Certification de sécurité de la GSMA
Présentation
Les régions UE Ouest (Paris) et USA Est (Ohio) d'Amazon Web Services (AWS) sont certifiées par la GSM Association (GSMA) dans le cadre de sa procédure d'accréditation de sécurité pour la gestion des abonnements (SAS-SM) avec un champ d'application DCOM (Data Center Operations and Management). Cette mise en conformité avec les exigences de la GSMA témoigne de notre engagement continu à respecter les attentes accrues des fournisseurs de services cloud.
La GSM Association (GSM, Global System for Mobile Communications, anciennement Groupe Spécial Mobile) est une organisation sectorielle axée sur la normalisation et l'interopérabilité. Elle se compose de 1 200 fournisseurs de services mobiles et d'entreprises connexes (fabricants de combinés téléphoniques, fournisseurs de logiciels, fournisseurs de services Internet). L'organisation a établi une procédure d'accréditation de sécurité (SAS, Security Accreditation Scheme) avec applicabilité à la production de carte à circuit intégré universelle (SAS-UP) et à la gestion des abonnements de provisionnement des cartes SIM/UICC (Subscriber Identification Module/Universal Integrated Circuit Card) à distance (SAS-SM).
AWS a été évalué par des auditeurs tiers indépendants sélectionnés par la GSMA. UE Ouest (Paris) et USA (Ohio) ont été renouvelées en octobre 2024. Les audits SAS-SM concernaient :
Section 1 : Politique, stratégie et documentation
Section 2 : Organisation et responsabilité
Section 3 : Informations
Section 4 : Sécurité du personnel
Section 5 : Sécurité physique
Sécurité 10 : Gestion des ordinateurs et des réseaux
Les domaines ci-dessous ont été exclus de l'examen :
Section 6 : Résultat de la gestion des certificats et des clés - *Ne s'applique pas aux fournisseurs de services cloud et est exclue de cet examen.
Section 7 : Gestion des données sensibles des processus - *Ne s'applique pas aux fournisseurs de services cloud et est exclu de cet examen.
Section 8 : Gestion des services SM-DP, SM-SR, SM-DP + et SM-DS - *Ne s'applique pas aux fournisseurs de services cloud et est exclu de cet examen.
Section 9 : Gestion de la production et de la logistique - *Ne s'applique pas à SAS-SM et est exclu de cet examen.
FAQ
-
Qu’est-ce que la GSMA ?
La GSM Association (GSM, Global System for Mobile Communications, anciennement Groupe Spécial Mobile) est une organisation sectorielle axée sur la normalisation et l'interopérabilité. Elle se compose de 1 200 fournisseurs de services mobiles et d'entreprises connexes (fabricants de combinés téléphoniques, fournisseurs de logiciels, fournisseurs de services Internet). L'organisation a établi une procédure d'accréditation de sécurité (SAS, Security Accreditation Scheme) avec applicabilité à la production de carte à circuit intégré universelle (SAS-UP) et à la gestion des abonnements de provisionnement des cartes SIM/UICC (Subscriber Identification Module/Universal Integrated Circuit Card) à distance (SAS-SM). L'obtention de cette certification prouve que nos systèmes de gestion de l'information sont conformes aux normes du secteur.
-
Quels types de certifications sont proposés par la GSMA ?
La GSMA propose deux options de certification aux fournisseurs de services cloud (CSP) :
- Le CSP peut chercher à obtenir une certification SAS autonome (avec une portée limitée à DCOM) pour son centre de données et être répertorié sur le site web SAS, ce qui lui permet d'offrir les services certifiés SAS à plusieurs clients.
- Le CSP peut chercher à prendre en charge la certification d'un seul client qui utilise ses services au regard des exigences SAS-SM. Dans ce cas, le centre de données du CSP ne reçoit pas son propre certificat SAS à la suite d'un audit réussi. Le certificat SAS-SM pour le site du fournisseur de services SM doit toutefois préciser que le centre de données du CSP a été soumis à un audit et qu'il respecte les exigences SAS-SM pour les services externalisés.
-
Quels services sont couverts par la certification GSMA ?
Pour la liste des services relevant de la région certifiée, consultez les Services AWS concernés par programme de conformité et choisissez GSMA.
-
Que représente cette certification pour moi en tant que client ?
Les clients d'AWS qui fournissent des cartes eUICC (embedded Universal Integrated Circuit Card) pour les appareils mobiles peuvent exécuter leurs applications de provisionnement à distance dans la région certifiée GSMA de Cloud AWS et avoir confiance dans la sécurité de l'infrastructure et des services AWS.
-
Puis-je obtenir une copie de la certification GSMA ?
Le certificat est disponible sur GSMA et AWS Artifact. AWS Artifact est un portail en libre-service pour l'accès à la demande aux rapports de conformité AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Premiers pas avec AWS Artifact.