Embed Size (px)
Citation preview
การรับรอง โปรแกรม รายงานของ AWS และ
การยืนยนัจากหนวยงานภายนอก
มกราคม 2017
© 2017, Amazon Web Services, Inc. หรือบริษทัในเครือ สงวนลิขสิทธ์ิ
ประกาศ เอกสารฉบับน้ีใหไวเพ่ือเปนขอมูลเทาน้ัน เน้ือหาของเอกสารนําเสนอขอมูลผลิตภัณฑและบริการ รวมถึงแนวทางปฏิบัติปจจุบันของ AWS ณ วันที่มีการออกเอกสารฉบับน้ี และ สามารถเปลี่ยนแปลงไดโดยไมตองแจงใหทราบ ลกูคามีหนาที่รับผิดชอบตอการประเมิน ขอมูลในเอกสารฉบบัน้ี รวมถึงการใชผลิตภัณฑหรือบริการใดๆ ของ AWS ดวยตนเอง ไดอยางอิสระ ทั้งน้ีผลิตภัณฑและบริการแตละอยางใหบริการ “ตามที่เปน” โดยไมมีการ รับประกันใดๆ ไมวาโดยนัยหรือโดยชัดแจง เอกสารฉบับน้ีไมมีการรับประกนั การรับรอง การผูกพันตามสัญญา เง่ือนไขหรือการประกันใดๆ จาก AWS บริษัทในเครือ ผูจัดหา หรือผูใหสิทธ์ิการใชงาน หนาที่และความรับผิดของ AWS ตอลูกคาอยูภายใตการควบคุม โดยขอตกลงของ AWS และเอกสารฉบับน้ีไมถอืเปนสวนหน่ึงของขอตกลง และไมทําให เกิดการเปลีย่นแปลงใดๆ กับขอตกลงระหวาง AWS กับลกูคา
สารบัญ CJIS 1
CSA 1
Cyber Essentials Plus 2
DoD SRG ระดับ 2 และ 4 2
FedRAMP SM 3
FERPA 4
FIPS 140-2 5
FISMA และ DIACAP 5
GxP 5
HIPAA 6
IRAP 7
ISO 9001 8
ISO 27001 10
ISO 27017 12
ISO 27018 14
ITAR 16
MPAA 16
การรับรอง MTCS Tier 3 17
NIST 17
PCI DSS ระดับ 1 18
SOC 1/ISAE 3402 19
SOC 2 22
SOC 3 23
แหลงขอมูลเพิ่มเติม 24
การปรับปรุงเอกสาร 24
บทคัดยอ AWS รวมมือกับหนวยงานดานการรับรองจากภายนอกและผูตรวจสอบอิสระ เพ่ือมอบขอมูลที่สําคัญเกี่ยวกับนโยบาย กระบวนการ และการควบคุมที่วางแผนและดาํเนินงาน โดย AWS ใหกับลกูคา
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 1
CJIS AWS ปฏิบัติตามมาตรฐานของแผนก Criminal Justice Information Services (CJIS) ของ FBI เราลงนามในขอตกลงดานความปลอดภยั CJIS กบัลูกคา รวมถึงยินยอมหรือใหดําเนินการตรวจสอบภูมิหลังของพนักงานตามที่กําหนดโดยนโยบายดานความปลอดภัยของ CJIS
ลูกคาดานการบังคับใชกฎหมาย (และคูคาที่จัดการ CJI) สามารถใชประโยชนจากบริการของ AWS เพ่ือยกระดับความปลอดภัยและการปองกันขอมูลของ CJI โดยใชบริการและคุณสมบัติดานความปลอดภัยที่ล้ําหนาของ AWS อาทิ ระบบบันทึกกิจกรรม (AWS CloudTrail), การเขารหัสขอมูลทั้งระหวางการใชงานและระหวางจัดเก็บ (การเขารหัส ฝงเซิรฟเวอรของ S3 พรอมตัวเลือกในการใชคียของลูกคาเอง), การจัดการคียและการปองกันที่ครอบคลุม (AWS Key Management Service และ CloudHSM) รวมถึงการจัดการสิทธ์ิแบบผนวกรวม (การจัดการขอมูลประจาํตัวแบบเช่ือมโยงของ IAM และการรับรองความถกูตองแบบหลายปจจัย)
AWS ไดจดัทําเอกสารคูมือ Criminal Justice Information Services (CJIS) ในรูปแบบเทมเพลตการวางแผนความปลอดภัยที่สอดคลองกบัขอบเขตนโยบายของ CJIS นอกจากน้ี ยังไดมีการพัฒนาเอกสาร CJIS เพ่ือชวยใหคําแนะนําแกลกูคาสําหรับเตรียมความพรอมการใชงานระบบคลาวด
โปรดไปที่เพจฮับของ CJIS ที่ https://aws.amazon.com/compliance/cjis/
CSA ในป 2011 กลุมพันธมิตรความปลอดภยับนระบบคลาวด (CSA) เร่ิมตนแผนการ STAR ซ่ึงเปนแนวคิดเพ่ือสงเสริมความโปรงใสดานหลักปฏบิัติความปลอดภัยภายในกลุม ผูใหบริการระบบคลาวด CSA Security, Trust & Assurance Registry (STAR) คือรีจิสทรีฟรีที่สามารถเขาถงึไดโดยบคุคลทั่วไป ซ่ึงทาํหนาที่บันทึกการควบคุมดานความปลอดภัยภายในขอเสนอการประมวลผลระบบคลาวดตางๆ ทั้งน้ีเพ่ือชวยใหผูใชสามารถประเมินระดับความปลอดภัยของผูใหบริการที่ตนเองใชอยู หรือกาํลังพิจารณาลงนามสัญญาดวยได AWS เปนผูใหบริการที่ขึ้นทะเบียนกับ CSA STAR และผานการตอบ ชุดคําถาม Consensus Assessments Initiative Questionnaire (CAIQ) ของกลุมพันธมิตรความปลอดภัยบนระบบคลาวด (CSA) แลว ชุดคําถาม CAIQ ซ่ึงเผยแพรโดย CSA เสนอวิธีการในการอางอิงและบันทึกประเภทการควบคุมดานความปลอดภัยตางๆ ที่มี
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 2
ภายในระบบโครงสรางพ้ืนฐานของ AWS ในรูปแบบขอเสนอดานบริการ ชุดคําถาม CAIQ ประกอบดวยคาํถาม 298 ขอ ที่ผูใชงานคลาวดหรือผูตรวจสอบระบบคลาวด อาจสอบถามจากผูใหบริการระบบคลาวด
โปรดดูที่ชุดคําถาม CSA Consensus Assessments Initiative Questionnaire
Cyber Essentials Plus Cyber Essentials Plus คือแผนการรับรองที่สนับสนุนโดยรัฐบาลอังกฤษและสงเสริมโดยอุตสาหกรรม ซ่ึงเร่ิมตนใชงานภายในประเทศอังกฤษ โดยมีเปาหมายเพ่ือชวยใหองคกรแสดงใหเห็นถึงความสามารถดานความปลอดภัยเชิงปฏิบัติการตอการโจมตีทางไซเบอรที่พบไดทั่วไป
แผนการรับรองดังกลาวแสดงใหเห็นถึงการควบคุมแบบพ้ืนฐานที่ AWS ใชเพ่ือลดความเส่ียงจากภัยคกุคามทางอนิเทอรเน็ตที่พบไดทั่วไป ภายในบริบท “10 ขั้นตอนเพ่ือความปลอดภัยทางไซเบอร” ของรัฐบาลอังกฤษ แผนการรับรองน้ีไดรับการสนับสนุนโดยภาคอุตสาหกรรม รวมถึงสหภาพธุรกิจขนาดยอม สมาพันธอุตสาหกรรมอังกฤษ และหนวยงานดานการประกันภัยจํานวนหน่ึง ซ่ึงมอบรางวัลจูงใจใหกับธุรกจิตางๆ ที่ไดรับ การรับรองน้ี
Cyber Essentials กาํหนดการควบคุมเชิงเทคนิคที่จําเปน โดยกรอบงานการรับประกัน ที่เกี่ยวของน้ัน แสดงใหเห็นวากระบวนการรับประกันแบบอิสระทํางานใหกบัการรับรอง Cyber Essentials Plus ไดอยางไร ผานการประเมินจากภายนอกประจาํปซ่ึงกระทําผานผูประเมินที่ไดรับการรับรอง เน่ืองดวยลักษณะเชิงภูมิภาคของการรับรองดังกลาว ขอบเขตการรับรองน้ีจึงจาํกดัเฉพาะภูมิภาคสหภาพยุโรป (ไอรแลนด) เทาน้ัน
DoD SRG ระดับ 2 และ 4 โมเดลความปลอดภัยของระบบคลาวด (SRG) ของกระทรวงกลาโหมสหรัฐฯ (DoD) กําหนดการประเมินผลและกระบวนการอนุญาตอยางเปนทางการสําหรับผูใหบริการระบบคลาวด (CSP) เพ่ือรับการอนุญาตดานการเตรียมใชงานจากกระทรวงกลาโหม สําหรับการใชงานโดยลูกคาของกระทรวง การอนุญาตดานการเตรียมใชงานภายใตโมเดล SRG ใหการรับรองแบบนํากลับมาใชใหมได ซ่ึงรับรองการปฏิบัติตามมาตรฐานของกระทรวงกลาโหมสหรัฐฯ และชวยลดระยะเวลาที่จําเปนสําหรับเจาของภารกจิ
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 3
กระทรวงกลาโหมในการประเมินและอนุญาตระบบตางๆ เพ่ือการใชงานบน AWS ณ ปจจบุัน AWS ไดรับการอนุญาตดานการเตรียมใชงานที่ระดับ 2 และ 4 ของ SRG
สําหรับขอมูลเพ่ิมเติมเกี่ยวกับพ้ืนฐานการควบคุมความปลอดภัยทีก่ําหนดสําหรับระดับ 2, 4, 5 และ 6 สามารถดูไดที่ http://iase.disa.mil/cloud_security/Pages/index.aspx
โปรดไปที่เพจฮับของกระทรวงกลาโหมสหรัฐฯ (DoD) ที่ https://aws.amazon.com/compliance/dod/
FedRAMP SM AWS เปนผูใหบริการระบบคลาวดที่ปฏบิัติตามขอกาํหนดของ Federal Risk and Authorization Management Program (FedRAMP) AWS ผานการทดสอบที่ดําเนินโดยหนวยงานดานการประเมินภายนอก (3PAO) ซ่ึงรับรองโดย FedRAMP และไดรับมอบอํานาจตัวแทนในการปฏิบัติการ (ATO) สองชุดจากกระทรวงสาธารณสุขของสหรัฐฯ (HHS) หลังจากแสดงใหเห็นถึงการปฏิบัติตามขอกาํหนดของ FedRAMP ทีร่ะดับผลกระทบปานกลาง (Moderate) บริษัทตัวแทนของรัฐบาลสหรัฐฯ ทุกราย สามารถ ใชงานแพ็คเกจ AWS Agency ATO ที่จัดเกบ็ภายในที่จัดเก็บของ FedRAMP เพ่ือประเมิน AWS สําหรับความเหมาะสมกับแอปพลิเคชันและเวิรกโหลด การมอบการอนุญาตเพ่ือใชงาน AWS และการโอนยายเวิรกโหลดมายังสภาพแวดลอมของ AWS ได Agency ATO ของ FedRAMP ทัง้สองชุดครอบคลุมภูมิภาคทั้งหมดของสหรัฐอเมริกา (ภูมิภาค AWS GovCloud (US) และภูมิภาคสหรัฐอเมริกาฝงตะวันออก/ตะวันตกของ AWS)
บริการตอไปน้ีอยูภายในขอบเขตของการรับรองของภูมิภาคตามที่ระบุดานบน:
• Amazon Redshift – Amazon Redshift เปนคลังขอมูลในระดับเพตาไบตที่ไดรับการจัดการ ชวยใหคุณสามารถวิเคราะหขอมูลทั้งหมดไดดวยเคร่ืองมือ Business Intelligence ที่มีอยางคุมคาการลงทุน สําหรับขอมูลเพ่ิมเติม โปรดดู ที่น่ี
• Amazon Elastic Compute Cloud (Amazon EC2) – Amazon EC2 มอบความสามารถในการประมวลผลที่ปรับขนาดไดในระบบคลาวด EC2 ออกแบบมาเพ่ือใหนักพัฒนาสามารถประมวลผลระดับเว็บไดงายขึ้น สําหรับขอมูลเพ่ิมเติม โปรดดู ที่น่ี
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 4
• Amazon Simple Storage Service (S3) – Amazon S3 มีอินเทอรเฟสเว็บเซอรวิสที่เรียบงาย ซ่ึงสามารถใชเพ่ือจัดเกบ็และเรียกดูขอมูลทกุขนาดจากทกุที่บนเว็บไดตลอดเวลา สําหรับขอมูลเพ่ิมเติม โปรดดู ที่น่ี
• Amazon Virtual Private Cloud (VPC) – Amazon VPC มอบความสามารถ ใหคุณเตรียมใชงานเซกชันแบบแยกตามความสมเหตุสมผลในระบบ AWS ซ่ึงคุณสามารถเปดใชทรัพยากร AWS ในเครือขายเสมือนที่คุณกําหนดไวได สําหรับขอมูลเพ่ิมเติม โปรดดู ที่น่ี
• Amazon Elastic Block Store (EBS) – Amazon EBS ใหปริมาณการจัดเก็บขอมูลที่พรอมใชงาน คาดการณได และมีความนาเช่ือถือสูง และสามารถนําไปเช่ือมตอกับ Amazon EC2 Instance ที่ใชงานและแสดงเปนอุปกรณภายในอินสแตนซได สําหรับขอมูลเพ่ิมเติม โปรดดู ที่น่ี
• AWS Identity and Access Management (IAM) – IAM ชวยใหคุณควบคมุการเขาถึงบริการและทรัพยากร AWS ไดอยางปลอดภยัสําหรับผูใช IAM ชวยใหคุณสามารถสรางและจัดการผูใชและกลุมของ AWS รวมถึงใชการกําหนดสิทธ์ิเพ่ืออนุญาตหรือปฏิเสธการเขาถึงทรัพยากร AWS ของผูใชได สําหรับขอมูลเพ่ิมเติม โปรดดู ที่น่ี
สําหรับขอมูลเพ่ิมเติมเกี่ยวกับการปฏิบัติตามระเบียบ FedRAMPsm ของ AWS โปรดดูที่ คําถามที่พบบอยเกี่ยวกับ AWS FedRAMPsm ที ่https://aws.amazon.com/compliance/fedramp/
FERPA Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. § 1232g; 34 CFR Part 99) คอืกฎหมายรัฐบาลกลางวาดวยการคุมครองความเปนสวนตัวของบันทึกขอมูลการศึกษาผูเรียน กฎหมายน้ีมีผลบังคับใชกับทุกโรงเรียนที่ไดรับเงินทุนภายใตโปรแกรมที่บังคับใชโดยกระทรวงการศึกษาของสหรัฐฯ FERPA ใหสิทธ์ิบางประการแกผูปกครองในดานที่เกี่ยวของกับบันทึกขอมูลการศึกษาของบุตรตนเอง สิทธ์ิดังกลาวจะถูกสงมอบใหกับผูเรียน เม่ือผูเรียนมีอายุครบ 18 ป หรือเขารับการศึกษาในระดบัสูงกวาระดับมัธยมปลาย ผูเรียนที่ไดรับการสงมอบสิทธ์ิแลว จะเรียกวา “ผูเรียนที่ไดรับสิทธ์ิ”
AWS ชวยใหหนวยงานที่ครอบคลุมโดย FERPA รวมถึงกลุมธุรกิจที่เกี่ยวของใชประโยชนจากสภาพแวดลอมที่ปลอดภัยของ AWS ในการดาํเนินการ จดัการ และจัดเก็บขอมูลการศึกษาทีไ่ดรับความคุมครอง
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 5
นอกจากน้ี AWS ยังมี เอกสารที่ใหความสําคัญกับ FERPA ใหแกลกูคาผูสนใจศึกษาขอมูลเพ่ิมเติมเกี่ยวกับวิธีการใชบริการของ AWS เพ่ือดําเนินการและจัดการขอมูลทางการศึกษา
เอกสาร FERPA Compliance on AWS (การปฏบิติัตามขอกําหนด FERPA บน AWS) อธิบายวิธีการท่ีองคกรตางๆ สามารถใช AWS เพ่ือดําเนินการระบบที่เอื้อตอการปฏิบัติตามขอกําหนด FERPA:
FIPS 140-2 Federal Information Processing Standard (FIPS) Publication 140-2 เปนมาตรฐานความปลอดภยัของรัฐบาลสหรัฐฯ ซ่ึงระบุถึงขอกําหนดดานความปลอดภัยสําหรับโมดูล การเขารหัสที่ใชเพ่ือปกปองขอมูลที่มีความสําคัญ เพ่ือสนับสนุนลูกคาที่ตองปฏิบัติตามขอกําหนด FIPS 140-2 การยกเลกิ SSL ภายใน AWS GovCloud (US) น้ันทํางาน โดยใชฮารดแวรที่ผานการตรวจสอบตาม FIPS 140-2 AWS ทํางานรวมกับลูกคา AWS GovCloud (US) เพ่ือใหขอมูลที่จําเปนในการจัดการดานการปฏิบัติตามขอกําหนดเม่ือใชสภาพแวดลอมของ AWS GovCloud (สหรัฐอเมริกา)
FISMA และ DIACAP AWS ชวยใหบริษัทตัวแทนของรัฐบาลสหรัฐฯ ดําเนินการตามและรักษาการปฏิบัติตามขอกําหนดของ Federal Information Security Management Act (FISMA) โครงสรางพ้ืนฐานของ AWS ไดรับการประเมินโดยผูประเมินอิสระสําหรับระบบตางๆ ของรัฐบาลระหวางขั้นตอนการรับรองโดยเจาของระบบ หนวยงานราชการพลเรือนและหนวยงานของกระทรวงกลาโหมสหรัฐฯ หลายหนวยงานไดผานการอนุญาตดานความปลอดภัยสําหรับระบบที่โฮสตบน AWS ตามกระบวนการของกรอบงานการจัดการความเส่ียง (RMF) ที่ระบุภายใน NIST 800-37 และ DoD Information Assurance Certification and Accreditation Process (DIACAP)
GxP GxP เปนอักษรยอซ่ึงหมายถึงระเบียบขอบังคับและแนวทางปฏิบัติที่มีผลบังคับใชกับองคกรดานชีววิทยาที่ผลติอาหารและผลิตภัณฑดานการแพทย เชน ยา อุปกรณการแพทย และแอปพลิเคชันซอฟตแวรทางการแพทย เน้ือหาและวัตถุประสงคโดยรวมของขอกําหนด GxP คือเพ่ือรับรองวาผลิตภัณฑอาหารและยาน้ันจะปลอดภัยกับผูบริโภค
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 6
และเพ่ือรับประกันดานความถูกตองแมนยําของขอมูลที่ใชสําหรับการตัดสินใจดานความปลอดภัยที่เกีย่วของกับผลิตภัณฑ
AWS มีการจดัทํา เอกสาร GxP ซ่ึงระบุรายละเอียดแนวทางแบบครอบคลุมสําหรับการ ใชงาน AWS กับระบบ GxP เอกสารดังกลาวใหคําแนะนําสําหรับการใชงาน ผลิตภัณฑ AWS ภายใตบริบทของ GxP และเน้ือหาดังกลาวไดมีการจัดทําขึ้นรวมกับลูกคากลุม เภสัชกรรมและการแพทยของ AWS รวมถึงคูคาดานซอฟตแวรซ่ึงใชผลิตภัณฑ AWS กับระบบ GxP ท่ีผานการตรวจสอบของตนเอง
สําหรับขอมูลเพ่ิมเติมเกี่ยวกับ GxP บนระบบ AWS โปรดติดตอฝายการขายและพัฒนาธุรกิจของ AWS
สําหรับขอมูลเพ่ิมเติม สามารถดูไดที่คําถามที่พบบอยเกี่ยวกับการปฏบิัติตามขอกําหนดของ GxP ที ่https://aws.amazon.com/compliance/gxp-part-11-annex-11/
HIPAA AWS ชวยใหหนวยงานที่ครอบคลุม รวมถึงกลุมธุรกิจที่เกี่ยวของกบักฎหมาย U.S. Health Insurance Portability and Accountability Act (HIPAA) สามารถใชสภาพแวดลอมของ AWS เพ่ือดําเนินการ รักษา และจัดเก็บขอมูลดานสุขภาพที่มีการคุมครอง และ AWS จะทําการลงนามในขอตกลงการมีสวนรวมทางธุรกิจกับลกูคาเหลาน้ี นอกจากน้ี AWS ยังเผยแพรเอกสารที่ใหความสําคญักับ HIPAA แกลูกคาผูสนใจศึกษาขอมูลเพ่ิมเติมเกี่ยวกับวิธีการใชบริการของ AWS เพ่ือดําเนินการและจัดการขอมูลทางดานสุขภาพ เอกสาร การวางสถาปตยกรรมสําหรับความปลอดภัย HIPAA และการปฏิบัติตามขอกําหนดของ Amazon Web Services อธิบายถึงวิธีการที่องคกรสามารถใช AWS เพ่ือดําเนินระบบที่เอื้อตอการปฏิบัติใหสอดคลองตามขอกาํหนดของ HIPAA และ Health Information Technology for Economic and Clinical Health (HITECH)
ลูกคาสามารถเลือกใชบริการใดๆ ของ AWS ภายในบัญชีที่กําหนดใหเปนบัญชี HIPAA แตลูกคาควรดําเนินกระบวนการ จัดเก็บ และสงผาน PHI ภายในบริการที่มีสิทธ์ิ HIPAA ตามที่ระบุใน BAA เทาน้ัน ณ ปจจบุัน มีบริการเการายการที่มีสิทธ์ิ HIPAA ไดแก:
• Amazon DynamoDB
• Amazon Elastic Block Store (EBS)
• Amazon Elastic Cloud Compute (EC2)
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 7
• Elastic Load Balancing (ELB)
• Amazon Elastic MapReduce (EMR)
• Amazon Glacier
• Amazon Redshift
• Amazon Relational Database Service (Amazon RDS) ซึ่งใชงานเฉพาะเอนจิน MySQL และ Oracle
• Amazon Simple Storage Service (S3)
AWS ปฏิบัติตามโปรแกรมจัดการความเส่ียงที่อางองิตามมาตรฐาน เพ่ือรับประกันวาบริการที่มีสิทธ์ิ HIPAA น้ันสนับสนุนความปลอดภัย การควบคุม และกระบวนการเชิงบริหารควบคุมที่กําหนดโดย HIPAA โดยเฉพาะ การใชงานบริการดังกลาวเพ่ือจัดเก็บและประมวลผล PHI ชวยใหลกูคาของเรารวมถึง AWS สามารถตอบสนองตอขอกําหนดของ HIPAA ทีใ่ชกับโมเดลการดําเนินงานเชิงอรรถประโยชนของเราได AWS ใหความสําคัญและเพ่ิมบริการที่มีสิทธ์ิใหมๆ โดยพิจารณาจากความตองการของลูกคา
สําหรับขอมูลเพ่ิมเติม โปรดดูที่ คําถามที่พบบอยเกี่ยวกับการปฏิบัติตาม HIPAA และ การวางสถาปตยกรรมสําหรับความปลอดภัย HIPAA และการปฏิบัติตามขอกาํหนดของ Amazon Web Services
IRAP โปรแกรม Information Security Registered Assessors Program (IRAP) ชวยใหลูกคาของรัฐบาลออสเตรเลียสามารถตรวจสอบไดวามีการใชการควบคุม รวมถึงระบุโมเดลความรับผิดชอบที่เหมาะสมเพ่ือรับมือกับความตองการตามที่ระบุในคูมือ Australian Signals Directorate (ASD) Information Security Manual (ISM)
Amazon Web Services ผานการประเมินแบบอิสระ ที่กําหนดใหมีการวางมาตรการควบคุม ISM อยางเหมาะสมทั้งหมดในสวนที่เกี่ยวของกับการดําเนินการ การจัดเก็บ และการสงผานของ Unclassified (DLM) สําหรับภูมิภาคซิดนียของ AWS
สําหรับขอมูลเพ่ิมเติม โปรดดูที่ คําถามที่พบบอยเกี่ยวกับการปฏิบัติตาม IRAP ที่ https://aws.amazon.com/compliance/irap/ และความสอดคลองของ AWS กับ การพิจารณาดานความปลอดภัยการประมวลผลระบบคลาวดของ Australian Signals Directorate (ASD)
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 8
ISO 9001 AWS ไดรับการรับรองตามมาตรฐาน ISO 9001, การรับรองมาตรฐาน ISO 9001 ของ AWS สนับสนุนลูกคาซ่ึงพัฒนา โอนยาย และใชงานระบบไอทีที่มีการควบคมุเชิงคุณภาพภายใน AWS Cloud โดยตรง ลูกคาสามารถใชรรายงานการปฏิบัติตามขอกาํหนดของ AWS เพ่ือเปนหลักฐานสําหรับโปรแกรม ISO 9001 ของตนเองและโปรแกรมคุณภาพเฉพาะของอุตสาหกรรม เชน GxP สําหรับอุตสาหกรรมวิทยาศาสตรชีวภาพ, ISO 13485 ในกลุมอุปกรณการแพทย, AS9100 ในกลุมการบินและอวกาศ และ ISO/TS 16949 ในกลุมยานยนต ลูกคา AWS ที่ไมมีขอกําหนดดานระบบคุณภาพ ก็สามารถใชประโยชนจากการรับรองเพ่ิมเติมและความโปรงใสจากการรับรองตามมาตรฐาน ISO 9001 ไดเชนกัน
การรับรองมาตรฐาน ISO 9001 ครอบคลุมระบบการจัดการคณุภาพสําหรับขอบเขตบริการ AWS และภูมิภาคการปฏิบัติการ (ดานลาง) และการใหบริการเฉพาะ ดังน้ี
• AWS CloudFormation
• AWS Cloud Hardware Security Model (HSM)
• Amazon CloudFront
• AWS CloudTrail
• AWS Direct Connect
• AWS Directory Service
• Amazon DynamoDB
• Amazon EC2 VM Import/Export
• AWS Elastic Beanstalk
• Amazon Elastic Block Store (EBS)
• Amazon Elastic Cloud Compute (EC2)
• Amazon EC2 Container Service (ECS)
• Amazon Elastic File System (EFS)
• Elastic Load Balancing (ELB)
• Amazon Elastic MapReduce (EMR)
• Amazon ElastiCache
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 9
• Amazon Glacier
• AWS Identity and Access Management (IAM)
• AWS Key Management Service (KMS)
• Amazon Redshift
• Amazon Relational Database Service (RDS)
• AWS Route 53
• Amazon SimpleDB
• Amazon Simple Email Service (SES)
• Amazon Simple Queue Service (SQS)
• Amazon Simple Storage Service (S3)
• AWS Storage Gateway
• Amazon Simple Workflow Service (SWF)
• Amazon Virtual Private Cloud (VPC)
• AWS WAF - ไฟรวอลลสาํหรับเว็บแอปพลิเคชัน
• Amazon WorkDocs
• Amazon WorkMail
• Amazon WorkSpaces
• โครงสรางพืน้ฐานเชิงกายภาพทีส่ําคญัและสภาพแวดลอมการจัดการของ AWS
การรับรองมาตรฐาน ISO 9001 ของ AWS ครอบคลุมภูมิภาคของ AWS ดังน้ี สหรัฐอเมริกาฝงตะวันออก (เวอรจิเนียตอนเหนือ), สหรัฐอเมริกาฝงตะวันตก (โอริกอน), สหรัฐอเมริกาฝงตะวันตก (แคลิฟอรเนียตอนเหนือ), AWS GovCloud (สหรัฐอเมริกา), อเมริกาใต (เซาเปาโล), สหภาพยุโรป (ไอรแลนด), สหภาพยุโรป (แฟรงกเฟรต), เอเชียแปซิฟก (สิงคโปร), เอเชียแปซิฟก (ซิดนีย) และเอเชียแปซิฟก (โตเกียว)
ISO 9001:2008 เปนมาตรฐานระดับสากลสําหรับการจัดการคณุภาพของผลิตภัณฑ และบริการ มาตรฐาน 9001 กาํหนดระบบการจัดการคุณภาพ โดยอางอิงจากหลักการ แปดประการ ซ่ึงระบุโดยคณะกรรมการดานเทคนิคสําหรับการจัดการและการรับประกันดานคุณภาพแหงองคการระหวางประเทศวาดวยการวางมาตรฐาน (ISO) หลักการดังกลาวประกอบดวย
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 10
• การใหความสําคัญกับลกูคา
• การเปนผูนํา
• การมีสวนรวมของประชาชน
• แนวทางการดําเนินการ
• แนวทางของระบบในการจัดการ
• การพัฒนาอยางตอเน่ือง
• แนวทางการตัดสินใจโดยอิงกับขอเท็จจริง
• ความสัมพันธกับผูจําหนายที่เอื้อประโยชนรวมกัน
สามารถดาวนโหลดการรับรองมาตรฐาน ISO 9001 ของ AWS ไดที ่https://d0.awsstatic.com/certifications/iso_9001_certification.pdf
นอกจากน้ี AWS ยังมีขอมูลเพ่ิมเติม รวมถึงคําถามที่พบบอยเกี่ยวกับการรับรองมาตรฐาน ISO 9001 ซ่ึงดูไดที่ https://aws.amazon.com/compliance/iso-9001-faqs/
ISO 27001 AWS ไดรับการรับรองมาตรฐาน ISO 27001 สําหรับระบบการจดัการความปลอดภัยขอมูล (ISMS) ของเรา ซ่ึงครอบคลุมระบบโครงสรางพ้ืนฐานของ AWS, ศูนยขอมูล และบริการดังตอไปน้ี
• AWS CloudFormation
• Amazon CloudFront
• AWS Cloudtrail
• AWS Directory Service
• Amazon DynamoDB
• AWS Elastic Beanstalk
• Amazon Elastic Block Store (EBS)
• Amazon Elastic Cloud Compute (EC2)
• Amazon EC2 Container Service (ECS)
• AWS Direct Connect
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 11
• Amazon EC2 VM Import/Export
• AWS Cloud Hardware Security Model (HSM)
• Elastic Load Balancing (ELB)
• Amazon Elastic File System (EFS)
• Amazon Elastic MapReduce (EMR)
• Amazon ElastiCache
• Amazon Glacier
• AWS Identity and Access Management (IAM)
• AWS Key Management Service (KMS)
• Amazon Redshift
• Amazon Relational Database Service (RDS)
• AWS Route 53
• Amazon SimpleDB
• Amazon Simple Email Service (SES)
• Amazon Simple Queue Service (SQS)
• Amazon Simple Storage Service (S3)
• Amazon Simple Workflow Service (SWF)
• AWS Storage Gateway
• Amazon Virtual Private Cloud (VPC)
• AWS WAF - ไฟรวอลลสาํหรับเว็บแอปพลิเคชัน
• Amazon WorkDocs
• Amazon WorkMail
• Amazon WorkSpaces
• โครงสรางพืน้ฐานเชิงกายภาพทีส่ําคญั (รวมถึง GovCloud) และสภาพแวดลอมการจัดการของ AWS
ISO 27001/27002 เปนมาตรฐานความปลอดภัยสากลที่มีการใชงานอยางกวางขวาง และเปนตัววางขอกําหนดและแนวทางปฏิบัติมาตรฐานสําหรับแนวทางอยางเปนระบบ เพ่ือใช
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 12
จัดการขอมูลองคกรและขอมูลลูกคา โดยอาศัยการอางอิงการประเมินความเส่ียงเปนระยะใหเหมาะสมกับสถานการณภัยคุกคามที่มีการเปลีย่นแปลงอยางไมหยุดยั้ง เพ่ือใหไดมา ซ่ึงการรับรองดังกลาว องคกรตองพิสูจนใหเห็นไดวามีการแนวทางอยางเปนระบบและตอเน่ืองสําหรับการจัดการความเส่ียงดานความปลอดภัยขอมูลซ่ึงสงผลกับการรักษาความลับ ความถกูตอง และความพรอมใชงานขอมูล ทั้งขององคกรและของลกูคา การรับรองน้ีเปนส่ิงยืนยันถึงความมุงม่ันของ Amazon ในการใหขอมูลที่สําคัญเกี่ยวกับการควบคุมและแนวทางปฏิบติัดานความปลอดภยัของเรา
การรับรองมาตรฐาน ISO 27001 ของ AWS ครอบคลุมภูมิภาคของ AWS ดงัน้ี สหรัฐอเมริกาฝงตะวันออก (เวอรจิเนียตอนเหนือ), สหรัฐอเมริกาฝงตะวันตก (โอริกอน), สหรัฐอเมริกาฝงตะวันตก (แคลิฟอรเนียตอนเหนือ), AWS GovCloud (สหรัฐอเมริกา), อเมริกาใต (เซาเปาโล), สหภาพยุโรป (ไอรแลนด), สหภาพยุโรป (แฟรงกเฟรต), เอเชียแปซิฟก (สิงคโปร), เอเชียแปซิฟก (ซิดนีย) และเอเชียแปซิฟก (โตเกียว)
สามารถดาวนโหลดการรับรอง ISO 27001 ของ AWS ไดที่ https://d0.awsstatic.com/certifications/iso_27001_global_certification.pdf
นอกจากน้ี AWS ยังมีขอมูลเพ่ิมเติม รวมถึงคําถามที่พบบอยเกี่ยวกับการรับรองมาตรฐาน ISO 27001 ซ่ึงดูไดที่ https://aws.amazon.com/compliance/iso-27001-faqs/
ISO 27017 ISO 27017 เปนหลักปฏบิัติลาสุดที่เผยแพรโดยองคการระหวางประเทศวาดวยการวางมาตรฐาน (ISO) หลักปฏบิัติน้ีใหคําแนะนําในการใชการควบคุมความปลอดภัยขอมูลที่เกี่ยวของกับบริการระบบคลาวดโดยเฉพาะ
AWS ไดรับการรับรองมาตรฐาน ISO 27017 สําหรับระบบการจดัการความปลอดภัยขอมูล (ISMS) ของเรา ซ่ึงครอบคลุมระบบโครงสรางพ้ืนฐานของ AWS, ศูนยขอมูล และบริการดังตอไปน้ี
• Amazon CloudFront
• Amazon DynamoDB
• Amazon EC2 Container Service (ECS)
• Amazon Elastic Block Store (EBS)
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 13
• Amazon Elastic Compute Cloud (EC2)
• Amazon Elastic File System (EFS)
• Amazon Elastic MapReduce (EMR)
• Amazon ElastiCache
• Amazon Glacier
• Amazon Redshift
• Amazon Relational Database Service (RDS)
• Amazon Route 53
• Amazon Simple Email Service (SES)
• Amazon Simple Queue Service (SQS)
• Amazon Simple Storage Service (S3)
• Amazon Simple Workflow Service (SWF)
• Amazon SimpleDB
• Amazon Virtual Private Cloud (VPC)
• Amazon WorkDocs
• Amazon WorkMail
• Amazon WorkSpaces
• AWS CloudFormation
• AWS CloudHSM
• AWS CloudTrail
• AWS Direct Connect
• AWS Directory Service
• AWS Elastic Beanstalk
• AWS Identity and Access Management (IAM)
• AWS Key Management Service (KMS)
• AWS Storage Gateway
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 14
• AWS WAF (ไฟรวอลลสําหรับเว็บแอปพลิเคชัน)
• Elastic Load Balancing
• VM Import/Export
สามารถดาวนโหลดการรับรองมาตรฐาน ISO 27017 ของ AWS ไดที่ https://d0.awsstatic.com/certifications/iso_27017_certification.pdf
นอกจากน้ี AWS ยังมีการเผยแพรขอมูลเพ่ิมเติม รวมถึงคําถามที่พบบอยเกีย่วกับการรับรองมาตรฐาน ISO 27017 ซ่ึงดไูดที่ https://aws.amazon.com/compliance/iso-27017-faqs/
ISO 27018 ISO 27018 เปนหลักปฏบิัติสากลชุดแรกที่มุงใหความสําคัญกับการปกปองขอมูล สวนบุคคลบนระบบคลาวด หลักปฏิบัติดังกลาวมีพ้ืนฐานจากมาตรฐานการรักษาความปลอดภัยขอมูล ISO 27002 และใหคําแนะนําในการใชการควบคุมของ ISO 27002 ซ่ึงสามารถใชไดกับขอมูลที่ระบุตัวคนได (PII) บนระบบคลาวดสาธารณะ นอกจากน้ี ยังมีชุดการควบคุมเพ่ิมเติมรวมถึงคําแนะนําที่เกี่ยวของ โดยมีเปาหมายสําหรับจัดการกับการปองกันขอมูล PII บนระบบคลาวดสาธารณะในขอบขายที่ยังไมครอบคลุมโดยชุดการควบคุมของมาตรฐาน ISO 27002
AWS ไดรับการรับรองมาตรฐาน ISO 27018 สําหรับระบบการจดัการความปลอดภัยขอมูล (ISMS) ของเราซ่ึงครอบคลุมระบบโครงสรางพ้ืนฐานของ AWS, ศูนยขอมูล และบริการดังตอไปน้ี
• Amazon CloudFront
• Amazon DynamoDB
• Amazon EC2 Container Service (ECS)
• Amazon Elastic Block Store (EBS)
• Amazon Elastic Compute Cloud (EC2)
• Amazon Elastic File System (EFS)
• Amazon Elastic MapReduce (EMR)
• Amazon ElastiCache
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 15
• Amazon Glacier
• Amazon Redshift
• Amazon Relational Database Service (RDS)
• Amazon Route 53
• Amazon Simple Email Service (SES)
• Amazon Simple Queue Service (SQS)
• Amazon Simple Storage Service (S3)
• Amazon Simple Workflow Service (SWF)
• Amazon SimpleDB
• Amazon Virtual Private Cloud (VPC)
• Amazon WorkDocs
• Amazon WorkMail
• Amazon WorkSpaces
• AWS CloudFormation
• AWS CloudHSM
• AWS CloudTrail
• AWS Direct Connect
• AWS Directory Service
• AWS Elastic Beanstalk
• AWS Identity and Access Management (IAM)
• AWS Key Management Service (KMS)
• AWS Storage Gateway
• AWS WAF (ไฟรวอลลสําหรับเว็บแอปพลิเคชัน)
• Elastic Load Balancing
• VM Import/Export
สามารถดาวนโหลดการรับรองมาตรฐาน ISO 27018 ของ AWS ไดที่ https://d0.awsstatic.com/certifications/iso_27018_certification.pdf
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 16
นอกจากน้ี AWS ยังรวบรวมขอมูลเพ่ิมเติม รวมถึงคําถามที่พบบอยเกี่ยวกับการรับรองมาตรฐาน ISO 27018 ซ่ึงดูไดที่ https://aws.amazon.com/compliance/iso-27018-faqs/
ITAR ภูมิภาค AWS GovCloud (US) สนับสนุนการปฏิบัติตามระเบียบขอบังคับวาดวยการควบคุมการขนสงอาวุธนานาชาติของสหรัฐฯ (ITAR) ในฐานะสวนหน่ึงของการจัดการโปรแกรมการปฏิบัติตามระเบียบของ ITAR อยางครอบคลุม องคกรที่อยูภายใตขอกําหนดดานการสงออกของ ITAR จะตองควบคุมการสงออกที่ไมไดต้ังใจ โดยจาํกดัการเขาถึงขอมูลที่ไดรับการคุมครองใหกับประชาชนสหรัฐฯ และจํากัดการเขาถึงตําแหนงที่ต้ังทางกายภาพของขอมูลเฉพาะประเทศสหรัฐฯ เทาน้ัน AWS GovCloud (สหรัฐอเมริกา) มอบสภาพแวดลอมที่มีที่ต้ังทางกายภาพอยูภายในสหรัฐฯ และจํากัดการเขาถงึไดโดยบุคลากรของ AWS ที่เปนประชาชนสหรัฐฯ เทาน้ัน จึงทําใหบริษัทที่มีคุณสมบัติเหมาะสมสามารถสงผาน ดําเนินการ และจัดเก็บขอมูลและบทความที่มีการปองกันตามขอกําหนดของ ITAR ได สภาพแวดลอมของ AWS GovCloud (US) ไดรับการตรวจสอบโดยบริษัทอิสระจากภายนอก เพ่ือรับรองวามีการใชการควบคมุที่เหมาะสมตอการปฏิบัติตามขอกําหนดโปรแกรมการสงออกตามขอกําหนดน้ี
MPAA สมาคมภาพยนตอเมริกัน (MPAA) ไดกาํหนดชุดของแนวทางปฏิบัติมาตรฐานเพ่ือใชสําหรับการจัดเก็บ ประมวลผล และสงมอบเน้ือหาส่ือที่มีการคุมครองอยางปลอดภัย (http://www.fightfilmtheft.org/facility-security-program.html) บริษัทดานส่ือใชแนวทางปฏิบัติมาตรฐานน้ีเพ่ือการประเมินความเส่ียงและความปลอดภยัของเน้ือหา รวมถึงโครงสรางพ้ืนฐานของตนเอง AWS ไดพิสูจนใหเห็นถึงการดําเนินการสอดคลองกับแนวทางปฏิบัติมาตรฐานของ MPAA และโครงสรางพ้ืนฐานของ AWS ก็มีความสอดคลองตามการควบคุมดานโครงสรางพ้ืนฐานของ MPAA ที่ใชงานทั้งหมด แมวาทาง MPAA จะไมมีการเสนอ “การรับรอง” ใดๆ แตลูกคาภาคอุตสาหกรรมส่ือก็สามารถใชเอกสาร MPAA ของ AWS สําหรับเสริมการประเมินความเส่ียง และการประเมินเน้ือหาประเภท MPAA บน AWS ได
โปรดดูรายละเอียดเพ่ิมเติมจากเพจฮับการปฏิบัติตาม MPAA ของ AWS ที่ https://aws.amazon.com/compliance/mpaa/
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 17
การรับรอง MTCS Tier 3 ระบบความปลอดภัยบนคลาวดแบบมัลติเทียร (MTCS) เปนมาตรฐานการจัดการดาน ความปลอดภยัเชิงปฏิบัติการของประเทศสิงคโปร (SPRING SS 584:2013) ซ่ึงอางอิงจากมาตรฐานของระบบการจัดการความปลอดภัยขอมูล (ISMS) ของ ISO 27001/02 การประเมินการรับรองน้ี กําหนดให Amazon ดาํเนินกิจกรรมตอไปน้ี
• ประเมินความเส่ียงดานความปลอดภัยขอมูลของเราอยางเปนระบบ โดยคํานึงถึงผลกระทบของภัยคกุคามและความเส่ียงขององคกร
• ออกแบบและใชงานชุดการควบคุมความปลอดภยัขอมูลโดยครอบคลุม รวมถึง ใชการจัดการความเส่ียงในรูปแบบอื่นๆ เพ่ือจัดการกับความเส่ียงดานความปลอดภัยขององคกรและสถาปตยกรรม
• ใชกระบวนการจดัการท่ีครอบคลุม เพ่ือรับประกันวาการควบคุมความปลอดภยัขอมูลน้ันสอดคลองกบัความตองการดานความปลอดภัยขอมูลของเราอยางสมํ่าเสมอ
โปรดดูเพจฮับของ MTCS ที่ https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/
NIST ในเดือนมิถุนายนป 2015 สถาบันแหงชาติดานมาตรฐานและและเทคโนโลยี (NIST) ไดเผยแพรแนวทางปฏิบัติ 800-171 “แนวทางปฏิบติัฉบับสมบูรณสําหรับการปองกันขอมูลของรัฐบาลที่สําคัญซ่ึงจดัเก็บโดยผูรับเหมา” คําแนะนําดังกลาวมีผลบังคับใชกับการปองกันขอมูลทีไ่มเปนความลับซ่ึงมีการควบคุม (CUI) บนระบบที่ไมใชของรัฐ
AWS ปฏิบัติตามแนวทางปฏิบัติดังกลาวอยูแลว และลูกคาสามารถปฏิบัติตามขอกําหนดของ NIST 800-171 ไดอยางมีประสิทธิภาพโดยทันที แนวทางปฏิบัติ NIST 800-171 อธิบายสวนยอยของขอกาํหนด NIST 800-53 ซ่ึงเปนแนวทางปฏิบัติที่ AWS ไดผาน การตรวจสอบแลวภายใตโปรแกรมของ FedRAMP พ้ืนฐานการควบคุมความปลอดภัย FedRAMP Moderate น้ันมีความเขมงวดกวาขอกาํหนดที่แนะนําตามรายละเอียดในบทที่ 3 ของคาํแนะนํา 800-171 และมีการรวมเอาการควบคุมความปลอดภัยจาํนวนมาก ซ่ึงเกินกวาที่ระบุโดยระบบ FISMA Moderate ที่ปองกันขอมูล CUI สามารถดูการเช่ือมโยงโดยละเอียดไดภายในเอกสาร NIST Special Publication 800-171 เร่ิมตนที่หนา D2 (หรือหนา 37 ของเอกสาร PDF)
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 18
PCI DSS ระดับ 1 AWS มีความสอดคลองตามระดับ 1 (Level 1) ตามมาตรฐานการรักษาความปลอดภัยสําหรับอุตสาหกรรมการชําระเงินผานบัตรเครดิต (PCI DSS) ลูกคาสามารถรัน แอปพลิเคชันบนโครงสรางพ้ืนฐานเทคโนโลยีที่สอดคลองกับขอกาํหนด PCI เพ่ือใชจัดเก็บ ประมวลผล และสงผานขอมูลบัตรเครดิตในระบบคลาวดได เม่ือเดือนกุมภาพันธ 2013 คณะกรรมการมาตรฐานดานความปลอดภัยของ PCI ไดเผยแพรหลักเกณฑการประมวลผลแบบคลาวดสําหรับ PCI DSS หลักเกณฑดังกลาวใหรายละเอยีดแกลูกคาที่จัดการสภาพแวดลอมขอมูลผูถือบัตร เพ่ือการพิจารณาวิธีการรักษาการควบคุม PCI DSS ในระบบคลาวด AWS ไดนําหลักเกณฑการประมวลผลบนระบบคลาวดของ PCI DSS มารวมไวภายในแพ็คเกจ AWS PCI Compliance Package สําหรับลูกคา แพ็คเกจ AWS PCI Compliance Package ประกอบดวย เอกสารยืนยันการปฏิบัติตามมาตรฐาน (AoC) PCI ของ AWS ซ่ึงแสดงใหเห็นวา AWS ไดผานการรับรองตามมาตรฐานของการเปนผูใหบริการระดับ Level 1 ภายใตเง่ือนไข PCI DSS เวอรชัน 3.1 และเอกสารสรุปความรับผิดชอบของ PCI ของ AWS ซ่ึงอธิบายถึงวิธีการรับผิดชอบรวมกันดานการปฏบิัติตามขอกําหนดระหวาง AWS และลูกคาบนระบบคลาวด
บริการดานลางตอไปน้ีรวมอยูในขอบเขตสําหรับ PCI DSS Level 1
• Auto Scaling
• AWS CloudFormation
• Amazon CloudFront
• AWS CloudHSM
• AWS CloudTrail
• AWS Direct Connect
• Amazon DynamoDB
• AWS Elastic Beanstalk
• Amazon Elastic Block Store (EBS)
• Amazon Elastic Compute Cloud (EC2)
• Elastic Load Balancing (ELB)
• Amazon Elastic MapReduce (EMR)
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 19
• Amazon Glacier
• AWS Key Management Service (KMS)
• AWS Identity and Access Management (IAM)
• Amazon Redshift
• Amazon Relational Database Service (RDS)
• Amazon Route 53
• Amazon SimpleDB
• Amazon Simple Storage Service (S3)
• Amazon Simple Queue Service (SQS)
• Amazon Simple Workflow Service SWF
• Amazon Virtual Private Cloud (VPC)
• โครงสรางพืน้ฐานเชงิกายภาพที่สาํคญั (รวมถงึ GovCloud) และสภาพแวดลอมการจดัการของ AWS
ขอบเขตการใหบริการและภูมิภาคสําหรับการรับรอง AWS PCI DSS Level 1 ฉบับลาสุด สามารถดูไดที ่https://aws.amazon.com/compliance/pci-dss-level-1-faqs/
SOC 1/ISAE 3402 Amazon Web Services เผยแพรรายงาน Service Organization Controls 1 (SOC 1), Type II การตรวจสอบสําหรับรายงานดงักลาวดาํเนินการโดยมีความสอดคลองตามขอกําหนดสถาบันผูสอบบัญชีรับอนุญาตของประเทศสหรัฐอเมริกา (AICPA) ดังน้ี: AT 801 (เดิมคือ SSAE 16) และ International Standards for Assurance Engagements No. 3402 (ISAE 3402) รายงานแบบมาตรฐานรวมฉบับน้ี มีวัตถุประสงคเพ่ือใหตรงตามขอกําหนดดานการตรวจสอบทางการเงินที่หลากหลายของหนวยงาน การตรวจสอบของสหรัฐฯ และหนวยงานสากล การตรวจสอบรายงาน SOC 1 ยืนยันวาวัตถุประสงคการควบคุมของ AWS มีการวางแผนอยางเหมาะสม และการควบคุมแตละรายการที่ระบุเพ่ือการปกปองขอมูลลกูคาน้ันทํางานไดอยางมีประสิทธิภาพ รายงานฉบับน้ี เปนเอกสารที่ใชแทนรายงาน Statement on Auditing Standards No. 70 (SAS 70) Type II
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 20
วัตถุประสงคการควบคุมของ AWS SOC 1 มีการระบุไวที่น่ี ขอมูลในรายงานเอง ระบุถึงกิจกรรมการควบคุมที่สนับสนุนวัตถุประสงคแตละขอเหลาน้ี และผลลัพธของกระบวนการทดสอบการควบคุมแตละรายการจากผูตรวจสอบอิสระ
ขอบขายวตัถุประสงค คําอธิบายวตัถุประสงค
องคกรดานความปลอดภยั มีการควบคุมที่เหมาะสมเพียงพอ เพื่อรับประกันวามีการวางแผนและสื่อสารนโยบายดานความปลอดภัยขอมูลตลอดทั่วทั้งองคกร
การเขาถงึของผูใชทีเ่ปนพนกังาน
มีการควบคุมที่เหมาะสมเพียงพอ เพื่อรับประกันวามีการวางขั้นตอนตางๆ สําหรับการเพิ่ม แกไข และลบบัญชีผูใชที่เปนพนักงานของ Amazon อยางทันทวงที และมีการตรวจสอบเปนระยะ
ความปลอดภยัลอจิคลั มีการควบคุมที่เหมาะสมเพียงพอ เพื่อรับประกันวามีการกําหนดนโยบายและระบบกลไกเพื่อจํากัดการเขาถึงขอมูลอยางเหมาะสม ทั้งจากภายนอกและภายใน และขอมูลลูกคามีการแยกออกจากขอมูลลูกคารายอื่นอยางเหมาะสม
การจดัการขอมลูแบบปลอดภยั
มีการควบคุมที่เหมาะสมเพียงพอ เพื่อรับประกันวาการจัดการขอมูลระหวางจุดเริ่มตนของลูกคามายังตําแหนงจัดเก็บของ AWS น้ันมี ความปลอดภัยและมีการแม็ปอยางแมนยํา
ความปลอดภยัเชิงกายภาพและการปองกันทางสภาพแวดลอม
มีการควบคุมที่เหมาะสมเพียงพอ เพื่อรับประกันวาการเขาถึงขอมูลทางกายภาพมีการจํากัดเฉพาะบุคลากรที่ไดรับอนุญาต และมีการวางระบบกลไกไวเพื่อลดผลกระทบจากการทํางานผิดพลาด หรือความเสียหายเชิงกายภาพตอสถานที่ของศูนยขอมูล
การจดัการการเปลีย่นแปลง มีการควบคุมที่เหมาะสมเพียงพอ เพื่อรับประกันวาการเปล่ียนแปลงใดๆ (รวมถึงกรณีฉุกเฉิน / ไมเปนไปตามกําหนดการ และการกําหนดคา) ที่เกิดขึ้นกับทรัพยากรดานไอทีที่มีอยู จะมีการบันทึก อนุญาต ทดสอบ อนุมัติ และจัดทําเอกสารไว
ความถูกตองขอมลู ความพรอมใชงาน และการสาํรองการทาํงาน
มีการควบคุมที่เหมาะสมเพียงพอ เพื่อรับประกันวามีการดูแลความถูกตองขอมูลในทุกขั้นตอน รวมถึงระหวางการสงขอมูล การจัดเก็บ และการประมวลผล
การรบัมอืกบัเหตกุารณ มีการควบคุมที่เหมาะสมเพียงพอ เพื่อรับประกันวาเหตุการณใดๆ ที่เกิดขึ้นกับระบบจะไดรับการลงบันทึก วิเคราะห และแกไข
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 21
รายงาน SOC 1 ออกแบบมาเพ่ือใหความสําคัญกบัการควบคุมภายในองคกรดานการบริการ ซ่ึงมีแนวโนมจะเกีย่วของกับการตรวจสอบรายงานทางการเงินของหนวยงานลูกคา เน่ืองจากกลุมฐานลกูคาของ AWS น้ันกวางขวางอยางมาก และบริการของ AWS ก็มีการใชงานอยางกวางขวางเชนกัน การใชประโยชนดานการควบคุมสําหรับรายงานทางการเงินของลกูคาน้ันจึงแตกตางไปในแตละราย ดังน้ัน รายงาน AWS SOC 1 จึงออกแบบมาเพ่ือครอบคลุมการควบคุมหลกัๆ โดยเฉพาะ โดยเนนที่การควบคุมซ่ึงมีแนวโนมจําเปนตอการตรวจสอบทางดานการเงิน รวมถึงครอบคลุมการควบคมุทั่วไปดานไอที เพ่ือรองรับสถานการณดานการใชงานและการตรวจสอบที่หลากหลาย ส่ิงน้ีชวยใหลูกคาสามารถใชโครงสรางพ้ืนฐาน AWS เพ่ือจัดเก็บและประมวลผลขอมูลที่สําคัญ รวมถึงขอมูลซ่ึงเปนองคประกอบที่จําเปนภายในขั้นตอนการรายงานทางการเงิน AWS มีการประเมินรายการควบคุมเหลาน้ีเปนระยะ เพ่ือพิจารณาถึงความคิดเห็นลูกคาและการใชงานรายงานการตรวจสอบที่สําคัญน้ี
AWS มีความมุงม่ันในการปรับปรุงรายงาน SOC 1 อยางตอเน่ือง และจะดําเนินการตรวจสอบแบบเปนระยะเชนน้ีตอไป ขอบเขตเน้ือหาของรายงาน SOC 1 ครอบคลุม หัวขอดังน้ี:
• AWS CloudFormation
• AWS CloudHSM
• AWS CloudTrail
• AWS Direct Connect
• Amazon DynamoDB
• Amazon EC2 VM Import/Export
• Amazon Elastic Beanstalk
• Amazon Elastic Block Store (EBS)
• Amazon ElastiCache
• Amazon Elastic Compute Cloud (EC2)
• Amazon Elastic Load Balancing (ELB)
• Amazon Elastic MapReduce (EMR)
• Amazon Glacier
• AWS Identity and Access Management (IAM)
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 22
• AWS Key Management Service (KMS)
• Amazon Redshift
• Amazon Relational Database Service (RDS)
• Amazon Route 53
• Amazon SimpleDB
• Amazon Simple Email Service (SES)
• Amazon Simple Storage Service (S3)
• Amazon Simple Workflow (SWF)
• Amazon Simple Queue Service (SQS)
• AWS Storage Gateway
• Amazon Virtual Private Cloud (VPC)
• Amazon Workspaces
SOC 2 นอกจากรายงาน SOC 1 แลว AWS ยังเผยแพรรายงาน Service Organization Controls 2 (SOC 2), Type II ดวย รายงาน SOC 2 น้ันคลายคลึงกับรายงาน SOC 1 ในดานการประเมินการควบคุม อยางไรก็ตาม รายงาน SOC 2 เปนรายงานการยืนยันที่ขยายการประเมินการควบคุมเพ่ือใหครอบคลุมชุดเกณฑทีก่ําหนดโดย Trust Services Principles ของสถาบันผูสอบบัญชีรับอนุญาตของประเทศสหรัฐอเมริกา (AICPA) หลักการดังกลาวระบุการแนวทางการควบคุมช้ันนําที่เกี่ยวของกับความปลอดภัย ความพรอมใชงาน ความถกูตองในการประมวลผล การเก็บรักษาความลับ และความเปนสวนตัว ซ่ึงมีผลกับองคกรดานบริการเชน AWS รายงาน AWS SOC 2 เปนการประเมินความมีประสิทธิภาพในการออกแบบและการปฏิบัติการของการควบคุม ซ่ึงสอดคลองกับเกณฑดานความปลอดภัยและหลักการดานความพรอมใชงานที่กําหนดไวภายในเกณฑ Trust Services Principles ของ AICPA รายงานน้ีชวยเพ่ิมความโปรงใสใหกับความปลอดภัยและความพรอมใชงานของ AWS โดยอางอิงตามมาตรฐานแนวทางปฏิบัติช้ันนําทางอุตสาหกรรมที่วางไว และเปนส่ิงยืนยันเพ่ิมเติมถึงความมุงม่ันของ AWS ในการปกปองขอมูลลูกคา ขอบเขตของรายงาน SOC 2 ครอบคลมุบริการเดียวกันกับที่ครอบคลุมโดยรายงาน SOC 1 โปรดดูคาํอธิบายรายงาน SOC 1 ดานบนเพ่ือดูบริการทีอ่ยูภายในขอบเขต
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 23
SOC 3 AWS เผยแพรรายงาน Service Organization Controls 3 (SOC 3) รายงาน SOC 3 เปนเอกสารสรุปรายงาน AWS SOC 2 ที่บุคคลทั่วไปสามารถดไูด รายงานดงักลาวประกอบดวยความคิดเห็นของผูตรวจสอบภายนอกเกี่ยวกับปฏิบัติการของมาตรการควบคุม (อางอิงจาก Security Trust Principles ของ AICPA ที่รวมไวภายในรายงาน SOC 2) การยืนยันจากฝายบริหารของ AWS ในหัวขอเกี่ยวกับประสิทธิภาพของมาตรการควบคุม และภาพรวมของโครงสรางพ้ืนฐานและบริการของ AWS รายงาน AWS SOC 3 ครอบคลุมศูนยขอมูลของ AWS ทั้งหมดทั่วโลกที่สนับสนุนบริการทีอ่ยูภายในขอบเขต เอกสารรายงานน้ีเปนทรัพยากรที่มีประโยชนสําหรับลูกคาเพ่ือใชตรวจสอบวา AWS ไดรับการรับประกนัจากผูตรวจสอบภายนอก โดยไมจําเปนตองดาํเนินขั้นตอนยื่นขอรายงาน SOC 2 ขอบเขตของรายงาน SOC 3 ครอบคลุมบริการเดียวกันกับที่ครอบคลุมโดยรายงาน SOC 1 โปรดดคูําอธิบายรายงาน SOC 1 ดานบนเพ่ือดูบริการที่อยูภายในขอบเขต สามารถดูรายงาน AWS SOC 3 ได ที่น่ี
Amazon Web Services –การรบัรอง โปรแกรม รายงาน และการยนืยนัจากหนวยงานภายนอก
หนา 24
แหลงขอมูลเพ่ิมเติม สําหรับขอมูลเพ่ิมเติม ดูที่แหลงขอมูลตอไปน้ี:
• ภาพรวมของความเส่ียงและการปฏิบัติตามขอกาํหนดของ AWS
• คําตอบของ AWS สําหรับคําถามเกี่ยวกับการปฏิบติัตามขอกําหนดที่สําคัญ
• ชุดคําถาม CSA Consensus Assessments Initiative Questionnaire
การปรับปรุงเอกสาร วนัที ่ คาํอธบิาย
มกราคม 2017 ยายไปใชเทมเพลตใหม
มกราคม 2016 เผยแพรครั้งแรกเมื่อ
