# OPS01-BP04 Bewerten der Compliance-Anforderungen
<a name="ops_priorities_compliance_reqs"></a>

Regulatorische, branchenspezifische und interne Compliance-Anforderungen sind ein wichtiger Faktor, wenn Sie die Prioritäten Ihrer Organisation definieren. Ihr Compliance-Regelwerk hindert Sie möglicherweise daran, spezifische Technologien oder geografische Standorte zu nutzen. Wenden Sie die erforderliche Sorgfalt an, wenn keine externen Compliance-Regelwerke identifiziert sind. Erstellen Sie Audits oder Berichte, die die Compliance bestätigen.

 Wenn Sie damit werben, dass Ihr Produkt bestimmte Compliance-Standards erfüllt, benötigen Sie einen internen Prozess zur kontinuierlichen Gewährleistung der Compliance. Beispiele für Compliance-Standards umfassen PCI DSS, FedRAMP und HIPAA. Die geltenden Compliance-Standards werden durch verschiedene Faktoren bestimmt, beispielsweise dadurch, welche Datentypen von der Lösung gespeichert oder gesendet werden und welche geografischen Regionen die Lösung unterstützt. 

 **Gewünschtes Ergebnis:** 
+  Die regulatorischen, branchenspezifischen und internen Compliance-Anforderungen werden bei der Auswahl der Architektur berücksichtigt. 
+  Sie können die Compliance bestätigen und Audit-Berichte erstellen. 

 **Typische Anti-Muster:** 
+ Teile Ihres Workloads fallen unter das Regelwerk des Payment Card Industry Data Security Standard (PCI-DSS), Ihr Workload speichert Kreditkartendaten jedoch unverschlüsselt.
+ Ihren Software-Entwicklern und -Architekten ist das Compliance-Regelwerk, das Ihre Organisation einhalten muss, nicht bekannt.
+  Das jährliche Audit Systems and Organizations Control (SOC2) Type II steht bevor und Sie können nicht nachweisen, dass Kontrollelemente implementiert sind. 

 **Vorteile der Nutzung dieser bewährten Methode:** 
+  Die Bewertung und das Verständnis der Compliance-Anforderungen für Ihren Workload liefern die Grundlage dafür, wie Sie Ihre Anstrengungen zur Bereitstellung eines geschäftlichen Mehrwerts priorisieren. 
+  Sie wählen die Ihrem Compliance-Regelwerk entsprechenden Standorte und Technologien. 
+  Indem Sie Ihren Workload so entwerfen, dass Überprüfungen möglich sind, können Sie leichter nachweisen, dass Sie das Compliance-Regelwerk einhalten. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Wenn Sie diese bewährte Methode implementieren, bedeutet dies, dass Sie Compliance-Anforderungen in den Entwurfsprozess für Ihre Architektur integrieren. Ihren Teammitgliedern ist das erforderliche Compliance-Regelwerk bekannt. Sie bestätigen Ihre Compliance mit diesem Regelwerk. 

 **Kundenbeispiel** 

 AnyCompany Retail speichert Kreditkarteninformationen für Kunden. Die Entwickler im Team für die Kartenspeicherung wissen, dass sie das PCI-DSS-Regelwerk einhalten müssen. Sie haben Schritte unternommen, um nachzuweisen, dass die Kreditkarteninformationen in Übereinstimmung mit dem PCI-DSS-Regelwerk sicher gespeichert und aufgerufen werden. Jedes Jahr arbeiten sie mit dem Sicherheitsteam zusammen, um die Compliance zu bestätigen. 

 **Implementierungsschritte** 

1.  Arbeiten Sie mit Ihrem Sicherheits- und Governance-Team zusammen, um zu ermitteln, welche branchenspezifischen, regulatorischen oder internen Compliance-Regelwerke Ihr Workload einhalten muss. Integrieren Sie die Compliance-Regelwerke in Ihren Workload. 

   1.  Validieren Sie die kontinuierliche Compliance von AWS-Ressourcen mit Services wie [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). 

1.  Informieren Sie Ihre Teammitglieder über die Compliance-Anforderungen, damit diese den Workload in Übereinstimmung mit den Anforderungen betreiben und weiterentwickeln können. Die Compliance-Anforderungen sollten bei architektur- und technologiebezogenen Entscheidungen berücksichtigt werden. 

1.  Je nach Compliance-Regelwerk müssen Sie möglicherweise einen Audit- oder Compliance-Bericht erstellen. Arbeiten Sie mit Ihrer Organisation zusammen, um diesen Prozess so weit wie möglich zu automatisieren. 

   1.  Nutzen Sie Services wie [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html), um die Compliance zu validieren und Auditberichte zu erstellen. 

   1.  Sie können AWS-Sicherheits- und Compliance-Dokumente mit [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) herunterladen. 

 **Aufwand für den Implementierungsplan:** Mittel. Die Implementierung von Compliance-Regelwerken kann eine Herausforderung darstellen. Das Erstellen von Audit-Berichten oder Compliance-Dokumenten sorgt für zusätzlichen Aufwand. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC01-BP03 Identifizieren und Validieren von Kontrollzielen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) – Sicherheits-Kontrollziele sind ein wichtiger Teil der Gesamt-Compliance. 
+  [SEC01-BP06 Automatisieren von Tests und Validierung von Sicherheitskontrollen in Pipelines](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) – Validieren Sie die Sicherheitskontrollen als Teil Ihrer Pipeline. Sie können auch eine Compliance-Dokumentation für neue Änderungen erstellen. 
+  [SEC07-BP02 Definieren von Datenschutzkontrollen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) – Bei vielen Compliance-Frameworks sind Datenverarbeitung und -speicherung richtlinienbasiert. 
+  [SEC10-BP03 Vorbereiten forensischer Funktionen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) – Forensische Funktionen können manchmal bei der Prüfungs-Compliance verwendet werden. 

 **Zugehörige Dokumente:** 
+ [AWS Compliance Center ](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [AWS-Compliance-Ressourcen ](https://aws.amazon.com/compliance/resources/)
+ [AWS-Risiko und -Compliance (Whitepaper)](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [AWSModell der übergreifenden Verantwortlichkeit](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS-Services im Rahmen des Compliance-Programms](https://aws.amazon.com/compliance/services-in-scope/)

 **Zugehörige Videos:** 
+ [AWS re:Invent 2020: Achieve compliance as code using AWS Compute Optimizer](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2.021 - Cloud compliance, assurance, and auditing ](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2.022 - Implementing compliance, assurance, and auditing on AWS (COP202) ](https://www.youtube.com/watch?v=i7XrWimhqew)

 **Zugehörige Beispiele:** 
+ [ PCI DSS und AWS Foundational Security Best Practices auf AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)

 **Zugehörige Services:** 
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [AWS Compute Optimizer](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)