# 合規 AWS 合規可讓客戶了解 AWS 在維護 AWS 雲端安全和保護資料方面所具備的強大控制能力。當系統內建於 AWS 雲端時,AWS 與客戶會分擔合規責任。AWS 運算環境經過持續稽核,獲得來自各地區和行業認證機構的認證,包括 SOC 1/SSAE 16/ISAE 3402 (之前稱為 SAS 70)、SOC 2、SOC 3、ISO 9001 / ISO 27001、FedRAMP、DoD SRG 和 PCI DSS Level 1.i。此外,AWS 還提供保證計劃,提供範本和控制映射,以協助客户建立其在 AWS 上所執行環境的合規性。如需計劃的完整清單,請參閱 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。 我們可以確認所有 AWS 服務均在符合 GDPR 規範的情況下使用。這表示,除了受惠於 AWS 為了維護服務安全而已經採用的所有措施以外,客戶還可將 AWS 服務部署為其 GDPR 合規計劃的一部分。AWS 提供符合 GDPR 的資料處理增補合約 (GDPR DPA),讓您能夠遵守 GDPR 的合約義務。AWS GDPR DPA 整合於 AWS 服務條款,並自動套用到所有需要它來符合 GDPR 的全球客戶。Amazon.com, Inc. 已依據「歐美隱私保護盾」協議 ( (EU-US Privacy Shield) 取得認證,而 AWS 則涵蓋在此認證之下。這可協助選擇將個人資料轉移到美國的客戶符合其資料保護義務。在「歐美隱私保護盾」 (EU-US Privacy Shield) 網站上可找到 Amazon.com Inc. 的認證:[https://www.privacyshield.gov/list](https://www.privacyshield.gov/list) 在認可的環境中運作,客戶可縮小其必須執行稽核的範圍和成本。AWS 會持續經歷其基礎架構的評估 (包括其硬體和資料中心的實體和環境安全),因此客戶可以利用這些認證且只要繼承這些控制項即可。 在傳統資料中心,常見的合規活動通常為定期的手動活動。這些活動包括驗證資產組態及報告系統管理活動。此外,結果產生的報告甚至會在發佈前過時。在 AWS 環境中運作,客戶即可利用內嵌的自動化工具來驗證合規性,例如 AWS Security Hub CSPM、AWS Config 和 AWS CloudTrail。這些工具可減少執行稽核所需的付出,因為這些任務會變成例行、持續和自動的任務。在手動活動上花費較少時間,有助於將貴公司的合規角色從其中一個必要系統管理負擔,演變成可管理風險及改善安全狀態的角色。