Reglamento General de Protección de Datos (GDPR)


Información general

El Reglamento General de Protección de Datos (GDPR) de la Unión Europea protege el derecho fundamental a la privacidad y la protección de datos personales de los titulares de datos de la Unión Europea. Introduce requisitos estrictos que reforzarán y armonizarán las normas de protección de datos, seguridad y conformidad.

Todos los servicios de AWS cumplen con el GDPR – Más información

Además de nuestro propio cumplimiento, AWS asume el compromiso de ofrecer a nuestros clientes servicios y recursos para ayudarles a cumplir los requisitos del GDPR que puedan aplicarse a sus actividades. Se lanzan características nuevas periódicamente y AWS tiene más de 500 características y servicios centrados en la seguridad y la conformidad.

Adaptación de su entorno de AWS al GDPR

AWS proporciona características y servicios específicos que pueden utilizar los clientes para cumplir con el GDPR.

Cifre datos en AWS:

  • Cifrado de sus datos en reposo con AES256 (EBS/S3/Glacier/RDS)
  • Administración de claves administrada de manera centralizada (por región de AWS)
  • Túneles IPsec hacia AWS con las gateways de VPN
  • Módulos HSM dedicados en la nube con AWS CloudHSM

Obtenga información general sobre las actividades que se desarrollan en sus recursos de AWS:

  • Administración y configuración de recursos con AWS Config
  • Auditoría y análisis de seguridad con AWS CloudTrail
  • Información detallada sobre flujos en la red mediante Amazon VPC-FlowLogs
  • Acciones y verificaciones de configuración basadas en reglas con AWS Config Rules
  • Filtrado y monitorización de acceso HTTP a aplicaciones con funciones de AWS WAF en AWS CloudFront

Únicamente se permite el acceso a los administradores, los usuarios y las aplicaciones autorizados:

  • Autenticación multifactor (MFA)
  • Acceso pormenorizado a objetos en Amazon S3, Amazon SQS y Amazon SNS
  • Autenticación de solicitudes a la API
  • Restricciones geográficas
  • Tokens de acceso temporal mediante AWS Security Token Service

Los clientes controlan su propio contenido. Con AWS, los clientes:

  • Determinan si su contenido se almacenará, el tipo de almacenamiento y la región geográfica del mismo.
  • Eligen el estado de seguridad de su contenido. Ofrecemos a los clientes un cifrado seguro del contenido en tránsito o en reposo y le ofrecemos la opción de administrar sus propias claves de cifrado.
  • Administran el acceso a su contenido y a los servicios y recursos de AWS a través de usuarios, grupos, permisos y credenciales que ellos mismos controlan.

Los objetivos del enfoque SbD son los siguientes:

  • Creación de funciones obligatorias que no pueden invalidar los usuarios que no tengan permiso para modificarlas.
  • Establecimiento de un funcionamiento fiable de los controles.
  • Facilitación de auditorías continuas en tiempo real.
  • Scripts técnicos para la política de gobernanza.

Nuestro funcionamiento líder en el sector provee las bases de nuestra extensa lista de acreditaciones y certificaciones de reconocimiento internacional, lo que demuestra el cumplimiento de estándares internacionales rigurosos, como ISO 27001 para medidas técnicas, ISO 27017 para seguridad en la nube, ISO 27018 para privacidad en la nube, SOC 1, SOC 2 y SOC 3, nivel 1 de PCI DSS y las certificaciones específicas para la UE, como el catálogo de controles de conformidad de informática en la nube (C5) de BSI y ENS High. Recientemente, AWS también anunció su conformidad con el Código de conducta de CISPE.

Usar los servicios de AWS

Amazon Macie

Proteja información de identificación personal (PII) de manera proactiva y entérese cuando se modifique su ubicación.

MÁS INFORMACIÓN SOBRE AMAZON MACIE »

AWS Identity and Access Management (IAM)

Cree y administre usuarios y grupos de AWS, y use permisos para conceder o denegar el acceso de estos a los recursos de AWS.

MÁS INFORMACIÓN SOBRE AWS IAM »

AWS Config

Simplifique las auditorías de conformidad, los análisis de seguridad, la administración de los cambios y la resolución de problemas operativos.  

MÁS INFORMACIÓN SOBRE AWS CONFIG »

Amazon Inspector

Defina estándares y prácticas recomendadas para las aplicaciones y valide su conformidad con estos estándares.

MÁS INFORMACIÓN SOBRE AMAZON INSPECTOR »

Amazon GuardDuty

Detección de amenazas inteligente y monitorización continua para proteger las cargas de trabajo y cuentas de AWS.

MÁS INFORMACIÓN SOBRE AMAZON GUARDDUTY »

AWS Key Management Service (KMS)

Cree y controle las claves utilizadas para cifrar sus datos de forma sencilla.

MÁS INFORMACIÓN SOBRE AWS KMS »

PREGUNTAS FRECUENTES SOBRE EL GDPR

  • ¿Qué es el GDPR?

    El Reglamento general de protección de datos (GDPR) es una nueva ley de privacidad europea que entrará en vigencia el 25 de mayo de 2018. El GDPR reemplazará la Directiva de protección de datos de la UE, también conocida como Directiva 95/46/EC, y su objetivo es unificar las leyes de protección de datos de toda la Unión Europea (UE) mediante la aplicación de una única ley de protección de datos que sea obligatoria en todos los estados miembro.

  • ¿Quiénes deberán cumplir el GDPR?

