疑难点拨 | AWS 合规性控制

  官方指导

AWS 具备最为全面的合规性控制。AWS 支持 143 项安全标准和合规性认证，包括 PCI-DSS、HIPAA/HITECH、FedRAMP、GDPR、FIPS 140-2 和 NIST 800-171，以帮助客户满足全球各地的合规要求。AWS 遵守的IT 标准，可以分为认证和鉴证、法律法规、隐私，协定和框架，共计四大类别。

  比较分析

认证/鉴证

合规性认证和鉴证由第三方独立审计机构评估，评估结果为证书、审计报告或合规性鉴证。

1. PCI DSS

PCI DSS 是英文 Payment Card Industry Data Security Standard 的缩写，中文是支付卡行业数据安全标准，它是一项支付卡行业数据安全标准。适用于存储、处理或传输持卡者数据 (CHD) 或敏感身份验证数据 (SAD) 的实体，包括商家、处理机构、购买方、发行机构和服务提供商。PCI DSS 由多家支付卡品牌联合制定，由支付卡行业安全标准委员会管理。

2. FedRAMP

FedRAMP 是英文 Federal Risk and Authorization Management Program 的缩写，中文是联邦风险与授权管理计划，是一项美国政府层面的计划，它提供一种标准方法来对云产品和云服务进行安全性评估、授权以及持续监控。想要向美国政府提供云服务产品 (CSO) 的云服务提供商 (CSP) 必须证明自己符合 FedRAMP 的规定。

法律/法规

AWS 客户有责任遵守适用的合规性法律法规。在此类法律和监管领域中，没有可用于云服务提供商（或由其分配）的正规认证。

HIPAA

HIPAA 是英文 Health Insurance Portability and Accountability Act 的缩写，中文是健康保险流通与责任法案。HIPAA 的条例适用于所涉实体，其中包括直接接触病人并处理病人数据的医院、医疗服务提供商、由雇主赞助的健康计划、研究机构和保险公司。

协定/框架

包含针对特定目的（如特定的行业或职能）发布的安全或合规性要求。

NIST

NIST 是 National Institute of Standards and Technology 的缩写，中文是美国国家标准与技术研究院，广泛适用于美国联邦信息系统。NIST 网络安全框架 (CSF) 已获得全球各个政府和各行各业的支持，将其作为建议所有组织（无论任何领域或任何规模）使用的基准。

隐私权

AWS 服务严格遵守大多数国家的隐私条例，为 190 多个国家/地区的数百万个活动客户提供服务，包括企业、教育机构和政府机构。

GDPR

GDPR 是 European Union’s General Data Protection Regulation 的缩写，中文是欧盟一般数据保护条例，旨在保护欧盟 (EU) 人士的基本隐私权和个人数据。

  备考要点

PCI DSS 是一项支付卡行业数据安全标准；向美国政府提供云服务产品 (CSO) 必须证明自己符合 FedRAMP 的规定。HIPAA 是医疗和健康行业数据保护的合规要求；NIST 是确保充分保护信息和信息系统的机密性、完整性和可用性的一组框架和协议；GDPR 是欧盟用来保护基本隐私和个人数据的数据保护条例。