Reglamento General de Protección de Datos (RGPD)
Conformidad con el RGPD al utilizar los servicios de AWS
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea protege el derecho fundamental de las personas de la Unión Europea (UE) a la privacidad y la protección de los datos personales. El RGPD incluye requisitos estrictos que refuerzan y armonizan las normas de protección de datos, seguridad y conformidad. Consulte las preguntas frecuentes sobre el RGPD para obtener más información.
Los clientes de AWS pueden utilizar todos los servicios de AWS para procesar los datos personales (tal y como se definen en el RGPD) que se cargan en los servicios de AWS bajo sus cuentas de AWS (datos de clientes) en conformidad con el RGPD. Además de actuar en conformidad, asumimos el compromiso de ofrecer a nuestros clientes servicios y recursos para ayudarles a cumplir los requisitos del RGPD que puedan ser relevantes para sus actividades. Se lanzan características nuevas periódicamente. AWS tiene más de 500 características y servicios centrados en la seguridad y la conformidad. Para obtener más información sobre lo que realiza AWS, lea nuestro blog How AWS is helping EU customers navigate the new normal for data protection.
Control en manos del cliente
Los clientes tienen el control de los datos de sus clientes. Con AWS, los clientes pueden:
- Determinar dónde se almacenarán los datos de sus clientes, el tipo de almacenamiento y la región geográfica de ese almacenamiento.
- Elegir el estado de seguridad de los datos de sus clientes. Ofrecemos a los clientes un cifrado seguro de los datos de sus clientes en tránsito o en reposo. Además, les ofrecemos la opción de que gestionen sus propias claves de cifrado.
- Gestionar el acceso a los datos de sus clientes y a los servicios y recursos de AWS a través de usuarios, grupos, permisos y credenciales que ellos mismos controlan.
Transferencias fuera del Espacio Económico Europeo (EEE)
Los clientes de AWS pueden seguir utilizando los servicios de AWS para transferir los datos de los clientes desde el EEE a países no pertenecientes a este espacio que no hayan recibido una decisión de adecuación de la Comisión Europea (incluidos los Estados Unidos) en conformidad con el RGPD. En AWS, nuestra máxima prioridad es la seguridad de los datos de los clientes. Implementamos rigurosas medidas organizativas y técnicas para proteger su confidencialidad, integridad y disponibilidad, independientemente de la región de AWS que haya seleccionado el cliente. Sabemos la importancia de la transparencia para nuestros clientes. Tenemos una lista de los servicios de AWS que implican una transferencia de datos de los datos de los clientes en la página web de características de privacidad.
A medida que evolucione el panorama normativo y legislativo, trabajamos continuamente para garantizar que nuestros clientes no dejen de disfrutar de las ventajas de los servicios de AWS dondequiera que operen. A fin de obtener más información, consulte nuestra actualización para clientes sobre el Escudo de Privacidad entre la UE y los EE. UU. y nuestras publicaciones de blog sobre el Anexo suplementario al anexo sobre el procesamiento de datos de AWS y el Código de Conducta de Protección de Datos CISPE.
Recursos para el RGPD
Preguntas frecuente sobre el RGPD
Información general y aspectos básicos del RGPD
-
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (RGPD) es una ley de privacidad europea que entró en vigor el 25 de mayo de 2018. El RGPD reemplazó a la Directiva de Protección de Datos de la UE, también conocida como Directiva 95/46/EC, y su objetivo es unificar las leyes de protección de datos de toda la Unión Europea (UE) mediante la aplicación de una única ley de protección de datos que sea obligatoria en todos los estados miembro.
-
¿Quiénes deberán cumplir el RGPD?
El RGPD se aplica a todas las organizaciones radicadas en la UE y a aquellas organizaciones, radicadas o no en la UE, que procesen los datos personales de individuos radicados en la UE en conexión con el suministro de bienes o servicios a interesados radicados en la UE o el monitoreo de comportamiento que se haga dentro de la UE. Los datos personales son cualquier información relacionada con una persona natural identificable o identificada, como por ejemplo nombres, direcciones de correo electrónico y números de teléfono.
-
¿Es AWS un procesador de datos o un controlador de datos según el RGPD?
AWS actúa como procesador de datos y controlador de datos según el RGPD.
- AWS como procesador de datos: cuando los clientes utilizan los servicios de AWS para procesar información personal en el contenido que cargan en los servicios de AWS, AWS actúa como un procesador de datos. Los clientes pueden emplear los controles que tienen a su disposición en los servicios de AWS, incluidos los controles de la configuración de seguridad, para el tratamiento de la información personal. En ese caso, el propio cliente puede actuar como un controlador de datos o un procesador de datos, y AWS desempeñaría el papel de subtratador o procesador de datos. AWS ofrece un anexo para el procesamiento de datos de AWS (APD de AWS) conforme con el RGPD que incorpora los compromisos de AWS como procesador de datos. El APD de AWS,, el cual incluye las cláusulas contractuales tipo, forma parte de los Términos del servicio de AWS y está disponible de manera automática para todos los clientes que lo requieran para cumplir con el RGPD.
- AWS como controlador de datos: cuando AWS recopila información personal y determina los fines y los medios de procesamiento de esos datos (por ejemplo, cuando almacena información de la cuenta, como las direcciones de correo electrónico proporcionadas durante el registro de la cuenta, para su registro, administración y acceso a los servicios, o los datos de contacto con el objetivo de brindar asistencia mediante actividades de atención al cliente) actúa como un controlador de datos. Consulte el Aviso de privacidad de AWS para obtener más detalles sobre cómo AWS procesa los datos personales como controlador.
-
¿Qué son las cláusulas contractuales estándar (SCC)?
Las SCC son un mecanismo aprobado previamente de transferencia de datos de conformidad con el RGPD, aplicable en todos los estados miembro de la UE, que habilita la transferencia legal de datos personales a países que están fuera del Espacio Económico Europeo que no han recibido una decisión de adecuación por parte de la Comisión Europea (terceros países).
-
¿Cómo incorpora AWS las SCC en el anexo de procesamiento de datos del RGPD de AWS con los clientes?
Los Términos del servicio de AWS incluyen las SCC adoptadas por la Comisión Europea (CE) en junio de 2021, y el APD de AWS confirma que las SCC se aplicarán automáticamente cuando un cliente de AWS use los servicios de AWS para transferir datos de clientes a países que están fuera del Espacio Económico Europeo que no han recibido una decisión de adecuación por parte de la CE (terceros países). Como parte de los Términos del servicio de AWS, las nuevas SCC se aplicarán automáticamente siempre que un cliente utilice los servicios de AWS para transferir datos del cliente a países terceros. Los pocos clientes que han firmado un APD de AWS pueden seguir confiando en ese APD de AWS porque las nuevas SCC de los Términos del servicio de AWS sustituyen a la versión anterior de las SCC. Por tanto, los clientes pueden estar tranquilos de que los datos de clientes que transfieran a terceros países utilizando los servicios de AWS tienen el mismo nivel de protección elevado que el que reciben los datos de clientes en el EEE. Para obtener más información, consulte la publicación del blog acerca de la aplicación de las nuevas Cláusulas contractuales tipo.
Conformidad con AWS y el RGPD a raíz de la sentencia Schrems II y las recomendaciones del CEPD
-
¿Qué son la sentencia Schrems II y las recomendaciones del CEPD?
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia relativa a la transferencia de datos personales de personas de la UE fuera del EEE (Schrems II). En Schrems II, el TJUE dictaminó que el Escudo de Privacidad UE-EE. UU. ya no era un mecanismo válido para transferir datos personales del EEE a EE. UU. Sin embargo, en la misma sentencia, el TJUE confirmó que las empresas pueden (sujetas a la aplicación de medidas complementarias, si es necesario) continuar con el uso de las cláusulas contractuales tipo como mecanismo válido para transferir datos personales fuera del EEE. Desde entonces, el Consejo Europeo de Protección de Datos (CEPD), organismo europeo compuesto por representantes de las autoridades nacionales de protección de datos, ofrece una lista no exhaustiva de medidas complementarias en sus “Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE” (Recomendaciones del CEPD).
Las Recomendaciones del CEPD proporcionan ejemplos a los exportadores de datos de las medidas complementarias que podrían aplicarse. Consulte la pregunta frecuente “¿Puedo seguir utilizando los servicios de AWS tras la sentencia Schrems II?” para obtener detalles sobre los recursos de transferencia de datos de AWS.
-
¿Puedo seguir utilizando los servicios de AWS tras la sentencia Schrems II?
Sí, los clientes de AWS pueden seguir utilizando los servicios de AWS para transferir los datos de los clientes desde Europa a países fuera del EEE que no cuenten con una decisión de adecuación de la Comisión Europea. La sentencia Schrems II validó el uso de las cláusulas contractuales tipo (SCC) como mecanismo para transferir los datos de los clientes fuera del EEE y los clientes de AWS pueden seguir confiando en las SCC para cualquier transferencia de datos de los clientes fuera del EEE en conformidad con el RGPD.
- Ubicación del procesamiento. Los clientes seleccionan la región de AWS en la que se almacenarán los datos de sus clientes. Puede encontrar información general sobre las regiones de AWS disponibles en Regiones y zonas de disponibilidad. AWS no tratará los datos de clientes fuera de la región de AWS seleccionada por el cliente, a menos que sea necesario para proporcionar los servicios de AWS solicitados por el cliente o para cumplir la ley o una orden vinculante de un organismo gubernamental. Consulte nuestra página web sobre características de privacidad para obtener más información sobre las transferencias de datos como parte de los servicios de AWS.
- Subtratadores. AWS puede utilizar subtratadores, es decir, filiales de AWS o terceros, para facilitar el procesamiento de los datos de clientes con el fin de cumplir con nuestras obligaciones con los clientes en conformidad con el APD de AWS, o para proporcionar servicios en nuestro nombre. Consulte la pregunta frecuente “¿Utiliza AWS subtratadores para procesar los datos de los clientes?” que aparece abajo para más detalles.
- Herramientas de transferencia. Puesto que la sentencia Schrems II ha validado el uso de las SCC como mecanismo para transferir datos a países fuera del EEE que no han recibido una decisión de adecuación de la Comisión Europea, nuestros clientes pueden seguir confiando en las SCC incluidas en el APD de AWS si eligen transferir sus datos fuera del EEE en conformidad con el RGPD.
- Medidas adicionales.
- Control de clientes. Los clientes tienen la propiedad y el control de los datos de sus clientes en todo momento gracias a herramientas sencillas pero poderosas que les permiten determinar dónde se almacenarán los datos de sus clientes, asegurar los datos en tránsito y en reposo, gestionar el acceso de los usuarios a sus recursos de AWS, y modificar, eliminar y recuperar los datos de los clientes.
- Medidas técnicas y organizativas. AWS implementa controles y procesos técnicos y físicos responsables y sofisticados diseñados para evitar el acceso no autorizado o la divulgación de los datos de los clientes (consulte la página web de conformidad de AWS para más información). Asimismo, proporcionamos una serie de servicios avanzados de cifrado y gestión de claves (incluidos servicios que permiten a los clientes administrar sus propias claves) que los clientes pueden utilizar para proteger los datos de sus clientes tanto en tránsito como en reposo: los datos de clientes cifrados quedan inaccesibles sin las claves de descifrado correspondientes. Independientemente de que los datos de los clientes estén cifrados o no, prestamos mucha atención para proteger los datos de los clientes de cualquier acceso no autorizado.
- Solicitudes de los cuerpos de seguridad. AWS cuenta con procesos internos para atender las solicitudes que recibimos de los cuerpos de seguridad. Cuando los cuerpos de seguridad nos piden datos de clientes, examinamos dicha solicitud con detenimiento para autentificar la exactitud y verificar que es apropiada y cumple con todas las leyes vigentes. A menos que la ley lo prohíba, AWS notifica a los clientes antes de revelar sus datos para que estos puedan tomar medidas adicionales y buscar protección contra la divulgación. En el Anexo suplementario al APD de AWS (Anexo suplementario), AWS asume compromisos contractuales reforzados en relación con el tratamiento de las solicitudes gubernamentales de datos de clientes, por ejemplo, comprometiéndose a (i) utilizar todos los esfuerzos razonables para redirigir cualquier organismo gubernamental que solicite datos de clientes al cliente correspondiente; (ii) notificar rápidamente la solicitud al cliente si está legalmente permitido hacerlo, incluso mediante el uso de todos los esfuerzos razonables y legales para obtener una renuncia a la prohibición si es necesario; (iii) impugnar cualquier solicitud excesiva o inapropiada, incluso cuando la solicitud entre en conflicto con la legislación de la UE; y (iv) si, después de agotar los pasos descritos anteriormente, AWS sigue teniendo obligación de revelar los datos del cliente en respuesta a una solicitud gubernamental, revelar solo la cantidad mínima de datos del cliente necesaria para satisfacer la solicitud.
- Medidas contractuales. AWS adquiere varios compromisos contractuales con las medidas descritas anteriormente que se reflejan en el APD de AWS y en el Anexo suplementario. El APD de AWS y el Anexo suplementario incluyen compromisos contractuales de AWS relativos a (1) la selección por parte del cliente de las regiones de AWS en las que se almacenan y procesan los datos del cliente; (2) las medidas tanto técnicas como organizativas que AWS implementa para proteger la infraestructura de AWS y las medidas técnicas organizativas que los clientes pueden optar por aplicar para proteger los datos de sus clientes; (3) las medidas de AWS para proteger los datos de los clientes e informar al cliente en caso de una solicitud de divulgación de datos por parte de un organismo gubernamental; y (4) la capacidad de AWS para cumplir con sus obligaciones establecidas en el APD de AWS en cumplimiento de la legislación vigente en un tercer país en el que se procesen los datos de los clientes. El Anexo suplementario también aborda (5) los derechos legales de las personas a reclamar una indemnización en caso de violación de los derechos otorgados por el RGPD.
- Ubicación del procesamiento. Los clientes seleccionan la región de AWS en la que se almacenarán los datos de sus clientes. Puede encontrar información general sobre las regiones de AWS disponibles en Regiones y zonas de disponibilidad. AWS no tratará los datos de clientes fuera de la región de AWS seleccionada por el cliente, a menos que sea necesario para proporcionar los servicios de AWS solicitados por el cliente o para cumplir la ley o una orden vinculante de un organismo gubernamental. Consulte nuestra página web sobre características de privacidad para obtener más información sobre las transferencias de datos como parte de los servicios de AWS.
-
¿AWS utiliza subtratadores para procesar los datos de los clientes?
Sí, AWS puede utilizar tres tipos de subtratadores: (1) entidades de AWS que proporcionan la infraestructura en la que se ejecutan los servicios de AWS; (2) entidades de AWS que respaldan servicios específicos de AWS que pueden requerir que estas entidades procesen los datos de los clientes; y (3) terceros que AWS ha contratado para realizar actividades de procesamiento para servicios específicos de AWS. La página web de subtratadores de AWS proporciona más información sobre los subtratadores que AWS contrata de acuerdo con el APD de AWS, para proporcionar actividades de procesamiento de datos de clientes en nombre de los clientes. Los subtratadores relevantes para un cliente individual dependerán de la región de AWS que el cliente seleccione o de los servicios de AWS concretos que utilice.
-
¿Cómo ayuda AWS a los clientes cuando realizan evaluaciones de la transferencia de datos?
El documento técnico de AWS, Conformidad con los requisitos de transferencia de datos de la UE, aporta información sobre los servicios y los recursos que AWS ofrece a los clientes para ayudarles a realizar evaluaciones de la transferencia de datos en vista de la sentencia “Schrems II” y las consiguientes recomendaciones del Comité Europeo de Protección de Datos. El documento técnico también describe las medidas clave adicionales que AWS ha adoptado y ha facilitado para proteger los datos de los clientes.
-
¿Cómo puedo acreditar ante una autoridad de protección de datos que el uso que hago de los servicios de AWS cumple con el RGPD?
AWS ofrece información útil a los clientes, incluidos varios informes de conformidad de auditores externos, que han verificado nuestra conformidad con una variedad de normas y reglamentos de seguridad, para demostrar los altos niveles de conformidad que AWS mantiene para su infraestructura. En estos informes, los clientes pueden ver que protegemos los datos de sus clientes que deciden procesar en AWS. Un ejemplo de ello es la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La norma ISO 27018 contiene controles de seguridad centrados en la protección de los datos de clientes.
AWS también cumple el código de conducta de CISPE en relación con la protección de los datos. Puede encontrar más información acerca del código de conducta de CISPE en la siguiente pregunta frecuente: “¿Cumple AWS con un código de conducta aprobado por el RGPD específico para los servicios de infraestructura en la nube?”
-
¿Cumple AWS el Código de conducta CISPE aprobado por el RGPD específico para los servicios de infraestructura en la nube?
Sí. Desde junio de 2023, 107 servicios de AWS cumplen con el Código de conducta de Protección de datos de los Proveedores de Servicios de Infraestructura en la Nube en Europa (CISPE). CISPE es una coalición de líderes en computación en la nube que atiende a millones de clientes europeos. El Código de conducta de Protección de datos CISPE (Código CISPE), es el primer código de conducta paneuropeo de protección de datos centrado en los proveedores de servicios de infraestructura en la nube. El Código CISPE fue aprobado por el Comité Europeo de Protección de Datos, en nombre de las 27 autoridades de protección de datos en Europa, y fue adoptado de manera formal por la Autoridad de Protección de Datos de Francia (CNIL), que actúa como la principal autoridad supervisora. En 2017, AWS anunció que cumplía los requisitos de una versión anterior del Código CISPE.
El Código CISPE ayuda a los clientes a asegurarse de que el proveedor de servicios de infraestructura en la nube ofrece las garantías operativas adecuadas para demostrar el cumplimiento con el RGPD y proteger los datos de los clientes. Estos son algunos de los beneficios claves del Código CISPE:
- Centrado en la infraestructura en la nube: Aclarar la función del proveedor de servicios de infraestructura en la nube en virtud del RGPD con respecto al tratamiento de los datos de los clientes, es decir, cualquier dato personal tratado en nombre del cliente que utilice el servicio de infraestructura en la nube.
- Datos en Europa: Exige a los proveedores de servicios de infraestructura en la nube que ofrezcan a los clientes la posibilidad de utilizar servicios para almacenar y procesar los datos de los clientes exclusivamente en el Espacio Económico Europeo (EEA).
- Privacidad de datos: El código CISPE garantiza a las organizaciones que sus proveedores de servicios de infraestructura en la nube cumplen los requisitos aplicables a datos personales procesados en su nombre (datos de clientes) de acuerdo con el RGPD.
El Certificado de Conformidad que muestra el estado de conformidad de AWS está disponible en el registro público de público de la CISPE. Se ha verificado de forma independiente que los servicios de AWS incluidos en la lista cumplen el Código CISPE. El proceso de verificación fue llevado a cabo por Ernst & Young CertifyPoint (EY CertifyPoint), un organismo de control independiente, reconocido a nivel mundial y acreditado por la CNIL.
Medidas técnicas y organizativas
-
¿Cómo afecta el RGPD al modelo de responsabilidad compartida de AWS?
El RGPD no cambia el modelo de responsabilidad compartida de AWS, que se continúa aplicando a los clientes. El modelo de responsabilidad compartida es un útil método para ilustrar las diferentes responsabilidades de AWS (como subprocesador o procesador de datos) y de los clientes (como controladores de datos o procesadores de datos) según el RGPD.
De acuerdo con el modelo de responsabilidad compartida, AWS es responsable de proteger la infraestructura subyacente que da soporte a los servicios de AWS (“Seguridad “DE” la nube”). Los clientes, en calidad de controladores de datos o procesadores de datos, son responsables de los datos personales que carguen a los servicios de AWS (“Seguridad “EN” en la nube”).
Responsabilidad de AWS en relación con la “Seguridad de la nube”: AWS es responsable de proteger la infraestructura global que ejecuta todos los servicios de AWS. Esta infraestructura se compone del hardware, el software, redes y las instalaciones que ejecutan los servicios de AWS, lo que brinda controles eficientes a los clientes, incluidos los controles de la configuración de seguridad, para la gestión del contenido de los clientes. AWS proporciona varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relacionados con la seguridad informática (para obtener más información, visite la página web de conformidad de AWS). En estos informes, los clientes pueden ver que protegemos los datos de sus clientes. Un ejemplo de ello es la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La norma ISO 27018 contiene controles de seguridad centrados en la protección de los datos de clientes.
“Seguridad en la nube” como responsabilidad del cliente: los clientes de AWS son responsables de la arquitectura y la seguridad de las aplicaciones y soluciones que deciden implementar en los servicios de AWS. Los clientes de AWS también son responsables de configurar los servicios de AWS de forma que se protejan las necesidades de confidencialidad, integridad y seguridad de los datos de sus clientes. Las responsabilidades específicas que tienen los clientes para proteger los datos de sus clientes varían en función de los servicios de AWS que los clientes decidan utilizar y de cómo se integren esos servicios en sus entornos de TI. Los clientes de AWS pueden ver y controlar los datos de sus clientes. También pueden implementar controles de seguridad flexibles basados en la confidencialidad del tipo específico de datos de los clientes. Los clientes pueden hacerlo mediante sus propias medidas de seguridad y herramientas, o mediante las medidas de seguridad y herramientas facilitadas por AWS u otros proveedores. De este modo, los clientes pueden establecer capas de seguridad adicionales para los datos más confidenciales de los clientes.
AWS pone a disposición productos, herramientas y servicios que los clientes pueden utilizar para diseñar y proteger sus aplicaciones y soluciones y que se pueden implementar para ayudar a gestionar los requisitos del RGPD, entre ellos:
- AWS Identity and Access Management (IAM) permite a las organizaciones gestionar el acceso a los servicios y recursos de AWS de manera segura. Al utilizar IAM, los clientes pueden crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir el acceso a los recursos de AWS y denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costos adicionales.
- AWS CloudTrail permite a las organizaciones registrar, monitorear de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitado en todas las cuentas de AWS de manera predeterminada).
- Amazon GuardDuty es un servicio de detección de amenazas gestionado que monitorea de forma continua para encontrar comportamientos maliciosos o no autorizados, y facilita la protección de las cargas de trabajo y cuentas de AWS. Monitorea la actividad que pueda indicar que una cuenta se ha visto comprometida, como llamadas a la API inusuales o implementaciones potencialmente no autorizadas. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.
- Amazon Macie es una herramienta de machine learning que permite identificar y clasificar los datos personales almacenados en Amazon S3.
Consulte nuestro documento técnico, Análisis de la conformidad con el RGPD en AWS, para obtener más detalles sobre cómo utilizar los recursos de AWS en conformidad con el RGPD.
-
¿Ofrecen los socios de AWS productos y servicios que ayuden a cumplir con el RGPD?
Sí, puede buscar “RGDP” en el buscador de soluciones de socios de AWS para que sea más sencillo encontrar socios ISV, MSP y SI con productos o servicios que ayuden a cumplir los requisitos del RGPD. Los clientes también pueden buscar soluciones “RGPD” en AWS Marketplace.
-
¿Ofrece AWS servicios profesionales para ayudar en la conformidad del RGPD?
Sí, el Departamento de Servicios de Garantía de Aeguridad de AWS lleva a cabo una serie de actividades para ayudar a los clientes en su camino hacia la conformidad con el RGPD. Este departamento de profesionales en conformidad certificados ayuda a los clientes a lograr, mantener y automatizar la conformidad en la nube mediante la vinculación de las normas de conformidad correspondientes con las características y funcionalidades específicas de los servicios de AWS. Puede encontrar más detalles sobre cómo los consultores de servicios profesionales de AWS ayudan a los clientes aquí.
-
¿Cómo puede ayudarme AWS Support con la conformidad del RGPD?
Los clientes pueden utilizar AWS Support para recibir orientación técnica que les ayude en su camino hacia la conformidad con el RGPD. En el marco de esta actividad, contamos con equipos de ingenieros de soporte para la nube y gerentes técnicos de cuenta (TAM) capacitados para identificar y mitigar los riesgos de conformidad. El nivel de soporte que ofrece AWS depende del plan de AWS Support que los clientes elijan. Los clientes que deseen saber cómo puede ayudarlos AWS Premium Support encontrarán más información en AWS Support Center, disponible a través de la consola de administración de AWS, mediante los datos de contacto que figuran en el acuerdo de Enterprise Support suscrito con AWS o la página web de AWS Support. Los clientes con Enterprise Support deberán contactar a su TAM si tienen preguntas relacionadas con el RGPD.
Los siguientes dos programas pueden ser útiles para los clientes que deseen cumplir con el RGPD:
- Análisis de operaciones en la nube: este programa, que está disponible para los clientes de AWS Enterprise Support, está diseñado para identificar fallas en su estrategia para operar en la nube. El programa surgió a partir de un conjunto de prácticas recomendadas operativas extraídas de la experiencia de AWS con un gran conjunto de clientes representativos. Proporciona un análisis de las operaciones en la nube y las prácticas de administración asociadas, lo que puede ayudar a las organizaciones a cumplir el RGPD. El programa se fundamenta en cuatro pilares y se centra en preparar, monitorear, utilizar y optimizar sistemas basados en la cloud con el fin de alcanzar la excelencia operativa.
- Análisis de Well-Architected: este programa permite a las organizaciones evaluar su arquitectura con respecto a las prácticas recomendadas de AWS y crear arquitecturas seguras, fiables, de alto rendimiento y rentables. Con los análisis de Well-Architected, los clientes también pueden saber en qué lugares de su arquitectura hay riesgos y abordarlos antes de que las aplicaciones pasen a la fase de producción.
-
¿Cómo puede AWS ayudar a los clientes a cumplir sus obligaciones según el RGPD en lo que respecta a las notificaciones de vulneración de datos personales?
AWS cuenta con un proceso de monitoreo de incidentes de seguridad y de notificación de filtraciones de datos, y notificará a los clientes sobre la vulneración de la seguridad de AWS sin demoras indebidas y de conformidad con el APD de AWS. AWS también pone a disposición de los clientes una serie de herramientas para saber quién tiene acceso a sus recursos, cuándo y desde dónde. Una de estas herramientas es AWS CloudTrail, que permite auditar la gobernanza, la conformidad, las operaciones y los riesgos de una cuenta de AWS. Con AWS CloudTrail, el cliente puede registrar, monitorear de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en toda su infraestructura de AWS. De este modo, las organizaciones saben lo que sucede con la infraestructura de AWS y pueden tomar medidas de inmediato ante una actividad inusual. Para obtener más información sobre otras herramientas de seguridad que AWS pone a disposición de los clientes para ayudarlos a cumplir sus obligaciones como controladores de datos según la RGPD, visite la página web sobre seguridad en la nube de AWS.
-
¿Cómo me ayuda AWS a proteger los datos de mis clientes frente a los ciberataques?
AWS brinda a los clientes y socios de APN una serie de herramientas para proteger los datos de sus clientes y ayudar a protegerse frente a los ciberataques. Una de estas herramientas es AWS Shield. Se trata de un servicio gestionado de protección frente a ataques de denegación de servicio distribuido (DDoS) para salvaguardar los sitios web y las aplicaciones que se ejecutan en AWS. AWS Shield Standard está disponible sin costes adicionales y proporciona detección permanente y mitigaciones automáticas en línea que pueden minimizar el tiempo de inactividad y la latencia de las aplicaciones. Para obtener niveles más altos de protección contra ataques dirigidos a aplicaciones web que se ejecutan en AWS y utilizan recursos de ELB, Amazon CloudFront y Amazon Route 53, los clientes y los socios de APN pueden suscribirse a AWS Shield Advanced. AWS también publica y actualiza periódicamente un documento sobre las “prácticas recomendadas de AWS para resistir ataques de DDoS”, que ayuda a los clientes a usar AWS a fin de crear aplicaciones resilientes frente a los ataques de DDoS.
Entre las demás herramientas de AWS para proteger los datos de los clientes contra los ciberataques, figuran las siguientes:
- AWS Identity and Access Management (IAM) permite a las organizaciones gestionar el acceso a los servicios y recursos de AWS de manera segura. Al utilizar IAM, los clientes y los socios de APN pueden crear y gestionar usuarios y grupos de AWS, así como usar permisos para permitir el acceso a los recursos de AWS y denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costos adicionales.
- AWS Config permite a los clientes y a los socios de APN habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
- AWS CloudTrail permite a las organizaciones registrar, supervisar de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitado en todas las cuentas de AWS de manera predeterminada).
- Amazon GuardDuty es un servicio de detección de amenazas gestionado que monitorea de forma continua para encontrar comportamientos maliciosos o no autorizados, y facilita la protección de las cargas de trabajo y cuentas de AWS. Monitorea la actividad que pueda indicar que una cuenta se ha visto comprometida, como llamadas a la API inusuales o implementaciones potencialmente no autorizadas. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.
-
¿Qué herramientas pueden serme de utilidad para identificar datos personales en mi contenido dentro de AWS?
Amazon Macie es un servicio de privacidad y seguridad de datos completamente administrado que utiliza machine learning y la correspondencia de patrones para descubrir y proteger sus datos confidenciales en AWS. Como las organizaciones gestionan volúmenes cada vez mayores de datos, identificar y proteger sus datos personales a escala puede ser cada vez más complejo, más caro y llevar mucho más tiempo. Amazon Macie automatiza el descubrimiento de datos personales a escala y reduce los costos que supone protegerlos. Macie proporciona automáticamente un inventario de los buckets de Amazon S3, incluida una lista de los buckets no cifrados, los buckets de acceso público y los buckets compartidos con las cuentas de AWS fuera de las definidas en AWS Organizations. Luego, Macie aplica las técnicas de machine learning y correspondencia de patrones en los buckets que seleccione para identificar y recibir alertas sobre datos personales.
Amazon Macie cuenta con certificaciones estándares reconocidas en todo el mundo, como la norma ISO 27017 sobre seguridad en la nube o la ISO 27018 sobre privacidad en la nube. Los clientes y socios de APN también pueden utilizar Macie para monitorear de forma continua el acceso a sus datos con el fin de detectar actividades sospechosas en función de patrones de acceso.
-
¿Cómo puedo controlar el acceso a los datos personales dentro de mi contenido en AWS?
Para ayudar a los clientes a cumplir los requisitos del RGPD, AWS tiene una serie de herramientas para controlar el acceso a los datos personales de su contenido en AWS. Entre estas herramientas, se incluyen las siguientes:
- La seguridad por defecto hace referencia a que los servicios de AWS están diseñados para ser seguros de manera predeterminada. Si se utiliza la configuración predeterminada, el acceso a los recursos se restringe al propietario de la cuenta y al administrador raíz.
- AWS Identity and Access Management (IAM) permite a los clientes gestionar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, las organizaciones pueden crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir el acceso a los recursos de AWS o denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costos adicionales.
- La autenticación multifactor de AWS agrega una capa de protección adicional por encima del nombre de usuario y la contraseña de la cuenta de AWS. AWS brinda a los clientes la opción de utilizar dispositivos MFA virtuales y de hardware.
- AWS Directory Service permite a los clientes hacer integraciones y federaciones con directorios corporativos para reducir la sobrecarga administrativa y mejorar la experiencia del usuario final.
- AWS Config permite a los clientes habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
- AWS CloudTrail permite a los clientes registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en su infraestructura de AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitada en todas las cuentas de AWS de manera predeterminada).
- Amazon Macie utiliza machine learning para ayudar a los clientes a evitar la pérdida de datos mediante la detección, clasificación y protección automáticas de la información confidencial en AWS. Este servicio totalmente administrado monitorea de manera continua el acceso a los datos en busca de anomalías y genera alertas detalladas cuando detecta un riesgo de acceso no autorizado o filtración de datos accidental, como el hecho de que un cliente, por error, otorgue acceso a información confidencial a usuarios ajenos.
-
¿Cómo puedo cifrar los datos de los clientes incluidos en AWS para evitar el acceso no autorizado?
AWS brinda a los clientes y a los socios de APN la posibilidad de agregar una capa de seguridad adicional a los datos de sus clientes en reposo en la nube, y los ayuda a cumplir sus obligaciones relativas a la seguridad del tratamiento como controladores de datos según el RGPD. Entre las herramientas de cifrado de AWS, figuran las siguientes:
- Funciones de cifrado de datos disponibles en los servicios de almacenamiento y bases de datos de AWS, como Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS y Redshift
- Opciones flexibles de gestión de claves, como AWS Key Management Service, que permiten elegir si desea que AWS gestione las claves de cifrado o si quiere que los clientes mantengan el control total sobre ellas
- Colas de mensajes cifrados para la transmisión de información confidencial mediante el cifrado del lado del servidor (SSE) para Amazon SQS
- Almacenamiento de claves criptográficas especializado y basado en hardware que utiliza AWS CloudHSM y permite a los clientes satisfacer los requisitos de conformidad
Además, AWS proporciona diversas API para que los clientes y los socios de APN puedan integrar el cifrado y la protección de los datos con cualquiera de los servicios que desarrollen o implementen en un entorno de AWS. -
¿Qué servicios ofrece AWS a los clientes para ayudarlos a cumplir con el RGPD?
AWS proporciona características y servicios específicos que ayudan a los clientes a cumplir requisitos del RGPD:
Control de acceso: permita el acceso a los recursos de AWS únicamente a administradores, usuarios y aplicaciones autorizados
- Autenticación multifactor (MFA)
- Acceso detallado a objetos en buckets de Amazon S3/Amazon SQS/Amazon SNS y otros
- Autenticación de solicitudes a la API
- Restricciones geográficas
- Tokens de acceso temporal mediante AWS Security Token Service
Monitoreo y registro: obtenga información general de las actividades en sus recursos de AWS
- Gestión y configuración de activos con AWS Config
- Auditoría de conformidad y análisis de seguridad con AWS CloudTrail
- Identificación de desafíos de configuración mediante AWS Trusted Advisor
- Registro pormenorizado de acceso a objetos de Amazon S3
- Información detallada sobre flujos en la red mediante los registros de flujos de Amazon VPC
- Acciones y verificaciones de configuración basadas en reglas con las reglas de AWS Config
- Filtros y monitoreo de acceso HTTP a aplicaciones con funciones de AWS WAF en AWS CloudFront
Cifrado: cifre datos en AWS
- Cifrado de sus datos en reposo con AES256 (EBS, S3, Glacier o RDS)
- Administración de claves administrada de manera centralizada (por región de AWS)
- Túneles IPsec hacia AWS con gateways de VPN
- Módulos HSM dedicados en la nube con AWS CloudHSM
Marco sólido para lograr la conformidad y normas de seguridad: demostramos la conformidad con rigurosas normas internacionales, como:
- ISO 27001 para procedimientos técnicos
- ISO 27017 para seguridad de la nube
- ISO 27018 para privacidad de la nube
- SOC 1, SOC 2 y SOC 3, PCI DSS de nivel 1,
- Catálogo de controles comunes de informática en la nube (C5) de BSI
- ENS alto
AWS y el RGPD del Reino Unido
-
¿Sigue aplicándose el RGPD en el Reino Unido?
El RGPD es un reglamento de la UE y después del Brexit, ya no se aplica al Reino Unido. El gobierno del Reino Unido ha incorporado los requisitos del RGPD a la legislación británica como “RGPD del Reino Unido”.
-
¿Cómo pueden los clientes utilizar AWS en conformidad con el RGPD del Reino Unido?
AWS ofrece un Anexo del RGPD del Reino Unido que es conforme con las APD de AWS y que incorpora los compromisos de AWS como procesador de datos bajo el RGPD del Reino Unido. Este Anexo del RGPD del Reino Unido forma parte de los Términos del servicio de AWS y se aplica automáticamente a todos los clientes que requieren un acuerdo de procesamiento de datos para cumplir con el RGPD del Reino Unido.
-
¿Cómo pueden los clientes transferir sus datos de conformidad con el RGPD del Reino Unido?
El Anexo del RGPD del Reino Unido, que forma parte de los Términos del servicio de AWS, incluye las SCC adoptadas por la CE y el anexo de transferencia internacional de datos (IDTA) emitido por el regulador de protección de datos del Reino Unido (la Oficina de Comisionados de Información). El IDTA modifica las SCC para garantizar que constituyan una protección adecuada en virtud del RGPD del Reino Unido para las transferencias internacionales de datos a países fuera del Reino Unido que no han sido reconocidos como proveedores de un nivel adecuado de protección de los datos personales (países terceros del Reino Unido). El Anexo del RGPD del Reino Unido confirma que las SCC (modificadas por el IDTA) se aplicarán automáticamente siempre que un cliente utilice los servicios de AWS para transferir datos de clientes sujetos al RGPD del Reino Unido (datos de clientes del Reino Unido) a países terceros del Reino Unido. Como parte del Anexo del RGPD del Reino Unido en los Términos del servicio de AWS, las SCC (modificadas por el IDTA) se aplicarán automáticamente siempre que un cliente utilice los servicios de AWS para transferir datos de clientes del Reino Unido a países terceros del Reino Unido
AWS y la Ley Federal de Protección de Datos de Suiza
-
¿De qué manera los clientes pueden utilizar AWS de conformidad con la Ley Federal de Protección de Datos de Suiza?
AWS ofrece un Anexo suizo al Anexo de tratamiento de datos de AWS (el “Anexo suizo”). En este se encuentran los compromisos de AWS en calidad de encargado del tratamiento de datos en virtud de la Ley Federal de Protección de Datos de Suiza (la “FDPA”). El Anexo suizo forma parte de las Condiciones de servicio de AWS (consulte la Sección 1.14.4) y se aplica automáticamente cuando la FDPA rige el uso de los servicios de AWS por parte de un cliente para tratar datos de clientes.
-
¿Cómo pueden los clientes transferir los datos de clientes de conformidad con la FDPA?
El Anexo suizo al Anexo de tratamiento de datos de AWS, que forma parte de las Condiciones de servicio de AWS (consulte la sección 1.14.4), incluye las Cláusulas contractuales tipo (las “CCT”) adoptadas por la Comisión Europea y modificadas según lo exigido por el Comisionado Federal Suizo de Protección de Datos e Información. El Anexo suizo confirma que las CCT (en su versión modificada por el Anexo suizo) se aplicarán automáticamente siempre que un cliente utilice los servicios de AWS para transferir datos de clientes sujetos a la FDPA a terceros países.
Contacto
-
¿A quién debería contactar si tengo alguna duda sobre el RGPD y AWS?
Se recomienda que los clientes que tengan dudas con respecto al RGPD contacten al gerente de cuentas de AWS en primer lugar. Si los clientes se registraron en Enterprise Support, también pueden contactar al gerente técnico de cuenta (TAM). Los TAM trabajan con arquitectos de soluciones para ayudar a los clientes a identificar posibles riesgos y mitigaciones. Los TAM y los equipos de cuentas también pueden indicar a los clientes y socios de APN recursos específicos en función de su entorno y necesidades.AWS también cuenta con equipos de representantes de Enterprise Support, consultores de servicios profesionales y demás personal para brindar asistencia en caso de que los usuarios tengan alguna pregunta sobre el RGPD. Contáctenos si tiene dudas aquí.