El Reglamento General de Protección de Datos (GDPR) de la Unión Europea protege el derecho fundamental a la privacidad y la protección de datos personales de los titulares de datos de la Unión Europea. Introduce requisitos estrictos que reforzarán y armonizarán las normas de protección de datos, seguridad y conformidad.

Los servicios de AWS cumplirán con el GDPR cuando entre en vigor el 25 de mayo de 2018.

Además de nuestro propio cumplimiento, AWS asume el compromiso de ofrecer a nuestros clientes servicios y recursos para ayudarles a cumplir los requisitos del GDPR que puedan aplicarse a sus actividades. Se lanzan características nuevas periódicamente. AWS tiene más de 500 características y servicios centrados en la seguridad y la conformidad.

AWS proporciona características y servicios específicos que pueden utilizar los clientes para cumplir con el GDPR.

HA_DynamoDB-DAX_HERO-ART

Control de acceso: únicamente se permite el acceso a los administradores, los usuarios y las aplicaciones autorizados 

  • Autenticación multifactor (MFA)
  • Acceso pormenorizado a objetos en Amazon S3, Amazon SQS y Amazon SNS
  • Autenticación de solicitudes a la API
  • Restricciones geográficas
  • Tokens de acceso temporal mediante AWS Security Token Service
Más información »
HA_EFS-Data-Encryption_hero-art

Monitorización y registro: obtenga un resumen de las actividades en sus recursos de AWS

  • Administración y configuración de recursos con AWS Config
  • Auditoría y análisis de seguridad con AWS CloudTrail
  • Información detallada sobre flujos en la red mediante Amazon VPC-FlowLogs
  • Acciones y verificaciones de configuración basadas en reglas con AWS Config Rules
  • Filtrado y monitorización de acceso HTTP a aplicaciones con funciones de AWS WAF en AWS CloudFront
GC_Storage_HERO-ART

Cifrado: cifre datos en AWS

  • Cifrado de sus datos en reposo con AES256 (EBS/S3/Glacier/RDS)
  • Administración de claves administrada de manera centralizada (por región de AWS)
  • Túneles IPsec hacia AWS con las gateways de VPN
  • Módulos HSM dedicados en la nube con AWS CloudHSM
Más información »

Privacidad de datos

Los clientes controlan su propio contenido. Con AWS, los clientes:

  • Determinan si su contenido se almacenará, el tipo de almacenamiento y la región geográfica del mismo.
  • Eligen el estado de seguridad de su contenido. Ofrecemos a los clientes un cifrado seguro del contenido en tránsito o en reposo y le ofrecemos la opción de administrar sus propias claves de cifrado.
  • Administran el acceso a su contenido y a los servicios y recursos de AWS a través de usuarios, grupos, permisos y credenciales que ellos mismos controlan.
Más información »

Security by Design

Los objetivos del enfoque SbD son los siguientes:

  • Creación de funciones obligatorias que no pueden invalidar los usuarios que no tengan permiso para modificarlas.
  • Establecimiento de un funcionamiento fiable de los controles.
  • Facilitación de auditorías continuas en tiempo real.
  • Scripts técnicos para la política de gobernanza.
Más información »

Protección de datos en la UE

GDPR es la modificación de mayor importancia en las leyes de protección de datos en Europa desde la introducción de la Directiva de protección de datos de la UE, en 1995. Su objetivo es fortalecer la seguridad y protección de los datos personales en la UE y unificar las leyes de protección de datos en dicha región. GDPR reemplazará la Directiva de protección de datos de la UE así como también todas las leyes locales relacionadas con esta.

Más información »

Certificados, programas, informes y acreditaciones de AWS

Un asesor externo independiente ha validado el cumplimiento de la norma ISO 27018 por parte de AWS. La norma ISO 27018 es el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información de la ISO 27002 y ofrece directrices de aplicación sobre los controles de la ISO 27002 aplicables a información personal identificable (IPI) procesada por proveedores de servicios en la nube públicos. Esto demuestra a los clientes que AWS dispone de un sistema de controles que evidencia el compromiso de AWS con la privacidad y la protección de su contenido.

Más información »

El Reglamento general de protección de datos (GDPR) es una nueva ley de privacidad europea que entrará en vigencia el 25 de mayo de 2018. El GDPR reemplazará la Directiva de protección de datos de la UE, también conocida como Directiva 95/46/EC, y su objetivo es unificar las leyes de protección de datos de toda la Unión Europea (UE) mediante la aplicación de una única ley de protección de datos que sea obligatoria en todos los estados miembro.

 

Todas las organizaciones con operaciones en la UE y que procesen "datos personales" de los residentes de la UE deberán cumplir con el GDPR. Los datos personales son cualquier información relacionada con una persona natural identificable o identificada.

El GDPR reemplazará la Directiva de protección de datos existente (Directiva europea 95/46/EC). A partir del 25 de mayo de 2018, la Directiva de protección de datos existente, y todas las leyes relacionadas con esta, perderán vigencia.

Los expertos en seguridad, protección de datos y conformidad de AWS han estado trabajando con clientes de todo el mundo para responder sus preguntas y ayudarlos a prepararse para la ejecución de cargas de trabajo en la nube de AWS una vez que el GDPR entre en vigencia. Estos equipos también han estado revisando todos los servicios que AWS ya ofrece para garantizar que cumplan con los requisitos del nuevo GDPR. Podemos confirmar que todos los servicios de AWS cumplirán con el GDPR cuando entre en vigencia en mayo de 2018.

Además, contamos con un nuevo Acuerdo de procesamiento de datos (GDPR DPA) que cumplirá los requisitos del GDPR. El GDPR DPA ya se encuentra disponible para todos los clientes de AWS para ayudarlos a prepararse para mayo de 2018. Para obtener información adicional sobre el GDPR DPA, o para recibir una copia, entre en contacto con el gestor de cuentas de AWS.

Recientemente, AWS también anunció su conformidad con el Código de conducta de CISPE. El código de conducta de CISPE ayuda a los clientes de la nube a evaluar si sus proveedores de infraestructura en la nube cumplen con sus obligaciones de protección de datos bajo el GDPR. AWS declaró que Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail y Amazon Elastic Block Storage (Amazon EBS) están totalmente en conformidad con el Código de CISPE. Esto les brinda a los clientes una garantía adicional acerca de su capacidad para controlar totalmente sus datos en un entorno protegido, seguro y en conformidad cuando utilizan AWS. Es posible encontrar más detalles acerca de la conformidad de AWS con el Código de conducta de CISPE en el sitio web: https://cispe.cloud/

AWS conserva de manera permanente un alto estándar de seguridad y conformidad en todas sus operaciones globales. La seguridad siempre ha sido nuestra prioridad. Nuestra seguridad líder en la industria ofrece las bases para nuestra extensa lista de acreditaciones y certificaciones de reconocimiento internacional, lo que demuestra conformidad con estándares internacionales estrictos, como ISO 27017 para seguridad en la nube, ISO 27018 para privacidad en la nube, SOC 1, SOC 2 y SOC 3, PCI DSS nivel 1 y otros. AWS también ayuda a los clientes a cumplir estándares de seguridad locales, como el catálogo de controles de conformidad de informática en la nube (C5), que es importante en Alemania.

AWS anunció su conformidad con el Código de conducta de protección de datos de CISPE. CISPE es una coalición de proveedores de infraestructura en la nube (también conocida como infraestructura como servicio) que ofrecen servicios en la nube a clientes de Europa. El código de conducta de CISPE ayuda a los clientes de la nube a garantizar que su proveedor de infraestructura en la nube utilice los estándares de protección de datos correspondientes para proteger sus datos en conformidad con el GDPR. Algunos de los beneficios claves del código incluyen:

  • Esclarecimiento de quién es responsable de qué en relación con la protección de datos: el código de conducta explica la función tanto del proveedor como del cliente según el GDPR, específicamente dentro del contexto de los servicios de infraestructura en la nube.
  • El código de conducta define qué principios deben respetar los proveedores: el código describe las acciones y los compromisos que los proveedores deben llevan adelante para cumplir, tanto ellos como sus clientes, con el GDPR.
  • El código de conducta brinda a los clientes información relacionada con protección y seguridad de datos que necesitan saber para tomar decisiones acerca de la conformidad: el código obliga a los proveedores a ser claros acerca de los pasos que toman para cumplir sus compromisos de seguridad. Estos pasos incluyen notificaciones acerca de filtraciones de datos, eliminación de datos y subprocesamiento de terceros, así como también cumplimiento de leyes y solicitudes gubernamentales. Los clientes pueden usar esta información para lograr una comprensión total de los altos niveles de seguridad provistos

Uno de los aspectos claves del GDPR es que unifica en los estados miembro de la UE la forma en la que los datos personales pueden procesarse, utilizarse e intercambiarse de manera segura. Las organizaciones deberán demostrar la seguridad de los datos que procesan y su conformidad con el GDPR de manera continua, mediante la implementación y la revisión frecuente de medidas técnicas y organizativas sólidas, así como de políticas de conformidad.

AWS ya suministra características y servicios específicos que ayudan a los clientes a cumplir requisitos del GDPR:
 

Control de acceso: permitir únicamente que administradores, usuarios y aplicaciones con autorización accedan a los recursos de AWS

  • Autenticación multifactor (MFA)
  • Acceso detallado a objetos en buckets de Amazon S3/Amazon SQS/Amazon SNS y otros
  • Autenticación de solicitudes a la API
  • Restricciones geográficas
  • Tokens de acceso temporal mediante AWS Security Token Service

 

Monitorización y registro: obtenga un resumen de las actividades en sus recursos de AWS

  • Administración y configuración de recursos con AWS Config
  • Auditoría de conformidad y análisis de seguridad con AWS CloudTrail
  • Identificación de desafíos de configuración mediante AWS Trusted Advisor
  • Registro detallado de acceso a objetos de Amazon S3
  • Información detallada sobre flujos en la red mediante Amazon VPC-FlowLogs
  • Acciones y verificaciones de configuración basadas en reglas con AWS Config Rules
  • Filtro y monitorización de acceso HTTP a aplicaciones con funciones WAF en AWS CloudFront

 

Cifrado: cifre datos en AWS

  • Cifrado de sus datos en reposo con AES256 (EBS/S3/Glacier/RDS)
  • Administración de claves administrada de manera centralizada (por región de AWS)
  • Túneles IPsec hacia AWS con las gateways de VPN
  • Módulos HSM dedicados en la nube con AWS CloudHSM

 

Estándares de seguridad y marco de conformidad sólidos:

  • Certificación ISO 27001/9001
  • Certificación ISO 27017/27018
  • Catálogo de controles de conformidad de informática en la nube (C5, esquema de confirmación respaldado por el gobierno alemán)
  • AWS, en colaboración con el auditor TÜV TRUST IT, ha publicado un cuaderno de trabajo sobre certificaciones para los clientes que proporciona orientación sobre cómo lograr la conformidad con la norma alemana BSI IT Grundschutz en la nube

Si bien no entrará en vigencia hasta mayo de 2018, alentamos a los clientes y socios para que comiencen a prepararse para el GDPR ahora. Para aquellos que ya implementaron un estándar alto de conformidad, seguridad y privacidad de datos, el cambio a GDPR debería ser simple. A aquellos que aún deben iniciar su recorrido para lograr conformidad con el GDPR, les rogamos que comiencen a revisar sus procesos de seguridad, conformidad y protección de datos ahora para garantizar una transición tranquila en mayo de 2018. A continuación presentamos algunos puntos clave que debería considerar para lograr conformidad con el GDPR:

Alcance territorial: determinar si el GDPR debe aplicarse a las actividades de una organización es fundamental para garantizar la capacidad de dicha organización para cumplir sus obligaciones de conformidad. Todas las organizaciones radicadas en la UE deben respetar el GDPR. Sin embargo, según las actividades que realice, el GDPR también podría aplicarse en su caso aunque esté radicado fuera de la UE.

Derechos de los sujetos de datos: el GDPR amplía los derechos de los sujetos de datos de varias maneras. Por ejemplo, los sujetos de datos tienen el derecho a oponerse al procesamiento de sus datos y tienen el derecho a la portabilidad de los datos. Necesitará asegurarse de que podrá respetar los derechos de los sujetos de datos cuando procese sus datos personales.

Notificaciones de filtración de datos: si usted controla los datos, deberá informar las filtraciones de datos a las autoridades de protección de datos sin demora indebida. AWS le brinda el control sobre la manera en la que desea procesar los datos personales y protegerlos. Esto le brinda la capacidad para monitorear su propio entorno para detectar violaciones de privacidad y notificar a los supervisores y a los individuos afectados, como lo exige el GDPR. Además, AWS le notificará sin demora indebida si se detecta una violación en nuestros estándares de seguridad relacionada con la red de AWS.

Responsable de la protección de datos (DPO): tal vez sea necesario asignar un DPO que administre la seguridad de los datos y otros asuntos relacionados con el procesamiento de datos personales.

Evaluación del impacto de la protección de datos (DPIA): tal vez sea necesario realizar, y en determinadas circunstancias tal vez presentar ante la autoridad supervisora, una DPIA de sus actividades de procesamiento. Para ello, será necesario identificar sus procesos y procedimientos de manipulación de datos, así como los controles existentes para proteger los datos personales.

Acuerdo de procesamiento de datos (DPA): tal vez sea necesario un DPA que cumpla los requisitos del GDPR, especialmente si se transfieren datos personales fuera del EEA. AWS les ofrece a los clientes un DPA para GDPR que se encuentra disponible bajo pedido para ayudar a que los clientes se preparen para mayo del año que viene.

AWS ofrece una amplia gama de servicios y características de servicio específicas que ayudan a los clientes a cumplir los requisitos del GDPR, incluidos los servicios para controles de acceso, monitorización, registro y cifrado. Puede encontrar más información en la sección anterior, "¿Qué servicios ofrece AWS a los clientes para ayudarlos a cumplir con el GDPR?"

También contamos con equipos de conformidad, protección de datos y expertos en seguridad, además de socios de la red de socios de AWS que trabajan con clientes de toda Europa para responder sus preguntas y ayudarlos a prepararse para ejecutar cargas de trabajo en la nube después de la entrada en vigencia del GDPR. Para obtener información adicional sobre este tema, entre en contacto con su gerente de cuentas de AWS.

Con IAM, puede crear y administrar usuarios y grupos de AWS, así como utilizar permisos para conceder o denegar el acceso de estos a los recursos de AWS.


How to Become an IAM Policy Ninja in 60 Minutes or Less

AWS Summit Tel Aviv 2017 Becoming an AWS Policy Ninja using AWS IAM and AWS Organizations


Prácticas recomendadas de IAM que deben seguirse

iam

Cree y controle las claves utilizadas para cifrar sus datos de forma sencilla.

Soberanía de los datos

Las claves solo se almacenan y utilizan en la región en que se han creado. No se pueden transferir a otra región. Por ejemplo, las claves creadas en la región de la UE central (Fráncfort) solo se almacenan y utilizan en esa misma región.

Auditoría integrada

AWS Key Management Service funciona con AWS CloudTrail para ofrecerles logs de las llamadas de API realizadas en o por KMS. Estos logs le ayudan a cumplir las disposiciones normativas y de conformidad al ofrecer detalles sobre quién ha obtenido acceso a las claves y cuándo.

Introducción a KMS

AWS_KMS_video_intro

Obtenga el máximo partido de KMS

reinvent-img

Defina estándares y prácticas recomendadas para las aplicaciones y valide su conformidad con estos estándares.

inspector thumbnail

Para ayudarle a ponerse en marcha cuanto antes, Amazon Inspector incluye información sobre cientos de reglas asignadas a prácticas recomendadas de seguridad y definiciones de vulnerabilidades. Ejemplos de las reglas integradas son las comprobaciones de si el inicio de sesión root remoto está habilitado o de si hay instaladas versiones vulnerables del software. Los investigadores de seguridad de AWS actualizan estas reglas con regularidad.

Más información acerca de Amazon Inspector »

Amazon Web Services ofrecerá sesiones dedicadas al cumplimiento del GDPR en re:Invent 2017.

reinvent-img