Aspectos generales

1. ¿Cuál es la mejor forma de completar mi cuestionario vendor/supplier/due-diligence anual de AWS?

En el caso de que necesite ayuda para completar un cuestionario a fin de documentar las posiciones de seguridad y conformidad de AWS, tenemos un enfoque recomendado que se diseñó para proporcionarle los recursos que necesita para responder a sus preguntas de seguridad y conformidad en el contexto de la nube y el modelo de negocios de AWS. Los recursos que se utilizan con más frecuencia para completar cuestionarios de seguridad y conformidad son:

  • AWS Artifact: AWS Artifact es el recurso central in situ para información relacionada con conformidad importante para usted. Proporciona acceso bajo demanda a los informes de seguridad y cumplimiento de AWS y contratos en línea seleccionados. Algunos de los informes de AWS Artifact incluyen informes de control de organizaciones de servicios (SOC), declaración de cumplimiento de la industria de las tarjetas de pago (PCI) y certificaciones de organismos de acreditación de distintas regiones y tipos de cumplimiento que validan la implementación y eficacia operativa de los controles de seguridad de AWS. Los acuerdos disponibles en AWS Artifact incluyen el Anexo al acuerdo con un socio empresarial (BAA) y el acuerdo de confidencialidad (NDA).
  • Página web de los programas de cumplimiento de AWS: los programas de cumplimiento de AWS ayudan a nuestros clientes a comprender los controles estrictos que tenemos instaurados en AWS para mantener la seguridad y el cumplimiento en la nube.
  • Página web de controles de centros de datos de AWS: muchos cuestionarios cuentan con una sección completa con preguntas relacionadas con la seguridad física de los centros de datos. Esta página web le brinda información sobre algunos de nuestros controles físicos y de entorno.
  • Documento técnico de riesgo y conformidad de AWS: este documento incluye información específica de AWS relacionada con preguntas generales sobre el cumplimiento de la computación en la nube.
  • Cuestionario de la iniciativa de evaluación consensuada de CSA: este documento proporciona un conjunto de preguntas que este organismo anticipa que un consumidor o auditor de la nube le harían a un proveedor de la nube. El cuestionario brinda una serie de preguntas de seguridad, control y proceso que luego se pueden utilizar para una amplia gama de usos, incluida la selección de proveedores en la nube y la evaluación de seguridad. Este documento contiene las respuestas de AWS al cuestionario de CSA.
  • Cuestionario SIG: el cuestionario de recopilación de información estandarizada (SIG) está destinado a los clientes que utilizan las herramientas del cuestionario SIG de Shared Assessment para estandarizar su proceso de evaluación de riesgos de terceros. AWS completó el cuestionario con respuestas narrativas para ayudar a los clientes de AWS en su proceso de diligencia debida de la nube de AWS. SIG se encuentra en AWS Artifact.
2. ¿Qué servicios de AWS cumplen con los principales estándares de cumplimiento y seguridad en la nube?

La página web de los servicios de AWS en el ámbito brinda una lista de servicios cuya evaluación ha determinado su cumplimiento con estándares de cumplimiento comunes.

3. ¿AWS tiene algún subprocesador?

AWS puede involucrar a las siguientes entidades enumeradas en la página web de subprocesadores de AWS para llevar a cabo actividades de procesamiento específicas en nombre del cliente o actividades de administración en las instalaciones del centro de datos. Esta página web también brinda a los clientes la opción de suscribirse a notificaciones por correo electrónico si la lista de subprocesadores cambia.

4. ¿Pueden proporcionarme las ubicaciones de centros de datos de AWS para la continuidad de mi negocio o la política de recuperación de desastres?

AWS mantiene con carácter estrictamente confidencial las ubicaciones de nuestros centros de datos para conservar su seguridad y privacidad. La convención de nombres para nuestras regiones de AWS es indicativa de la ubicación geográfica general de las zonas de disponibilidad y los centros de datos que componen esa región. En nuestro informe PCI-DSS, disponible a través de AWS Artifact, se incluyen detalles adicionales sobre la ubicación general de los centros de datos. Para más información, consulte la página web de la infraestructura global de AWS.

5. ¿Cómo puedo evaluar la seguridad y la resistencia de los centros de datos de AWS?

Los clientes pueden evaluar la seguridad y resistencia de la infraestructura física de AWS al considerar todos los controles de seguridad que AWS aplica a sus centros de datos. Para ayudar a los clientes a comprender más a fondo nuestros controles de seguridad física y resistencia, un auditor independiente y competente valida la presencia y el funcionamiento de los controles como parte de nuestro informe SOC 2 de tipo II que está disponible para los clientes a través de AWS Artifact. Esta validación de terceros, de amplia aceptación, proporciona a los clientes la acreditación independiente de la eficacia de los controles establecidos. Las revisiones independientes de la seguridad física de los centros de datos también forman parte de los programas de cumplimiento de las normas ISO 27001, PCI, ITAR y FedRAMP.

6. ¿Permite AWS que el cliente visite el centro de datos físico?
No. Debido a que nuestros centros de datos alojan a varios clientes, AWS no permite que los clientes visiten los centros de datos, ya que esto expone a un gran número de clientes al acceso físico por parte de un tercero. Sin embargo, en nuestro sitio web, los clientes y el público en general pueden hacer una visita digital a un centro de datos de AWS para ver mejor nuestra infraestructura y controles.
7. ¿Qué factores son importantes para que los clientes los evalúen como parte de su planificación de recuperación de desastres?

Los clientes que evalúen AWS como parte de su planificación de recuperación de desastres deben identificar en primer lugar sus objetivos de resiliencia y considerar cualquier requisito normativo aplicable para la resiliencia y la recuperación de desastres. A continuación, los clientes pueden diseñar la arquitectura de su entorno de AWS para que se ajuste a sus requisitos normativos y objetivos de resiliencia. Por ejemplo, para reducir los riesgos relativos al entorno, los clientes pueden diseñar la arquitectura de sus cargas de trabajo de AWS de modo que saquen partido de regiones y zonas de disponibilidad separadas físicamente para alcanzar sus objetivos. Al planear la continuidad empresarial y la recuperación de desastres, los clientes de AWS deben hacer uso de las prácticas recomendadas que se encuentran en el pilar de fiabilidad del AWS Well-Architected Framework.

Informes de cumplimiento

1. ¿Dónde puedo descargar los informes de cumplimiento de AWS, como un informe SOC, la declaración de cumplimiento de la PCI o el cuestionario SIG?

AWS Artifact proporciona varios informes de conformidad emitidos por auditores de terceros que han probado y verificado nuestro cumplimiento con diferentes estándares y regulaciones de seguridad globales, regionales y específicas del sector. Cuando se publican nuevos informes, estos quedan disponibles para que los clientes los descarguen en AWS Artifact. Para obtener más información, acceda a Preguntas frecuentes sobre los informes de conformidad. Puede acceder a AWS Artifact directamente desde la consola de administración de AWS.

2. ¿Dónde puedo encontrar una “bridge letter” (carta puente) para los informes SOC 1 y SOC 2 de AWS?

En base a la cobertura de un año completo que brinda AWS dentro de nuestros ciclos de informes SOC 1 y SOC 2, publicamos una carta de operaciones continuas de SOC en lugar de una “bridge letter” o “gap letter” (cartas que abarcan los periodos que no cubren los informes SOC). Este documento se puede descargar mediante AWS Artifact desde la consola de administración de AWS.

3. ¿Los informes SOC de AWS expiran al final del periodo de informe?

No. Las auditorías SOC se realizan durante un periodo de tiempo. Una vez que finaliza el periodo de auditoría, el informe se prepara y se pone a disposición a los clientes durante un periodo de entre 6 y 8 semanas. AWS publica cada año dos informes SOC 1 y SOC 2 que cubren periodos de 6 meses (el primer informe cubre del 1 de octubre al 31 de marzo y el segundo informe cubre del 1 de abril al 30 de septiembre). Hay varios factores que afectan a la fecha de publicación del informe, pero la fecha prevista para publicar los nuevos informes de cada año es primeros de mayo y primeros de noviembre. Cuando se publican los nuevos informes SOC, quedan disponibles para que los clientes los descarguen en AWS Artifact.

4. ¿Cómo pueden obtener una copia mis clientes finales de los informes SOC 1 y SOC 2 de AWS?

AWS le brinda a su cliente una copia de nuestro informe SOC 1 y SOC 2 sin problema alguno. Para brindarle un mejor soporte a sus clientes, le recomendamos que utilicen la guía de introducción a AWS Artifact para descargar los informes SOC 1 o SOC 2 en su cuenta de AWS. La creación de una cuenta no conlleva ningún cargo. Una vez que inicien sesión con su cuenta, sus clientes pueden acceder a los informes disponibles en la consola de AWS visitando Artifact en la sección Seguridad, identidad y cumplimiento.

Como alternativa, puede descargar los informes de cumplimiento de AWS desde AWS Artifact y compartir con sus clientes directamente si así lo permiten los términos y condiciones aplicables al informe de conformidad de AWS específico. Consulte los términos y condiciones aplicables en la primera página del informe de cumplimiento de AWS descargado desde AWS Artifact para comprobar si se permite o no compartir dicho informe.

También publicamos el informe SOC 3 de AWS en nuestra página web de cumplimiento SOC. El informe SOC 3 es un resumen del informe SOC 2 de AWS; brinda la garantía, incluida la opinión del auditor externo, de que AWS mantiene una operación de controles efectiva en base a los criterios establecidos en los principios de servicios de confianza de la AICPA.

Programas de cumplimiento

1. ¿AWS cuenta con la certificación HIPAA?

No existe ninguna certificación HIPAA para un proveedor de servicios en la nube (CSP) como AWS. Sin embargo, AWS alinea su programa de administración de riesgos HIPAA con FedRAMP, NIST 800-30 y NIST 800-53, que son estándares de seguridad que se adhieren a la regla de seguridad de HIPAA. NIST respalda esta correspondencia y publicó 800-66 Rev. 1, “An Introductory Resource Guide for Implementing the HIPAA Security Rule”, donde se explica cómo NIST 800-53 se corresponde con la regla de seguridad de la HIPAA. Consulte la página web de la HIPAA para AWS para obtener más información sobre el cumplimiento con la HIPAA en AWS.

2. ¿AWS firmará un anexo para socios empresariales (BAA) tal y como se describe en las reglas y los reglamentos de la HIPAA?

Sí. AWS cuenta con un BAA que firmamos con nuestros clientes. Tiene en cuenta los servicios exclusivos que AWS proporciona y da cabida al modelo de responsabilidad compartida de AWS.

Para revisar, aceptar y administrar el estado del BAA para su cuenta, o para todas las cuentas que forman parte de su organización en AWS Organizations, inicie sesión en AWS Artifact desde la consola de administración de AWS.

3. ¿Qué significa que un servicio de AWS es compatible con la HIPAA?

AWS sigue un programa de administración de riesgos basado en estándares para garantizar que los servicios compatibles con la HIPAA respalden específicamente los procesos de seguridad, control y administración exigidos por la HIPAA. Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta la HIPAA, pero solo deben procesar, almacenar y transmitir información sanitaria protegida (PHI) en los servicios compatibles con la HIPAA. Consulte los siguientes recursos de AWS para obtener más información sobre la conformidad con HIPAA en AWS:

4. ¿Cómo puedo cumplir los requisitos de cumplimiento de HITRUST con AWS?

Los clientes pueden aprovechar la certificación que tiene AWS en este marco para los servicios que se encuentren dentro del ámbito con el fin de respaldar sus propias certificaciones de HITRUST CSF. Para obtener la lista más reciente de los servicios de AWS con certificación de HITRUST CSF, consulte la página web Servicios de AWS en el ámbito del programa de cumplimiento. Los clientes de AWS pueden heredar la certificación de HITRUST CSF de AWS siempre que utilicen únicamente servicios dentro del ámbito y apliquen los controles detallados en el sitio web de HITRUST Alliance. Los clientes pueden descargar la Matriz de responsabilidad compartida HITRUST personalizada de AWS para determinar los requisitos de HITRUST que los clientes de AWS podrían heredar como parte del modelo de responsabilidad compartida. Los clientes deben consultar la página web de la guía del usuario de MyCSF para saber cómo iniciar una solicitud de herencia.

5. ¿Cómo puedo firmar un anexo de procesamiento de datos (DPA) conforme con el RGPD con AWS?

No es necesario que realice ninguna acción para beneficiarse del DPA para el RGPD. Las condiciones del DPA para el RGPD están incluidas en las condiciones de servicio de AWS y, desde el 25 de mayo de 2018, el DPA para el RGPD se aplica a todos los clientes cuyas actividades están dentro del ámbito del RGPD. Consulte esta publicación del blog de seguridad de AWS para obtener más información sobre el DPA de AWS. Visite el Centro GDPR para obtener más información.

6. ¿AWS cuenta con una certificación en conformidad con el Escudo de privacidad UE-EE. UU.?

Sí, AWS posee una certificación conforme al Escudo de privacidad UE-EE. UU. Puede ver la certificación de AWS aquí. Aunque el Tribunal de Justicia de la Unión Europea emitió una sentencia en julio de 2020 que declaraba que la decisión 2016/1250 de la Comisión Europea (sobre la adecuación de la protección que brindaba el Escudo de privacidad UE-EE. UU.) ya no es válida, esta decisión no exime a los participantes del Escudo de privacidad UE-EE. UU. de sus obligaciones en virtud del marco.

compliance-contactus-icon
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »