AWS Artifact

1. Artifact

• AWS ISO 인증, PCI(Payment Card Industry) 및 SOC(Service Organization Control) 보고서와 같은 AWS 보안 및 규정 준수 문서의 온디맨드 다운로드를 제공
• 감사자 또는 규제 기관에 제출하여 사용하는 AWS 인프라 및 서비스의 보안 및 규정 준수를 입증하기 위해
  • ISO 인증 : 클라우드 컴퓨팅의 정보 보안 측면에 대한 지침을 제시하여 ISO/IEC 27002 및 ISO/IEC 27001 표준의 지침을 보완하는 클라우드 고유의 정보 보안 제어 기능을 구현하도록 권장하는 실천 강령
    • ISO/IEC 27001 : 정보보안 관리시스템을 구축, 실행, 유지하고 지속적으로 개선하고자 하는 기관을 위한 요구조건을 규정하는 표준
    • ISO/IEC 27002 : ISO/IEC 27001 부속서 A에 포함된 정보보안 통제조치의 선택 및 실행에 적용되는 국제표준

• PCI 보고서 : PCI 보안 표준 위원회에서 관리하는 소유 정보 보안 표준
  • 가맹점, 처리자, 인수자, 발행자 및 서비스 공급자를 비롯하여 카드 소지자 데이터 또는 민감한 인증 데이터를 저장, 처리 또는 전송하는 엔터티에 적용
• SOC 보고서 : AWS가 주요 규정 준수 제어 항목 및 목표를 어떻게 달성하고 있는지 보여주는 독립적인 타사 심사 보고서
  • AWS가 정의한 통제 항목 및 대상에 대한 외부 감사 및 AWS 통제 환경에 대한 설명
  • AICPA 신뢰 서비스 보안, 가용성 및 기밀성 원칙과 기준에 부합하는 AWS 규제 환경 및 AWS 규제에 대한 외부 감사 설명
  • AICPA 신뢰 서비스 프라이버시 원칙 및 기준을 충족하는 AWS 통제에 대한 외부 감사 및 AWS 통제 환경에 대한 설명
  • AWS가 AICPA 신뢰 서비스 보안, 가용성 및 기밀성 원칙과 기준에 부합했다는 사실을 설명하는 공개 보고서

2. 계약

• AWS Artifact 계약을 통해 AWS Management 콘솔을 사용해 계정 또는 조직에 관한 계약을 검토하고 수락하며 관리
• AWS 계정 또는 조직이 계약을 수락했는지 확인하고, 의무 사항을 이해하기 위해 수락한 계약 조건을 검토
• EX) BAA 계약은 일반적으로 HIPAA의 적용을 받는 회사에서 보호되는 PHI가 적절하게 보호되도록 해야 합니다.
  • AWS Artifact를 사용하여 AWS와 BAA 등의 계약을 수락하고 PHI를 합법적으로 처리할 수 있는 AWS 계정을 지정할 수 있습니다.
    • HIPAA : 1996년 미국 의료 정보 보호법
    • PHI : 개인 건강 정보
    • BAA : PHI를 적절하게 보호하게 하기 위해 HIPAA 규칙에서 요구하는 AWS 계약

3. 보고서

• AWS Artifact 문서는 기밀이며 항상 안전하게 보관되어야 합니다.
• AWS는 문서가 AWS 클라우드에 있는 동안 문서를 안전하게 유지할 책임이 있지만 문서를 다운로드한 후에는 사용자에게 문서를 안전하게 유지할 책임이 있습니다.
• 문서를 다운로드하기 전에 이용 약관 에 동의하도록 요구할 수 있습니다.
• 보고서를 다운로드하면 각 문서에 추적 가능한 고유 워터마크가 생성됩니다.
• 회사 내에서 기밀로 표시된 문서, 규제 기관 및 감사자와만 공유할 수 있습니다.
•