Reglamento General de Protección de Datos (RGPD)


Información general

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea protege el derecho fundamental a la privacidad y la protección de datos personales de los titulares de datos de la Unión Europea. Incluye requisitos estrictos que refuerzan y armonizan las normas de protección de datos, seguridad y conformidad.

Todos los servicios de AWS cumplen con el RGPD: Más información

Además de nuestro propio cumplimiento, AWS asume el compromiso de ofrecer a nuestros clientes servicios y recursos para ayudarles a cumplir los requisitos del RGPD que puedan aplicarse a sus actividades. Se lanzan características nuevas periódicamente; AWS tiene más de 500 características y servicios centrados en la seguridad y la conformidad.

Adaptación de su entorno de AWS al RGPD

AWS proporciona características y servicios específicos que pueden utilizar los clientes para cumplir con el RGPD.

Cifre datos en AWS:

  • Cifrado de sus datos en reposo con AES256 (EBS/S3/Glacier/RDS)
  • Administración de claves administrada de manera centralizada (por región de AWS)
  • Túneles IPsec hacia AWS con las gateways de VPN
  • Módulos HSM dedicados en la nube con AWS CloudHSM
Cerrar

Obtenga información general sobre las actividades que se desarrollan en sus recursos de AWS:

  • Administración y configuración de recursos con AWS Config
  • Auditoría y análisis de seguridad con AWS CloudTrail
  • Información detallada sobre flujos en la red mediante Amazon VPC-FlowLogs
  • Acciones y verificaciones de configuración basadas en reglas con AWS Config Rules
  • Filtrado y monitorización de acceso HTTP a aplicaciones con funciones de AWS WAF en AWS CloudFront
Cerrar

Permita el acceso únicamente a administradores, usuarios y aplicaciones autorizados:

  • Autenticación multifactor (MFA)
  • Acceso pormenorizado a objetos en Amazon S3, Amazon SQS y Amazon SNS
  • Autenticación de solicitudes a la API
  • Restricciones geográficas
  • Tokens de acceso temporal mediante AWS Security Token Service
Cerrar

Los clientes controlan su propio contenido. Con AWS, los clientes:

  • Determinan si su contenido se almacenará, el tipo de almacenamiento y la región geográfica del mismo.
  • Eligen el estado de seguridad de su contenido. Ofrecemos a los clientes un cifrado seguro del contenido en tránsito o en reposo y le ofrecemos la opción de administrar sus propias claves de cifrado.
  • Administran el acceso a su contenido y a los servicios y recursos de AWS a través de usuarios, grupos, permisos y credenciales que ellos mismos controlan.
Cerrar

El enfoque Security by Design tiene como objetivo lograr lo siguiente:

  • Creación de funciones obligatorias que no pueden invalidar los usuarios que no tengan permiso para modificarlas.
  • Establecimiento de un funcionamiento fiable de los controles.
  • Facilitación de auditorías continuas en tiempo real.
  • Scripts técnicos para la política de gobernanza.
Cerrar

La seguridad que ofrecemos, líder en el sector, es la base de nuestra larga lista de certificados y acreditaciones de reconocimiento internacional, que demuestran que cumplimos rigurosos estándares internacionales, como ISO 27001 para medidas técnicas, ISO 27017 para seguridad de la nube, ISO 27018 para privacidad de la nube, SOC 1, SOC 2 y SOC 3, PCI DSS nivel 1 y certificaciones específicas de la UE, como el catálogo de controles de conformidad de informática en la nube (C5) del BSI y la categoría Alta del ENS. AWS también ha anunciado el cumplimiento por su parte del código de conducta de CISPE.

Cerrar

Usar los servicios de AWS

AWS Key Management Service (KMS)

Cree y controle las claves utilizadas para cifrar sus datos de forma sencilla.

MÁS INFORMACIÓN SOBRE AWS KMS »

AWS Identity and Access Management (IAM)

Cree y administre usuarios y grupos de AWS, y use permisos para conceder o denegar el acceso de estos a los recursos de AWS.

MÁS INFORMACIÓN SOBRE AWS IAM »

Amazon Inspector

Defina estándares y prácticas recomendadas para las aplicaciones y valide su conformidad con estos estándares.

MÁS INFORMACIÓN SOBRE AMAZON INSPECTOR »

Amazon GuardDuty

Detección de amenazas inteligente y monitoreo continuo para proteger cargas de trabajo y cuentas de AWS.

MÁS INFORMACIÓN SOBRE AMAZON GUARDDUTY »

PREGUNTAS FRECUENTES SOBRE EL RGPD

  • ¿Qué es el RGPD?

    El Reglamento General de Protección de Datos (RGPD) es una ley de privacidad europea que entró en vigor el 25 de mayo de 2018. El RGPD reemplazó a la Directiva de Protección de Datos de la UE, también conocida como Directiva 95/46/EC, y su objetivo es unificar las leyes de protección de datos de toda la Unión Europea (UE) mediante la aplicación de una única ley de protección de datos que sea obligatoria en todos los estados miembro.

