Aspectos generales
En el caso de que necesite ayuda para completar un cuestionario a fin de documentar las posiciones de seguridad y cumplimiento de AWS, tenemos un enfoque recomendado que se diseñó para proporcionarle los recursos que necesita para responder a sus preguntas de seguridad y cumplimiento en el contexto de la nube y el modelo empresarial de AWS. Los recursos que se utilizan con más frecuencia para completar cuestionarios de seguridad y cumplimiento son:
- AWS Artifact: AWS Artifact es el recurso central in situ que recoge toda la información sobre cumplimiento importante. Proporciona acceso bajo demanda a los informes de seguridad y cumplimiento de AWS y contratos en línea seleccionados. Algunos de los informes de AWS Artifact incluyen informes de control de organizaciones de servicios (SOC), declaración de cumplimiento de la industria de las tarjetas de pago (PCI) y certificaciones de organismos de acreditación de distintas regiones y tipos de cumplimiento que validan la implementación y eficacia operativa de los controles de seguridad de AWS. Los acuerdos disponibles en AWS Artifact incluyen el Anexo al acuerdo con un socio empresarial (BAA) y el acuerdo de confidencialidad (NDA).
- Página web de los programas de cumplimiento de AWS: los programas de cumplimiento de AWS ayudan a nuestros clientes a comprender los controles estrictos que tenemos instaurados en AWS para mantener la seguridad y el cumplimiento en la nube.
- Página web de controles de centros de datos de AWS: muchos cuestionarios cuentan con una sección con preguntas relacionadas con la seguridad física de los centros de datos. Esta página web le brinda información sobre algunos de nuestros controles físicos y de entorno.
- Documento técnico de riesgo y cumplimiento de AWS: este documento incluye información específica de AWS relacionada con preguntas generales sobre el cumplimiento de la computación en la nube.
- Cuestionario de la iniciativa de evaluación consensuada de CSA: este documento proporciona un conjunto de preguntas que este organismo anticipa que un consumidor o auditor de la nube le harían a un proveedor de la nube. El cuestionario brinda una serie de preguntas de seguridad, control y proceso que luego se pueden utilizar para una amplia gama de usos, incluida la selección de proveedores en la nube y la evaluación de seguridad. Este documento contiene las respuestas de AWS al cuestionario de CSA.
- Evaluación de CyberGRX de AWS: los clientes pueden aprovechar el informe de CyberGRX de AWS para reducir la carga de diligencia debida de sus proveedores sustituyendo las hojas de cálculo estáticas obsoletas, así como la necesidad de solicitar repetidamente el acceso a la evaluación de AWS cada año. Los clientes también pueden utilizar la característica Framework Mapper de CyberGRX, que les permitirá asignar la evaluación de AWS a los estándares y marcos industriales de uso común para obtener visibilidad instantánea de la cobertura de los controles.
- Evaluación de CyberVadis de AWS: los clientes pueden aprovechar el informe de evaluación de riesgos y la tarjeta de puntuación de CyberVadis de AWSpara la diligencia debida de sus proveedores. La evaluación de CyberVadis proporciona capacidades avanzadas mediante la integración de las respuestas de AWS con análisis y modelos de riesgo sofisticados, para proporcionar una visión en profundidad de la postura de seguridad de AWS. Los clientes pueden utilizar los resultados de CyberVadis para asignar la evaluación de AWS a los marcos y estándares de uso común de la industria y así obtener visibilidad instantánea de la cobertura de los controles.
- Cuestionario SIG: el cuestionario de recopilación de información estandarizada (SIG) está destinado a los clientes que utilizan las herramientas del cuestionario SIG de Shared Assessment para estandarizar su proceso de evaluación de riesgos de terceros. AWS completó el cuestionario con respuestas narrativas para ayudar a los clientes de AWS en su proceso de diligencia debida de la nube de AWS. SIG se encuentra en AWS Artifact.
La página web de los servicios de AWS en el ámbito brinda una lista de servicios cuya evaluación ha determinado su cumplimiento con estándares de cumplimiento comunes.
AWS puede involucrar a las siguientes entidades enumeradas en la página web de subprocesadores de AWS para llevar a cabo actividades de procesamiento específicas en nombre del cliente o actividades de administración en las instalaciones del centro de datos. Esta página web también brinda a los clientes la opción de suscribirse a notificaciones por correo electrónico si la lista de subprocesadores cambia.
Puede obtener información sobre la privacidad de los datos en el Centro de privacidad de datos de AWS. Esta página web proporciona información sobre la privacidad en AWS, leyes y reglamentos sobre privacidad, preguntas frecuentes y recursos.
AWS mantiene con carácter estrictamente confidencial las ubicaciones de nuestros centros de datos para conservar su seguridad y privacidad. La convención de nombres para nuestras regiones de AWS es indicativa de la ubicación geográfica general de las zonas de disponibilidad y los centros de datos que componen esa región. En nuestro informe PCI-DSS, disponible a través de AWS Artifact, se incluyen detalles adicionales sobre la ubicación general de los centros de datos. Para más información, consulte la página web de la infraestructura global de AWS.
Los clientes pueden evaluar la seguridad y resistencia de la infraestructura física de AWS teniendo en cuenta todos los controles de seguridad que AWS aplica a sus centros de datos. Para ayudar a los clientes a comprender más a fondo nuestros controles de seguridad física y resistencia, un auditor independiente y competente valida la presencia y el funcionamiento de los controles como parte de nuestros informes SOC que están disponibles para los clientes a través de AWS Artifact. Esta validación de terceros, de amplia aceptación, proporciona a los clientes la acreditación independiente de la eficacia de los controles establecidos. Las revisiones independientes de la seguridad física de los centros de datos también forman parte de los programas de cumplimiento de las normas ISO 27001, PCI, ITAR y FedRAMP.
Los clientes que evalúen AWS como parte de su planificación de recuperación de desastres deben identificar en primer lugar sus objetivos de resiliencia y considerar cualquier requisito normativo aplicable para la resiliencia y la recuperación de desastres. A continuación, los clientes pueden diseñar la arquitectura de su entorno de AWS para que se ajuste a sus requisitos normativos y objetivos de resiliencia. Por ejemplo, para reducir los riesgos relativos al entorno, los clientes pueden diseñar la arquitectura de sus cargas de trabajo de AWS de modo que saquen partido de regiones y zonas de disponibilidad separadas físicamente para alcanzar sus objetivos. Al planear la continuidad empresarial y la recuperación de desastres, los clientes de AWS deben hacer uso de las prácticas recomendadas que se encuentran en el pilar de fiabilidad del AWS Well-Architected Framework. Encontrará más información sobre las recomendaciones de recuperación de desastres en Recuperación de desastres de cargas de trabajo en AWS: recuperación en la nube.
Informes de cumplimiento
AWS Artifact proporciona informes de cumplimiento emitidos por auditores de terceros que han probado y verificado nuestro cumplimiento con diferentes estándares y regulaciones de seguridad globales, regionales y específicas del sector. Cuando se publican nuevos informes, estos quedan disponibles para que los clientes los descarguen en AWS Artifact. Para obtener más información, acceda a Preguntas frecuentes sobre los informes de conformidad. También puede acceder a AWS Artifact directamente desde la consola de administración de AWS.
De acuerdo con la cobertura continua de AWS que proporcionan nuestros informes SOC de 12 meses emitidos varias veces al año, publicamos una carta SOC de operaciones continuas de organizaciones de servicios en lugar de una carta puente. Estas cartas publicadas periódicamente pueden descargarse utilizando AWS Artifact desde la consola de administración de AWS.
No. Las auditorías SOC se realizan durante un periodo de tiempo. Una vez que finaliza el periodo de auditoría, el informe se prepara y se pone a disposición a los clientes en aproximadamente 6 semanas. A partir del 30 de septiembre de 2023, AWS emite informes SOC que cubren periodos de 12 meses varias veces al año. Los informes SOC 1 se emiten trimestralmente, y los informes SOC 2 y SOC 3 se emiten cada 6 meses. Cuando se publican los nuevos informes SOC, quedan disponibles para que los clientes los descarguen en AWS Artifact.
AWS le brinda a su cliente una copia de nuestro informe SOC 1 y SOC 2 sin problema alguno. Para brindarle un mejor soporte a sus clientes, le recomendamos que utilicen la guía de introducción a AWS Artifact para descargar los informes SOC 1 o SOC 2 en su cuenta de AWS. La creación de una cuenta no conlleva ningún cargo. Una vez que inicien sesión con su cuenta, sus clientes pueden acceder a los informes disponibles en la consola de AWS visitando Artifact en la sección Seguridad, identidad y cumplimiento.
Como alternativa, puede descargar los informes de cumplimiento de AWS desde AWS Artifact y compartir con sus clientes directamente si así lo permiten los términos y condiciones aplicables al informe de conformidad de AWS específico. Consulte los términos y condiciones aplicables en la primera página del informe de cumplimiento de AWS descargado desde AWS Artifact para comprobar si se permite o no compartir dicho informe.
También publicamos el informe SOC 3 de AWS en nuestra página web de cumplimiento SOC. El informe SOC 3 es un resumen del informe SOC 2 de AWS; brinda la garantía, incluida la opinión del auditor externo, de que AWS mantiene una operación de controles efectiva en base a los criterios establecidos en los principios de servicios de confianza de la AICPA.
Programas de cumplimiento
No existe ninguna certificación HIPAA para un proveedor de servicios en la nube (CSP) como AWS. Sin embargo, AWS adapta su programa de gestión de riesgos HIPAA a las normas de privacidad (45 CFR parte 160 y subpartes A y E de la parte 164) y de seguridad (45 CFR parte 160 y subpartes A y C de la parte 164) del Departamento de Salud y Servicios Humanos de EE. UU., así como a las normas de simplificación administrativa HIPAA (45 CFR 160, 162 y 164), FedRAMP, NIST 800-30 y NIST 800-53. NIST respalda esta correspondencia y publicó 800-66 Rev. 1, An Introductory Resource Guide for Implementing the HIPAA Security Rule, donde se explica cómo NIST 800-53 se corresponde con la regla de seguridad de la HIPAA. Consulte la página web de la HIPAA para AWS para obtener más información sobre el cumplimiento con la HIPAA en AWS.
Sí. AWS cuenta con un BAA que firmamos con nuestros clientes. Tiene en cuenta los servicios exclusivos que AWS proporciona y da cabida al modelo de responsabilidad compartida de AWS.
Para revisar, aceptar y administrar el estado del BAA para su cuenta, o para todas las cuentas que forman parte de su organización en AWS Organizations, inicie sesión en AWS Artifact desde la consola de administración de AWS.
AWS sigue un programa de administración de riesgos basado en estándares para garantizar que los servicios compatibles con la HIPAA respalden específicamente los procesos de seguridad, control y administración exigidos por la HIPAA. Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta la HIPAA, pero solo deben procesar, almacenar y transmitir información sanitaria protegida (PHI) en los servicios compatibles con la HIPAA. Consulte los siguientes recursos de AWS para obtener más información sobre la conformidad con HIPAA en AWS:
Los clientes pueden aprovechar la certificación que tiene AWS en este marco para los servicios que se encuentren dentro del ámbito con el fin de respaldar sus propias certificaciones de HITRUST CSF. Para obtener la lista más reciente de servicios de AWS certificados por HITRUST CSF, consulte la página web AWS Services in Scope. Los clientes de AWS pueden heredar la certificación de HITRUST CSF de AWS siempre que utilicen únicamente servicios dentro del ámbito y apliquen los controles detallados en el sitio web de HITRUST Alliance. Los clientes pueden descargar la Matriz de responsabilidad compartida HITRUST personalizada de AWS para determinar los requisitos de HITRUST que los clientes de AWS podrían heredar como parte del modelo de responsabilidad compartida. Los clientes deben consultar la página web de la guía del usuario de MyCSF para saber cómo iniciar una solicitud de herencia.
No es necesario que realice ninguna acción para beneficiarse del DPA para el RGPD. Las condiciones del DPA para el RGPD están incluidas en las condiciones de servicio de AWS y, desde el 25 de mayo de 2018, el DPA para el RGPD se aplica a todos los clientes cuyas actividades están dentro del ámbito del RGPD. Consulte esta publicación del blog de seguridad de AWS para obtener más información sobre el DPA de AWS. Visite el Centro GDPR para obtener más información.
El programa de cumplimiento de AWS ayuda a nuestros clientes a comprender los controles estrictos que tenemos instaurados en AWS para mantener la seguridad y el cumplimiento de la nube. Puede encontrar los programas regionales específicos (Global, América, Asia-Pacífico, Europa, Oriente Medio y África) que cumple AWS en la página web de los programas de cumplimiento de AWS.