Proteger los datos del gobierno australiano frente al acceso, abuso y divulgación es fundamental a la hora de aprovisionar y utilizar servicios en la nube. AWS es consciente de que los clientes confían en la entrega segura de la infraestructura de AWS y la importancia de disponer de características que permitan al cliente crear entornos más seguros. AWS permite a los clientes cumplir estos objetivos al dar prioridad a la seguridad en la provisión de sus servicios mediante la creación de un entorno de control sólido y la existencia de una gran variedad de servicios y características de seguridad disponibles. Estos servicios proporcionan controles exhaustivos en el entorno de TI del cliente, simplifican la administración de los servicios de seguridad y aportan mejores resultados de seguridad para el gobierno australiano.
El Programa de evaluadores registrados de seguridad de la información (IRAP) permite a los clientes del gobierno australiano asegurarse de disponer de los controles adecuados y determinar el modelo de responsabilidad adecuado para satisfacer las necesidades del Manual de seguridad de la información (ISM) de la Dirección de señales australiana (ASD).
Un evaluador del IRAP independiente examinó los controles de las personas, los procesos y la tecnología de AWS para comprobar que cumplen con las necesidades del ISM. Esta evaluación y la carta de conformidad constituyen las bases mediante las que una autoridad de certificación adquiere la confianza necesaria para certificar la infraestructura de AWS y proporcionar una recomendación a la autoridad de acreditación para el uso adecuado de la plataforma.
La acreditación de la agencia es el último paso de la evaluación del IRAP y certificación formal de la ASD, que hace las veces de autoridad de certificación del gobierno australiano. Esta certificación garantiza que AWS dispone de los controles aplicables al ISM de la ASD y precede directamente a la acreditación de AWS para las cargas de trabajo del gobierno australiano.
Esta certificación les quita un gran peso a las agencias o a los socios comerciales que deben llevar a cabo evaluaciones y certificaciones en la plataforma en la nube para las cargas de trabajo y les permite centrarse en los procesos de acreditación del sistema.
AWS proporciona a los clientes una amplia variedad de funcionalidades de seguridad para proteger sus datos de acuerdo con los controles del ISM de la ASD, y las orientaciones y políticas de la agencia. Probamos constantemente las herramientas de seguridad que proporcionamos a nuestros clientes y publicamos mejoras de las funcionalidades de seguridad. Además, ofrecemos a nuestros clientes una gran variedad de documentos técnicos, documentación en línea y vídeos sobre seguridad. Nuestros documentos técnicos globales incorporan recomendaciones para proteger sus datos que son igualmente aplicables a las cargas de trabajo del gobierno australiano.
¿Cómo puedo utilizar la documentación y la orientación sobre seguridad del IRAP de AWS? Los clientes del gobierno australiano pueden utilizar nuestra certificación ASD y nuestra carta de conformidad de los evaluadores del IRAP independientes para acelerar sus objetivos de certificación y acreditación. A fin de respaldar a los clientes del gobierno australiano, ofrecemos un paquete de orientación y documentación sobre seguridad que mejorará su comprensión sobre los aspectos de seguridad y conformidad al utilizar AWS como proveedor certificado de servicios en la nube. En particular, en lo referente a la evaluación de la infraestructura de AWS por un evaluador del IRAP de acuerdo con el ISM, proporcionamos mediante un NDA (según sea necesario) a las organizaciones gubernamentales o sus socios: – Informe del IRAP sobre la conformidad de AWS con el ISM – Carta de certificación de la ASD de la plataforma de la infraestructura de AWS – Carta de conformidad del ISM del IRAP – Resumen de implementación de controles También se encuentran disponibles otros informes que evalúan y ponen a prueba los controles implementados en la infraestructura de AWS, mediante NDA (según sea necesario): – Informe de controles en organizaciones de servicio 1 (SOC1) tipo II – Informe de controles en organizaciones de servicio 2 (SOC2) tipo II – Certificado ISO 27001 y declaración de aplicabilidad – Declaración de conformidad de PCI y resumen de responsabilidades de PCI Para obtener más información acerca de los informes adicionales, consulte las preguntas frecuentes sobre conformidad de AWS. Para solicitar el acceso a la documentación sobre seguridad de AWS para clientes del gobierno australiano, o contratistas del gobierno australiano, contacte con el equipo de ventas y desarrollo empresarial de AWS o envíe un correo electrónico a awscompliance@amazon.com. |
Un evaluador del IRAP es la única persona que dispone de acreditación para realizar una evaluación de un sistema ICT de acuerdo con el ISM del gobierno australiano y detallar los aspectos conformes y no conformes, describir los riesgos residuales y las medidas a tomar, y proporcionar recomendaciones sobre la certificación a la autoridad de certificación.
Control de documentos |
Documentación |
Paquete para agencias federales |
Paquete SLED |
Socios de AWS |
DRM |
Informe del IRAP fase 2 |
X |
|
|
| DRM | Informe de certificación de la ASD | X | ||
Público |
X |
X |
X |
|
Público |
X |
X |
X |
|
DRM |
Resumen de implementación de controles |
X |
X |
X |
¿Cómo se distribuyen estos documentos? Los documentos públicos se distribuyen por correo electrónico o se encuentran disponibles públicamente en este sitio. Los documentos tipo NDA, una vez confirmados y firmados, se envían por correo electrónico como archivos adjuntos protegidos con contraseña en formato de Adobe PDF. Para acceder a ellos, se necesita Adobe Reader 9.0 o superior. Los documentos tipo DRM se controlan estrictamente mediante la administración de derechos digitales de Adobe LiveCycle. Para abrirlos, se necesita Adobe Reader 9.0 o superior. Normalmente, no permiten que se copie contenido y solo los pueden visualizar durante un tiempo limitado los usuarios que los necesitan. ¿Cuáles son los requisitos de acceso de estos documentos? Todos los paquetes exigen que exista un NDA adecuado entre la organización y AWS. Las solicitudes presentadas por contratistas que lleven a cabo evaluaciones de seguridad para obtener acreditaciones en nombre de agencias del gobierno federal o SLED también necesitarán el permiso por escrito de un representante de seguridad del gobierno con autoridad para conceder el permiso. ¿Qué documentación adicional se encuentra disponible a fin de poder confiar en la ejecución de cargas de trabajo del gobierno australiano en AWS? Consulte el documento técnico AWS Risk and Compliance Entre las certificaciones y los informes que AWS mantiene en la página de programas de conformidad y como ejemplo de la naturaleza exhaustiva de los controles que AWS implementa a nivel global. También debería tenerse en cuenta la autoridad para operar (ATO) del programa FedRAMP del gobierno estadounidense cuando los controles derivan de NIST800-53Rev4. Estos controles son exhaustivos y se encuentran disponibles públicamente. Pueden proporcionar mayor confianza al cliente a la hora de ejecutar cargas de trabajo en AWS. Informes adicionales disponibles que evalúan y ponen a prueba los controles implementados por la infraestructura de AWS: – Informe de controles en organizaciones de servicio 1 (SOC1) tipo II – Informe de controles en organizaciones de servicio 2 (SOC2) tipo II o Disponibilidad de SOC2 o Seguridad de SOC2 – Controles en organizaciones de servicio 3 (SOC3) – Certificado ISO 27001 y declaración de aplicabilidad – Declaración de conformidad de PCI y resumen de responsabilidades de PCI – Resumen de los controles de seguridad de AWS Para solicitar el acceso a la documentación de conformidad, contacte con el equipo de ventas y desarrollo empresarial de AWS o envíe un correo electrónico a awscompliance@amazon.com. |