  • ¿Quiénes deberán cumplir el RGPD?

    El RGPD se aplica a todas las organizaciones radicadas en la UE y a aquellas organizaciones, radicadas o no en la UE, que procesen los datos personales de interesados radicados en la UE en conexión con el suministro de bienes o servicios a interesados radicados en la UE o el monitoreo de comportamiento que se realice dentro de la UE. Los datos personales son cualquier información relacionada con una persona natural identificable o identificada.

  • ¿Los servicios de AWS cumplen con el RGPD?

    Podemos confirmar que todos los servicios de AWS se pueden usar en cumplimiento con el RGPD. Esto significa que, además de beneficiarse con todas las medidas que AWS ya toma para mantener la seguridad de los servicios, los clientes pueden implementar los servicios de AWS como un componente clave de sus planes de conformidad con el RGPD. Para obtener más información, consulte nuestro anuncio de preparación de servicios para el RGPD en el blog de seguridad de AWS.

  • ¿AWS ofrece un anexo para el procesamiento de datos (DPA)?

    Sí. El DPA para el RGPD con cláusulas contractuales tipo es parte de los términos de servicio de AWS y está disponible de manera automática para todos los clientes que lo requieran para cumplir con el RGPD.

  • ¿AWS cumple con un código de conducta, como se desprende del RGPD?

    En febrero de 2017, AWS ha anunciado que cumple el código de conducta de protección de datos del CISPE. CISPE es una coalición de proveedores de infraestructura en la nube (también conocida como infraestructura como servicio) que ofrecen servicios en la nube a clientes de Europa. El código de conducta de CISPE ayuda a los clientes de la nube a garantizar que su proveedor de infraestructura en la nube utilice los estándares de protección de datos correspondientes para proteger sus datos en conformidad con el RGPD. Estos son algunos de los beneficios claves del Código:

    • Esclarecimiento de quién es responsable de qué en relación con la protección de datos: el código de conducta explica la función del proveedor y del cliente según el RGPD, específicamente dentro del contexto de los servicios de infraestructura en la nube.
    • El código de conducta define los principios que deben respetar los proveedores: el código describe las acciones y los compromisos que los proveedores deben llevan adelante para cumplir, tanto ellos como sus clientes, con el RGPD.
    • El código de conducta brinda a los clientes información relacionada con protección y seguridad de datos que necesitan saber para tomar decisiones acerca de la conformidad: el código obliga a los proveedores a ser claros acerca de los pasos que toman para cumplir sus compromisos de seguridad. Estos pasos incluyen notificaciones acerca de filtraciones de datos personales y subprocesamiento de terceros, así como también cumplimiento de leyes y solicitudes gubernamentales. Los clientes pueden usar esta información para lograr una comprensión total de los altos niveles de seguridad provistos.

    Para obtener más información sobre cómo se tratan las peticiones de aplicación de la ley, consulte Peticiones de información acerca de la aplicación de la ley.

  • ¿Cómo afecta la sentencia de julio de 2020 del Tribunal de Justicia Europeo a los mecanismos de transferencia de datos clave en virtud del Escudo de la privacidad UE-EE. UU.?

    En AWS, nuestra prioridad principal es garantizar los datos de nuestros clientes, e implementamos medidas organizativas y técnicas rigurosas para proteger su confidencialidad, integridad y disponibilidad, sin importar la región de AWS que el cliente haya seleccionado. Además, contamos con servicios de cifrado líderes en la industria para brindarle a nuestros clientes una variedad de opciones para cifrar datos en tránsito y en reposo. Puesto que el Tribunal de Justicia de la Unión Europea ha validado el uso de cláusulas contractuales tipo (SCC) como mecanismo para transferir datos fuera de la Unión Europea, nuestros clientes pueden continuar contando con las SCC incluidas en la adición sobre el procesamiento de datos del RGPD de AWS si eligen transferir sus datos fuera de la Unión Europea de conformidad con el RGPD. La adición sobre el procesamiento de datos del RGPD de AWS con SCC es parte de las Condiciones del servicio de AWS y está disponible para todos los clientes que transfieran datos personales desde la UE a cualquier región de AWS del mundo, incluidos los EE. UU.

    De acuerdo con la sentencia del Tribunal de Justicia Europeo de julio de 2020, hemos publicado dos entradas de blog: Actualización para clientes: AWS y el Escudo de privacidad UE-EE. UU. y Transferencias de datos de AWS y la UE: Compromisos reforzados para proteger los datos de los clientes. Seguiremos ofreciendo actualizaciones en el blog de seguridad de AWS, con la etiqueta “RGPD”.

  • ¿Qué servicios ofrece AWS a los clientes para ayudarlos a cumplir con el RGPD?

