Bonnes pratiques de conformité CloudFront

Validation de la conformité pour Amazon CloudFront

Des auditeurs tiers évaluent la sécurité et la conformité d’Amazon CloudFront dans le cadre de plusieurs programmes de conformité AWS. Il s'agit notamment des certifications SOC, PCI, HIPAA.

Pour obtenir la liste des services AWS concernés par des programmes de conformité spécifiques, consultez AWSServices in Scope by Compliance Program (Services concernés par les programmes de conformité). Pour obtenir des informations générales, consultez AWSCompliance Programs (Programmes de conformité).

Vous pouvez télécharger les rapports de l'audit externe avec AWS Artifact. Pour plus d’informations, consultez Téléchargement des rapports dans AWS Artifact.

Votre responsabilité en matière de conformité lorsque vous utilisez CloudFront est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise, ainsi que la législation et la règlementation applicables. AWS fournit les ressources suivantes pour faciliter le respect de la conformité :

Guides de démarrage rapide de la sécurité et de la conformité : ces guides de déploiement traitent des considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de référence centrés sur la sécurité et la conformité sur AWS.
Architecture pour la sécurité et la conformité en vertu de la loi HIPAA sur AWS : ce livre blanc décrit comment les entreprises peuvent utiliser AWS pour créer des applications conformes à la loi HIPAA.

Le programme de conformité AWS à la loi HIPAA inclut CloudFront (à l’exception de la diffusion de contenu via les POP intégrés de CloudFront) comme service éligible HIPAA. Si vous disposez d’un Business Associate Addendum (BAA) exécuté avec AWS, vous pouvez utiliser CloudFront (à l’exception de la diffusion de contenu via les POP intégrés de CloudFront) pour fournir des contenus comportant des données de santé protégées (PHI). Pour de plus amples informations, consultez Conformité à la loi HIPAA.
Ressources de conformité AWS : cet ensemble de manuels et de guides peut s’appliquer à votre secteur et à votre emplacement.
AWS Config : ce service AWS permet d’évaluer la conformité des configurations de vos ressources par rapport à des pratiques internes, règlementations et autres directives sectorielles.
AWS Security Hub CSPM – ce service AWS utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à respecter divers cadres de conformité. Pour plus d'informations sur l'utilisation de Security Hub pour évaluer les ressources CloudFront, consultez Contrôles d'Amazon CloudFront dans le Guide de l'utilisateur AWS Security Hub CSPM.

Bonnes pratiques de conformité CloudFront

Cette section fournit les bonnes pratiques et les recommandations permettant d'assurer la conformité lorsque vous utilisez Amazon CloudFront pour distribuer votre contenu.

Si vous exécutez des charges de travail conformes à la norme PCI ou à la loi HIPAA et basées sur le modèle de responsabilité partagée AWS, nous vous recommandons de consigner dans un fichier journal vos données d’utilisation CloudFront des 365 derniers jours à des fins d’audit futur. Pour journaliser les données d'utilisation, vous pouvez procéder comme suit :

Activez les journaux d'accès CloudFront. Pour plus d’informations, consultez Journalisation standard (journaux d’accès).
Les demandes de capture qui sont envoyées à l'API CloudFront. Pour plus d’informations, consultez Journalisation des appels d’API Amazon CloudFront à l’aide de l’AWS CloudTrail.

De plus, consultez les informations suivantes pour en savoir plus sur la façon dont CloudFront respecte les normes PCI DSS et SOC.

Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)

CloudFront (à l’exception de la diffusion de contenu via les POP intégrés de CloudFront) prend en charge le traitement, le stockage et la transmission des données de cartes bancaires par un commerçant ou un fournisseur de services, et a été validé comme étant conforme à la norme PCI (Payment Card Industry) DSS (Data Security Standard). Pour plus d’informations sur PCI DSS, et notamment sur la manière de demander une copie du package de conformité PCI AWS, consultez PCI DSS, niveau 1.

Comme bonne pratique en matière de sécurité, nous vous recommandons de ne pas mettre en cache les informations relatives aux cartes de crédit dans les caches périphériques CloudFront. Par exemple, vous pouvez configurer votre origine de manière à ce qu'elle inclue un en-tête Cache-Control:no-cache="nom-de-champ" dans les réponses qui contiennent des informations relatives aux cartes de crédit, telles que les quatre derniers chiffres d'un numéro de carte de crédit et les coordonnées du titulaire de la carte.

System and Organization Controls (SOC)

CloudFront (à l’exception de la diffusion de contenu via les POP intégrés de CloudFront) est conforme aux mesures de la norme System and Organization Controls (SOC), notamment SOC 1, SOC 2 et SOC 3. Les rapports SOC sont des comptes rendus rédigés suite à un audit indépendant réalisé par un tiers et indiquant comment AWS parvient à mettre en œuvre ses principaux contrôles et objectifs en termes de conformité. Ces audits garantissent que les protections et procédures adéquates sont établies pour protéger contre les risques susceptibles d'avoir une incidence sur la sécurité, la confidentialité et la disponibilité des données des clients et des entreprises. Les résultats de ces audits tiers sont disponibles sur le site web de conformité SOC d'AWS, où vous pouvez consulter les rapports publiés pour obtenir plus d'informations sur les contrôles visant à soutenir les opérations et la conformité d'AWS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Journalisation et surveillance

Résilience