    El GDPR se aplica a todas las organizaciones radicadas en la UE y a aquellas organizaciones, radicadas o no en la UE, que procesen los datos personales de interesados radicados en la UE en conexión con el suministro de bienes o servicios a interesados radicados en la UE o la monitorización de comportamiento que se realice dentro de la UE. Los datos personales son cualquier información relacionada con una persona natural identificable o identificada.

  • ¿Qué sucederá con las leyes existentes sobre protección de datos de la UE cuando el GDPR entre en vigencia?

    El GDPR reemplazará la Directiva de protección de datos existente (Directiva europea 95/46/EC). A partir del 25 de mayo de 2018, la Directiva de protección de datos existente, y todas las leyes relacionadas con esta, perderán vigencia.

  • ¿Qué ha hecho AWS para prepararse para el GDPR?

    Los expertos en seguridad, protección de datos y conformidad de AWS han estado trabajando con clientes de todo el mundo para responder sus preguntas y ayudarlos a prepararse para la ejecución de cargas de trabajo en la nube de AWS una vez que el GDPR entre en vigencia. Estos equipos también han revisado la preparación de los servicios de AWS para cumplir los requisitos del GDPR y lograron confirmar que todos los servicios de AWS están listos para GDPR.

    Además, ofrecemos a los clientes un acuerdo de procesamiento de datos que cumplirá los requisitos del GDPR (GDPR DPA). Este GDPR DPA está incorporado en los términos de servicio de AWS y se aplica automáticamente a todos los clientes que lo necesitan para cumplir con el GDPR.

    Recientemente, AWS también anunció su conformidad con el Código de conducta de CISPE. El código de conducta de CISPE ayuda a los clientes de la nube a evaluar si sus proveedores de infraestructura en la nube cumplen con sus obligaciones de protección de datos bajo el GDPR. AWS declaró que Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail y Amazon Elastic Block Storage (Amazon EBS) están totalmente en conformidad con el Código de CISPE. Esto les brinda a los clientes una garantía adicional acerca de su capacidad para controlar totalmente sus datos en un entorno protegido, seguro y en conformidad cuando utilizan AWS. Es posible encontrar más detalles acerca de la conformidad de AWS con el Código de conducta de CISPE en el sitio web: https://cispe.cloud/

    AWS conserva de manera permanente un alto estándar de seguridad y conformidad en todas sus operaciones globales. La seguridad siempre ha sido nuestra prioridad. Nuestra seguridad líder en la industria ofrece las bases para nuestra extensa lista de acreditaciones y certificaciones de reconocimiento internacional, lo que demuestra conformidad con estándares internacionales estrictos, como ISO 27017 para seguridad en la nube, ISO 27018 para privacidad en la nube, SOC 1, SOC 2 y SOC 3, PCI DSS nivel 1 y otros. AWS también ayuda a los clientes a cumplir estándares de seguridad locales, como el catálogo de controles de conformidad de informática en la nube (C5), una acreditación respaldada por el gobierno de Alemania.

  • ¿AWS cumple con un código de conducta, como se desprende de los requisitos del GDPR?

    AWS anunció su conformidad con el Código de conducta de protección de datos de CISPE. CISPE es una coalición de proveedores de infraestructura en la nube (también conocida como infraestructura como servicio) que ofrecen servicios en la nube a clientes de Europa. El código de conducta de CISPE ayuda a los clientes de la nube a garantizar que su proveedor de infraestructura en la nube utilice los estándares de protección de datos correspondientes para proteger sus datos en conformidad con el GDPR. Algunos de los beneficios claves del código incluyen:

    • Esclarecimiento de quién es responsable de qué en relación con la protección de datos: el código de conducta explica la función tanto del proveedor como del cliente según el GDPR, específicamente dentro del contexto de los servicios de infraestructura en la nube.
    • El código de conducta define qué principios deben respetar los proveedores: el código describe las acciones y los compromisos que los proveedores deben llevan adelante para cumplir, tanto ellos como sus clientes, con el GDPR.
    • El código de conducta brinda a los clientes información relacionada con protección y seguridad de datos que necesitan saber para tomar decisiones acerca de la conformidad: el código obliga a los proveedores a ser claros acerca de los pasos que toman para cumplir sus compromisos de seguridad. Estos pasos incluyen notificaciones acerca de filtraciones de datos, eliminación de datos y subprocesamiento de terceros, así como también cumplimiento de leyes y solicitudes gubernamentales. Los clientes pueden usar esta información para lograr una comprensión total de los altos niveles de seguridad provistos.

    Si desea leer información acerca de la manera en la que AWS maneja las solicitudes relacionadas con el cumplimiento de las leyes, consulte "Cómo abordar la residencia de datos con AWS".

  • ¿Qué modificaciones incorporará el GDPR para las organizaciones con operaciones en la UE?

    Uno de los aspectos claves del GDPR es que unifica en los estados miembro de la UE la forma en la que los datos personales pueden procesarse, utilizarse e intercambiarse de manera segura. Las organizaciones deberán demostrar la seguridad de los datos que procesan y su conformidad con el GDPR de manera continua, mediante la implementación y la revisión frecuente de medidas técnicas y organizativas sólidas, así como de políticas de conformidad.

  • ¿Qué servicios ofrece AWS a los clientes para ayudarlos a cumplir con el GDPR?

    AWS ya suministra características y servicios específicos que ayudan a los clientes a cumplir requisitos del GDPR:

    Control de acceso: permitir únicamente que administradores, usuarios y aplicaciones con autorización accedan a los recursos de AWS

    • Autenticación multifactor (MFA)
    • Acceso detallado a objetos en buckets de Amazon S3/Amazon SQS/Amazon SNS y otros
    • Autenticación de solicitudes a la API
    • Restricciones geográficas
    • Tokens de acceso temporal mediante AWS Security Token Service

    Monitorización y registro: obtenga un resumen de las actividades en sus recursos de AWS

    • Administración y configuración de recursos con AWS Config
    • Auditoría de conformidad y análisis de seguridad con AWS CloudTrail
    • Identificación de desafíos de configuración mediante AWS Trusted Advisor
    • Registro detallado de acceso a objetos de Amazon S3
    • Información detallada sobre flujos en la red mediante Amazon VPC-FlowLogs
    • Acciones y verificaciones de configuración basadas en reglas con AWS Config Rules
    • Filtro y monitorización de acceso HTTP a aplicaciones con funciones WAF en AWS CloudFront

    Cifrado: cifre datos en AWS

    • Cifrado de sus datos en reposo con AES256 (EBS/S3/Glacier/RDS)
    • Administración de claves administrada de manera centralizada (por región de AWS)
    • Túneles IPsec hacia AWS con las gateways de VPN
    • Módulos HSM dedicados en la nube con AWS CloudHSM

    Estándares de seguridad y marco de conformidad sólidos:

    • Certificación ISO 27001/9001
    • Certificación ISO 27017/27018
    • Catálogo de controles de conformidad de informática en la nube (C5, esquema de confirmación respaldado por el gobierno alemán)
    • AWS, en colaboración con el auditor TÜV TRUST IT, ha publicado un cuaderno de trabajo sobre certificaciones para los clientes que proporciona orientación sobre cómo lograr la conformidad con la norma alemana BSI IT Grundschutz en la nube
  • ¿Qué pueden hacer los clientes para prepararse para el GDPR?

    Estos son algunos puntos clave que pueden resultar útiles al momento de considerar la conformidad con el GDPR:

    • Alcance territorial: determinar si el GDPR debe aplicarse a las actividades de una organización es fundamental para garantizar la capacidad de dicha organización para cumplir sus obligaciones de conformidad. Todas las organizaciones radicadas en la UE deben respetar el GDPR. Sin embargo, según las actividades que realice, el GDPR también podría aplicarse en su caso aunque esté radicado fuera de la UE.
       
    • Derechos de los sujetos de datos: el GDPR amplía los derechos de los sujetos de datos de varias maneras. Por ejemplo, los sujetos de datos tienen el derecho a oponerse al procesamiento de sus datos y tienen el derecho a obtener acceso a datos personales sobre ellos. Las organizaciones que deban cumplir con el GDPR necesitarán asegurarse de que podrán respetar los derechos de los sujetos de datos cuando procesen sus datos personales.
       
    • Notificaciones sobre filtraciones de datos: si usted controla datos, deberá informar una filtración de datos personales a la autoridad supervisora correspondiente sin demora indebida y, siempre que sea posible, dentro de las 72 horas de haberse conocido dicha filtración. El uso de AWS le otorga control acerca de cómo procesar y proteger datos personales. Esto le brinda la capacidad para monitorear su propio entorno a fin de detectar filtraciones y notificar a los supervisores y a los individuos afectados, como lo exige el GDPR. Además, AWS, como procesador de datos le notificará a usted, sin demora indebida, si nos enteramos de que ocurrió (i) una infracción de nuestros estándares de seguridad que origine, de manera accidental o ilegal, la destrucción, pérdida, modificación o divulgación no autorizada de, o el acceso a, cualquier dato personal que se cargue a los servicios de AWS en su cuenta o (ii) cualquier acceso no autorizado a las instalaciones o el equipo de AWS, donde en cualquier caso dicho acceso resulte en la destrucción, perdida, divulgación no autorizada o modificación de datos personales que se carguen a los servicios de AWS en su cuenta.
       
    • Responsable de la protección de datos (DPO): tal vez sea necesario asignar un DPO que administre la seguridad de los datos y otros asuntos relacionados con el procesamiento de datos personales.
       
    • Evaluación del impacto de la protección de datos (DPIA): tal vez sea necesario realizar, y en determinadas circunstancias tal vez presentar ante la autoridad supervisora, una DPIA de sus actividades de procesamiento. Para ello, será necesario identificar sus procesos y procedimientos de manipulación de datos, así como los controles existentes para proteger los datos personales.
       
    • Acuerdo de procesamiento de datos (DPA): tal vez sea necesario un DPA que cumpla los requisitos del GDPR, especialmente si se transfieren datos personales fuera del EEA. AWS ofrece a los clientes un GDPR DPA que está incorporado en los términos de servicio de AWS y se aplica automáticamente a todos los clientes que lo necesitan para cumplir con el GDPR. AWS ofrece una amplia gama de servicios y características de servicio específicas que ayudan a los clientes a cumplir los requisitos del GDPR, incluidos los servicios para controles de acceso, monitorización, registro y cifrado. Puede encontrar más información en la sección anterior, "¿Qué servicios ofrece AWS a los clientes para ayudarlos a cumplir con el GDPR?"

    También contamos con equipos de conformidad, protección de datos y expertos en seguridad, además de socios de AWS que trabajan con clientes para responder sus preguntas y ayudarlos a prepararse para ejecutar cargas de trabajo en la nube después de la entrada en vigencia del GDPR. Para obtener información adicional sobre este tema, entre en contacto con su gerente de cuentas de AWS.

  • ¿AWS ofrece un anexo para el procesamiento de datos (DPA)?

    Sí. AWS ofrece un anexo para el procesamiento de datos en conformidad con el GDPR (GDPR DPA) que le permite cumplir las obligaciones contractuales del GDPR. El AWS GDPR DPA está incorporado en los términos de servicio de AWS y se aplica automáticamente a nivel global a todos los clientes que lo necesitan para cumplir con el GDPR.

  • ¿Los servicios de AWS cumplen con el GDPR?

    Los servicios de AWS cumplen el Reglamento General de Protección de Datos (GDPR). Esto significa que, además de beneficiarse de todas las medidas que AWS ya toma para mantener la seguridad de los servicios, los clientes pueden implementar los servicios de AWS como un componente clave de sus planes de conformidad con el GDPR. Para obtener más información, consulte el blog de seguridad de AWS, en concreto, el anuncio en el que comunicamos que nuestros servicios cumplen con el GDPR: https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/.

  • ¿Cuál es la función de AWS según el GDPR? ¿Es AWS un procesador de datos o un controlador de datos?

    AWS actúa como procesador de datos y controlador de datos según el GDPR.

    • AWS como procesador de datos – cuando los clientes y los socios de la red de socios de AWS (APN) utilizan los servicios de AWS para procesar información personal en su contenido, AWS actúa como un procesador de datos. Los clientes y los socios de APN pueden emplear los controles que tienen a su disposición en los servicios de AWS, incluidos los controles de la configuración de seguridad, para el tratamiento de la información personal. En ese caso, el propio cliente o socio de APN puede actuar como un controlador de datos o un procesador de datos, y AWS desempeñaría el papel de subprocesador o procesador de datos. AWS ofrece un anexo para el procesamiento de datos (DPA) en conformidad con el GDPR que incorpora los compromisos de AWS como procesador de datos.
    • AWS como controlador de datos – cuando AWS recopila información personal y determina los fines y los medios de su procesamiento (por ejemplo, cuando AWS almacena información de la cuenta para su registro, administración, el acceso de los servicios o los datos de contacto con el objetivo de brindar asistencia mediante actividades de atención al cliente), actúa como un controlador de datos.
  • ¿Cómo afecta el GDPR al modelo de responsabilidad compartida de AWS?

    El GDPR no cambia el modelo de responsabilidad compartida de AWS, que continúa aplicándose a los clientes y socios de APN centrados en el uso de los servicios de informática en la nube. El modelo de responsabilidad compartida es un útil método para ilustrar las diferentes responsabilidades de AWS (como subprocesador o procesador de datos) y de los clientes o socios de APN (como controladores de datos o procesadores de datos) según el GDPR.

    De acuerdo con el modelo de responsabilidad compartida, AWS es responsable de proteger la infraestructura subyacente de la nube, y los clientes y socios de APN, en calidad de controladores de datos o procesadores de datos, son responsables de la información personal que incluyen en la nube.

    Responsabilidades de AWS como procesador de datos

    AWS tiene la responsabilidad de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en la nube de AWS. Esta infraestructura se compone del hardware, el software, la red y las instalaciones que ejecutan los servicios de AWS, lo que brinda controles eficientes a los clientes y a los socios de APN, incluidos los controles de la configuración de seguridad, para la gestión del contenido de los clientes. La protección de esta infraestructura es la principal prioridad de AWS. AWS proporciona varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relacionados con la seguridad informática (para obtener más información, visite https://aws.amazon.com/compliance). En estos informes, los clientes y los socios de APN pueden ver que protegemos la información personal que deciden procesar en AWS. Un buen ejemplo de ello es, por ejemplo, la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La ISO 27018 contiene controles de seguridad centrados en la protección de los datos personales. Para consultar más detalles sobre la conformidad con la ISO 27108 por parte de AWS, visite https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS también es responsable de la configuración de seguridad de las tecnologías que se consideran servicios administrados. Algunos ejemplos de estos servicios serían Amazon DynamoDB, Amazon RDS, Amazon RedShift y Amazon Elastic MapReduce, entre otros. Estos servicios proporcionan la flexibilidad y la escalabilidad de los recursos basados en la cloud con la ventaja añadida de estar administrados. En lo que respecta a ellos, AWS gestiona las tareas de seguridad básicas como la aplicación de parches en la base de datos y la seguridad del sistema operativo, la configuración del firewall y la recuperación de desastres. En el caso de los servicios administrados, los clientes y los socios de APN configuran los controles de acceso lógicos para sus recursos y protegen las credenciales de su cuenta. Es posible que algunos de ellos requieran tareas adicionales, como configurar cuentas de usuario para la base de datos, pero, en general, es el servicio el que se encarga de la configuración de seguridad. En todos estos servicios, los clientes y los socios de APN siguen siendo responsables de la información personal que incluyen en la nube.

    AWS ofrece un anexo para el procesamiento de datos en conformidad con el GDPR (GDPR DPA) que incorpora los compromisos de AWS como procesador de datos. El GDPR DPA está incorporado en los términos de servicio de AWS y se aplica automáticamente a todos los clientes que lo necesitan para cumplir con el GDPR.

