Reglamento General de Protección de Datos (RGPD)

Conformidad con el RGPD al utilizar los servicios de AWS

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea protege el derecho fundamental de las personas de la Unión Europea (UE) a la privacidad y la protección de los datos personales. El RGPD incluye requisitos estrictos que refuerzan y armonizan las normas de protección de datos, seguridad y conformidad. Consulte las preguntas frecuentes sobre el RGPD para obtener más información.

Los clientes de AWS pueden utilizar todos los servicios de AWS para procesar los datos personales (tal y como se definen en el RGPD) que se cargan en los servicios de AWS bajo sus cuentas de AWS (datos de clientes) en conformidad con el RGPD. Además de actuar en conformidad, asumimos el compromiso de ofrecer a nuestros clientes servicios y recursos para ayudarles a cumplir los requisitos del RGPD que puedan ser relevantes para sus actividades. Se lanzan características nuevas periódicamente. AWS tiene más de 500 características y servicios centrados en la seguridad y la conformidad. Con el fin de obtener más información sobre lo que realiza AWS, lea nuestro blog How AWS is helping EU customers navigate the new normal for data protection.

Control en manos del cliente

Los clientes tienen el control de los datos de sus clientes. Con AWS, los clientes pueden:

  • Determinar dónde se almacenarán los datos de sus clientes, el tipo de almacenamiento y la región geográfica de ese almacenamiento.
  • Elegir el estado de seguridad de los datos de sus clientes. Ofrecemos a los clientes un cifrado seguro de los datos de sus clientes en tránsito o en reposo. Además, les ofrecemos la opción de que gestionen sus propias claves de cifrado.
  • Gestionar el acceso a los datos de sus clientes y a los servicios y recursos de AWS a través de usuarios, grupos, permisos y credenciales que ellos mismos controlan.
Más información »

Transferencias fuera del Espacio Económico Europeo (EEE)

Los clientes de AWS pueden seguir utilizando los servicios de AWS para transferir los datos de los clientes desde el EEE a países no pertenecientes a este espacio que no hayan recibido una decisión de adecuación de la Comisión Europea (incluidos los Estados Unidos) en conformidad con el RGPD. En AWS, nuestra máxima prioridad es la seguridad de los datos de los clientes. Implementamos rigurosas medidas organizativas y técnicas para proteger su confidencialidad, integridad y disponibilidad, independientemente de la región de AWS que el cliente haya seleccionado. Sabemos la importancia de la transparencia para nuestros clientes. Tenemos una lista de los servicios de AWS que implican una transferencia de datos de los datos de los clientes en la página web de características de privacidad.

A medida que evolucione el panorama normativo y legislativo, siempre trabajaremos para garantizar que nuestros clientes no dejen de disfrutar de las ventajas de los servicios de AWS dondequiera que operen. Para obtener más información, consulte nuestra actualización para clientes sobre el Escudo de privacidad UE - EE. UU. y nuestra publicación en el blog sobre el Anexo suplementario al anexo sobre el procesamiento de datos del RGPD de AWS.

Recursos para el RGPD

compliance-resources-banner@2x
Análisis de la conformidad con el RGPD en AWS
Descargar el documento técnico »
compliance-banner-argentina
Lo que necesita saber sobre el Brexit y AWS
Más información »
compliance-latestnews-banners
Publicaciones del blog de seguridad de AWS sobre el RGPD
Más información »
compliance-programs-banner@2x
Características de privacidad de los servicios de AWS
Más información »

Preguntas frecuente sobre el RGPD

Información general y aspectos básicos del RGPD


  • ¿Qué es el RGPD?

    El Reglamento General de Protección de Datos (RGPD) es una ley de privacidad europea que entró en vigor el 25 de mayo de 2018. El RGPD reemplazó a la Directiva de Protección de Datos de la UE, también conocida como Directiva 95/46/EC, y su objetivo es unificar las leyes de protección de datos de toda la Unión Europea (UE) mediante la aplicación de una única ley de protección de datos que sea obligatoria en todos los estados miembro.

  • ¿Quiénes deberán cumplir el RGPD?

    El RGPD se aplica a todas las organizaciones radicadas en la UE y a aquellas organizaciones, radicadas o no en la UE, que procesen los datos personales de individuos radicados en la UE en conexión con el suministro de bienes o servicios a interesados radicados en la UE o el monitoreo de comportamiento que se haga dentro de la UE. Los datos personales son cualquier información relacionada con una persona natural identificable o identificada, como por ejemplo nombres, direcciones de correo electrónico y números de teléfono.

  • ¿Es AWS un procesador de datos o un controlador de datos según el RGPD?

    AWS actúa como procesador de datos y controlador de datos según el RGPD.

    • AWS como procesador de datos: cuando los clientes utilizan los servicios de AWS para procesar información personal en el contenido que cargan en los servicios de AWS, AWS actúa como un procesador de datos. Los clientes pueden emplear los controles que tienen a su disposición en los servicios de AWS, incluidos los controles de la configuración de seguridad, para el tratamiento de la información personal. En ese caso, el propio cliente puede actuar como un controlador de datos o un procesador de datos, y AWS desempeñaría el papel de subprocesador o procesador de datos. AWS ofrece un anexo sobre el procesamiento de datos (APD) del GDPR de AWS (APD del RGPD de AWS) conforme al RGPD que incorpora los compromisos de AWS como procesador de datos. El APD del RGPD de AWS, el cual incluye las cláusulas contractuales tipo, forma parte de las condiciones de servicio de AWS y está disponible de manera automática para todos los clientes que lo requieran para cumplir con el RGPD.
    • AWS como controlador de datos: cuando AWS recopila información personal y determina los fines y los medios de procesamiento de esos datos (por ejemplo, cuando almacena información de la cuenta, como las direcciones de correo electrónico proporcionadas durante el registro de la cuenta, para su registro, administración y acceso a los servicios, o los datos de contacto con el objetivo de brindar asistencia mediante actividades de atención al cliente) actúa como un controlador de datos. Consulte el aviso de privacidad de AWS para obtener detalles sobre cómo AWS procesa los datos personales como controlador.

Conformidad con AWS y el RGPD a raíz de la sentencia Schrems II y las recomendaciones del CEPD


  • ¿Qué son la sentencia Schrems II y las recomendaciones del CEPD?

    El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia relativa a la transferencia de datos personales de personas de la UE fuera del EEE (Schrems II). En Schrems II, el TJUE dictaminó que el Escudo de Privacidad UE-EE. UU. ya no era un mecanismo válido para transferir datos personales del EEE a EE. UU. Sin embargo, en la misma sentencia, el TJUE confirmó que las empresas pueden (sujetas a la aplicación de medidas complementarias, si es necesario) continuar con el uso de las cláusulas contractuales tipo como mecanismo válido para transferir datos personales fuera del EEE. Desde entonces, el Consejo Europeo de Protección de Datos (CEPD), organismo europeo compuesto por representantes de las autoridades nacionales de protección de datos, ofrece una lista no exhaustiva de medidas complementarias en sus “Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE” (Recomendaciones del CEPD).

    Las Recomendaciones del CEPD proporcionan ejemplos a los exportadores de datos de las medidas complementarias que podrían aplicarse. Consulte las preguntas frecuentes ¿Todavía puedo utilizar los servicios de AWS tras la sentencia Schrems II?” para obtener detalles sobre los recursos de transferencia de datos de AWS. 

  • ¿Todavía puedo utilizar los servicios de AWS después de la sentencia Schrems II?

    Sí, los clientes de AWS pueden seguir utilizando los servicios de AWS para transferir los datos de los clientes desde Europa a países fuera del EEE que no cuenten con una decisión de adecuación de la Comisión Europea. La sentencia Schrems II validó el uso de las cláusulas contractuales tipo como mecanismo para transferir los datos de los clientes fuera del EEE y los clientes de AWS pueden confiar en las cláusulas contractuales tipo para cualquier transferencia de datos de los clientes fuera del EEE en conformidad con el RGPD.

    • Ubicación del procesamiento. Los clientes seleccionan la región de AWS en la que se almacenarán los datos de sus clientes. Puede encontrar información general sobre las regiones de AWS disponibles en Regiones y zonas de disponibilidad. AWS no tratará los datos de clientes fuera de la región de AWS seleccionada por el cliente, a menos que sea necesario para proporcionar los servicios de AWS solicitados por el cliente o para cumplir la ley o una orden vinculante de un organismo gubernamental. Consulte la página web sobre nuestras características de privacidad para obtener más información sobre las transferencias de datos como parte de los servicios de AWS.
    • Subtratadores. AWS puede utilizar subprocesadores, es decir, filiales de AWS o terceros, para facilitar el procesamiento de los datos de clientes con el fin de cumplir con nuestras obligaciones con los clientes en conformidad con el APD del RGPD de AWS, o para proporcionar servicios en nuestro nombre. Consulte la pregunta frecuente ¿AWS utiliza subprocesadores para procesar los datos de los clientes? para más detalles.
    • Herramientas de transferencia. Puesto que la sentencia Schrems II ha validado el uso de las cláusulas contractuales tipo (SCC) como mecanismo para transferir datos fuera del EEE que no han recibido una decisión de adecuación de la Comisión Europea, nuestros clientes pueden seguir confiando en las SCC incluidas en el APD del RGPD de AWS si deciden transferir sus datos fuera del EEE en conformidad con el RGPD.
    • Medidas adicionales.
      • Control de clientes. Los clientes tienen la propiedad y el control de los datos de sus clientes en todo momento gracias a herramientas sencillas pero poderosas que les permiten determinar dónde se almacenarán los datos de sus clientes, asegurar los datos en tránsito y en reposo, gestionar el acceso de los usuarios a sus recursos de AWS, y modificar, eliminar y recuperar los datos de los clientes.
      • Medidas técnicas y organizativas. AWS implementa controles y procesos técnicos y físicos responsables y sofisticados diseñados para evitar el acceso no autorizado o la divulgación de los datos de los clientes (consulte la página web de conformidad de AWS para más información). Asimismo, proporcionamos una serie de servicios avanzados de cifrado y gestión de claves (incluidos servicios que permiten a los clientes administrar sus propias claves) que los clientes pueden utilizar para proteger los datos de sus clientes tanto en tránsito como en reposo: los datos de clientes cifrados quedan inaccesibles sin las claves de descifrado correspondientes. Independientemente de que los datos de los clientes estén cifrados o no, prestamos mucha atención para proteger los datos de los clientes de cualquier acceso no autorizado.
      • Solicitudes de los cuerpos de seguridad. AWS cuenta con procesos internos para atender las solicitudes que recibimos de los cuerpos de seguridad. Cuando los cuerpos de seguridad nos piden datos de clientes, examinamos dicha solicitud con detenimiento para autentificar la exactitud y verificar que es apropiada y cumple con todas las leyes vigentes. A menos que la ley lo prohíba, AWS notifica a los clientes antes de revelar sus datos para que estos puedan tomar medidas adicionales y buscar protección contra la divulgación. En el Anexo suplementario al APD del RGPD de AWS (Anexo suplementario), AWS asume compromisos contractuales reforzados en relación con el tratamiento de las solicitudes gubernamentales de datos de clientes, por ejemplo, comprometiéndose a (i) utilizar todos los esfuerzos razonables para redirigir cualquier organismo gubernamental que solicite datos de clientes al cliente correspondiente; (ii) notificar rápidamente la solicitud al cliente si está legalmente permitido hacerlo (incluso mediante el uso de todos los esfuerzos razonables y legales para obtener una renuncia a la prohibición si es necesario; (iii) impugnar cualquier solicitud excesiva o inapropiada, incluso cuando la solicitud entre en conflicto con la legislación de la UE; y (iv) si, después de agotar los pasos descritos anteriormente, AWS sigue teniendo obligación de revelar los datos del cliente en respuesta a una solicitud gubernamental, revelar sólo la cantidad mínima de datos del cliente necesaria para satisfacer la solicitud.
      • Medidas contractuales. AWS adquiere varios compromisos contractuales con las medidas descritas anteriormente que se reflejan en el APD del RGPD de AWS y en el Anexo suplementario. El APD del RGPD de AWS y el Anexo suplementario incluyen compromisos contractuales de AWS relativos a (1) la selección por parte del cliente de las regiones de AWS en las que se almacenan y procesan los datos del cliente; (2) las medidas tanto técnicas como organizativas que AWS implementa para proteger la infraestructura de AWS y las medidas técnicas organizativas que los clientes pueden optar por aplicar para proteger los datos de sus clientes; (3) las medidas de AWS para proteger los datos de los clientes e informar al cliente en caso de una solicitud de divulgación de datos por parte de un organismo gubernamental; y (4) la capacidad de AWS para cumplir con sus obligaciones establecidas en el APD del RGPD de AWS en cumplimiento de la legislación vigente en un tercer país en el que se procesen los datos de los clientes. El Anexo suplementario también aborda (5) los derechos legales de las personas a reclamar una indemnización en caso de violación de los derechos otorgados por el RGPD.
  • ¿AWS utiliza subtratadores para tratar los datos de los clientes?

    Sí, AWS puede utilizar tres tipos de subtratadores: (1) entidades de AWS que proporcionan la infraestructura en la que se ejecutan los servicios de AWS; (2) entidades de AWS que respaldan servicios específicos de AWS que pueden requerir que estas entidades traten los datos de los clientes; y (3) terceros que AWS ha contratado para realizar actividades de tratamiento para servicios específicos de AWS. La página web de subtratadores de AWS proporciona más información sobre los subtratadores que AWS contrata de acuerdo con el APD del RGPD de AWS, para proporcionar actividades de tratamiento de datos de clientes en nombre de los clientes. Los subtratadores relevantes para un cliente individual dependerán de la región de AWS que el cliente seleccione o de los servicios de AWS concretos que utilice.

  • ¿Cómo puedo acreditar ante una autoridad de protección de datos que el uso que hago de los servicios de AWS cumple con el RGPD?

    AWS ofrece información útil a los clientes, incluidos varios informes de conformidad de auditores externos, que han verificado nuestra conformidad con una variedad de normas y reglamentos de seguridad, para demostrar los altos niveles de conformidad que AWS mantiene para su infraestructura. En estos informes, los clientes pueden ver que protegemos los datos de sus clientes que deciden procesar en AWS. Un buen ejemplo de ello sería, por ejemplo, la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La ISO 27018 contiene controles de seguridad centrados en la protección de los datos de clientes.

    AWS también cumple el código de conducta de CISPE en relación con la protección de los datos. Puede encontrar más información sobre el código de conducta de CISPE en la siguiente pregunta frecuente: ¿Cumple AWS con un código de conducta, como se desprende del RGPD? 

  • ¿Cumple AWS con un Código de Conducta aprobado por el RGPD específico para los servicios de infraestructura en la nube?

    En febrero de 2017, AWS anunció que cumple el código de conducta de protección de datos de CISPE. CISPE (proveedores de servicios de infraestructura en la nube de Europa) es una coalición de líderes en el sector de la informática en la nube que atienden a millones de clientes europeos. CISPE ha desarrollado, en colaboración con la Autoridad Francesa de Protección de Datos (CNIL), el Código de Conducta de Protección de Datos CISPE (Código CISPE), el primer código de conducta paneuropeo de protección de datos centrado en los servicios de infraestructura en la nube. El Código de CISPE está avalado por el Comité Europeo de Protección de Datos y aprobado por la CNIL.
     
    El Código CISPE ayuda a los clientes a asegurarse de que el proveedor de servicios de infraestructura en la nube ofrece las garantías operativas adecuadas para demostrar la conformidad con el RGPD y proteger los datos de los clientes. Estos son algunos de los beneficios claves del Código CISPE:
    • Aclarar la función del proveedor de servicios de infraestructura en la nube en virtud del RGPD con respecto al tratamiento de los datos de los clientes, es decir, cualquier dato personal tratado en nombre del cliente que utilice el servicio de infraestructura en la nube.
    • Exige a los proveedores de servicios de infraestructura en la nube que ofrezcan a los clientes la posibilidad de elegir servicios que almacenen y procesen los datos de los clientes completamente en el Espacio Económico Europeo.
    • El Código CISPE establece los requisitos que los proveedores de servicios de infraestructura en la nube, como procesadores de datos, deben cumplir, con un enfoque particular en las medidas de seguridad: indica las acciones y los compromisos que los proveedores de servicios de infraestructura en la nube deben llevar a cabo para cumplir con el RGPD (y ayudar a los clientes a garantizar la conformidad con el RGPD).
    • El Código CISPE ofrece a los clientes la información sobre protección y seguridad de los datos que necesitan para tomar decisiones sobre sus necesidades de conformidad con el RGPD: exige a los proveedores de servicios de infraestructura en la nube que sean transparentes en cuanto a las medidas que adoptan para cumplir sus compromisos de seguridad. Estos pasos incluyen las notificaciones relacionadas con las filtraciones de datos personales y el subtratamiento por parte de terceros. Los clientes pueden usar esta información para lograr una comprensión total de los altos niveles de seguridad provistos.

Medidas técnicas y organizativas


  • ¿Cómo afecta el RGPD al modelo de responsabilidad compartida de AWS?

    El RGPD no cambia el modelo de responsabilidad compartida de AWS, que continúa aplicándose a los clientes. El modelo de responsabilidad compartida es un útil método para ilustrar las diferentes responsabilidades de AWS (como subprocesador o procesador de datos) y de los clientes (como controladores de datos o procesadores de datos) según el RGPD.

    De acuerdo con el modelo de responsabilidad compartida, AWS es responsable de proteger la infraestructura subyacente que da soporte a los servicios de AWS (“Seguridad “DE” la nube”). Los clientes, en calidad de controladores de datos o procesadores de datos, son responsables de los datos personales que carguen a los servicios de AWS (“Seguridad “EN” en la nube”).

    Responsabilidad de AWS en relación con la “Seguridad de la nube”: AWS es responsable de proteger la infraestructura global que ejecuta todos los servicios de AWS. Esta infraestructura se compone del hardware, el software, redes y las instalaciones que ejecutan los servicios de AWS, lo que brinda controles eficientes a los clientes, incluidos los controles de la configuración de seguridad, para la gestión del contenido de los clientes. AWS proporciona varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relacionados con la seguridad informática (para obtener más información, visite la página web de conformidad de AWS). En estos informes, los clientes pueden ver que protegemos los datos de sus clientes. Un ejemplo de ello es la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La ISO 27018 contiene controles de seguridad centrados en la protección de los datos de clientes.

    “Seguridad en la nube” como responsabilidad del cliente: los clientes de AWS son responsables de la arquitectura y la seguridad de las aplicaciones y soluciones que deciden implementar en los servicios de AWS. Los clientes de AWS también son responsables de configurar los servicios de AWS de forma que se protejan las necesidades de confidencialidad, integridad y seguridad de los datos de sus clientes. Las responsabilidades específicas que tienen los clientes para proteger los datos de sus clientes varían en función de los servicios de AWS que los clientes decidan utilizar y de cómo se integren esos servicios en sus entornos de TI. Los clientes de AWS pueden ver y controlar los datos de sus clientes. También pueden implementar controles de seguridad flexibles basados en la confidencialidad del tipo específico de datos de los clientes. Los clientes pueden hacerlo mediante sus propias medidas de seguridad y herramientas, o mediante las medidas de seguridad y herramientas facilitadas por AWS u otros proveedores. De este modo, los clientes pueden establecer capas de seguridad adicionales para los datos más confidenciales de los clientes.

    AWS pone a disposición productos, herramientas y servicios que los clientes pueden utilizar para diseñar y proteger sus aplicaciones y soluciones y que se pueden implementar para ayudar a gestionar los requisitos del RGPD, entre ellos:

    • AWS Identity and Access Management (IAM) permite a las organizaciones gestionar el acceso a los servicios y recursos de AWS de manera segura. Al utilizar IAM, los clientes pueden crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir el acceso a los recursos de AWS y denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costos adicionales.
    • AWS CloudTrail permite a las organizaciones registrar, monitorear de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitado en todas las cuentas de AWS de manera predeterminada).
    • Amazon GuardDuty es un servicio de detección de amenazas gestionado que monitorea de forma continua para encontrar comportamientos maliciosos o no autorizados, y facilita la protección de las cargas de trabajo y cuentas de AWS. Monitorea la actividad que pueda indicar que una cuenta se ha visto comprometida, como llamadas a la API inusuales o implementaciones potencialmente no autorizadas. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.
    • Amazon Macie es una herramienta de machine learning que permite identificar y clasificar los datos personales almacenados en Amazon S3.

    Consulte nuestro documento técnico, Análisis de la conformidad con el RGPD en AWS, para obtener más detalles sobre cómo utilizar los recursos de AWS en conformidad con el RGPD.

  • ¿Ofrecen los socios de AWS productos y servicios que ayuden a cumplir con el RGPD?

    Sí, puede buscar “RGDP” en el buscador de soluciones de socios de AWS para que sea más sencillo encontrar socios ISV, MSP y SI con productos o servicios que ayuden a cumplir los requisitos del RGPD. Los clientes también pueden buscar soluciones “RGPD” en AWS Marketplace.

  • ¿Ofrece AWS servicios profesionales para ayudar en la conformidad del RGPD?

    Sí, el Departamento de Servicios de Garantía de Aeguridad de AWS lleva a cabo una serie de actividades para ayudar a los clientes en su camino hacia la conformidad con el RGPD. Este departamento de profesionales en conformidad certificados ayuda a los clientes a lograr, mantener y automatizar la conformidad en la nube mediante la vinculación de las normas de conformidad correspondientes con las características y funcionalidades específicas de los servicios de AWS. Puede encontrar más detalles sobre cómo los consultores de servicios profesionales de AWS ayudan a los clientes aquí.

  • ¿Cómo puede ayudarme AWS Support con la conformidad del RGPD?

    Los clientes pueden utilizar AWS Support para recibir orientación técnica que les ayude en su camino hacia la conformidad con el RGPD. En el marco de esta actividad, contamos con equipos de ingenieros de soporte para la nube y gerentes técnicos de cuenta (TAM) capacitados para identificar y mitigar los riesgos de conformidad. El nivel de soporte que ofrece AWS depende del plan de AWS Support que los clientes elijan. Los clientes que deseen saber cómo puede ayudarlos AWS Premium Support encontrarán más información en AWS Support Center, disponible a través de la consola de gestión de AWS, mediante los datos de contacto que figuran en el acuerdo de Enterprise Support suscrito con AWS o la página web de AWS Support. Los clientes con Enterprise Support deberán contactar a su TAM si tienen preguntas relacionadas con el RGPD.

    Los siguientes dos programas pueden ser útiles para los clientes que deseen cumplir con el RGPD:

    • Análisis de operaciones en la nube: este programa, que está disponible para los clientes de AWS Enterprise Support, está diseñado para identificar fallas en su estrategia para operar en la nube. El programa surgió a partir de un conjunto de prácticas recomendadas operativas extraídas de la experiencia de AWS con un gran conjunto de clientes representativos. Proporciona un análisis de las operaciones en la nube y las prácticas de administración asociadas, lo que puede ayudar a las organizaciones a cumplir el RGPD. El programa se fundamenta en cuatro pilares y se centra en preparar, monitorear, utilizar y optimizar sistemas basados en la cloud con el fin de alcanzar la excelencia operativa.
    • Análisis de Well-Architected: este programa permite a las organizaciones evaluar su arquitectura con respecto a las prácticas recomendadas de AWS y crear arquitecturas seguras, fiables, de alto rendimiento y rentables. Con los análisis de Well-Architected, los clientes también pueden saber en qué lugares de su arquitectura hay riesgos y abordarlos antes de que las aplicaciones pasen a la fase de producción.

  • ¿Cómo puede AWS ayudar a los clientes a cumplir sus obligaciones según el RGPD en lo que respecta a las notificaciones de vulneración de datos personales?

    AWS cuenta con un proceso de monitoreo de incidentes de seguridad y de notificación de filtraciones de datos, y notificará a los clientes sobre la vulneración de la seguridad de AWS sin demoras indebidas y de conformidad con el APD del RGPD de AWS. AWS también pone a disposición de los clientes una serie de herramientas para saber quién tiene acceso a sus recursos, cuándo y desde dónde. Una de estas herramientas es AWS CloudTrail, que permite auditar la gobernanza, la conformidad, las operaciones y los riesgos de una cuenta de AWS. Con AWS CloudTrail, el cliente puede registrar, monitorear de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en toda su infraestructura de AWS. De este modo, las organizaciones saben lo que sucede con la infraestructura de AWS y pueden tomar medidas de inmediato ante una actividad inusual. Para obtener más información sobre otras herramientas de seguridad que AWS pone a disposición de los clientes para ayudarlos a cumplir sus obligaciones como controladores de datos según la RGPD, visite la página web sobre seguridad en la nube de AWS.  

  • ¿Cómo me ayuda AWS a proteger los datos de mis clientes frente a los ciberataques?

    AWS brinda a los clientes y socios de APN una serie de herramientas para proteger los datos de sus clientes y ayudar a protegerse frente a los ciberataques. Una de estas herramientas es AWS Shield. Se trata de un servicio gestionado de protección frente a ataques de denegación de servicio distribuido (DDoS) para salvaguardar los sitios web y las aplicaciones que se ejecutan en AWS. AWS Shield Standard está disponible sin costes adicionales y proporciona detección permanente y mitigaciones automáticas en línea que pueden minimizar el tiempo de inactividad y la latencia de las aplicaciones. Para obtener niveles más altos de protección contra ataques dirigidos a aplicaciones web que se ejecutan en AWS y utilizan recursos de ELB, Amazon CloudFront y Amazon Route 53, los clientes y los socios de APN pueden suscribirse a AWS Shield Advanced. AWS también publica y actualiza periódicamente un documento sobre las “prácticas recomendadas de AWS para resistir ataques de DDoS”, que ayuda a los clientes a usar AWS a fin de crear aplicaciones resilientes frente a los ataques de DDoS.

    Entre las demás herramientas de AWS para proteger los datos de los clientes contra los ciberataques, figuran las siguientes:

    • AWS Identity and Access Management (IAM) permite a las organizaciones gestionar el acceso a los servicios y recursos de AWS de manera segura. Al utilizar IAM, los clientes y los socios de APN pueden crear y gestionar usuarios y grupos de AWS, así como usar permisos para permitir el acceso a los recursos de AWS y denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costos adicionales.
    • AWS Config permite a los clientes y a los socios de APN habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
    • AWS CloudTrail permite a las organizaciones registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relasocionadas acon acciones en AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la resolución de problemas (la herramienta AWS CloudTrail está habilitada en todas las cuentas de AWS de manera predeterminada).
    • Amazon GuardDuty es un servicio de detección de amenazas gestionado que monitorea de forma continua para encontrar comportamientos maliciosos o no autorizados, y facilita la protección de las cargas de trabajo y cuentas de AWS. Monitorea la actividad que pueda indicar que una cuenta se ha visto comprometida, como llamadas a la API inusuales o implementaciones potencialmente no autorizadas. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.
  • ¿Qué herramientas pueden serme de utilidad para identificar datos personales en mi contenido dentro de AWS?

    Amazon Macie es un servicio de privacidad y seguridad de datos completamente administrado que utiliza machine learning y la correspondencia de patrones para descubrir y proteger sus datos confidenciales en AWS. Como las organizaciones gestionan volúmenes cada vez mayores de datos, identificar y proteger sus datos personales a escala puede ser cada vez más complejo, más caro y llevar mucho más tiempo. Amazon Macie automatiza el descubrimiento de datos personales a escala y reduce los costos que supone protegerlos. Macie proporciona automáticamente un inventario de los buckets de Amazon S3, incluida una lista de los buckets no cifrados, los buckets de acceso público y los buckets compartidos con las cuentas de AWS fuera de las definidas en AWS Organizations. Luego, Macie aplica las técnicas de machine learning y correspondencia de patrones en los buckets que seleccione para identificar y recibir alertas sobre datos personales.

    Amazon Macie cuenta con certificaciones estándares reconocidas en todo el mundo, como la norma ISO 27017 sobre seguridad en la nube o la ISO 27018 sobre privacidad en la nube. Los clientes y socios de APN también pueden utilizar Macie para monitorear de forma continua el acceso a sus datos con el fin de detectar actividades sospechosas en función de patrones de acceso.

  • ¿Cómo puedo controlar el acceso a los datos personales dentro de mi contenido en AWS?

    Para ayudar a los clientes a cumplir los requisitos del RGPD, AWS tiene una serie de herramientas para controlar el acceso a los datos personales de su contenido en AWS. Entre estas herramientas, se incluyen las siguientes:

    • La seguridad por defecto hace referencia a que los servicios de AWS están diseñados para ser seguros de manera predeterminada. Si se utiliza la configuración predeterminada, el acceso a los recursos se restringe al propietario de la cuenta y al administrador raíz.
    • AWS Identity and Access Management (IAM) permite a los clientes gestionar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, las organizaciones pueden crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir el acceso a los recursos de AWS o denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costos adicionales.
    • La autenticación multifactor de AWS agrega una capa de protección adicional por encima del nombre de usuario y la contraseña de la cuenta de AWS. AWS brinda a los clientes la opción de utilizar dispositivos MFA virtuales y de hardware.
    • AWS Directory Service permite a los clientes hacer integraciones y federaciones con directorios corporativos para reducir la sobrecarga administrativa y mejorar la experiencia del usuario final.
    • AWS Config permite a los clientes habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
    • AWS CloudTrail permite a los clientes registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en su infraestructura de AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitada en todas las cuentas de AWS de manera predeterminada).
    • Amazon Macie utiliza machine learning para ayudar a los clientes a evitar la pérdida de datos mediante la detección, clasificación y protección automáticas de la información confidencial en AWS. Este servicio totalmente administrado monitorea de manera continua el acceso a los datos en busca de anomalías y genera alertas detalladas cuando detecta un riesgo de acceso no autorizado o filtración de datos accidental, como el hecho de que un cliente, por error, otorgue acceso a información confidencial a usuarios ajenos.
       
  • ¿Cómo puedo cifrar los datos de los clientes incluidos en AWS para evitar el acceso no autorizado?

    AWS brinda a los clientes y a los socios de APN la posibilidad de agregar una capa de seguridad adicional a los datos de sus clientes en reposo en la nube, y los ayuda a cumplir sus obligaciones relativas a la seguridad del tratamiento como controladores de datos según el RGPD. Entre las herramientas de cifrado de AWS, figuran las siguientes:

    • Funciones de cifrado de datos disponibles en los servicios de almacenamiento y bases de datos de AWS, como Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS y Redshift
    • Opciones flexibles de gestión de claves, como AWS Key Management Service, que permiten elegir si desea que AWS gestione las claves de cifrado o si quiere que los clientes mantengan el control total sobre ellas
    • Colas de mensajes cifrados para la transmisión de información confidencial mediante el cifrado del lado del servidor (SSE) para Amazon SQS
    • Almacenamiento de claves criptográficas especializado y basado en hardware que utiliza AWS CloudHSM y permite a los clientes satisfacer los requisitos de conformidad
     
    Además, AWS proporciona diversas API para que los clientes y los socios de APN puedan integrar el cifrado y la protección de los datos con cualquiera de los servicios que desarrollen o implementen en un entorno de AWS.
  • ¿Qué servicios ofrece AWS a los clientes para ayudarlos a cumplir con el RGPD?

    AWS proporciona características y servicios específicos que ayudan a los clientes a cumplir requisitos del RGPD:

    Control de acceso: permita el acceso a los recursos de AWS únicamente a administradores, usuarios y aplicaciones autorizados

    • Autenticación multifactor (MFA)
    • Acceso detallado a objetos en buckets de Amazon S3/Amazon SQS/Amazon SNS y otros
    • Autenticación de solicitudes a la API
    • Restricciones geográficas
    • Tokens de acceso temporal mediante AWS Security Token Service

    Monitoreo y registro: obtenga información general de las actividades en sus recursos de AWS

    Cifrado: cifre datos en AWS

    • Cifrado de sus datos en reposo con AES256 (EBS, S3, Glacier o RDS)
    • Administración de claves administrada de manera centralizada (por región de AWS)
    • Túneles IPsec hacia AWS con gateways de VPN
    • Módulos HSM dedicados en la nube con AWS CloudHSM

    Marco sólido para lograr la conformidad y normas de seguridad: demostramos la conformidad con rigurosas normas internacionales, como:

Contacto


  • ¿A quién debería contactar si tengo alguna duda sobre el RGPD y AWS?

    Se recomienda que los clientes que tengan dudas con respecto al RGPD contacten al gerente de cuentas de AWS en primer lugar. Si los clientes se registraron en Enterprise Support, también pueden contactar al gerente técnico de cuenta (TAM). Los TAM trabajan con arquitectos de soluciones para ayudar a los clientes a identificar posibles riesgos y mitigaciones. Los TAM y los equipos de cuentas también pueden indicar a los clientes y socios de APN recursos específicos en función de su entorno y necesidades.
     

    AWS también cuenta con equipos de representantes de Enterprise Support, consultores de servicios profesionales y demás personal para brindar asistencia en caso de que los usuarios tengan alguna pregunta sobre el RGPD. Contáctenos si tiene dudas aquí.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »