Auditoria comunitária reforça conformidade na nuvem
A Amazon Web Services (AWS) finalizou sua segunda auditoria comunitária junto à GDV (Associação Alemã de Seguros), contando com a participação de 36 membros do setor segurador alemão. Esses participantes representam cobertura superior a 63% do mercado segurador nacional em termos de prêmios de seguro. As auditorias comunitárias funcionam como um mecanismo eficiente para oferecer garantias adicionais a grupos de clientes quanto à segurança da computação em nuvem, complementando o Modelo de Responsabilidade Compartilhada da AWS, os Programas de Conformidade da AWS e recursos disponibilizados através do AWS Artifact.
Por que a segurança em nuvem importa para o setor financeiro
Para a AWS, a segurança representa a prioridade máxima. À medida que clientes adotam a escalabilidade e flexibilidade da plataforma, a empresa se dedica a transformar segurança e conformidade em facilitadores de negócios. O foco está em conquistar e manter a confiança de clientes do setor financeiro e suas autoridades regulatórias, garantindo que existem controles adequados para proteger materiais sensíveis e cargas de trabalho reguladas.
A transformação digital crescente no setor financeiro, com a computação em nuvem como tecnologia habilitadora chave, intensificou o escrutínio regulatório. O engajamento da AWS com membros da GDV exemplifica como a empresa apoia esforços de gestão de risco e conformidade regulatória de seus clientes.
Estrutura e escopo da auditoria
Sobre a GDV e seus participantes
A GDV é a associação das seguradoras privadas na Alemanha, representando aproximadamente 470 membros do setor e um ator relevante nas indústrias financeiras alemã e europeia. Os membros participantes desta auditoria comunitária acionaram seus direitos de auditoria conforme disposições da Lei de Resiliência Operacional Digital (DORA), requisitos da BaFin e diretrizes da EIOPA sobre terceirização para provedores de serviços em nuvem.
Preparação e definição de escopo
Neste segundo ciclo, uma única empresa de auditoria externa foi contratada em nome dos 36 membros participantes do setor segurador alemão. O escopo foi delimitado com referência ao framework C5 do BSI (Escritório Federal Alemão para Segurança da Informação), incluindo domínios-chave e áreas de controle. A avaliação enfatizou serviços AWS como Amazon Elastic Compute Cloud (Amazon EC2) e a região relevante para participantes — Europa (Frankfurt) — designada como eu-central-1.
Processo de auditoria
Fase de trabalho de campo
Após discussão inicial em Berlim, a auditoria adotou metodologia remota, utilizando videoconferência e portal seguro de auditoria para inspeção de evidências. Os auditores realizaram avaliação detalhada de políticas, procedimentos e controles da AWS através de análise de documentação, sessões profundas com especialistas em assuntos técnicos e perguntas de esclarecimento sobre as evidências apresentadas.
Resultados obtidos
A auditoria foi executada e concluída conforme modelo de engajamento mutuamente acordado entre AWS, membros participantes e auditores externos, durante o qual os participantes exerceram seus direitos de auditoria em conformidade com condições contratuais. Após revisão pela AWS para confirmação da precisão factual do conteúdo, os auditores finalizaram o relatório.
Os resultados da auditoria comunitária da GDV estão disponíveis exclusivamente aos membros participantes e suas autoridades regulatórias. A auditoria ofereceu aos membros da GDV garantias quanto ao ambiente de controles da AWS, possibilitando a remoção de obstáculos de conformidade, aceleração da adoção de serviços AWS e maior confiança nos controles de segurança da plataforma.
Perspectiva das seguradoras participantes
Do ponto de vista das companhias de seguros participantes, a segunda auditoria conjunta na AWS foi percebida como eficiente e benéfica ao reduzir encargos individuais de auditoria enquanto entregava resultados confiáveis de garantia. Simultaneamente, o planejamento abrangente e coordenação necessária demandou esforço substancial.
A coordenação com a GDV e o engajamento com a DCSO Deutsche Cybersicherheitsorganisation GmbH como fornecedor profissional externo de auditoria ajudou a simplificar a comunicação com a AWS e assegurou abordagem consistente entre todos os participantes. A cooperação entre seguradoras da GDV, auditores da DCSO e AWS manteve-se profissional e construtiva durante todo o processo.
Destacou-se a presença, pela primeira vez, de dois representantes de companhias de seguros nas entrevistas técnicas, proporcionando impressão ainda melhor sobre a qualidade do processo de auditoria.
Próximos passos e referências
Para aprofundamento em programas de conformidade e segurança, consulte os Programas de Conformidade da AWS. Clientes e organizações que desejam dialogar com a equipe de conformidade da AWS podem utilizar a página de contato disponibilizada.
Fonte
AWS completes the second GDV community audit with participant insurers in Germany (https://aws.amazon.com/blogs/security/aws-completes-the-second-gdv-community-audit-with-participant-insurers-in-germany/)
Leave a Reply