- Seguridad en la nube de AWS
- Información general sobre cumplimiento
Centro del Reglamento General de Protección de Datos (RGPD)
Conformidad con el RGPD al utilizar los servicios de AWS
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea protege el derecho fundamental de las personas de la Unión Europea (UE) a la privacidad y la protección de los datos personales. El RGPD incluye requisitos estrictos que refuerzan y armonizan las normas de protección de datos, seguridad y conformidad. Consulte las preguntas frecuentes sobre el RGPD para obtener más información.
Los clientes de AWS pueden usar todos los servicios de AWS para procesar los datos personales (tal y como se definen en el RGPD) que se cargan en los servicios de AWS bajo sus cuentas de AWS (datos de clientes) de conformidad con el RGPD. Además de actuar en conformidad, asumimos el compromiso de ofrecer a nuestros clientes servicios y recursos para que cumplan los requisitos del RGPD que puedan ser relevantes para sus actividades. Se lanzan características nuevas periódicamente. AWS tiene más de 500 características y servicios centrados en la seguridad y el cumplimiento. Para obtener más información sobre lo que hace AWS, lea nuestro blog How AWS is helping EU customers navigate the new normal for data protection.
Objetivos
Control en manos del cliente
Los clientes tienen el control de los datos de sus clientes. Con AWS, los clientes pueden hacer lo siguiente:
- Determinar dónde se almacenarán los datos de sus clientes, el tipo de almacenamiento y la región geográfica de ese almacenamiento.
- Elegir el estado de seguridad de los datos de sus clientes. Ofrecemos a los clientes un cifrado seguro de los datos de sus clientes en tránsito o en reposo. Además, les ofrecemos la opción de que gestionen sus propias claves de cifrado.
- Gestionar el acceso a los datos de sus clientes y a los servicios y recursos de AWS a través de usuarios, grupos, permisos y credenciales que ellos mismos controlan.
Transferencias fuera del Espacio Económico Europeo (EEE)
Los clientes de AWS pueden seguir usando los servicios de AWS para transferir los datos de los clientes desde el EEE a países no pertenecientes a este espacio que no hayan recibido una decisión de adecuación de la Comisión Europea (incluidos los Estados Unidos) en conformidad con el RGPD. En AWS, nuestra máxima prioridad es la seguridad de los datos de los clientes. Implementamos rigurosas medidas organizativas y técnicas para proteger su confidencialidad, integridad y disponibilidad, independientemente de la región de AWS que haya seleccionado el cliente. Sabemos la importancia de la transparencia para nuestros clientes. Tenemos una lista de los servicios de AWS que implican una transferencia de los datos de los clientes en la página web Privacy Features.
Trabajamos continuamente conforme evoluciona el panorama normativo y legislativo para garantizar que nuestros clientes no dejen de disfrutar de las ventajas de los servicios de AWS dondequiera que operen. Para obtener más información, consulte Customer update on the EU-US Privacy Shield y nuestras publicaciones de blog sobre el Anexo suplementario al anexo sobre el procesamiento de datos de AWS y el Código de Conducta de Protección de Datos del CISPE.
Información general y aspectos básicos del RGPD
Abrir todo-
El Reglamento General de Protección de Datos (RGPD) es una ley de privacidad europea que entró en vigor el 25 de mayo de 2018. El RGPD reemplazó a la Directiva de Protección de Datos de la UE, también conocida como Directiva 95/46/CE, y su objetivo es unificar las leyes de protección de datos de toda la Unión Europea (UE) mediante la aplicación de una única ley de protección de datos que sea obligatoria en todos los estados miembro.
-
El RGPD se aplica a todas las organizaciones radicadas en la UE y a aquellas organizaciones, radicadas o no en la UE, que procesen los datos personales de individuos radicados en la UE en conexión con el suministro de bienes o servicios a interesados radicados en la UE o el monitoreo de comportamiento que se haga dentro de la UE. Los datos personales son cualquier información relacionada con una persona natural identificable o identificada, como por ejemplo nombres, direcciones de correo electrónico y números de teléfono.
-
AWS actúa como encargado y responsable del tratamiento de datos según el RGPD.
-
Las SCC son un mecanismo aprobado previamente de transferencia de datos de conformidad con el RGPD, aplicable en todos los estados miembro de la UE, que habilita la transferencia legal de datos personales a países que están fuera del Espacio Económico Europeo que no han recibido una decisión de adecuación por parte de la Comisión Europea (terceros países).
