# OPS01-BP04 Évaluation des exigences de conformité
<a name="ops_priorities_compliance_reqs"></a>

Les exigences en matière de conformité réglementaire, sectorielle et interne constituent un facteur important pour définir les priorités de votre organisation. Votre cadre de conformité peut vous empêcher d’utiliser des technologies ou des emplacements géographiques spécifiques. Appliquez les principes de diligence raisonnable si aucun cadre de conformité externe n’est identifié. Générez des audits ou des rapports qui valident la conformité.

 Si vous mettez en avant le fait que votre produit respecte des normes de conformité spécifiques, vous devez mettre en place un processus interne pour assurer une conformité constante. Les normes PCI DSS, FedRAMP et HIPAA sont des exemples de normes de conformité. Les normes de conformité applicables sont déterminées par divers facteurs, tels que les types des données stockées ou transmises par la solution et les régions géographiques prises en charge par la solution. 

 **Résultat escompté :** 
+  Les exigences en matière de conformité réglementaire, industrielle et interne sont intégrées dans le choix de l’architecture. 
+  Vous pouvez valider la conformité et générer des rapports d’audit. 

 **Anti-modèles courants :** 
+ Certaines parties de votre charge de travail relèvent du cadre de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), mais votre charge de travail stocke les données des cartes de crédit sans les chiffrer.
+ Vos développeurs et architectes de logiciels ne connaissent pas le cadre de conformité auquel votre organisation doit se conformer.
+  L’audit annuel SOC2 (Systems and Organizations Control) de type II aura lieu prochainement et vous n’êtes pas en mesure de vérifier que les contrôles sont en place. 

 **Avantages liés au respect de cette bonne pratique :** 
+  L’évaluation et la compréhension des exigences de conformité qui s’appliquent à votre charge de travail détermineront la façon dont vous priorisez vos efforts pour produire de la valeur ajoutée. 
+  Vous choisissez les bons sites et les bonnes technologies, en accord avec votre cadre de conformité. 
+  La conception de votre charge de travail en vue de son auditabilité vous aide à prouver que vous adhérez à votre cadre de conformité. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 La mise en œuvre de cette bonne pratique signifie que vous intégrez les exigences de conformité dans votre processus de conception de l’architecture. Les membres de votre équipe connaissent le cadre de conformité requis. Vous validez la conformité conformément au cadre. 

 **Exemple client** 

 AnyCompany Retail stocke les informations relatives aux cartes de crédit des clients. Les développeurs de l’équipe chargée du stockage des cartes comprennent qu’ils doivent se conformer au cadre PCI-DSS. Ils ont pris des mesures pour vérifier que les informations relatives aux cartes de crédit sont stockées et accessibles en toute sécurité, conformément au cadre PCI-DSS. Chaque année, ils travaillent avec leur équipe de sécurité pour valider la conformité. 

 **Étapes d’implémentation** 

1.  Travaillez avec vos équipes de sécurité et de gouvernance pour déterminer les cadres de conformité sectoriels, réglementaires ou internes auxquels votre charge de travail doit se conformer. Incorporez les cadres de conformité à votre charge de travail. 

   1.  Validez la conformité continue des ressources AWS avec des services tels que [Optimiseur de calcul AWS](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) et [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). 

1.  Informez les membres de votre équipe sur les exigences de conformité afin qu’ils puissent travailler et faire évoluer la charge de travail en fonction de celles-ci. Les exigences de conformité doivent être incorporées aux choix architecturaux et technologiques. 

1.  En fonction du cadre de conformité, vous pouvez être amené à générer un audit ou un rapport de conformité. Travaillez avec votre organisation pour automatiser ce processus autant que possible. 

   1.  Utilisez des services comme [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) pour valider la conformité et générer des rapports d’audit. 

   1.  Vous pouvez télécharger les documents de sécurité et de conformité AWS avec [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html). 

 **Niveau d’effort du plan d’implémentation :** moyen. La mise en œuvre de cadres de conformité peut s’avérer difficile. La génération de rapports d’audit ou de documents de conformité ajoute un niveau de complexité supplémentaire. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [SEC01-BP03 Identification et validation des objectifs de contrôle :](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) les objectifs de contrôle de sécurité jouent un rôle important dans la conformité globale. 
+  [SEC01-BP06 Automatisation des tests et de la validation des contrôles de sécurité dans les pipelines](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) : dans le cadre de vos pipelines, validez les contrôles de sécurité. Vous pouvez également générer des documents de conformité pour les nouvelles modifications. 
+  [SEC07-BP02 Définition de contrôles de protection des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) : de nombreux cadres de conformité sont basés sur des stratégies de gestion et de stockage des données. 
+  [SEC10-BP03 Préparation des capacités de criminalistique](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) : les capacités d’investigation peuvent parfois être utilisées pour auditer la conformité. 

 **Documents connexes :** 
+ [Centre de conformité AWS](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [Ressources relatives à la conformité AWS](https://aws.amazon.com/compliance/resources/)
+ [Livre blanc sur les risques et la conformité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html) :
+ [Modèle de responsabilité partagée AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Services AWS concernés par les programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/)

 **Vidéos connexes :** 
+ [AWS re:Invent 2020: Achieve compliance as code using Optimiseur de calcul AWS](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2021 - Cloud compliance, assurance, and auditing ](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202) ](https://www.youtube.com/watch?v=i7XrWimhqew)

 **Exemples connexes :** 
+ [PCI DSS et bonnes pratiques de sécurité de base AWS sur AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)

 **Services connexes :** 
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [Optimiseur de calcul AWS](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)