Preguntas frecuentes sobre la soberanía digital europea

Como cliente de AWS, se beneficia de una arquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes del mundo, independientemente de la confidencialidad de sus datos y cargas de trabajo. También obtiene servicios de seguridad avanzados diseñados por ingenieros con un conocimiento profundo de las tendencias de seguridad mundiales, diseñados para funcionar en conjunto y con productos que ya conoce y en los que confía.

AWS también proporciona una amplia gama de herramientas de seguridad, con más de 230 servicios y características de seguridad, cumplimiento y gobernanza disponibles para que los clientes protejan sus aplicaciones. Un ejemplo de esto es AWS Nitro System, la plataforma subyacente para todas las instancias modernas de Amazon Elastic Compute Cloud (Amazon EC2), que proporciona confidencialidad y privacidad adicionales para sus aplicaciones.  Por su diseño, Nitro System no tiene acceso a ningún operador. No existe ningún mecanismo para que ningún sistema o persona inicie sesión en los hosts Nitro de EC2, acceda a la memoria de las instancias de EC2 o consulte los datos de los clientes ubicados en el almacenamiento de instancias cifradas local o en volúmenes de EBS cifrados de forma remota. Si algún operador de AWS, incluidos los que tienen los privilegios más altos, tiene que llevar a cabo trabajos de mantenimiento en un servidor de EC2, solo puede usar un conjunto limitado de API administrativas autenticadas, autorizadas, registradas y auditadas. Ninguna de estas API proporciona al operador la capacidad de acceder a los datos de los clientes en el servidor de EC2. Como se trata de restricciones técnicas diseñadas y probadas integradas en el propio servicio Nitro System, ningún operador de AWS puede eludir estos controles y protecciones. Como parte de nuestro compromiso con una mayor transparencia, contratamos a NCC Group, una empresa líder en consultoría de ciberseguridad, para que realizara una revisión de la arquitectura de nuestras reclamaciones de seguridad de Nitro System y elaborara un informe público. Su informe confirma que AWS Nitro System, por diseño, no tiene ningún mecanismo para que nadie en AWS pueda acceder a sus datos en los hosts de Nitro. También agregamos los controles Nitro en nuestros términos de servicio de AWS (sección 96), que se aplican a cualquier persona que utilice AWS.

Para obtener más información sobre Nitro, lea nuestra publicación del blog de computación confidencial y el documento técnico sobre seguridad de AWS Nitro, que describe en detalle los mecanismos de seguridad implementados. Nitro está disponible para todas las instancias modernas de Amazon EC2 de forma automática y sin costo adicional para el cliente.

Usted. Tiene la propiedad del contenido del cliente y selecciona qué servicios de AWS pueden tratar y almacenar este contenido. No accedemos ni utilizamos el contenido del cliente para ningún fin sin su consentimiento. Usted controla la seguridad y el acceso, la administración de identidades, los permisos de acceso y los métodos de autenticación, la retención y la eliminación del contenido de sus clientes.

El contenido del cliente se define como software (incluidas imágenes de máquinas), datos, texto, audio, video o imágenes que un cliente o cualquier usuario final nos transfiere para su tratamiento, almacenamiento o alojamiento por parte de los servicios de AWS en relación con la cuenta de un cliente, así como cualquier resultado computacional que un cliente o su usuario final obtenga de lo anterior a través de su uso de los servicios de AWS. Por ejemplo, el contenido del cliente incluye el contenido que un cliente o su usuario final almacena en Amazon Simple Storage Service (S3). El contenido del cliente no incluye la información que figure en los identificadores de recursos, etiquetas de metadatos, políticas de uso, permisos y elementos similares relacionados con la administración de los recursos de AWS.

Si desea obtener más información, consulte Data Privacy FAQ.

Como cliente, puede determinar dónde se almacena su contenido, lo que incluye el tipo y la región geográfica del almacenamiento. La infraestructura global de AWS le brinda la flexibilidad de elegir cómo y dónde desea poner en marcha sus cargas de trabajo. AWS no transferirá ni replicará su contenido fuera de las regiones de AWS elegidas sin su aceptación, salvo en caso que sea necesario para cumplir con la ley o una orden vinculante de un organismo gubernamental.  Auditores externos independientes verificaron este compromiso como parte de nuestro programa de cumplimiento, por ejemplo, la certificación C5 del Gobierno alemán. Nuestros informes de certificación están disponibles en AWS Artifact.

Esto permite a los clientes utilizar los servicios de AWS con la confianza de que su contenido permanece dentro de la región de AWS elegida. Por ejemplo, al elegir la región de AWS Europa (París), compuesta por tres zonas de disponibilidad (AZ), cada una con al menos un centro de datos, los clientes de AWS controlan la ubicación de sus datos y pueden crear aplicaciones de alta disponibilidad en territorio francés. Solo un pequeño número de servicios de AWS implican la transferencia de datos, por ejemplo, para desarrollar y mejorar esos servicios. En estos casos, puede optar por no participar en la transferencia. También es posible que la transferencia constituya una parte esencial del servicio (por ejemplo, un servicio de entrega de contenido). Para obtener más información, consulte nuestra página Privacy Features of AWS Services page.

Para obtener más información sobre el control de la ubicación de los datos, consulte nuestro documento técnico Using AWS in the Context of Common Privacy & Data Protection Considerations (sección AWS Regions: Where will content be stored?).

No. Prohibimos el acceso remoto por parte del personal de AWS al contenido de los clientes por cualquier motivo, incluso para el mantenimiento del sistema; y nuestros sistemas están diseñados para evitarlo, a menos que el acceso lo solicite el cliente o sea necesario para evitar el fraude y el abuso, o para cumplir la ley. Solo las personas autorizadas por el cliente pueden acceder al contenido, sin excepción, tal como lo verifican auditores externos independientes como parte de nuestra certificación C5.

En AWS, creemos que las mejores herramientas de seguridad no deben comprometer el costo, la facilidad de operación o el rendimiento. Recomendamos a los clientes cifrar sus datos en la nube. Para ello, proporcionamos herramientas, como AWS Key Management Service (KMS), para hacerlo de forma escalable, duradera y con alta disponibilidad. AWS afirma como principio de seguridad fundamental que no hay interacción humana con material de claves criptográfico de texto plano de ningún tipo en ningún servicio de AWS. No existe ningún mecanismo para que nadie, incluidos los operadores de servicios de AWS, pueda ver o exportar el material de claves en texto plano, ni acceder a él. Este principio se aplica incluso durante los fallos catastróficos y los eventos de recuperación ante desastres. El material de claves de cliente en texto sin formato de AWS KMS se utiliza para operaciones criptográficas en los HSM validados por FIPS de AWS KMS solo en respuesta a las solicitudes autorizadas que el cliente o su delegado hacen al servicio.

AWS KMS utiliza módulos de seguridad de hardware (HSM) administrados por AWS que se validan según el Programa de validación de módulos criptográficos de los Estándares federales de procesamiento de información (FIPS) 140 del NIST para proteger la confidencialidad e integridad de sus claves. Todo el material de las claves de KMS generadas dentro de los HSM y todas las operaciones que requieren material de claves de KMS descifrado se realizan estrictamente dentro de estos HSM validados por el nivel de seguridad 3 de FIPS 140-2. Según los requisitos del FIPS 140, todos los cambios de firmware de los HSM del KMS se envían a un laboratorio acreditado por el NIST para su validación de conformidad con el nivel de seguridad 3 del FIPS 140. Para obtener más información sobre la arquitectura de AWS KMS y la criptografía que utiliza para proteger las claves, lea el documento técnico AWS KMS Cryptographic Details.

AWS ofrece un par de opciones de configuración avanzadas para AWS KMS, denominadas almacenes de claves personalizados, que combinan la cómoda interfaz de administración de claves de AWS KMS con la capacidad de controlar y administrar los HSM en los que se realizan las operaciones criptográficas y de material de claves, o incluso utilizar sus propios HSM fuera de la nube de AWS. Estas opciones de almacenes de claves personalizados pueden resultarle útiles para cumplir con los requisitos normativos relacionados con el almacenamiento o uso de sus claves de cifrado en entornos locales o fuera de la nube de AWS o utilizar HSM de un solo inquilino. Estos almacenes de claves personalizados ofrecen los mismos beneficios de seguridad que AWS KMS, pero tienen implicaciones de administración y costos diferentes (y más altas). Como resultado, usted asume más responsabilidad por la disponibilidad y durabilidad de las claves criptográficas y por el funcionamiento de los HSM. Independientemente de si usa AWS KMS con HSM administrados por AWS o si opta por aprovechar un almacén de claves personalizado, AWS KMS le permite mantener el control sobre quién puede usar sus claves de AWS KMS y obtener acceso a los datos cifrados. AWS KMS admite dos tipos de almacenes de claves personalizados:

• Almacén de claves de AWS CloudHSM
  Puede crear una clave de KMS en un almacén de claves de AWS CloudHSM, donde todo el material de claves se genera, almacena y usa en un clúster de CloudHSM de su propiedad y que usted administra. Las solicitudes a AWS KMS para usar una clave en algunas operaciones criptográficas se reenvían a su clúster de CloudHSM para llevar a cabo la operación. Si bien AWS aloja un clúster de CloudHSM, se trata de una solución de un solo inquilino que usted administra y opera directamente. Usted es propietario de gran parte de la disponibilidad y el rendimiento de las claves de un clúster de CloudHSM. Para comprobar si un almacén de claves basado en CloudHSM es adecuado para sus necesidades, lea este blog.
• Almacén de claves externo
  Puede configurar AWS KMS para usar un almacén de claves externo (XKS), donde el material de claves de KMS se genera, almacena y usa en un sistema de administración de claves fuera de la nube de AWS. Las solicitudes a AWS KMS para usar una clave en algunas operaciones criptográficas se reenvían a su sistema alojado externamente para llevar a cabo la operación. En concreto, las solicitudes se reenvían a un proxy XKS de su red, que luego reenvía la solicitud a su sistema criptográfico preferido. El proxy XKS es una especificación de código abierto que puede integrar con su solución en un entorno local o con muchos proveedores comerciales de administración de claves, muchos de los cuales tienen soluciones existentes que admiten la especificación del proxy XKS. Dado que usted o un tercero aloja un almacén de claves externo, usted es el propietario de toda la disponibilidad, la durabilidad y el rendimiento de las claves del sistema. Para comprobar si XKS es adecuado para sus necesidades, lea este blog.

La AWS European Sovereign Cloud es una nube independiente para Europa, diseñada para ayudar a las organizaciones del sector público y a los clientes de sectores altamente regulados a satisfacer sus necesidades de soberanía en constante evolución. La AWS European Sovereign Cloud es la única nube soberana con todas las funciones y operada de forma independiente, respaldada por controles técnicos sólidos, garantías soberanas y protecciones legales. Hemos diseñado la AWS European Sovereign Cloud para que esté separada y sea independiente de nuestras regiones actuales de AWS, con una infraestructura ubicada completamente dentro de la Unión Europea (UE), con la misma seguridad, disponibilidad y rendimiento que nuestros clientes obtienen en las regiones de AWS que existen en la actualidad. Al igual que en todas las regiones actuales, los clientes que utilicen AWS European Sovereign Cloud se beneficiarán de toda la potencia de AWS con la misma arquitectura familiar, la amplia cartera de servicios y las API que utilizan millones de clientes en la actualidad.

Para ofrecer una mayor autonomía operativa y resiliencia dentro de la UE, solo el personal residente y ubicado en dicho territorio tiene el control de las operaciones diarias, lo que incluye el acceso a los centros de datos, el soporte técnico y el servicio de atención al cliente de AWS European Sovereign Cloud. Estamos haciendo la transición gradual de AWS European Sovereign Cloud para que la operen exclusivamente ciudadanos de la UE que se encuentran en la UE. Durante este período de transición, seguiremos trabajando con un equipo combinado de residentes de la UE y ciudadanos de la UE ubicados en la UE.

La AWS European Sovereign Cloud es una nube con todas las funciones que ofrece la amplia cartera de servicios y capacidades que los clientes utilizan actualmente en AWS. Al iniciar una nueva región de AWS, comenzamos con los servicios básicos necesarios para respaldar las cargas de trabajo y las aplicaciones críticas y, luego, seguimos expandiéndonos en función de la demanda de los clientes y socios.

Visite Capacidades de AWS por Región para ver la lista completa de los servicios disponibles en AWS European Sovereign Cloud y nuestra hoja de ruta de servicios.

La primera región de AWS en AWS European Sovereign Cloud se ubica en el estado de Brandeburgo, Alemania. También hemos comunicado que planeamos extender la presencia de AWS European Sovereign Cloud desde Alemania a toda la UE para respaldar los estrictos requisitos de aislamiento, residencia de los datos en el país y baja latencia. Esto comenzará con nuevas zonas locales soberanas ubicadas en Bélgica, los Países Bajos y Portugal.

AWS European Sovereign Cloud está abierta a todos los clientes, incluidos los clientes que aún no han podido iniciar su traspaso a la nube o no han podido trasladar algunas de sus cargas de trabajo más confidenciales a la nube porque están buscando mejorar la residencia de los datos y la autonomía operativa.

AWS European Sovereign Cloud proporciona a los clientes la capacidad de cumplir con los estrictos requisitos de autonomía operativa y residencia de los datos. Evalúe utilizar AWS European Sovereign Cloud para las cargas de trabajo que requieren controles de soberanía mejorados, incluidas aquellas con requisitos específicos de residencia de datos y control operativo dentro de la UE. Para ofrecer una residencia de datos y un control operativo mejorados, la infraestructura en la nube de AWS European Sovereign Cloud funciona de forma independiente de otras regiones de AWS. Para garantizar el funcionamiento independiente de AWS European Sovereign Cloud, solo el personal que reside en la UE y se encuentra en la UE tiene el control de las operaciones diarias, incluido el acceso a los centros de datos, el soporte técnico y el servicio de atención al cliente. Estamos haciendo la transición gradual de AWS European Sovereign Cloud para que la operen exclusivamente ciudadanos de la UE que se encuentran en la UE.

Para otras cargas de trabajo, millones de empresas de todo el mundo confían en las regiones de AWS existentes para alojar sus datos más confidenciales y regulados en la nube. La Infraestructura en la nube en AWS Global es segura, amplia y confiable que ofrece más de 200 servicios completos a partir de centros de datos distribuidos en todo el mundo.

Puede visitar aws.eu para obtener más información sobre AWS European Sovereign Cloud.

AWS se interconecta directamente con muchas otras redes, incluidas las de otros proveedores en la nube, para ayudar a los clientes a disfrutar de una experiencia de transferencia de datos fiable entre diferentes proveedores y redes. Si un cliente decide cambiarse a otro proveedor de TI, queremos eliminar las barreras que dificultan la tarea, porque nos centramos en fomentar la confianza de los clientes a largo plazo y eliminar estas barreras hace que AWS sea atractivo para los clientes nuevos y antiguos. En todo el mundo, los clientes tienen derecho a transferencias de datos gratuitas a Internet si desean trasladarse fuera de AWS. Obtenga más información en nuestra publicación del blog sobre transferencias de datos.

Para facilitar la portabilidad de la capa de aplicaciones, AWS ofrece numerosas soluciones de código abierto, como MySQL (Amazon RDS), PostgreSQL (Amazon RDS), Apache Kafka (Amazon Managed Streaming para Apache Kafka), Kubernetes (Amazon EKS), Elasticsearch (Amazon OpenSearch Service), MongoDB (Amazon DocumentDB), Apache Cassandra (Amazon Keyspaces [para Apache Cassandra]), Apache Hadoop (Amazon Elastic MapReduce [EMR]). En el nivel de infraestructura, VMware Cloud en AWS y Red Hat OpenShift en AWS también están disponibles para los clientes que desean utilizar estas tecnologías populares con una experiencia coherente en la nube de AWS.

Sí, es posible transferir o replicar datos de forma externa desde la nube de AWS. AWS admite la elección del cliente, incluida la opción de migrar sus datos a otro proveedor en la nube o en un entorno local. No cobramos por la transferencia de datos a Internet (DTO) cuando desea migrar sus datos a otro proveedor en la nube o en un entorno local.

AWS ofrece una amplia gama de soluciones que permiten la transferencia de datos, ya sea directamente a través de Internet o mediante una red privada (AWS Direct Connect) o mediante un equipo físico para transferir grandes volúmenes de datos puestos a disposición de los clientes de AWS (familia de AWS Snow). Los formatos de datos están bajo el control total del cliente. Además, nuestras condiciones contractuales especifican que los clientes pueden recuperar sus datos en cualquier momento (consulte el Contrato de cliente de AWS).

En AWS, diseñamos los servicios en la nube para dar a los clientes la libertad de elegir la tecnología que mejor se adapte a sus necesidades, y nuestro compromiso con la interoperabilidad es una de las principales razones por las que los clientes eligen AWS en primer lugar. Nuestras API y kits de desarrollo de software (SDK) abiertos, servicios como Amazon Elastic Container Service y Amazon EKS Anywhere, así como nuestros servicios de infraestructura híbrida, como la familia de AWS Outposts y la familia de AWS Snow, permiten a los clientes y a terceros crear software y soluciones compatibles. Hemos estado a la vanguardia del desarrollo de soluciones técnicas que permiten a los clientes poner en marcha sus aplicaciones en AWS y seguir contactando con otros proveedores de servicios en la nube o en entornos locales para cualquier dependencia entre aplicaciones.

La resiliencia en la nube se refiere a la capacidad de una aplicación para resistir o recuperarse de las interrupciones, incluidas las relacionadas con la infraestructura, los servicios dependientes, los errores de configuración, los problemas transitorios de red y los picos de carga. La resiliencia en la nube también desempeña un papel fundamental en la estrategia de resiliencia empresarial más amplia de una organización, incluida la capacidad de cumplir con los requisitos de soberanía digital. Los clientes deben saber que sus cargas de trabajo en la nube seguirán funcionando frente a los desastres naturales, las interrupciones de la red y las interrupciones debidas a crisis geopolíticas. Las organizaciones del sector público y los clientes de sectores altamente regulados confían en AWS para proporcionar el nivel más alto de resiliencia y seguridad que les permita satisfacer sus necesidades. AWS protege a millones de clientes activos en todo el mundo en diversos sectores y casos de uso, incluidas grandes empresas, startups, centros educativos y agencias gubernamentales.

La infraestructura en la nube global de AWS está diseñada para permitir a los clientes crear arquitecturas de cargas de trabajo altamente resilientes. AWS ha efectuado importantes inversiones en la creación y el funcionamiento de la nube más resiliente del mundo mediante la incorporación de medidas de protección en nuestros mecanismos de diseño e implementación de servicios y la incorporación de la resiliencia a nuestra cultura operativa. Creamos para protegernos contra interrupciones e incidentes, las cuales tenemos en cuenta en el diseño de los servicios de AWS. De este modo, cuando se producen interrupciones, su impacto en los clientes y en la continuidad de los servicios sea el mínimo posible. Para evitar puntos únicos de fallo, minimizamos la interconexión dentro de nuestra infraestructura global. La infraestructura global de AWS está dispersa geográficamente y abarca 105 zonas de disponibilidad (AZ) en 33 regiones de AWS de todo el mundo.

Cada región se compone de varias zonas de disponibilidad y cada zona de disponibilidad incluye uno o más centros de datos discretos con infraestructura de alimentación, redes y conectividad independientes y redundantes. Las zonas de disponibilidad de una región están significativamente distantes entre sí, hasta aproximadamente 100 km (60 millas), para ayudar a prevenir errores correlacionados, pero lo suficientemente cerca como para usar la replicación sincrónica con una latencia de milisegundos de un solo dígito. AWS es el único proveedor de servicios en la nube que ofrece tres o más zonas de disponibilidad en cada una de sus regiones, lo que proporciona más redundancia y un mejor aislamiento para contener los problemas. Los puntos comunes de fallo, como los generadores y los equipos de refrigeración, no se comparten entre las zonas de disponibilidad y están diseñados para ser suministrados por subestaciones eléctricas independientes. Para aislar mejor los problemas y alcanzar una alta disponibilidad, los clientes pueden dividir las aplicaciones en múltiples zonas de disponibilidad en la misma región. Obtenga más información sobre cómo AWS mantiene la resiliencia operativa y la continuidad del servicio.

La resiliencia está profundamente arraigada en la forma en que diseñamos los servicios. En AWS, los servicios que creamos deben cumplir objetivos de disponibilidad muy elevados. Pensamos detenidamente en las dependencias que adoptan nuestros sistemas. Nuestros sistemas están diseñados para mantenerse resilientes incluso cuando esas dependencias se ven afectadas. Utilizamos lo que se denomina estabilidad estática para lograr este nivel de resiliencia. Esto significa que los sistemas funcionan en un estado estático y siguen funcionando normalmente sin necesidad de hacer cambios durante un error o cuando las dependencias no están disponibles. Por ejemplo, en Amazon Elastic Compute Cloud (Amazon EC2), una vez iniciada una instancia, dicha instancia está tan disponible como un servidor físico en un centro de datos. La misma propiedad se aplica a otros recursos de AWS, como las nubes virtuales privadas (VPC), los buckets y objetos de Amazon Simple Storage Service (Amazon S3) y los volúmenes de Amazon Elastic Block Store (Amazon EBS). Obtenga más información en nuestro documento técnico sobre límites de aislamiento de errores.

La resiliencia operativa es una responsabilidad compartida. AWS es responsable de garantizar que los servicios que utilizan nuestros clientes (los pilares fundamentales de sus aplicaciones) estén disponibles de forma continua, así como de garantizar que estemos preparados para gestionar una amplia gama de eventos que podrían afectar a nuestra infraestructura. Proporcionamos recursos que exploran la responsabilidad de los clientes en cuanto a la resiliencia operativa: cómo los clientes pueden diseñar, implementar y probar sus aplicaciones en AWS para lograr la disponibilidad y la resiliencia que necesitan, incluso para las aplicaciones críticas que prácticamente no requieren tiempo de inactividad. Obtenga más información sobre el modelo de responsabilidad compartida para la resiliencia.

AWS proporciona un conjunto completo de servicios de resiliencia, estrategias y prácticas recomendadas sobre arquitectura diseñados específicamente que puede utilizar para mejorar su postura de resiliencia y cumplir sus objetivos de soberanía. Estos servicios, estrategias y prácticas recomendadas se describen en el marco del ciclo de vida de resiliencia de AWS en cinco etapas: establecer objetivos, diseñar e implementar, evaluar y probar, operar y responder y aprender. El marco del ciclo de vida de resiliencia se basa en un ciclo de vida de desarrollo de software estándar, de modo que los clientes pueden incorporar fácilmente la resiliencia en sus procesos existentes.

Puede usar AWS Resilience Hub para establecer sus objetivos de resiliencia, evaluar su posición de resiliencia en relación con esos objetivos e implementar recomendaciones de mejora basadas en AWS Well-Architected Framework y AWS Trusted Advisor. En Resilience Hub, puede crear y poner en marcha experimentos de AWS Fault Injection Service, que permiten probar cómo responderá su aplicación a ciertos tipos de interrupciones. Otros servicios de resiliencia de AWS, como AWS Backup, AWS Elastic Disaster Recovery y Controlador de recuperación de aplicaciones de Amazon Route 53, pueden ser útiles a la hora de responder rápidamente a las interrupciones y recuperarse de ellas. AWS también ofrece recursos como el documento técnico sobre límites de aislamiento de errores, que detalla cómo AWS usa los límites para crear servicios zonales, regionales y globales, e incluye orientación prescriptiva sobre cómo evaluar las dependencias de los diferentes servicios y cómo mejorar la resiliencia de las cargas de trabajo de los clientes.

AWS le ofrece varias maneras de alcanzar sus objetivos de resiliencia, lo cual incluye la asistencia de los socios de AWS y AWS Professional Services. Los socios con competencia en resiliencia de AWS se especializan en mejorar la disponibilidad y la resiliencia de las cargas de trabajo críticas de los clientes en la nube. AWS Professional Services ofrece evaluaciones de preparación para la arquitectura de resiliencia, que evalúan las capacidades de los clientes en ocho dominios críticos (administración de cambios, recuperación ante desastres, durabilidad, observabilidad, operaciones, redundancia, escalabilidad y pruebas) para identificar brechas y áreas de mejora.

AWS se somete periódicamente a auditorías de certificación de terceros independientes para garantizar que las actividades de control funcionan según lo previsto. Hereda los controles de seguridad más recientes operados por AWS, lo que refuerza sus propios programas de cumplimiento y certificación. AWS admite más de 140 estándares de seguridad y certificaciones de cumplimiento, incluidos los estándares ISO, la certificación HDS francesa, la certificación C5 alemana y los estándares DSS y SOC. AWS aplica el mismo modelo de seguridad a todos los clientes, independientemente de que tengan necesidades de protección de datos avanzadas o necesidades más estándar. Así es como nuestros clientes se benefician del conjunto de controles de seguridad más exigente, requerido, por ejemplo, para los datos personales, bancarios y de salud, incluso si no procesan datos tan confidenciales e independientemente de la escala o la criticidad de sus aplicaciones. Damos a conocer nuestra postura de conformidad para que pueda constatar el cumplimiento de requisitos impuestos por gobiernos e industrias. Le proporcionamos certificados de cumplimiento, informes y otra documentación directamente a través del portal de autoservicio conocido como AWS Artifact.

Sí. AWS se compromete a permitir a los clientes utilizar todos los servicios de AWS de conformidad con las normas de protección de datos de la UE, incluido el Reglamento general de protección de datos (RGPD). Los clientes de AWS pueden utilizar todos los servicios de AWS para procesar los datos personales (tal y como se definen en el RGPD) que se cargan en los servicios de AWS bajo sus cuentas de AWS (datos de clientes) de conformidad con el RGPD. Además de actuar en conformidad, asumimos el compromiso de ofrecer a nuestros clientes servicios y recursos para que cumplan los requisitos del RGPD que puedan ser relevantes para sus actividades.  Para obtener más información, consulte GDPR Center.

Nuestro anexo de procesamiento de datos (DPA de AWS), que incluye las cláusulas contractuales estándar (SCC), se aplica automáticamente a los clientes que estén sujetos al RGPD. Los Términos de servicio de AWS incluyen las SCC adoptadas por la Comisión Europea (CE) en junio de 2021, y el DPA de AWS confirma que las SCC se aplicarán automáticamente cuando un cliente de AWS use los servicios de AWS para transferir datos de clientes a países que estén fuera del Espacio Económico Europeo que no hayan recibido una decisión de adecuación por parte de la CE (terceros países). Como parte de los Términos del servicio de AWS, las nuevas SCC se aplicarán automáticamente siempre que un cliente utilice los servicios de AWS para transferir datos del cliente a países terceros. Para obtener más información, consulte la publicación del blog acerca de la aplicación de las nuevas cláusulas contractuales estándar. También puede leer nuestra guía: Navigating Compliance with EU Data Transfer Requirements.

Sí. AWS ha declarado más de 100 servicios en virtud del Código de conducta de protección de datos para proveedores de servicios de infraestructura en la nube en Europa (código CISPE), que proporciona una verificación independiente y un nivel adicional de garantía a nuestros clientes de que nuestros servicios en la nube se pueden utilizar de conformidad con el Reglamento general de protección de datos (RGPD). Validado por el Consejo Europeo de Protección de Datos (EDPB), que actúa en nombre de las 27 autoridades de protección de datos de toda Europa, y adoptado formalmente por la Autoridad Francesa de Protección de Datos (CNIL), que actúa como la principal autoridad supervisora, el código CISPE asegura a las organizaciones que su proveedor de servicios de infraestructura en la nube cumple con los requisitos aplicables a los datos personales procesados en su nombre (datos de clientes) en virtud del RGPD. El código CISPE también eleva el nivel de protección de datos y privacidad para los servicios en la nube en Europa, yendo más allá de los requisitos actuales del RGPD. El código CISPE ayuda a los clientes a asegurarse de que el proveedor de servicios de infraestructura en la nube ofrece las garantías operativas adecuadas para demostrar el cumplimiento con el RGPD y proteger los datos de los clientes. El catálogo de CISPE (disponible en Internet) recopila los servicios de AWS cuya conformidad con el código CISPE se ha verificado de forma independiente. El proceso de verificación fue llevado a cabo por Ernst & Young CertifyPoint (EY CertifyPoint), un organismo de control independiente, reconocido a nivel mundial y acreditado por la CNIL. Consulte las preguntas frecuentes de GDPR Center para obtener más información sobre el cumplimiento de AWS con el código CISPE.

Nos comprometemos a ganarnos la confianza de los clientes con un control verificable sobre el acceso al contenido de los clientes y una mayor transparencia. Contratamos a NCC Group, una empresa líder en consultoría de ciberseguridad, para que llevara a cabo una revisión de la arquitectura en relación con nuestras declaraciones sobre seguridad de AWS Nitro System y elaborara un informe público. El informe confirma que AWS Nitro System, por defecto, no tiene ningún mecanismo que permita que el personal de AWS pueda acceder a su contenido en los hosts de Nitro. Lea nuestra publicación del blog para obtener más información.