen PCI DSS-kompatibla certifiering. ISO 27001 ISO 27001 är en allmänt antagen säkerhetsstandard som används på global nivå och som beskriver kraven för hanteringssystem gällande informationssäkerhet. Den tillhandahåller ett systematiskt tillvägagångssätt för hantering av företags- och kundinformation som baseras på periodiska riskbedömningar. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 14

KVALITETSSÄKRINGSPROGRAM AWS Artifact Med AWS Artifact kan ni kan granska och ladda ner rapporter och detaljer om mer än 2 500 säkerhetskontroller. AWS Artifact är vårt automatiserade rapporteringsverktyg angående efterlevnad som finns tillgänglig i AWS Management Console. AWS Artifact ger on-demand-åtkomst till våra säkerhets- och efterlevnadsdokument, även kallade revisionsartiklar. Ni kan använda artiklarna för att visa att kraven på säkerhet och efterlevnad efterföljs vad gäller infrastruktur och tjänster som tillhandahålls av AWS till era revisorer eller tillsynsmyndigheter. Exempel på revisionsartiklar innefattar system- och organisationsstyrningar (SOC) och rapporter angående betalkortindustrin (PCI). ISO 27017 ISO 27017 ger vägledning gällande informationssäkerhetsaspekterna i molntjänster och rekommenderar att man inför molnspecifika kontroller av informationssäkerhet som kompletterar vägledningen från ISO 27002 och ISO 27001-standarderna. Denna uppförandekod ger implementeringsvägledning angående kontroller av informationssäkerhet vilka är specifika för molntjänstleverantörer. AWS intygar att ISO 27017-vägledningen visar vårt fortsatta engagemang att använda globalt erkänd bästa praxis och verifierar också att AWS har ett mycket exakt kontrollsystem som är specifikt för molntjänster. ISO 27018 ISO 27018 är en uppförandekod som fokuserar på skyddande av personuppgifter i molnet. Den bygger på informationssäkerhetsstandarden ISO 27002 och ger implementeringsvägledning om ISO 27002-kontroller som är tillämpliga på personligt identifierbar information (PII) för offentlig moln. I och med att AWS har anpassat sig till detta och med oberoende tredjepartsbedömning av denna internationellt erkända uppförandekod visar AWS sitt engagemang för integriteten och skyddet av ert innehåll. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 15

KVALITETSSÄKRINGSPROGRAM SOC AWS System and Organization Controls (SOC) Dessa rapporter är oberoende undersökningsrapporter från tredje part som visar hur AWS utför viktiga kontroller och uppnår målen vad gäller kraven på efterlevnad. Syftet AWS Artifact med dessa rapporter är att hjälpa er och era revisorer förstå de AWS-kontroller som har upprättats för att stödja drift och Certifieringar/intyg efterlevnad. Det utförs finns av tre en typer oberoende av SOC-rapporter revisor från hos tredje AWS: part. Våra certifieringar, revisionsrapporter eller intyg om SOC 1: Ger information om kontrollmiljön i AWS som kan vara efterlevnad relevant för baseras era interna på resultatet kontroller av gällande revisorns finansiell arbete. rapportering (ICFR), samt ger information för bedömning av effektiviteten hos Lagar/förordningar/sekretess er ICFR. och anpassningar/ ramverk är specifika för er bransch eller funktion. Vi stöder er genom att tillhandahålla SOC 2: Ger er säkerhetsfunktioner och tjänsteanvändare och med dokument affärsbehov så som en oberoende bedömning av kontrollmiljön i AWS som är relevant handböcker om efterlevnad, kartläggningsdokument och för systemets säkerhet, tillgänglighet och konfidentialitet. vitböcker. SOC 3: Ger er och tjänsteanvändare med affärsbehov Efterlevnad en oberoende av dessa bedömning lagar, regler av kontrollmiljön och program har i AWS inte och formaliserats tillhandahåller i AWS, information antingen för angående att certifiering systemets inte säkerhet, är tillgänglighet och konfidentialitet utan att offentliggöra intern tillgänglig för molnleverantörer, eller för att certifieringen AWS-information. redan omfattas av ett större paraply inom ett av våra formella certifierings-/certifikatprogram. FedRAMP Ett amerikanskt statligt program för att upprätthålla standarder i fråga om säkerhetsbedömning, auktorisering och kontinuerlig övervakning. FedRAMP följer NIST och de kontrollstandarder som definierats av FISMA. AWS erbjuder FedRAMP-system som har beviljats tillstånd för efterlevnad, berör FedRAMP-säkerhetskontrollerna, använder de nödvändiga FedRAMP-mallarna för säkerhetspaketen som lagts upp i det säkra FedRAMP-arkivet, har utvärderats av en ackrediterad oberoende bedömningsorganisation från tredje part (3PAO) och upprätthåller kontinuerliga övervakningskrav från FedRAMP. DoD Cloud Security Model (CSM) är standarder för molntjänster som utfärdats av amerikanska DISA (Defense Information Systems Agency) och dokumenterats i amerikanska Department of Defense (DoD) Security Requirements Guide (SRG). Den tillhandahåller en auktoriseringsprocess för ägare av DoD arbetsbelastningar och har unika arkitektoniska krav beroende på deras DISA Impact Level (IL). HIPAA Health Insurance Portability and Accountability Act (HIPAA) innehåller strikta säkerhets- och efterlevnadsstandarder för organisationer som behandlar eller lagrar skyddad hälsoinformation (PHI). AWS gör det möjligt för de enheter och deras affärsförbindelser som omfattas av HIPAA, att utnyttja den säkra miljön hos AWS för att bearbeta, underhålla och lagra PHI. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 16

Säkra ditt innehåll SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 17

SÄKRA DITT INNEHÅLL AWS värnar om er integritet. Ni äger alltid ert eget innehåll, inklusive förmågan att kryptera det, flytta det och hantera lagring. Vi tillhandahåller verktyg som låter er kryptera er information på ett enkelt sätt både i transit och i vila, för att säkerställa att endast behöriga användare kan komma åt innehållet. AWS CloudHSM CloudHSM-tjänsten i AWS gör att ni kan skydda era krypteringsnycklar inom hårdvarusäkerhetsmoduler (HSMs). Dessa är utformade och validerade enligt statliga standarder för säker nyckelhantering. Ni kan på ett säkert sätt skapa, lagra och hantera de krypteringsnycklar som används för informationskryptering så att de endast är tillgängliga för er. Kryptering på serversidan Om ni föredrar att Amazon S3 hanterar krypteringsprocessen åt er kan ni använda Amazon S3 kryptering på serversidan (SSE). Information krypteras med en nyckel som genereras av AWS, eller med en nyckel från er, beroende på era krav. Med Amazon S3 SSE kan ni kryptera information vid uppladdning helt enkelt genom att lägga till en extra begäran när ni skriver objektet. Dekryptering sker automatiskt när information hämtas. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 18

SÄKRA DITT INNEHÅLL AWS ger er den kontroll ni behöver för att följa lokala lagar och regler angående datasäkerhet. Utformningen av vår globala infrastruktur gör det möjligt för er att behålla fullständig kontroll över de platser där er information lagras rent fysiskt, vilket hjälper er att uppfylla de lokala datakraven. Obs: Vi använder enbart ert innehåll i syfte att tillhandahålla de utvalda tjänsterna från AWS till er och era slutanvändare. Vi använder aldrig ert innehåll för vårt eget ändamål, det inkluderar marknadsföring eller reklam. AWS Identity and Access Management (Identitets- och åtkomsthantering) Identity and Access Management (IAM) gör det möjligt att hantera tillgången till tjänster och resurser i AWS på ett säkert sätt. Med IAM kan era administratörer skapa och hantera användare och grupper hos AWS och använda behörigheter för att tillåta och neka åtkomst till resurser. Federering tillåter IAM-roller att kartläggas för behörighet från centrala katalogtjänster. Med AWS vet ni vem som har tillgång till ert innehåll och vilka resurser er organisation konsumerar vid en given tidpunkt. Korrekt identitets- och åtkomstkontroll, i kombination med kontinuerlig övervakning av säkerhetsinformation som sker nästan i realtid, säkerställer att rätt resurser alltid har rätt åtkomst, oavsett var i världen er information lagras. Amazon Macie Amazon Macie använder maskininlärning för att automatiskt upptäcka, klassificera och skydda känslig information. Macie känner igen känslig information som t.ex personligt identifierbar information (PII) eller immateriell egendom och övervakar kontinuerligt dataåtkomstaktivitet för avvikelser som kan innebära obehörig åtkomst eller oavsiktlig informationsläckage. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 19

SÄKRA DITT INNEHÅLL Ni kan minska risker och möjliggöra tillväxt genom att använda våra övervakningstjänster gällande aktiviteter som upptäcker konfigurationsändringar och säkerhetshändelser i hela ert system. Ni kan till och med integrera våra tjänster med era befintliga lösningar för att förenkla driften och för rapporter om efterlevnad. Vi avslöjar inte ert innehåll såvida vi inte är tvingade att göra så för att följa lagen eller för att följa en giltig och bindande order från en statlig organisation eller från tillsynsorgan. I de fall vi är skyldiga att avslöja ert innehåll meddelar vi er innan vi agerar så att ni kan söka skydd mot avslöjande. AWS Directory Service för Microsoft Active Directory AWS Microsoft AD gör det enkelt att installera och köra Microsoft Active Directory i AWS-molnet, eller för att ansluta era AWS-resurser med ett existerande lokalt Microsoft Active Directory. Federerad användaråtkomst Federerade användare är användare (eller program) som inte har AWS-konton. Ni kan med hjälp av olika roller ge dem åtkomst till era AWS-resurser under en begränsad tid. Det här är användbart om ni har icke-aws-användare som ni kan verifiera genom en extern tjänst, till exempel Microsoft Active Directory, LDAP eller Kerberos. AWS CloudTrail Viktigt: Om vi är förbjudna att meddela er eller om det finns tydliga indikationer på olagligt beteende i samband med användningen av Amazons produkter eller tjänster, kommer vi inte att meddela er innan vi avslöjar ert innehåll. AWS CloudTrail registrerar API-samtal i AWS och levererar loggfiler som innehåller uppringarens identitet, tid, käll-ip-adress, parameterbegäran och svar. Ni kan använda samtalshistoriken som CloudTrail tillhandahåller för att aktivera säkerhetsanalys, spårning av resursförändringar och övervakning av efterlevnad. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 20

SÄKRA DITT INNEHÅLL Lagringsplats för ditt innehåll AWS datacenter är byggda i kluster i olika länder runtom i världen. 3 3 2 3 6 2 3 2 3 3 2 2 2 2 3 Vi kallar vart och ett av våra kluster i ett specifikt land för en AWSregion. NI har tillgång till ett flertal AWS-regioner runtom i världen och kan välja att använda en enskild region, alla regioner eller en valfri kombination av regioner. 2 Ni behåller fullständig kontroll över vid vilken/vilka AWS-region(er) er information lagras rent fysiskt, vilket gör det enkelt att uppfylla 3 AWS-regioner 3 kraven på efterlevnad och lokala datalagar. Om ni till exempel är en europeisk kund kan ni välja att distribuera era AWS-tjänster uteslutande i EU-regionen (Frankfurt). Om ni väljer detta alternativ kommer ert innehåll att lagras exklusivt i Tyskland om ni inte väljer en annan AWS-region. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 21

AFFÄRSKONTINUITET SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 22

AFFÄRSKONTINUITET Det är viktigt att notera att: Vår infrastruktur har hög tillgänglighetsnivå och vi ger er de funktioner ni behöver för att distribuera en motståndskraftig IT-arkitektur. Våra system är utformade för att tolerera system- eller maskinvarufel med en minimal kundpåverkan. AWS-molnet stöder många populära katastrofåterställningsarkitekturer, allt från pilot light"-miljöer som är redo att skala upp på ett ögonblick till hot standby"-miljöer som möjliggör snabb reservomkoppling. Alla datacenter är online och betjänar kunder; inget datacenter är "kallt". Vid ett misslyckande flyttas er datatrafik med hjälp av automatiska processer bort från det berörda området. Genom att distribuera applikationer över flera AWS Availability Zones (tillgänglighetszoner) kan ni skyddas mot de flesta fellägen, inklusive naturkatastrofer eller systemfel. Ni kan bygga system med hög motståndskraft i molnet genom att använda flera instanser i flera tillgänglighetszoner och använda datareplikation för att uppnå extremt hög återhämtningstid och återhämtningspunkter. Ni ansvarar för hantering och testning av säkerhetskopiering och återställning av ert informationssystem som är byggt på AWS infrastruktur. Ni kan använda AWS infrastruktur för att möjliggöra snabbare katastrofåterställning av kritiska IT-system utan att ådra er infrastrukturkostnaden för en andra fysisk webbplats. Mer information finns på aws.amazon.com/disaster-recovery SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 23

AUTOMATISERING SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 24

AUTOMATISERING Användning av automatiserade säkerhetsuppgifter på AWS ger er större säkerhet genom att minska andelen konfigurationsfel som beror på den mänskliga faktorn och det ger ert team mer tid att fokusera på annat arbete som är avgörande för er företag. Era säkerhetsgrupper kan använda säkerhetsautomatisering och API-integration för att bli mer responsiva och smidiga, vilket gör det lättare att arbeta nära utvecklar- och driftgrupper för att skapa och distribuera koder snabbare och säkrare. Genom att automatisera infrastruktur- och applikationssäkerhetskontroller när en ny kod sätts i drift, kan ni ständigt genomdriva era säkerhetsoch efterlevnadskontroller för att säkerställa ett konstant upprätthållande av konfidentialitet, integritet och tillgänglighet. Ni kan automatisera i en hybridmiljö med våra informationshanteringsoch säkerhetsverktyg för att enkelt integrera AWS som en sömlös och säker förlängning av era lokaler och arvsmiljöer. Amazon Inspector Amazon Inspector är en automatiserad säkerhetsbedömningstjänst som hjälper till att förbättra säkerheten och efterlevnaden av applikationer som implementeras på AWS. Amazon Inspector utvärderar automatiskt program och letar efter sårbarheter eller avvikelser från bästa praxis. Efter att ha utfört en bedömning, producerar Amazon Inspector en detaljerad lista över säkerhetsfel som prioriteras efter svårighetsgrad. För att hjälpa er att komma igång snabbt innehåller Amazon Inspector en kunskapsbas med hundratals regler som är mappade till gemensamma säkerhetsmetoder och sårbarhetsdefinitioner. Exempel på inbyggda regler inkluderar att kontrollera om fjärr-rootinloggning är aktiverad, eller om sårbara programvaruversioner är installerade. Dessa regler uppdateras regelbundet av säkerhetsforskare hos AWS. SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 25

RESOURCES (Resurser) SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 26

RESOURCES (RESURSER) Partners and Marketplace (Partner och marknadsplats) AWS Partner Network (APN) är en lösning som möjliggör automatisering och smidighet, skalering gällande era arbetsbelastningar, och ni betalar bara för vad ni faktiskt behöver och använder. Hitta, köp, distribuera och hantera dessa molnklara programvarulösningar på ett enkelt sätt, inklusive programvara som en tjänst (SaaS), inom några minuter på AWS Marketplace. Dessa lösningar arbetar tillsammans för att skydda er information på ett sätt som inte är möjligt lokalt, med lösningar som finns tillgängliga för ett stort antal arbetsbelastningar och användarfall. Mer information finns på aws.amazon.com/partners och aws.amazon.com/marketplace UTBILDNING Oavsett om ni just har börjat, om ni vill bygga på befintliga IT-färdigheter eller öka er kunskap om moln kan AWS Training (AWS utbildning) hjälpa er att fördjupa kunskapen så att ni kan bli mer effektiva vid användning av molnet. Mer information finns på aws.amazon.com/training QUICK STARTs (Snabbstart) Med hjälp av Quick Starts kan ni följa bästa praxis för att starta säkerhetskonfigurationen av AWS och lägga en solid grund för att uppfylla de globala kraven på efterlevnad. Mer information finns på aws.amazon.com/quickstart SNABBREFERENSGUIDE OM SÄKERHET OCH EFTERLEVNAD 27

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss