O que é o KY3P e por que isso importa
A Amazon Web Services (AWS) concluiu a avaliação de segurança do Conheça Seu Terceiro (KY3P), conduzida pela S&P Global. Com isso, os clientes da AWS passam a ter acesso a um relatório padronizado que pode simplificar bastante o processo de due diligence de fornecedores — especialmente para empresas de setores regulados, como o financeiro.
O KY3P, também conhecido como S&P Global Comprehensive Assessment (anteriormente chamado de TruSight), é uma avaliação validada e baseada em evidências. Seu propósito é apoiar a conformidade regulatória e facilitar a troca padronizada de dados de risco entre a AWS e seus clientes. O diferencial da metodologia é que ela vai além de políticas e declarações: ela valida a implementação e operação real dos controles de segurança.
O que a avaliação cobre
A metodologia de avaliação de risco do KY3P contempla mais de 200 controles distribuídos em 26 categorias e nove domínios de risco. Entre os temas abordados estão:
- Privacidade
- Gerenciamento de Redes
- Gerenciamento de Acesso Lógico
- Segurança Física e Ambiental
Os critérios de avaliação foram desenvolvidos por um consórcio de instituições financeiras líderes no mercado global. Isso confere ao KY3P um alto nível de reconhecimento e credibilidade junto a reguladores e auditores.
Como isso beneficia os clientes da AWS
Com a adoção da nuvem crescendo em ritmo acelerado em diferentes setores, a AWS se tornou um componente crítico nos ambientes de terceiros de muitas organizações. Clientes em setores regulados — como o financeiro — precisam cumprir exigências rigorosas de due diligence sobre seus fornecedores, e isso inclui provedores de nuvem.
O relatório KY3P permite que esses clientes mapeiem os controles da AWS em relação a frameworks e padrões amplamente utilizados, como:
- Estrutura de Cibersegurança do NIST versão 2 (NIST CSF v2)
- Padrão de Segurança de Dados da Indústria de Cartões de Pagamento versão 4.0 (PCI DSS 4.0)
- ISO 27001:2022
Isso significa que, em vez de conduzir avaliações independentes e repetitivas, as empresas podem usar os resultados do KY3P para obter visibilidade imediata sobre a cobertura de controles da AWS — reduzindo esforço operacional e acelerando processos de conformidade.
Como acessar o relatório
Para saber como obter acesso ao relatório, a AWS disponibiliza uma página dedicada. Mais informações estão disponíveis na página de avaliação AWS KY3P. Quem quiser explorar outros programas de conformidade da AWS também pode consultar os Programas de Conformidade da AWS.
Fonte
AWS KY3P report now available for third-party supplier due diligence (https://aws.amazon.com/blogs/security/aws-ky3p-report-now-available-for-third-party-supplier-due-diligence/)
Leave a Reply