    Responsabilidades de los clientes y socios de APN como controladores de datos y cómo pueden ayudar los servicios de AWS:

    Con la nube de AWS, los clientes y los socios de APN pueden aprovisionar servidores, almacenamiento, bases de datos y escritorios virtuales en cuestión de minutos en lugar de semanas. También pueden utilizar herramientas de flujo de trabajo y análisis basadas en la cloud para procesar los datos a medida que los necesitan y almacenarlos más tarde en sus propios centros de datos o en la nube. Los servicios de AWS que empleen los clientes y los socios de APN determinarán la cantidad de trabajo de configuración que tendrán que llevar a cabo como parte de sus responsabilidades del GDPR. Los productos de AWS enmarcados en la categoría de infraestructura como servicio (IaaS) – como Amazon EC2, Amazon VPC y Amazon S3– están completamente bajo el control del cliente o el socio de APN y se deben realizar todas las tareas necesarias de administración y configuración de la seguridad. Por ejemplo, en el caso de las instancias de EC2, son responsables de administrar el sistema operativo huésped (incluidas las actualizaciones y los parches de seguridad), cualquier software de aplicaciones o utilidad instalados en las instancias y la configuración del firewall provisto por AWS (denominada "grupo de seguridad") en cada instancia. Todas estas tareas de seguridad han de llevarse a cabo con independencia de la ubicación de los servidores.

    Para concretar los principios de la protección de datos desde el diseño y por defecto, recomendamos a los clientes y a los socios de APN proteger las credenciales de sus cuentas de AWS y configurar cuentas de usuario individuales con Amazon Identity and Access Management (IAM) de modo que cada usuario disponga de sus propias credenciales, lo que permite implementar un acceso a los datos basado en permisos y la separación de las responsabilidades según la función del usuario. También recomendamos utilizar una autenticación multifactor (MFA) con cada cuenta, requerir el uso de SSL/TLS para comunicarse con los recursos de AWS, configurar un registro de actividades API/usuario con AWS CloudTrail, aprovechar las soluciones de cifrado de AWS y emplear otros controles de seguridad de los servicios de AWS. Los clientes y los socios de APN también pueden utilizar servicios de seguridad avanzados tales como Amazon GuardDuty, para la seguridad de las cuentas y las infraestructuras, y Amazon Macie, para facilitar la identificación y la protección de la información personal almacenada en Amazon S3, con el fin de cumplir el GDPR.

    Para obtener más información sobre las medidas adicionales que pueden tomar los clientes y las soluciones que ofrece AWS, consulte el documento técnico Prácticas recomendadas sobre seguridad de AWS y la lectura recomendada en la página web sobre recursos de seguridad de AWS que encontrará en https://aws.amazon.com/security/.

  • ¿Con quién debería contactar si tengo alguna duda sobre el GDPR y AWS?

    Se recomienda que los clientes y socios de APN que tengan dudas relativas a la protección de los datos o a AWS y el GDPR contacten con el gestor de cuentas de AWS en primer lugar. Si los clientes se han inscrito en el soporte empresarial, también pueden contactar con el gestor técnico de cuentas (TAM). Los TAM trabajan con arquitectos de soluciones para ayudar a los clientes a identificar posibles riesgos y mitigaciones. Los TAM y los equipos de cuentas también pueden indicar a los clientes y socios de APN recursos específicos en función de su entorno y necesidades.

    AWS también cuenta con equipos de representantes de Soporte empresarial, consultores de Servicios profesionales y otro personal para brindar asistencia en caso de que los usuarios tengan alguna pregunta sobre el GDPR. Para que los clientes y los socios de APN obtengan más información al respecto, AWS también dictará una serie de charlas, seminarios web y talleres en las cumbres de AWS y los AWS Pop-up Lofts con el fin de ayudar a comprender el GDPR e implementar soluciones mediante las herramientas de AWS.

  • ¿Qué orientación técnica en torno al GDPR ofrece AWS a los clientes y a los socios de APN?

    AWS ofrece a los clientes y a los socios de APN varios recursos que pueden servirles de ayuda para cumplir el GDPR. AWS cuenta con equipos de representantes de Soporte empresarial, consultores de Servicios profesionales y otro personal para brindar asistencia a los clientes y a los socios de APN si tienen dudas sobre el GDPR. Asimismo, AWS celebrará una serie de charlas, seminarios web y talleres en las cumbres de AWS y los AWS Pop-up Lofts con el fin de ayudar a los clientes y a los socios de APN a comprender el GDPR e implementar la protección de los datos desde el diseño y por defecto mediante las herramientas de AWS.

  • ¿Ofrecerá AWS servicios profesionales para ayudar en el cumplimiento del GDPR?

    El equipo de Servicios profesionales de AWS llevará a cabo algunas actividades para ayudar a los clientes y a los socios de APN a cumplir el GDPR. Los consultores de Servicios profesionales pueden responder preguntas sobre el GDPR en las sesiones privadas de consultoría, así como en las charlas, los seminarios web y los talleres de carácter público que tienen lugar en las cumbres de AWS y los AWS Pop-up Lofts. El equipo de Servicios profesionales de AWS también trabaja directamente con los clientes y socios de APN para ofrecerles orientación técnica en torno al GDPR y a la implementación de la protección de los datos desde el diseño y por defecto mediante las herramientas de AWS. Para obtener más información sobre la manera en que los consultores de Servicios profesionales de AWS ayudan a los clientes y a los socios de APN, visite https://aws.amazon.com/professional-services/.

  • ¿Cómo puede AWS Support ayudarme a cumplir el GDPR?

    AWS Premium Support trabaja con los clientes y los socios de APN, y les proporciona asistencia técnica útil para alcanzar la conformidad con el GDPR. En el marco de esta actividad, en la actualidad contamos con equipos de ingenieros de soporte para la nube y gestores técnicos de cuentas que han sido formados para ayudar a identificar y mitigar los riesgos de conformidad. Estos son dos de los programas que pueden resultar de utilidad a los clientes y socios de APN si desean cumplir con el GDPR:

    • Análisis de operaciones de cloud – este programa, que está disponible para los clientes de Soporte empresarial de AWS, está diseñado para ayudar a identificar lagunas en su enfoque sobre cómo operar en la nube. El programa surgió a partir de un conjunto de prácticas recomendadas operativas extraídas de la experiencia de AWS con un gran conjunto de clientes representativos. Proporciona un análisis de las operaciones en la nube y las prácticas de administración asociadas, lo que puede ayudar a las organizaciones a cumplir el GDPR. El programa se fundamenta en cuatro pilares y se centra en preparar, monitorear, utilizar y optimizar sistemas basados en la cloud con el fin de alcanzar la excelencia operativa.
    • Análisis de arquitecturas – este programa permite a las organizaciones evaluar su arquitectura con respecto a las prácticas recomendadas de AWS y crear arquitecturas seguras, confiables, de alto rendimiento y rentables. Con los análisis de arquitecturas, los clientes y los socios de APN también pueden conocer en qué lugares de su arquitectura hay riesgos y abordarlos antes de que las aplicaciones pasen a la fase de producción.

    Los clientes y los socios de APN que deseen saber cómo puede ayudarlos AWS Premium Support encontrarán más información en el centro de AWS Support, disponible a través de la consola de AWS (https://console.aws.amazon.com/support/), los datos de contacto que figuran en el acuerdo de soporte empresarial suscrito con AWS o la página de AWS Premium Support (https://aws.amazon.com/premiumsupport/). Los clientes con soporte Enterprise deberán contactar con su TAM si tienen preguntas relacionadas con el GDPR.

  • ¿AWS tiene subprocesadores?

    Informamos de manera proactiva a nuestros clientes y socios de APN acerca de los subcontratistas que tienen acceso a contenido cargado en AWS, incluido aquel contenido que pueda albergar información personal. Este acuerdo está incluido en el anexo de procesamiento de datos de GDPR de AWS (GDPR DPA). El GDPR DPA está incorporado en los términos de servicio de AWS y se aplica automáticamente a todos los clientes que lo necesitan para cumplir con el GDPR.

  • ¿Qué herramientas pone AWS a mi disposición para implementar las medidas técnicas y organizativas necesarias para lograr la protección de los datos desde el diseño y por defecto?

    Muchos de los requisitos del GDPR se centran en el control y la protección de los datos. Los servicios de AWS brindan a los clientes y a los socios de APN la posibilidad de implementar sus propias medidas de seguridad de conformidad con el GDPR, incluidas medidas tácticas específicas como las siguientes:

    • El cifrado de información personal
    • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y los servicios de procesamiento
    • La capacidad de restablecer la disponibilidad de la información personal y el acceso a ella de forma rápida en caso de incidente físico o técnico
    • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas para garantizar la seguridad del tratamiento

    AWS dispone de un conjunto de servicios avanzados de seguridad y conformidad que pueden implementarse con el fin de ayudar a gestionar los requisitos del GDPR; por ejemplo:

    • Amazon GuardDuty – un servicio con detección de amenazas inteligente y monitorización continua de comportamientos maliciosos o no autorizados
    • Amazon Macie – una herramienta de aprendizaje automático que ayuda a identificar y clasificar la información personal almacenada en Amazon S3
    • Amazon Inspector – un servicio de evaluación automatizada de la seguridad que mantiene la conformidad de las aplicaciones con las prácticas recomendadas de seguridad
    • AWS Config Rules – una función que permite comprobar dinámicamente la conformidad de los recursos en la nube con las reglas de seguridad

    AWS también ha publicado el documento técnico "Análisis de la conformidad con el GDPR en AWS", dedicado a este tema. En el documento, se analiza y se detalla cómo vincular específicamente recursos y conceptos tales como la monitorización, el acceso a los datos y la administración de claves. 

  • ¿Qué medidas de seguridad tiene AWS para proteger los sistemas?

    La infraestructura de cloud de AWS está diseñada para ser uno de los entornos de informática en la nube más flexibles y más seguros que hay en la actualidad. La escala de Amazon permite una inversión mayor en medidas correctivas y políticas de seguridad que la que casi cualquier empresa grande podría permitirse por sí sola. Esta infraestructura se compone del hardware, el software, la red y las instalaciones que ejecutan los servicios de AWS, lo que brinda potentes controles a los clientes y a los socios de APN, incluidos los controles de la configuración de seguridad, para el tratamiento de los datos personales. Para obtener más información sobre las medidas de AWS destinadas a mantener en todo momento niveles de seguridad elevados, consulte el "Documento técnico con información general sobre procesos de seguridad" de AWS.

    AWS también proporciona varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relativos a la seguridad informática, incluidas las normas ISO 27001, ISO 27017 e ISO 27018. Para dar transparencia a la eficacia de estas medidas, nuestros clientes y socios de APN pueden acceder a los informes de auditores externos a través de la consola de administración de AWS. En estos informes, los clientes y los socios de APN (que pueden actuar como controladores de datos o procesadores de datos) pueden ver que protegemos la infraestructura subyacente sobre la que almacenan y procesan los datos personales. Para obtener más información, visite https://aws.amazon.com/compliance

  • ¿Cómo puede AWS ayudar a los controladores de datos a cumplir sus obligaciones según el GDPR en lo que respecta a las notificaciones de filtración de datos?

    AWS cuenta con un proceso de monitorización de incidentes de seguridad y notificación de filtraciones de datos, e informará y ayudará a los clientes y a los socios de APN si se confirma cualquier infracción de los sistemas de AWS. AWS también pone a disposición de los clientes y los socios de APN una serie de herramientas para saber quién tiene acceso a sus recursos, cuándo y desde dónde. Una de estas herramientas es AWS CloudTrail, que permite auditar la gobernanza, la conformidad, las operaciones y los riesgos de una cuenta de AWS. Con AWS CloudTrail, el cliente puede registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en toda su infraestructura de AWS. De este modo, las organizaciones saben lo que sucede con su infraestructura de AWS y pueden tomar medidas de inmediato ante una actividad inusual. Para obtener más información sobre AWS CloudTrail y las demás herramientas de seguridad que AWS pone a disposición de los clientes para ayudarlos a cumplir sus obligaciones como controladores de datos según el GDPR, visite https://aws.amazon.com/security/.  

  • ¿Cómo me ayuda AWS a proteger mis datos frente a los ciberataques?

    AWS brinda a los clientes y socios de APN una serie de herramientas para proteger sus datos y evitar los ciberataques. Una de estas herramientas es AWS Shield. Se trata de un servicio administrado de protección frente a ataques de denegación de servicio distribuido (DDoS) para salvaguardar los sitios web y las aplicaciones que se ejecutan en AWS. AWS Shield Standard está disponible sin costes adicionales y proporciona detección permanente y mitigaciones automáticas en línea que pueden minimizar el tiempo de inactividad y la latencia de las aplicaciones. Para obtener niveles más altos de protección contra ataques dirigidos a aplicaciones web que se ejecutan en AWS y utilizan recursos de ELB, Amazon CloudFront y Amazon Route 53, los clientes y los socios de APN pueden suscribirse a AWS Shield Advanced. AWS también publica y actualiza periódicamente un documento sobre sus prácticas recomendadas para la resiliencia ante ataques de DDoS, que ayuda a los clientes a usar AWS para crear aplicaciones resilientes frente a los ataques de DDoS.

    Entre las demás herramientas de AWS para proteger los datos contra los ciberataques, figuran las siguientes:

    • AWS Identity and Access Management (IAM) permite a las organizaciones administrar el acceso a los servicios y recursos de AWS de manera segura. Al utilizar IAM, los clientes y los socios de APN pueden crear y administrar usuarios y grupos de AWS, así como emplear permisos para conceder y denegar el acceso a los recursos de AWS. IAM es una característica de las cuentas de AWS que se ofrece sin costes adicionales.
    • AWS Config permite a los clientes y a los socios de APN habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
    • AWS CloudTrail permite a las organizaciones registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la resolución de problemas (la herramienta AWS CloudTrail está habilitada en todas las cuentas de AWS de manera predeterminada).
    • Amazon GuardDuty es un servicio de detección de amenazas administrado que monitorea de forma continua para encontrar comportamientos maliciosos o no autorizados, y ayudarle a proteger las cargas de trabajo y cuentas de AWS. Monitorea la actividad que pueda indicar que una cuenta se haya visto comprometida, como llamadas al API inusuales o implementaciones potencialmente no autorizadas. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.
    • Amazon Macie es un servicio de seguridad que emplea el aprendizaje automático para ayudar a los clientes y a los socios de APN mediante la detección, clasificación y protección automáticas de la información confidencial en AWS. Este servicio completamente administrado monitorea de manera continua el acceso a los datos en busca de anomalías y genera alertas detalladas cuando detecta un riesgo de acceso no autorizado o filtración de datos accidental, como el hecho de que un cliente, por error, otorgue acceso a información confidencial a usuarios ajenos.  
  • ¿Qué herramientas pueden serme de utilidad para encontrar información personal en mi contenido dentro de AWS?

    Amazon Macie es un servicio de seguridad que utiliza el aprendizaje automático para ayudar a los clientes y a los socios de APN a detectar, clasificar y proteger información confidencial automáticamente en AWS. Este servicio completamente administrado monitorea de manera continua el acceso a los datos en busca de anomalías y genera alertas detalladas cuando detecta un riesgo de acceso no autorizado o filtración de datos accidental, como el hecho de que un usuario ajeno pueda acceder, por error, a información confidencial. Macie está certificada según estándares reconocidos a escala internacional, como la norma ISO 27017 sobre seguridad en la nube o la ISO 27018 sobre privacidad en la nube. Los clientes y socios de APN también pueden utilizar Macie para monitorear de forma continua el acceso a sus datos con el fin de detectar actividades sospechosas basándose en unos patrones de acceso.

  • ¿Cómo puedo controlar el acceso a la información personal dentro de mi contenido en AWS?

    Para ayudar a los clientes y socios de APN en la conformidad con el GDPR, AWS dispone de una serie de herramientas para controlar el acceso a la información personal de su contenido en AWS. Entre estas herramientas, se incluyen las siguientes:

    La seguridad por defecto hace referencia a que los servicios de AWS están diseñados para ser seguros de manera predeterminada. Si se utiliza la configuración predeterminada, el acceso a los recursos se restringe al propietario de la cuenta y al administrador raíz.

    • AWS Identity and Access Management (IAM) permite a los clientes y a los socios de APN administrar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, las organizaciones pueden crear y administrar usuarios y grupos de AWS, así como utilizar permisos para conceder o denegar el acceso a los recursos de AWS. IAM es una característica de las cuentas de AWS que se ofrece sin costes adicionales.
    • AWS Multi-Factor Authentication agrega otra capa de protección por encima del nombre de usuario y la contraseña de la cuenta de AWS. AWS brinda a los clientes la opción de utilizar dispositivos MFA virtuales y de hardware.
    • AWS Directory Service permite a los clientes y a los socios de APN integrarse y federarse con directorios corporativos para reducir los costes generales administrativos y mejorar la experiencia del usuario final.
    • AWS Config permite a los clientes y a los socios de APN habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
    • AWS CloudTrail permite a los clientes y a los socios de APN registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en su infraestructura de AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la resolución de problemas.
    • Amazon Macie emplea el aprendizaje automático para ayudar a los clientes a evitar la pérdida de datos mediante la detección, clasificación y protección automáticas de la información confidencial en AWS. Este servicio completamente administrado monitorea de manera continua el acceso a los datos en busca de anomalías y genera alertas detalladas cuando detecta un riesgo de acceso no autorizado o filtración de datos accidental, como el hecho de que un cliente, por error, otorgue acceso a información confidencial a usuarios ajenos.
  • ¿Cómo puedo cifrar la información personal incluida en AWS para evitar el acceso no autorizado?

    AWS brinda a los clientes y a los socios de APN la posibilidad de agregar otra capa de seguridad a los datos en reposo en la nube, y los ayuda a cumplir sus obligaciones relativas a la seguridad del tratamiento como controladores de datos según el GDPR. Entre las herramientas de cifrado de AWS, figuran las siguientes:

    • Funciones de cifrado de datos disponibles en los servicios de almacenamiento y base de datos de AWS, como Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS y Redshift
    • Opciones flexibles de administración de claves, como AWS Key Management Service, que permiten elegir si desea que AWS administre las claves de cifrado o si quiere mantener el control total sobre ellas
    • Colas de mensajes cifrados para la transmisión de información confidencial mediante el cifrado de servidor (SSE) para Amazon SQS
    • Almacenamiento de claves criptográficas exclusivo y basado en hardware que utiliza AWS CloudHSM y permite a los clientes satisfacer los requisitos de conformidad
     
    Además, AWS proporciona diversas API para que los clientes y los socios de APN puedan integrar el cifrado y la protección de los datos con cualquiera de los servicios que desarrollen o implementen en un entorno de AWS.
  • ¿Cómo gestiona AWS las solicitudes de eliminación de los clientes?

    Los servicios de AWS permiten a los clientes eliminar su contenido bajo demanda. Para ello, pueden utilizar la consola de administración de AWS, API y otros métodos. Para obtener más información sobre alguna funcionalidad específica de los servicios, consulte https://aws.amazon.com/documentation.  

  • ¿Cómo puedo demostrar a un regulador de protección de datos que el uso que hago de AWS se ajusta al GDPR?

    Para demostrar los altos niveles de conformidad que mantenemos en la infraestructura, AWS ofrece información útil a los clientes y a los socios de APN, incluidos varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relativos a la seguridad informática. En estos informes, los clientes y los socios de APN pueden ver que protegemos la información personal que deciden procesar en AWS. Un buen ejemplo de ello sería, por ejemplo, la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La ISO 27018 contiene controles de seguridad centrados en la protección de los datos personales. Para consultar más detalles sobre la conformidad con la ISO 27108 por parte de AWS, visite https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS también cumple el código de conducta de CISPE en relación con la protección de los datos. CISPE es una coalición de proveedores de infraestructura en la nube (también conocida como "infraestructura como servicio") que ofrecen servicios en la nube a clientes de Europa. El código de conducta de CISPE ayuda a los clientes de la nube y a los socios de APN a garantizar que su proveedor de infraestructura en la nube utilice los estándares de protección de datos correspondientes para proteger sus datos de conformidad con el GDPR. Algunos de los beneficios claves del código incluyen:

    • Esclarecimiento de quién es responsable de qué en relación con la protección de datos: el código de conducta explica la función tanto del proveedor como del cliente según el GDPR, específicamente dentro del contexto de los servicios de infraestructura en la nube.
    • El código de conducta define qué principios deben respetar los proveedores: describe las acciones y los compromisos que los proveedores deben llevar adelante para cumplir, tanto ellos como los clientes y los socios de APN, con el GDPR.
    • El código de conducta brinda a los clientes y a los socios de APN la información relacionada con la protección y la seguridad de los datos que necesitan para tomar decisiones acerca de la conformidad: el código obliga a los proveedores a ser claros sobre los pasos que dan para cumplir sus compromisos de seguridad. Estos pasos incluyen notificaciones acerca de filtraciones de datos, eliminación de datos y subprocesamiento de terceros, así como también cumplimiento de leyes y solicitudes gubernamentales. Los clientes y los socios de APN pueden usar esta información para comprender a la perfección los altos niveles de seguridad provistos.
  • ¿AWS cuenta con una certificación en conformidad con el Escudo de privacidad UE-EE.UU.?

    Sí. Amazon.com, Inc. está certificado por el Escudo de privacidad UE-EE.UU. y AWS está cubierto por esta certificación. Esto ayuda a que los clientes que eligen transferir sus datos personales a los EE.UU. puedan cumplir sus obligaciones relacionadas con la protección de datos. La certificación de Amazon.com Inc. está disponible en el sitio web del Escudo de privacidad UE-EE.UU.: https://www.privacyshield.gov/list

    Para obtener más información acerca de este tema en el contexto de AWS, visite nuestra página sobre el Escudo de privacidad UE-EE.UU.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »