Editor Top
|
|
AWS Marketplace Vendor Insights es una nueva capacidad de AWS Marketplace. Simplifica las evaluaciones de riesgos de software de terceros al adquirir soluciones de AWS Marketplace.
Le ayuda a garantizar que el software de terceros cumpla continuamente con los estándares de su industria mediante la compilación de información de seguridad y cumplimiento, como privacidad y residencia de datos, seguridad de aplicaciones y control de acceso, en un tablero consolidado.
Como ingeniero de seguridad, ahora puede completar la evaluación de riesgos de software de terceros en unos pocos días en lugar de meses. Tu puedes ahora:
- Descubrir rápidamente productos en AWS Marketplace que cumplan con sus estándares de seguridad y certificación al buscar y acceder a los perfiles de Vendor Insights.
- Accede y descarga información actualizada y validada, con evidencia recopilada de las herramientas de seguridad de los proveedores e informes de auditoría. Los informes están disponibles para su descarga en los informes de terceros de AWS Artifact (ahora disponibles en versión preliminar).
- Monitor la postura de seguridad de su software posterior a la adquisición y reciba notificaciones de eventos de seguridad y cumplimiento.
Como proveedor de software, ahora puede reducir la carga operativa de responder a las solicitudes de información de evaluación de riesgos de los compradores. Brinda a sus clientes una experiencia de acceso de autoservicio. Tu puedes ahora:
- Cree el perfil de seguridad de su producto al subir tu ISO 27001 o SOC2 Tipo 2 informe y completar una evaluación de riesgos de software con AWS Audit Manager.
- Almacenar y compartir sus informes de cumplimiento, como ISO 27001 y SOC2 Tipo 2, utilizando informes de terceros de AWS Artifact (versión preliminar).
- Ver y aprobar sus solicitudes de comprador para ver los controles de seguridad y los artefactos de cumplimiento almacenados en Vendor Insights.
Veámoslo en acción
Quiero adquirir una solución en AWS Marketplace. Pero antes de comprar el producto, como ingeniero de seguridad, quiero revisar su cumplimiento. Navego a la página de AWS Marketplace de la Consola de administración de AWS. Utilizo la búsqueda por facetas en el lado izquierdo para seleccionar proveedores que cumplen con la norma ISO 27001.
Selecciono un producto. En la página Descripción general del producto, selecciono Ver datos de evaluación en la parte superior derecha (no se muestra en la captura de pantalla). Luego, puedo ver la página de descripción general, que muestra el Certificación de seguridad recibida y el Fecha de caducidad.
selecciono el Seguridad y cumplimiento y veo que necesito solicitar acceso para ver la información detallada de seguridad y cumplimiento. selecciono el Solicitar acceso en el lado superior derecho para solicitar al proveedor acceso a sus documentos de cumplimiento.
En la página siguiente, lleno el Tu información formulario con mis datos, y selecciono Solicitar acceso.
los Próximos pasos sección detalla lo que sucederá a continuación. El vendedor se comunicará conmigo para firmar un acuerdo de confidencialidad (NDA). El vendedor notificará a AWS Marketplace cuando se firme el NDA. Luego, se me otorgará acceso a los datos de Vendor Insights.
El proceso puede tardar unos días. Para esta demostración, cambio a un producto ficticio, Everest, para el cual tengo acceso a los datos de cumplimiento. Aquí está el Seguridad y cumplimiento pestaña cuando se acepta mi solicitud de acceso.
los Sección de resumen muestra cuántos controles hay disponibles. Informa cuántos han sido validados con evidencia y cuántos han sido autoinformados por el vendedor. También muestra cuántos controles no conformes se notifican.
Puedo desplazarme hacia abajo en la página para ver los detalles de varias categorías: política de auditoría, cumplimiento y seguridad, seguridad de datos, gestión de acceso, seguridad de aplicaciones, gestión de riesgos y respuesta a incidentes, resiliencia y continuidad empresarial, seguridad de dispositivos de usuario final, seguridad de infraestructura, seguridad humana recursos, y Política de seguridad y configuración. La captura de pantalla no los muestra todos.
Selecciono el detalle para Control de acceso y ver la lista debajo nombre de control. Para cada uno de ellos, puedo ver el cumplimiento de SOC2 Tipo 2, ISO 27001y el Autoevaluación del proveedor.
Selecciono el que no cumple para obtener los detalles y la explicación que proporcionó el proveedor.
Si es necesario, también podría usar los informes de terceros de AWS Artifact (vista previa) para descargar los informes de cumplimiento.
Para proveedores de software
Como proveedor de software, puede crear un perfil de seguridad para sus productos SaaS en AWS Marketplace y compartir este perfil con sus compradores actuales y potenciales. Le ayuda a reducir el trabajo manual de los equipos de ingeniería y seguridad para responder a los cuestionarios de sus clientes.
Para crear un perfil de seguridad, deberá completar una autoevaluación con AWS Audit Manager en su cuenta de AWS de administración de mercado, compartir los artefactos de cumplimiento de SOC2 Tipo II e ISO27001 actuales, si están disponibles, y activar la evaluación automatizada con Gerente de Auditoría y AWS Config en sus cuentas de producción de AWS.
Nuestro equipo ha creado una plantilla de AWS CloudFormation para automatizar los pasos de incorporación. Puede encontrar los recursos técnicos, como la guía de configuración y las plantillas de incorporación, en nuestro repositorio GitHub. Una vez que se crea el perfil, Vendor Insights mantendrá su perfil de seguridad actualizado mediante el uso de evidencia automatizada de Gerente de Auditoría y configuración de AWS. Las actualizaciones de su perfil se envían como notificaciones. Su equipo de seguridad y cumplimiento puede revisar las actualizaciones antes de que se compartan con los compradores.
Con Vendor Insights, administra el acceso al perfil de seguridad de su producto al aprobar las solicitudes de suscripción del comprador. Cuando un comprador solicita acceso, Vendor Insights comparte su información de contacto por correo electrónico con su equipo de operaciones de cumplimiento o de la mesa de negociaciones. Pueden completar el NDA con el comprador y notificar a AWS Marketplace para otorgar al comprador acceso a su perfil de seguridad. También puede solicitar a AWS Marketplace que revoque la suscripción del comprador en un día posterior si ya no desea compartir la información sobre la postura de cumplimiento y seguridad de su producto con el comprador.
Todo el proceso está documentado en la guía para vendedores de AWS Marketplace Vendor Insights.
Precios y disponibilidad
Vendor Insights ahora está disponible en todas las regiones de AWS donde está disponible AWS Marketplace.
El modelo de precios es muy simple; no hay ningún cargo por utilizar AWS Marketplace Vendor Insights.
Para los compradores, puede acceder y descargar activos durante su fase de adquisición. Pierde el acceso al perfil de Vendor Insights si no ha comprado el producto después de 60 días. Cuando compra el producto, mantiene el acceso al perfil de seguridad del producto para el monitoreo continuo de su estado de cumplimiento.
Para los vendedores, AWS Marketplace no cobra por activar y usar Vendor Insights. Incurrirá en tarifas por usar Audit Manager y AWS Config.
Vaya y comience sus evaluaciones de riesgos en AWS Marketplace hoy.
