MPA e segurança de estúdios
Visão geral
A Motion Picture Association (MPA) estabeleceu um conjunto de práticas recomendadas para armazenar, processar e entregar com segurança mídia e conteúdo protegidos. As empresas de mídia usam essas práticas recomendadas como forma de avaliar o risco e a segurança do seu conteúdo e infraestrutura. A MPA e a Content Delivery & Security Association (CDSA) criaram em conjunto uma parceria chamada Trusted Partner Network (TPN). O programa TPN busca aumentar a conscientização, a preparação e recursos de segurança na indústria da mídia e do entretenimento. A AWS continua monitorando e contribuindo com os parâmetros de comparação de segurança de conteúdo da TPN.
A AWS também oferece um Guia de proteção de terceiros para gerenciamento de ativos de mídia, gerenciamento de ativos digitais e VFX/renderização, disponível por meio do AWS Artifact.
-
Conscientização/supervisão da segurança executiva
Melhor prática
Assegurar a supervisão da função de segurança da informação pela administração executiva/proprietários, exigindo análise periódica do programa de segurança da informação e dos resultados da avaliação de riscos.
Implementação da AWS
O Ambiente de controle da Amazon começa no mais alto nível da empresa. A liderança executiva e sênior desempenham funções importantes para estabelecer o tom da empresa e seus valores principais. A AWS estabeleceu políticas e uma estrutura de segurança de informações com base na estrutura do System & Organization Control (SOC – Controle do sistema e da organização) e integrou com eficácia a estrutura certificável do ISO 27001 com base em controles do ISO 27002, na PCI DSS v3.2 e na Publicação 800-53, rev. 3, do National Institute of Standards and Technology (NIST) (Controles de segurança recomendados para sistemas de informações federais). Treinamento periódico baseado em função dos funcionários da AWS, que inclui treinamento em segurança da AWS. As auditorias de conformidade são realizadas para que os funcionários entendam e sigam as políticas estabelecidas.
-
Gerenciamento de riscos
Melhor prática
Desenvolva um processo formal de avaliação de riscos de segurança concentrado em fluxos de trabalho de conteúdo e ativos confidenciais para identificar e priorizar os riscos de roubo e vazamento de conteúdo relevantes ao estabelecimento.
Implementação da AWS
A AWS implementou uma política de avaliação de risco formal e documentada, que é atualizada e analisada pelo menos uma vez por ano. Essa política trata do objetivo, escopo, funções, responsabilidade e compromisso de gerenciamento.
Alinhado com essa política, uma avaliação de risco anual, que abrange todas as regiões e negócios da AWS é conduzida pela equipe de conformidade da AWS e analisada pela gerência sênior da AWS. É complementar à certificação, atestado e relatórios que são conduzidos por auditores independentes. O objetivo da avaliação de risco é identificar ameaças e vulnerabilidades da AWS, atribuir uma classificação de risco a ameaças e vulnerabilidades, documentar formalmente a avaliação e criar um plano de tratamento de risco para abordar problemas. Os resultados da avaliação de risco são revisados regularmente pela gerência sênior da AWS, inclusive quando uma mudança significativa justifica uma nova avaliação de risco antes da avaliação anual de risco.
Os clientes mantêm a propriedade dos seus dados (conteúdo) e são responsáveis pela avaliação e pelo gerenciamento dos riscos associados aos fluxos de trabalho de seus dados para atender às suas necessidades de conformidade.
A estrutura de gerenciamento de risco da AWS é analisada por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
-
Organização de segurança
Melhor prática
Identifique os principais pontos de contato de segurança e defina funções e responsabilidades para a proteção de conteúdo e ativos.
Implementação da AWS
A AWS tem uma organização estabelecida de segurança da informação, gerenciada pela equipe de Segurança da AWS e liderada pelo diretor de segurança da informação (CISO) da AWS. A AWS mantém e oferece treinamento sobre conhecimento de segurança a todos os usuários de sistemas de informação compatíveis com a AWS. Esse treinamento de segurança anual inclui os seguintes tópicos: objetivos do treinamento de segurança e conhecimento, localização de todas as políticas da AWS, procedimentos de resposta a incidentes da AWS (incluindo instruções sobre como relatar incidentes de segurança internos e externos).
Os sistemas dentro da AWS são extensivamente instrumentados para monitorar as principais métricas operacionais e de segurança. Os alarmes são configurados para notificar o pessoal operacional e administrativo automaticamente quando limites de aviso antecipado são ultrapassados nas principais métricas. Quando o limite é ultrapassado, o processo de resposta a incidentes da AWS é iniciado. A equipe de resposta a incidentes da Amazon emprega procedimentos de diagnóstico padrão do setor para impulsionar a resolução durante eventos que afetam os negócios. Os colaboradores fornecem cobertura 24 horas por dia, 7 dias por semana, 365 dias por ano para detectar incidentes e gerenciar o impacto e a resolução.
As funções e responsabilidades da AWS são revisadas por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
-
Políticas e procedimentos
Melhor prática
Estabelecer políticas e procedimentos sobre a segurança de ativos e conteúdos. As políticas devem abordar os seguintes assuntos, no mínimo:
• Políticas de recursos humanos
• Uso aceitável (redes sociais, Internet, telefone, etc.)
• Classificação de ativos
• Políticas de tratamento de ativos
• Dispositivos de gravação digital (smartphones, câmeras digitais, filmadoras)
• Política de exceção (por exemplo, o processo para documentar desvios de políticas)
• Controles por senha (como tamanho mínimo da senha, proteções de tela)
• Proibição de remoção de ativo de cliente da instalação
• Gerenciamento de alterações no sistema
• Política de denúncias
• Política de sanção (por exemplo, política disciplinar)
Implementação da AWS
A AWS estabeleceu políticas e uma estrutura de segurança de informações com base na estrutura do System & Organization Control (SOC – Controle do sistema e da organização) e integrou com eficácia a estrutura certificável do ISO 27001 com base em controles do ISO 27002, na PCI DSS v3.2 e na Publicação 800-53, rev. 3, do National Institute of Standards and Technology (NIST) (Controles de segurança recomendados para sistemas de informações federais).
A AWS mantém e oferece treinamento sobre conhecimento de segurança a todos os usuários de sistemas de informação compatíveis com a AWS. Esse treinamento de segurança anual inclui os seguintes tópicos: objetivos do treinamento de segurança e conhecimento, localização de todas as políticas da AWS, procedimentos de resposta a incidentes da AWS (incluindo instruções sobre como relatar incidentes de segurança internos e externos).
As políticas, os procedimentos e os programas de treinamento relevantes da AWS são analisados por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
-
Resposta a incidentes
Melhor prática
Estabelecer um plano formal de resposta a incidentes que descreva as ações a serem tomadas quando um incidente de segurança é detectado e relatado.
Implementação da AWS
A AWS implementou uma política e um programa de reposta a incidentes formais e documentados. A política trata do objetivo, escopo, funções, responsabilidade e compromisso de gerenciamento.
A AWS usa uma abordagem de três fases para gerenciar incidentes:
1. Fase de ativação e notificação: incidentes para a AWS começam com a detecção de um evento. Isso pode ser proveniente de diversas fontes, como:
a. Métricas e alarmes – a AWS mantém uma capacidade de conhecimento da situação excepcional, a maioria dos problemas é rapidamente detectada com monitoramento e alarme 24 horas por dia, 7 dias por semana, 365 dias por ano, em tempo real, das métricas e painéis de serviço. A maioria dos incidentes é detectada dessa maneira. A AWS usa alarmes indicadores logo no início para identificar proativamente problemas que podem acabar causando impacto nos clientes.
b. Tíquete de problema apresentado por um funcionário da AWS.
c. Chamadas para a linha de atendimento do suporte técnico, 24 horas por dia, 7 dias por semana, 365 dias por ano.Se o evento atender aos critérios de incidente, o engenheiro de suporte relevante em atendimento iniciará o processo usando as ferramentas de gerenciamento de eventos da AWS e acionará os solucionadores relevantes do programa (por exemplo, a equipe de segurança). Os solucionadores farão uma análise do incidente para determinar se outros solucionadores precisam ser envolvidos e para determinar a causa raiz aproximada.
2. Fase de recuperação – os solucionadores relevantes executarão um reparo para tratar do incidente. Depois de diagnosticar, reparar e tratar dos componentes afetados, o líder da chamada designará os próximos passos em termos de documentação e ações de acompanhamento e encerrará a chamada.
3. Fase de reconstituição – depois que as atividades de reparo relevantes são concluídas, o líder da chamada declarará a fase de recuperação concluída. A análise post mortem e de causa raiz do incidente será atribuída à equipe relevante. Os resultados do post mortem serão analisados pela gerência sênior relevante e ações adequadas, como alterações de projeto, etc. serão anotadas em um documento de Correction of Errors (COE – Correção de erros) e monitoradas até a sua conclusão.
Além dos mecanismos de comunicação internos detalhados acima, a AWS também implementou vários métodos de comunicação externa para dar suporte à sua base e comunidade de clientes. Há mecanismos implementados para permitir que a equipe de suporte ao cliente seja notificada sobre problemas operacionais que afetam a experiência do cliente. Um “Painel de status dos serviços” está disponível e é mantido pela equipe de suporte para alertar os clientes sobre quaisquer problemas que possam ser de grande impacto.
O programa de gerenciamento de incidente da AWS é analisado por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
A documentação de fluxo de trabalho de conteúdo (dados) é responsabilidade dos clientes da AWS, pois os clientes mantêm a propriedade e o controle dos seus próprios sistemas operacionais convidados, software, aplicativos e dados.
-
Governança de pessoal
Melhor prática
Executar verificações de histórico para todo o pessoal e todos os funcionários terceirizados da empresa.
Implementação da AWS
A AWS realiza verificações de antecedentes criminais, como permitido pela legislação aplicável, como parte das práticas de triagem antes da contratação de funcionários, de acordo com o cargo e nível de acesso do funcionário a instalações da AWS.
O programa de verificação de antecedentes da AWS é analisado por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
-
Acordos de confidencialidade
Melhor prática
Exigir que todo o pessoal e todos os funcionários terceirizados da empresa assinem um acordo de confidencialidade (por exemplo, confidencialidade) no ato da contratação e a cada ano, incluindo requisitos para o manuseio e a proteção de conteúdo.
Implementação da AWS
O departamento jurídico da Amazon gerencia e revisa periodicamente o Non-Disclosure Agreement (NDA – Acordo de confidencialidade) da Amazon para que reflita as necessidades comerciais da AWS.
O uso pela AWS de acordos de confidencialidade (NDAs) é analisado por auditores externos independentes durante as auditorias para nossa conformidade de ISO 27001 e FedRAMP.
-
Registro e monitoramento
Melhor prática
Registrar e revisar o acesso eletrônico a áreas restritas para identificar eventos suspeitos.
Implementação da AWS
O acesso físico é controlado no perímetro e nos pontos de ingresso dos prédios por uma equipe de segurança profissional, utilizando vigilância por vídeo, sistemas de detecção de invasão e outros recursos eletrônicos.
Todas as entradas em datacenters da AWS, incluindo a entrada principal, a estação de carga e qualquer porta/alçapão no teto, são protegidas com dispositivos de detecção de invasão que disparam alarmes e criam também um alarme no monitorando de segurança físico centralizado da AWS se uma porta for forçada para abrir ou se for mantida aberta.
Além de mecanismos eletrônicos, os datacenters da AWS usam guardas de segurança 24 horas por dia, 7 dias por semana, que ficam em postos dentro e em torno do edifício. Todos os alarmes são investigados por um guarda de segurança com causa raiz documentada para todos os incidentes. Todos os alarmes são configurados para escalar automaticamente se nenhuma resposta ocorrer dentro do tempo do SLA.
Os pontos de acesso físico aos locais de servidores são registrados por um circuito fechado de TV (CCTV), conforme definido na política de segurança física de datacenters da AWS. As imagens são mantidas por 90 dias, exceto quando limitadas a 30 dias por obrigações legais ou contratuais.
Os mecanismos de segurança física da AWS são analisados por auditores externos independentes durante auditorias para nossa conformidade com SOC, PCI DSS, ISO 27001 e FedRAMP.
-
Monitoramento de ativos
Melhor prática
Implementar um sistema de gerenciamento de ativos de conteúdo para proporcionar um controle detalhado de ativos físicos (ou seja, ativos do cliente e criados recentemente).
Implementação da AWS
O gerenciamento de ativos de conteúdo é de propriedade dos clientes da AWS, responsáveis também pela sua implementação e operação. É responsabilidade dos clientes implementar um controle de inventário de seus ativos físicos.
Para ambientes de datacenter da AWS, todos os novos componentes de sistemas de informação que incluem, entre outros, servidores, racks, dispositivos de rede, unidades de disco rígido, componentes de hardware do sistema e materiais de construção enviados e recebidos pelos datacenters requerem autorização prévia do gerente do datacenter ou por uma notificação dele. Os itens são entregues para a estação de carga de cada datacenter da AWS e são inspecionados quanto a danos ou alterações indevidas na embalagem e aprovados por um funcionário em tempo integral da AWS. Mediante a chegada da remessa, os itens são escaneados e capturados dentro do sistema de gerenciamento de ativos da AWS e sistema de rastreamento de inventário de dispositivos.
Depois que os itens são recebidos, eles são colocados em uma sala de armazenamento de equipamentos no datacenter que requer a combinação da passagem do cartão de identificação e o PIN para acesso até que sejam instalados no piso do datacenter. Antes de sair do datacenters, os itens são lidos, rastreados e higienizados antes que sejam autorizados a deixar o datacenter.
Os processos e procedimentos de gerenciamento de ativos da AWS são analisados por auditores externos independentes durante auditorias para nossa conformidade com PCI DSS, ISO 27001 e FedRAMP.
-
Internet
Melhor prática
Proibir o acesso à Internet em sistemas (desktops/servidores) que processam ou armazenam conteúdo digital.
Implementação da AWS
Os dispositivos de proteção de limites que usam conjuntos de regras, listas de controle de acesso (ACLs) e configurações aplicam o fluxo de informações entre malhas de rede. Esses dispositivos são configurados no modo deny-all, exigindo a configuração de um firewall aprovado para permitir a conectividade. Consulte o DS-2.0 para obter informações adicionais sobre o gerenciamento de firewalls de rede da AWS.
Não há recurso de e-mail inerente nos ativos da AWS, e a porta 25 não é usada. Um cliente (como estúdio, instalação de processamento, etc.) pode usar um sistema para hospedar recursos de e-mail, no entanto, nesse caso, é responsabilidade do cliente aplicar os níveis corretos de proteção contra spam e malware na entrada de e-mails e pontos de saída, e atualizar definições de spam e malware quando novas liberações são disponibilizadas.
Os ativos da Amazon (por exemplo, laptops) são configurados com software antivírus que inclui filtragem de e-mail e detecção de malware.
O gerenciamento de firewall de rede da AWS e o programa antivírus da Amazon são analisados por auditores externos independentes como parte da conformidade contínua da AWS com SOC, PCI DSS, ISO 27001 e FedRAMP.
-
Guia de proteção de terceiros para gerenciamento de ativos de mídia, gerenciamento de ativos digitais e renderização contínua de gráficos
Além da MPA, a maioria dos estúdios de conteúdo (como a Disney/Marvel) tem um conjunto de requisitos de segurança próprio e exige que os provedores de serviços e os serviços com valor agregado tenham os ambientes baseados em nuvem e on-premises auditados por terceiros. Um bom exemplo é a renderização contínua de conteúdo de VFX/animação baseada em nuvem para títulos pré-lançados.
A AWS trabalhou com um auditor externo para avaliar seus ambiente de renderização de VFX/animação. Esse externo também criou um modelo de documento com as melhores práticas de segurança envolvendo os controles de segurança da AWS com base nos principais requisitos do estúdio. Esse documento pode ser aproveitado para criar um ambiente de renderização de VFX/animação aprovado pelo estúdio na AWS.
O guia de proteção para gerenciamento de ativos/mídia pré-lançados dos estúdios e os controles de segurança de estúdio para VFX/renderização estão disponíveis no AWS Artifact.