    AWS suministra características y servicios específicos que ayudan a los clientes a cumplir requisitos del RGPD:

    Control de acceso: permita el acceso a los recursos de AWS únicamente a administradores, usuarios y aplicaciones autorizados.

    • Autenticación multifactor (MFA)
    • Acceso detallado a objetos en buckets de Amazon S3/Amazon SQS/Amazon SNS y otros
    • Autenticación de solicitudes a la API
    • Restricciones geográficas
    • Tokens de acceso temporal mediante AWS Security Token Service

    Monitorización y registro: obtenga un resumen de las actividades en sus recursos de AWS

    • Administración y configuración de recursos con AWS Config
    • Auditoría de conformidad y análisis de seguridad con AWS CloudTrail
    • Identificación de desafíos de configuración mediante AWS Trusted Advisor
    • Registro detallado de acceso a objetos de Amazon S3
    • Información detallada sobre flujos en la red mediante Amazon VPC-FlowLogs
    • Acciones y verificaciones de configuración basadas en reglas con AWS Config Rules
    • Filtro y monitorización de acceso HTTP a aplicaciones con funciones WAF en AWS CloudFront

    Cifrado: cifre datos en AWS

    • Cifrado de sus datos en reposo con AES256 (EBS/S3/Glacier/RDS)
    • Administración de claves administrada de manera centralizada (por región de AWS)
    • Túneles IPsec hacia AWS con las gateways de VPN
    • Módulos HSM dedicados en la nube con AWS CloudHSM

    Estructura de cumplimiento y estándares de seguridad sólidos:

    • Certificación ISO 27001/9001
    • Certificación ISO 27017/27018
    • Catálogo de controles de conformidad de informática en la nube (C5, esquema de confirmación respaldado por el gobierno alemán)
    • AWS, junto con el auditor TÜV TRUST IT, publicó un manual de certificación del cliente que proporciona orientación sobre cómo conseguir la conformidad con la normativa BSI IT Grundschutz alemana en la nube
  • ¿Cuáles son algunos puntos clave que podrían resultar útiles para los clientes al momento de considerar la conformidad con el RGPD?

    • Ámbito territorial: Es fundamental determinar si el RGPD se aplica a las actividades de una organización para garantizar la capacidad de dicha organización para satisfacer sus obligaciones de cumplimiento. Todas las organizaciones radicadas en la UE deben respetar el RGPD. Sin embargo, según las actividades que realice, el RGPD también podría aplicarse en su caso aunque esté radicado fuera de la UE.
    • Derechos de los sujetos de los datos: El RGPD aumenta los derechos de los sujetos de los datos de varias maneras. Por ejemplo, los sujetos de datos pueden tener el derecho a oponerse al procesamiento de sus datos y podrían tener el derecho a obtener acceso a datos personales sobre ellos. Las organizaciones que deban cumplir con el RGPD necesitarán asegurarse de que podrán respetar los derechos de los sujetos de datos cuando procesen sus datos personales.
    • Notificaciones de filtraciones de datos: Si usted es controlador de datos, es posible que necesite informar acerca de una filtración de datos personales a la autoridad de supervisión apropiada o a los individuos afectados dentro de plazos temporales específicos. El uso de AWS le otorga control acerca de cómo procesar y proteger datos personales. Este nivel de control le brinda la capacidad para monitorear su propio entorno a fin de detectar filtraciones y notificar a las autoridades de supervisión y a los individuos afectados, como lo exige el RGPD. Además, AWS, como procesador de datos, le notificará sin dilaciones indebidas en caso de que seamos consciente de una brecha en nuestra seguridad que ha provocado, de forma accidental o ilícita, la destrucción, pérdida, alteración divulgación no autorizado o acceso a cualquier tipo de datos personales cargados en los servicios de AWS de su cuenta.
    • Evaluación de impacto relativa a la protección de datos (EIPD): es posible que deba llevar a cabo una EIPD de sus actividades de procesamiento de datos y, en algunos casos, es posible incluso que deba registrarla ante la autoridad de supervisión. Para ello, será necesario identificar sus procesos y procedimientos de manipulación de datos, así como los controles existentes para proteger los datos personales.
    • Acuerdo de procesamiento de datos (DPA): Es posible que necesite un DPA que cumplirá los requisitos del RGPD. AWS ofrece a los clientes un APD de conformidad con el RGPD que está incorporado en los términos de servicio de AWS y se aplica automáticamente a todos los clientes que lo necesitan para cumplir con el RGPD. AWS ofrece una amplia gama de servicios y características de servicio específicas que ayudan a los clientes a cumplir los requisitos del RGPD, incluidos los servicios para controles de acceso, monitoreo, registro y cifrado. Puede encontrar más información en la sección anterior, “¿Qué servicios ofrece AWS a los clientes para ayudarlos a cumplir con el RGPD?”
  • ¿Cómo puedo demostrar a un regulador de protección de datos que el uso que hago de AWS se ajusta al RGPD?

