Amazon Web Services: Risk and Compliance

Transcript

Amazon Web Services Risk and Compliance
Dicembre 2015
Amazon Web Services: Risk and Compliance
Dicembre 2015
(Consultare http://aws.amazon.com/compliance/aws-whitepapers/
per la versione più recente di questo documento)
Pagina 1 di 89
Dicembre 2015
Lo scopo di questo documento è di fornire informazioni utili ai clienti AWS che intendono integrare il
framework di controllo che supporta il loro ambiente IT con le soluzioni AWS. Nel documento viene descritto
un approccio di base per la valutazione dei controlli AWS e vengono fornite informazioni utili ai clienti che
intendono integrare le soluzioni di controllo. Questo documento indirizza anche le informazioni specifiche
AWS relative a domande generali sul Cloud Computing
Indice
Panoramica Risk and Compliance ................................................................................................................... 3
Shared Responsibility Environment ............................................................................................................................................... 3
Solida governance della compliance............................................................................................................................................... 4
Valutazione e integrazione dei controlli AWS .............................................................................................. 4
Informazioni sui controlli IT AWS .................................................................................................................................................. 5
AWS Global Regions .......................................................................................................................................................................... 5
Programma Risk and Compliance di AWS .................................................................................................... 5
Gestione del rischio ............................................................................................................................................................................ 6
Ambiente di controllo ........................................................................................................................................................................ 6
Sicurezza delle informazioni ............................................................................................................................................................ 7
Certificazioni AWS, programmi, rapporti e attestazioni di terze parti ................................................. 7
CJIS ...................................................................................................................................................................................................... 7
CSA ....................................................................................................................................................................................................... 7
Cyber Essentials Plus ........................................................................................................................................................................ 8
SRG DoD Livelli 2 e 4 ........................................................................................................................................................................ 8
FedRAMP SM........................................................................................................................................................................................ 8
FERPA.................................................................................................................................................................................................. 9
FIPS 140-2 ........................................................................................................................................................................................... 9
FISMA e DIACAP ............................................................................................................................................................................. 10
HIPAA ................................................................................................................................................................................................ 10
IRAP ................................................................................................................................................................................................... 11
ISO 9001 ............................................................................................................................................................................................ 11
ISO 27001 .......................................................................................................................................................................................... 12
ISO 27017........................................................................................................................................................................................... 13
ISO 27018 .......................................................................................................................................................................................... 14
ITAR ................................................................................................................................................................................................... 15
MPAA ................................................................................................................................................................................................. 16
Certificazione MTCS Tier 3 ............................................................................................................................................................ 16
NIST ................................................................................................................................................................................................... 16
PCI DSS livello 1 ............................................................................................................................................................................... 16
Pagina 2 di 89
Dicembre 2015
SOC 1/ISAE 3402 ............................................................................................................................................................................. 17
SOC 2.................................................................................................................................................................................................. 19
SOC 3.................................................................................................................................................................................................. 19
Principali domande sulla compliance e AWS .............................................................................................................................. 19
Contatto AWS ....................................................................................................................................................... 25
Appendice A: Questionario dell'iniziativa di valutazione del consenso CSA v3.01 .......................... 26
Appendice B: Conformità di AWS conConformità di AWS con il Cloud Computing Security
Considerations dell'Australian Signals Directorate (ASD) ..................................................................... 66
Appendice C: Glossario dei termini ............................................................................................................... 85
Panoramica Risk and Compliance
AWS e i suoi clienti condividono il controllo sull'ambiente IT ed entrambe le parti hanno la responsabilità di
gestire tale ambiente. AWS nella shared responsibility include l'erogazione di servizi su una piattaforma
estremamente sicura e controllata e la messa a disposizione di una vasta gamma di features di sicurezza che
i clienti possono utilizzare. I clienti sono responsabili della configurazione degli ambienti IT in una modalità
sicura e controllata rispetto ai loro scopi. Mentre i clienti non comunicano modalità di utilizzo e configurazioni
ad AWS, quest'ultima comunica ai clienti le informazioni relative al proprio ambiente di sicurezza e controllo
che li riguardano. La procedura seguita a tale scopo da AWS è la seguente:



Conseguimento delle certificazioni di settore e delle attestazioni di terze parti indipendenti descritte nel
presente documento
Pubblicazione delle informazioni relative alle prassi di sicurezza e controllo di AWS in whitepaper
e contenuti Web
Fornitura di certificati, rapporti e altri documenti direttamente ai clienti AWS ai sensi dell'accordo di
riservatezza (come prescritto)
Per una descrizione più dettagliata della sicurezza AWS consultare il:
Centro di Sicurezza AWS: https://aws.amazon.com/security/
Per una descrizione più dettagliata della compliance di AWS consultare
AWS Compliance page: https://aws.amazon.com/compliance/
Inoltre, il whitepaper AWS Overview of Security Processes (Panoramica sulle procedure di sicurezza AWS)
illustra i controlli di sicurezza generali di AWS e le misure di sicurezza previste specificamente per i servizi.
Shared Responsibility Environment
La transizione dell'infrastruttura IT ai servizi AWS crea un modello di Shared Responsibility tra il cliente
e AWS. Tale modello condiviso può contribuire a ridurre l'onere operativo del cliente, dato che AWS rende
operativi, gestisce e controlla tutti i componenti, dal sistema operativo host al layer di virtualizzazione fino alla
sicurezza fisica delle strutture in cui operano i servizi. Il cliente si assume la responsabilità della gestione del
sistema operativo guest (con relativi aggiornamenti e patch di sicurezza), dell'altro software applicativo
associato e della configurazione del security group firewall fornito da AWS. I clienti devono valutare con
attenzione i servizi scelti, dato che le loro responsabilità variano in base ai servizi utilizzati, all'integrazione
di tali servizi nel loro ambiente IT e alle leggi e ai regolamenti applicabili. I clienti hanno la possibilità di
rafforzare la sicurezza e/o di soddisfare requisiti più rigorosi in materia di compliance utilizzando tecnologie
come host based firewalls, host based intrusion detection/prevention, encryption and key management.
Tale Shared Responsibility, inoltre, offre al cliente flessibilità e controllo, che a loro volta consentono la
distribuzione di soluzioni in grado di soddisfare i requisiti di certificazione specifici del settore.
Pagina 3 di 89
Dicembre 2015
Questo modello di shared responsibility cliente/AWS si estende anche ai controlli IT. Proprio come avviene con
la condivisione della responsabilità di gestione dell'ambiente IT tra AWS ed i suoi clienti, sono condivisi anche la
gestione, il funzionamento e la verifica dei controlli IT. AWS può aiutare il cliente a ridurre l'ammontare dei
controlli operativi attraverso la gestione dei controlli dell'infrastruttura fisica di AWS, controlli che in precedenza
erano completamente a carico del cliente. Poiché ogni cliente in AWS ha una diversa distribuzione, i clienti
possono trarre vantaggio dal trasferimento della gestione di alcuni controlli IT ad AWS e ottenere un (nuovo)
ambiente di controllo distribuito. I clienti possono quindi utilizzare la documentazione AWS su controllo
e compliance a loro disposizione (descritta nella sezione Certificazioni AWS e attestazioni di terze parti del
presente documento) per eseguire le proprie procedure di valutazione e verifica dei controlli, come prescritto.
La sezione successiva descrive le modalità con cui i clienti AWS possono valutare e convalidare in maniera
efficace l'ambiente di controllo distribuito.
Solida governance della compliance
I clienti AWS sono sempre tenuti a mantenere una governance adeguata sull'intero ambiente di controllo IT,
indipendentemente dalla modalità di distribuzione di tale ambiente. Tra le principali prassi adottate si possono
menzionare la comprensione degli obiettivi e dei requisiti in termini di compliance (utilizzando fonti pertinenti),
la definizione di un ambiente di controllo che soddisfi tali obiettivi e requisiti, la comprensione della convalida
richiesta in base alla tolleranza al rischio dell'organizzazione e la verifica dell'efficacia operativa dell'ambiente di
controllo. La distribuzione nel cloud AWS offre alle imprese numerose opzioni per l'applicazione dei vari tipi di
controlli e dei diversi metodi di verifica.
Una solida Governance & Compliance da parte del cliente potrebbe includere il seguente approccio di base:
1. Esaminare le informazioni messe a disposizione da AWS insieme ad altre informazioni, per capire
quanto più possibile dell'ambiente IT nel suo complesso e successivamente documentare tutti
i requisiti di compliance.
2. Definire ed implementare gli obiettivi di controllo che soddisfino i requisiti aziendali in materia di
compliance.
3. Identificare e documentare i controlli gestiti da soggetti esterni.
4. Verificare che tutti gli obiettivi di controllo siano soddisfatti e che tutti i controlli principali siano
stati definiti e funzionino in modo efficace.
L'adozione di tale approccio alla governance della compliance aiuta le aziende a comprendere meglio il proprio
ambiente di controllo e a definire chiaramente le attività di verifica da eseguire.
Valutazione e integrazione dei controlli AWS
AWS fornisce ai clienti una vasta gamma di informazioni sull'ambiente di controllo IT, tramite whitepaper,
documenti, certificazioni e altre attestazioni di terze parti. Tale documentazione è utile ai clienti per capire
quali sono i controlli esistenti e pertinenti ai fini dei servizi AWS utilizzati e come tali controlli sono stati
convalidati. Le informazioni, inoltre, aiutano i clienti a verificare e confermare che i controlli presenti nel loro
ambiente IT esteso funzionino in modo efficace.
Generalmente, l'efficacia progettuale e operativa degli obiettivi di controllo e dei controlli è convalidata da
revisori interni e/o esterni tramite valutazioni dettagliate del processo e dei riscontri. L'osservazione/verifica
diretta da parte del cliente o dei revisori esterni interpellati dal cliente rappresenta una procedura tipica per
convalidare i controlli. Nel caso in cui si avvalgano di fornitori di servizi, come AWS, le aziende richiedono
e tengono in considerazione attestati e certificazioni rilasciati da terze parti per avere la garanzia dell'efficacia
progettuale e operativa degli obiettivi di controllo e dei controlli. Di conseguenza, sebbene i principali controlli
dei clienti potrebbero essere gestiti da AWS, l'ambiente di controllo può comunque rimanere un framework
unificata in cui tutti i controlli sono gestiti e verificati in maniera efficace. Gli attestati e le certificazioni
rilasciati da terze parti sui servizi di AWS non solo offrono un livello di convalida più alto dell'ambiente di
controllo, ma possono liberare i clienti dall'onere di eseguire alcune procedure di convalida per il loro ambiente
IT nel cloud AWS.
Pagina 4 di 89
Dicembre 2015
Informazioni sui controlli IT AWS
AWS fornisce informazioni sui controlli IT ai clienti secondo queste due modalità:
1. Definizione del controllo specifico. I clienti AWS possono identificare i principali controlli gestiti
da AWS. I controlli principali sono essenziali per l'ambiente di controllo dei clienti e richiedono
un'attestazione esterna sulla loro efficacia operativa in modo da soddisfare i requisiti di compliance,
come ad esempio quelli del controllo finanziario annuale. A questo scopo, AWS pubblica un'ampia
gamma di controlli IT specifici all'interno del rapporto Service Organization Controls 1 (SOC 1) di tipo
II. Il rapporto SOC 1, ex Statement on Auditing Standards (SAS) No. 70, rapporto Service
Organizations, è uno standard di auditing ampiamente riconosciuto sviluppato dall'American Institute
of Certified Public Accountants (AICPA). Il SOC 1 è un tipo di controllo che verifica approfonditamente
l'efficacia progettuale e operativa degli obiettivi di controllo definiti e delle attività di controllo di AWS
(che includono gli obiettivi di controllo e le attività di controllo della parte dell'infrastruttura gestita da
AWS). "Type II" fa riferimento al fatto che ciascun controllo descritto all'interno del rapporto non viene
soltanto valutato ai fini dell'adeguatezza progettuale, ma anche testato dal punto di vista dell'efficacia
operativa dal revisore esterno. Tenuto conto dell'indipendenza e della competenza del revisore esterno
di AWS, i controlli identificati nel rapporto offrono ai clienti un alto livello di sicurezza riguardo
all'ambiente di controllo di AWS. I controlli operati da AWS possono essere considerati efficaci dal
punto di vista progettuale e operativo in riferimento a numerose necessità di compliance, tra cui la
revisione dei bilanci secondo la Sarbanes-Oxley (SOX) Section 404. L'uso dei rapporti SOC 1 di tipo II
viene di solito consentito da altri organi di certificazione esterna (ad esempio i revisori ISO 27001
possono richiedere un rapporto SOC 1 di tipo II per completare le valutazioni da presentare ai clienti).
Altri controlli specifici sono quelli relativi alla compliance di AWS con la Payment Card Industry (PCI) e con il
Federal Information Security Management Act (FISMA). Come illustrato di seguito, AWS segue gli standard
FISMA Moderate e lo standard PCI Data Security. Gli standard PCI e FISMA sono molto prescrittivi e
richiedono una convalida indipendente che attesti l'aderenza di AWS allo standard pubblicato.
2. Compliance allo standard di controllo generale. Nel caso in cui un cliente AWS richieda che venga
soddisfatta un'ampia gamma di obiettivi di controllo, si potrebbe procedere a una valutazione delle
certificazioni di settore di AWS. Grazie alla certificazione AWS ISO 27001, AWS soddisfa uno standard di
sicurezza ampio e completo e segue le best practice per il mantenimento di un ambiente sicuro. Con lo
standard PCI Data Security (PCI DSS), AWS soddisfa una serie di controlli importanti per le aziende che
gestiscono informazioni sulle carte di credito. Con gli standard FISMA, AWS soddisfa un'ampia gamma di
controlli specifici richiesti dalle agenzie governative degli Stati Uniti. La compliance a questi standard
generali offre ai clienti informazioni approfondite sulla completezza dei controlli e dei processi di
sicurezza adottati e può essere tenuta in considerazione durante la gestione della compliance.
AWS Global Regions
I data center sono costruiti in cluster in diverse regioni globali. Le undici regioni attualmente esistenti sono:
Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California
settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Francoforte), UE (Irlanda), Asia Pacifico
(Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
Programma Risk and Compliance di AWS
AWS fornisce informazioni sul suo programma di gestione del rischio e di compliance in modo da consentire ai
clienti di integrare i controlli AWS nel loro framework di governance. Queste informazioni possono aiutare
i clienti a documentare un framework di controllo e governance completo in cui AWS ricopre un ruolo
importante.
Pagina 5 di 89
Dicembre 2015
Gestione del rischio
La direzione di AWS ha sviluppato un piano aziendale strategico che include l'identificazione del rischio
e l'implementazione di controlli che limitano o gestiscono i rischi. La direzione di AWS rivaluta il piano
aziendale strategico almeno ogni due anni. Questo processo richiede che la direzione identifichi i rischi che
rientrano nelle sue aree di responsabilità e che implementi misure adeguate per affrontarli.
Inoltre, l'ambiente di controllo AWS è soggetto a diverse valutazioni del rischio sia interne sia esterne. I team
AWS che si occupano di compliance e sicurezza hanno stabilito un framework e policy di sicurezza delle
informazioni basati sul modello COBIT (Control Objectives for Information and related Technology) e hanno
integrato in modo efficace il framework certificabile ISO 27001 sulla base dei controlli ISO 27002, dei criteri
Trust Services Principles dell'AICPA (American Institute of Certified Public Accountants), del PCI DSS v3.1 e
della pubblicazione 800-53 Rev 3 del NIST (National Institute of Standards and Technology) Recommended
Security Controls for Federal Information Systems. AWS gestisce la policy di sicurezza, si occupa della
formazione dei dipendenti in materia di sicurezza ed effettua verifiche sulla sicurezza dell'applicazione. Tali
verifiche valutano la riservatezza, l'integrità e la disponibilità dei dati, oltre alla conformità alla policy di
sicurezza delle informazioni.
AWS Security esegue scansioni regolari di tutti gli indirizzi IP dell'endpoint del servizio connessi a Internet per
individuare le vulnerabilità (tali scansioni non includono le istanze dei clienti). AWS Security notifica alle parti
interessate le eventuali vulnerabilità identificate a cui è necessario porre rimedio. Vengono inoltre eseguite
valutazioni di vulnerabilità alle minacce esterne da parte di società indipendenti operanti nel settore della
sicurezza. I risultati di tali valutazioni e le relative raccomandazioni sono categorizzati e forniti alla direzione di
AWS. Le scansioni sono effettuate in modo da valutare l'integrità e l'adeguatezza dell'infrastruttura AWS
sottostante e non hanno lo scopo di sostituire le scansioni di vulnerabilità che il cliente deve eseguire per
soddisfare gli specifici obblighi di compliance che gli competono. I clienti possono chiedere l'autorizzazione
a eseguire scansioni della propria infrastruttura cloud, purché i controlli siano limitati alle istanze del cliente
e non violino l'Acceptable Use Policy (policy di utilizzo accettabile) di AWS. Per ottenere la preventiva
approvazione per questo tipo di scansioni è necessario inviare una richiesta utilizzando il modulo di richiesta
del Test di vulnerabilità/intrusione di AWS.
Ambiente di controllo
AWS gestisce un ambiente di controllo completo che include policy, processi e attività di controllo che si
avvalgono di vari elementi dell'ambiente di controllo globale di Amazon. Questo ambiente di controllo esiste
per garantire l'erogazione sicura dei servizi offerti da AWS. L'ambiente di controllo collettivo comprende le
persone, i processi e la tecnologia necessari a definire e gestire un ambiente che supporti l'efficacia operativa
del framework di controllo di AWS. AWS ha integrato nel proprio framework di controllo i controlli specifici
applicabili al cloud computing identificati dai più importanti organismi di settore. AWS continua a monitorare
tali gruppi di settore per comprendere quali prassi principali si possano adottare per aiutare al meglio i clienti
a gestire l'ambiente di controllo.
In Amazon l'ambiente di controllo inizia al più alto livello dell'azienda. I dirigenti e l'alta dirigenza svolgono un
ruolo importante nella definizione dei principi e dei valori seguiti dall'azienda. Ogni dipendente riceve il Codice
di condotta aziendale ed etica e completa una formazione periodica. Vengono effettuati controlli in materia di
compliance affinché i dipendenti comprendano e seguano le policy definite.
La struttura organizzativa di AWS offre un framework per la pianificazione, l'esecuzione e il controllo delle
operazioni aziendali. La struttura organizzativa assegna ruoli e responsabilità in modo tale da disporre di
personale adeguato, favorire l'efficienza delle operazioni e ottenere la separazione dei compiti. La direzione,
inoltre, ha definito i livelli di autorità e le linee gerarchiche opportune per il personale più importante. Le
verifiche condotte dall'azienda durante la procedura di assunzione prevedono controlli sull'istruzione, sui posti
di lavoro precedenti e, in alcuni casi, sui precedenti penali, nei limiti di quanto ammesso dalle leggi e dai
regolamenti in materia e in modo commisurato alla posizione del dipendente e al suo livello di accesso alle
strutture AWS. L'azienda segue una procedura di formazione iniziale strutturata che consente ai nuovi
dipendenti di acquisire familiarità con gli strumenti, i processi, i sistemi, le policy e le procedure Amazon.
Pagina 6 di 89
Dicembre 2015
Sicurezza delle informazioni
AWS ha implementato un programma formale per la sicurezza delle informazioni pensato per proteggere la
riservatezza, l'integrità e la disponibilità dei sistemi e dei dati dei clienti. AWS pubblica un whitepaper sulla
sicurezza, disponibile nel sito Web pubblico, che illustra come AWS può aiutare i clienti a rendere sicuri i propri
dati.
Certificazioni AWS, programmi, rapporti e attestazioni di terze
parti
AWS collabora con organismi di certificazione esterni e revisori indipendenti per fornire ai clienti numerose
informazioni sulle policy, i processi e i controlli definiti e gestiti da AWS.
CJIS
AWS soddisfa lo standard CJIS (Criminal Justice Information Services) dell'FBI. AWS sottoscrive accordi di
sicurezza CJIS con i clienti, anche per consentire o effettuare controlli sui precedenti penali dei dipendenti,
ai sensi della policy di sicurezza CJIS.
I clienti appartenenti alle forze dell'ordine (e i partner che gestiscono i servizi CJI) utilizzano i servizi AWS per
migliorare la sicurezza e la protezione dei dati CJI, con l'ausilio dei servizi e delle caratteristiche avanzate di
sicurezza di AWS, come la registrazione delle attività (AWS CloudTrail), la crittografia dei dati in movimento
e a riposo (crittografia lato server S3 con la possibilità di portare la propria chiave), gestione e protezione
complete delle chiavi (AWS Key Management Service e CloudHSM) e la gestione integrata delle
autorizzazioni (gestione dell'identità federata IAM, autenticazione a più fattori).
AWS ha creato un Manuale sui servizi CJIS (Criminal Justice Information Services) in un formato di modello
di piano di sicurezza in linea con gli ambiti della policy CJIS. È stato inoltre sviluppato un Whitepaper CJIS per
aiutare i clienti lungo il cammino verso l'adozione del cloud.
Visita la pagina CJIS Hub: https://aws.amazon.com/compliance/cjis/
CSA
Nel 2011, la Cloud Security Alliance (CSA) ha lanciato STAR, un'iniziativa per incoraggiare la trasparenza delle
prassi di sicurezza dei provider di servizi cloud. Il Security, Trust & Assurance Registry (STAR) della CSA
è un registro pubblico gratuito che documenta i controlli di sicurezza forniti da varie offerte di cloud
computing, per aiutare gli utenti a valutare la sicurezza dei provider di servizi cloud di cui si avvalgono o a cui
stanno valutando di rivolgersi. AWS si è registrata allo STAR e ha completato il questionario dell'Iniziativa
di valutazione del consenso (CAIQ) della Cloud CSA. Tale questionario pubblicato dalla CSA consente di
documentare e descrivere quali sono i controlli di sicurezza presenti nelle offerte IaaS (Infrastructure-as-aService) di AWS. Il questionario CAIQ fornisce oltre 298 domande che un consumatore di servizi cloud e un
cloud auditor potrebbero chiedere a un fornitore di servizi cloud.
Si veda: Appendice A: Questionario dell'iniziativa di valutazione del consenso CSA v3.0.1
Pagina 7 di 89
Dicembre 2015
Cyber Essentials Plus
Cyber Essentials Plus è un programma di certificazione di settore sostenuto dal governo del Regno Unito
introdotto nel paese per aiutare le organizzazioni a dimostrare di possedere una sicurezza operativa in grado di
contrastare gli attacchi informatici.
Fornisce la dimostrazione dei controlli di base attuati da AWS per mitigare il rischio legato alle minacce più
comuni provenienti da Internet nel quadro dell'iniziativa" 10 Steps to Cyber Security" lanciata dal governo
britannico. È sostenuta dai rappresentanti di settore, compresa la Federation of Small Businesses, la
Confederation of British Industry e numerose organizzazioni che operano in campo assicurativo e che offrono
incentivi alle imprese che sono titolari di tale certificazione.
Cyber Essentials definisce i controlli tecnici necessari e il relativo quadro di certificazione mostra il
funzionamento del processo di certificazione indipendente per la certificazione Cyber Essentials Plus mediante
una valutazione esterna annuale eseguita da un valutatore accreditato. A causa della natura regionale della
certificazione, l'ambito della certificazione è limitato alla regione UE (Irlanda).
SRG DoD Livelli 2 e 4
Il modello di sicurezza del cloud (SRG) del Dipartimento della difesa statunitense (DoD) fornisce
una valutazione formale e un processo di autorizzazione per i provider di servizi cloud, al fine di ottenere
un'autorizzazione DoD provvisoria che può essere quindi utilizzata dai clienti DoD. L'autorizzazione
provvisoria nel quadro del modello di sicurezza del cloud fornisce una certificazione riutilizzabile che attesta la
conformità di Amazon agli standard DoD e riduce il tempo necessario affinché un mission owner DoD valuti
e autorizzi uno dei sistemi per il funzionamento in AWS. AWS detiene attualmente le autorizzazioni provvisorie
dei livelli 2 e 4 di SRG.
Per ulteriori informazioni sui controlli di base sulla sicurezza definiti per i livelli 2, 4, 5 e 6 consultare il
sito: http://iase.disa.mil/cloud_security/Pages/index.aspx.
Visita la pagina DoD Hub: https://aws.amazon.com/compliance/dod/
FedRAMP SM
AWS è un fornitore di servizi cloud conforme al programma federale di gestione del rischio e delle
autorizzazioni (FedRAMPsm). AWS ha portato a termine i test eseguiti da un'organizzazione di valutazione di
terze parti accreditata da FedRAMPsm (3PAO) e ha ottenuto due autorizzazioni a operare (ATO) dal
Dipartimento per la salute e i servizi alla persona (HHS) degli Stati Uniti, dopo avere dimostrato la propria
compliance ai requisiti FedRAMPsm a livello Impatto moderato. Tutte le agenzie governative degli Stati Uniti
possono utilizzare i pacchetti di autorizzazioni ATO di AWS presenti nello storage FedRAMPsm per valutare
l'utilizzo di AWS per le loro applicazioni e carichi di lavoro, per autorizzare l'utilizzo di AWS e per trasferire
carichi di lavoro nell'ambiente AWS. Le due autorizzazioni ATO FedRAMPsm comprendono tutte le regioni
statunitensi (la regione AWS GovCloud (US) e le regioni AWS orientali/occidentali degli Stati Uniti).
I seguenti servizi rientrano tra le competenze di accreditamento delle regioni indicate in precedenza:

Amazon Redshift. Amazon Redshift è un servizio rapido e interamente gestito di data warehouse di
scala petabyte che consente di analizzare in modo efficiente, semplice e conveniente tutti i dati dei
clienti grazie agli strumenti di business intelligence esistenti.
Pagina 8 di 89





Dicembre 2015
Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 offre la possibilità di effettuare il resize
della capacità di elaborazione nel cloud. È stato progettato per rendere più facile per gli sviluppatori il
web-scale computing.
Amazon Simple Storage Service (S3). Amazon S3 offre un'interfaccia Web Services semplice, utilizzabile
per archiviare e recuperare qualunque quantità di dati, in qualsiasi momento, ovunque nel Web.
Amazon Virtual Private Cloud (VPC). Amazon VPC consente di effettuare il provisioning di una sezione
di AWS isolata a livello logico dove poter lanciare le risorse AWS in una rete virtuale definita dal cliente.
Amazon Elastic Block Store (EBS). Amazon EBS offre volumi di storage estremamente disponibili,
affidabili e prevedibili che possono essere collegati a un'istanza di Amazon EC2 in esecuzione ed esposti
come dispositivo all'interno dell'istanza.
AWS Identity and Access Management (IAM). IAM consente di controllare in modo sicuro l'accesso
degli utenti ai servizi e alle risorse AWS. Con IAM è possibile creare e gestire gli utenti e i gruppi AWS
e utilizzare i permessi per autorizzare e negare l'accesso alle risorse AWS.
Per ulteriori informazioni sulla compliance AWS FedRAMPsm consultare le Domande frequenti di
AWS FedRAMPsm all'indirizzo:https://aws.amazon.com/compliance/fedramp/
FERPA
La legge Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. § 1232g; 34 CFR Parte 99)
è una legge federale che tutela la privacy della documentazione degli studenti relativa agli studi effettuati. La
legge si applica a tutti gli istituti scolastici che ricevono fondi da un programma apposito del Dipartimento
dell'istruzione degli Stati Uniti. La legge FERPA concede ai genitori determinati diritti riguardo alla
documentazione sugli studi dei loro figli. Tali diritti vengono trasferiti allo studente al compimento del 18°
anno di età o quando inizia un corso di studi dopo le superiori. Gli studenti a cui sono stati trasferiti i diritti
diventano "studenti idonei".
AWS consente agli enti interessati e ai loro soci d'affari soggetti alla legge FERPA di utilizzare l'ambiente sicuro
AWS per elaborare, gestire e archiviare dati protetti relativi all'istruzione.
AWS offre, inoltre, un whitepaper incentrato sulle disposizioni FERPA ai clienti interessati a scoprire
come utilizzare AWS per l'elaborazione e lo storage dei dati sull'istruzione.
Il "FERPA Compliance on AWS Whitepaper" (whitepaper AWS sulla compliance FERPA) descrive in che
modo le imprese possono utilizzare AWS per elaborare sistemi che facilitino la compliance a FERPA:
https://d0.awsstatic.com/whitepapers/compliance/AWS_FERPA_Whitepaper.pdf
FIPS 140-2
Il Federal Information Processing Standard (FIPS) Publication 140-2 è uno standard di sicurezza
del governo degli Stati Uniti che specifica i requisiti di sicurezza previsti per i moduli crittografici che
proteggono informazioni sensibili. Per supportare i clienti che devono soddisfare i requisiti FIPS 140-2,
le terminazioni SSL in AWS GovCloud (Stati Uniti) utilizzano hardware con convalida FIPS 140-2. AWS
collabora con i clienti AWS GovCloud (Stati Uniti) per fornire loro le informazioni necessarie a gestire la
compliance quando utilizzano l'ambiente AWS GovCloud (Stati Uniti).
Pagina 9 di 89
Dicembre 2015
FISMA e DIACAP
AWS consente alle agenzie governative degli Stati Uniti di ottenere e mantenere la compliance al Federal
Information Security Management Act (FISMA). L'infrastruttura AWS è stata valutata da soggetti
indipendenti per una varietà di sistemi governativi nel quadro del processo di approvazione dei rispettivi
proprietari dei sistemi. Numerose organizzazioni federali civili e del Dipartimento della difesa (DoD) hanno
ottenuto le autorizzazioni di sicurezza per i sistemi ospitati in AWS ai sensi del processo Risk Management
Framework (RMF) definito in NIST 800-37 e del processo del DoD Information Assurance Certification and
Accreditation Process (DIACAP).
HIPAA
AWS consente agli enti interessati e ai loro soci d'affari soggetti all'Health Insurance Portability and
Accountability Act (HIPAA) degli Stati Uniti di utilizzare l'ambiente sicuro AWS per elaborare, gestire
e archiviare dati sanitari protetti. AWS firmerà accordi di associazione commerciale con tali clienti. AWS offre,
inoltre, un whitepaper incentrato sulle disposizioni HIPAA ai clienti interessati a scoprire come utilizzare AWS
per l'elaborazione e lo storage dei dati sanitari. Il whitepaper Architecting for HIPAA Security and Compliance
on Amazon Web Services (progettazione della sicurezza e della conformità a HIPAA su Amazon Web Services)
descrive in che modo le imprese possono utilizzare AWS per elaborare sistemi che facilitino la compliance
a HIPAA e a HITECH (Health Information Technology for Economic and Clinical Health).
I clienti possono utilizzare qualunque servizio AWS in un account designato come account HIPAA, ma devono
elaborare, archiviare e trasmettere i dati sanitari privati solo mediante servizi idonei ai fini HIPAA nel BAA.
Esistono attualmente nove servizi idonei ai fini HIPAA, ovvero:









Amazon DynamoDB
Amazon Elastic Block Store (EBS)
Amazon Elastic Cloud Compute (EC2)
Elastic Load Balancing (ELB)
Amazon Elastic MapReduce (EMR)
Amazon Glacier
Amazon Redshift
Amazon Relational Database Service (Amazon RDS) con il solo utilizzo di motori MySQL e Oracle
Amazon Simple Storage Service (S3)
AWS segue un programma di gestione del rischio basato su standard per garantire che i servizi idonei ai fini
HIPAA supportino specificamente i processi di sicurezza, controllo e amministrazione prescritti ai sensi
HIPAA. L'utilizzo di questi servizi per lo storage e l'elaborazione dei dati medici privati consente ai clienti e ad
AWS di soddisfare i requisiti HIPAA applicabili al modello operativo basato su utilità. AWS aggiunge nuovi
servizi idonei secondo una priorità basata sulla domanda dei clienti.
Per ulteriori informazioni consultare le domande frequenti sulla compliance HIPAA:
https://aws.amazon.com/compliance/hipaa-compliance/
Progettazione della sicurezza e della conformità a HIPAA su Amazon Web Services:
https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
Pagina 10 di 89
Dicembre 2015
IRAP
L'Information Security Registered Assessors Program (IRAP) consente ai clienti degli enti pubblici australiani
di convalidare la presenza di controlli adeguati e di stabilire il modello di responsabilità più adatto a soddisfare
le esigenze dell'Information Security Manual (ISM) dell'Australian Signals Directorate (ASD).
Amazon Web Services ha portato a termine una valutazione indipendente che ha accertato l'esistenza
di tutti i controlli ISM applicabili nell'ambito del trattamento, dello storage e della trasmissione di dati non
classificati (DLM) per la regione AWS di Sydney.
Domande frequenti sulla compliance a IRAP:
https://aws.amazon.com/compliance/irap/
Per ulteriori informazioni consultare: Appendice B: Conformità di AWS con le considerazioni in
materia di sicurezza del Cloud Computing dell'Australian Signals Directorate (ASD)
ISO 9001
AWS ha conseguito la certificazione ISO 9001, che le consente di supportare direttamente i clienti che
sviluppano, migrano e gestiscono i loro sistemi IT di qualità controllata nel cloud AWS. I clienti possono
utilizzare i rapporti di compliance AWS come prove nei programmi ISO 9001 e nei programmi di qualità
specifici del settore, come GxP nelle scienze biologiche, ISO 13485 nei dispositivi medici, AS9100 nel settore
aerospaziale e ISO/TS 16949 nel settore automobilistico. I clienti AWS che non presentano requisiti per
i sistemi di qualità trarranno comunque vantaggio dall'ulteriore garanzia e trasparenza offerte dalla
certificazione ISO 9001.
La certificazione ISO 9001 comprende il sistema di gestione della qualità in un ambito specificato di servizi e di
regioni di operazioni AWS (di seguito), tra cui:























AWS CloudFormation
AWS Cloud Hardware Security Model (HSM)
Amazon CloudFront
AWS CloudTrail
AWS Direct Connect
AWS Directory Service
Amazon DynamoDB
Amazon EC2 VM Import/Export
AWS Elastic Beanstalk
Amazon EC2 Container Service (ECS)
Amazon Elastic File System (EFS)
Amazon ElastiCache
Amazon Glacier
AWS Identity and Access Management (IAM)
AWS Key Management Service (KMS)
Amazon Redshift
Amazon Relational Database Service (RDS)
AWS Route 53
Amazon SimpleDB
Pagina 11 di 89











Dicembre 2015
Amazon Simple Email Service (SES)
Amazon Simple Queue Service (SQS)
AWS Storage Gateway
Amazon Simple Workflow Service (SWF)
Amazon Virtual Private Cloud (VPC)
AWS WAF - Web Application Firewall
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
L'infrastruttura fisica sottostante e l'ambiente di gestione AWS
L'accreditamento ISO 9001 comprende le regioni AWS, inclusi Stati Uniti orientali (Virginia settentrionale),
Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti),
Sud America (San Paolo), UE (Irlanda), UE (Francoforte) e Asia Pacifico (Singapore), Asia Pacifico (Sydney)
e Asia Pacifico (Tokyo).
ISO 9001:2008 è uno standard globale per la gestione della qualità di prodotti e servizi. Lo standard 9001
definisce un sistema di gestione della qualità basato su otto principi, definiti dal comitato tecnico per il Quality
Management ed il Quality Assurance dell'International Organization for Standardization (ISO). Tali principi
sono:








Orientamento al cliente
Leadership
Coinvolgimento del personale
Approccio ai processi
Approccio alla gestione basato sui processi
Miglioramento continuo
Approccio basato sui dati nel processo decisionale
Rapporti con i fornitori reciprocamente vantaggiosi
La certificazione AWS ISO 9001 può essere scaricata all'indirizzo:
https://d0.awsstatic.com/certifications/iso_9001_certification.pdf
AWS ha pubblicato ulteriori informazioni e le domande frequenti riguardo alla certificazione ISO 9001
all'indirizzo: https://aws.amazon.com/compliance/iso-9001-faqs/
ISO 27001
AWS ha conseguito la certificazione ISO 27001 per il sistema ISMS (Information Security Management
System) che copre l'infrastruttura, i data center e i servizi AWS, compresi:









AWS CloudFormation
Amazon CloudFront
AWS Cloudtrail
Amazon DynamoDB
Pagina 12 di 89

























Dicembre 2015
AWS Direct Connect
AWS Cloud Hardware Security Model (HSM)
Amazon ElastiCache
Amazon Glacier
Amazon Redshift
AWS Route 53
Amazon SimpleDB
AWS Storage Gateway
AWS WAF - Web Application Firewall
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
L'Infrastruttura fisica sottostante (compreso GovCloud) e l'ambiente di gestione AWS
ISO 27001/27002 è uno standard di sicurezza ampiamente adottato a livello globale che stabilisce i requisiti
e le best practice per un approccio sistematico alla gestione delle informazioni aziendali e dei clienti basato su
valutazioni periodiche del rischio idonee a scenari di rischio in continua evoluzione. Per ottenere la
certificazione, un'azienda deve dimostrare di avere adottato un approccio sistematico e continuativo per la
gestione dei rischi di sicurezza delle informazioni che minacciano la riservatezza, l'integrità e la disponibilità
delle informazioni aziendali e dei clienti. La certificazione costituisce un'ulteriore dimostrazione dell'impegno
di Amazon teso a fornire informazioni significative circa i suoi controlli e le sue prassi di sicurezza.
L'accreditamento ISO 27001 comprende le regioni AWS, inclusi Stati Uniti orientali (Virginia settentrionale),
Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), AWS GovCloud (Stati Uniti),
Sud America (San Paolo), UE (Irlanda), UE (Francoforte), Asia Pacifico (Singapore), Asia Pacifico (Sydney)
e Asia Pacifico (Tokyo).
https://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf
ISO 27017
ISO 27017 è il codice più recente sulle best practice pubblicato all'International Organization for
Standardization (ISO). Fornisce indicazioni sull'implementazione dei controlli per la sicurezza delle
informazioni che riguardano specificamente i servizi cloud.
Pagina 13 di 89
Dicembre 2015
AWS ha conseguito la certificazione ISO 27017 per il sistema ISMS (Information Security Management System)
che copre l'infrastruttura, i data center e i servizi AWS, compresi:

































Amazon CloudFront
Amazon DynamoDB
Amazon Elastic Compute Cloud (EC2)
Amazon ElastiCache
Amazon Glacier
Amazon Redshift
Amazon Route 53
Amazon SimpleDB
Amazon WorkDocs
Amazon WorkMail
Amazon WorkSpaces
AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
AWS Storage Gateway
AWS WAF (Web Application Firewall)
Elastic Load Balancing
VM Import/Export
ISO 27018
ISO 27018 è il primo codice internazionale delle best practice incentrato sulla protezione dei dati personali nel
cloud. Si basa sullo standard ISO 27002 relativo alla sicurezza delle informazioni e fornisce indicazioni per
l'implementazione dei controlli ISO 27002 che si applicano alle informazioni di carattere personale nel cloud
pubblico. Prevede, inoltre, una serie di controlli aggiuntivi e di indicazioni associate finalizzati al
soddisfacimento dei requisiti relativi alle informazioni di carattere personale nel cloud pubblico non previsti
dal gruppo di controlli dello standard ISO 27002 esistente.
Pagina 14 di 89
Dicembre 2015
AWS ha conseguito la certificazione ISO 27018 per il sistema ISMS (Information Security Management
System) che copre l'infrastruttura, i data center e i servizi AWS, compresi:
 Amazon CloudFront
 Amazon DynamoDB
 Amazon EC2 Container Service (ECS)
 Amazon Elastic Block Store (EBS)
 Amazon Elastic Compute Cloud (EC2)
 Amazon Elastic File System (EFS)
 Amazon Elastic MapReduce (EMR)
 Amazon ElastiCache
 Amazon Glacier
 Amazon Redshift
 Amazon Relational Database Service (RDS)
 Amazon Route 53
 Amazon Simple Email Service (SES)
 Amazon Simple Queue Service (SQS)
 Amazon Simple Storage Service (S3)
 Amazon Simple Workflow Service (SWF)
 Amazon SimpleDB
 Amazon Virtual Private Cloud (VPC)
 Amazon WorkDocs
 Amazon WorkMail
 Amazon WorkSpaces
 AWS CloudFormation
 AWS CloudHSM
 AWS CloudTrail
 AWS Direct Connect
 AWS Directory Service
 AWS Elastic Beanstalk
 AWS Identity and Access Management (IAM)
 AWS Key Management Service (KMS)
 AWS Storage Gateway
 AWS WAF (Web Application Firewall)
 Elastic Load Balancing
 VM Import/Export
ITAR
La regione AWS GovCloud (Stati Uniti) supporta la compliance all'International Traffic in Arms
Regulations (ITAR) degli Stati Uniti. Nel quadro della gestione di un programma completo di compliance
ITAR, le aziende soggette alla disciplina ITAR sulle esportazioni devono controllare le esportazioni non volute
limitando l'accesso ai dati protetti ai soggetti statunitensi e l'ubicazione fisica di tali dati agli Stati Uniti. AWS
GovCloud (Stati Uniti) offre un ambiente ubicato fisicamente negli Stati Uniti, il cui accesso da parte del
personale AWS è limitato a soggetti statunitensi, consentendo in tal modo ad aziende qualificate di trasmettere,
elaborare e archiviare articoli e dati protetti soggetti alle limitazioni ITAR. L'ambiente AWS GovCloud (Stati
Uniti) è stato sottoposto al controllo di una terza parte indipendente per convalidare l'esistenza di controlli
adeguati a sostegno dei programmi di compliance delle esportazioni dei clienti finalizzati a questo requisito.
Pagina 15 di 89
Dicembre 2015
MPAA
La Motion Picture Association of America (MPAA) ha definito una serie di best practice per archiviare, elaborare
e fornire in modo sicuro supporti e contenuti protetti (http://www.fightfilmtheft.org/facility-securityprogram.html). Le aziende del settore dei media utilizzano queste best practice per valutare il rischio e la
sicurezza dei loro contenuti e delle loro infrastrutture. AWS ha dimostrato di rispettare le best practice MPAA
e che l'infrastruttura AWS è conforme a tutti i controlli infrastrutturali MPAA applicabili. Sebbene la MPAA non
fornisca una "certificazione", i clienti del settore dei media possono utilizzare la documentazione MPAA AWS per
migliorare la propria valutazione del rischio e la valutazione dei contenuti di tipo MPAA in AWS.
Per ulteriori dettagli, fare riferimento alla pagina AWS Compliance MPAA Hub:
https://aws.amazon.com/compliance/mpaa/
Certificazione MTCS Tier 3
Multi-Tier Cloud Security (MTCS) è uno standard operativo di Singapore per la gestione della sicurezza
(SPRING SS 584:2013) basato sugli standard ISO 27001/02 del sistema Information Security Management
System (ISMS). Ai fini della valutazione della certificazione è necessario rispettare i seguenti requisiti:
•
•
•
Valutare sistematicamente i rischi di sicurezza delle informazioni, tenendo conto delle minacce e delle
vulnerabilità aziendali
Definire e implementare una serie completa di controlli di sicurezza delle informazioni e altre forme di
gestione del rischio per affrontare i rischi di sicurezza dell'azienda e dell'architettura
Adottare un processo di gestione generale per garantire che i controlli di sicurezza delle informazioni
soddisfino i requisiti di sicurezza in maniera continuativa
Visualizza la pagina MTCS Hub all'indirizzo:
https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/
NIST
Nel giugno 2015, il National Institute of Standards and Technology (NIST) ha pubblicato le linee guida 800-171,
"Final Guidelines for Protecting Sensitive Government Information Held by Contractors". Tali linee guida si
applicano alla protezione di informazioni controllate non classificate (Controlled Unclassified Information - CUI)
su sistemi non federali.
AWS è già conforme a tali linee guida e i clienti dispongono immediatamente della compliance a NIST 800-171.
Le linee guida NIST 800-171 definiscono un sottoinsieme dei requisiti NIST 800-53, una linea guida per la
quale AWS è già stata verificata nel quadro del programma FedRAMP. La baseline del controllo di sicurezza
FedRAMP Moderate è più rigorosa dei requisiti raccomandati dal Capo 3 di 800-171 e comprende un numero
significativo di controlli di sicurezza più stringenti rispetto a quelli prescritti dai sistemi FISMA Moderate che
proteggono i dati CUI. Una mappatura dettagliata è disponibile in NIST Special Publication 800-171,
a partire dalla pagina D2 (ovvero la pagina 37 del file PDF).
PCI DSS livello 1
AWS è conforme al livello 1 ai fini dello standard PCI Data Security (DSS). I clienti possono eseguire
applicazioni nell'infrastruttura tecnologica conforme a PCI per archiviare, elaborare e trasmettere informazioni
sulle carte di credito nel cloud. Nel febbraio 2013, il Consiglio per gli standard di sicurezza PCI ha pubblicato le
linee guida PCI DSS Cloud Computing. Tali linee guida offrono ai clienti che gestiscono un ambiente per i dati
dei titolari di carte di credito indicazioni su come mantenere i controlli PCI DSS nel cloud. AWS ha inserito le
linee guida PCI DSS Cloud Computing nel pacchetto Compliance AWS PCI per i clienti. Il pacchetto
Compliance AWS PCI include l'attestazione di conformità (AoC) AWS PCI, che dimostra che AWS è stato
convalidato sulla base degli standard applicabili a un fornitore di servizi di livello 1 a norma di PCI DSS
versione 3.1 e il riepilogo delle responsabilità AWS PCI, che spiega in che modo le responsabilità sono condivise
tra AWS e i clienti nel cloud.
Pagina 16 di 89
Dicembre 2015
I seguenti servizi rientrano nell'ambito di applicazione di PCI DSS livello 1:
























Auto Scaling
AWS CloudFormation
Amazon CloudFront
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
Amazon DynamoDB
Amazon Glacier
Amazon Redshift
Amazon Route 53
Amazon SimpleDB
Amazon Simple Workflow Service SWF
L'infrastruttura fisica sottostante (compreso GovCloud) e l'ambiente di gestione AWS
L'ultimo aggiornamento sui servizi e le regioni che rientrano nell'ambito di applicazione della certificazione
AWS PCI DSS livello 1 è consultabile in:
https://aws.amazon.com/compliance/pci-dss-level-1-faqs/
SOC 1/ISAE 3402
Amazon Web Services pubblica un rapporto Service Organization Controls 1 (SOC 1) di tipo II. Il controllo per
questo rapporto viene effettuato ai sensi degli standard American Institute of Certified Public Accountants
(AICPA): AT 801 (ex SSAE 16) e International Standards for Assurance Engagements No. 3402 (ISAE 3402).
Questo rapporto, che riguarda due standard, ha lo scopo di soddisfare una vasta gamma di requisiti di controllo
finanziario per gli organismi di revisione statunitensi e internazionali. Il rapporto SOC 1 attesta che gli obiettivi
di controllo di AWS sono stati definiti idoneamente e che i singoli controlli definiti per tutelare i dati dei clienti
sono efficaci. Questo rapporto sostituisce il rapporto di controllo Statement on Auditing Standards No. 70 (SAS
70) di tipo II.
Gli obiettivi di controllo di AWS SOC 1 sono specificati di seguito. Lo stesso rapporto indica le attività di
controllo che supportano ciascuno degli obiettivi e gli esiti delle procedure di prova di ogni controllo effettuate
dal revisore indipendente.
Pagina 17 di 89
Dicembre 2015
Area
dell'obiettivo
Descrizione dell'obiettivo
Organizzazione
della sicurezza
I controlli forniscono una ragionevole garanzia del fatto che le policy di sicurezza siano state
implementate e comunicate nell'intera organizzazione.
Accesso utente
dei dipendenti
Sicurezza logica
Gestione sicura
dei dati
Sicurezza fisica
e protezione
ambientale
Gestione delle
modifiche
I controlli forniscono una ragionevole garanzia del fatto che siano state definite procedure che
consentano di aggiungere, modificare e cancellare gli account utente dei dipendenti Amazon in
modo tempestivo e di controllarli periodicamente.
I controlli forniscono una ragionevole garanzia del fatto che esistano policy e meccanismi capaci
di limitare adeguatamente gli accessi interni ed esterni non autorizzati ai dati e di consentire
l'opportuna separazione dei dati dei diversi clienti.
I controlli forniscono una ragionevole garanzia del fatto che la gestione dei dati tra il punto
iniziale presso il cliente e la posizione di storage AWS avvenga in modo sicuro e sia mappata con
precisione.
I controlli forniscono una ragionevole garanzia del fatto che l'accesso fisico ai data center sia
limitato al personale autorizzato e che esistano meccanismi capaci di ridurre al minimo gli effetti
di un malfunzionamento o di un'emergenza fisica per le strutture dei data center.
I controlli forniscono una ragionevole garanzia del fatto che le modifiche (comprese quelle di
emergenza/non di routine e relative alla configurazione) alle risorse IT esistenti siano registrate,
autorizzate, testate, approvate e documentate.
Integrità,
disponibilità
e ridondanza dei
dati
I controlli forniscono una ragionevole garanzia del fatto che l'integrità dei dati sia preservata in
tutte le fasi, compresa la trasmissione, lo storage e l'elaborazione.
Gestione degli
eventi imprevisti
I controlli forniscono una ragionevole garanzia del fatto che gli eventi imprevisti relativi ai
sistemi siano registrati, analizzati e risolti.
I rapporti SOC 1 sono pensati per focalizzare l'attenzione sui controlli a livello di organizzazione di servizi che
potrebbero essere pertinenti ai fini della revisione dei bilanci di un'entità utente. Dato che AWS ha un'ampia
base clienti e che l'utilizzo dei servizi AWS è altrettanto diffuso, l'applicabilità dei controlli ai bilanci dei clienti
varia in base al cliente. Il rapporto AWS SOC 1, pertanto, è pensato per includere controlli principali specifici
che potrebbero essere richiesti durante un controllo finanziario, oltre a comprendere una vasta gamma di
controlli IT generali che tengono conto di una vasta gamma di scenari di utilizzo e di controllo. In questo modo
i clienti hanno la possibilità di utilizzare l'infrastruttura AWS per archiviare ed elaborare dati critici, compresi
quelli che costituiscono parte integrante del processo di rendicontazione finanziaria. AWS esegue
periodicamente nuove valutazioni sull'insieme di tali controlli per tenere conto del feedback e dell'utilizzo da
parte dei clienti di questo importante rapporto di controllo.
AWS si impegna costantemente per migliorare il rapporto SOC 1 e continuerà il processo di revisione periodica.
L'ambito di applicazione del rapporto SOC 1 include:










AWS CloudFormation
AWS CloudHSM
AWS CloudTrail
AWS Direct Connect
Amazon DynamoDB
Amazon Elastic Beanstalk
Amazon ElastiCache
Pagina 18 di 89
















Dicembre 2015
Amazon Elastic Load Balancing (ELB)
Amazon Glacier
Amazon Redshift
Amazon Route 53
Amazon SimpleDB
Amazon Simple Workflow (SWF)
AWS Storage Gateway
Amazon WorkSpaces
SOC 2
Oltre al rapporto SOC 1, AWS pubblica un rapporto Service Organization Controls 2 (SOC 2) di tipo II. Simile al
rapporto SOC 1 nella valutazione dei controlli, il rapporto SOC 2 è un'attestazione che estende la valutazione
dei controlli ai criteri stabiliti dai Trust Services Principles dell'American Institute of Certified Public
Accountants (AICPA). Tali principi definiscono i controlli principali relativi a sicurezza, disponibilità, integrità
di elaborazione, riservatezza e privacy applicabili alle organizzazioni di servizi come AWS. Il rapporto AWS
SOC 2 è una valutazione dell'efficacia progettuale e operativa dei controlli che soddisfano i criteri dei principi di
sicurezza e disponibilità definiti dai Trust Services Principles dell'AICPA. Il rapporto aggiunge trasparenza alla
sicurezza e disponibilità AWS grazie a uno standard di settore predefinito di prassi principali e costituisce
un'ulteriore dimostrazione dell'impegno AWS nei confronti della tutela dei dati dei clienti. Il rapporto SOC 2
comprende gli stessi servizi inclusi nel rapporto SOC 1. Si veda la descrizione di SOC 1 sopra per i servizi
compresi nell'ambito di applicazione.
SOC 3
AWS pubblica un rapporto Service Organization Controls 3 (SOC 3). Il rapporto SOC 3 è una sintesi disponibile
al pubblico del rapporto AWS SOC 2. Il rapporto comprende il parere del revisore esterno in merito al
funzionamento dei controlli (sulla base dei Security Trust Principles AICPA inclusi nel rapporto SOC 2),
la dichiarazione della direzione AWS circa l'efficacia dei controlli e una panoramica dell'infrastruttura e dei
servizi AWS. Il rapporto AWS SOC 3 comprende tutti i data center AWS a livello mondiale che supportano
i servizi compresi nell'ambito di applicazione. Si tratta di un'ottima risorsa per consentire ai clienti di
confermare l'avvenuto conseguimento da parte di AWS della garanzia del revisore esterno, senza dover
eseguire la procedura di richiesta di un rapporto SOC 2. Il rapporto SOC 3 comprende gli stessi servizi inclusi
nel rapporto SOC 1. Si veda la descrizione di SOC 1 sopra per i servizi compresi nell'ambito di applicazione.
Visualizza il rapporto AWS SOC 3 qui.
Principali domande sulla compliance e AWS
Questa sezione illustra alcune domande generali in materia di compliance del cloud computing per quanto
riguarda specificamente AWS. Le domande comuni in materia di compliance elencate di seguito possono
risultare interessanti quando si valuta e si opera in un ambiente di cloud computing e possono aiutare i clienti
AWS nell'attività di gestione dei controlli.
Pagina 19 di 89
Dicembre 2015
Rif. Domanda sul cloud
computing
Informazioni AWS
1
Titolarità dei controlli. Chi
è titolare dei controlli
sull'infrastruttura
distribuita nel cloud?
2
Controllo dell'IT. Come si
può effettuare il controllo
del fornitore di servizi
cloud?
3
Compliance Sarbanes-Oxley
(SOX). Come si ottiene la
compliance SOX se i sistemi
compresi nell'ambito di
applicazione sono
distribuiti nell'ambiente del
fornitore di servizi cloud?
4
Compliance HIPAA.
È possibile soddisfare
i requisiti di compliance
HIPAA se la distribuzione
è stata effettuata
nell'ambiente del fornitore
di servizi cloud?
5
Compliance GLBA.
È possibile soddisfare
i requisiti di certificazione
GLBA se la distribuzione
è stata effettuata
di servizi cloud?
Per la parte distribuita in AWS, è AWS a controllare i componenti fisici di
tale tecnologia. Il cliente è titolare di e controlla tutti gli altri aspetti,
compreso il controllo sui punti di connessione e le trasmissioni. Per
aiutare i clienti a comprendere meglio quali sono i controlli esistenti
e qual è il loro grado di efficienza operativa, viene pubblicato un rapporto
SOC 1 di tipo II che riguarda i controlli definiti sulla base di EC2,
S3 e VPC, oltre a controlli dettagliati sulla sicurezza fisica e ambientale.
Tali controlli sono definiti ad un alto livello di specificità, che dovrebbe
riuscire a soddisfare la maggior parte delle esigenze dei clienti. I clienti
AWS che hanno sottoscritto un accordo di riservatezza con AWS possono
richiedere una copia del rapporto SOC 1 di tipo II.
Il controllo della maggior parte dei layer e dei controlli al di sopra dei
controlli fisici resta una responsabilità del cliente. La definizione dei
controlli logici e fisici di AWS è documentata nel rapporto SOC 1 di tipo
II, consultabile da parte dei team di controllo e compliance. AWS ISO
27001 e le altre certificazioni sono anch'esse a disposizione dei revisori
per l'eventuale consultazione.
Se un cliente elabora informazioni finanziarie nel cloud AWS, i revisori
del cliente possono stabilire che alcuni dei sistemi AWS rientrano
nell'ambito di applicazione dei requisiti Sarbanes-Oxley (SOX). I revisori
del cliente devono effettuare una propria valutazione circa l'applicabilità
SOX. Dato che la maggior parte dei controlli di accesso logico è gestita dal
cliente, è quest'ultimo a trovarsi nella posizione migliore per stabilire se le
sue attività di controllo soddisfano gli standard pertinenti. Se i revisori
SOX richiedono le specifiche relative ai controlli fisici di AWS, possono
fare riferimento al rapporto AWS SOC 1 di tipo II che riporta nel dettaglio
i controlli previsti da AWS.
I requisiti HIPAA si applicano al cliente AWS e sono controllati da
quest'ultimo. La piattaforma AWS consente di distribuire soluzioni capaci
di soddisfare requisiti specifici di certificazione del settore, come HIPAA.
I clienti possono utilizzare i servizi AWS per mantenere un livello di
sicurezza equivalente o superiore a quello richiesto per proteggere le
cartelle cliniche elettroniche. I clienti hanno sviluppato in AWS
applicazioni per il settore sanitario conformi alle norme in materia di
sicurezza e privacy HIPAA. AWS fornisce ulteriori informazioni sulla
compliance HIPAA nel proprio sito Web, compreso un whitepaper
sull'argomento.
La maggior parte dei requisiti GLBA è controllata dal cliente AWS. AWS
offre ai clienti i mezzi per proteggere i dati, gestire i permessi e sviluppare
applicazioni conformi ai requisiti GLBA nell'infrastruttura AWS. Se al
cliente occorre una garanzia specifica del fatto che i controlli di sicurezza
fisica stiano funzionando in modo efficace, può fare riferimento al
rapporto AWS SOC 1 di tipo II, ove pertinente.
Pagina 20 di 89
Dicembre 2015
computing
Informazioni AWS
6
Le agenzie federali degli Stati Uniti possono essere conformi a una serie di
standard di compliance, compresi il Federal Information Security
Management Act (FISMA) del 2002, il Federal Risk and Authorization
Management Program (FedRAMPsm), il Federal Information Processing
Standard (FIPS) Publication 140-2 e l'International Traffic in Arms
Regulations (ITAR). È inoltre possibile ottenere la compliance ad altre leggi
e regolamenti, in base ai requisiti definiti dalla legislazione applicabile.
7
Compliance alla
regolamentazione federale.
È possibile per un'agenzia
governativa degli Stati Uniti
essere conforme alla
regolamentazione in materia
di sicurezza e privacy se ha
effettuato la distribuzione
di servizi cloud?
Ubicazione dei dati. Dove si
trovano i dati dei clienti?
8
E-Discovery. Il fornitore di
servizi cloud soddisfa le
esigenze del cliente di
rispettare procedure e
requisiti di individuazione
elettronica (e-discovery)?
9
Tour dei data center. Il
fornitore di servizi cloud
consente ai clienti di
effettuare tour dei data
center?
10
Accesso di terze parti.
L'accesso ai data center del
è consentito a terze parti?
Pagina 21 di 89
I clienti AWS indicano in quale regione fisica saranno ubicati i propri dati
e server. La replica dei dati per gli oggetti dati S3 viene effettuata
all'interno del cluster regionale in cui sono archiviati i dati e non viene
ripetuta in altri cluster di data center di altre regioni. I clienti AWS
indicano in quale regione fisica saranno ubicati i propri dati e server.
AWS non sposterà i contenuti dei clienti dalle regioni selezionate senza
avvisare il cliente, a meno che ciò non sia necessario in osservanza della
legge o di richieste da parte di enti governativi. Le undici regioni
attualmente esistenti sono: Stati Uniti orientali (Virginia settentrionale),
Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California
settentrionale), AWS GovCloud (Stati Uniti) (Oregon), UE (Francoforte),
UE (Irlanda), Asia Pacifico (Singapore), Asia Pacifico (Tokyo), Asia
Pacifico (Sydney), Cina (Pechino) e Sud America (San Paolo).
AWS fornisce l'infrastruttura e il cliente gestisce tutto il resto, compreso il
sistema operativo, la configurazione di rete e le applicazioni installate.
I clienti sono responsabili del rispetto delle procedure legali che
prevedono l'identificazione, la raccolta, l'elaborazione, l'analisi e la
produzione dei documenti elettronici che i clienti archiviano o elaborano
con l'ausilio di AWS. Su richiesta, AWS può collaborare con i clienti che
necessitano dell'assistenza di AWS nelle procedure legali.
No. I data center ospitano più clienti, pertanto AWS non consente tour
dei data center, in quanto ciò esporrebbe una vasta gamma di clienti
all'accesso fisico da parte di terzi. Per soddisfare le esigenze di questo
cliente, un revisore indipendente e competente convalida la presenza e il
funzionamento di controlli nel quadro del rapporto SOC 1 di tipo II.
Questa convalida da parte di terzi diffusamente accettata offre ai clienti
un punto di vista indipendente sull'efficacia dei controlli esistenti. I clienti
AWS che hanno sottoscritto un accordo di riservatezza con AWS possono
richiedere una copia del rapporto SOC 1 di tipo II. La verifica
indipendente della sicurezza fisica dei data center fa anche parte del
controllo ISO 27001, della valutazione PCI, del controllo ITAR e dei
programmi di test FedRAMPsm.
AWS controlla rigorosamente l'accesso ai data center, anche nel caso dei
dipendenti interni. Le terze parti hanno accesso ai data center AWS solo
se espressamente autorizzate dal responsabile del data center AWS
secondo la policy di accesso AWS. Si veda il rapporto SOC 1 di tipo II per
i controlli specifici relativi all'accesso fisico, all'autorizzazione di accesso
ai data center e ad altri controlli correlati.
Dicembre 2015
computing
Informazioni AWS
11
Azioni con privilegi. Le
azioni con privilegi sono
monitorate e controllate?
12
Accesso a informazioni
privilegiate. Il fornitore di
servizi cloud affronta la
minaccia di un accesso non
autorizzato a informazioni
privilegiate relative ai dati
e alle applicazioni dei
clienti?
Multi-tenancy. La
separazione tra i clienti
viene implementata in
modo sicuro?
I controlli esistenti limitano l'accesso ai sistemi e ai dati e prevedono che
l'accesso ai sistemi o ai dati sia limitato e monitorato. I dati dei clienti e le
istanze server, inoltre, sono isolati a livello logico da quelli di altri clienti
per impostazione predefinita. Il controllo degli accessi da parte di utenti
con privilegi è verificato da un revisore indipendente durante i controlli
AWS SOC 1, ISO 27001, PCI, ITAR e FedRAMPsm.
AWS prevede controlli SOC 1 specifici per gestire la minaccia di accessi
non autorizzati a informazioni privilegiate e la certificazione pubblica e le
iniziative di compliance illustrate nel presente documento affrontano la
questione di tali accessi. Tutte le certificazioni e le attestazioni di terze
parti effettuano una valutazione dei controlli di prevenzione e rilevazione
degli accessi logici. Valutazioni periodiche del rischio, inoltre, sono
incentrate sulle modalità di controllo e monitoraggio dell'accesso
a informazioni privilegiate.
L'ambiente AWS è di tipo virtualizzato e multi-tenant. AWS ha
implementato processi di gestione della sicurezza, controlli PCI e altri
controlli di sicurezza pensati per isolare ciascun cliente dagli altri clienti.
I sistemi AWS sono progettati per impedire ai clienti di accedere a host
fisici o istanze non assegnate loro mediante l'applicazione di filtri
attraverso il software di virtualizzazione. Tale architettura è stata
convalidata da un revisore indipendente PCI Qualified Security Assessor
(QSA) ed è stata giudicata conforme a tutti i requisiti PCI DSS versione
3.1 pubblicata ad aprile 2015.
Si noti che AWS offre anche opzioni single-tenancy. Le istanze dedicate
sono istanze di Amazon EC2 lanciate all'interno di Amazon Virtual
Private Cloud (Amazon VPC) che eseguono hardware dedicato a un unico
cliente. Le istanze dedicate consentono di sfruttare pienamente i vantaggi
di Amazon VPC e del cloud AWS, isolando allo stesso tempo le istanze di
calcolo di Amazon EC2 a livello hardware.
Attualmente, Amazon EC2 utilizza una versione dell'hypervisor Xen con
elevata personalizzazione. L'hypervisor viene sottoposto a valutazioni
regolari sulle vulnerabilità nuove ed esistenti e sui vettori di attacco da
parte di team di intrusione interni ed esterni ed è idoneo a mantenere un
forte isolamento tra macchine virtuali ospiti. La sicurezza dell'hypervisor
AWS Xen viene verificata regolarmente da revisori indipendenti durante
valutazioni e controlli. Si veda il whitepaper sulla sicurezza AWS per avere
ulteriori informazioni sull'hypervisor Xen e l'isolamento delle istanze.
AWS è responsabile dell'applicazione delle patch ai sistemi che
supportano la fornitura di servizi ai clienti, come l'hypervisor e i servizi di
rete. Tale operazione viene eseguita come prescritto dalla policy AWS e ai
sensi dei requisiti di ISO 27001, NIST e PCI. I clienti controllano i propri
sistemi operativi, software e applicazioni guest e sono quindi responsabili
dell'applicazione delle patch ai propri sistemi.
Sì. AWS consente ai clienti di utilizzare i propri meccanismi di crittografia
per quasi tutti i servizi, inclusi S3, EBS, SimpleDB ed EC2. I tunnel da
IPSec a VPC sono anch'essi crittografati. Amazon S3 offre inoltre, come
opzione per i clienti, la crittografia lato server. I clienti possono utilizzare
anche tecnologie di crittografia di terze parti. Per ulteriori informazioni,
fare riferimento al whitepaper sulla sicurezza di AWS.
13
14
Vulnerabilità
dell'hypervisor. Il fornitore
di servizi cloud ha
affrontato le vulnerabilità
note dell'hypervisor?
15
Gestione delle vulnerabilità.
L'applicazione di patch ai
sistemi viene effettuata
idoneamente?
16
Crittografia. I servizi forniti
supportano la crittografia?
Pagina 22 di 89
Dicembre 2015
computing
Informazioni AWS
17
Proprietà dei dati. Quali
sono i diritti che il fornitore
di servizi cloud può vantare
sui dati dei clienti?
18
Isolamento dei dati. Il
isola adeguatamente i dati
dei clienti?
19
Servizi compositi. Il fornitore
di servizi cloud integra il
proprio servizio con i servizi
di altri fornitori cloud?
Controlli fisici e ambientali.
Questi controlli sono gestiti
del fornitore di servizi cloud
specificato?
Protezione dal lato del
cliente. Il fornitore di servizi
cloud consente ai clienti di
proteggere e gestire l'accesso
dai client, come PC
e dispositivi mobili?
Sicurezza dei server. Il
proteggere i propri server
virtuali?
Identity and Access
Management. Il servizio
prevede funzionalità IAM?
I clienti AWS detengono il controllo e la proprietà dei propri dati. AWS si
impegna a proteggere la privacy dei clienti ed è vigile nel determinare
quali richieste imposte dalle forze dell'ordine devono essere rispettate.
AWS non esita a contestare provvedimenti delle forze dell'ordine qualora
ritenga che tali misure siano prive di una solida base.
Tutti i dati archiviati da AWS per conto dei clienti dispongono di solide
funzionalità di sicurezza e controllo dell'isolamento dei tenant. Amazon
S3 fornisce controlli avanzati sull'accesso ai dati. Per ulteriori
informazioni sulla sicurezza di specifici servizi dati consultare il
whitepaper sulla sicurezza AWS.
AWS non ricorre a fornitori terzi di servizi cloud per erogare i servizi AWS
ai clienti.
20
21
22
23
24
25
Interruzioni per
manutenzione
programmata. Il fornitore
specifica quando i sistemi
subiranno interruzioni per
la manutenzione?
Scalabilità. Il fornitore
ampliare le risorse oltre
quanto previsto
originariamente dal
contratto?
Pagina 23 di 89
Sì. Sono descritti specificamente nel rapporto SOC 1 di tipo II. Altre
certificazioni supportate da AWS, come ad esempio, ISO 27001
e FedRAMPsm, richiedono controlli fisici e ambientali eseguiti secondo le
best practice.
Sì. AWS consente ai clienti di gestire le applicazioni client e mobili sulla
base dei propri requisiti.
Sì. AWS consente ai clienti di implementare l'architettura di sicurezza
desiderata. Per maggiori dettagli sulla sicurezza dei server e della rete
consultare il whitepaper sulla sicurezza AWS.
AWS prevede una serie di offerte relative a Identity and Access
Management che consentono ai clienti di gestire le identità degli utenti,
assegnare le credenziali di sicurezza, organizzare gli utenti in gruppi
e gestire le autorizzazioni degli utenti in maniera centralizzata. Per
maggiori informazioni consultare il sito Web di AWS.
Non occorre che i sistemi siano offline affinché AWS possa eseguire la
manutenzione ordinaria e l'applicazione di patch ai sistemi. La
manutenzione e l'applicazione di patch ai sistemi AWS non ha, in genere,
alcun impatto sui clienti. La manutenzione delle istanze è controllata dal
cliente.
Il cloud AWS è distribuito, estremamente sicuro e resiliente, così da
offrire ai clienti una scalabilità elevata. I clienti possono ampliare
o diminuire le risorse, pagando solo ciò che utilizzano.
computing
26
Disponibilità del servizio.
Il fornitore si impegna
a offrire un alto livello di
disponibilità?
27
Attacchi Distributed Denial
Of Service (DDoS). In che
modo il fornitore protegge
il proprio servizio da
attacchi DDoS?
Portabilità dei dati. I dati
archiviati presso un
fornitore di servizi possono
essere esportati su richiesta
del cliente?
Continuità aziendale del
fornitore di servizi. Il
fornitore di servizi gestisce
un programma di Business
Continuity?
Continuità aziendale del
cliente. Il fornitore di
servizi consente ai clienti di
implementare un piano di
Business Continuity?
Durabilità dei dati. Il
servizio specifica la
durabilità dei dati?
28
29
30
31
32
Backup. Il servizio consente
di effettuare backup su
nastro?
Pagina 24 di 89
Dicembre 2015
Informazioni AWS
Nei contratti sul livello di servizio AWS si impegna a offrire alti livelli di
disponibilità. Amazon EC2, ad esempio, si impegna a offrire una
percentuale di tempo di operatività annuale di almeno il 99,95% durante
l'anno di servizio. Amazon S3 si impegna a fornire una percentuale di
tempo di operatività mensile di almeno il 99,9%. In caso di mancato
rispetto di tali parametri di disponibilità, vengono forniti crediti di servizio.
La rete AWS offre una protezione elevata contro i tradizionali problemi di
sicurezza della rete e il cliente può implementare un'ulteriore protezione.
Per maggiori informazioni sull'argomento, compresa la trattazione degli
attacchi DDoS, consultare il whitepaper sulla sicurezza AWS.
AWS permette ai clienti di spostare i dati all'interno e fuori dallo storage
AWS in base alle necessità. Il servizio AWS Import/Export per S3 accelera
lo spostamento di grandi quantità di dati all'interno e all'esterno di AWS
utilizzando dispositivi di storage portatili per il trasporto.
AWS gestisce un programma di Business Continuity. Nel whitepaper sulla
sicurezza AWS sono disponibili informazioni dettagliate in merito.
AWS offre ai clienti la possibilità di implementare un solido piano di
continuità, che comprende l'utilizzo di backup frequenti delle istanze del
server, repliche dei dati e architetture di distribuzione multi
regionale/a zona di disponibilità.
Amazon S3 fornisce un'infrastruttura di storage estremamente durevole. Gli
oggetti sono archiviati in modo ridondante su più dispositivi, in più strutture
di una regione Amazon S3. Una volta effettuato lo storage, Amazon S3
preserva la durabilità degli oggetti individuando e riparando l'eventuale
ridondanza andata perduta. Amazon S3, inoltre, verifica periodicamente
l'integrità dei dati archiviati con l'ausilio di checksum. Gli eventuali elementi
danneggiati individuati vengono riparati con i dati ridondanti. I dati
archiviati in S3 sono pensati per offrire una durabilità del 99,999999999%
e una disponibilità degli oggetti del 99,99% in un dato anno.
AWS consente ai clienti di eseguire i backup su nastro utilizzando il
proprio fornitore di servizi di backup su nastro. Tuttavia, AWS non
fornisce il servizio di backup su nastro. Il servizio Amazon S3 è stato
progettato per ridurre pressoché a zero il rischio di perdita di dati e la
durabilità equivalente a copie multisito degli oggetti dati è ottenuta
tramite la ridondanza dello storage dei dati. Per informazioni sulla
durabilità dei dati e la ridondanza consultare il sito Web AWS.
computing
33
34
Aumenti di prezzo. Il
fornitore dei servizi
aumenterà i prezzi senza
preavviso?
Sostenibilità. L'azienda che
fornisce i servizi dispone
dei presupposti per una
sostenibilità a lungo
termine?
Dicembre 2015
Informazioni AWS
Le diminuzioni dei prezzi sono una costante nel caso di AWS, dato che il
costo legato alla fornitura di questi servizi si riduce nel tempo. Negli
ultimi anni, infatti, AWS ha ridotto costantemente i prezzi.
AWS è leader nella fornitura di servizi cloud e costituisce un tassello
importante della strategia aziendale a lungo termine di Amazon.com.
AWS ha tutti i presupposti per una sostenibilità a lungo termine.
Contatto AWS
I clienti possono richiedere i rapporti e le certificazioni elaborati dai revisori terzi oppure chiedere maggiori
informazioni circa la compliance di AWS contattando AWS Sales and Business Development. Il rappresentante
indirizzerà i clienti verso il team competente, in base alla natura della richiesta di informazioni. Per ulteriori
informazioni sulla compliance di AWS consultare il sito Compliance di AWS o inviare le domande direttamente
a [email protected].
Pagina 25 di 89
Dicembre 2015
Appendice A: Questionario dell'iniziativa di valutazione del
consenso CSA v3.01
La Cloud Security Alliance (CSA) è una "organizzazione no profit che intende promuovere l'utilizzo delle best
practice per offrire la garanzia della sicurezza nel cloud computing ed educare agli utilizzi del cloud computing,
rafforzando allo stesso tempo la sicurezza di tutte le altre forme di elaborazione". [Riferimento
https://cloudsecurityalliance.org/about/]. Numerosi professionisti, aziende e associazioni che operano
nel settore della sicurezza partecipano a questa organizzazione per perseguire tale scopo.
Il questionario dell'iniziativa di valutazione del consenso CSA contiene una serie di domande frequenti che un
consumatore di servizi cloud e/o un revisore cloud potrebbero voler chiedere a un fornitore di servizi cloud.
Riporta una serie di domande relative alla sicurezza, ai controlli e ai processi che si prestano a una vasta
gamma di utilizzi, compresa la scelta del fornitore di servizi cloud e la valutazione della sicurezza. AWS ha
completato il questionario fornendo le seguenti risposte.
Gruppo di controllo
Sicurezza delle
applicazioni e delle
interfacce
Sicurezza delle
applicazioni
CID
AIS01.1
AIS01.2
AIS01.3
AIS01.4
AIS01.5
Pagina 26 di 89
Domande sulla
valutazione del
consenso
Vengono utilizzati
standard industriali
(benchmark BSIMM
(Build Security in
Maturity Model), Open
Group ACS Trusted
Technology Provider
Framework, NIST e così
via) per integrare la
sicurezza per l'SDLC
(Systems/Software
Development Lifecycle)?
Viene utilizzato uno
strumento di analisi del
codice sorgente
automatizzato per
rilevare i difetti di
sicurezza del codice
prima della produzione?
Viene utilizzata un'analisi
manuale del codice
sorgente per rilevare
i difetti di sicurezza del
codice prima della
produzione?
Viene verificato se tutti
i fornitori di software
aderiscono agli standard
di settore per la sicurezza
SDLC (Systems/Software
Development Lifecycle)?
(Solo SaaS) Viene
effettuato il controllo
delle applicazioni alla
ricerca di vulnerabilità
della sicurezza e vengono
affrontati gli eventuali
problemi prima della
distribuzione per la
produzione?
Risposta AWS
Il ciclo di vita dello sviluppo di sistema AWS (SDLC) integra best
practice di settore tra cui revisioni formali da parte del team di
sicurezza AWS, modellazione delle minacce e completamento di una
valutazione del rischio. Per ulteriori dettagli, fare riferimento al
whitepaper AWS Overview of Security Processes (Panoramica sulle
procedure di sicurezza AWS).
AWS ha implementato procedure per gestire il nuovo sviluppo di
risorse. Per ulteriori dettagli, fare riferimento allo standard ISO
27001, appendice A, dominio 14. AWS è stato convalidato
e certificato da un revisore indipendente per confermare
l'allineamento con lo standard di certificazione ISO 27001.
Gruppo di controllo
Sicurezza delle
interfacce
Requisiti di accesso dei
clienti
CID
AIS02.1
AIS02.2
Sicurezza delle
interfacce
Integrità dei dati
AIS03.1
Domande sulla
valutazione del
consenso
Dicembre 2015
Risposta AWS
Tutti i requisiti
normativi, contrattuali
e di sicurezza identificati
per l'accesso dei clienti
sono stati presi in
considerazione e corretti
per contratto prima di
concedere ai clienti
l'accesso a dati, asset
e sistemi informatici?
Tutti i requisiti e i livelli di
attendibilità per l'accesso
dei clienti sono stati
definiti e documentati?
Le routine di integrità di
ingresso e uscita dei dati
(ovvero, controlli di
modifiche
e riconciliazione) sono
state implementate per
i database e le interfacce
di applicazione in modo
da impedire errori di
elaborazione, manuali
o sistematici o la
corruzione dei dati?
L'architettura di
sicurezza dei dati
è progettata utilizzando
uno standard industriale
(ad es. CDSA,
MULITSAFE, CSA
Trusted Cloud
Architectural Standard,
FedRAMP, CAESARS)?
Spetta sempre ai clienti AWS la responsabilità di garantire che il
proprio uso di AWS sia conforme alle leggi e alle norme vigenti.
AWS comunica ai clienti informazioni sul proprio ambiente di
sicurezza e controllo tramite certificazioni del settore e attestazioni
di terze parti, whitepaper (disponibili all'indirizzo
http://aws.amazon.com/compliance) e fornendo certificazioni, rapporti
e altra documentazione pertinente direttamente ai clienti AWS.
I controlli dell'integrità dei dati AWS descritti nei rapporti AWS SOC
illustrano i controlli sull'integrità dei dati mantenuti in tutte le fasi,
comprese trasmissione, storage ed elaborazione.
Per ulteriori informazioni, fare inoltre riferimento allo standard ISO
Sicurezza delle
interfacce
Sicurezza/integrità dei
dati
AIS04.1
Affidabilità e
compliance dei
controlli
Pianificazione dei controlli
AAC01.1
Vengono elaborate
asserzioni di controllo
utilizzando un formato
strutturato e accettato nel
settore (ad es.
CloudAudit/A6 URI
Ontology, CloudTrust,
SCAP/CYBEX, GRC
XML, Cloud Computing
Management
Audit/Assurance
Program di ISACA, ecc.)?
AWS ottiene determinate certificazioni di settore e attestazioni di
terze parti indipendenti e fornisce determinate certificazioni,
rapporti e altri documenti pertinenti direttamente ai clienti AWS.
Affidabilità
e compliance dei
controlli
Controlli indipendenti
AAC02.1
Si consente ai tenant di
visualizzare il rapporto
SOC2/ISO 27001
o rapporti simili dei
controlli o delle
certificazioni di terze parti?
AWS fornisce attestazioni di terze parti, certificazioni, rapporti
Service Organization Controls (SOC) e altri rapporti di compliance
pertinenti direttamente ai clienti ai sensi dell'accordo di
riservatezza.
Pagina 27 di 89
L'architettura di sicurezza dei dati AWS è stata progettata per
integrare pratiche all'avanguardia nel settore.
Fare riferimento alle certificazioni, ai rapporti e ai whitepaper AWS
per ulteriori dettagli sulle pratiche all'avanguardia a cui AWS
aderisce (disponibili all'indirizzo
http://aws.amazon.com/compliance).
La certificazione AWS ISO 27001 può essere scaricata qui:
http://d0.awsstatic.com/certifications/iso_27001_global_certificati
on.pdf.
Gruppo di controllo
CID
AAC02.2
AAC02.3
AAC02.4
AAC02.5
AAC02.6
AAC02.7
AAC02.8
Affidabilità e
compliance dei
controlli
Mappatura normativa del
sistema informativo
AAC03.1
AAC03.2
Pagina 28 di 89
Domande sulla
valutazione del
consenso
Vengono eseguiti
periodicamente test di
intrusione nella rete sul
servizio cloud, come
previsto dalle best
practice e dalle linee
guida di settore?
Vengono eseguiti
periodicamente test di
intrusione nelle
applicazioni
sull'infrastruttura cloud,
come previsto dalle best
practice e dalle linee
guida di settore?
Vengono eseguiti
periodicamente controlli
interni, come prescritto
dalle best practice e dalle
linee guida di settore?
Vengono eseguiti
periodicamente controlli
esterni, come prescritto
dalle best practice e dalle
linee guida di settore?
I risultati dei test di
intrusione sono messi
a disposizione dei tenant
su loro richiesta?
I risultati dei controlli
interni ed esterni sono
messi a disposizione dei
tenant su loro richiesta?
Esiste un programma di
controlli interni che
consenta una verifica
interfunzionale delle
valutazioni?
È possibile segmentare
a livello logico
o crittografare i dati dei
clienti, per far sì che
i dati possano essere
prodotti solo per un
unico tenant, senza
accedere
inavvertitamente ai dati
di un altro tenant?
È possibile recuperare
i dati per uno specifico
cliente in caso di problemi
o di perdita di dati?
Dicembre 2015
Risposta AWS
Il rapporto AWS SOC 3 può essere scaricato qui:
https://d0.awsstatic.com/whitepapers/compliance/soc3_amazon_
web_services.pdf.
AWS Security esegue scansioni regolari di tutti gli indirizzi IP
dell'endpoint del servizio connessi a Internet per individuare le
vulnerabilità (tali scansioni non includono le istanze dei clienti).
AWS Security notifica alle parti interessate le eventuali vulnerabilità
identificate a cui è necessario porre rimedio. Vengono inoltre
eseguite valutazioni di vulnerabilità alle minacce esterne da parte di
società indipendenti operanti nel settore della sicurezza. I risultati di
tali valutazioni e le relative raccomandazioni sono categorizzati
e forniti alla direzione di AWS.
Inoltre, l'ambiente di controllo AWS è soggetto a periodici controlli
e valutazioni del rischio interni ed esterni. AWS collabora con organi
di certificazione esterni e revisori indipendenti per verificare
e testare l'ambiente di controllo AWS nel suo insieme.
Tutti i dati archiviati da AWS per conto dei clienti dispongono di
solide funzionalità di sicurezza e controllo dell'isolamento dei
tenant. I clienti mantengono il controllo e la proprietà dei propri
dati, pertanto è loro responsabilità scegliere se crittografare i dati.
AWS consente ai clienti di utilizzare i propri meccanismi di
crittografia per quasi tutti i servizi, inclusi S3, EBS, SimpleDB ed
EC2. I tunnel da IPSec a VPC sono anch'essi crittografati. I clienti,
inoltre, possono utilizzare AWS Key Management Systems (KMS)
per creare e controllare le chiavi di crittografia (fare riferimento
a https://aws.amazon.com/kms/). Per ulteriori dettagli, fare
riferimento al whitepaper AWS Cloud Security (Panoramica sulla
sicurezza del cloud AWS), disponibile all'indirizzo
http://aws.amazon.com/security.
AWS consente ai clienti di eseguire i backup su nastro utilizzando il
proprio fornitore di servizi di backup su nastro. Tuttavia, AWS non
fornisce il servizio di backup su nastro. I servizi Amazon S3 e Glacier
sono stati progettati per ridurre pressoché a zero il rischio di perdita
di dati e la durabilità equivalente a copie multisito degli oggetti dati
è ottenuta tramite la ridondanza dello storage dei dati. Per
informazioni sulla durabilità dei dati e la ridondanza consultare il
sito Web AWS.
Gruppo di controllo
Gestione della
Business Continuity
e resilienza operativa
Pianificazione della
Business Continuity
CID
AAC03.3
È possibile limitare lo
storage dei dati dei clienti
a specifici paesi o aree
geografiche?
AAC03.4
È stato implementato un
programma che abbia la
capacità di monitorare le
modifiche ai requisiti di
legge nelle giurisdizioni
pertinenti, adeguare il
programma di sicurezza
a tali modifiche
e assicurare la conformità
ai requisiti normativi
pertinenti?
BCR01.1
BCR01.2
Gestione della
Business Continuity
Test della Business
Continuity
BCR02.1
Gestione della
Business Continuity
Alimentazione/
telecomunicazioni
BCR03.1
BCR03.2
Pagina 29 di 89
Domande sulla
valutazione del
consenso
Ai tenant vengono fornite
opzioni di hosting
resilienti dal punto di
vista geografico?
Ai tenant viene fornita la
funzionalità di failover
per i servizi
infrastrutturali ad altri
fornitori?
I piani di Business
Continuity sono
sottoposti a test
a intervalli pianificati o in
caso di modifiche
ambientali o
organizzative
significative per garantire
una costante efficacia?
documentazione in cui
è descritto il percorso di
trasporto dei propri dati
tra un sistema e l'altro?
I tenant possono definire
in che modo i propri dati
vengono trasportati
e attraverso quali
giurisdizioni legali?
Dicembre 2015
Risposta AWS
I clienti AWS indicano in quale regione fisica saranno ubicati
i propri contenuti. AWS non sposterà i contenuti dei clienti dalle
regioni selezionate senza avvisare il cliente, a meno che ciò non sia
necessario in osservanza della legge o di richieste da parte di enti
governativi. Le undici regioni attualmente esistenti sono: Stati Uniti
orientali (Virginia settentrionale), Stati Uniti occidentali (Oregon),
Stati Uniti occidentali (California settentrionale), AWS GovCloud
(Stati Uniti) (Oregon), UE (Irlanda), UE (Francoforte), Asia Pacifico
(Singapore), Asia Pacifico (Tokyo), Asia Pacifico (Sydney), Cina
(Pechino) e Sud America (San Paolo).
AWS esegue il monitoraggio dei requisiti di legge e normativi
pertinenti.
Per ulteriori dettagli, fare riferimento allo standard ISO 27001,
appendice 18. AWS è stato convalidato e certificato da un revisore
indipendente per confermare l'allineamento con lo standard di
I data center sono costruiti in cluster in diverse regioni globali. AWS
offre ai clienti la flessibilità necessaria per avviare istanze
e memorizzare dati all'interno di più regioni geografiche e in più
zone di disponibilità all'interno di ogni regione. I clienti dovrebbero
pianificare l'utilizzo di AWS in modo da sfruttare le diverse regioni
e zone di disponibilità.
Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview
of Cloud Security Processes (Panoramica sulle procedure di
I piani e le policy di Business Continuity AWS sono stati sviluppati
e testati in linea con gli standard ISO 27001.
Per ulteriori dettagli su AWS e sulla Business Continuity, fare
riferimento allo standard ISO 27001, appendice A, domino 17.
i propri dati e server. AWS non sposterà i contenuti dei clienti dalle
governativi. Nei rapporti AWS SOC sono forniti ulteriori dettagli.
I clienti possono anche scegliere il loro percorso di rete alle strutture
AWS, tra cui reti private dedicate in cui il cliente controlla
l'instradamento del traffico.
Gruppo di controllo
CID
Gestione della
Business Continuity
Documentazione
BCR04.1
Gestione della
Business Continuity
Rischi ambientali
BCR05.1
Gestione della
Business Continuity
Ubicazione delle
apparecchiature
BCR06.1
Gestione della
Business Continuity
Manutenzione delle
apparecchiature
BCR07.1
BCR07.2
BCR07.3
BCR07.4
Pagina 30 di 89
Domande sulla
valutazione del
consenso
I documenti relativi al
sistema informatico (ad
esempio guide per gli
utenti e gli
amministratori, schemi
dell'architettura e così
via) sono messi
a disposizione del
personale autorizzato per
garantire la corretta
configurazione,
installazione e utilizzo del
sistema informatico?
La protezione fisica
contro danni (ad esempio
da calamità, eventi
naturali, attacchi
deliberati) è prevista
e progettata e sono
applicate contromisure?
Esistono data center della
società situati in luoghi
caratterizzati da alta
probabilità/frequenza di
rischi ambientali a impatto
elevato (inondazioni,
tornado, terremoti,
uragani e così via)?
Se si utilizza
l'infrastruttura virtuale,
la soluzione cloud include
funzionalità di ripristino
e recupero indipendenti
dall'hardware?
Se si utilizza
l'infrastruttura virtuale, ai
tenant viene consentito di
ripristinare una macchina
virtuale a uno stato
precedente nel tempo?
Se si utilizza
sono consentiti il
download e il
trasferimento delle
immagini della macchina
virtuale a un nuovo
fornitore di servizi cloud?
Se si utilizza
le immagini delle
macchine sono messe
a disposizione del cliente
in modo tale da
permettergli di replicare
tali immagini nella
propria posizione di
storage fuori sede?
Dicembre 2015
Risposta AWS
La documentazione sul sistema informativo è resa disponibile
internamente al personale AWS tramite il sito Intranet di Amazon.
Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud
Security (Panoramica sulla sicurezza del cloud AWS), disponibile
all'indirizzo http://aws.amazon.com/security/.
Fare riferimento allo standard ISO 27001, appendice A, dominio 12.
I data center AWS si avvalgono di protezioni fisiche contro i rischi
ambientali. La protezione fisica adottata da AWS contro i rischi
ambientali è stata convalidata da un revisore indipendente e ne
è stata certificata la conformità con le best practice ISO 27002.
Fare riferimento allo standard ISO 27001, appendice A, dominio 11.
ambientali. La protezione fisica adottata da AWS contro i rischi
ambientali è stata convalidata da un revisore indipendente e ne
è stata certificata la conformità con le best practice ISO 27002. Fare
riferimento allo standard ISO 27001, appendice A, dominio 11.
La funzionalità EBS Snapshot consente ai clienti di acquisire
e ripristinare le immagini della macchina virtuale in qualsiasi
momento. I clienti possono esportare le proprie AMI e utilizzarle
localmente o presso un altro fornitore (soggetto alle limitazioni di
licenza del software). Per ulteriori dettagli, fare riferimento al
whitepaper AWS Cloud Security (Panoramica sulla sicurezza del
cloud AWS), disponibile all'indirizzo
Gruppo di controllo
CID
BCR07.5
Gestione della
Business Continuity
Interruzione di corrente
alle apparecchiature
Gestione della
Business Continuity
Analisi dell'impatto
BCR08.1
BCR09.1
BCR09.2
BCR09.3
Gestione della
Business Continuity
Policy
BCR10.1
Gestione della
Business Continuity
Policy di conservazione
BCR11.1
BCR11.2
Pagina 31 di 89
Domande sulla
valutazione del
consenso
La soluzione cloud
include funzionalità di
ripristino e recupero
indipendenti dal
software/provider?
Sono stati implementati
meccanismi di sicurezza
e ridondanza per
proteggere le
apparecchiature da
interruzioni dei servizi di
utilità (ad esempio
interruzioni di corrente,
interruzioni di rete e così
via)?
Ai tenant vengono forniti
visibilità continua
e reporting delle
prestazioni operative del
contratto sul livello di
servizio (SLA, Service
Level Agreement)?
Le metriche di sicurezza
delle informazioni basate
su standard (CSA, CAMM
e così via) sono messe
a disposizione dei tenant?
Ai clienti viene fornita
visibilità continua
e reporting delle
prestazioni del contratto
sul livello di servizio
(SLA, Service Level
Agreement)?
Policy e procedure
vengono stabilite e messe
a disposizione di tutto il
personale per supportare
adeguatamente i ruoli
operativi dei servizi?
Si dispone delle capacità
di controllo tecnico per
attuare le policy di
conservazione dei dati
dei tenant?
È stata messa in atto una
procedura documentata
per rispondere alle
richieste di dati dei
tenant da parte di
governi o di terze parti?
Dicembre 2015
Risposta AWS
L'apparecchiatura AWS è protetta dalle interruzioni dei servizi di
utilità in conformità allo standard ISO 27001. AWS è stato
convalidato e certificato da un revisore indipendente per confermare
Nei rapporti AWS SOC vengono fornite informazioni aggiuntive sui
controlli presenti per ridurre al minimo gli effetti di un
malfunzionamento o di un'emergenza fisica per le strutture dei data
center e dei computer.
Fare inoltre riferimento al whitepaper AWS Cloud Security
(Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo
AWS CloudWatch assicura il monitoraggio delle risorse cloud AWS
e delle applicazioni eseguite dai clienti su AWS. Per ulteriori dettagli,
fare riferimento alla pagina aws.amazon.com/cloudwatch. AWS
pubblica inoltre le informazioni più aggiornate relative alla
disponibilità del servizio sul pannello di controllo stato servizi. Fare
riferimento a status.aws.amazon.com.
Sono state stabilite policy e procedure attraverso il framework AWS
Information Security in base allo standard NIST 800-53, ISO 27001,
ISO 27017, ISO 27018, ISO 9001 e ai requisiti PCI DSS.
Per ulteriori dettagli, fare riferimento al whitepaper AWS Risk and
Compliance (Rischio e compliance AWS), disponibile all'indirizzo
http://aws.amazon.com/compliance.
AWS consente ai clienti di eliminare i propri dati. Tuttavia, i clienti
AWS detengono il controllo e la proprietà dei propri dati, pertanto
è responsabilità dei clienti gestire la conservazione dei dati sulla base
dei propri requisiti. Per ulteriori dettagli, fare riferimento al
whitepaper AWS Cloud Security (Panoramica sulla sicurezza del cloud
AWS), disponibile all'indirizzo http://aws.amazon.com/security.
AWS si impegna a proteggere la privacy dei clienti ed è vigile nel
determinare quali richieste imposte dalle forze dell'ordine devono
essere rispettate. AWS non esita a contestare provvedimenti delle
forze dell'ordine qualora ritenga che tali misure siano prive di una
solida base. Per ulteriori informazioni, fare riferimento a
https://aws.amazon.com/compliance/data-privacy-faq/.
Gruppo di controllo
CID
BCR11.4
BCR11.5
Controllo delle
modifiche e gestione
delle configurazioni
Nuovo
sviluppo/acquisizione
CCC01.1
CCC01.2
Controllo delle
Sviluppo in outsourcing
CCC02.1
CCC02.2
Controllo delle
Test di qualità
CCC03.1
CCC03.2
CCC03.3
Pagina 32 di 89
Domande sulla
valutazione del
consenso
meccanismi di backup
o di ridondanza per
garantire il rispetto dei
requisiti normativi,
legali, contrattuali
o aziendali?
I meccanismi di backup
o di ridondanza sono
sottoposti a test almeno
una volta all'anno?
Esistono policy
e procedure per la
gestione
dell'autorizzazione per lo
sviluppo o all'acquisizione
di nuove applicazioni,
sistemi, database,
infrastrutture, servizi,
operazioni e impianti?
È disponibile una
documentazione che
descriva l'installazione,
la configurazione
e l'utilizzo di
prodotti/servizi/caratteri
stiche?
Sono disponibili controlli
per assicurare che gli
standard di qualità
vengano rispettati per
tutto lo sviluppo del
software?
per rilevare i difetti di
sicurezza del codice
sorgente per tutte le
attività di sviluppo
software in outsourcing?
è descritta la procedura
di controllo qualità?
È disponibile una
documentazione che
descriva i problemi noti
di alcuni
prodotti/servizi?
Sono state implementate
policy e procedure per
valutare e trovare una
soluzione a bug
e vulnerabilità della
sicurezza segnalati per le
offerte di prodotti
e servizi?
Dicembre 2015
Risposta AWS
I meccanismi di backup e di ridondanza AWS sono stati sviluppati
e testati in linea con gli standard ISO 27001. Per ulteriori
informazioni sui meccanismi di backup e ridondanza AWS, fare
riferimento allo standard ISO 27001, appendice A, dominio 12 e al
rapporto AWS SOC 2.
Se il cliente ha mosso i primi passi in AWS oppure se è un utente
avanzato, potrà trovare informazioni utili sui servizi, che spaziano
dalle nozioni introduttive alle caratteristiche avanzate, nella sezione
Documentazione AWS del sito Web all'indirizzo
https://aws.amazon.com/documentation/.
AWS generalmente non esternalizza lo sviluppo di software. AWS
integra standard di qualità nei processi SDLC (System Development
Lifecycle).
appendice A, dominio 12. AWS è stato convalidato e certificato da un
revisore indipendente per confermare l'allineamento con lo standard
di certificazione ISO 27001.
AWS dispone della certificazione ISO 9001. Si tratta di una
convalida indipendente del sistema di qualità AWS che ha accertato
che le attività di AWS sono conformi ai requisiti della certificazione
ISO 9001.
I bollettini sulla sicurezza AWS comunicano ai clienti gli eventi
relativi alla sicurezza e alla privacy. I clienti possono iscriversi al
feed RSS dei bollettini sulla sicurezza AWS nel sito Web di AWS.
Fare riferimento aws.amazon.com/security/security-bulletins/.
AWS pubblica inoltre le informazioni più aggiornate relative alla
disponibilità del servizio sul pannello di controllo stato servizi. Fare
riferimento a status.aws.amazon.com.
Il ciclo di vita dello sviluppo di sistema AWS (SDLC) integra best
practice di settore tra cui revisioni formali da parte del team di
sicurezza AWS, modellazione delle minacce e completamento di una
valutazione del rischio. Per ulteriori dettagli, fare riferimento al
whitepaper AWS Overview of Security Processes (Panoramica sulle
procedure di sicurezza AWS).
Gruppo di controllo
CID
CCC03.4
Controllo delle
Installazioni software non
autorizzate
CCC04.1
Controllo delle
Cambi in produzione
CCC05.1
Sicurezza dei dati
e gestione del ciclo di
vita delle informazioni
Classificazione
DSI01.1
DSI01.2
DSI01.3
DSI01.4
DSI01.5
Pagina 33 di 89
Domande sulla
valutazione del
consenso
meccanismi per garantire
che tutti gli elementi del
debug e del codice di
prova siano stati rimossi
dalle versioni software
rilasciate?
per limitare e monitorare
l'installazione di software
non autorizzato sui
propri sistemi?
sono descritte le procedure
di gestione dei cambi in
produzione e i loro relativi
ruoli/diritti/responsabilità?
Viene offerta la
possibilità di identificare
le macchine virtuali
tramite tag di
policy/metadati (ad es.
tag che possono essere
utilizzati per evitare che
i sistemi operativi guest
possano avviare/creare
istanze/trasportare i dati
nel paese errato)?
Viene offerta la
possibilità di identificare
l'hardware tramite tag di
policy/metadati/tag di
hardware (ad es.
TXT/TPM, VN-Tag e così
via)?
È possibile utilizzare la
posizione geografica del
sistema come fattore di
autenticazione?
Amazon fornisce la
posizione fisica/l'area
geografica dello storage
dei dati di un tenant su
richiesta?
Amazon fornisce la
posizione fisica/l'area
geografica dello storage
dei dati di un tenant in
anticipo?
Dicembre 2015
Risposta AWS
Per ulteriori dettagli, fare inoltre riferimento allo standard ISO
Il programma, i processi e le procedure AWS per la gestione del
software malware sono conformi agli standard ISO 27001.
Nei rapporti AWS SOC è fornita una panoramica sui controlli
disponibili per gestire le modifiche nell'ambiente AWS.
Ai clienti vengono assegnate macchine virtuali nell'ambito del
servizio EC2. I clienti mantengono il controllo su quali risorse
vengono utilizzate e su dove le risorse risiedono. Per ulteriori
dettagli, fare riferimento al sito Web di AWS all'indirizzo
http://aws.amazon.com.
AWS offre la possibilità di aggiungere tag alle risorse EC2. Una
forma di metadati, i tag EC2, può essere utilizzata per creare nomi
facilmente identificabili dagli utenti, migliorare la ricercabilità
e rafforzare il coordinamento tra più utenti. La console di gestione
AWS supporta anch'essa i tag.
AWS offre la possibilità di eseguire l'accesso utente condizionato in
base all'indirizzo IP. I clienti possono aggiungere le condizioni per
controllare la modalità di utilizzo di AWS da parte degli utenti, come
ad esempio l'ora del giorno, il relativo indirizzo IP di origine
o l'eventuale utilizzo di SSL.
AWS offre ai clienti la flessibilità necessaria per avviare istanze
e memorizzare dati all'interno di più regioni geografiche. I clienti
AWS indicano in quale regione fisica saranno ubicati i propri dati
e server. AWS non sposterà i contenuti dei clienti dalle regioni
selezionate senza avvisare il cliente, a meno che ciò non sia
Gruppo di controllo
CID
DSI01.6
DSI01.7
Sicurezza dei dati
Inventario/flussi dei dati
DSI02.1
DSI02.2
Sicurezza dei dati
Transazioni eCommerce
DSI03.1
DSI03.2
Sicurezza dei dati
Policy di
gestione/etichettatura/
protezione
Pagina 34 di 89
DSI04.1
Domande sulla
valutazione del
consenso
Viene seguito uno
standard strutturato per
l'etichettatura dei dati
(ad es. ISO 15489, Oasis
XML Catalog
Specification, CSA Data
Type Guidance)?
definire le posizioni
geografiche accettabili
per il routing dei dati o la
creazione dell'istanza
delle risorse?
Vengono inventariati,
documentati e gestiti
i flussi dei dati residenti
(in via permanente
o temporanea) nelle
applicazioni dei servizi
e nella rete e nei sistemi
dell'infrastruttura?
Si garantisce che i dati
non migrino al di là di
una determinata
residenza geografica?
metodologie di
crittografia aperte
(3.4ES, AES e così via),
in modo da permettere la
protezione dei dati se
è necessario attraversare
reti pubbliche (ad es.
Internet)?
Vengono utilizzate
metodologie di
crittografia aperte
ogniqualvolta
i componenti
dell'infrastruttura devono
comunicare tra loro su
reti pubbliche (ad es.
replica dei dati basata su
Internet da un ambiente
all'altro)?
Sono state stabilite policy
e procedure per
etichettatura, gestione
e protezione di dati
e oggetti che contengono
dati?
Dicembre 2015
Risposta AWS
I clienti AWS mantengono il controllo e la proprietà dei propri dati
e possono implementare uno standard strutturato di etichettatura
dei dati per soddisfare i propri requisiti.
e memorizzare dati all'interno di più regioni geografiche. I clienti
AWS indicano in quale regione fisica saranno ubicati i propri dati
e server. AWS non sposterà i contenuti dei clienti dalle regioni
i propri contenuti. AWS non sposterà i contenuti dei clienti dalle
Tutte le API AWS sono disponibili tramite gli endpoint SSH protetti che
forniscono l'autenticazione del server. AWS consente ai clienti di
utilizzare i propri meccanismi di crittografia per quasi tutti i servizi,
inclusi S3, EBS, SimpleDB ed EC2. I tunnel da IPSec a VPC sono
anch'essi crittografati. I clienti, inoltre, possono utilizzare AWS Key
Management Systems (KMS) per creare e controllare le chiavi di
crittografia (fare riferimento a https://aws.amazon.com/kms/). I clienti
possono utilizzare anche tecnologie di crittografia di terze parti.
all'indirizzo http://aws.amazon.com/security.
I clienti AWS detengono il controllo e la proprietà dei propri dati
e possono implementare una policy di etichettatura e gestione
e procedure specifiche per soddisfare i propri requisiti.
Gruppo di controllo
CID
DSI04.2
Sicurezza dei dati
Dati non destinati alla
produzione
DSI05.1
Sicurezza dei dati
Proprietà/amministrazione
DSI06.1
Sicurezza dei dati
Smaltimento sicuro
DSI07.1
DSI07.2
Sicurezza dei data
center
Gestione degli asset
Pagina 35 di 89
DCS01.1
Domande sulla
valutazione del
consenso
meccanismi per
l'ereditarietà delle
etichette per gli oggetti
che fungono da
contenitori aggregati per
i dati?
Sono state implementate
procedure per garantire
che i dati di produzione
non possano essere
replicati o utilizzati negli
ambienti non destinati
alla produzione?
Le responsabilità relative
all'amministrazione dei
dati sono definite,
assegnate, documentate
e comunicate?
L'eliminazione sicura
(ad esempio
smagnetizzazione/cancell
azione crittografica) dei
dati archiviati e di
backup, così come
determinato dal tenant,
è supportata?
Amazon fornisce una
procedura pubblicata per
la cessazione dell'accordo
di servizio, compresa
l'assicurazione per la
pulizia di tutte le risorse
informatiche dei dati del
tenant, dopo che un
cliente è uscito dal
proprio ambiente o ha
lasciato libera una
risorsa?
Viene mantenuto un
inventario completo di
tutti gli asset critici che
include la proprietà
dell'asset?
Dicembre 2015
Risposta AWS
I clienti AWS detengono il controllo e la proprietà dei propri dati.
AWS offre ai clienti la possibilità di gestire e sviluppare ambienti di
produzione e non destinati alla produzione. È responsabilità del
cliente assicurarsi che i propri dati di produzione non vengano
replicati in ambienti non destinati alla produzione.
Per ulteriori informazioni, fare riferimento al contratto clienti AWS.
Quando un dispositivo di storage raggiunge la fine della sua vita utile,
le procedure AWS includono un processo di disattivazione progettato
per impedire che i dati del cliente siano accessibili a persone non
autorizzate. AWS utilizza le tecniche riportate in dettaglio nel DoD
5220.22-M ("National Industrial Security Program Operating
Manual") o NIST 800-88 ("Guidelines for Media Sanitization") per
distruggere i dati come parte del processo di disattivazione. Se non
è possibile disattivare un dispositivo hardware mediante queste
procedure, il dispositivo sarà smagnetizzato o distrutto fisicamente in
linea con le procedure standard del settore. Per ulteriori dettagli, fare
riferimento al whitepaper AWS Cloud Security (Panoramica sulla
I volumi Amazon EBS si presentano come dispositivi a blocchi vergini
non formattati che sono stati sottoposti a cancellazione prima di
essere resi disponibili per l'uso. La cancellazione viene effettuata
subito prima del riutilizzo, per essere certi che il processo di
cancellazione sia stato completato. Amazon EBS consente di
implementare procedure che richiedono la cancellazione di tutti i dati
con un metodo specifico, come quelli descritti in DoD 5220.22-M
("National Industrial Security Program Operating Manual") o in NIST
800-88 ("Guidelines for Media Sanitization"). È opportuno effettuare
una procedura di cancellazione specializzata prima di procedere alla
cancellazione del volume per la conformità ai propri requisiti.
La crittografia di dati sensibili è, in genere, una prassi di sicurezza
affidabile e AWS consente di crittografare i volumi EBS e le loro
snapshot con AES-256. La crittografia viene effettuata sui server che
ospitano le istanze EC2, mentre i dati si spostano tra istanze EC2 e
storage EBS. Per essere in grado di completare tale procedura in
modo efficiente e con una bassa latenza, la caratteristica di
crittografia EBS è disponibile solo sui tipi di istanze EC2 più potenti
(ad es. M3, C3, R3, G2).
In linea con gli standard ISO 27001, gli asset hardware AWS sono
assegnati ad un responsabile, tracciati e monitorati dal personale
AWS mediante gli strumenti di gestione inventario proprietari di
AWS. Il team della catena di approvvigionamento e fornitura AWS
mantiene i rapporti con tutti i fornitori AWS.
Gruppo di controllo
CID
DCS01.2
Sicurezza dei data
center
Punti di accesso
controllati
DCS02.1
Sicurezza dei data
center
Identificazione delle
apparecchiature
DCS03.1
Sicurezza dei data
center
Autorizzazione fuori sede
DCS04.1
Sicurezza dei data
center
Apparecchiature fuori
sede
Sicurezza dei data
center
Policy
Pagina 36 di 89
DCS05.1
DCS06.1
Domande sulla
valutazione del
consenso
Dicembre 2015
Risposta AWS
Viene mantenuto un
inventario completo di
tutti i rapporti con
i fornitori critici?
perimetri di sicurezza
fisici (ad es. recinzioni,
pareti, barriere,
protezioni, cancelli,
sorveglianza elettronica,
meccanismi di
autenticazione fisici,
banchi di accoglienza
e pattuglie di sicurezza)?
L'identificazione
automatica delle
apparecchiature viene
utilizzata come metodo
per convalidare l'integrità
di autenticazione della
connessione sulla base
dell'ubicazione nota delle
apparecchiature?
documentazione che
descrive gli scenari in cui
i dati possono essere
spostati da una posizione
fisica a un'altra (ad es.
backup fuori sede,
failover della continuità
di servizio, replica)?
Per ulteriori dettagli, fare riferimento agli standard ISO 27001,
I controlli di sicurezza fisici includono, a titolo esemplificativo,
controlli perimetrali, quali recinzioni, pareti, personale addetto alla
sicurezza, video sorveglianza, sistemi di rilevamento dell'intrusione
e altri dispositivi elettronici. Nei rapporti AWS SOC sono forniti
dettagli aggiuntivi sulle attività di controllo specifiche eseguite da
AWS. Per ulteriori informazioni, fare riferimento agli standard ISO
È possibile fornire ai
tenant le prove che
documentano le policy
e le procedure che
regolano la gestione degli
asset e la riallocazione
delle apparecchiature?
In linea con gli standard ISO 27001, quando un dispositivo di
storage raggiunge la fine della sua vita utile, le procedure AWS
includono un processo di disattivazione progettato per impedire che
i dati del cliente siano accessibili a persone non autorizzate. AWS
utilizza le tecniche riportate in dettaglio nel DoD 5220.22-M
("National Industrial Security Program Operating Manual") o NIST
800-88 ("Guidelines for Media Sanitization") per distruggere i dati
come parte del processo di disattivazione. Se non è possibile
disattivare un dispositivo hardware mediante queste procedure,
il dispositivo sarà smagnetizzato o distrutto fisicamente in linea con
le procedure standard del settore.
Amazon fornisce prova
che sono state stabilite
policy, standard
e procedure per il
mantenimento di un
ambiente di lavoro sicuro
e protetto in uffici, sale,
strutture e aree protette?
AWS gestisce l'identificazione delle apparecchiature in conformità
allo standard ISO 27001.
AWS è stato convalidato e certificato da un revisore indipendente
per confermare l'allineamento con lo standard di certificazione ISO
27001.
i propri dati. AWS non sposterà i contenuti dei clienti dalle regioni
governativi.
AWS collabora con organismi di certificazione esterni e revisori
indipendenti per esaminare e convalidare la nostra compliance con
i quadri di compliance. Nei rapporti AWS SOC sono forniti dettagli
aggiuntivi sulle attività di controllo della sicurezza fisica specifiche
eseguite da AWS. Per ulteriori dettagli, fare riferimento agli
standard ISO 27001, appendice A, dominio 11. AWS è stato
Gruppo di controllo
CID
DCS06.2
Sicurezza dei data
center
Autorizzazione area
protetta
DCS07.1
Sicurezza dei data
center
Ingresso di persone non
autorizzate
DCS08.1
Sicurezza dei data
center
Accesso utente
DCS09.1
Gestione della
crittografia e delle
chiavi
Diritto di accesso
EKM01.1
Domande sulla
valutazione del
consenso
Si può dimostrare che il
personale e le terze parti
coinvolte hanno ricevuto
un'idonea formazione
riguardo alle policy, agli
standard e alle procedure
documentate?
specificare in quale delle
vostre aree geografiche
possono essere
inseriti/estratti i propri
dati (per affrontare
considerazioni di ordine
giuridico in base alla
posizione di
memorizzazione dei dati
rispetto al punto di
accesso)?
I punti di ingresso e di
uscita, come le aree di
servizio e altri punti in
cui il personale non
autorizzato può accedere
ai locali, sono monitorati,
controllati e isolati dal
processo e dallo storage
dei dati?
Viene limitato l'accesso
fisico agli asset delle
informazioni e alle
funzioni da parte degli
utenti e del personale di
supporto?
Si dispone di policy per la
gestione delle chiavi che
vincolano le chiavi a
titolari identificabili?
Dicembre 2015
Risposta AWS
In linea con lo standard ISO 27001, tutti i dipendenti AWS
completano una formazione periodica sulla sicurezza delle
informazioni per la quale è richiesta conferma di completamento.
Vengono effettuati controlli in materia di compliance a cadenza
periodica per assicurarsi che i dipendenti comprendano e seguano le
policy definite. Per ulteriori dettagli, fare riferimento al whitepaper
AWS Cloud Security (Panoramica sulla sicurezza del cloud AWS),
disponibile all'indirizzo http://aws.amazon.com/security.
per confermare l'allineamento con la certificazione ISO 27001.
Inoltre nei rapporti AWS SOC 1 e SOC 2 vengono fornite ulteriori
informazioni.
i propri dati. AWS non sposterà i contenuti dei clienti dalle regioni
L'accesso fisico viene rigorosamente controllato sia lungo il
perimetro che presso i punti di ingresso dell'edificio e include,
a titolo esemplificativo, il personale addetto alla sicurezza che si
avvale di sistemi di video sorveglianza e di rilevamento
dell'intrusione e di altri dispositivi elettronici. Il personale
autorizzato deve superare almeno due volte un controllo di
autenticazione a due fattori per accedere ai piani dei data center.
I punti di accesso fisico ai server vengono ripresi da un sistema di
videocamere a circuito chiuso (CCTV) come previsto dalla policy
sulla sicurezza fisica dei data center AWS.
I meccanismi di sicurezza fisica AWS (AWS Physical Security
Mechanisms) vengono verificati da revisori esterni indipendenti
durante i controlli per la compliance con gli standard SOC, PCI DSS,
ISO 27001 e FedRAMP.
AWS permette ai clienti di utilizzare i propri meccanismi di
crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. Anche le
sessioni VPC sono crittografate. I clienti, inoltre, possono utilizzare
AWS Key Management Systems (KMS) per creare e controllare le
chiavi di crittografia (fare riferimento a
https://aws.amazon.com/kms/).
Internamente, AWS stabilisce e gestisce le chiavi crittografiche per
i processi di crittografia impiegati all'interno dell'infrastruttura
AWS. Un sistema di gestione sicuro delle chiavi e delle credenziali
sviluppato da AWS viene utilizzato per creare, proteggere
e distribuire chiavi simmetriche e per la sicurezza e la distribuzione
di: credenziali AWS richieste sugli host, chiavi pubbliche/private
RSA e certificazioni X.509.
I processi crittografici AWS vengono verificati da revisori
indipendenti di terze parti nell'ambito della compliance continua
con gli standard SOC, PCI DSS, ISO 27001 e FedRAMP.
Pagina 37 di 89
Gruppo di controllo
CID
Gestione della
chiavi
Generazione delle chiavi
EKM02.1
EKM02.2
EKM02.3
EKM02.4
EKM02.5
Gestione della
chiavi
Crittografia
EKM03.1
EKM03.2
EKM03.3
EKM03.4
Crittografia e gestione
delle chiavi
Storage e accesso
Pagina 38 di 89
EKM04.1
Domande sulla
valutazione del
consenso
È possibile consentire la
creazione di chiavi di
crittografia univoche per
ciascun tenant?
Offrite la possibilità di
gestire le chiavi di
crittografia per conto dei
tenant?
Vengono adottate
procedure di gestione
delle chiavi?
Esiste una titolarità
documentata per ogni
fase del ciclo di vita delle
chiavi di crittografia?
Vengono utilizzati
framework di terze
parti/open source/di
proprietà per gestire le
chiavi di crittografia?
I dati memorizzati (su
disco/storage) vengono
crittografati all'interno
del proprio ambiente?
Si ricorre alla crittografia
per proteggere i dati e le
immagini delle macchine
virtuali durante il
trasporto attraverso e tra
le reti e le istanze
hypervisor?
Dicembre 2015
Risposta AWS
crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. I tunnel
da IPSec a VPC sono anch'essi crittografati. I clienti, inoltre,
possono utilizzare AWS Key Management Systems (KMS) per creare
e controllare le chiavi di crittografia (fare riferimento a
https://aws.amazon.com/kms/). Per maggiori dettagli su KMS fare
riferimento ai rapporti AWS SOC.
Per ulteriori dettagli, fare inoltre riferimento al whitepaper AWS
Cloud Security (Panoramica sulla sicurezza del cloud AWS),
Internamente, AWS stabilisce e gestisce le chiavi crittografiche per
i processi di crittografia impiegati all'interno dell'infrastruttura
AWS. AWS produce, controlla e distribuisce chiavi crittografiche
simmetriche all'interno del sistema informatico AWS utilizzando la
tecnologia e i processi di gestione delle chiavi approvati dal NIST.
Un sistema di gestione sicuro delle chiavi e delle credenziali
sviluppato da AWS viene utilizzato per creare, proteggere
e distribuire chiavi simmetriche e per la sicurezza e la distribuzione
di: credenziali AWS richieste sugli host, chiavi pubbliche/private
RSA e certificazioni X.509.
crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. I tunnel
da IPSec a VPC sono anch'essi crittografati. I clienti, inoltre,
possono utilizzare AWS Key Management Systems (KMS) per creare
e controllare le chiavi di crittografia (fare riferimento a
Per ulteriori dettagli, fare inoltre riferimento al whitepaper AWS
Le chiavi di crittografia
generate dai tenant sono
supportate o ai tenant
viene consentito di
crittografare i dati in
un'identità senza accesso
a un certificato a chiave
pubblica (ad esempio
crittografia basata su
identità)?
Si dispone di una
documentazione che
stabilisca e definisca le
policy, le procedure e le
linee guida per la gestione
della crittografia?
Si dispone di una
crittografia idonea per le
piattaforme e i dati che
utilizzi formati
aperti/convalidati
e algoritmi standard?
crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. I clienti,
inoltre, possono utilizzare AWS Key Management Systems (KMS)
per creare e controllare le chiavi di crittografia (fare riferimento a
Gruppo di controllo
CID
EKM04.2
EKM04.3
EKM04.4
Governance e gestione
del rischio
Requisiti di baseline
GRM01.1
GRM01.2
GRM01.3
del rischio
Valutazione dei rischi
GRM02.1
GRM02.2
Pagina 39 di 89
Domande sulla
valutazione del
consenso
sono gestite dal
consumatore di servizi
cloud o da un provider
affidabile di servizi di
gestione delle chiavi?
sono archiviate nel
cloud?
Si dispone di compiti
distinti per la gestione
delle chiavi e l'utilizzo
delle chiavi?
Sono disponibili baseline
documentate sulla
sicurezza delle
informazioni per ogni
componente
dell'infrastruttura (ad es.
hypervisor, sistemi
operativi, router, server
DNS e così via)?
È possibile eseguire un
monitoraggio costante
e indicare la compliance
dell'infrastruttura in
relazione alle baseline di
sicurezza delle
informazioni?
Ai clienti è consentito
fornire la propria
immagine di macchina
virtuale collaudata, in
modo da garantire la
conformità ai propri
standard interni?
Vengono forniti dati sullo
stato di controllo della
sicurezza, in modo da
permettere ai tenant di
implementare il
monitoraggio continuo
standard di settore (che
consente la convalida
continua del tenant del
proprio stato di controllo
fisico e logico)?
Vengono effettuate
valutazioni dei rischi
associati ai requisiti di
governance dei dati
almeno una volta
all'anno?
Dicembre 2015
Risposta AWS
AWS stabilisce e gestisce le chiavi crittografiche per i processi di
crittografia impiegati all'interno dell'infrastruttura AWS. AWS
produce, controlla e distribuisce chiavi crittografiche simmetriche
utilizzando la tecnologia e i processi di gestione delle chiavi approvati
dal NIST all'interno del sistema informatico AWS. Un sistema di
gestione sicuro delle chiavi e delle credenziali sviluppato da AWS
viene utilizzato per creare, proteggere e distribuire chiavi simmetriche
e per la sicurezza e la distribuzione di: credenziali AWS richieste sugli
host, chiavi pubbliche/private RSA e certificazioni X.509.
In linea con gli standard ISO 27001, AWS gestisce baseline del sistema
per i componenti critici. Per ulteriori dettagli, fare riferimento agli
standard ISO 27001, appendice A, domini 14 e 18. AWS è stato
I clienti possono fornire la propria immagine di macchina virtuale.
VM Import consente ai clienti di importare facilmente le immagini
della macchina virtuale dall'ambiente esistente nelle istanze EC2 di
Amazon.
AWS pubblica certificazioni e rapporti di revisori indipendenti per
fornire ai clienti numerose informazioni sulle policy, i processi e i
controlli definiti e gestiti da AWS. Le certificazioni e i rapporti
pertinenti possono essere forniti ai clienti AWS. Il monitoraggio
continuo dei controlli logici può essere eseguito dai clienti nei propri
sistemi.
In linea con lo standard ISO 27001, AWS dispone di un programma
di gestione del rischio per ridurre e gestire i rischi. AWS dispone
inoltre della certificazione AWS ISO 27018. La conformità alla
certificazione ISO 27018 dimostra ai clienti che AWS dispone di un
sistema di controlli destinato specificamente alla tutela della privacy
dei loro contenuti. Per ulteriori informazioni, fare riferimento alle
domande frequenti sulla conformità AWS a ISO 27018 all'indirizzo
http://aws.amazon.com/compliance/iso-27018-faqs/.
Gruppo di controllo
CID
del rischio
Controllo della direzione
GRM03.1
del rischio
Programma di gestione
GRM04.1
GRM04.2
del rischio
Coinvolgimento/supporto
della direzione
GRM05.1
del rischio
Policy
GRM06.1
GRM06.2
GRM06.3
GRM06.4
Pagina 40 di 89
Domande sulla
valutazione del
consenso
I dirigenti tecnici,
commerciali ed esecutivi
sono responsabili della
sensibilizzazione e della
conformità alle policy,
procedure e standard di
sicurezza per loro stessi
e per i dipendenti, nella
misura in cui si applicano
all'ambito di
responsabilità del
dirigente e dei
dipendenti?
è descritto il programma
di gestione della
sicurezza delle
informazioni (ISMP,
Information Security
Management Program)?
Viene effettuato il
controllo del programma
di gestione della
sicurezza delle
informazioni (ISMP)
almeno una volta
all'anno?
Viene garantito che
fornitori aderiscano alle
policy relative a privacy
e sicurezza delle
informazioni?
Le policy adottate in
relazione a privacy
e sicurezza delle
informazioni sono in
linea con gli standard di
settore (ISO-27001, ISO22307, CoBIT e così via)?
Esistono accordi per
garantire che fornitori
aderiscano alle policy
relative a privacy
e sicurezza delle
informazioni?
Si può dimostrare che
è stata eseguita la
mappatura di due
diligence di controlli,
architettura e procedure
in base ai regolamenti
e/o agli standard?
I controlli, gli standard,
le certificazioni e/o
i regolamenti a cui si
è conformi sono resi
pubblici?
Dicembre 2015
Risposta AWS
In Amazon l'ambiente di controllo inizia al più alto livello
dell'azienda. I dirigenti e l'alta dirigenza svolgono un ruolo
importante nella definizione dei principi e dei valori seguiti
dall'azienda. Ogni dipendente riceve il Codice di condotta aziendale
ed etica e completa una formazione periodica. Vengono effettuati
controlli in materia di compliance affinché i dipendenti
comprendano e seguano le policy definite. Per ulteriori dettagli, fare
riferimento al whitepaper AWS Risk and Compliance (Rischio
e compliance AWS), disponibile all'indirizzo
AWS fornisce ai clienti la certificazione ISO 27001. La certificazione
ISO 27001 riguarda specificamente il sistema ISMS AWS e misura
come i processi interni AWS seguono lo standard ISO. Per la
certificazione è necessario che un revisore indipendente accreditato
da una terza parte abbia eseguito una valutazione dei processi e dei
controlli AWS e confermi che questi operano in linea con lo standard
di certificazione ISO 27001. Per ulteriori informazioni fare
riferimento alle domande frequenti sulla conformità AWS allo
standard ISO 27001, disponibili nel sito Web:
http://aws.amazon.com/compliance/iso-27001-faqs/.
AWS ha stabilito un framework e policy di sicurezza delle
informazioni, che ha integrato il framework certificabile ISO 27001
basato sui controlli ISO 27002, sui criteri Trust Services Principles
dell'American Institute of Certified Public Accountants (AICPA), sul
PCI DSS v3.1 e sulla National Institute of Standards and Technology
(NIST) Publication 800-53 (Recommended Security Controls for
Federal Information Systems).
AWS gestisce i rapporti con le terze parti in linea con gli standard
ISO 27001.
I requisiti delle terze parti AWS vengono verificati da revisori esterni
indipendenti durante i controlli per la compliance con gli standard
PCI DSS, ISO 27001 e FedRAMP.
Le informazioni relative ai programmi di compliance AWS sono
pubblicate sul sito Web disponibile all'indirizzo
http://aws.amazon.com/compliance/.
Gruppo di controllo
CID
del rischio
Applicazione delle policy
GRM07.1
GRM07.2
del rischio
Impatti sui cambiamenti
aziendali/di policy
del rischio
Revisione delle policy
GRM08.1
GRM09.1
GRM09.2
del rischio
Valutazioni
GRM10.1
GRM10.2
del rischio
Programma
Pagina 41 di 89
GRM11.1
Domande sulla
valutazione del
consenso
È stata stabilita una
policy disciplinare
o sanzionatoria formale
per i dipendenti che
hanno violato le policy
e le procedure di
sicurezza?
I dipendenti sono
a conoscenza di quali
azioni potrebbero essere
intraprese in caso di
violazione facendo
riferimento a policy
e procedure?
I risultati delle
valutazioni dei rischi
includono aggiornamenti
di policy, procedure,
standard e controlli di
sicurezza per assicurare
che rimangano pertinenti
ed efficaci?
I tenant sono informati
quando vengono
apportate modifiche
sostanziali alle policy su
privacy e sicurezza delle
informazioni?
Si eseguono valutazioni
interne, come minimo
annuali, delle policy in
materia di privacy
e sicurezza?
Le valutazioni dei rischi
formali sono allineate
con il quadro a livello
aziendale ed eseguite
almeno una volta l'anno,
o a intervalli pianificati,
per determinare la
probabilità e l'impatto di
tutti i rischi individuati,
utilizzando metodi
qualitativi e quantitativi?
La probabilità e l'impatto
associati a rischio inerente
e residuo sono determinati
indipendentemente,
considerando tutte le
categorie di rischio (ad
esempio risultati dei
controlli, analisi di
minacce e vulnerabilità,
nonché conformità alle
normative)?
È presente un
programma documentato
per la gestione del rischio
a livello dell'intera
organizzazione?
Dicembre 2015
Risposta AWS
AWS ha implementato policy di sicurezza e fornisce formazione
sulla sicurezza ai dipendenti per educarli sul loro ruolo e sulle
responsabilità in relazione alla sicurezza delle informazioni.
I dipendenti che violano gli standard o i protocolli di Amazon sono
soggetti a indagini e vengono adottati gli opportuni provvedimenti
disciplinari (ad esempio avvertimento, piano di prestazioni,
sospensione e/o cessazione del rapporto di lavoro).
Per ulteriori dettagli, fare riferimento al whitepaper AWS Cloud Security
(Panoramica sulla sicurezza del cloud AWS), disponibile all'indirizzo
http://aws.amazon.com/security. Per ulteriori dettagli, fare riferimento
allo standard ISO 27001, appendice A, dominio 7. AWS è stato
Gli aggiornamenti di policy, procedure, standard e controlli di
sicurezza AWS vengono eseguiti una volta l'anno in conformità allo
standard ISO 27001.
Per ulteriori informazioni, fare riferimento allo standard ISO 27001.
I whitepaper AWS Cloud Security (Panoramica sulla sicurezza del
cloud AWS) e Risk and Compliance (Rischio e compliance),
disponibili agli indirizzi http://aws.amazon.com/security e
http://aws.amazon.com/compliance, vengono aggiornati
periodicamente per riflettere gli aggiornamenti alle policy AWS.
Nei rapporti AWS SOC sono forniti dettagli sulla valutazione delle
policy in materia di privacy e sicurezza.
In linea con lo standard ISO 27001, AWS ha sviluppato un
programma di gestione del rischio per ridurre e gestire i rischi.
Fare riferimento al whitepaper AWS Risk and Compliance (Rischio
e compliance AWS) (disponibile all'indirizzo
aws.amazon.com/security) per ulteriori dettagli sul framework di
gestione del rischio AWS (RMF, Risk Management Framework).
In linea con lo standard ISO 27001, AWS dispone di un programma
di gestione del rischio per ridurre e gestire i rischi.
Gruppo di controllo
CID
GRM11.2
Risorse umane
Rendiconti degli asset
HRS01.1
HRS01.2
Risorse umane
Controlli dei precedenti
penali
Risorse umane
Contratti di lavoro
HRS02.1
HRS03.1
HRS03.2
HRS03.3
HRS03.4
Pagina 42 di 89
Domande sulla
valutazione del
consenso
È resa disponibile la
documentazione sul
programma di gestione
del rischio a livello
dell'intera
organizzazione?
Sono disponibili sistemi
per monitorare le
violazioni della privacy
e avvertire rapidamente
i tenant se un evento di
privacy potrebbe avere
avuto un impatto su i loro
dati?
La policy sulla privacy di
Amazon è conforme agli
standard di settore?
Ai sensi delle direttive
locali, dei regolamenti,
dell'etica e dei vincoli
contrattuali, per tutti
i candidati, gli appaltatori
e le terze parti coinvolte
vengono eseguite
verifiche sulla storia
personale?
I dipendenti ricevono
formazione specifica in
relazione al proprio ruolo
e rispetto ai controlli di
sicurezza delle
informazioni che devono
soddisfare?
La conferma di
completamento della
formazione da parte dei
dipendenti viene
documentata?
Esiste l'obbligo per tutto
il personale di firmare
accordi di riservatezza
quale condizione per il
rapporto di lavoro,
a tutela delle
informazioni dei
clienti/tenant?
Si ritiene che il positivo
completamento del
programma di
formazione entro il
tempo stabilito sia un
prerequisito per ottenere
e mantenere l'accesso
a sistemi sensibili?
Dicembre 2015
Risposta AWS
La direzione di AWS dispone di un piano aziendale strategico che
include l'identificazione del rischio e l'implementazione di controlli
che limitano o gestiscono i rischi. La direzione di AWS rivaluta il
piano aziendale strategico almeno ogni due anni. Questo processo
richiede che la direzione identifichi i rischi che rientrano nelle sue
aree di responsabilità e che implementi misure adeguate per
affrontarli.
Il programma di gestione del rischio AWS viene verificato da
revisori esterni indipendenti durante i controlli per la compliance
con gli standard PCI DSS, ISO 27001 e FedRAMP.
I clienti AWS hanno la responsabilità di monitorare il proprio
ambiente per scongiurare violazioni della privacy.
Nei rapporti AWS SOC è fornita una panoramica sui controlli
disponibili per monitorare l'ambiente gestito AWS.
AWS esegue controlli sui precedenti penali, nei limiti di quanto
ammesso dalle leggi in vigore, come parte delle pratiche preliminari
di selezione del personale, commisurati alla posizione del
dipendente e al livello di accesso alle strutture AWS.
Nei rapporti AWS SOC vengono fornite informazioni aggiuntive sui
controlli presenti per la verifica dei precedenti penali.
completano una formazione periodica basata sui ruoli che
comprende la formazione AWS sulla sicurezza e per la quale
è richiesta conferma di completamento. Vengono effettuati controlli
in materia di compliance a cadenza periodica per assicurarsi che
i dipendenti comprendano e seguano le policy definite. Per ulteriori
dettagli fare riferimento ai rapporti SOC.
Tutto il personale di supporto dei sistemi e dei dispositivi AWS deve
firmare un accordo di non divulgazione prima dell'autorizzazione
all'accesso. Inoltre, al momento dell'assunzione, il personale è tenuto
a leggere e accettare l'Acceptable Use Policy (policy di utilizzo
accettabile) e la policy Codice di condotta aziendale ed etica di Amazon.
Gruppo di controllo
CID
HRS03.5
Risorse umane
Cessazione del rapporto di
lavoro
HRS04.1
HRS04.2
Risorse umane
Dispositivi
portatili/mobili
HRS05.1
Risorse umane
Accordi di riservatezza
HRS06.1
Risorse umane
Ruoli/responsabilità
HRS07.1
Pagina 43 di 89
Domande sulla
valutazione del
consenso
Il personale riceve
un'idonea formazione
e partecipa a programmi
di sensibilizzazione
almeno una volta
all'anno?
Esistono policy,
procedure e linee guida
documentate per gestire
la variazione delle
procedure di lavoro o la
cessazione del rapporto
di lavoro?
Le suddette procedure
e linee guida
comprendono
disposizioni relative alla
tempestiva revoca degli
accessi e alla restituzione
degli asset?
e procedure e adottate
misure per limitare
rigorosamente l'accesso
ai dati sensibili AWS e ai
dati dei tenant da
dispositivi portatili
e mobili (ad es. computer
portatili, telefoni cellulari
e PDA), che sono
generalmente a più alto
rischio rispetto ai
dispositivi non portatili
(ad esempio, computer
desktop presso le
strutture
dell'organizzazione del
fornitore)?
I requisiti per gli accordi
di non divulgazione o di
riservatezza che
riflettono le esigenze
dell'organizzazione di
protezione dei dati
e i dettagli operativi sono
identificati, documentati
e riesaminati a intervalli
pianificati?
Ai tenant viene fornito un
documento di definizione
dei ruoli che chiarisce le
responsabilità
amministrative di AWS
rispetto a quelle del tenant?
Dicembre 2015
Risposta AWS
Il team delle risorse umane AWS definisce le responsabilità di
gestione interne da seguire per la cessazione e il cambio di ruolo di
dipendenti e fornitori.
Nei rapporti AWS SOC sono forniti dettagli aggiuntivi.
L'accesso è revocato automaticamente quando il profilo di un
dipendente viene eliminato dal sistema delle risorse umane di
Amazon. Quando una funzione lavorativa del dipendente cambia,
l'accesso deve essere esplicitamente approvato per la risorsa o sarà
revocato automaticamente. Nei rapporti AWS SOC vengono fornite
ulteriori informazioni sulla revoca dell'accesso utente. Ulteriori
informazioni sono inoltre fornite nel whitepaper sulla sicurezza
AWS, sezione "Employee Lifecycle" (Ciclo di vita dei dipendenti).
I clienti hanno il controllo e la responsabilità dei propri dati e degli
asset media associati. È responsabilità del cliente gestire la sicurezza
dei dispositivi mobili e l'accesso ai propri contenuti.
L'ufficio legale di Amazon gestisce e rivede periodicamente l'accordo di
riservatezza Amazon in modo da riflettere le esigenze aziendali di AWS.
Nei whitepaper AWS Cloud Security (Panoramica sulla sicurezza del
cloud AWS) e AWS Risk and Compliance (Rischio e compliance
AWS) sono forniti dettagli su ruoli e responsabilità di AWS e su
quelle dei clienti. I whitepaper sono disponibili all'indirizzo:
http://aws.amazon.com/security e
Gruppo di controllo
Risorse umane
Utilizzo accettabile
CID
HRS08.1
HRS08.2
HRS08.3
Risorse umane
Formazione/
sensibilizzazione
HRS09.1
HRS09.2
Risorse umane
Responsabilità dell'utente
HRS10.1
HRS10.2
Pagina 44 di 89
Domande sulla
valutazione del
consenso
Dicembre 2015
Risposta AWS
Viene fornita la
documentazione su come
AWS può utilizzare
o accedere ai dati e/o ai
metadati dei tenant?
Vengono raccolti o creati
metadati relativi all'uso
dei dati dei tenant
attraverso l'utilizzo di
tecnologie di ispezione
(motori di ricerca e così
via)?
Ai tenant è permesso di
scegliere di non rendere
i propri dati/metadati
accessibili tramite
tecnologie di ispezione?
AWS dispone di una policy di controllo dell'accesso che viene
revisionata e aggiornata annualmente (o quando si verificano
modifiche importanti al sistema in grado di influire sulla policy). La
policy affronta argomenti come scopo, ambito, ruoli, responsabilità
e coinvolgimento gestionale. AWS si avvale del principio del
privilegio minimo, consentendo agli utenti soltanto l'accesso
necessario per svolgere le proprie mansioni lavorative.
Viene fornito un
programma di
formazione per la
sensibilizzazione alla
sicurezza formale basato
su ruoli per i problemi di
accesso e gestione dei
dati relativi al cloud (ad
esempio, multi-tenancy,
nazionalità, implicazioni
e conflitti di interesse
della separazione dei
compiti del modello di
erogazione cloud) a tutte
le persone che hanno
accesso ai dati dei
tenant?
Gli amministratori
e i gestori dei dati sono
adeguatamente istruiti
sulle proprie
responsabilità legali in
materia di sicurezza
e integrità dei dati?
Tutti gli utenti sono
consapevoli delle proprie
responsabilità di
mantenere la
sensibilizzazione e la
conformità a policy,
procedure, standard di
sicurezza pubblicati e ai
requisiti normativi
applicabili?
completano una formazione periodica sulla sicurezza delle
informazioni per la quale è richiesta conferma di completamento.
Vengono effettuati controlli in materia di compliance a cadenza
periodica per assicurarsi che i dipendenti comprendano e seguano le
policy definite.
Gli utenti sono
responsabilità di
mantenere un ambiente
di lavoro sicuro
e protetto?
Per ulteriori informazioni fare riferimento allo standard ISO 27001
e al codice delle best practice ISO 27018. AWS è stato convalidato
l'allineamento con la certificazione ISO 27001 e ISO 27018.
Le responsabilità e i ruoli AWS vengono verificati da revisori esterni
SOC, PCI DSS, ISO 27001 e FedRAMP.
AWS ha implementato vari metodi di comunicazione interna
a livello globale per aiutare i dipendenti a comprendere i loro ruoli
e le responsabilità individuali e a comunicare eventi significativi in
modo tempestivo. Questi metodi includono programmi di
orientamento e formazione per i neo-assunti, nonché messaggi di
posta elettronica e la pubblicazione di informazioni attraverso
l'intranet di Amazon. Fare riferimento allo standard ISO 27001,
appendice A, domini 7 e 8. AWS è stato convalidato e certificato da
un revisore indipendente per confermare l'allineamento con lo
standard di certificazione ISO 27001. Il whitepaper AWS Cloud
all'indirizzo http://aws.amazon.com/security, fornisce ulteriori
informazioni.
Gruppo di controllo
CID
HRS10.3
Risorse umane
Area di lavoro
HRS11.1
HRS11.2
HRS11.3
Identity & Access
Management
Accesso agli strumenti di
controllo
Pagina 45 di 89
IAM01.1
Domande sulla
valutazione del
consenso
Gli utenti sono
responsabilità di lasciare
le apparecchiature non
presidiate in modo
sicuro?
Policy e procedure di
gestione dei dati
affrontano i conflitti di
interesse a livello di
servizio e tenant?
Policy e procedure di
gestione dei dati
comprendono una
funzione di integrità
software
o antimanomissione per
l'accesso non autorizzato
ai dati dei tenant?
L'infrastruttura di
gestione delle macchine
virtuali include una
funzione di integrità
software
o antimanomissione per
rilevare modifiche alla
build/configurazione
della macchina virtuale?
L'accesso ai sistemi di
gestione della sicurezza
delle informazioni viene
limitato, registrato
e monitorato (ad es.
hypervisor, firewall,
scanner di vulnerabilità,
sniffer di rete, API e così
via)?
Dicembre 2015
Risposta AWS
Le policy di gestione dei dati AWS sono conformi allo standard ISO
27001. Fare riferimento allo standard ISO 27001, appendice A,
domini 8 e 9. AWS è stato convalidato e certificato da un revisore
certificazione ISO 27001. Nei rapporti AWS SOC sono forniti
dettagli aggiuntivi sulle attività di controllo specifiche eseguite da
AWS per impedire l'accesso non autorizzato alle risorse AWS.
AWS ha identificato categorie di eventi revisionabili sui sistemi
e i dispositivi all'interno del sistema AWS. I team di servizio
configurano le caratteristiche di revisione per registrare in modo
continuo gli eventi relativi alla sicurezza in base ai requisiti. I record di
controllo contengono una serie di elementi che supportano i requisiti
di analisi necessari. Inoltre i record di controllo sono a disposizione
del team di sicurezza AWS o di altri team autorizzati per eseguire
ispezioni o analisi su richiesta e in risposta a eventi che riguardano la
sicurezza o che hanno un'influenza sulle attività aziendali.
In linea con gli standard ISO 27001, AWS ha definito policy formali
e procedure atte a delineare gli standard minimi per l'accesso logico
alle risorse AWS. I rapporti AWS SOC illustrano i controlli in atto
per la gestione del provisioning degli accessi alle risorse AWS.
Gruppo di controllo
CID
IAM01.2
Domande sulla
valutazione del
consenso
L'accesso con privilegi
(livello amministratore)
ai sistemi di gestione
della sicurezza delle
informazioni viene
monitorato e registrato?
Dicembre 2015
Risposta AWS
AWS ha identificato categorie di eventi revisionabili sui sistemi
e i dispositivi all'interno del sistema AWS. I team di servizio
configurano le caratteristiche di revisione per registrare in modo
continuo gli eventi relativi alla sicurezza in base ai requisiti. Il
sistema di storage del log è progettato per offrire un servizio
altamente scalabile e disponibile che aumenta in modo automatico
la capacità contemporaneamente alla crescita della richiesta di
storage del log. I record di controllo contengono una serie di
elementi che supportano i requisiti di analisi necessari. Inoltre
i record di controllo sono a disposizione del team di sicurezza AWS
o di altri team autorizzati per eseguire ispezioni o analisi su richiesta
e in risposta a eventi che riguardano la sicurezza o che hanno
un'influenza sulle attività aziendali.
Il personale incaricato che fa parte dei team AWS riceve avvisi
automatici in caso di errore di fallimento di un controllo. Errori di
fallimento di un controllo comprendono ad esempio errori
software/hardware. Quando riceve l'avviso, il personale reperibile
invia un ticket relativo al problema e segue l'evento fino alla sua
risoluzione.
Identity & Access
Management
Policy di accesso degli
utenti
IAM02.1
IAM02.2
Identity & Access
Management
Accesso porte di
diagnostica/configurazione
IAM03.1
Identity & Access
Management
Policy e procedure
IAM04.1
IAM04.2
Pagina 46 di 89
controlli per garantire la
rimozione tempestiva
dell'accesso ai sistemi
non più necessario per
motivi di lavoro?
Vengono forniti
parametri per tenere
traccia della velocità con
cui si è in grado di
rimuovere l'accesso ai
sistemi non più
necessario per motivi di
lavoro?
Vengono utilizzate reti
sicure dedicate per
fornire accesso alla
gestione per
l'infrastruttura del
servizio cloud?
È stata implementata la
gestione e l'archiviazione
dell'identità di tutto il
personale che ha accesso
all'infrastruttura IT,
compreso il livello di
accesso?
È stata implementata la
gestione e l'archiviazione
dell'identità degli utenti
che hanno accesso alla
rete, compreso il livello di
accesso?
I processi di log e monitoraggio AWS vengono verificati da revisori
Nei rapporti AWS SOC vengono fornite ulteriori informazioni sulla
revoca dell'accesso utente. Ulteriori informazioni sono inoltre
fornite nel whitepaper sulla sicurezza AWS, sezione "Employee
Lifecycle" (Ciclo di vita dei dipendenti).
I controlli esistenti limitano l'accesso ai sistemi e ai dati e prevedono
che l'accesso ai sistemi o ai dati sia limitato e monitorato secondo la
policy di accesso AWS. I dati dei clienti e le istanze server, inoltre,
sono isolati a livello logico da quelli di altri clienti per impostazione
predefinita. I controlli sugli accessi da parte di utenti con privilegi
sono verificati da un revisore indipendente durante i controlli AWS
SOC, ISO 27001, PCI, ITAR e FedRAMP.
Gruppo di controllo
CID
Identity & Access
Management
Separazione dei compiti
IAM05.1
Identity & Access
Management
Restrizione dell'accesso al
codice sorgente
IAM06.1
IAM06.2
Identity & Access
Management
Accesso di terze parti
IAM07.1
IAM07.2
IAM07.3
IAM07.4
IAM07.5
IAM07.6
IAM07.7
Identity & Access
Management
Restrizione/
autorizzazione
dell'accesso utente
Pagina 47 di 89
IAM08.1
Domande sulla
valutazione del
consenso
documentazione su come
mantenere la separazione
dei compiti all'interno
dell'offerta di servizi
cloud?
Sono presenti controlli
per impedire l'accesso
non autorizzato
all'applicazione, al
programma o al codice
sorgente oggetto e per
garantire che l'accesso sia
limitato solo al personale
autorizzato?
Sono presenti controlli
per impedire l'accesso
non autorizzato
all'applicazione, al
programma o al codice
sorgente oggetto dei
tenant e per garantire che
l'accesso sia limitato solo
al personale autorizzato?
Viene fornita la
funzionalità di disaster
recovery multi-failure?
La continuità del servizio
con i fornitori a monte
viene monitorata in caso
di inadempienza del
fornitore?
Si dispone di più di un
fornitore per ogni
servizio da cui si
dipende?
Viene fornito accesso ai
riepiloghi di continuità
e ridondanza operativa,
compresi i servizi da cui
si dipende?
Ai tenant è offerta la
possibilità di dichiarare
una situazione grave?
Viene fornita un'opzione
di failover attivata dal
tenant?
I piani di ridondanza
e continuità dell'azienda
vengono condivisi con
i tenant?
La modalità di
autorizzazione
e approvazione
dell'accesso ai dati del
tenant viene
documentata?
Dicembre 2015
Risposta AWS
I clienti mantengono la capacità di gestire le separazioni dei compiti
delle loro risorse AWS.
Internamente, AWS è conforme agli standard ISO 27001 per la gestione
della separazione dei compiti. Per ulteriori dettagli, fare riferimento allo
standard ISO 27001, appendice A, dominio 6.1. AWS è stato convalidato
e certificato da un revisore indipendente per confermare l'allineamento
con lo standard di certificazione ISO 27001.
alle risorse AWS. I rapporti SOC di AWS illustrano i controlli in atto
of Security Processes (Panoramica sulle procedure di sicurezza
e memorizzare dati all'interno di più regioni geografiche e in più
zone di disponibilità all'interno di ogni regione. Ciascuna zona di
disponibilità è progettata per essere indipendente dai guasti delle
altre zone. In caso di problemi, i processi automatizzati spostano il
traffico dati del cliente dall'area colpita. I rapporti AWS SOC
forniscono ulteriori dettagli. Per ulteriori informazioni, fare
riferimento allo standard ISO 27001, appendice A, dominio 15. AWS
è stato convalidato e certificato da un revisore indipendente per
confermare l'allineamento con la certificazione ISO 27001.
I controlli esistenti limitano l'accesso ai sistemi e ai dati e prevedono che
l'accesso ai sistemi o ai dati sia limitato e monitorato. Inoltre, i dati dei
clienti e le istanze dei server sono isolati logicamente da quelli di altri
clienti per impostazione predefinita. I controlli sugli accessi da parte di
utenti con privilegi sono verificati da un revisore indipendente durante
i controlli AWS SOC, ISO 27001, PCI, ITAR e FedRAMP.
Gruppo di controllo
Identity & Access
Management
Autorizzazione
dell'accesso utente
CID
IAM08.2
Si utilizza un metodo
specifico per allineare le
metodologie di
classificazione dei dati di
tenant e fornitore ai fini
di controllo degli accessi?
IAM09.1
La direzione esegue il
provisioning delle
autorizzazioni e delle
limitazioni dell'accesso
utente (ad es. di
dipendenti, appaltatori,
clienti (tenant), partner
commerciali e/o
fornitori) prima del loro
accesso ai dati
e a qualsiasi
applicazione, sistema
dell'infrastruttura
e componente di rete di
proprietà o gestito (fisico
e virtuale)?
Viene fornito l'accesso
utente su richiesta (ad es.
a dipendenti, appaltatori,
clienti (tenant), partner
commerciali e/o
fornitori) ai dati
e a qualsiasi
applicazione, sistema
dell'infrastruttura
e componente di rete di
proprietà o gestito (fisico
e virtuale)?
Viene richiesta almeno la
certificazione annuale dei
diritti per tutti gli utenti
e gli amministratori di
sistema (esclusivi di
utenti gestiti dai tenant)?
IAM09.2
Identity & Access
Management
Analisi degli accessi utente
IAM10.1
IAM10.2
IAM10.3
Pagina 48 di 89
Domande sulla
valutazione del
consenso
Se viene rilevato che degli
utenti non dispongono di
diritti appropriati,
vengono registrate tutte
le azioni di correzione
e di certificazione?
I rapporti di correzione
e certificazione dei diritti
utente verranno condivisi
con i tenant nel caso in
cui sia stato consentito
un accesso improprio ai
dati dei tenant?
Dicembre 2015
Risposta AWS
Gli identificatori unici dell'utente vengono creati nell'ambito del
processo del flusso di lavoro che riguarda l'inserimento del
personale all'interno del sistema di gestione delle risorse umane
AWS. Il processo di fornitura dei dispositivi aiuta a garantire
l'assegnazione di identificatori unici. Entrambi i processi
comportano l'approvazione da parte del responsabile per
determinare l'account utente sul dispositivo. Gli autenticatori iniziali
vengono assegnati direttamente all'utente e ai dispositivi nell'ambito
del processo di fornitura. Gli utenti interni possono associare le
chiavi pubbliche SSH al proprio account. Gli autenticatori
dell'account del sistema vengono assegnati al richiedente
nell'ambito del processo di creazione dell'account dopo che l'identità
del richiedente è stata verificata.
AWS dispone di controlli per gestire la minaccia di accessi non
autorizzati a informazioni privilegiate. Tutte le certificazioni e le
attestazioni di terze parti effettuano una valutazione dei controlli di
prevenzione e rilevazione degli accessi logici. Valutazioni periodiche
del rischio, inoltre, sono incentrate sulle modalità di controllo
e monitoraggio dell'accesso a informazioni privilegiate.
In linea con lo standard ISO 27001, tutte le autorizzazioni concesse
vengono riesaminate periodicamente; è richiesta l'approvazione
specifica, altrimenti l'accesso alla risorsa viene revocato
automaticamente. I controlli specifici delle analisi degli accessi
utente sono descritti specificatamente nei rapporti SOC. Le eccezioni
nei controlli dei diritti utente sono documentate nei rapporti SOC.
Gruppo di controllo
CID
Identity & Access
Management
Revoca dell'accesso utente
IAM11.1
IAM11.2
Identity & Access
Management
Credenziali ID utente
IAM12.1
IAM12.2
IAM12.3
IAM12.4
IAM12.5
Pagina 49 di 89
Domande sulla
valutazione del
consenso
Il deprovisioning, la
revoca o la modifica
tempestiva dell'accesso
utente ai sistemi delle
organizzazioni, agli asset
delle informazioni e ai
dati sono implementati
a ogni cambiamento di
stato di dipendenti,
appaltatori, clienti,
partner commerciali
o terze parti coinvolte?
Qualsiasi cambiamento
di stato dell'accesso
utente è destinato
a includere la cessazione
del rapporto di lavoro,
del contratto
o dell'accordo, il
cambiamento del posto
di lavoro o il
trasferimento all'interno
dell'organizzazione?
L'utilizzo di soluzioni
SSO (Single Sign On)
basate sul cliente,
o l'integrazione con esse,
è supportato nel servizio
offerto?
Sono utilizzati standard
aperti per delegare le
funzionalità di
autenticazione ai tenant?
Gli standard della
federazione delle identità
(SAML, SPML, WSFederation e così via)
sono supportati come
mezzo di
autenticazione/autorizza
zione degli utenti?
Si dispone di una
funzionalità Policy
Enforcement Point (ad
esempio, XACML) per far
rispettare i vincoli
giuridici regionali e delle
policy in materia di
accesso degli utenti?
sistema di gestione delle
identità (che consenta la
classificazione dei dati di
un tenant) per consentire
accesso ai dati basato sia
sul ruolo sia sul contesto?
Dicembre 2015
Risposta AWS
L'accesso è revocato automaticamente quando il profilo di un
dipendente viene eliminato dal sistema delle risorse umane di
Amazon. Quando una funzione lavorativa del dipendente cambia,
l'accesso deve essere esplicitamente approvato per la risorsa o sarà
revocato automaticamente. Nei rapporti AWS SOC vengono fornite
ulteriori informazioni sulla revoca dell'accesso utente. Ulteriori
informazioni sono inoltre fornite nel whitepaper sulla sicurezza
AWS, sezione "Employee Lifecycle" (Ciclo di vita dei dipendenti).
Il servizio AWS Identity and Access Management (IAM) fornisce la
federazione delle identità alla console di gestione AWS.
L'autenticazione a più fattori è una funzionalità opzionale
utilizzabile dai clienti. Per ulteriori dettagli, fare riferimento al sito
Web di AWS all'indirizzo http://aws.amazon.com/mfa.
Il servizio AWS Identity and Access Management (IAM) supporta la
federazione delle identità per l'accesso delegato alla console di
gestione AWS o ad API AWS. Con la federazione delle identità, le
identità esterne (utenti federati) possono accedere in modo sicuro
alle risorse dell'account AWS senza necessità di creare utenti IAM.
Tali identità esterne possono provenire dal provider delle identità
aziendali (ad es. Microsoft Active Directory oppure da AWS
Directory Service) oppure da un provider di identità Web, come
Amazon Cognito, Login with Amazon, Facebook, Google o qualsiasi
provider compatibile con OpenID Connect (OIDC).
Gruppo di controllo
CID
IAM12.6
IAM12.7
IAM12.8
IAM12.9
IAM12.10
IAM12.11
Identity & Access
Management
Accesso ai programmi di
utilità
IAM13.1
IAM13.2
IAM13.3
Pagina 50 di 89
Domande sulla
valutazione del
consenso
complesse opzioni di
autenticazione
(multifattore) (certificati
digitali, token, biometrica
e così via) per l'accesso
degli utenti?
Ai tenant è permesso
utilizzare servizi di
garanzia delle identità di
terze parti?
È supportata
l'applicazione di policy
relative alle password
(lunghezza minima,
durata, cronologia,
complessità) e al blocco
degli account (limite per
il blocco, durata del
blocco)?
Si consente ai
tenant/clienti di definire
policy relative alle
password e al blocco
degli account per i propri
account?
È supportata la
possibilità di forzare
modifiche delle password
alla prima connessione?
meccanismi di sblocco
degli account che sono
stati bloccati (ad es. selfservice tramite e-mail,
domande di recupero
definite, sblocco
manuale)?
I programmi di utilità in
grado di gestire in modo
significativo le partizioni
virtualizzate (ad es.
arresto, clone e così via)
sono limitati e monitorati
in modo appropriato?
È possibile rilevare gli
attacchi che prendono di
mira direttamente
l'infrastruttura virtuale
(ad es. shimming, Blue
Pill, Hyper jumping
e così via)?
Gli attacchi che prendono
di mira l'infrastruttura
virtuale vengono
prevenuti con controlli
tecnici?
Dicembre 2015
Risposta AWS
AWS Identity and Access Management (IAM) consente ai clienti di
controllare in modo sicuro l'accesso ai servizi e alle risorse AWS per
gli utenti. Ulteriori informazioni su IAM sono disponibili nel sito
Web, all'indirizzo https://aws.amazon.com/iam/. Nei rapporti AWS
SOC sono forniti dettagli sulle attività di controllo specifiche
eseguite da AWS.
In linea con gli standard ISO 27001, le utilità di sistema sono
opportunamente limitate e monitorate. Nei rapporti AWS SOC sono
forniti dettagli sulle attività di controllo specifiche eseguite da AWS.
Gruppo di controllo
Sicurezza
infrastrutturale e della
virtualizzazione
Log di
controllo/rilevamento
delle intrusioni
CID
IVS01.1
IVS01.2
IVS01.3
IVS01.4
IVS01.5
Domande sulla
valutazione del
consenso
strumenti di rilevamento
delle intrusioni di rete
(IDS) e di integrità dei
file (host) per facilitare il
rilevamento tempestivo,
le indagini tramite analisi
delle cause principali e la
risposta agli eventi
imprevisti?
L'accesso utente fisico
e logico ai log di controllo
è limitato al personale
autorizzato?
Si può dimostrare che
è stata eseguita la
mappatura di due
diligence dei regolamenti
e degli standard per
controlli/architettura/
processi?
I log di controllo sono
archiviati e conservati
centralmente?
I log di controllo sono
verificati periodicamente
per individuare eventi
legati alla sicurezza (ad
es. con strumenti
automatizzati)?
Dicembre 2015
Risposta AWS
Il programma di risposta agli incidenti AWS (rilevamento, indagine
e risposta agli incidenti) è stato sviluppato in conformità allo standard
ISO 27001 e le utilità di sistema sono opportunamente limitate
e monitorate. Nei rapporti AWS SOC vengono fornite ulteriori
informazioni sui controlli esistenti per limitare l'accesso al sistema.
In linea con gli standard ISO 27001, i sistemi informatici di AWS
utilizzano orologi interni al sistema sincronizzati tramite NTP
(Network Time Protocol). AWS è stato convalidato e certificato da
un revisore indipendente per confermare l'allineamento con lo
standard di certificazione ISO 27001.
AWS utilizza sistemi di monitoraggio automatizzati per offrire un
alto livello di prestazioni e disponibilità del servizio. Il monitoraggio
proattivo è disponibile attraverso una varietà di strumenti online sia
per uso interno che per uso esterno. I sistemi all'interno di AWS
sono altamente strumentati per monitorare i parametri operativi
chiave. Gli allarmi sono configurati in modo da inviare notifiche al
personale che si occupa del funzionamento e della gestione nel
momento in cui vengono superate le soglie di notifica sui parametri
operativi chiave. Viene utilizzata una pianificazione della reperibilità
in modo che il personale sia sempre disponibile per rispondere ai
problemi operativi. Questa pianificazione comprende un sistema
cercapersone in modo che gli allarmi siano comunicati in modo
rapido e affidabile al personale operativo.
Sicurezza
virtualizzazione
Rilevazione delle
modifiche
Pagina 51 di 89
IVS02.1
Sono disponibili log
e avvisi per le eventuali
modifiche apportate alle
immagini di macchine
virtuali,
indipendentemente dal
loro stato di
funzionamento (ad es.
inattive, spente
o operative)?
Ai clienti vengono assegnate macchine virtuali nell'ambito del
servizio EC2. I clienti mantengono il controllo su quali risorse
vengono utilizzate e su dove le risorse risiedono. Per ulteriori
dettagli, fare riferimento al sito Web di AWS all'indirizzo
http://aws.amazon.com.
Gruppo di controllo
CID
IVS02.2
Sicurezza
virtualizzazione
Sincronizzazione
dell'orologio
IVS03.1
Sicurezza
virtualizzazione
Pianificazione di
capacità/risorse
IVS04.1
IVS04.2
IVS04.3
IVS04.4
Sicurezza
virtualizzazione
Gestione - gestione delle
vulnerabilità
IVS05.1
Domande sulla
valutazione del
consenso
Le modifiche apportate
alle macchine virtuali o lo
spostamento di
un'immagine e la
successiva convalida
dell'integrità
dell'immagine sono resi
immediatamente
disponibili ai clienti
tramite mezzi elettronici
(ad es. portali o avvisi)?
Viene utilizzato un
protocollo servizio-tempo
sincronizzato (ad es.
NTP) per garantire che
tutti i sistemi abbiano un
riferimento temporale
comune?
Viene fornita la
documentazione relativa
ai livelli di richieste in
eccesso dei sistemi (ad
esempio rete, storage,
memoria, I/O e così via)
gestiti e in quali
circostanze/scenari?
Viene limitato l'utilizzo
delle capacità di richieste
di memoria in eccesso
presenti nell'hypervisor?
I requisiti di capacità del
sistema tengono conto
delle esigenze di capacità
attuali, previste
e anticipate di tutti
i sistemi utilizzati per
fornire i servizi ai tenant?
Si esegue il monitoraggio
e l'ottimizzazione delle
prestazioni del sistema
per soddisfare in maniera
continuativa i requisiti
normativi, contrattuali
e aziendali di tutti
i sistemi utilizzati per
fornire servizi ai tenant?
Si dispone di strumenti
o servizi di valutazione
delle vulnerabilità di
sicurezza che tengano
conto delle tecnologie di
virtualizzazione in uso
(ad es. ottimizzati per la
virtualizzazione)?
Dicembre 2015
Risposta AWS
In linea con gli standard ISO 27001, i sistemi informatici di AWS
utilizzano orologi interni al sistema sincronizzati tramite NTP
(Network Time Protocol).
AWS è stato convalidato e certificato da un revisore indipendente per
confermare l'allineamento con lo standard di certificazione ISO 27001.
Per ulteriori informazioni sui limiti dei servizi AWS e su come
richiedere un aumento per servizi specifici, consultare il sito Web di
AWS all'indirizzo
http://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html.
AWS gestisce i dati di capacità e utilizzo in conformità allo standard
ISO 27001. AWS è stato convalidato e certificato da un revisore
Attualmente, Amazon EC2 utilizza una versione dell'hypervisor Xen
con elevata personalizzazione. L'hypervisor viene sottoposto
a valutazioni regolari sulle vulnerabilità nuove ed esistenti e sui vettori
di attacco da parte di team di intrusione interni ed esterni ed è idoneo
a mantenere un forte isolamento tra macchine virtuali ospiti. La
sicurezza dell'hypervisor AWS Xen viene verificata regolarmente da
revisori indipendenti durante valutazioni e controlli.
Le scansioni per individuare vulnerabilità interne ed esterne
vengono eseguite sul sistema operativo host, sull'applicazione Web
e sui database nell'ambiente AWS utilizzando diversi strumenti. Le
procedure di scansione e correzione delle vulnerabilità vengono
revisionate periodicamente nell'ambito della compliance continua
AWS con gli standard PCI DSS e FedRAMP.
Pagina 52 di 89
Gruppo di controllo
Sicurezza
virtualizzazione
Sicurezza di rete
CID
IVS06.1
IVS06.2
IVS06.3
IVS06.4
Sicurezza
virtualizzazione
Protezione avanzata del
sistema operativo
e controlli base
IVS07.1
Sicurezza
virtualizzazione
Ambienti di produzione/non
destinati alla produzione
IVS08.1
Pagina 53 di 89
Domande sulla
valutazione del
consenso
Per l'offerta IaaS, ai
clienti viene fornita una
guida su come creare
un'architettura di
sicurezza stratificata
equivalente utilizzando la
soluzione virtualizzata?
Vengono eseguiti
aggiornamenti periodici
dei diagrammi
dell'architettura di rete
che includono i flussi di
dati tra domini/zone di
sicurezza?
Viene eseguita una
verifica periodica
dell'adeguatezza degli
accessi/connettività
consentiti (ad es. regole
del firewall) tra
domini/zone di sicurezza
all'interno della rete?
Si dispone di una
documentazione delle
liste di controllo accessi
al firewall con adeguata
giustificazione?
Si dispone di una
protezione avanzata per
i sistemi operativi che
consenta di fornire solo le
porte, i protocolli
e i servizi necessari
a soddisfare le esigenze
aziendali, con l'utilizzo di
controlli tecnici (ossia
e ntivirus, monitoraggio
dell'integrità dei file
e log) facenti parte del
loro standard o modello
baseline?
Per le offerte SaaS
o PaaS, ai tenant vengono
forniti ambienti separati
per i processi di
produzione e test?
Dicembre 2015
Risposta AWS
Il sito Web AWS fornisce una guida sulla creazione di
un'architettura di sicurezza stratificata in diversi whitepaper
disponibili tramite il sito Web AWS pubblico:
http://aws.amazon.com/documentation/.
I dispositivi di protezione perimetrale che impiegano set di regole,
liste di controllo accessi e configurazioni controllano il flusso di
informazioni tra i fabric di rete.
Amazon dispone di numerosi fabric di rete, ognuno separato da
dispositivi che controllano il flusso di informazioni tra i fabric, che
viene definito da autorizzazioni approvate, sotto forma di liste di
controllo accessi (ACL), che a loro volta si trovano all'interno dei
dispositivi. Questi dispositivi controllano il flusso di informazioni tra
i fabric come ordinato dalle liste. Le liste di controllo accessi sono
definite e approvate dal personale preposto e gestite e distribuite
utilizzando lo strumento di gestione ACL AWS.
Il team della sicurezza delle informazioni di Amazon approva queste
ACL. I set di regole sul firewall approvate e le liste di controllo
accessi tra i fabric di rete limitano il flusso di informazioni ai servizi
specifici del sistema informatico. Le liste di controllo accessi e i set
di regole vengono verificati e approvati e trasmessi periodicamente
in modo automatico ai dispositivi di protezione perimetrale (almeno
ogni 24 ore) per garantire l'aggiornamento dei set di regole e delle
liste di controllo accessi.
La gestione della rete AWS viene verificata da revisori indipendenti
di terze parti nell'ambito della compliance con gli standard SOC,
PCI DSS, ISO 27001 e FedRAMP.
AWS implementa il privilegio minimo nei componenti
dell'infrastruttura. AWS proibisce tutte le porte e i protocolli che
non hanno uno scopo aziendale specifico. AWS segue un approccio
rigoroso all'implementazione minima esclusivamente delle
caratteristiche e delle funzioni essenziali per l'utilizzo del
dispositivo. Viene eseguita la scansione della rete e le porte
o protocolli in uso non necessari vengono corretti.
Le scansioni per individuare vulnerabilità interne ed esterne
vengono eseguite sul sistema operativo host, sull'applicazione Web
e sui database nell'ambiente AWS utilizzando diversi strumenti. Le
procedure di scansione e correzione delle vulnerabilità vengono
revisionate periodicamente nell'ambito della compliance continua
AWS con gli standard PCI DSS e FedRAMP.
I clienti AWS mantengono la capacità e la responsabilità di creare
e gestire ambienti di produzione e di test. Il sito Web AWS fornisce
una guida sulla creazione di un ambiente utilizzando i servizi AWS:
http://aws.amazon.com/documentation/.
Gruppo di controllo
CID
IVS08.2
IVS08.3
Sicurezza
virtualizzazione
Segmentazione
IVS09.1
IVS09.2
IVS09.3
IVS09.4
Sicurezza
virtualizzazione
Sicurezza VM - Protezione
dei dati vMotion
IVS10.1
IVS10.2
Pagina 54 di 89
Domande sulla
valutazione del
consenso
Per l'offerta IaaS, ai
tenant viene fornita una
guida su come creare
ambienti di produzione
e test adeguati?
Viene effettuata la
separazione logica e fisica
per garantire la
separazione degli
e non destinati alla
produzione?
Gli ambienti di rete e di
sistema sono protetti da
un firewall o un firewall
virtuale per soddisfare
i requisiti di sicurezza di
azienda e cliente?
virtuale per soddisfare
i requisiti legislativi,
normativi e contrattuali?
un firewall o firewall
virtuale per garantire la
separazione degli
e non destinati alla
produzione?
virtuale per garantire la
protezione e l'isolamento
dei dati sensibili?
Si utilizzano canali di
comunicazione protetti
e crittografati per la
migrazione di server
fisici, applicazioni o dati
nei server virtuali?
Si utilizza una rete
separata dalle reti
impiegate per la
produzione, ai fini della
migrazione di server
fisici, applicazioni o dati
nei server virtuali?
Dicembre 2015
Risposta AWS
I clienti AWS mantengono la responsabilità di gestire la propria
segmentazione di rete conformemente ai requisiti definiti.
Internamente, la segmentazione di rete AWS è conforme agli
standard ISO 27001. Per ulteriori informazioni, fare riferimento allo
standard ISO 27001, appendice A, dominio 13. AWS è stato
AWS permette ai clienti di utilizzare i propri meccanismi di
crittografia per quasi tutti i servizi, inclusi S3, EBS ed EC2. Anche le
sessioni VPC sono crittografate.
AWS offre ai clienti la possibilità di gestire e sviluppare ambienti di
produzione e non destinati alla produzione. È responsabilità del
cliente assicurarsi che i propri dati di produzione non vengano
replicati in ambienti non destinati alla produzione.
Gruppo di controllo
CID
Sicurezza
virtualizzazione
Sicurezza VMM Protezione avanzata
dell'hypervisor
IVS11.1
Sicurezza
virtualizzazione
Sicurezza wireless
IVS12.1
IVS12.2
IVS12.3
Pagina 55 di 89
Domande sulla
valutazione del
consenso
Si limita l'accesso del
personale a tutte le
funzioni di gestione
dell'hypervisor o alle
console di
amministrazione dei
sistemi che ospitano
sistemi virtualizzati sulla
base del principio del
privilegio minimo e con
l'ausilio di controlli
tecnici (ad es.
autenticazione a due
fattori, audit trail, filtro
degli indirizzi IP, firewall
e comunicazioni con
incapsulamento TLS per
le console di
amministrazione)?
e procedure e sono stati
configurati
e implementati
meccanismi per la
protezione del perimetro
dell'ambiente di rete
wireless e per limitare il
traffico wireless non
autorizzato?
implementati
meccanismi per garantire
l'attivazione delle
impostazioni di sicurezza
wireless con crittografia
avanzata per
l'autenticazione e la
trasmissione, in
sostituzione delle
impostazioni predefinite
del fornitore (ad
esempio, chiavi di
crittografia, password,
stringhe community
SNMP)?
implementati
meccanismi per
proteggere gli ambienti di
rete wireless e rilevare la
presenza di dispositivi di
rete non autorizzati
(rogue) per una
disconnessione
tempestiva dalla rete?
Dicembre 2015
Risposta AWS
AWS si avvale del principio del privilegio minimo, consentendo agli
utenti soltanto l'accesso necessario per svolgere le proprie mansioni
lavorative. Gli account utente vengono creati per disporre
dell'accesso minimo. Per accedere a livelli superiori rispetto a quello
minimo è necessario ottenere l'autorizzazione adeguata. Per
maggiori informazioni sui controlli sugli accessi fare riferimento ai
rapporti AWS SOC.
Sono presenti policy, procedure e meccanismi per proteggere
l'ambiente di rete AWS.
I controlli di sicurezza AWS vengono verificati da revisori esterni
Gruppo di controllo
Sicurezza
virtualizzazione
Architettura di rete
CID
IVS13.1
IVS13.2
Interoperabilità
e portabilità
API
IPY01
Interoperabilità
e portabilità
Richiesta dati
IPY02
Interoperabilità
e portabilità
Policy e aspetti legali
IPY03.1
IPY03.2
Interoperabilità
e portabilità
Protocolli di rete
standardizzati
Pagina 56 di 89
IPY04.1
Domande sulla
valutazione del
consenso
I diagrammi
dell'architettura di rete
identificano chiaramente
gli ambienti ad alto
rischio e i flussi di dati
che potrebbero avere
ripercussioni sulla
conformità legale?
Sono state applicate
misure e tecniche
difensive valide (ad es.
analisi approfondita dei
pacchetti, limitazione del
traffico e blackholing) per
il rilevamento e la
reazione tempestiva ad
attacchi basati sulla rete
associati a modelli
anomali di traffico in
ingresso e in uscita (ad
es. attacchi MAC
spoofing e ARP
poisoning) e/o attacchi
Distributed Denial of
Service (DDoS)?
Viene pubblicato un elenco
di tutte le API disponibili
nel servizio, con
l'indicazione di quali sono
standard e di quali sono
invece personalizzate?
I dati non strutturati dei
clienti sono disponibili su
richiesta in un formato
standard del settore (ad
es. .doc, .xls o .pdf)?
Vengono fornite policy
e procedure (ossia
contratti sul livello di
servizio) che disciplinano
l'utilizzo delle API ai fini
dell'interoperabilità tra il
servizio AWS e le
applicazioni di terze parti?
Vengono fornite policy
e procedure (ossia
contratti sul livello di
servizio) che disciplinano
la migrazione dei dati
delle applicazioni da
e verso il servizio?
È possibile importare ed
esportare dati e gestire
servizi su protocolli di
rete standardizzati,
accettati nel settore
e sicuri (ad esempio, con
testo crittografato
e autenticazione)?
Dicembre 2015
Risposta AWS
I clienti AWS mantengono la responsabilità di gestire la propria
segmentazione di rete conformemente ai requisiti definiti.
Internamente, la segmentazione di rete AWS è conforme allo
standard ISO 27001. AWS è stato convalidato e certificato da un
AWS Security esegue scansioni regolari di tutti gli indirizzi IP
dell'endpoint del servizio connessi a Internet per individuare le
vulnerabilità (tali scansioni non includono le istanze dei clienti).
AWS Security notifica alle parti interessate le eventuali vulnerabilità
identificate a cui è necessario porre rimedio. Vengono inoltre
eseguite valutazioni di vulnerabilità alle minacce esterne da parte di
società indipendenti operanti nel settore della sicurezza. I risultati di
tali valutazioni e le relative raccomandazioni sono categorizzati
e forniti alla direzione di AWS.
Inoltre, l'ambiente di controllo AWS è soggetto a periodiche
valutazioni del rischio interne ed esterne. AWS collabora con organi
di certificazione esterni e revisori indipendenti per verificare
e testare l'ambiente di controllo AWS nel suo insieme.
I controlli di sicurezza AWS vengono verificati da revisori esterni
Per ulteriori informazioni sulle API AWS, consultare il sito Web di
AWS all'indirizzo https://aws.amazon.com/documentation/.
alle risorse AWS. I rapporti AWS SOC illustrano i controlli in atto
I clienti detengono il controllo e la proprietà dei propri contenuti.
I clienti possono scegliere come migrare le applicazioni e i contenuti
da e verso la piattaforma AWS, a loro discrezione.
AWS permette ai clienti di spostare i dati all'interno e fuori dallo
storage AWS in base alle necessità. Per ulteriori informazioni sulle
opzioni di storage, fare riferimento a
http://aws.amazon.com/choosing-a-cloud-platform.
Gruppo di controllo
CID
IPY04.2
Interoperabilità
e portabilità
Virtualizzazione
IPY05.1
IPY05.2
Sicurezza dei
dispositivi mobili
Anti-malware
MOS01
Sicurezza dei
dispositivi mobili
Store di applicazioni
MOS02
Sicurezza dei
dispositivi mobili
Applicazioni approvate
MOS03
Sicurezza dei
dispositivi mobili
Software approvato per
BYOD
MOS04
Pagina 57 di 89
Domande sulla
valutazione del
consenso
Ai clienti (tenant) viene
fornita una
documentazione che
descriva nei dettagli gli
standard dei protocolli di
rete pertinenti relativi
a interoperabilità
e portabilità?
Per garantire
l'interoperabilità si
utilizzano una
piattaforma di
virtualizzazione
riconosciuta dal settore
e formati di
virtualizzazione standard
(ad esempio, OVF)?
I clienti hanno la
possibilità di esaminare
le modifiche
personalizzate
e documentate apportate
agli hypervisor in uso
e tutti i punti di aggancio
per la virtualizzazione
specifici per soluzione?
La formazione di
sensibilizzazione alla
sicurezza delle
informazioni include una
formazione anti-malware
specifica per dispositivi
mobili?
Gli elenchi di store
approvati di applicazioni
per dispositivi mobili che
accedono ai dati e/o ai
sistemi aziendali ed
effettuano operazioni di
archiviazione sono
documentati
e disponibili?
È presente una
funzionalità Policy
Enforcement Point (ad
esempio, XACML) per
garantire che sui
dispositivi mobili
vengano caricate solo le
applicazioni e i relativi
store approvati?
La policy e la formazione
per BYOD (Bring Your
Own Device) indicano
con precisione quali
applicazioni e relativi
store sono approvati per
i dispositivi BYOD?
Dicembre 2015
Risposta AWS
Attualmente, Amazon EC2 utilizza una versione dell'hypervisor Xen
con elevata personalizzazione. L'hypervisor viene sottoposto
a valutazioni regolari sulle vulnerabilità nuove ed esistenti e sui
vettori di attacco da parte di team di intrusione interni ed esterni ed
è idoneo a mantenere un forte isolamento tra macchine virtuali
ospiti. La sicurezza dell'hypervisor AWS Xen viene verificata
regolarmente da revisori indipendenti durante valutazioni
e controlli. Per ulteriori dettagli, fare riferimento al whitepaper AWS
software antivirus/malware sono conformi agli standard ISO 27001.
Per ulteriori informazioni, fare riferimento allo standard ISO 27001,
appendice A, dominio 12.
AWS ha stabilito un framework e policy di sicurezza delle
informazioni e ha efficacemente integrato il framework certificabile
ISO 27001 basato sui controlli ISO 27002, sui criteri Trust Services
Principles dell'American Institute of Certified Public Accountants
(AICPA), sul PCI DSS v3.1 e sulla National Institute of Standards
and Technology (NIST) Publication 800-53 (Recommended Security
Controls for Federal Information Systems).
Gruppo di controllo
CID
Sicurezza dei
dispositivi mobili
Sensibilizzazione
e formazione
MOS05
Sicurezza dei
dispositivi mobili
Servizi basati sul cloud
MOS06
Sicurezza dei
dispositivi mobili
Compatibilità
MOS07
Sicurezza dei
dispositivi mobili
Idoneità dei dispositivi
MOS08
Sicurezza dei
dispositivi mobili
Inventario dei dispositivi
MOS09
Sicurezza dei
dispositivi mobili
Gestione dei dispositivi
MOS10
Sicurezza dei
dispositivi mobili
Crittografia
MOS11
Pagina 58 di 89
Domande sulla
valutazione del
consenso
La formazione per
i dipendenti include una
policy documentata sui
dispositivi mobili che
indica con precisione sia
i dispositivi mobili che
i requisiti e l'utilizzo
accettato per tali
dispositivi?
È disponibile un elenco
documentato di servizi
preapprovati basati su
cloud che è consentito
utilizzare per gestire
e archiviare dati aziendali
sui dispositivi mobili?
processo di convalida
delle applicazioni
documentato per testare
dispositivi, sistemi
operativi e compatibilità
delle applicazioni?
È presente una policy
BYOD che indica
i dispositivi e i requisiti
di idoneità per l'utilizzo
BYOD?
Viene mantenuto un
inventario di tutti
i dispositivi mobili
utilizzati per archiviare
e accedere ai dati
aziendali che includa lo
stato dei dispositivi
(sistema operativo
e livelli di patch,
dispositivi persi
o disattivati, assegnatari
dei dispositivi)?
È presente una soluzione
di gestione centralizzata
dei dispositivi mobili
distribuita su tutti
i dispositivi mobili
autorizzati ad archiviare,
trasmettere o elaborare
i dati aziendali?
La policy sui dispositivi
mobili richiede l'utilizzo
della crittografia, per
l'intero dispositivo o per
i dati considerati
sensibili, applicabile
mediante controlli
tecnologici per tutti
i dispositivi mobili?
Dicembre 2015
Risposta AWS
Gruppo di controllo
Sicurezza dei
dispositivi mobili
Jailbreak e root
CID
MOS12.1
MOS12.2
Sicurezza dei
dispositivi mobili
Note legali
MOS13.1
MOS13.2
Sicurezza dei
dispositivi mobili
Schermata di blocco
MOS14
Sicurezza dei
dispositivi mobili
Sistemi operativi
MOS15
Sicurezza dei
dispositivi mobili
Password
MOS16.1
MOS16.2
Pagina 59 di 89
Domande sulla
valutazione del
consenso
La policy sui dispositivi
mobili vieta la
circonvenzione dei
controlli di sicurezza
integrati nei dispositivi
mobili (ad esempio,
jailbreak o root)?
I dispositivi o il sistema
dei dispositivi
dispongono di controlli di
prevenzione e rilevazione
che impediscono la
circonvenzione dei
integrati?
La policy BYOD indica
con precisione le
aspettative relative
a privacy, requisiti in caso
di contenzioso,
E-Discovery
e conservazione a fini
legali?
I dispositivi o il sistema
dei dispositivi
dispongono di controlli di
prevenzione e rilevazione
che impediscono la
circonvenzione dei
integrati?
Per i dispositivi BYOD
e aziendali è richiesta
e attivata una schermata
di blocco automatica
gestita da controlli
tecnici?
Tutte le modifiche
apportate ai sistemi
operativi, ai livelli di
patch e alle applicazioni
dei dispositivi mobili
vengono amministrate
mediante processi
aziendali di gestione delle
modifiche?
Si dispone di policy sulle
password per i dispositivi
mobili aziendali e/o
BYOD?
Le policy sulle password
vengono applicate
mediante controlli tecnici
(ad esempio, MDM)?
Dicembre 2015
Risposta AWS
Gruppo di controllo
CID
MOS16.3
Sicurezza dei
dispositivi mobili
Policy
MOS17.1
MOS17.2
MOS17.3
Sicurezza dei
dispositivi mobili
Cancellazione remota dei
contenuti
MOS18.1
MOS18.2
Sicurezza dei
dispositivi mobili
Patch di sicurezza
MOS19.1
MOS19.2
Sicurezza dei
dispositivi mobili
Utenti
MOS20.1
MOS20.2
Pagina 60 di 89
Domande sulla
valutazione del
consenso
Le policy sulle password
vietano di modificare
i requisiti di
autenticazione (ad
esempio, lunghezza di
password/PIN) mediante
dispositivi mobili?
È presente una policy che
richiede agli utenti BYOD
di eseguire il backup di
determinati dati
aziendali?
di vietare l'utilizzo di
store di applicazioni non
approvati?
di utilizzare software
anti-malware (se
supportato)?
Il reparto IT è in grado di
eseguire la cancellazione,
anche remota, dei dati
aziendali su tutti
i dispositivi BYOD
accettati dall'azienda?
Il reparto IT è in grado di
eseguire la cancellazione,
anche remota, dei dati
aziendali su tutti
i dispositivi BYOD
assegnati dall'azienda?
Nei dispositivi mobili
sono state installate le
patch di sicurezza più
aggiornate dopo il
rilascio generale da parte
del produttore o del
carrier dei dispositivi?
I dispositivi mobili
consentono la convalida
remota per permettere al
personale IT dell'azienda
di scaricare le patch di
sicurezza più aggiornate?
La policy BYOD specifica
i sistemi e i server che
i dispositivi BYOD
possono utilizzare e a cui
sono autorizzati ad
accedere?
La policy BYOD specifica
i ruoli utente autorizzati
a eseguire l'accesso
mediante dispositivi
BYOD?
Dicembre 2015
Risposta AWS
Gruppo di controllo
CID
Gestione degli
incidenti di sicurezza,
E-Discovery e Cloud
Forense
Mantenimento dei contatti
con le autorità
SEF01.1
Gestione degli
E-Discovery e Cloud
Forense
Gestione degli incidenti
SEF02.1
SEF02.2
SEF02.3
SEF02.4
Gestione degli
E-Discovery e Cloud
Forense
Segnalazione degli
incidenti
SEF03.1
SEF03.2
Gestione degli
E-Discovery e Cloud
Forense
Aspetti giuridici della
risposta agli incidenti
SEF04.1
SEF04.2
SEF04.3
Pagina 61 di 89
Domande sulla
valutazione del
consenso
Vengono mantenuti
rapporti e punti di
contatto con gli enti
locali, conformemente ai
contratti e alla normativa
pertinente?
Si dispone di un piano di
intervento documentato
per gli incidenti di
sicurezza?
Le esigenze
personalizzate dei tenant
vengono integrate nei
piani di risposta agli
incidenti di sicurezza?
Viene pubblicato un
documento su ruoli
e responsabilità in cui
sono specificate le
proprie responsabilità
e quelle dei tenant in caso
di incidenti di sicurezza?
I piani di risposta agli
incidenti di sicurezza sono
stati sottoposti a test
durante l'ultimo anno?
Il sistema SIEM (Security
Information and Event
Management) unisce le
origini dati (log app, log
firewall, log IDS, log
accessi fisici e così via)
per l'analisi granulare
e gli avvisi?
Il framework di log
e monitoraggio consente
l'isolamento di un
incidente a tenant
specifici?
Il piano di risposta agli
incidenti è conforme agli
standard di settore per
i processi e i controlli di
gestione della catena di
custodia giuridicamente
ammissibili?
La capacità di risposta
agli incidenti comprende
l'uso di tecniche di
raccolta e analisi dei dati
forensi giuridicamente
ammissibili?
È possibile supportare
i contenziosi
(congelamento dei dati
da un determinato
momento) per un tenant
specifico senza congelare
i dati degli altri tenant?
Dicembre 2015
Risposta AWS
AWS mantiene contatti con organismi di settore, organizzazioni che
operano nell'ambito del rischio e della compliance, enti locali
e organismi di regolamentazione, come prescritto dallo standard
ISO 27001.
I piani, le procedure e il programma di risposta agli incidenti AWS sono
stati sviluppati in conformità allo standard ISO 27001. AWS è stato
Nei rapporti AWS SOC sono forniti dettagli aggiuntivi sulle attività
di controllo specifiche eseguite da AWS. Tutti i dati archiviati da
AWS per conto dei clienti dispongono di solide funzionalità di
sicurezza e controllo dell'isolamento dei tenant.
Ulteriori informazioni sono fornite nel whitepaper AWS Cloud
Security (Panoramica sulla sicurezza del cloud AWS) disponibile
Gruppo di controllo
CID
SEF04.4
Gestione degli
E-Discovery e Cloud
Forense
Parametri di risposta agli
incidenti
SEF05.1
Gestione della catena
di fornitura,
trasparenza
e responsabilità
Qualità e integrità dei dati
STA01.1
SEF05.2
STA01.2
di fornitura,
trasparenza
e responsabilità
Segnalazione degli
incidenti
STA02.1
di fornitura,
trasparenza
e responsabilità
Servizi infrastrutturali/
di rete
STA03.1
di fornitura,
trasparenza
e responsabilità
Valutazioni interne dei
fornitori
STA04.1
Pagina 62 di 89
STA03.2
Domande sulla
valutazione del
consenso
La separazione dei dati
dei tenant viene applicata
e attestata durante la
produzione di dati in
risposta a citazioni legali?
Tipi, volumi e impatti
vengono monitorati
e quantificati su tutti gli
incidenti di sicurezza
informatica?
I dati statistici sugli
incidenti della sicurezza
delle informazioni
vengono condivisi con
i tenant su richiesta?
L'azienda esamina e si
assume la responsabilità
dei problemi legati alla
qualità dei dati e i relativi
rischi e collabora con
i partner della catena di
fornitura cloud per
risolverli?
Sono stati definiti
e implementati obiettivi
di controllo per ridurre
e contenere i rischi legati
alla sicurezza dei dati
mediante una corretta
separazione di compiti,
accessi basati sui ruoli
e accessi con privilegi
minimi per tutto il
personale coinvolto nella
catena di fornitura?
Le informazioni sugli
incidenti legati alla
sicurezza vengono messe
periodicamente
a disposizione di tutti
i clienti e i fornitori
interessati tramite mezzi
elettronici (ad esempio,
portali)?
Vengono raccolti dati su
capacità e utilizzo per
tutti i componenti
rilevanti del servizio
cloud offerto?
Ai tenant vengono forniti
i rapporti su utilizzo
e pianificazione della
capacità?
Si eseguono valutazioni
interne annuali della
conformità e dell'efficacia
di policy, procedure
e misure e parametri
a supporto?
Dicembre 2015
Risposta AWS
I parametri di sicurezza AWS sono monitorati e analizzati in conformità
allo standard ISO 27001. Per ulteriori dettagli, fare riferimento allo
standard ISO 27001, appendice A, dominio 16. AWS è stato convalidato
e certificato da un revisore indipendente per confermare l'allineamento
con lo standard di certificazione ISO 27001.
I clienti detengono il controllo e la proprietà della qualità dei propri
dati e dei potenziali problemi di qualità che possono sorgere durante
l'utilizzo dei servizi AWS.
Per informazioni dettagliate su integrità dei dati e gestione
dell'accesso (incluso l'accesso con privilegi minimi), fare riferimento
al rapporto AWS SOC
I piani, le procedure e il programma di risposta agli incidenti AWS
sono stati sviluppati in conformità allo standard ISO 27001. Nei
rapporti AWS SOC sono forniti dettagli sulle attività di controllo
specifiche eseguite da AWS.
Per ulteriori informazioni, fare riferimento al whitepaper AWS
AWS gestisce i dati di capacità e utilizzo in conformità allo standard
ISO 27001. AWS è stato convalidato e certificato da un revisore
Il team della catena di approvvigionamento e fornitura AWS
mantiene i rapporti con tutti i fornitori AWS.
Gruppo di controllo
CID
di fornitura,
trasparenza
e responsabilità
Accordi con terzi
STA05.1
STA05.2
STA05.3
I fornitori di outsourcing
sono selezionati
e monitorati in
conformità con la
legislazione del paese in
cui i dati vengono
elaborati, memorizzati
e trasmessi?
I fornitori di outsourcing
sono selezionati
e monitorati in conformità
con la legislazione del
paese in cui sono stati
originati i dati?
L'ufficio legale esamina
tutti gli accordi con terze
parti?
STA05.4
Gli accordi con terze parti
includono la garanzia di
sicurezza e protezione di
informazioni e asset?
STA05.5
Ai client vengono forniti
elenchi e copie sempre
aggiornati di tutti gli
accordi secondari di
trattamento?
Viene effettuato il
controllo dei processi di
governance e gestione dei
rischi dei partner per
verificare i rischi ereditati
da altri membri della
catena di fornitura di tali
partner?
Sono stata stabilite policy
implementati processi
aziendali e misure
tecniche a supporto per
mantenere accordi
completi, accurati
e rilevanti (ad esempio,
SLA, Service Level
Agreement, contratto sul
livello di servizio) tra
fornitori e clienti
(tenant)?
È possibile rilevare
e risolvere i problemi di
non conformità delle
disposizioni e/o dei
termini lungo l'intera
catena di fornitura
(a monte/a valle)?
È possibile gestire
conflitti o incoerenze
a livello di servizio
derivanti dai rapporti con
diversi fornitori?
di fornitura,
trasparenza
e responsabilità
Revisioni della
governance della catena
di fornitura
STA06.1
di fornitura,
trasparenza
e responsabilità
Parametri della catena di
fornitura
STA07.1
STA07.2
STA07.3
Pagina 63 di 89
Domande sulla
valutazione del
consenso
Dicembre 2015
Risposta AWS
I requisiti di sicurezza del personale per i fornitori di terze parti che
supportano sistemi e dispositivi AWS sono stabiliti in un accordo di
non divulgazione reciproco tra l'organizzazione padre di AWS,
Amazon.com e il rispettivo fornitore terzo. L'ufficio legale di
Amazon e l'ufficio acquisti di AWS definiscono i requisiti del
personale per i fornitori terzi AWS in accordi contrattuali con il
fornitore terzo. Tutte le persone che lavorano con le informazioni
AWS devono come minimo superare il processo di selezione per
i controlli preliminari sui precedenti penali e firmare un accordo di
non divulgazione prima di poter essere autorizzate ad accedere alle
informazioni AWS.
AWS generalmente non esternalizza lo sviluppo di servizi AWS
a subappaltatori.
AWS sottoscrive accordi formali con i principali fornitori di terze parti
e implementa appropriati meccanismi di gestione dei rapporti in linea
con le relazioni con l'azienda. I processi AWS per la gestione di terze
parti vengono verificati da revisori indipendenti nell'ambito della
compliance continua di AWS con gli standard SOC e ISO 27001.
Gruppo di controllo
di fornitura,
trasparenza
e responsabilità
Valutazione di terze parti
CID
STA07.4
Accordi, policy e processi
vengono revisionati
almeno una volta l'anno?
STA08.1
Viene garantita una
ragionevole sicurezza
delle informazioni lungo
la relativa catena di
fornitura mediante
l'esecuzione di una
verifica annuale?
La verifica annuale
include tutti
i partner/fornitori di
terze parti da cui la
catena di fornitura
dipende?
eseguire valutazioni
indipendenti della
vulnerabilità?
STA8.2
di fornitura,
trasparenza
e responsabilità
Controlli di terze parti
Gestione di minacce e
vulnerabilità
Software
antivirus/malware
STA09.1
STA09.2
Vengono fatte eseguire
a servizi di terze parti
esterni scansioni di
vulnerabilità e test di
intrusione periodici su
applicazioni e reti?
TVM01.1
Sono stati installati su
tutti i sistemi programmi
anti-malware che
supportano o si
connettono ai servizi
cloud offerti?
Ci si assicura che
i sistemi di rilevamento
delle minacce alla
sicurezza che utilizzano
firme, elenchi o modelli
di comportamento siano
aggiornati su tutti
i componenti
dell'infrastruttura entro
intervalli di tempo
accettati nel settore?
Vengono eseguite
periodicamente scansioni
di vulnerabilità a livello
di rete come prescritto
dalle best practice di
settore?
Vengono eseguite
di applicazione come
prescritto dalle best
practice di settore?
TVM01.2
vulnerabilità
Gestione
patch/vulnerabilità
TVM02.1
TVM02.2
Pagina 64 di 89
Domande sulla
valutazione del
consenso
Dicembre 2015
Risposta AWS
I clienti possono chiedere l'autorizzazione a eseguire scansioni della
propria infrastruttura cloud, purché i controlli siano limitati alle istanze
del cliente e non violino l'Acceptable Use Policy (policy di utilizzo
accettabile) di AWS. Per ottenere la preventiva approvazione per questo
tipo di scansioni è necessario inviare una richiesta utilizzando il modulo
di richiesta del Test di vulnerabilità/intrusione di AWS.
AWS Security chiede periodicamente a imprese che operano nel
settore della sicurezza di eseguire valutazioni di vulnerabilità alle
minacce esterne. Nei rapporti AWS SOC sono forniti dettagli
aggiuntivi sulle attività di controllo specifiche eseguite da AWS.
software antivirus/malware sono conformi agli standard ISO 27001.
Ulteriori dettagli sono disponibili nei rapporti AWS SOC.
I clienti mantengono il controllo dei propri sistemi operativi,
software e applicazioni guest e sono responsabili dell'esecuzione
delle scansioni di vulnerabilità e dell'applicazione delle patch ai
propri sistemi. I clienti possono chiedere l'autorizzazione a eseguire
scansioni della propria infrastruttura cloud, purché i controlli siano
limitati alle istanze del cliente e non violino l'Acceptable Use Policy
(policy di utilizzo accettabile) di AWS. AWS Security esegue
scansioni regolari di tutti gli indirizzi IP dell'endpoint del servizio
connessi a Internet per individuare le vulnerabilità. AWS Security
notifica alle parti interessate le eventuali vulnerabilità identificate
a cui è necessario porre rimedio. La manutenzione e l'applicazione
di patch ai sistemi AWS non ha, in genere, alcun impatto sui clienti.
Gruppo di controllo
CID
TVM02.3
TVM02.4
TVM02.5
TVM02.6
vulnerabilità
Codice mobile
TVM03.1
TVM03.2
Pagina 65 di 89
Domande sulla
valutazione del
consenso
Vengono eseguite
di sistema operativo
locale come prescritto
dalle best practice di
settore?
I risultati delle scansioni
di vulnerabilità saranno
messi a disposizione dei
tenant su richiesta?
È possibile correggere
rapidamente le
vulnerabilità attraverso
tutti i dispositivi
informatici, le
applicazioni e i sistemi?
Ai tenant saranno forniti
su richiesta gli intervalli
di tempo basati sul
rischio per l'applicazione
di patch ai sistemi?
Il codice mobile è stato
autorizzato prima
dell'installazione
e dell'utilizzo e la
configurazione del codice
è stata verificata per
assicurarsi che il codice
mobile autorizzato
funzioni secondo una
politica di sicurezza
chiaramente definita?
È stata impedita
l'esecuzione di tutto il
codice mobile
autorizzato?
Dicembre 2015
Risposta AWS
Per ulteriori informazioni, fare riferimento al whitepaper AWS
disponibile all'indirizzo http://aws.amazon.com/security. Per
ulteriori dettagli, fare riferimento allo standard ISO 27001,
AWS permette ai clienti di gestire le applicazioni client e mobili sulla
base dei propri requisiti.
Dicembre 2015
Appendice B: Conformità di AWS conConformità di AWS con il
Cloud Computing Security Considerations dell'Australian Signals
Directorate (ASD)
Il Cloud Computing Security Consideration è stato creato per aiutare le agenzie nella valutazione del rischio dei
servizi offerti dai provider di servizi cloud. I seguenti punti illustrano la conformità AWS al Cloud Computing
Security Consideration pubblicato nel settembre del 2012. Per ulteriori dettagli fare riferimento a:
http://www.asd.gov.au/publications/csocprotect/Cloud_Computing_Security_Considerations.pdf.
Area chiave
Manteniment
o della
disponibilità
e della
funzionalità
aziendale
Domande
a. Criticità aziendale dei
dati o delle funzionalità.
Sto spostando dati
o funzionalità aziendali di
importanza critica nel
cloud?
b. Piano di Business
Continuity e disaster
recovery del fornitore.
Posso esaminare con
attenzione una copia del
piano di Business
Continuity e disaster
recovery che copre la
disponibilità e il ripristino
dei dati e dei servizi
utilizzati offerti dal
fornitore? Dopo quanto
tempo a partire dal
disastro i dati e i servizi
utilizzati vengono
ripristinati e i clienti del
fornitore che dispongono
di più risorse e pagano
cifre più alte hanno
priorità rispetto a me?
RISPOSTA AWS
I clienti AWS detengono il controllo e la proprietà dei propri contenuti.
I clienti sono responsabili della classificazione e dell'utilizzo dei propri
contenuti.
I clienti AWS detengono il controllo e la proprietà dei propri dati. AWS offre
ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati
all'interno di più regioni geografiche e in più zone di disponibilità all'interno
di ogni regione. Ciascuna zona di disponibilità è progettata per essere
indipendente dai guasti delle altre zone. In caso di problemi, i processi
automatizzati spostano il traffico dati del cliente dall'area colpita.
Il rapporto AWS SOC 1 di tipo 2 fornisce ulteriori dettagli. Per ulteriori
informazioni, fare riferimento allo standard ISO 27001, appendice A,
dominio 11.2. AWS è stato convalidato e certificato da un revisore
indipendente per confermare l'allineamento con la certificazione ISO 27001.
I clienti utilizzano AWS per attuare un disaster recovery più rapido dei
propri sistemi IT di importanza critica senza dover sostenere le spese
infrastrutturali di una seconda sede fisica. Il cloud AWS supporta diverse
architetture per disaster recovery (DR) molto utilizzate, dagli ambienti
"pilot light" pronti a estendersi senza necessità di preavviso fino agli
ambienti "hot standby" che consentono un failover rapido. Per ulteriori
informazioni sulle procedure di disaster recovery di AWS visitare
https://aws.amazon.com/disaster-recovery/.
AWS offre ai clienti la possibilità di implementare un solido piano di
continuità, che comprende l'utilizzo di backup frequenti delle istanze del
server, repliche dei dati e architetture di distribuzione multi
regionale/a zona di disponibilità. AWS offre ai clienti la flessibilità
necessaria per avviare istanze e memorizzare dati all'interno di più regioni
geografiche e in più zone di disponibilità all'interno di ogni regione.
Ciascuna zona di disponibilità è progettata per essere indipendente dai
guasti delle altre zone. In caso di problemi, i processi automatizzati
spostano il traffico dati del cliente dall'area colpita.
ambientali. La protezione fisica adottata da AWS contro i rischi ambientali
è stata convalidata da un revisore indipendente e ne è stata certificata la
conformità con le best practice ISO 27002. Per ulteriori informazioni fare
riferimento allo standard ISO 27001, appendice A dominio 9.1 e al
rapporto AWS SOC 1 di tipo II.
Pagina 66 di 89
Area chiave
Domande
c. Il mio piano di backup
dati. Devo sostenere
ulteriori spese per
mantenere una copia di
backup aggiornata dei miei
dati custodita presso la
sede della mia agenzia
o archiviata da un secondo
fornitore che non ha
singoli punti di
vulnerabilità in comune
con il primo fornitore?
d. Il mio piano di business
continuity e disaster
recovery. Devo sostenere
ulteriori spese per replicare
i miei dati o la funzionalità
aziendale con un secondo
fornitore che utilizza un
data center diverso e che
non ha singoli punti di
vulnerabilità in comune
con il primo fornitore?
Questa replica dovrebbe
essere preferibilmente
configurata per la
procedura automatica di
"failover", in modo che
quando i servizi di un
fornitore non sono
disponibili, il controllo
viene trasferito
automaticamente e senza
problemi all'altro fornitore.
Pagina 67 di 89
Dicembre 2015
RISPOSTA AWS
I clienti AWS detengono il controllo e la proprietà dei propri contenuti ed
è responsabilità dei clienti gestire i propri piani di backup dei dati.
utilizzando dispositivi di storage portatili per il trasporto. AWS consente ai
clienti di eseguire i backup su nastro utilizzando il proprio fornitore di
servizi di backup su nastro. Tuttavia, AWS non fornisce il servizio di
backup su nastro. Il servizio Amazon S3 è stato progettato per ridurre
pressoché a zero il rischio di perdita di dati e la durabilità equivalente
a copie multisito degli oggetti dati è ottenuta tramite la ridondanza dello
storage dei dati. Per informazioni sulla durabilità dei dati e la ridondanza
consultare il sito Web AWS.
AWS offre una gamma di servizi di cloud computing per supportare la
procedura di disaster recovery. Per ulteriori informazioni sulle procedure
di disaster recovery di AWS, visitare https://aws.amazon.com/disasterrecovery/.
I clienti detengono il controllo e la proprietà dei propri dati. I clienti
possono esportare le proprie AMI e utilizzarle localmente o presso un altro
fornitore (soggetto alle limitazioni di licenza del software). Per ulteriori
dettagli, fare riferimento al whitepaper AWS Overview of Security
Processes (Panoramica sulle procedure di sicurezza AWS), disponibile
backup su nastro.
I data center AWS costruiti in cluster in diverse regioni globali. Tutti i data
center sono online e al servizio dei clienti; nessun data center
è inutilizzato. In caso di problemi, i processi automatizzati spostano il
traffico dati del cliente dall'area colpita. Le applicazioni strategiche sono
distribuite seguendo una configurazione N+1, in questo modo in caso di
problemi al data center viene garantita una capacità sufficiente per
permettere al traffico di essere distribuito sui siti rimanenti. AWS offre ai
clienti la flessibilità necessaria per avviare istanze e memorizzare dati
all'interno di più regioni geografiche e in più zone di disponibilità
all'interno di ogni regione. Ciascuna zona di disponibilità è progettata per
essere indipendente dai guasti delle altre zone. Questo significa che le zone
di disponibilità sono fisicamente separate all'interno di una regione
metropolitana e sono situate su piane alluvionali a basso rischio (la
categorizzazione specifica delle zone alluvionali varia in base alla regione).
Oltre ai gruppi di continuità separati e alle strutture di generazione del
backup in loco, ciascuna zona viene alimentata attraverso reti diverse da
fornitori indipendenti in modo da ridurre ulteriormente i singoli punti di
vulnerabilità. Le zone di disponibilità sono tutte collegate in modo
ridondante a diversi fornitori di collegamento di primo livello. I clienti
dovrebbero pianificare l'utilizzo di AWS in modo da sfruttare le diverse
regioni e zone di disponibilità. La distribuzione delle applicazioni su
diverse zone di disponibilità offre la capacità di rimanere operativi anche
in situazioni fortemente problematiche, come quelle legate ai disastri
naturali o alle vulnerabilità del sistema.
Area chiave
Domande
e. La mia connettività di
rete sul cloud. La
connettività di rete tra gli
utenti della mia agenzia
e la rete del fornitore
è appropriata in termini di
disponibilità, throughput
di traffico (larghezza della
banda), ritardi (latenza)
e perdita dei pacchetti?
f. Garanzia di disponibilità
da parte del fornitore. Il
servizio (SLA, Service Level
Agreement) garantisce che
il fornitore offra una
disponibilità del sistema
e una qualità del servizio
appropriate, utilizzando la
robusta architettura del
sistema e i processi
aziendali?
Dicembre 2015
RISPOSTA AWS
Il rapporto AWS SOC 1 di tipo 2 fornisce ulteriori dettagli. Per ulteriori
informazioni, fare riferimento allo standard ISO 27001, appendice A,
dominio 11.2. AWS è stato convalidato e certificato da un revisore
indipendente per confermare l'allineamento con la certificazione ISO 27001.
I clienti possono scegliere il percorso di rete per le strutture AWS, inclusi
endpoint VPN in ogni regione AWS. Inoltre, AWS Direct Connect rende
facile stabilire una connessione di rete dedicata dalla propria sede ad
AWS. Utilizzando AWS Direct Connect è possibile stabilire una
connettività privata tra AWS e il data center, ufficio o ambiente di
colocation. In molti casi, questo permette di ridurre i costi di rete,
aumentare il throughput della larghezza di banda e offrire un'esperienza di
rete più uniforme rispetto alle connessioni basate su Internet.
Per ulteriori dettagli, fare riferimento al whitepaper AWS Overview of
Security Processes (Panoramica sulle procedure di sicurezza AWS),
Nei contratti sul livello di servizio AWS si impegna a offrire alti livelli di
disponibilità. Amazon EC2, ad esempio, si impegna a offrire una
percentuale di tempo di operatività annuale di almeno il 99,95% durante
l'anno di servizio. Amazon S3 si impegna a offrire una percentuale di
tempo di operatività mensile di almeno 99,99%. Vengono emessi dei
crediti di servizio nel caso in cui tali parametri di disponibilità non
vengano soddisfatti.
I clienti dovrebbero pianificare l'utilizzo di AWS in modo da sfruttare le
diverse regioni e zone di disponibilità. La distribuzione delle applicazioni
su diverse zone di disponibilità offre la capacità di rimanere operativi
anche in situazioni fortemente problematiche, come quelle legate ai
disastri naturali o alle vulnerabilità del sistema.
AWS utilizza sistemi di monitoraggio automatizzati per offrire un alto
livello di prestazioni e disponibilità del servizio. Il monitoraggio proattivo
è disponibile attraverso una varietà di strumenti online sia per uso interno
che per uso esterno. I sistemi all'interno di AWS sono altamente
strumentati per monitorare i parametri operativi chiave. Gli allarmi sono
configurati in modo da inviare notifiche al personale che si occupa del
funzionamento e della gestione nel momento in cui vengono superate le
soglie di notifica sui parametri operativi chiave. Viene utilizzata una
pianificazione della reperibilità in modo che il personale sia sempre
disponibile per rispondere ai problemi operativi. Questa pianificazione
comprende un sistema cercapersone in modo che gli allarmi siano
comunicati in modo rapido e affidabile al personale operativo.
La gestione della rete AWS viene verificata da revisori indipendenti di
terze parti nell'ambito della compliance con gli standard SOC, PCI DSS,
ISO 27001 e FedRAMPsm.
Pagina 68 di 89
Area chiave
Pagina 69 di 89
Domande
g. Impatto delle
interruzioni. Posso
tollerare l'interruzione
massima possibile prevista
dal contratto sul livello di
servizio? Le finestre di
interruzione programmata
sono accettabili sia in
termini di durata, sia di
orario, oppure le
interruzioni programmate
interferiranno con i miei
processi aziendali
fondamentali?
h. Inclusione nel contratto
sul livello di servizio delle
interruzioni programmate.
La percentuale di
disponibilità garantita nel
servizio include le
interruzioni programmate?
i. Risarcimento previsto
dal contratto sul livello di
servizio. Il contratto sul
livello di servizio rispecchia
in modo adeguato il danno
reale causato da una
violazione del contratto
stesso, ad esempio per
un'interruzione imprevista
o per la perdita dei dati?
Dicembre 2015
RISPOSTA AWS
Non occorre che i sistemi siano offline affinché AWS possa eseguire la
manutenzione ordinaria e l'applicazione di patch ai sistemi. La manutenzione
e l'applicazione di patch ai sistemi AWS non ha, in genere, alcun impatto sui
clienti. La manutenzione delle istanze è controllata dal cliente.
Poiché offre ai clienti la possibilità di pianificare il proprio ambiente in
modo da sfruttare le diverse regioni e zone di disponibilità, AWS non
gestisce un ambiente con interruzioni programmate.
AWS prevede la remunerazione dei clienti per le perdite che possono
verificarsi a causa di interruzioni in linea con il contratto sul livello di servizio.
Area chiave
Domande
j. Integrità e disponibilità
dei dati. In che modo il
fornitore implementa
meccanismi quali la
ridondanza o i backup
offsite per evitare la
corruzione o la perdita dei
dati e garantirne l'integrità
e la disponibilità?
Dicembre 2015
RISPOSTA AWS
I controlli dell'integrità dei dati AWS descritti nel rapporto AWS SOC 1 di
tipo II offrono una ragionevole garanzia che l'integrità dei dati venga
mantenuta in tutte le fasi, comprese trasmissione, storage ed elaborazione.
Per ulteriori informazioni, fare inoltre riferimento allo standard ISO
27001, appendice A, dominio 12.2. AWS è stato convalidato e certificato da
un revisore indipendente per confermare l'allineamento con lo standard di
I data center sono costruiti in cluster in diverse regioni globali. AWS offre
ai clienti la flessibilità necessaria per avviare istanze e memorizzare dati
all'interno di più regioni geografiche e in più zone di disponibilità
all'interno di ogni regione. I clienti dovrebbero pianificare l'utilizzo di
AWS in modo da sfruttare le diverse regioni e zone di disponibilità.
È possibile scegliere dove archiviare i propri dati specificando una regione
(per Amazon S3) o una zona di disponibilità all'interno di una regione (per
EBS). Nell'ambito del normale funzionamento dei servizi e senza ulteriori
costi, per i dati archiviati in Amazon Elastic Block Store (Amazon EBS)
è prevista la ridondanza in diverse località fisiche. Tuttavia, l'archiviazione
della replica offerta da Amazon EBS avviene nella stessa zona di
disponibilità, non in più zone.
Amazon S3 fornisce un'infrastruttura di storage estremamente durevole. Gli
oggetti sono archiviati in modo ridondante su più dispositivi, in più
strutture di una regione Amazon S3. Una volta effettuato lo storage, Amazon
S3 preserva la durabilità degli oggetti individuando e riparando l'eventuale
ridondanza andata perduta. Amazon S3, inoltre, verifica periodicamente
l'integrità dei dati archiviati con l'ausilio di checksum. Gli eventuali elementi
danneggiati individuati vengono riparati con i dati ridondanti. I dati
archiviati in S3 sono pensati per offrire una durabilità del 99,999999999%
e una disponibilità degli oggetti del 99,99% in un dato anno.
k. Ripristino dei dati. Se
per errore vengono
eliminati file, email o altri
dati, quanto tempo occorre
perché siano ripristinati
dal backup in tutto o in
parte? Inoltre, il tempo
massimo accettabile
è incluso nel contratto sul
livello di servizio?
l. Scalabilità. Quante
risorse di elaborazione
libere e disponibili mette
a disposizione il fornitore
per consentire di usare
i suoi servizi in modo
scalabile con breve
preavviso?
Pagina 70 di 89
I clienti AWS detengono il controllo e la proprietà dei propri dati. AWS
offre ai clienti la flessibilità necessaria per avviare istanze e memorizzare
dati all'interno di più regioni geografiche e in più zone di disponibilità
all'interno di ogni regione.
Il cloud AWS è distribuito, altamente sicuro e resiliente, così da offrire ai
clienti una scalabilità elevata. I clienti possono ampliare o diminuire le
risorse, pagando solo ciò che utilizzano.
Area chiave
Pagina 71 di 89
Domande
m. Cambio del fornitore.
Se un cliente intendesse
trasferire i propri dati alla
propria agenzia o a un
fornitore diverso, o se il
fornitore dovesse fallire
all'improvviso o lasciasse
per altre ragioni l'attività
cloud, in che modo
potrebbe accedere ai dati
in formato neutro per
evitare blocchi specifici del
fornitore? Quanta
collaborazione offrirà il
fornitore? Come è possibile
accertarsi che i dati
vengano eliminati in modo
definitivo dai supporti di
storage del fornitore? Per
quanto riguarda il servizio
Platform-as-a-Service,
quali sono gli standard
applicati dal fornitore per
agevolare la portabilità
e l'interoperabilità e per
trasferire in modo semplice
le applicazioni a un
fornitore diverso
o all'agenzia?
Dicembre 2015
RISPOSTA AWS
I clienti detengono il controllo e la proprietà dei propri dati. I clienti
possono esportare le proprie AMI e utilizzarle localmente o presso un altro
fornitore (soggetto alle limitazioni di licenza del software). Per ulteriori
dettagli, fare riferimento al whitepaper AWS Overview of Security
Processes (Panoramica sulle procedure di sicurezza AWS), disponibile
backup su nastro.
Area chiave
Protezione dei
dati da accessi
non
autorizzati di
terze parti
Domande
a. Scelta del modello di
distribuzione del cloud. Si
sta prendendo in
considerazione l'idea di
usare un cloud pubblico
potenzialmente meno
sicuro, un cloud ibrido o di
community potenzialmente
più sicuro o quello
potenzialmente più sicuro
di tutti, ovvero un cloud
privato?
Dicembre 2015
RISPOSTA AWS
I team Sicurezza e compliance di AWS hanno stabilito delle policy e una
struttura di sicurezza delle informazioni basate sul framework Control
Objectives for Information and related Technology (COBIT). Il framework
di sicurezza AWS integra le best practice ISO 27002 e lo standard PCI
Data Security.
http://aws.amazon.com/security. AAWS fornisce direttamente ai clienti
coperti dall'accordo di riservatezza attestazioni di terze parti,
certificazioni, il rapporto Service Organization Controls 1 (SOC 1) di tipo II
e altri rapporti di compliance.
Amazon Virtual Private Cloud (Amazon VPC) consente di fornire una
sezione del cloud Amazon Web Services (AWS) isolata a livello logico dove
è possibile lanciare le risorse AWS in una rete virtuale definita dall'utente.
Quest'ultimo ha il controllo completo dell'ambiente di rete virtuale, che
include la selezione di una gamma di indirizzi IP, la creazione di subnet
e la configurazione di tabelle di routing e gateway di rete. Personalizzare la
configurazione di rete di Amazon VPC è molto semplice. Ad esempio
è possibile creare una subnet pubblica con accesso a Internet per i server
Web e posizionare i sistemi di backend, come i database o i server delle
applicazioni, in una subnet privata senza accesso a Internet. Per
controllare gli accessi alle istanze di Amazon EC2 in ogni subnet, l'utente
ha a disposizione diversi livelli di sicurezza, compresi security group ed
elenchi di controllo per l'accesso alla rete.
Inoltre può creare una connessione VPN (Virtual Private Network)
hardware tra il data center aziendale e VPC, sfruttando quindi il cloud
AWS come fosse un'estensione dello stesso data center aziendale.
b. Sensibilità dei dati. I dati
da archiviare o elaborare
nel cloud sono riservati,
sensibili o privati oppure
sono dati disponibili
pubblicamente, come le
informazioni del sito Web
pubblico? Una volta
aggregati, i dati diventano
più sensibili di quanto lo
siano singolarmente? Ad
esempio, la sensibilità può
aumentare in caso di
archiviazione di dati in
grande quantità oppure di
una serie di dati che, se
compromessi, potrebbero
agevolare un furto
d'identità. Se i dati
vengono compromessi,
è possibile dimostrare alla
direzione, ai funzionari
governativi e al pubblico di
aver applicato la due
diligence?
Pagina 72 di 89
I clienti AWS detengono il controllo e la proprietà dei propri dati
e possono implementare un programma strutturato di classificazione dei
dati per soddisfare i propri requisiti.
Area chiave
Pagina 73 di 89
Domande
c. Obblighi di legge. Quali
sono gli obblighi
dell'utente in termini di
protezione e gestione dei
dati ai sensi di diverse
normative, ad esempio il
Privacy Act o l'Archives
Act, nonché di altre
normative specifiche per il
tipo di dati? Il fornitore
accetta per contratto di
ottemperare a tali obblighi
per aiutare il cliente
a garantirne il rispetto così
da soddisfare il governo
australiano?
d. Paesi con accesso ai miei
dati. In quali paesi viene
eseguita l'archiviazione, il
backup e l'elaborazione dei
dati? In quali paesi
stranieri transitano i dati?
In quali paesi si trovano
i data center ridondanti
o di failover? Qualora le
risposte a queste domande
dovessero cambiare, il
fornitore invierà una
notifica all'utente?
Dicembre 2015
RISPOSTA AWS
Spetta sempre ai clienti AWS la responsabilità di garantire che il proprio
uso di AWS sia conforme alle leggi e alle norme vigenti. AWS comunica ai
clienti informazioni sul proprio ambiente di sicurezza e controllo tramite
certificazioni del settore e attestazioni di terze parti, whitepaper
(disponibili all'indirizzo http://aws.amazon.com/security) e fornendo
certificazioni, rapporti e altra documentazione pertinente direttamente ai
clienti AWS.
AWS ha pubblicato un whitepaper sull'uso di AWS nel contesto delle
considerazioni sulla privacy in Australia, disponibile qui.
I clienti AWS possono scegliere la regione o le regioni in cui verranno
ubicati i propri contenuti e server. Ciò consente agli utenti con specifiche
esigenze geografiche di stabilire gli ambienti in una località a scelta.
I clienti AWS in Australia possono scegliere di distribuire i propri servizi
AWS esclusivamente nella regione Asia Pacifico (Sydney) e archiviare
i propri contenuti sul suolo australiano. Effettuata questa scelta,
i contenuti saranno posti in Australia a meno che il cliente non scelga di
spostare i dati. I clienti possono riprodurre i contenuti ed eseguirne il
backup in diverse regioni; AWS non sposta né replica i contenuti del
cliente al di fuori delle regioni che lo stesso ha scelto.
AWS vigila sulla sicurezza dei clienti e non divulga né sposta i dati in
risposta a richieste del governo australiano, degli Stati Uniti o di altri paesi,
a meno che questa azione sia legalmente richiesta per ottemperare a un
ordine valido e vincolante dal punto di vista legale, ad esempio una citazione
o un'ordinanza del tribunale, o sia altrimenti prevista dalla legge vigente. Gli
enti governativi o normativi non statunitensi, in genere, devono utilizzare
procedimenti internazionali riconosciuti, quali i trattati di mutua assistenza
giudiziaria con il governo degli Stati Uniti, per avanzare ordini validi
e vincolanti. È inoltre nostra prassi, ove possibile, avvisare il cliente prima di
divulgarne i contenuti per dargli l'opportunità di richiederne il fermo,
a meno che ci sia legalmente vietato agire in questo modo.
Area chiave
Domande
e. Tecnologie di crittografia
dei dati. Algoritmi di
hashing e di crittografia
e lunghezze della chiave
sono considerati
appropriati dall'ISM del
DSD utilizzato per
proteggere i dati quando
transitano su una rete
e vengono archiviati sui
computer e sui supporti di
backup del fornitore? La
tecnologia che consente di
crittografare i dati durante
la loro elaborazione da
parte dei computer del
fornitore è ancora agli
albori ed è un'area su cui
attualmente si concentrano
le ricerche settoriali
e accademiche. La
crittografia è considerata
abbastanza efficace per
proteggere i dati durante il
periodo di tempo in cui
questi sono sensibili?
f. Sterilizzazione dei
supporti. Quali processi
vengono messi in atto per
sterilizzare i supporti di
storage su cui erano
archiviati i dati, alla fine
della loro vita utile?
I processi in questione sono
considerati appropriati
dall'ISM del DSD?
Pagina 74 di 89
Dicembre 2015
RISPOSTA AWS
AWS consente ai clienti di utilizzare i propri meccanismi di crittografia per
quasi tutti i servizi, inclusi S3, EBS, SimpleDB ed EC2. Anche le sessioni
VPC sono crittografate. Amazon S3 offre inoltre, come opzione per
i clienti, la crittografia lato server. I clienti possono utilizzare anche
tecnologie di crittografia di terze parti. Internamente, AWS stabilisce
e gestisce le chiavi crittografiche per i processi di crittografia impiegati
all'interno dell'infrastruttura AWS. AWS produce, controlla e distribuisce
chiavi crittografiche simmetriche all'interno del sistema informatico AWS
utilizzando la tecnologia e i processi di gestione delle chiavi approvati dal
NIST. Un sistema di gestione sicuro delle chiavi e delle credenziali
sviluppato da AWS viene utilizzato per creare, proteggere e distribuire
chiavi simmetriche e per la sicurezza e la distribuzione di: credenziali AWS
richieste sugli host, chiavi pubbliche/private RSA e certificazioni X.509.
I processi crittografici AWS vengono verificati da revisori indipendenti di
terze parti nell'ambito della compliance continua con gli standard SOC,
PCI DSS, ISO 27001 e FedRAMPsm.
Il servizio AWS CloudHSM consente di proteggere le chiavi crittografiche
all'interno di HSM progettati e convalidati secondo gli standard
governativi per la gestione sicura delle chiavi. È possibile generare,
archiviare e gestire in modo sicuro le chiavi crittografiche usate per la
crittografia dei dati, in modo che siano accessibili solo all'utente. AWS
CloudHSM consente di rispettare requisiti severi in materia di gestione
delle chiavi senza sacrificare le prestazioni delle applicazioni.
Il servizio AWS CloudHSM funziona insieme ad Amazon Virtual Private
Cloud (VPC). Il provisioning dei modelli CloudHSM avviene all'interno
della VPC dell'utente con un indirizzo IP da questi specificato. Il risultato
è una connessione di rete semplice e privata alle proprie istanze di
Amazon Elastic Compute Cloud (EC2). Il posizionamento dei CloudHSM
vicino alle istanze EC2 riduce la latenza della rete, con conseguente
possibile miglioramento delle prestazioni dell'applicazione. AWS offre un
accesso dedicato ed esclusivo a CloudHSM, isolato rispetto agli altri clienti
AWS. Disponibile in più regioni e zone di disponibilità, AWS CloudHSM
consente di aggiungere alle applicazioni Amazon EC2 funzionalità di
storage delle chiavi sicure e durevoli.
Quando un dispositivo di storage raggiunge la fine della sua vita utile,
le procedure AWS includono un processo di disattivazione progettato per
impedire che i dati del cliente siano accessibili a persone non autorizzate.
AWS utilizza le tecniche riportate in dettaglio nel DoD 5220.22-M
800-88 ("Guidelines for Media Sanitization") per distruggere i dati come
parte del processo di disattivazione. Se non è possibile disattivare un
dispositivo hardware mediante queste procedure, il dispositivo sarà
smagnetizzato o distrutto fisicamente in linea con le procedure standard
del settore. Per ulteriori dettagli, fare riferimento al whitepaper AWS
Overview of Security Processes (Panoramica sulle procedure di sicurezza
Area chiave
Pagina 75 di 89
Domande
g. Monitoraggio e gestione
in remoto da parte del
fornitore. Il fornitore
monitora, amministra
o gestisce i computer su cui
sono archiviati o vengono
elaborati i dati? In caso
affermativo, queste
operazioni vengono
eseguite in remoto da paesi
stranieri o dall'Australia?
Il fornitore è in grado di
fornire i rapporti sulla
compliance delle patch
e altri dettagli relativi alla
sicurezza delle workstation
utilizzate per queste
operazioni, nonché sui
controlli che impediscono
ai dipendenti del fornitore
di utilizzare computer
portatili personali non
affidabili?
h. Monitoraggio e gestione
da parte dell'utente.
È possibile utilizzare
i propri strumenti esistenti
per il controllo
dell'integrità e della
compliance, per il
monitoraggio della
sicurezza e la gestione di
rete, nonché per ottenere
visibilità sui propri sistemi,
indipendentemente
dall'ubicazione in sede
o nel cloud di questi
ultimi? È necessario
imparare a usare altri
strumenti offerti dal
fornitore? Il fornitore offre
un simile sistema per
consentire il monitoraggio
da parte dell'utente?
i. Proprietà dei dati. La
proprietà legale dei dati
rimane dell'utente o passa
al fornitore? Eventuali
liquidatori possono
considerare i dati come
asset destinato alla
vendita, se il fornitore
dichiara fallimento?
Dicembre 2015
RISPOSTA AWS
La transizione dell'infrastruttura IT ai servizi AWS crea un modello di
Shared Responsibility tra il cliente e AWS. Tale modello condiviso può
contribuire a ridurre l'onere operativo del cliente, dato che AWS rende
operativi, gestisce e controlla tutti i componenti, dal sistema operativo
host al layer di virtualizzazione fino alla sicurezza fisica delle strutture in
cui operano i servizi. Il cliente si assume la responsabilità della gestione
del sistema operativo guest (con relativi aggiornamenti e patch di
sicurezza), dell'altro software applicativo associato e della configurazione
del security group firewall fornito da AWS.
AWS CloudWatch assicura il monitoraggio delle risorse cloud AWS e delle
applicazioni eseguite dai clienti su AWS. Per ulteriori dettagli, fare riferimento
alla pagina aws.amazon.com/cloudwatch. AWS pubblica inoltre le
informazioni più aggiornate relative alla disponibilità del servizio sul pannello
di controllo stato servizi. Fare riferimento a status.aws.amazon.com.
AWS Trusted Advisor analizza l'ambiente AWS e fornisce suggerimenti nel
caso in cui vi siano opportunità di risparmiare denaro, migliorare le
prestazioni o l'affidabilità del sistema o colmare le lacune legate alla sicurezza.
I clienti AWS detengono la proprietà e il controllo dei propri dati. AWS
utilizza i contenuti di ogni cliente solo per fornire al cliente stesso i servizi
AWS che ha selezionato. I contenuti dei clienti non vengono utilizzati per
altri scopi. AWS tratta allo stesso modo tutti i contenuti dei clienti e non
ha modo di vedere che tipo di contenuti il cliente sceglie di archiviare in
AWS. AWS rende semplicemente disponibili servizi di calcolo, storage,
database e reti selezionati dal cliente: non ha necessità di accedere ai
contenuti del cliente per fornire i propri servizi.
Area chiave
Domande
j. Tecnologie per i gateway.
Quali tecnologie usa il
fornitore per creare un
ambiente di gateway
sicuro? Ecco alcuni esempi:
firewall, filtri per il flusso di
traffico, filtri per i contenuti
e, se appropriato, software
antivirus e data diode.
k. Certificazione dei
gateway. L'ambiente
gateway del fornitore
è certificato rispetto agli
standard e alle normative
del governo sulla
sicurezza?
l. Filtro dei contenuti
e-mail. Per il servizio
Software-as-a-Service, il
fornitore ha previsto un
sistema di filtro
personalizzabile dei
contenuti e-mail che
consenta l'attuazione della
relativa policy dell'agenzia?
Pagina 76 di 89
Dicembre 2015
RISPOSTA AWS
La rete AWS offre una protezione elevata contro i tradizionali problemi di
sicurezza della rete e i clienti possono implementare un'ulteriore
protezione. Per ulteriori dettagli, fare riferimento al whitepaper AWS
Gli asset Amazon (ad esempio laptop) sono configurati con un software
antivirus che include il filtro delle e-mail e il rilevamento dei malware.
La gestione del firewall di rete AWS e il programma anti-virus Amazon
vengono verificati da revisori indipendenti di terze parti nell'ambito della
compliance con gli standard SOC, PCI DSS, ISO 27001 e FedRAMPsm.
AWS ottiene determinate certificazioni di settore e attestazioni di terze
parti indipendenti anche per l'ambiente gateway AWS.
Un cliente può utilizzare un sistema per ospitare le funzionalità e-mail;
tuttavia, in questo caso è responsabilità del cliente impiegare i livelli
idonei di protezione anti-spam e anti-malware nei punti di ingresso e di
uscita delle e-mail e aggiornare le specifiche anti-spam e anti-malware
quando sono disponibili nuove versioni.
Area chiave
Domande
m. Policy e processi
a supporto dell'assetto di
sicurezza IT del fornitore.
È possibile conoscere nei
dettagli in che modo
l'assetto di sicurezza del
fornitore in termini di
computer e rete
è supportato da policy
e processi che
comprendano le
valutazioni delle minacce
e dei rischi, la gestione
continua delle
vulnerabilità, un processo
di gestione del
cambiamento che includa
sicurezza, test di
intrusione, sistemi di log
e loro analisi regolare, uso
di prodotti di sicurezza
approvati dal governo
australiano e compliance
con gli standard e le
normative di sicurezza
dello stesso governo
australiano?
n. Tecnologie a supporto
dell'assetto di sicurezza IT del
fornitore. È possibile conoscere
nei dettagli in che modo
l'assetto di sicurezza del
fornitore in termini di
computer e rete è supportato da
controlli tecnici diretti che
comprendono l'applicazione
tempestiva di patch di
sicurezza, l'aggiornamento
regolare del software antivirus,
meccanismi di difesa
approfonditi per la protezione
contro vulnerabilità
sconosciute, sistemi operativi
rafforzati e applicazioni
software configurate con le
impostazioni di sicurezza più
efficaci possibili, sistemi di
rilevamento delle intrusioni e di
prevenzione, nonché
meccanismi di prevenzione
delle perdite di dati?
Pagina 77 di 89
Dicembre 2015
RISPOSTA AWS
Inoltre, AWS pubblica un rapporto SOC 1 di tipo II. Per ulteriori dettagli,
fare riferimento al rapporto SOC 1. Per ulteriori dettagli, fare riferimento
al whitepaper AWS Risk and Compliance (Rischio e compliance AWS),
I clienti AWS possono identificare i controlli principali gestiti da AWS.
I controlli principali sono essenziali per l'ambiente di controllo dei clienti
e richiedono un'attestazione esterna sulla loro efficacia operativa in modo
da soddisfare i requisiti di compliance, come ad esempio quelli del
controllo finanziario annuale. A questo scopo, AWS pubblica un'ampia
gamma di controlli IT specifici all'interno del rapporto Service
Organization Controls 1 (SOC 1) di tipo II. Il rapporto SOC 1, in
precedenza Statement on Auditing Standards (SAS, Dichiarazione sugli
standard per i controlli) No. 70, i rapporti delle organizzazioni di servizio
(Service Organizations) e il report in precedenza noto come Statement on
Standards for Attestation Engagements No. 16 (SSAE 16) costituiscono
uno standard per i controlli ampiamente riconosciuto, sviluppato
dall'American Institute of Certified Public Accountants (AICPA). Il SOC
1 è un tipo di controllo che verifica approfonditamente l'efficacia
progettuale e operativa degli obiettivi di controllo definiti e delle attività di
controllo di AWS (che includono gli obiettivi di controllo e le attività di
controllo della parte dell'infrastruttura gestita da AWS). "Tipo II" fa
riferimento al fatto che ciascun controllo descritto all'interno del rapporto
non viene soltanto valutato ai fini dell'adeguatezza progettuale, ma anche
testato dal punto di vista dell'efficacia operativa dal revisore esterno.
Tenuto conto dell'indipendenza e della competenza del revisore esterno di
AWS, i controlli identificati nel rapporto offrono ai clienti un alto livello di
sicurezza riguardo all'ambiente di controllo di AWS.
AWS fornisce attestazioni di terze parti, certificazioni, il rapporto Service
Organization Controls 1 (SOC 1) di tipo II e altri rapporti di compliance
pertinenti direttamente ai clienti ai sensi dell'accordo di riservatezza.
AWS Security esegue scansioni regolari di tutti gli indirizzi IP dell'endpoint
del servizio connessi a Internet per individuare le vulnerabilità (tali
scansioni non includono le istanze dei clienti). AWS Security notifica alle
parti interessate le eventuali vulnerabilità identificate a cui è necessario
porre rimedio. Vengono inoltre eseguite valutazioni di vulnerabilità alle
minacce esterne da parte di società indipendenti operanti nel settore della
sicurezza. I risultati di tali valutazioni e le relative raccomandazioni sono
categorizzati e forniti alla direzione di AWS.
Inoltre, l'ambiente di controllo AWS è soggetto a periodiche valutazioni
del rischio interne ed esterne. AWS collabora con organi di certificazione
esterni e revisori indipendenti per verificare e testare l'ambiente di
controllo AWS nel suo insieme.
Area chiave
Domande
o. Controllo dell'assetto di
sicurezza IT del fornitore.
È possibile controllare
l'implementazione da parte
del fornitore di misure di
sicurezza quali l'esecuzione
di scansioni e altri test di
intrusione nell'ambiente
offerto all'utente? Se
sussistono ragioni valide
per cui tale controllo non
è possibile, quale terza
parte affidabile ha eseguito
i controlli e altre
valutazioni sulle
vulnerabilità? Che tipo di
controlli interni esegue il
fornitore e su quali
standard di conformità
e altre prassi raccomandate
da organizzazioni come la
Cloud Security Alliance si
basano tali valutazioni?
È possibile esaminare in
modo approfondito una
copia recente dei rapporti
risultanti?
p. Autenticazione
dell'utente. Quali sistemi di
gestione delle identità
e degli accessi supporta il
fornitore per consentire
agli utenti di accedere
e utilizzare la soluzione
Software-as-a-Service?
q. Controllo centralizzato
dei dati. Che tipo di
training dell'utente, policy
e controlli tecnici
impediscono agli utenti
dell'agenzia del cliente di
impiegare dispositivi di
elaborazione non approvati
o non sicura in assenza di
un ambiente operativo
affidabile per lo storage
o l'elaborazione dei dati
sensibili a cui accedono per
il Software-as-a-Service?
Pagina 78 di 89
Dicembre 2015
RISPOSTA AWS
AWS fornisce attestazioni di terze parti, certificazioni, il rapporto Service
Organization Controls 1 (SOC 1) di tipo II e altri rapporti di compliance
pertinenti direttamente ai clienti ai sensi dell'accordo di riservatezza.
I clienti possono chiedere l'autorizzazione a eseguire scansioni della
propria infrastruttura cloud, purché i controlli siano limitati alle istanze
del cliente e non violino l'Acceptable Use Policy (policy di utilizzo
accettabile) di AWS. Per ottenere la preventiva autorizzazione per questo
tipo di scansioni è necessario inviare una richiesta utilizzando il modulo di
richiesta del Test di vulnerabilità/intrusione di AWS.
AWS Security chiede periodicamente a imprese che operano nel settore
della sicurezza di eseguire valutazioni di vulnerabilità alle minacce
esterne. Nel rapporto AWS SOC 1 di tipo 2 sono forniti dettagli aggiuntivi
sulle attività di controllo specifiche eseguite da AWS.
AWS Identity and Access Management (IAM) consente di controllare in
modo sicuro l'accesso ai servizi e alle risorse AWS per gli utenti. Con IAM
è possibile creare e gestire gli utenti e i gruppi AWS e utilizzare i permessi
per autorizzare e negare l'accesso alle risorse AWS.
AWS supporta la federazione delle identità, che agevola la gestione degli
utenti conservando le rispettive identità in un unico punto. AWS IAM
include il supporto per Security Assertion Markup Language (SAML) 2.0,
uno standard aperto impiegato da molti fornitori di identità. Questa nuova
funzionalità consente l'accesso federato SSO (Single Sign On), grazie al
quale gli utenti possono accedere alla console di gestione AWS o eseguire
chiamate programmatiche alle API AWS tramite le dichiarazioni di un
fornitore di identità conforme allo standard SAML, come Shibboleth
e Windows Active Directory Federation Services.
N/D
Area chiave
Domande
r. Assetto di sicurezza fisica
del fornitore. Il fornitore
impiega prodotti
e dispositivi di sicurezza
fisica approvati dal
governo australiano? In
che modo è stato studiato il
data center fisico del
fornitore al fine di
impedire la manomissione
o il furto di server,
infrastruttura e dati in esso
archiviati? Il data center
del fornitore è accreditato
da una terza parte
autorevole?
Dicembre 2015
RISPOSTA AWS
La definizione dei controlli logici e fisici di AWS è documentata nel
rapporto SOC 1 di tipo II, consultabile da parte dei team di audit
e compliance. AWS ISO 27001 e le altre certificazioni sono anch'esse
a disposizione dei revisori per l'eventuale consultazione.
I controlli di sicurezza fisici includono, a titolo esemplificativo, controlli
perimetrali, quali recinzioni, pareti, personale addetto alla sicurezza, video
sorveglianza, sistemi di rilevamento dell'intrusione e altri dispositivi
elettronici. L'accesso fisico viene rigorosamente controllato sia lungo il
perimetro che presso i punti di ingresso dell'edificio e include, a titolo
esemplificativo, il personale addetto alla sicurezza che si avvale di sistemi
di video sorveglianza e di rilevamento dell'intrusione e di altri dispositivi
elettronici. Il personale autorizzato deve superare almeno due volte un
controllo di autenticazione a due fattori per accedere ai piani dei data
center. I punti di accesso fisico ai server vengono ripresi da un sistema di
videocamere a circuito chiuso (CCTV) come previsto dalla policy sulla
sicurezza fisica dei data center AWS. I filmati vengono conservati per 90
giorni, a meno che obblighi di natura legale o contrattuale non limitino
questo periodo a 30 giorni.
AWS fornisce accesso e informazioni sul data center fisico a dipendenti
e appaltatori approvati, per i quali sussistono legittime esigenze aziendali
che dettano la necessità di tali privilegi. Tutti i visitatori devono presentare
una prova d'identificazione, quindi firmano in ingresso e sono scortati dal
personale autorizzato.
Si veda il rapporto SOC 1 di tipo II per i controlli specifici relativi
all'accesso fisico, all'autorizzazione di accesso ai data center e ad altri
controlli correlati.
s. Approvvigionamento di
software e hardware. Quali
processi di
approvvigionamento
vengono utilizzati per
garantire che il software
e l'hardware
dell'infrastruttura cloud
siano stati forniti da una
fonte legittima e non siano
stati intenzionalmente
modificati durante il
transito?
Pagina 79 di 89
appendice A, dominio 9.1. AWS è stato convalidato e certificato da un
revisore indipendente per confermare l'allineamento con lo standard di
In linea con gli standard ISO 27001, gli asset hardware AWS sono
assegnati ad un responsabile, tracciati e monitorati dal personale AWS
mediante gli strumenti di gestione inventario proprietari di AWS. Il team
della catena di approvvigionamento e fornitura AWS mantiene i rapporti
con tutti i fornitori AWS.
Per ulteriori dettagli, fare riferimento allo standard ISO 27001, appendice
A, dominio 7.1. AWS è stato convalidato e certificato da un revisore
Area chiave
Protezione dei
dati da accessi
non
autorizzati dai
clienti del
fornitore
Domande
a. Separazione dei clienti.
Quali rassicurazioni può
dare il fornitore sul fatto
che la virtualizzazione
e i meccanismi di
multitenancy garantiscano
un'adeguata separazione
logica e di rete tra più
tenant, così che un cliente
malintenzionato che usa lo
stesso computer di un
utente non possa accedere
ai dati di quest'ultimo?
b. Indebolimento
dell'assetto di sicurezza del
cliente. L'utilizzo
dell'infrastruttura cloud
del fornitore indebolirebbe
l'assetto di sicurezza della
rete attualmente adottato
dall'agenzia del cliente? Il
fornitore potrebbe
pubblicizzare l'utente come
proprio cliente senza il suo
consenso esplicito,
fornendo così informazioni
preziose a chi volesse
prenderlo di mira?
c. Server dedicati.
È possibile avere un certo
grado di controllo sul
computer fisico sul quale
vengono eseguite le
macchine virtuali di un
dato cliente? L'utente può
pagare un extra per
assicurarsi che altri clienti
non usino lo stesso suo
computer fisico, come se
fossero server dedicati
o Virtual Private Cloud?
Pagina 80 di 89
Dicembre 2015
RISPOSTA AWS
Attualmente, Amazon EC2 utilizza una versione dell'hypervisor Xen con
elevata personalizzazione. L'hypervisor viene sottoposto a valutazioni
regolari sulle vulnerabilità nuove ed esistenti e sui vettori di attacco da
parte di team di intrusione interni ed esterni ed è idoneo a mantenere un
forte isolamento tra macchine virtuali ospiti. La sicurezza dell'hypervisor
AWS Xen viene verificata regolarmente da revisori indipendenti durante
valutazioni e controlli.
Tutti i dati archiviati da AWS per conto dei clienti dispongono di solide
funzionalità di sicurezza e controllo dell'isolamento dei tenant. I clienti
mantengono il controllo e la proprietà dei propri dati, pertanto è loro
responsabilità scegliere se crittografare i dati. AWS consente ai clienti di
utilizzare i propri meccanismi di crittografia per quasi tutti i servizi,
inclusi S3, EBS ed EC2. Anche le sessioni VPC sono crittografate. Amazon
S3 offre inoltre, come opzione per i clienti, la crittografia lato server. Per
ulteriori dettagli, fare riferimento al whitepaper AWS Risk and
Le informazioni sull'identità dei clienti AWS sono considerate riservate
e AWS non le pubblicizzerà senza consenso esplicito. Amazon Virtual
Private Cloud (Amazon VPC) consente di fornire una sezione del cloud
Amazon Web Services (AWS) isolata a livello logico dove è possibile
lanciare le risorse AWS in una rete virtuale definita dall'utente. Il cliente
ha il controllo completo dell'ambiente di rete virtuale, che include la scelta
degli indirizzi IP, la creazione di subnet e la configurazione di tabelle di
routing e gateway di rete.
VPC consente ai clienti di avviare istanze di Amazon EC2 fisicamente
isolate al livello dell'hardware che pertanto verranno eseguite su hardware
a singolo tenant. È possibile creare una VPC con una tenancy "dedicata":
in questo caso, tutte le istanze avviate nella VPC utilizzeranno questa
funzionalità. In alternativa è possibile creare una VPC con tenancy
"predefinita", ma i clienti possono comunque specificare una tenancy
"dedicata" per istanze particolari avviate in VPC.
Area chiave
Protezione dei
dati da accessi
non
autorizzati da
parte di
dipendenti
malintenziona
ti del fornitore
Pagina 81 di 89
Dicembre 2015
Domande
d. Sterilizzazione dei
supporti. Quando vengono
eliminate porzioni di dati,
quali processi vengono
messi in atto per
sterilizzare i supporti di
storage prima di renderli
disponibili per altri clienti?
I processi in questione
sono considerati
appropriati dall'ISM del
DSD?
RISPOSTA AWS
I clienti detengono la proprietà e il controllo dei propri contenuti e hanno
la possibilità di eliminare i propri dati.
a. Gestione delle chiavi di
crittografia dei dati. Il
fornitore conosce la
password o la chiave usata
per decifrare i dati
dell'utente? Oppure
è necessario crittografare
e decifrare i dati sul
proprio computer in modo
che al fornitore arrivino
soltanto i dati crittografati?
b. Verifica dei dipendenti
del fornitore. Che tipi di
controlli sul personale
e processi di verifica
esegue il fornitore per
garantire l'affidabilità dei
dipendenti?
I clienti AWS gestiscono autonomamente la crittografia a meno che non
utilizzino un servizio di crittografia lato server AWS. In tal caso, AWS crea
una chiave di crittografia univoca per ciascun tenant. Per ulteriori dettagli,
fare riferimento al whitepaper AWS Overview of Security Processes
(Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo
c. Controllo dei dipendenti
del fornitore. Quale
efficace sistema di gestione
delle identità e degli
accessi usano i dipendenti
del fornitore? Quale
processo di controllo viene
attuato per registrare ed
esaminare le azioni
eseguite dai dipendenti del
fornitore?
d. Visitatori nel data
center. Nel data center
i visitatori vengono scortati
sempre? E vengono
verificati e registrati il
nome e altri dati personali
di ogni visitatore?
e procedure atte a delineare gli standard minimi per l'accesso logico alle
risorse AWS. I rapporti AWS SOC 1 di tipo 2 illustrano i controlli in atto
Quando un dispositivo di storage raggiunge la fine della sua vita utile, le
procedure AWS includono un processo di disattivazione progettato per
impedire che i dati del cliente siano accessibili a persone non autorizzate.
AWS utilizza le tecniche riportate in dettaglio nel DoD 5220.22-M
800-88 ("Guidelines for Media Sanitization") per distruggere i dati come
parte del processo di disattivazione. Se non è possibile disattivare un
dispositivo hardware mediante queste procedure, il dispositivo sarà
smagnetizzato o distrutto fisicamente in linea con le procedure standard
del settore. Per ulteriori dettagli, fare riferimento al whitepaper AWS
AWS esegue controlli sui precedenti penali, nei limiti di quanto ammesso
dalle leggi in vigore, come parte delle pratiche preliminari di selezione del
personale, commisurati alla posizione del dipendente e al livello di accesso
alle strutture AWS.
Tutti i visitatori e gli appaltatori devono presentare una prova
d'identificazione, quindi firmano in ingresso e sono scortati
continuamente dal personale autorizzato.
AWS fornisce accesso e informazioni sul data center solo a dipendenti
e collaboratori per cui sussistono legittime esigenze aziendali che dettano
la necessità di tali privilegi. Quando termina l'esigenza aziendale che ha
portato alla concessione dei privilegi, al dipendente viene
immediatamente revocato l'accesso, anche se questi continua a essere alle
dipendenze di Amazon o di Amazon Web Services. Ogni accesso fisico dei
dipendenti AWS ai data center è registrato e controllato di routine.
Area chiave
Gestione degli
incidenti di
sicurezza
Domande
e. Manomissione fisica da
parte dei dipendenti del
fornitore. Il cablaggio di
rete è installato in modo
professionale e in linea con
gli standard australiani
o con altri standard
internazionali accettabili,
al fine di impedire ai
dipendenti del fornitore di
commettere errori nel
collegamento dei cavi ai
computer e per evidenziare
prontamente qualsiasi
deliberato tentativo di
manomissione dei cavi
posto in atto dai
dipendenti del fornitore?
f. Subappaltatori del
fornitore. Le risposte
a queste domande sono
ugualmente valide per tutti
i subappaltatori del
fornitore?
a. Supporto tempestivo del
fornitore. Il fornitore
è facilmente contattabile
e pronto a rispondere alla
richieste di supporto? Il
tempo di risposta massimo
accettabile è incluso nel
servizio o è una semplice
dichiarazione di marketing
secondo cui il fornitore
farà del suo meglio?
Il supporto è fornito
a livello locale o da un
paese straniero, oppure da
diversi paesi stranieri
utilizzando un approccio
che tiene conto dei fusi
orari? Quali meccanismi
usa il fornitore per ottenere
una comprensione in
tempo reale dell'assetto di
sicurezza dell'utente
nell'uso dei servizi del
fornitore al fine di offrire
supporto?
Pagina 82 di 89
Dicembre 2015
RISPOSTA AWS
I controlli di sicurezza fisici includono, a titolo esemplificativo, controlli
perimetrali, quali recinzioni, pareti, personale addetto alla sicurezza, video
sorveglianza, sistemi di rilevamento dell'intrusione e altri dispositivi
elettronici. È compresa un'appropriata protezione dei cavi di rete.
Nel rapporto AWS SOC 1 di tipo 2 sono forniti dettagli aggiuntivi sulle
attività di controllo specifiche eseguite da AWS.
appendice A, dominio 9.1. AWS è stato convalidato e certificato da un
revisore indipendente per confermare l'allineamento con lo standard di
Il provisioning dell'accesso di appaltatori e fornitori è gestito allo stesso
modo sia per i dipendenti, sia per gli appaltatori, con Shared Responsibility
tra le risorse umane, la gestione aziendale e i proprietari del servizio.
I fornitori sono soggetti agli stessi requisiti di accesso validi per i dipendenti.
AWS Support è un canale di supporto personale a risposta rapida, in cui
tecnici di supporto esperti e preparati sono presenti 24 ore su 24, 7 giorni
su 7, 365 giorni l'anno. Il servizio ha lo scopo di aiutare clienti di qualsiasi
dimensione o competenza tecnica a utilizzare con successo i prodotti e le
caratteristiche offerte da Amazon Web Services.
Con tutti i livelli di assistenza di AWS Support, i clienti dei servizi
infrastrutturali AWS hanno a disposizione un numero illimitato di
interventi di assistenza a un prezzo mensile e senza contratti a lungo
termine. I quattro livelli offrono a sviluppatori e aziende la flessibilità di
scegliere l'assistenza più adatta alle proprie specifiche esigenze.
Area chiave
Pagina 83 di 89
Domande
b. Piano di risposta agli
incidenti del fornitore. Il
fornitore dispone di un
piano di risposta agli
incidenti di sicurezza in cui
sia specificato come
rilevare e rispondere a tali
incidenti in modo simile
alle procedure di gestione
degli incidenti illustrate in
dettaglio nell'ISM del
DSD? È possibile
esaminarne in modo
approfondito una copia?
c. Formazione dei
dipendenti del fornitore.
Quali qualifiche,
certificazioni e regolare
formazione sulla sicurezza
delle informazioni vengono
richieste ai dipendenti del
fornitore perché possano
conoscerne i sistemi in
modo sicuro e per
identificare potenziali
incidenti di sicurezza?
d. Notifica degli incidenti
di sicurezza. Il fornitore
informa il cliente (tramite
comunicazioni protette)
degli incidenti di sicurezza
più gravi della soglia
concordata, specie nei casi
in cui il fornitore potrebbe
esserne responsabile? Il
fornitore informa
automaticamente le forze
dell'ordine o altre autorità
che potrebbero sequestrare
le apparecchiature di
calcolo utilizzate per lo
storage o l'elaborazione dei
dati di un cliente?
e. Portata del supporto del
fornitore. In che misura il
fornitore offrirà assistenza
nelle indagini qualora si
verifichi una violazione
della sicurezza, ad esempio
una divulgazione non
autorizzata dei dati, o se
fosse necessario eseguire
una rilevazione elettronica
delle prove di natura legale?
Dicembre 2015
RISPOSTA AWS
Il team di gestione degli incidenti di Amazon impiega procedure
diagnostiche standard di settore per risolvere i problemi durante gli eventi
che influiscono sulle attività aziendali. Gli operatori offrono una copertura
24x7x365 per rilevare gli incidenti e gestire l'impatto e la soluzione.
stati sviluppati in conformità allo standard ISO 27001. Nel rapporto AWS
SOC 1 di tipo 2 sono forniti dettagli sulle attività di controllo specifiche
eseguite da AWS.
Per ulteriori informazioni, fare riferimento al whitepaper AWS Overview
of Security Processes (Panoramica sulle procedure di sicurezza AWS),
In linea con lo standard ISO 27001, tutti i dipendenti AWS completano
una formazione periodica sulla sicurezza delle informazioni per la quale
è richiesta conferma di completamento. Vengono effettuati controlli in
materia di compliance a cadenza periodica per assicurarsi che i dipendenti
comprendano e seguano le policy definite. Per ulteriori dettagli, fare
riferimento al whitepaper AWS Overview of Security Processes
(Panoramica sulle procedure di sicurezza AWS), disponibile all'indirizzo
Le notifiche relative agli incidenti di sicurezza sono gestite caso per caso,
secondo quanto previsto dalla legge vigente. Eventuali notifiche vengono
inviate tramite comunicazioni protette.
AWS fornisce l'infrastruttura e il cliente gestisce tutto il resto, compreso il
sistema operativo, la configurazione di rete e le applicazioni installate.
I clienti sono responsabili del rispetto delle procedure legali che
prevedono l'identificazione, la raccolta, l'elaborazione, l'analisi e la
produzione dei documenti elettronici che i clienti archiviano o elaborano
con l'ausilio di AWS. Su richiesta, AWS può collaborare con i clienti che
necessitano dell'assistenza di AWS nelle procedure legali.
Area chiave
Domande
f. Accesso ai log. In che
modo è possibile accedere
ai log di controllo
a sincronizzazione
temporale e ad altri log per
eseguire indagini forensi?
In che modo vengono
creati e archiviati i log per
costituire una prova valida
in tribunale?
g. Risarcimento per gli
incidenti di sicurezza. In
che modo il fornitore
corrisponderà un
risarcimento adeguato al
cliente qualora le azioni
dello stesso fornitore
oppure guasti a livello
software o hardware
abbiano contribuito a una
violazione della sicurezza?
h. Fughe di dati. Se per errore
nel cloud fossero trasferiti
dati considerati troppo
sensibili dall'utente per
questa soluzione, in una
situazione denominata
"fuoriuscita di dati", in che
modo è possibile eliminare
i dati fuoriusciti utilizzando
tecniche di sterilizzazione
forense? La porzione
interessata del supporto di
storage fisico viene azzerata
ogni volta che vengono
eliminati dati? In caso
contrario, quanto tempo
è necessario perché i dati
eliminati vengano sovrascritti
dai clienti nell'ambito di un
normale funzionamento,
tenendo conto che in genere
i cloud presentano una
notevole capacità di storage
libera e non utilizzata?
È possibile eliminare con
tecniche forensi dai supporti
di backup del fornitore i dati
fuoriusciti? In quale altro
punto sono archiviati i dati
fuoriusciti? Possono essere
eliminati con tecniche
forensi?
Pagina 84 di 89
Dicembre 2015
RISPOSTA AWS
I clienti mantengono il controllo dei propri sistemi operativi, software
e applicazioni guest e sono responsabili dello sviluppo di un monitoraggio
logico delle condizioni di tali sistemi. In linea con gli standard ISO 27001, i
sistemi informatici di AWS utilizzano orologi interni al sistema
sincronizzati tramite NTP (Network Time Protocol).
AWS CloudTrail offre una soluzione semplice per registrare l'attività
dell'utente, che consente di evitare l'utilizzo un complesso sistema di
registrazione. Per ulteriori dettagli, fare riferimento alla pagina
aws.amazon.com/cloudtrail.
AWS CloudWatch assicura il monitoraggio delle risorse cloud AWS e delle
applicazioni eseguite dai clienti su AWS. Per ulteriori dettagli, fare
riferimento alla pagina aws.amazon.com/cloudwatch. AWS pubblica
inoltre le informazioni più aggiornate relative alla disponibilità del servizio
sul pannello di controllo stato servizi. Fare riferimento a
status.aws.amazon.com.
stati sviluppati in conformità allo standard ISO 27001. Nel rapporto AWS
SOC 1 di tipo 2 sono forniti dettagli sulle attività di controllo specifiche
eseguite da AWS.
Per ulteriori informazioni, fare riferimento al whitepaper AWS Overview
of Security Processes (Panoramica sulle procedure di sicurezza AWS),
I clienti detengono la proprietà e il controllo dei propri contenuti. Tutti
i dati archiviati da AWS per conto dei clienti dispongono di solide
funzionalità di sicurezza e controllo dell'isolamento dei tenant. AWS
consente ai clienti di utilizzare i propri meccanismi di crittografia per
quasi tutti i servizi, inclusi S3, EBS ed EC2. I tunnel da IPSec a VPC sono
anch'essi crittografati. Amazon S3 offre inoltre, come opzione per i clienti,
la crittografia lato server. Per ulteriori dettagli, fare riferimento al
whitepaper AWS Risk and Compliance (Rischio e compliance AWS),
Dicembre 2015
Appendice C: Glossario dei termini
Autenticazione: si definisce autenticazione il processo atto a determinare se qualcuno o qualcosa è in effetti
chi o cosa dichiara di essere.
Zona di disponibilità: le località di EC2 sono composte da regioni e zone di disponibilità. Queste ultime
sono località distinte progettate per rimanere isolate dai guasti che si verificano in altre zone di disponibilità
e offrono una connettività di rete economica e a bassa latenza ad altre zone di disponibilità nella stessa regione.
DSS: il PCI-DSS (Payment Card Industry Data Security Standard) è uno standard mondiale per la sicurezza
delle informazioni predisposto e gestito dal Payment Card Industry Security Standards Council.
EBS: Amazon Elastic Block Store (EBS) offre volumi di storage a livello di blocco per l'uso combinato con
istanze di Amazon EC2. I volumi Amazon EBS rappresentano uno storage non legato all'istanza che persiste
indipendentemente dalla durata dell'istanza stessa.
FedRAMPsm: il Federal Risk and Authorization Management Program (FedRAMPsm) è un programma a livello
governativo che fornisce un approccio standardizzato a valutazione della sicurezza, autorizzazioni
e monitoraggio continuo per prodotti e servizi cloud. L'adozione del programma FedRAMPsm è obbligatoria
per le distribuzioni cloud e i modelli di servizio delle agenzie federali con livelli di impatto contraddistinti da un
rischio basso e moderato.
FISMA: è il Federal Information Security Management Act del 2002. La legge prevede che ogni agenzia
federale sviluppi, documenti e implementi un programma, esteso a tutta l'agenzia, per la sicurezza delle
informazioni. Sono interessate le informazioni e i sistemi informativi che supportano le operazioni e gli asset
dell'agenzia, inclusi quelli forniti o gestiti da un'altra agenzia, un altro appaltatore o altre fonti.
FIPS 140-2: il Federal Information Processing Standard (FIPS) Publication 140-2 è uno standard di sicurezza
del governo degli Stati Uniti che specifica i requisiti di sicurezza previsti per i moduli crittografici che
proteggono informazioni sensibili.
GLBA: la legge Gramm-Leach-Bliley Act (GLB o GLBA), nota anche come Financial Services Modernization
Act del 1999, stabilisce i requisiti per gli istituti finanziari per quanto concerne, tra gli altri, la divulgazione di
informazioni non pubbliche dei clienti e la protezione dalle minacce all'integrità di sicurezza e dati.
HIPAA: la legge Health Insurance Portability and Accountability Act (HIPAA) del 1996 prevede la definizione
di standard nazionali per le transazioni elettroniche in ambito sanitario e di identificativi nazionali per
fornitori, piani di assicurazione medica e datori di lavoro. Nelle disposizioni relative alla semplificazione
amministrativa si approfondisce anche il tema della sicurezza e della riservatezza dei dati sanitari. Gli standard
hanno l'obiettivo di migliorare l'efficienza e l'efficacia del sistema sanitario degli Stati Uniti favorendo la
diffusione dell'interscambio elettronico di dati al suo interno.
Hypervisor: si definisce hypervisor, o Virtual Machine Monitor (VMM), un software di virtualizzazione di
una piattaforma software/hardware che consente l'esecuzione contemporanea di più sistemi operativi su un
computer host.
IAM: AWS Identity and Access Management (IAM) consente ai clienti di creare più utenti e gestire i permessi
per ciascuno di essi dal proprio account AWS.
Pagina 85 di 89
Dicembre 2015
ITAR: l'International Traffic in Arms Regulations (ITAR) è una serie di normative definite dal governo degli
Stati Uniti per il controllo dell'esportazione e dell'importazione di articoli e servizi legati alla sfera della difesa
inclusi nella United States Munitions List (USML). Agenzie governative e appaltatori devono rispettare la
conformità all'ITAR e limitare l'accesso ai dati protetti.
ISAE 3402: l'International Standards for Assurance Engagements No. 3402 (ISAE 3402) è lo standard
internazionale relativo agli impegni di garanzia. È stato stilato dall'International Auditing and Assurance
Standards Board (IAASB), un organismo di standardizzazione interno alla International Federation of
Accountants (IFAC). ISAE 3402 è ormai riconosciuto come nuovo standard globale per il reporting di garanzia
sulle organizzazioni di servizi.
ISO 9001: la certificazione AWS 9001 di ISO è a diretto supporto dei clienti che sviluppano, migrano
e gestiscono i propri sistemi IT di qualità controllata nel cloud AWS. I clienti possono utilizzare i rapporti di
compliance AWS come prove nei programmi ISO 9001 e nei programmi di qualità specifici del settore, come
GxP nelle scienze biologiche, ISO 13485 nei dispositivi medici, AS9100 nel settore aerospaziale e ISO/TS 16949
nel settore automobilistico. I clienti AWS che non presentano requisiti per i sistemi di qualità trarranno
comunque vantaggio dall'ulteriore garanzia e trasparenza offerte dalla certificazione ISO 9001.
ISO 27001: ISO/IEC 27001 è uno standard per i sistemi di gestione della sicurezza delle informazioni (ISMS,
Information Security Management System) pubblicato dalla International Organization for Standardization
(ISO) e dalla International Electrotechnical Commission (IEC). Lo standard ISO 27001 delinea formalmente un
sistema di gestione il cui scopo è portare la sicurezza delle informazioni sotto un esplicito controllo di gestione.
Trattandosi di una specifica formale, lo standard prescrive requisiti specifici. Le organizzazioni che dichiarano
di aver adottato lo standard ISO/IEC 27001 possono quindi essere controllate e può essere certificata la loro
conformità allo standard.
NIST: il National Institute of Standards and Technology è un'agenzia che definisce standard di sicurezza
dettagliati secondo le esigenze dei programmi governativi o di settore. Per essere conformi alle disposizioni
della legge FISMA, le agenzie devono rispettare gli standard del NIST.
Oggetto: entità fondamentali archiviate in Amazon S3. L'oggetto è composto da dati e metadati. La prima
parte non è visibile per Amazon S3. I metadati invece sono un insieme di coppie nome-valore che descrivono
l'oggetto e in cui sono inclusi alcuni metadati predefiniti, ad esempio la data dell'ultima modifica e metadati
HTTP standard come Content-Type. Lo sviluppatore può inoltre specificare metadati standard al momento
dell'archiviazione dell'oggetto.
PCI: acronimo relativo al Payment Card Industry Security Standards Council, un comitato indipendente
formato in origine da American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa
International, con l'obiettivo di gestire la continua evoluzione dello standard PCI-DSS (Payment Card Industry
Data Security Standard).
QSA: la qualifica di Qualified Security Assessor (QSA) del Payment Card Industry (PCI) viene conferita dal PCI
Security Standards Council alle persone che soddisfano specifici requisiti di qualifica e sono autorizzate
a eseguire valutazioni di conformità PCI.
SAS 70: il documento Statement on Auditing Standards No. 70: Service Organizations è una dichiarazione di
controllo emesso dall'Auditing Standards Board dell'American Institute of Certified Public Accountants
(AICPA). SAS 70 offre indicazioni ai revisori dei servizi durante la valutazione dei controlli interni di
un'organizzazione di servizi (come AWS) e l'emissione del relativo rapporto. SAS 70 offre anche linee guida ai
revisori del bilancio contabile di un soggetto che si avvale di una o più organizzazioni di servizi. Il rapporto SAS
70 è stato sostituito dal report Service Organization Controls 1.
Pagina 86 di 89
Dicembre 2015
Servizio: software o capacità di calcolo fornita in una rete (ad esempio, EC2, S3, VPC, ecc.).
Contratto sul livello di servizio (Service Level Agreement, SLA): è la parte di un contratto di servizio
dove vengono definiti in modo formale i livelli di servizio. Lo SLA è utilizzato come riferimento per i tempi di
consegna (del servizio) o le prestazioni definiti da contratto.
SOC 1: il rapporto Service Organization Controls 1 (SOC 1) di Tipo II, in precedenza Statement on Auditing
Standards (SAS, Dichiarazione sugli standard per i controlli) No. 70, il rapporto delle organizzazioni di servizio
(Service Organizations), in precedenza noto come SSAE 16, costituisce uno standard per i controlli ampiamente
riconosciuto, sviluppato dall'American Institute of Certified Public Accountants (AICPA). Si fa riferimento allo
standard internazionale con la denominazione International Standards for Assurance Engagements No. 3402
(ISAE 3402).
SSAE 16 [obsoleta]: la dichiarazione Statement on Standards for Attestation Engagements No. 16 (SSAE 16)
rappresenta uno standard di attestazione pubblicato dall'Auditing Standards Board (ASB) dell'American
Institute of Certified Public Accountants (AICPA). Lo standard definisce gli impegni assunti da un revisore di
servizi per il reporting sui controlli nelle organizzazioni che offrono servizi a soggetti utenti, per cui i controlli
dell'organizzazione di servizi sono probabilmente importanti per i controlli interni sui rapporti finanziari
(ICFR) dei soggetti utenti. Lo standard SSAE 16 sostituisce a tutti gli effetti il precedente Statement on
Auditing Standards No. 70 (SAS 70) per revisori con periodi di reporting terminanti dal 15 giugno 2011 in poi.
SOC 2: i rapporti Service Organization Controls 2 (SOC 2) sono progettati per soddisfare le esigenze di una
vasta gamma di utenti che necessitano di comprendere i controlli interni in un'organizzazione di servizi perché
sono collegati a sicurezza, disponibilità, integrità dell'elaborazione, confidenzialità e riservatezza. Si tratta di
rapporti stilati seguendo la guida AICPA: Reporting on Controls at a Service Organizations Relevant to
Security, Availability, Processing Integrity, Confidentiality, or Privacy (Report sui controlli presso
organizzazioni di servizi importanti per sicurezza, disponibilità, integrità dell'elaborazione, confidenzialità o
riservatezza) e sono studiati per essere utilizzati dai soggetti interessati (ad esempio, clienti, enti di
regolamentazione, partner commerciali, fornitori, responsabili) dell'organizzazione di servizi, i quali hanno una
comprensione approfondita dell'organizzazione stessa e dei relativi controlli interni.
SOC 3: i rapporti Service Organization Controls 3 (SOC 3) sono progettati per soddisfare le esigenze di utenti
che desiderano garanzie sui controlli in un'organizzazione di servizi in relazione a sicurezza, disponibilità,
integrità dell'elaborazione, confidenzialità o riservatezza, ma non hanno l'esigenza o la conoscenza necessarie
per utilizzare appieno un rapporto SOC 2. Si tratta di report stilati seguendo quanto stabilito
dall'AICPA/Canadian Institute of Chartered Accountants (CICA) in Trust Services Principles, Criteria, and
Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Principi, criteri
e illustrazioni relativi all'affidabilità dei servizi in termini di sicurezza, disponibilità, integrità dell'elaborazione,
confidenzialità e riservatezza). Essendo destinati a un uso generico, i rapporti SOC 3 possono essere
liberamente distribuiti o pubblicati su un sito Web come elemento di prestigio.
Istanza virtuale: una volta avviata un'AMI, ci si riferisce con il termine "istanza" al sistema che di
conseguenza è in esecuzione. Tutte le istanze basate sulla stessa AMI iniziano in modo identico e tutte le
informazioni relative ad esse vanno perdute in caso di conclusione o mancata riuscita dell'istanza.
Pagina 87 di 89
Dicembre 2015
Cronologia delle versioni
Dicembre 2015
 Aggiornamento dei riepiloghi delle certificazioni e delle attestazioni di terze parti
 Aggiunta della certificazione ISO 27017
 Aggiunta della certificazione ISO 27018
 Aggiunta dell'undicesima regione (Cina Pechino)
Novembre 2015
 Aggiornamento a CSA v3.0.1
Agosto 2015
 Aggiornamento dei servizi compresi nell'ambito di applicazione per PCI 3.1
 Aggiornamento delle regioni comprese nell'ambito di applicazione per PCI 3.1
Maggio 2015
 Aggiunta della decima regione (UE Francoforte)
 Aggiornamento dei servizi compresi nell'ambito di applicazione per SOC 3
 Testo SSAE 16 reso obsoleto
Aprile 2015
 Aggiornamento dei servizi compresi nell'ambito di applicazione per: FedRAMPsm, HIPAA, SOC 1,
ISO 27001, ISO 9001
Febbraio 2015
 Aggiornamento degli endpoint VPN FIPS 140-2 e sistemi di bilanciamento del carico terminanti con SSL
 Aggiornamento della descrizione di PCI DSS
Dicembre 2014
Versione novembre 2013
 Modifica della descrizione della crittografia in modalità tunnel IPsec
Versione giugno 2013
 Aggiornamenti dell'Appendice C: Glossario dei termini
 Modifiche secondarie alla formattazione
Versione gennaio 2013
 Modifica dei riepiloghi delle certificazioni e delle attestazioni di terze parti
Versione novembre 2012
 Modifica dei contenuti e aggiornamento dell'ambito delle certificazioni
 Aggiunta del riferimento a SOC 2 e MPAA
Versione luglio 2012
 Modifica dei contenuti e aggiornamento dell'ambito delle certificazioni
 Aggiunta del Questionario sull'iniziativa di valutazione del consenso CSA (Appendice A)
Versione gennaio 2012
 Modifiche secondarie dei contenuti basate sull'aggiornamento dell'ambito delle certificazioni
 Modifiche grammaticali secondarie
Pagina 88 di 89
Dicembre 2015
Versione dicembre 2011
 Modifica della sezione Certificazioni e attestazioni di terze parti per includere SOC 1/SSAE 16, FISMA
Moderate, International Traffic in Arms Regulations e FIPS 140-2
 Aggiunta della crittografia lato server S3
 Aggiunta di ulteriori argomenti sui problemi del cloud computing
Versione maggio 2011
 Rilascio iniziale
Note
© 2010-2016, Amazon.com, Inc., o società affiliate. Il presente documento è fornito a solo scopo informativo.
In esso sono illustrate le attuali offerte di prodotti di AWS alla data di uscita del documento, offerte che sono
soggette a modifica senza preavviso. È responsabilità dei clienti effettuare una propria valutazione
indipendente delle informazioni contenute nel presente documento e dell'uso dei prodotti o dei servizi di AWS,
ciascuno dei quali viene fornito "così com'è", senza garanzie di alcun tipo, né esplicite né implicite. Il presente
documento non crea garanzie, rappresentazioni, impegni contrattuali, condizioni o assicurazioni da parte di
AWS, delle società affiliate, dei fornitori o dei licenziatari. Le responsabilità di AWS nei confronti dei propri
clienti sono definite dai contratti AWS e il presente documento non costituisce parte né modifica qualsivoglia
contratto tra AWS e i suoi clienti.
Pagina 89 di 89

Amazon Web Services: Risk and Compliance

Transcript

Documenti analoghi

Computek per AWS corriere espresso

385 - Weldpartner

Aws accusata di evasione fiscale

Relazione economica

SUPRANOX SUPRANOX RS

Catalogo 1

simplysmart innovazione per finestre e facciate in