-
Los Términos de servicio de AWS incluyen las SCC adoptadas por la Comisión Europea (CE) en junio de 2021, y el APD de AWS confirma que las SCC se aplicarán automáticamente cuando un cliente de AWS use los servicios de AWS para transferir datos de clientes a países que están fuera del Espacio Económico Europeo que no han recibido una decisión de adecuación por parte de la CE (terceros países). Como parte de los Términos del servicio de AWS, las nuevas SCC se aplicarán automáticamente siempre que un cliente utilice los servicios de AWS para transferir datos del cliente a países terceros. Los pocos clientes que han firmado un APD de AWS pueden seguir confiando en ese APD de AWS porque las nuevas SCC de los Términos del servicio de AWS sustituyen a la versión anterior de las SCC. Los clientes pueden tener la certeza de que todos los datos de sus clientes que transfieran a terceros países mediante los servicios de AWS gozarán del mismo alto nivel de protección que reciben los datos de los clientes en el EEE. Para obtener más información, consulte la publicación del blog acerca de la aplicación de las nuevas Cláusulas contractuales tipo.
Conformidad con AWS y el RGPD a raíz de la sentencia Schrems II y las recomendaciones del CEPD
Abrir todo-
El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia relativa a la transferencia de datos personales de personas de la UE fuera del EEE (Schrems II). En Schrems II, el TJUE dictaminó que el Escudo de Privacidad UE-EE. UU. ya no era un mecanismo válido para transferir datos personales del EEE a EE. UU. Sin embargo, en la misma sentencia, el TJUE confirmó que las empresas pueden (sujetas a la aplicación de medidas complementarias, si es necesario) continuar con el uso de las cláusulas contractuales tipo como mecanismo válido para transferir datos personales fuera del EEE. Desde entonces, el Consejo Europeo de Protección de Datos (CEPD), organismo europeo compuesto por representantes de las autoridades nacionales de protección de datos, ofrece una lista no exhaustiva de medidas complementarias en sus “Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE” (Recomendaciones del CEPD).
-
Sí, los clientes de AWS pueden seguir utilizando los servicios de AWS para transferir los datos de los clientes desde Europa a países fuera del EEE que no cuenten con una decisión de adecuación de la Comisión Europea. La sentencia Schrems II validó el uso de las cláusulas contractuales tipo (SCC) como mecanismo para transferir los datos de los clientes fuera del EEE y los clientes de AWS pueden seguir confiando en las SCC para cualquier transferencia de datos de los clientes fuera del EEE en conformidad con el RGPD.
-
Sí, AWS puede utilizar tres tipos de subtratadores: 1) entidades de AWS que proporcionan la infraestructura en la que se ponen en marcha los servicios de AWS; 2) entidades de AWS que prestan soporte a servicios de AWS específicos y que, para ello, pueden necesitar tratar datos de clientes; y 3) terceros con los que AWS ha suscrito contratos para llevar a cabo actividades de tratamiento de datos destinadas a servicios de AWS concretos. La página web de subtratadores de AWS proporciona más información sobre los subtratadores que AWS contrata de acuerdo con el APD de AWS, para proporcionar actividades de tratamiento de datos de clientes en nombre de los clientes. Los subtratadores relevantes para un cliente individual dependerán de la región de AWS que el cliente seleccione o de los servicios de AWS concretos que utilice.
-
El documento técnico de AWS, Navigating Compliance with EU Data Transfer Requirements, aporta información sobre los servicios y los recursos que AWS ofrece a los clientes para ayudarlos a llevar a cabo evaluaciones de la transferencia de datos en vista de la sentencia Schrems II y las consiguientes recomendaciones del Comité Europeo de Protección de Datos. El documento técnico también describe las medidas clave adicionales que AWS ha adoptado y ha facilitado para proteger los datos de los clientes.
-
Para demostrar los altos niveles de cumplimiento que mantenemos en la infraestructura, AWS ofrece información útil a los clientes, incluidos varios informes de cumplimiento de auditores terceros que han verificado que cumplimos distintos estándares y reglamentos relativos a la seguridad. En estos informes, los clientes pueden ver que protegemos los datos de sus clientes que deciden tratar en AWS. Un ejemplo de ello es el cumplimiento con las normas ISO 27001, 27017 y 27018 por parte de AWS. La norma ISO 27018 contiene controles de seguridad centrados en la protección de los datos de clientes.
Sí. El Registro público del Código de conducta de protección de datos de Cloud Infrastructure Services Providers in Europe (CISPE) incluye una lista de los servicios de AWS adheridos. CISPE es una coalición de líderes en computación en la nube que atiende a millones de clientes europeos. El Código de conducta de Protección de datos CISPE (Código CISPE), es el primer código de conducta paneuropeo de protección de datos centrado en los proveedores de servicios de infraestructura en la nube. El Código CISPE fue aprobado por el Comité Europeo de Protección de Datos, en nombre de las 27 autoridades de protección de datos en Europa, y fue adoptado de manera formal por la Autoridad de Protección de Datos de Francia (CNIL), que actúa como la principal autoridad supervisora. En 2017, AWS anunció que cumplía los requisitos de una versión anterior del Código CISPE.
Medidas técnicas y organizativas
Abrir todo-
El RGPD no cambia el Modelo de responsabilidad compartida de AWS, que se continúa aplicando a los clientes. El modelo de responsabilidad compartida es un enfoque útil para ilustrar las diferentes responsabilidades de AWS (como encargado del tratamiento de datos o subtratador) y de los clientes (como responsables del tratamiento o encargados del tratamiento de datos) en virtud del RGPD.
-
Sí, puede buscar “RGDP” en Buscador de soluciones de socios de AWS para que sea más sencillo encontrar socios de ISV, MSP y SI con productos o servicios que ayuden a cumplir los requisitos del RGPD. Los clientes también pueden buscar soluciones “RGPD” en AWS Marketplace.
-
Sí, el equipo de AWS Security Assurance Services ofrece una serie de actividades para ayudar a los clientes en su camino hacia el cumplimiento del RGPD. Este equipo de profesionales de conformidad con certificaciones del sector ayuda a los clientes a alcanzar, mantener y automatizar el cumplimiento en la nube mediante la vinculación de los estándares de cumplimiento aplicables con las características y funcionalidades específicas de los servicios de AWS. Puede encontrar más detalles sobre cómo los consultores de AWS Professional Services ayudan a los clientes aquí.
-
Los clientes pueden usar AWS Support para recibir orientación técnica que les brinde ayuda para cumplir con el RGPD. En el marco de esta actividad, contamos con equipos de ingenieros de soporte para la nube y gerentes técnicos de cuenta (TAM) capacitados para identificar y mitigar los riesgos de cumplimiento. El nivel de soporte que ofrece AWS depende del plan de AWS Support que los clientes elijan. Los clientes que deseen saber cómo puede ayudarlos AWS Premium Support encontrarán más información en AWS Support Center, disponible a través de la Consola de administración de AWS, mediante los datos de contacto que figuran en el acuerdo de Enterprise Support suscrito con AWS o la página web de AWS Support. Los clientes con Enterprise Support deberán ponerse en contacto con su TAM si tienen preguntas relacionadas con el RGPD.
-
AWS cuenta con un proceso de supervisión de incidentes de seguridad y de notificación de filtraciones de datos, y notificará a los clientes sobre la vulneración de la seguridad de AWS sin demoras indebidas y de conformidad con el APD de AWS. AWS también pone a disposición de los clientes una serie de herramientas para saber quién tiene acceso a sus recursos, cuándo y desde dónde. Una de estas herramientas es AWS CloudTrail, que permite auditar la gobernanza, el cumplimiento, las operaciones y los riesgos de una cuenta de AWS. Con AWS CloudTrail, el cliente puede registrar, supervisar de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en toda su infraestructura de AWS. De este modo, las organizaciones saben lo que sucede con la infraestructura de AWS y pueden tomar medidas de inmediato ante una actividad inusual. Para obtener más información sobre otras herramientas de seguridad que AWS pone a disposición de los clientes para ayudarlos a cumplir sus obligaciones como responsables del tratamiento de datos según el RGPD, visite la página web Seguridad en la nube de AWS.
-
AWS ofrece a los clientes y socios de APN una serie de herramientas para proteger los datos de sus clientes y ayudar a defenderse frente a los ciberataques. Una de estas herramientas es AWS Shield. Se trata de un servicio administrado de protección frente a ataques de denegación de servicio distribuida (DDoS) para salvaguardar los sitios web y las aplicaciones que se ponen en marcha en AWS. AWS Shield Standard está disponible sin costes adicionales y proporciona detección permanente y mitigaciones automáticas en línea que pueden minimizar el tiempo de inactividad y la latencia de las aplicaciones. Para obtener niveles más altos de protección contra ataques dirigidos a aplicaciones web que se ejecutan en AWS y utilizan recursos de ELB, Amazon CloudFront y Amazon Route 53, los clientes y los socios de APN pueden suscribirse a AWS Shield Advanced. AWS también publica y actualiza periódicamente un documento sobre las prácticas recomendadas de AWS para resistir ataques de DDoS, que ayuda a los clientes a usar AWS a fin de crear aplicaciones resilientes frente a los ataques de DDoS.
-
Amazon Macie es un servicio de privacidad y seguridad de datos completamente administrado que usa machine learning y la correspondencia de patrones para descubrir y proteger sus datos confidenciales en AWS. Como las organizaciones gestionan volúmenes cada vez mayores de datos, identificar y proteger sus datos personales a escala puede ser cada vez más complejo, más caro y llevar mucho más tiempo. Amazon Macie automatiza el descubrimiento de datos personales a escala y reduce los costos que supone protegerlos. Macie proporciona automáticamente un inventario de los buckets de Amazon S3, incluida una lista de los buckets no cifrados, los buckets de acceso público y los buckets compartidos con las cuentas de AWS fuera de las definidas en AWS Organizations. Luego, Macie aplica las técnicas de machine learning y correspondencia de patrones en los buckets que seleccione para identificar y recibir alertas sobre datos personales.
- La seguridad por defecto hace referencia a que los servicios de AWS están diseñados para ser seguros de manera predeterminada. Si se utiliza la configuración predeterminada, el acceso a los recursos se restringe al propietario de la cuenta y al administrador raíz.
- AWS Identity and Access Management (IAM) permite a los clientes administrar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, las organizaciones pueden crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir el acceso a los recursos de AWS o denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin coste adicional.
- La autenticación multifactor de AWS agrega una capa de protección adicional por encima del nombre de usuario y la contraseña de la cuenta de AWS. AWS brinda a los clientes la opción de utilizar dispositivos MFA virtuales y de hardware.
- AWS Directory Service permite a los clientes hacer integraciones y federaciones con directorios corporativos para reducir la sobrecarga administrativa y mejorar la experiencia del usuario final.
- AWS Config permite a los clientes habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
- AWS CloudTrail permite a los clientes registrar, supervisar de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en su infraestructura de AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitada en todas las cuentas de AWS de manera predeterminada).
- Amazon Macie usa machine learning para ayudar a los clientes a evitar la pérdida de datos mediante la detección, clasificación y protección automáticas de datos confidenciales en AWS. Este servicio completamente administrado supervisa de manera continua el acceso a los datos en busca de anomalías y genera alertas detalladas cuando detecta un riesgo de acceso no autorizado o filtración de datos accidental, como el hecho de que un cliente, por error, otorgue acceso a información confidencial a usuarios ajenos.
Para ayudar a los clientes a cumplir los requisitos del RGPD, AWS tiene una serie de herramientas para controlar el acceso a los datos personales de su contenido en AWS. Entre estas herramientas, se incluyen las siguientes:
- Funciones de cifrado de datos disponibles en los servicios de almacenamiento y bases de datos de AWS, como Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS y Redshift
- Opciones flexibles de administración de claves, como AWS Key Management Service, que permiten elegir si desea que AWS administre las claves de cifrado o si quiere que los clientes mantengan el control total sobre ellas
- Colas de mensajes cifrados para la transmisión de datos confidenciales mediante el cifrado del servidor (SSE) para Amazon SQS
- Almacenamiento de claves criptográficas especializado y basado en hardware que usa AWS CloudHSM y permite a los clientes satisfacer los requisitos de cumplimiento
AWS ofrece a los clientes y a los socios de APN la posibilidad de agregar una capa de seguridad adicional a los datos en reposo de sus clientes en la nube. También los ayuda a cumplir sus obligaciones relativas a la seguridad del tratamiento como responsables del tratamiento de datos según el RGPD. Entre las herramientas de cifrado de AWS, figuran las siguientes:
Además, AWS proporciona diversas API para que los clientes y los socios de APN puedan integrar el cifrado y la protección de los datos con cualquiera de los servicios que desarrollen o implementen en un entorno de AWS.
- Autenticación multifactor (MFA)
- Acceso detallado a objetos en buckets de Amazon S3/Amazon SQS/Amazon SNS y otros
- Autenticación de solicitudes a la API
- Restricciones geográficas
- Tokens de acceso temporal mediante AWS Security Token Service
- Gestión y configuración de activos con AWS Config
- Auditoría del cumplimiento y análisis de seguridad con AWS CloudTrail
- Identificación de desafíos de configuración mediante AWS Trusted Advisor
- Registro pormenorizado del acceso a objetos de Amazon S3
- Información detallada sobre flujos en la red mediante los registros de flujos de Amazon VPC
- Acciones y verificaciones de configuración basadas en reglas con las reglas de AWS Config
- Filtros y supervisión de acceso HTTP a aplicaciones con funciones de AWS WAF en AWS CloudFront
- Cifrado de sus datos en reposo con AES256 (EBS, S3, Glacier o RDS)
- Administración de claves administrada de manera centralizada (por región de AWS)
- Túneles IPsec a AWS con puertas de enlace de VPN
- Módulos HSM dedicados en la nube con AWS CloudHSM
- ISO 27001 para procedimientos técnicos
- ISO 27017 para seguridad de la nube
- ISO 27018 para privacidad de la nube
- SOC 1, SOC 2 y SOC 3, PCI DSS de nivel 1,
- Catálogo de controles comunes de computación en la nube (C5) de BSI
- ENS alto
AWS proporciona características y servicios específicos que ayudan a los clientes a cumplir requisitos del RGPD:
Control de acceso: permita el acceso a los recursos de AWS únicamente a administradores, usuarios y aplicaciones autorizados
Supervisión y registro: obtenga información general de las actividades en sus recursos de AWS
Cifrado: cifre datos en AWS
Marco sólido para lograr el cumplimiento y normas de seguridad: demostramos el cumplimiento con rigurosas normas internacionales, como:
AWS y el RGPD del Reino Unido
Abrir todo-
El RGPD es un reglamento de la UE y, después del Brexit, ya no se aplica al Reino Unido. El Gobierno del Reino Unido ha incorporado los requisitos del RGPD a la legislación británica como “RGPD del Reino Unido”.
-
AWS ofrece un Anexo del RGPD del Reino Unido conforme al RGPD del Reino Unido al APD de AWS y que incorpora los compromisos de AWS como encargado del tratamiento de datos en virtud del RGPD del Reino Unido. Este Anexo del RGPD del Reino Unido forma parte de los Términos de servicio de AWS y se aplica automáticamente a todos los clientes que requieren un acuerdo de tratamiento de datos para cumplir con el RGPD del Reino Unido.
El Anexo del RGPD del Reino Unido, que forma parte de los Términos de servicio de AWS, incluye las SCC adoptadas por la CE y el anexo de transferencia internacional de datos (IDTA) emitido por el organismo regulador de protección de datos del Reino Unido (la Oficina del Comisionado de Información). El IDTA modifica las SCC para garantizar que constituyan una protección adecuada en virtud del RGPD del Reino Unido para las transferencias internacionales de datos a países fuera del Reino Unido que no han sido reconocidos como proveedores de un nivel adecuado de protección de los datos personales (países terceros del Reino Unido). El Anexo del RGPD del Reino Unido confirma que las SCC (modificadas por el IDTA) se aplicarán automáticamente siempre que un cliente use los servicios de AWS para transferir datos de clientes sujetos al RGPD del Reino Unido (datos de clientes del Reino Unido) a países terceros del Reino Unido. Como parte del Anexo del RGPD del Reino Unido en los Términos de servicio de AWS, las SCC (modificadas por el IDTA) se aplicarán automáticamente siempre que un cliente use los servicios de AWS para transferir datos de clientes del Reino Unido a países terceros del Reino Unido.
AWS y la Ley Federal de Protección de Datos de Suiza
Abrir todo-
AWS ofrece un Anexo suizo al Anexo de tratamiento de datos de AWS (el “Anexo suizo”). En este se encuentran los compromisos de AWS en calidad de encargado del tratamiento de datos en virtud de la Ley Federal de Protección de Datos de Suiza (la “FDPA”). El Anexo suizo forma parte de los Términos de servicio de AWS (consulte la sección 1.14.4) y se aplica automáticamente cuando la FDPA rige el uso de los servicios de AWS por parte de un cliente para tratar datos de clientes.
-
El Anexo suizo al Anexo de tratamiento de datos de AWS, que forma parte de los Términos de servicio de AWS (consulte la sección 1.14.4), incluye las Cláusulas contractuales tipo (las “SCC”) adoptadas por la Comisión Europea y modificadas según lo exigido por el Comisionado Federal Suizo de Protección de Datos e Información. El Anexo suizo confirma que las CCT (en su versión modificada por el Anexo suizo) se aplicarán automáticamente siempre que un cliente utilice los servicios de AWS para transferir datos de clientes sujetos a la FDPA a terceros países.
Contacto
Abrir todo-
Se recomienda que los clientes que tengan preguntas con respecto al RGPD contacten antes con el administrador de cuentas de AWS. Si los clientes se registraron en Enterprise Support, también pueden ponerse en contacto con el gestor técnico de cuentas (TAM). Los TAM trabajan con arquitectos de soluciones para ayudar a los clientes a identificar posibles riesgos y mitigaciones. Los TAM y los equipos de cuentas también pueden indicar a los clientes y socios de APN recursos específicos en función de su entorno y necesidades.
