Comience de manera gratuita con AWS Artifact »
  • Preguntas frecuentes sobre los informes de cumplimiento

    AWS Artifact, disponible en la consola, es un portal de recuperación de artefactos de auditoría autoservicio que proporciona a nuestros clientes acceso bajo demanda a la documentación de conformidad de AWS.

    Todos los clientes de AWS pueden usar AWS Artifact para evaluar y validar la seguridad y conformidad de la infraestructura y los servicios de AWS que utilizan.

    Debería utilizar AWS Artifact si:

    • Tiene que demostrar la conformidad de sus arquitecturas en la nube durante los ciclos de vida de diseño, desarrollo y auditoría del sistema. Debe demostrar la conformidad actual y antigua de su infraestructura de AWS (específica a los servicios que utiliza), ya que los auditores y reguladores le exigen que proporcione pruebas en formato de artefactos de auditoría.
    • Necesita o le interesa utilizar artefactos de auditoría para validar que sus controles implementados por AWS operan con eficacia.
    • Le interesa monitorizar o auditar a sus proveedores de manera continua.
    • Un miembro de un equipo de desarrollo que está creando arquitecturas seguras en la nube necesita orientación para comprender su responsabilidad en torno a la conformidad con ISO, PCI, SOC y otras normas reglamentarias. Con frecuencia, el trabajo de su equipo permite a su empresa utilizar AWS o garantizar que pueda seguir utilizando AWS.

    Un artefacto de auditoría es una prueba que demuestra que una organización sigue un proceso documentado o cumple un requisito específico. Los artefactos de auditoría se recopilan y se archivan a través del ciclo de vida de desarrollo del sistema y se utilizan como prueba en auditorías y evaluaciones internas y/o externas.

    Todas las cuentas de AWS pueden acceder a AWS Artifact. Los usuarios raíz y usuarios de IAM con permisos de administrador pueden descargar todos los artefactos de auditoría disponibles para su cuenta si aceptan los términos y condiciones asociados.

    Tendrá que conceder a los usuarios de IAM acceso con permisos no administrativos a AWS Artifact a través de los permisos de IAM. Eso le permite conceder acceso a un usuario a AWS Artifact, al mismo tiempo que restringe el acceso a otros servicios y recursos de su cuenta de. Para obtener más información sobre cómo conceder acceso con IAM, consulte este tema de ayuda en la documentación de AWS Artifact.

    Puede proporcionar los artefactos de auditoría a sus auditores o reguladores como prueba de los controles de seguridad de AWS.

    También puede utilizar las orientaciones de responsabilidad proporcionadas por algunos de los artefactos de auditoría de AWS para diseñar su arquitectura en la nube. Estas orientaciones le ayudan a determinar los controles adicionales de seguridad que debería establecer para respaldar los casos de uso específicos de su sistema.  

    No. Puede acceder a todos los artefactos disponibles y descargarlos en cualquier momento, todas las veces que necesite.

    A menudo, tendrá que proporcionar a sus auditores acceso a los informes de conformidad de AWS. Puede hacerlo de manera sencilla creando credenciales de usuario IAM específicas para cada auditor y configurarlas de manera que el auditor solamente pueda acceder a los informes pertinentes para la auditoría que está realizando. Para obtener más información, consulte este tema de ayuda en la documentación de AWS Artifact.

    Sus clientes pueden acceder a informes de conformidad con su propia cuenta de AWS. Si no tienen ya una cuenta, debería indicarles cómo crear una. La creación de una cuenta no conlleva ningún cargo.

    Una vez que inicien sesión con su cuenta, sus clientes pueden acceder a los informes disponibles en la consola de AWS visitando Compliance Reports en la sección Security, Identity & Compliance. Si su cliente desea acceder a un informe que requiere un acuerdo de confidencialidad (NDA), puede obtener acceso firmando un NDA digitalmente dentro de la consola de Artifact.

    Para obtener más información, consulte Introducción a AWS Artifact

    Con frecuencia, tendrá que proporcionar acceso a los informes de conformidad de AWS a otras personas de su empresa. Los documentos que descarga de AWS Artifact se han generado específicamente para usted, y cada documento incluye una marca de agua única. Por ese motivo, solo debería compartir los documentos con personas de confianza. No envíe los documentos por correo electrónico como archivos adjuntos ni los comparta online. Para compartir un documento, utilice un servicio seguro de puesta en común, como Amazon WorkDocs, o cree una política de permisos de IAM que conceda a los usuarios de IAM del grupo acceso a los documentos de AWS Artifact. Para obtener más información, consulte la documentación de AWS Artifact.

    Sí. Con IAM, puede crear una política de permisos para un grupo no administrativo que conceda a los usuarios del grupo de IAM acceso a AWS Artifact. A continuación, puede utilizar la política para restringir el acceso a otros servicios y recursos en la cuenta asociada. Para obtener más información sobre cómo crear un grupo no administrativo, consulte la documentación de AWS Artifact.

    Sí. Puede conceder acceso a uno o más artefactos con los permisos de IAM, lo que le aporta control absoluto sobre quién puede acceder a qué artefacto. Por ejemplo, si desea que su equipo de PCI solamente tenga acceso al informe sobre PCI de AWS, mientras que el equipo de SOX solamente tenga acceso al informe sobre SOC 1 de AWS, puede personalizar los permisos de acceso de cada usuario. Para obtener más información sobre cómo conceder acceso con IAM, consulte este tema de ayuda en la documentación de AWS Artifact.

    Sí, tendrá que aceptar otro acuerdo de confidencialidad para Artifact para poder obtener acceso y descargar documentos confidenciales en Artifact. Ahora bien, si ya cuenta con un acuerdo con Amazon y este cubre la misma información confidencial que la que se suministra mediante Artifact, entonces regirá el acuerdo existente en vez del de Artifact. Consulte este asunto en el primer párrafo del acuerdo de confidencialidad de Artifact:

    "Si ha firmado otro acuerdo de confidencialidad con Amazon que cubre al menos la misma información confidencial que la información confidencial de Artifact (según se define en este acuerdo), entonces regirá dicho acuerdo en vez de este (consultar sección 11 a continuación)".

  • Preguntas frecuentes sobre los acuerdos BAA

    AWS Artifact Agreements es una característica del servicio AWS Artifact (nuestro portal de auditorías y cumplimiento). AWS Artifact Agreements le permite examinar, aceptar y administrar el estado de su acuerdo Anexo para socios comerciales (BAA) desde la consola de administración de AWS para su cuenta. Puede usar la consola para aceptar un acuerdo BAA y, así, designar al instante una cuenta de AWS para usarla en relación con la información médica protegida (PHI). Además, puede usar la consola para confirmar que su cuenta de AWS está designada como cuenta HIPAA y examinar las condiciones del acuerdo aceptado para entender sus obligaciones. Si ya no necesita usar la cuenta en relación con la PHI, puede usar AWS Artifact Agreements para rescindir el acuerdo BAA.

    Si es el administrador de una cuenta de AWS, puede conceder permisos IEAM a otros usuarios que les permitan descargar, aceptar o rescindir acuerdos en nombre de su cuenta en AWS Artifact. Para obtener más información, consulte la documentación de AWS Artifact.

    En la actualidad, el Anexo para socios comerciales (BAA) es en único acuerdo especializado para el sector disponible en AWS Artifact Agreements. Antes de aceptar un acuerdo BAA, debe descargar y aceptar las condiciones de un acuerdo de confidencialidad (NDA). El BAA es confidencial y no puede compartirse con personas ajenas a su organización.

    Sí, tendrá que aceptar otro acuerdo de confidencialidad para Artifact para poder obtener acceso y descargar documentos confidenciales en Artifact. Ahora bien, si ya cuenta con un acuerdo con Amazon y este cubre la misma información confidencial que la que se suministra mediante Artifact, entonces regirá el acuerdo existente en vez del de Artifact. Consulte este asunto en el primer párrafo del acuerdo de confidencialidad de Artifact:

    "Si ha firmado otro acuerdo de confidencialidad con Amazon que cubre al menos la misma información confidencial que la información confidencial de Artifact (según se define en este acuerdo), entonces regirá dicho acuerdo en vez de este (consultar sección 11 a continuación)".

    Si es el administrador de una cuenta de AWS, automáticamente tiene permiso para descargar, aceptar y rescindir acuerdos para esa cuenta. Si no es el administrador, necesitará permisos adicionales para aceptar y rescindir acuerdos. Los usuarios cuyas cuentas de IAM disponen de acceso total para descargar todos los informes no heredarán el acceso para aceptar o rescindir acuerdos. Sin embargo, los usuarios cuyas cuentas de IAM disponen de acceso total a AWS Artifact (es decir, una política de IAM con Artifact*) podrán realizar todas las acciones.

    Los diferentes niveles de permisos ofrecen a los administradores la flexibilidad de conceder permisos a usuarios de IAM en función de las necesidades empresariales de los usuarios. Para obtener más información, consulte la documentación de AWS Artifact.

    Sí. Por defecto, los usuarios con privilegios administrativos pueden usar AWS Artifact Agreements para descargar, examinar y aceptar acuerdos. Siempre debería examinar un acuerdo con sus equipos jurídico, de privacidad y/o de cumplimiento antes de aceptarlo. También puede usar IAM para conceder acceso de manera sencilla a usuarios con una necesidad empresarial (como miembros de sus equipos jurídico, de privacidad y/o de cumplimiento) para que puedan descargar, examinar y aceptar acuerdos para su organización. Para obtener más información, consulte la documentación de AWS Artifact.

    No. Si ha firmado un BAA offline anteriormente, las condiciones de este siguen aplicándose a las cuentas que ya ha designado como cuentas HIPAA de acuerdo con ese acuerdo BAA offline.

    Para cualquier cuenta para la que no haya designado ya una cuenta HIPAA de acuerdo con el BAA offline, puede usar AWS Artifact Agreements para aceptar un BAA online para esa cuenta y designarla instantáneamente como cuenta HIPAA.

    No. Para proteger la confidencialidad de su BAA offline, por defecto no podrá descargarlo en AWS Artifact Agreements. Si desea ver una copia del BAA offline que firmó anteriormente, puede solicitársela a su gestor de cuenta de AWS.

    Sí. Puede seguir los pasos en la interfaz de AWS Artifact para eliminar su cuenta como cuenta HIPAA de acuerdo con el BAA offline. Solo debería eliminar una cuenta como cuenta HIPAA si está seguro de haber eliminado toda la información médica protegida (PHI) de la cuenta y ya no la usará en relación con dicha PHI.

    No. Si necesita designar una cuenta como cuenta HIPAA de acuerdo con el BAA que ha firmado offline anteriormente, puede seguir el proceso descrito en su BAA offline (es decir, enviar un correo electrónico a aws-hipaa@amazon.com). Una vez confirmado por AWS, la interfaz de Artifact Agreements cambiará para la nueva cuenta designada para reflejar que es una cuenta HIPAA de acuerdo con su BAA offline.

    No. Los clientes con un BAA offline firmado anteriormente no pueden rescindirlo en AWS Artifact. Para rescindir un BAA firmado offline anteriormente, los clientes deben proporcionar un aviso por escrito a AWS de acuerdo con las condiciones del BAA offline.

    Cuando acepta un BAA online en AWS Artifact, la cuenta que utiliza para iniciar sesión en AWS Artifact se designa automáticamente como cuenta HIPAA de acuerdo con dicho BAA online. No hace falta realizar ningún otro paso.

    Si tiene cuentas adicionales que el BAA debe abarcar, debe iniciar sesión en AWS Artifact con cada una de esas cuentas y aceptar el BAA por separado para cada una de ellas.

    Sí. Sin embargo, debe iniciar sesión en AWS Artifact con cada una de esas cuentas y aceptar el BAA por separado para cada una de ellas.

    Del mismo modo, si rescinde un BAA online, solo se eliminará como cuenta HIPAA la cuenta asociada con ese acuerdo BAA.

    AWS Artifact Agreements funciona de la misma manera para las cuentas de distribuidor. Los distribuidores pueden utilizar IAM para controlar quién tiene permiso para descargar, aceptar y rescindir acuerdos. Por defecto, solo los usuarios con privilegios administrativos pueden conceder acceso.

    AWS Artifact Agreements, y todo el servicio AWS Artifact, pueden usarse independientemente por usuarios técnicos y no técnicos sin costo alguno. Los administradores de cuentas de AWS pueden conceder a los usuarios permisos de IAM para que puedan realizar una o más acciones en AWS Artifact. Entre estas acciones se incluyen descargar, aceptar y rescindir contratos. Para obtener más información, consulte la documentación de AWS Artifact.

    Si rescinde un BAA online en AWS Artifact, la cuenta que ha usado para iniciar sesión en AWS Artifact se eliminará inmediatamente como cuenta HIPAA y ya no estará cubierta por el BAA con AWS. Si usa AWS Artifact para rescindir un BAA online para una cuenta, no se rescindirán otros BAA que haya firmado con AWS para cualquier otra cuenta.

    Solo debería rescindir un BAA para una cuenta si está seguro de haber eliminado toda la información médica protegida (PHI) de la cuenta y ya no la usará en relación con dicha PHI.

    Puede usar cualquier servicio de AWS en una cuenta designada como cuenta HIPAA, pero solo puede incluir PHI en los servicios con derecho a HIPAA. Nuestra página de Referencia de servicios con derecho a HIPAA contiene la lista más reciente de servicios con derecho a HIPAA.

    Sí. Si prefiere firmar un BAA offline con AWS, póngase en contacto con su gestor de cuenta de AWS o contáctenos para enviar su solicitud. Sin embargo, le animamos a que aproveche la velocidad, eficacia y visibilidad de AWS Artifact Agreements.

    1. Asegúrese de que está utilizando la versión más reciente de su navegador web y de que dispone de Adobe Reader.
    2. Habilite las ventanas emergentes en su navegador para que el archivo adjunto pueda descargarse.
    3. Compruebe la carpeta de descargas recientes.
    4. Examine el documento y compártalo si es necesario.

 

Comience de manera gratuita con AWS Artifact