|
Perspectivas de proveedores de AWS Market es una nueva capacidad de Mercado de AWS. Simplifica las evaluaciones de riesgos de software program de terceros al adquirir soluciones de AWS Market.
Le ayuda a garantizar que el software program de terceros cumpla continuamente con los estándares de su industria mediante la compilación de información de seguridad y cumplimiento, como privacidad y residencia de datos, seguridad de aplicaciones y management de acceso, en un tablero consolidado.
Como ingeniero de seguridad, ahora puede completar la evaluación de riesgos de software program de terceros en unos pocos días en lugar de meses. Tu puedes ahora:
- Descubrir rápidamente productos en AWS Market que cumplan con sus estándares de seguridad y certificación al buscar y acceder a los perfiles de Vendor Insights.
- Accede y descarga información actualizada y validada, con evidencia recopilada de las herramientas de seguridad de los proveedores e informes de auditoría. Los informes están disponibles para su descarga en Artefacto de AWS informes de terceros (ahora disponibles en versión preliminar).
- Monitor la postura de seguridad de su software program posterior a la adquisición y reciba notificaciones de eventos de seguridad y cumplimiento.
Como proveedor de software program, ahora puede reducir la carga operativa de responder a las solicitudes de información de evaluación de riesgos de los compradores. Brinda a sus clientes una experiencia de acceso de autoservicio. Tu puedes ahora:
- Cree el perfil de seguridad de su producto al subir tu ISO 27001 o SOC2 Tipo 2 informe y completar una evaluación de riesgos de software program con Gerente de auditoría de AWS.
- Almacenar y compartir sus informes de cumplimiento como ISO 27001 y SOC2 Tipo 2, utilizando Artefacto de AWS informes de terceros (vista previa).
- Ver y aprobar sus solicitudes de comprador para ver los controles de seguridad y los artefactos de cumplimiento almacenados en Vendor Insights.
Veámoslo en acción
Quiero adquirir una solución en AWS Market. Pero antes de comprar el producto, como ingeniero de seguridad, quiero revisar su cumplimiento. navego hacia el Mercado de AWS pagina de la Consola de administración de AWS. Yo uso la búsqueda por facetas en el lado izquierdo para seleccionar proveedores que cumplan con la norma ISO 27001.
Selecciono un producto. En la página Descripción common del producto, selecciono Ver datos de evaluación en la parte superior derecha (no se muestra en la captura de pantalla). Luego, puedo ver la página de descripción common, que muestra el Certificación de seguridad recibida y el Fecha de caducidad.
selecciono el Seguridad y cumplimiento y veo que necesito solicitar acceso para ver la información detallada de seguridad y cumplimiento. selecciono el Solicitar acceso en el lado superior derecho para solicitar al proveedor acceso a sus documentos de cumplimiento.
En la página siguiente, lleno el Tu información formulario con mis datos, y selecciono Solicitar acceso.
El Próximos pasos sección detalla lo que sucederá a continuación. El vendedor se comunicará conmigo para firmar un acuerdo de confidencialidad (NDA). El vendedor notificará a AWS Market cuando se firme el NDA. Luego, se me otorgará acceso a los datos de Vendor Insights.
El proceso puede tardar unos días. Para esta demostración, cambio a un producto ficticio, Everest, para el cual tengo acceso a los datos de cumplimiento. Aquí está el Seguridad y cumplimiento pestaña cuando se acepta mi solicitud de acceso.
El Sección de resumen muestra cuántos controles hay disponibles. Informa cuántos han sido validados con evidencia y cuántos han sido autoinformados por el vendedor. También muestra cuántos controles no conformes se notifican.
Puedo desplazarme hacia abajo en la página para ver los detalles de varias categorías: política de auditoría, cumplimiento y seguridad, seguridad de datos, gestión de acceso, seguridad de aplicaciones, gestión de riesgos y respuesta a incidentes, resiliencia y continuidad empresarial, seguridad de dispositivos de usuario remaining, seguridad de infraestructura, seguridad humana recursos, y Política de seguridad y configuración. La captura de pantalla no los muestra todos.
Selecciono el detalle para Management de acceso y ver la lista debajo nombre de management. Para cada uno de ellos, puedo ver el cumplimiento de SOC2 Tipo 2, ISO 27001y el Autoevaluación del proveedor.
Selecciono el que no cumple para obtener los detalles y la explicación que proporcionó el proveedor.
Si es necesario, también podría usar Artefacto de AWS informes de terceros (vista previa) para descargar los informes de cumplimiento.
Para proveedores de software program
Como proveedor de software program, puede crear un perfil de seguridad para sus productos SaaS en Mercado de AWS y comparta este perfil con sus compradores actuales y potenciales. Le ayuda a reducir el trabajo guide de los equipos de ingeniería y seguridad para responder a los cuestionarios de sus clientes.
Para crear un perfil de seguridad, deberá completar una autoevaluación utilizando Gerente de auditoría de AWS en su cuenta de AWS de administración de mercado, comparta los artefactos de cumplimiento de SOC2 Tipo II e ISO27001 actuales, si están disponibles, y energetic la evaluación automatizada mediante Gerente de Auditoría y Configuración de AWS en sus cuentas de producción de AWS.
Nuestro equipo ha creado un Formación en la nube de AWS plantilla para automatizar los pasos de incorporación. Puede encontrar los recursos técnicos, como la guía de configuración y las plantillas de incorporación, en nuestro repositorio GitHub. Una vez que se crea el perfil, Vendor Insights mantendrá su perfil de seguridad actualizado mediante el uso de evidencia automatizada de Gerente de Auditoría y Configuración de AWS. Las actualizaciones de su perfil se envían como notificaciones. Su equipo de seguridad y cumplimiento puede revisar las actualizaciones antes de que se compartan con los compradores.
Con Vendor Insights, administra el acceso al perfil de seguridad de su producto al aprobar las solicitudes de suscripción del comprador. Cuando un comprador solicita acceso, Vendor Insights comparte su información de contacto por correo electrónico con su equipo de operaciones de cumplimiento o de la mesa de negociaciones. Pueden completar el NDA con el comprador y notificar a AWS Market para otorgar al comprador acceso a su perfil de seguridad. También puede solicitar a AWS Market que revoque la suscripción del comprador en un día posterior si ya no desea compartir la información sobre la postura de cumplimiento y seguridad de su producto con el comprador.
Todo el proceso está documentado en el Guía para vendedores de AWS Market Vendor Insights.
Precios y disponibilidad
Vendor Insights ya está disponible en todas las regiones de AWS donde está disponible AWS Market.
El modelo de precios es muy easy; no hay ningún cargo por utilizar AWS Market Vendor Insights.
Para los compradores, puede acceder y descargar activos durante su fase de adquisición. Pierde el acceso al perfil de Vendor Insights si no ha comprado el producto después de 60 días. Cuando compra el producto, mantiene el acceso al perfil de seguridad del producto para el monitoreo continuo de su estado de cumplimiento.
Para los vendedores, AWS Market no cobra por activar y usar Vendor Insights. Incurrirá en tarifas por usar Audit Supervisor y AWS Config.
Ir y comience sus evaluaciones de riesgos en AWS Market hoy.