    Para demostrar los altos niveles de conformidad que mantenemos en la infraestructura, AWS ofrece información útil a los clientes y a los socios de AWS, incluidos varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relativos a la seguridad informática. En estos informes, los clientes y los socios de APN pueden ver que protegemos la información personal que deciden procesar en AWS. Un buen ejemplo de ello sería, por ejemplo, la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La ISO 27018 contiene controles de seguridad centrados en la protección de los datos personales. Para ver más detalles sobre la conformidad con la ISO 27108 por parte de AWS, visite https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS también cumple el código de conducta de CISPE en relación con la protección de los datos. CISPE es una coalición de proveedores de infraestructura en la nube (también conocida como "infraestructura como servicio") que ofrecen servicios en la nube a clientes de Europa. El código de conducta de CISPE ayuda a los clientes de la nube y a los socios de APN a garantizar que su proveedor de infraestructura en la nube utilice los estándares de protección de datos correspondientes para proteger sus datos de conformidad con el RGPD. Estos son algunos de los beneficios claves del Código:

    • Esclarecimiento de quién es responsable de qué en relación con la protección de datos: el código de conducta explica la función del proveedor y del cliente según el RGPD, específicamente dentro del contexto de los servicios de infraestructura en la nube.
    • El código de conducta define qué principios deben respetar los proveedores: describe las acciones y los compromisos que los proveedores deben llevar adelante para cumplir, tanto ellos como los clientes y los socios de AWS, con el RGPD.

    El código de conducta brinda a los clientes y a los socios de AWS la información relacionada con la protección y la seguridad de los datos que necesitan para tomar decisiones acerca de la conformidad: el código obliga a los proveedores a ser claros sobre los pasos que dan para cumplir sus compromisos de seguridad. Estos pasos incluyen notificaciones acerca de filtraciones de datos personales y subprocesamiento de terceros, así como también cumplimiento de leyes y solicitudes gubernamentales. Los clientes y los socios de AWS pueden usar esta información para comprender a la perfección los altos niveles de seguridad provistos.

  • ¿AWS tiene subprocesadores?

    Notificamos a nuestros clientes y socios de AWS de cualquier subprocesador en la página web de subprocesadores de AWS. Este acuerdo está incluido en el anexo de procesamiento de datos de RGPD de AWS (APD adaptado al RGPD). El APD adaptado al RGPD está incorporado en los términos de servicio de AWS y se aplica automáticamente a todos los clientes que lo necesitan para cumplir con el RGPD.

  • ¿Es AWS un procesador de datos o un controlador de datos según el RGPD?

    AWS actúa como procesador de datos y controlador de datos según el RGPD.

    • AWS como procesador de datos: cuando los clientes y los socios de la red de socios de AWS (APN) utilizan los servicios de AWS para procesar información personal en su contenido, AWS actúa como un procesador de datos. Los clientes y los socios de APN pueden emplear los controles que tienen a su disposición en los servicios de AWS, incluidos los controles de la configuración de seguridad, para el tratamiento de la información personal. En ese caso, el propio cliente o socio de AWS puede actuar como un controlador de datos o un procesador de datos, y AWS desempeñaría el papel de subprocesador o procesador de datos. AWS ofrece un anexo para el procesamiento de datos en conformidad con el RGPD que incorpora los compromisos de AWS como procesador de datos.
    • AWS como controlador de datos: cuando AWS recopila información personal y determina los fines y los medios de procesamiento de esos datos (por ejemplo, cuando AWS almacena información de la cuenta para su registro, administración y acceso de los servicios o los datos de contacto con el objetivo de brindar asistencia mediante actividades de atención al cliente) actúa como un controlador de datos.
  • ¿Cómo afecta el RGPD al modelo de responsabilidad compartida de AWS?

    El RGPD no cambia el modelo de responsabilidad compartida de AWS, que continúa aplicándose a los clientes y socios de APN centrados en el uso de los servicios de informática en la nube. El modelo de responsabilidad compartida es un útil método para ilustrar las diferentes responsabilidades de AWS (como subprocesador o procesador de datos) y de los clientes o socios de APN (como controladores de datos o procesadores de datos) según el RGPD.

    De acuerdo con el modelo de responsabilidad compartida, AWS es responsable de proteger la infraestructura subyacente de la nube, y los clientes y socios de AWS, en calidad de controladores de datos o procesadores de datos, son responsables de la información personal que incluyen en la nube.

    ¿Cuáles son las responsabilidades de AWS como procesador de datos?

    AWS tiene la responsabilidad de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en la nube de AWS. Esta infraestructura se compone del hardware, el software, la red y las instalaciones que ejecutan los servicios de AWS, lo que brinda controles eficientes a los clientes y a los socios de APN, incluidos los controles de la configuración de seguridad, para la gestión del contenido de los clientes. La protección de esta infraestructura es la principal prioridad de AWS. AWS proporciona varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relacionados con la seguridad informática (para obtener más información, visite https://aws.amazon.com/compliance). En estos informes, los clientes y los socios de APN pueden ver que protegemos la información personal que deciden procesar en AWS. Un buen ejemplo de ello es, por ejemplo, la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La ISO 27018 contiene controles de seguridad centrados en la protección de los datos personales. Para ver más detalles sobre la conformidad con la ISO 27108 por parte de AWS, visite https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS también es responsable de la configuración de seguridad de las tecnologías que se consideran servicios administrados. Algunos ejemplos de estos servicios serían Amazon DynamoDB, Amazon RDS, Amazon Redshift y Amazon Elastic MapReduce, entre otros. Estos servicios de AWS proporcionan la flexibilidad y la escalabilidad de los recursos basados en la nube con la ventaja añadida de estar administrados. En lo que respecta a ellos, AWS gestiona las tareas de seguridad básicas como la aplicación de parches en la base de datos y la seguridad del sistema operativo, la configuración del firewall y la recuperación de desastres. En el caso de los servicios de AWS administrados, los clientes y los socios de AWS configuran los controles de acceso lógicos para sus recursos y protegen las credenciales de su cuenta. Es posible que algunos de ellos requieran tareas adicionales, como configurar cuentas de usuario para la base de datos, pero, en general, es el servicio de AWS el que se encarga de la configuración de seguridad. En el caso de todos estos servicios de AWS, los clientes y los socios de AWS siguen siendo responsables de la información personal que incluyen en la nube.

    Responsabilidades de los clientes y socios de AWS como controladores de datos y cómo pueden ayudar los servicios de AWS:

    Con la nube de AWS, los clientes y los socios de APN pueden aprovisionar servidores, almacenamiento, bases de datos y escritorios virtuales en cuestión de minutos en lugar de semanas. También pueden utilizar herramientas de flujo de trabajo y análisis basadas en la cloud para procesar los datos a medida que los necesitan y almacenarlos más tarde en sus propios centros de datos o en la nube. Los servicios de AWS que empleen los clientes y los socios de APN determinarán la cantidad de trabajo de configuración que tendrán que llevar a cabo como parte de sus responsabilidades del RGPD. Los productos de AWS enmarcados en la categoría de infraestructura como servicio (IaaS) – como Amazon EC2, Amazon VPC y Amazon S3– están completamente bajo el control del cliente o el socio de AWS y se deben realizar todas las tareas necesarias de administración y configuración de la seguridad. Por ejemplo, en el caso de las instancias EC2, son responsables de administrar el sistema operativo huésped (incluidas las actualizaciones y los parches de seguridad), cualquier software de aplicaciones o utilidad instalados en las instancias y la configuración del firewall provisto por AWS (denominada “grupo de seguridad”) en cada instancia. Todas estas tareas de seguridad han de llevarse a cabo con independencia de la ubicación de los servidores.

    Para concretar los principios de la protección de datos desde el diseño y por defecto, recomendamos a los clientes y a los socios de AWS proteger las credenciales de sus cuentas de AWS y configurar cuentas de usuario individuales con Amazon Identity and Access Management (IAM) de modo que cada usuario disponga de sus propias credenciales, lo que permite implementar un acceso a los datos basado en permisos y la separación de las responsabilidades según la función del usuario. También recomendamos utilizar una autenticación multifactor (MFA) con cada cuenta, requerir el uso de SSL/TLS para comunicarse con los recursos de AWS, configurar un registro de actividades API/usuario con AWS CloudTrail, aprovechar las soluciones de cifrado de AWS y emplear otros controles de seguridad de los servicios de AWS. Los clientes y los socios de AWS también pueden utilizar servicios de seguridad avanzados tales como Amazon GuardDuty, para la seguridad de las cuentas y las infraestructuras y Amazon Macie, para facilitar la identificación y la protección de la información personal almacenada en Amazon S3, con el fin de cumplir el RGPD.

  • ¿A quién debería contactar si tengo alguna duda sobre el RGPD y AWS?

    Se recomienda que los clientes y socios de AWS que tengan dudas relativas al RGPD que contacten con el gestor de cuentas de AWS en primer lugar. Si los clientes se han inscrito en el soporte empresarial, también pueden contactar con el director técnico de cuenta (TAM). Los TAM trabajan con arquitectos de soluciones para ayudar a los clientes a identificar posibles riesgos y mitigaciones. Los TAM y los equipos de cuentas también pueden indicar a los clientes y socios de APN recursos específicos en función de su entorno y necesidades.

    AWS también cuenta con equipos de representantes de Soporte empresarial, consultores de Servicios profesionales y otro personal para brindar asistencia en caso de que los usuarios tengan alguna pregunta sobre el RGPD.

  • ¿Qué orientación técnica en torno al RGPD ofrece AWS a los clientes y a los socios de AWS?

    AWS ofrece a los clientes y a los socios de APN varios recursos que pueden servirles de ayuda para cumplir el RGDP. AWS cuenta con equipos de representantes de Soporte empresarial, consultores de Servicios profesionales y otro personal para brindar asistencia a los clientes y a los socios de APN si tienen dudas sobre el RGPD. Puede buscar “RGDP” en el buscador de soluciones de socios de AWS para que sea más sencillo encontrar socios ISV, MSP y SI con productos o servicios que ayuden a cumplir con el RGPD. Los clientes también pueden buscar soluciones “RGPD” en AWS Marketplace.

  • ¿Ofrece AWS servicios profesionales para ayudar en el cumplimiento del RGPD?

    El equipo de servicios profesionales de AWS lleva a cabo actividades para ayudar a los clientes y a los socios de APN a cumplir el RGPD. El equipo de servicios profesionales de AWS también trabaja directamente con los clientes y socios de AWS para ofrecerles orientación técnica en torno al RGPD y a la implementación de la protección de los datos desde el diseño y por defecto mediante las herramientas de AWS.

  • ¿Cómo puede AWS Support ayudarme a cumplir el RGPD?

    AWS Premium Support trabaja con los clientes y los socios de AWS, y les proporciona asistencia técnica útil para alcanzar la conformidad con el RGPD. En el marco de esta actividad, en la actualidad contamos con equipos de ingenieros de soporte para la nube y gestores técnicos de cuentas que han sido formados para ayudar a identificar y mitigar los riesgos de conformidad. Estos son dos de los programas que pueden resultar de utilidad a los clientes y socios de APN si desean cumplir con el RGPD:

    • Análisis de operaciones de cloud: este programa, que está disponible para los clientes de Soporte empresarial de AWS, está diseñado para ayudar a identificar lagunas en su enfoque sobre cómo operar en la nube. El programa surgió a partir de un conjunto de prácticas recomendadas operativas extraídas de la experiencia de AWS con un gran conjunto de clientes representativos. Proporciona un análisis de las operaciones en la nube y las prácticas de administración asociadas, lo que puede ayudar a las organizaciones a cumplir el RGPD. El programa se fundamenta en cuatro pilares y se centra en preparar, monitorear, utilizar y optimizar sistemas basados en la nube con el fin de alcanzar la excelencia operativa.
    • Revisión Well-Architected: Este programa permite a las organizaciones evaluar su arquitectura con respecto a las prácticas recomendadas de AWS y crear arquitecturas seguras, confiables, de alto rendimiento y rentables. Con las revisiones Well-Architected, los clientes y los socios de AWS también pueden conocer en qué lugares de su arquitectura hay riesgos y abordarlos antes de que las aplicaciones pasen a la fase de producción.

    Los clientes y los socios de AWS que deseen saber cómo puede ayudarlos AWS Premium Support encontrarán más información en el centro de soporte de AWS, disponible a través de la consola de administración de AWS, mediante los datos de contacto que figuran en el acuerdo de soporte empresarial suscrito con AWS o la página de AWS Premium Support (https://aws.amazon.com/premiumsupport/). Los clientes con soporte Enterprise deberán contactar con su TAM si tienen preguntas relacionadas con el RGPD.

  • ¿Cómo gestiona AWS las solicitudes de eliminación de los clientes?

    Los servicios de AWS permiten a los clientes eliminar su contenido bajo demanda. Para ello, pueden utilizar la consola de administración de AWS, API y otros métodos. Para obtener más información sobre alguna funcionalidad específica de los servicios, consulte https://aws.amazon.com/documentation.  

  • ¿Qué herramientas pone AWS a mi disposición para implementar las medidas técnicas y organizativas necesarias para lograr la protección de los datos desde el diseño y por defecto?

    Muchos de los requisitos del RGPD se centran en el control y la protección de los datos. Los servicios de AWS brindan a los clientes y a los socios de APN la posibilidad de implementar sus propias medidas de seguridad de conformidad con el RGPD, incluidas medidas tácticas específicas como las siguientes:

    • El cifrado de información personal
    • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y los servicios de procesamiento
    • La capacidad de restablecer la disponibilidad de la información personal y el acceso a ella de forma rápida en caso de incidente físico o técnico
    • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas para garantizar la seguridad del tratamiento

    AWS dispone de un conjunto de servicios avanzados de seguridad y conformidad que pueden implementarse con el fin de ayudar a gestionar los requisitos del RGPD; por ejemplo:

    • Amazon GuardDuty – un servicio con detección de amenazas inteligente y monitorización continua de comportamientos maliciosos o no autorizados
    • Amazon Macie – una herramienta de aprendizaje automático que ayuda a identificar y clasificar la información personal almacenada en Amazon S3
    • Amazon Inspector – un servicio de evaluación automatizada de la seguridad que mantiene la conformidad de las aplicaciones con las prácticas recomendadas de seguridad
    • AWS Config Rules: Una función que permite comprobar dinámicamente la conformidad de los recursos en la nube con las reglas de seguridad

    Además, AWS publicó un documento, “Análisis de la conformidad con el RGPD en AWS” que detalla cómo vincular específicamente recursos a conceptos tales como el monitoreo, el acceso a los datos y la administración de claves. 

  • ¿Qué medidas de seguridad tiene AWS para proteger los sistemas?

    La infraestructura de la nube de AWS está diseñada para ser uno de los entornos de informática en la nube más flexibles y más seguros que hay disponibles en la actualidad. La escala de Amazon permite una inversión mayor en medidas correctivas y políticas de seguridad que la que casi cualquier empresa grande podría permitirse por sí sola. Esta infraestructura se compone del hardware, el software, las redes y las instalaciones que ejecutan los servicios de AWS, lo que brinda potentes controles a los clientes y a los socios de AWS, incluidos los controles de la configuración de seguridad, para el tratamiento de los datos personales.

    AWS también proporciona varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relativos a la seguridad informática, incluidas las normas ISO 27001, ISO 27017 e ISO 27018. Para dar transparencia a la eficacia de estas medidas, nuestros clientes y socios de APN pueden acceder a los informes de auditores externos a través de la consola de administración de AWS. En estos informes, los clientes y los socios de APN (que pueden actuar como controladores de datos o procesadores de datos) pueden ver que protegemos la infraestructura subyacente sobre la que almacenan y procesan los datos personales. Para obtener más información, visite https://aws.amazon.com/compliance

  • ¿Cómo puede AWS ayudar a los controladores de datos a cumplir sus obligaciones según el RGPD en lo que respecta a las notificaciones de filtración de datos?

    AWS cuenta con monitoreo de incidentes de seguridad y un proceso de notificación de violaciones de datos in situ e informará a los clientes y socios de AWS de cualquier violación de seguridad de AWS que conlleve, de manera accidental o ilícita, la destrucción, pérdida, alteración, divulgación no autorizada o el acceso a cualquier tipo de datos personales cargados en su cuenta de AWS. AWS también pone a disposición de los clientes y los socios de AWS una serie de herramientas para saber quién tiene acceso a sus recursos, cuándo y desde dónde. Una de estas herramientas es AWS CloudTrail, que permite auditar la gobernanza, la conformidad, las operaciones y los riesgos de una cuenta de AWS. Con CloudTrail, el cliente puede registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en toda su infraestructura de AWS. De este modo, las organizaciones saben lo que sucede con su infraestructura de AWS y pueden tomar medidas de inmediato ante una actividad inusual. Para obtener más información sobre CloudTrail y las demás herramientas de seguridad que AWS pone a disposición de los clientes para ayudarlos a cumplir sus obligaciones como controladores de datos según el RGPD, visite https://aws.amazon.com/security/.  

  • ¿Cómo me ayuda AWS a proteger mis datos frente a los ciberataques?

    AWS brinda a los clientes y socios de AWS una serie de herramientas para proteger sus datos y evitar los ciberataques. Una de estas herramientas es AWS Shield. Se trata de un servicio administrado de protección frente a ataques de denegación de servicio distribuido (DDoS) para salvaguardar los sitios web y las aplicaciones que se ejecutan en AWS. AWS Shield Standard está disponible sin costes adicionales y proporciona detección permanente y mitigaciones automáticas en línea que pueden minimizar el tiempo de inactividad y la latencia de las aplicaciones. Para obtener niveles más altos de protección contra ataques dirigidos a aplicaciones web que se ejecutan en AWS y utilizan recursos de ELB, Amazon CloudFront y Amazon Route 53, los clientes y los socios de APN pueden suscribirse a AWS Shield Advanced. AWS también publica y actualiza periódicamente un documento sobre las “prácticas recomendadas de AWS para resistir ataques de DDoS”, que ayuda a los clientes a usar AWS a fin de crear aplicaciones resilientes frente a los ataques de DDoS.

    Entre las demás herramientas de AWS para proteger los datos contra los ciberataques, figuran las siguientes:

    • AWS Identity and Access Management (IAM) permite a las organizaciones administrar el acceso a los servicios y recursos de AWS de manera segura. Al utilizar IAM, los clientes y los socios de APN pueden crear y administrar usuarios y grupos de AWS, así como emplear permisos para conceder y denegar el acceso a los recursos de AWS. IAM es una característica de las cuentas de AWS que se ofrece sin costes adicionales.
    • AWS Config permite a los clientes y a los socios de APN habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
    • AWS CloudTrail permite a las organizaciones registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la resolución de problemas (la herramienta AWS CloudTrail está habilitada en todas las cuentas de AWS de manera predeterminada).
    • Amazon GuardDuty es un servicio de detección de amenazas administrado que monitorea de forma continua para encontrar comportamientos maliciosos o no autorizados, y ayudarle a proteger las cargas de trabajo y cuentas de AWS. Monitorea la actividad que pueda indicar que una cuenta se haya visto comprometida, como llamadas al API inusuales o implementaciones potencialmente no autorizadas. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.
  • ¿Qué herramientas pueden serme de utilidad para encontrar información personal en mi contenido dentro de AWS?

    Amazon Macie es un servicio de privacidad y seguridad de datos totalmente administrado que utiliza el machine learning y la correspondencia de patrones para descubrir y proteger los datos confidenciales en AWS. Como las organizaciones administran volumen cada vez mayores de datos, identificar y proteger sus datos confidenciales a escala puede ser cada vez más complejo, más caro y llevar mucho más tiempo. Macie automatiza el descubrimiento de datos confidenciales a escala y reduce los costos de proteger los datos. Macie proporciona automáticamente un inventario de los buckets de Amazon S3, incluida una lista de los buckets no cifrados, los buckets de acceso público y los buckets compartidos con las cuentas de AWS fuera de las definidas en AWS Organizations. Luego, Macie aplica las técnicas de machine learning y correspondencia de patrones en los buckets que seleccione para identificar y recibir alertas sobre datos personales.

    Macie está certificada según estándares reconocidos a escala internacional, como la norma ISO 27017 sobre seguridad en la nube o la ISO 27018 sobre privacidad en la nube. Los clientes y socios de AWS también pueden utilizar Macie para monitorear de forma continua el acceso a sus datos con el fin de detectar actividades sospechosas basándose en unos patrones de acceso.

  • ¿Cómo puedo controlar el acceso a la información personal dentro de mi contenido en AWS?

    Para ayudar a los clientes y socios de APN en la conformidad con el RGPD, AWS dispone de una serie de herramientas para controlar el acceso a la información personal de su contenido en AWS. Entre estas herramientas, se incluyen las siguientes:

    • La seguridad por defecto hace referencia a que los servicios de AWS están diseñados para ser seguros de manera predeterminada. Si se utiliza la configuración predeterminada, el acceso a los recursos se restringe al propietario de la cuenta y al administrador raíz.
    • AWS Identity and Access Management (IAM) permite a los clientes y a los socios de APN administrar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, las organizaciones pueden crear y administrar usuarios y grupos de AWS, así como utilizar permisos para conceder o denegar el acceso a los recursos de AWS. IAM es una característica de las cuentas de AWS que se ofrece sin costes adicionales.
    • AWS Multi-Factor Authentication agrega otra capa de protección por encima del nombre de usuario y la contraseña de la cuenta de AWS. AWS brinda a los clientes la opción de utilizar dispositivos MFA virtuales y de hardware.
    • AWS Directory Service permite a los clientes y a los socios de APN integrarse y federarse con directorios corporativos para reducir los costes generales administrativos y mejorar la experiencia del usuario final.
    • AWS Config permite a los clientes y a los socios de APN habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
    • AWS CloudTrail permite a los clientes y a los socios de APN registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en su infraestructura de AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la resolución de problemas.
    • Amazon Macie emplea el aprendizaje automático para ayudar a los clientes a evitar la pérdida de datos mediante la detección, clasificación y protección automáticas de la información confidencial en AWS. Este servicio completamente administrado monitorea de manera continua el acceso a los datos en busca de anomalías y genera alertas detalladas cuando detecta un riesgo de acceso no autorizado o filtración de datos accidental, como el hecho de que un cliente, por error, otorgue acceso a información confidencial a usuarios ajenos.
  • ¿Cómo puedo cifrar la información personal incluida en AWS para evitar el acceso no autorizado?

    AWS brinda a los clientes y a los socios de AWS la posibilidad de agregar otra capa de seguridad a los datos en reposo en la nube, y los ayuda a cumplir sus obligaciones relativas a la seguridad del tratamiento como controladores de datos según el RGPD. Entre las herramientas de cifrado de AWS, figuran las siguientes:

    • Funciones de cifrado de datos disponibles en los servicios de almacenamiento y bases de datos de AWS, como Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS y Redshift
    • Opciones flexibles de administración de claves, como AWS Key Management Service, que permiten elegir si desea que AWS administre las claves de cifrado o si quiere mantener el control total sobre ellas
    • Colas de mensajes cifrados para la transmisión de información confidencial mediante el cifrado de servidor (SSE) para Amazon SQS
    • Almacenamiento de claves criptográficas exclusivo y basado en hardware que utiliza AWS CloudHSM y permite a los clientes satisfacer los requisitos de conformidad
     
    Además, AWS proporciona diversas API para que los clientes y los socios de APN puedan integrar el cifrado y la protección de los datos con cualquiera de los servicios que desarrollen o implementen en un entorno de AWS.
compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »