本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AMS 合規
AMS 已針對下列標準進行稽核,並有資格做為您必須取得合規認證之解決方案的一部分使用。
## AMS 支援的合規標準
AMS 支援 AWS 合規標準。若要進一步了解 AWS 合規計劃,請參閱[AWS 合規](https://aws.amazon.com/compliance/)。
這些是 AMS 目前支援的合規標準。
| | |
| --- |--- |
|  | **FedRAMP**:美國聯邦政府致力於以最具創新性、安全且經濟實惠的方式,將其服務提供給美國公民。雲端運算在聯邦政府如何實現營運效率和隨需創新以推動其在全國的任務方面扮演重要角色。這就是為什麼許多聯邦機構現在使用 AWS 雲端服務來處理、存放和傳輸聯邦政府資料的原因。
如需詳細資訊,請參閱 [FedRAMP](https://aws.amazon.com/compliance/fedramp/)。 |
|  | **HIPAA**:AWS 已擴展其健康保險流通與責任法案 (HIPAA) 合規計劃,將 AMS 納入 [HIPAA 合格服務](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/)。如果您與 AWS 簽訂商業夥伴協議 (BAA),您可以使用 AMS 協助建置符合 HIPAA 規範的應用程式。
請參閱[以 HIPAA 為重心的白皮書](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/welcome.html),了解如何利用 AMS 處理和儲存健康資訊。如需詳細資訊,請參閱 [HIPAA 合規](https://aws.amazon.com/compliance/hipaa-compliance/)。 |
|  | **HITRUST**:健康資訊信任聯盟通用安全架構 (HITRUST CSF) 利用國家和國際公認的標準和法規,例如 GDPR、ISO、NIST、PCI 和 HIPAA,來建立一組完整的基準安全和隱私權控制。
如需詳細資訊,請參閱 [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/)。 |
|  | **ISO 27001**:ISO/IEC 27001:2013 是一項安全管理標準,根據 ISO/IEC 27002 最佳實務指引指定安全管理最佳實務和全面的安全控制。此認證的基礎是制定和實作嚴格的安全計劃,其中包括制定和實作資訊安全管理系統 (ISMS),該系統定義了 AWS 如何以全面、全面的方式永久管理安全。
如需詳細資訊,請參閱 [ ISO/IEC 27001:2013](https://aws.amazon.com/compliance/iso-27001-faqs/)。 |
|  | **ISO 27017**:ISO/IEC 27017:2015 提供雲端運算資訊安全方面的指導,建議實作雲端特定的資訊安全控制,以補充 ISO/IEC 27002 和 ISO/IEC 27001 標準的指引。此實務準則提供雲端服務提供者特有的其他資訊安全控制實作指引。
如需詳細資訊,請參閱 [ ISO/IEC 27017:2015 合規](https://aws.amazon.com/compliance/iso-27017-faqs/)。 |
|  | **ISO 27018**:ISO/IEC 27018:2019 是一種實務準則,著重於保護雲端中的個人資料。它以 ISO/IEC 資訊安全標準 27002 為基礎,並提供適用於公有雲端個人身分識別資訊 (PII) 的 ISO/IEC 27002 控制實作指引。它還提供一組額外的控制和相關指導,旨在解決現有 ISO/IEC 27002 控制集未解決的公有雲端 PII 保護要求。
如需詳細資訊,請參閱 [ ISO/IEC 27018:2019 合規](https://aws.amazon.com/compliance/iso-27018-faqs/)。 |
|  | **ISO 9001**:ISO 9001:2015 概述了一種程序導向的方法,用於記錄和審查在組織內實現有效品質管理所需的結構、責任和程序。標準的特定章節包含主題的相關資訊,例如:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/ams-compliance.html)
如需詳細資訊,請參閱 [ ISO 9001:2015 合規](https://aws.amazon.com/compliance/iso-9001-faqs/)。 |
|  | **PCI**:AMS 在服務提供者層級 1 具有支付卡產業 (PCI) 資料安全標準 (DSS) 3.2 版的合規證明。使用 AWS 產品和服務來存放、處理或傳輸持卡人資料的客戶,可以在管理自己的 PCI DSS 合規認證時使用 AMS。
如需 PCI DSS 的詳細資訊,包括如何索取 AWS PCI 合規套裝服務的複本,請參閱 [PCI DSS 第 1 級](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)。重要的是,您必須在 AMS 中設定精細的密碼政策,以符合 PCI DSS 3.2 版標準。如需必須強制執行哪些政策的詳細資訊,請參閱[為您的 AWS Microsoft AD 目錄啟用 PCI 合規](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_compliance.html#enablepciad)。 |
|  | **SOC**:AMS 系統和組織控制 (SOC) 報告是獨立的第三方檢查報告,示範 AMS 如何實現關鍵合規控制和目標。這些報告的目的是協助您和稽核人員了解為了支援操作和合規而建立的 AMS 控制。AMS SOC 報告有三種類型:[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/ams-compliance.html)
如需詳細資訊,請參閱 [ SOC 合規](https://aws.amazon.com/compliance/soc-faqs/)。 |
## 共同的責任
安全性,包括 PCI 合規,是[共同的責任](https://aws.amazon.com/compliance/shared-responsibility-model/)。請務必了解,AMS 合規狀態不會自動套用到您在 AWS 雲端中執行的應用程式。您需要確保使用 AWS 服務符合標準。如需 AMS 如何與特定活動的客戶一起運作的詳細資訊,請參閱 AMS [AMS 責任矩陣 (RACI)](raci-table.md)。