Aspectos generales

1. ¿Cuál es la mejor forma de completar mi cuestionario vendor/supplier/due-diligence anual de AWS?

En el caso de que necesite ayuda para completar un cuestionario a fin de documentar las posiciones de seguridad y conformidad de AWS, tenemos un enfoque recomendado que se diseñó para proporcionarle los recursos que necesita para responder a sus preguntas de seguridad y conformidad en el contexto de la nube y el modelo de negocios de AWS. Los recursos que se utilizan con más frecuencia para completar cuestionarios de seguridad y conformidad son:

  • AWS Artifact: AWS Artifact es el recurso central in situ para información relacionada con conformidad importante para usted. Proporciona acceso bajo demanda a los informes de seguridad y conformidad de AWS y acuerdos en línea seleccionados. El informe SOC 2 de AWS es especialmente útil para completar cuestionarios, puesto que brinda una descripción exhaustiva de la implementación y eficacia operativa de los controles de seguridad de AWS. Otro documento útil es el Informe para ejecutivos del paquetes de socios de FedRAMP de AWS.
  • Cuestionario de la iniciativa de evaluación consensuada de CSA: Este documento proporciona un conjunto de preguntas que este organismo anticipa que un consumidor o auditor de la nube le harían a un proveedor de la nube. El cuestionario brinda una serie de preguntas de seguridad, control y proceso que luego se pueden utilizar para una amplia gama de usos, incluida la selección de proveedores en la nube y la evaluación de seguridad. Este documento contiene las respuestas de AWS al cuestionario de CSA.
  • Documento técnico de riesgo y conformidad de AWS: Este documento incluye información específica de AWS relacionada con preguntas generales sobre la conformidad de la informática en la nube. Hay descripciones detalladas de todas las certificaciones, programas, informes de AWS y acreditaciones de terceros. 
  • Página web de controles de centros de datos de AWS: Muchos cuestionarios cuentan con una sección completa con preguntas relacionadas con la seguridad física de los centros de datos. Esta página web le brinda información sobre algunos de nuestros controles físicos y de entorno.
2. ¿Qué funciones y servicios de AWS cumplen con los principales estándares de conformidad y seguridad en la nube?

Servicios de AWS en el ámbito brinda una lista de servicios cuya evaluación ha determinado su cumplimiento con estándares de conformidad comunes. A menos que se excluya específicamente, las características de cada uno de los servicios enumerados se consideran dentro del ámbito de los programas de conformidad, y han sido revisados y probados como parte de la evaluación. Consulte la documentación de AWS para conocer las características de un servicio de AWS. 

3. ¿Puedo cumplir con mis requisitos normativos en AWS?

AWS cuenta con clientes en todo el mundo y se está adaptando continuamente a las regulaciones y sus modificaciones. El centro de conformidad de AWS le ofrece una ubicación central para investigar los requisitos normativos relacionados con la nube y sus efecto en su sector. Seleccione el país de su interés y el centro de conformidad de AWS mostrará la posición normativa del país en relación a la adopción de servicios en la nube.  

4. ¿AWS tiene algún subprocesador?

AWS puede involucrar a las siguientes entidades enumeradas en la página web de subprocesadores de AWS para llevar a cabo actividades de procesamiento específicas en nombre del cliente o actividades de administración en las instalaciones del centro de datos. Esta página web también brinda a los clientes la opción de suscribirse a notificaciones por correo electrónico si la lista de subprocesadores cambia.

AWS informa con diligencia a los clientes sobre cualquier subcontratista con acceso a los contenidos de los clientes cargados en AWS, incluidos aquellos que puedan contener información personal. No hay subcontratistas con autorización de AWS para acceder a los contenidos de clientes que usted carga en AWS. Para monitorear el acceso de subcontratistas durante todo el año, consulte la página web de acceso de terceros de AWS

5. ¿Pueden proporcionarme las ubicaciones de centros de datos de AWS para la continuidad de mi negocio o la política de recuperación de desastres?

AWS mantiene con carácter estrictamente confidencial las ubicaciones de nuestros centros de datos para conservar su seguridad y privacidad. Las ubicaciones se desvelan únicamente a los contratistas y empleados de AWS con una necesidad empresarial autorizada para acudir a las instalaciones.

Los clientes pueden evaluar la seguridad y resiliencia de la infraestructura física de AWS al considerar todos los controles de seguridad que AWS aplica a sus centros de datos. Para ayudar a los clientes a evaluar los riesgos relacionados a los centros de datos de AWS, AWS ofrece la página web de controles de centros de datos de AWS y el informe SOC 2 de AWS disponible en AWS Artifact

6. ¿Qué factores son importantes para que los clientes los evalúen como parte de su planificación de recuperación de desastres?

Los clientes que evalúen AWS como parte de su planificación de recuperación de desastres deben identificar en primer lugar sus objetivos de resiliencia y considerar cualquier requisito normativo aplicable para la resiliencia y la recuperación de desastres. A continuación, los clientes pueden diseñar la arquitectura de su entorno de AWS para que se ajuste a sus requisitos normativos y objetivos de resiliencia. Por ejemplo, para reducir los riesgos relativos al entorno, los clientes pueden diseñar la arquitectura de sus cargos de trabajo de AWS de modo que saquen partido de regiones y zonas de disponibilidad separadas físicamente para alcanzar sus objetivos. Los clientes con requisitos de alta disponibilidad a menudo utilizan varias regiones para aplicaciones críticas. Puede obtener más información en la página web de recuperación de desastres de AWS, la página web de controles de centros de datos de AWS y en el informe SOC 2 de AWS disponible en AWS Artifact.

Informes de conformidad

1. ¿Dónde puedo descargar los informes de conformidad de AWS, como un informe SOC o PCI?

AWS Artifact proporciona varios informes de conformidad emitidos por auditores externos que han probado y verificado nuestra conformidad con diferentes normas y regulaciones de seguridad globales, regionales y específicas del sector. Cuando se publican nuevos informes, estos quedan disponibles para que los clientes los descarguen en AWS Artifact. Para obtener más información, acceda a Preguntas frecuentes sobre los informes de conformidad. Puede acceder a AWS Artifact directamente desde la consola de administración de AWS.

2. ¿Dónde puedo encontrar una “bridge letter” (carta puente) para los informes SOC 1 y SOC 2 de AWS?

En base a la cobertura de un año completo que brinda AWS dentro de nuestros ciclos de informes SOC 1 y SOC 2, publicamos una carta de operaciones continuas de SOC en lugar de una “bridge letter” o “gap letter” (cartas que abarcan los periodos que no cubren los informes SOC). Este documento se puede descargar mediante AWS Artifact desde la consola de administración de AWS.

3. ¿Los informes SOC de AWS expiran al final del periodo de informe?

No. Las auditorías SOC se realizan durante un periodo de tiempo. Una vez que finaliza el periodo de auditoría, el informe se prepara y se pone a disposición a los clientes durante un periodo de entre 6 y 8 semanas. AWS publica cada año dos informes SOC 1 y SOC 2 que cubren periodos de 6 meses (el primer informe cubre del 1 de octubre al 31 de marzo y el segundo informe cubre del 1 de abril al 30 de septiembre). Hay varios factores que afectan a la fecha de publicación del informe, pero la fecha prevista para publicar los nuevos informes de cada año es primeros de mayo y primeros de noviembre. Cuando se publican los nuevos informes SOC, quedan disponibles para que los clientes los descarguen en AWS Artifact.

4. ¿Cómo pueden obtener una copia mis clientes finales de los informes SOC 1 y SOC 2 de AWS?

AWS puede brindarle a su cliente una copia de nuestro informe SOC 1 o SOC 2; sin embargo, necesitamos que el usuario previsto del informe firme un acuerdo de confidencialidad (NDA) con AWS directamente. Para brindarle un mejor soporte a sus clientes, le recomendamos que utilicen la guía de introducción a AWS Artifact para descargar los informes de conformidad que necesiten.

Si su cliente no quiere firmar un NDA con AWS, publicaremos el informe SOC 3 de AWS en nuestra página web de conformidad de SOC. El informe SOC 3 es un resumen del informe SOC 2 de AWS; brinda la garantía, incluida la opinión del auditor externo, de que AWS mantiene una operación de controles efectiva en base a los criterios establecidos en los principios de servicios de confianza de la AICPA.

Programas de conformidad

1. ¿AWS cuenta con la certificación HIPAA?

No existe ninguna certificación HIPAA para un proveedor de servicios en la nube (CSP) como AWS. Para cumplir los requisitos de HIPAA aplicables a nuestro modelo operativo, AWS adapta nuestro programa de administración de riesgos de HIPAA al FedRAMP y a NIST 800-53, que son estándares de seguridad superiores relacionados con la regla de seguridad de HIPAA. NIST respalda esta correspondencia y publicó 800-66, “An Introductory Resource Guide for Implementing the HIPAA Security Rule”, donde se explica cómo NIST 800-53 se corresponde con la regla de seguridad de la HIPAA. Consulte la página web de la HIPAA para AWS para obtener más información sobre la conformidad con la HIPAA en AWS.

2. ¿AWS firmará un anexo para socios empresariales (BAA) tal y como se describe en las reglas y los reglamentos de la HIPAA?

Sí. AWS cuenta con un BAA que firmamos con nuestros clientes. Tiene en cuenta los servicios exclusivos que AWS proporciona y da cabida al modelo de responsabilidad compartida de AWS.

Para revisar, aceptar y administrar el estado del BAA para su cuenta, o para todas las cuentas que forman parte de su organización en AWS Organizations, inicie sesión en AWS Artifact desde la consola de administración de AWS.

3. ¿Qué significa que un servicio de AWS es compatible con la HIPAA?

AWS sigue un programa de administración de riesgos basado en estándares para garantizar que los servicios compatibles con la HIPAA respalden específicamente los procesos de seguridad, control y administración exigidos por la HIPAA. Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta la HIPAA, pero solo deben procesar, almacenar y transmitir información sanitaria protegida (PHI) en los servicios compatibles con la HIPAA. Consulte los siguientes recursos de AWS para obtener más información sobre la conformidad con HIPAA en AWS:

4. ¿Cómo puedo cumplir los requisitos de conformidad de HITRUST con AWS?

AWS ofrece un amplio conjunto de certificaciones y certificados que cubren programas de conformidad de todo el mundo. Puede utilizar estos certificados y certificaciones para cumplir con programas de conformidad adicionales, como el marco de seguridad común de HITRUST o programas ofrecidos por la Comisión de Acreditación de la Red Electrónica de Atención en Salud (EHNAC). También puede trabajar con uno de nuestros socios especializados en conformidad en el sector de la sanidad.

5. ¿Cómo puedo firmar un anexo de procesamiento de datos (DPA) conforme con el RGPD con AWS?

No es necesario que realice ninguna acción para beneficiarse del DPA para el RGPD. Las condiciones del DPA para el RGPD están incluidas en las condiciones de servicio de AWS y, desde el 25 de mayo de 2018, el DPA para el RGPD se aplica a todos los clientes cuyas actividades están dentro del ámbito del RGPD. Consulte esta publicación del blog de seguridad de AWS para obtener más información sobre el DPA de AWS.

6. ¿AWS cuenta con una certificación en conformidad con el Escudo de privacidad UE-EE. UU.?

Sí, AWS posee una certificación conforme al Escudo de privacidad UE-EE. UU. Puede ver la certificación de AWS aquí. Aunque el Tribunal de Justicia de la Unión Europea emitió una sentencia en julio de 2020 que declaraba la nulidad de la decisión 2016/1250 de la Comisión Europea (sobre la adecuación de la protección que brindaba el Escudo de privacidad UE-EE. UU.), esta decisión no exime a los participantes del Escudo de privacidad UE-EE. UU. de sus obligación en virtud del marco.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »