Guía sobre soluciones de conformidad de AWS


Repositorio de recursos y procesos de uso frecuente necesarios para cumplir con las responsabilidades de conformidad en AWS.

Bienvenido a la guía sobre soluciones de conformidad de AWS Esta guía está diseñada para darle un repositorio de recursos y procesos de uso frecuente, los cuales son necesarios para cumplir con las responsabilidades de conformidad en AWS.

La seguridad en AWS es nuestra mayor prioridad. Hoy en día, AWS protege a millones de clientes activos en todo el mundo, desde grandes empresas y organizaciones gubernamentales, hasta empresas nuevas y sin fines de lucro. Mediante estas relaciones, hemos desarrollado los mejores recursos de su tipo para permitir que los clientes de cualquier industria comprendan rápidamente cómo lograr la conformidad en la nube de AWS. Los clientes de AWS heredan todos los beneficios de nuestra experiencia, incluso las prácticas recomendadas para políticas de seguridad, arquitectura y procesos operativos validados con respecto a marcos de seguridad externos.

AWS comunica la información relevante para los clientes sobre su entorno de seguridad y de control mediante:

  • Certificaciones de la industria y acreditaciones de terceros independientes que se enumeran a continuación
  • Información sobre las prácticas de seguridad y control de AWS en documentos técnicos y contenido web
  • Certificados, informes y otra documentación proporcionada directamente a los clientes de AWS conforme al acuerdo de confidencialidad

Soluciones de conformidad


La práctica recomendada para acceder a los informes de conformidad de AWS es mediante la consola a través de AWS Artifact. AWS Artifact proporciona a los clientes acceso de autoservicio bajo demanda a los últimos informes de conformidad de AWS. Cuando AWS publica nuevos informes, quedan inmediatamente disponibles para su descarga en AWS Artifact. Además del acceso bajo demanda, estas son tres ventajas de usar AWS Artifact:

  1. No se requiere introducir una tarjeta de crédito. No hay cargos asociados con la creación de una cuenta o el uso del portal de AWS Artifact.
  2. Proporciona la capacidad de configurar cuentas para otros usuarios a través de IAD.
  3. Permite la comodidad de acceder al acuerdo de confidencialidad mediante un enlace.

Tenga en cuenta que todas las acreditaciones de terceros, las certificaciones, los informes de Service Organization Controls (SOC) y otros informes de conformidad relevantes requieren un acuerdo de confidencialidad. Las excepciones son la certificación AWS ISO 27001 y los informes de AWS SOC 3 que están disponibles públicamente.

Si tiene una cuenta de AWS y está listo para comenzar a utilizar AWS Artifact, puede usar los recursos a continuación para familiarizarse con esta función en la consola. Si aún no tiene una cuenta de AWS, puede crear una siguiendo estos pasos.

El sitio web de AWS Artifact: le proporcionará información básica sobre Artifact e incluye una Guía rápida de introducción con instrucciones paso a paso sobre cómo iniciar sesión en la consola y descargar un informe, así como una página con una lista completa de todas las preguntas frecuentes sobre AWS Artifact.

A continuación se muestran algunas de las situaciones más comunes que generan preguntas:

En el caso de que necesite ayuda para completar un cuestionario de seguridad a fin de documentar las posiciones de seguridad y conformidad de AWS, tenemos un enfoque recomendado que se diseñó para proporcionarle recursos que aborden adecuadamente sus preguntas de seguridad y conformidad en el contexto de la nube y el modelo de negocios de AWS. Este procedimiento garantiza que todos nuestros clientes reciban respuestas coherentes que hayan sido verificadas por los auditores externos.

AWS Artifact es el primer lugar para visitar, ya que alberga todos los informes de conformidad. AWS se somete a varias auditorías a lo largo del año realizadas por auditores externos, la mayoría de las cuales se realizan de acuerdo con las normas de seguridad internacionales, como ISO 27001, PCI y SOC. Puede usar estos informes para responder preguntas en cualquier cuestionario de seguridad que pueda recibir.

Además, hay varios tipos de recursos disponibles online para proporcionar respuestas a algunas de las preguntas más frecuentes. Los dos documentos más utilizados para cuestionarios son:

El cuestionario de la iniciativa de evaluación consensuada (Consensus Assessments Initiative Questionnaire): Cloud Security Alliance (CSA) es una organización sin fines de lucro que tiene la misión de promover el uso de las prácticas recomendadas para ofrecer seguridad dentro de la informática en la nube. El cuestionario de la iniciativa de evaluación consensuada de CSA proporciona un conjunto de preguntas que este organismos anticipa que un consumidor o auditor de la nube le harían a un proveedor de la nube. Proporciona una serie de preguntas de seguridad, control y proceso que luego se pueden utilizar para una amplia gama de usos, incluida la selección de proveedores en la nube y la evaluación de seguridad. Este documento contiene las respuestas de AWS al cuestionario de CSA.

El documento técnico sobre riesgo y conformidad (Risk and Compliance): en este documento tiene como objetivo dar información para ayudar a los clientes de AWS a integrar AWS en la estructura de control existente que respalda su entorno de TI. Incluye una estrategia básica para evaluar los controles de AWS y ofrece información para ayudar a los clientes con la integración de los entornos de control. Este documento también incluye información específica de AWS relacionada con preguntas generales sobre la conformidad de la informática en la nube. Hay descripciones detalladas de todas las certificaciones, programas, informes de AWS y acreditaciones de terceros. El cuestionario de CSA se incluye en el Apéndice de este documento.

Si aún necesita ayuda para responder una pregunta, comuníquese con su gerente de cuenta de ventas de AWS y ellos podrán ayudarlo a dirigirse a los recursos adecuados.

Ejemplos de cuestionarios de seguridad

Control Pregunta Respuesta Documentos de referencia de AWS
Cifrado ¿Los servicios prestados admiten el cifrado?

Sí. AWS les permite a los clientes usar sus propios mecanismos de cifrado para casi todos los servicios, incluso S3, EBS, SimpleDB y EC2. Los túneles IPSec a la VPC también están cifrados. Amazon S3 también ofrece el cifrado desde el servidor como opción para los clientes. Los clientes también pueden utilizar tecnologías de cifrado de terceros.

Documento técnico de seguridad de AWS
Controles físicos y de entorno

¿Están especificados los controles físicos y de entorno que realiza el proveedor de la nube?

Sí. Estos se describen específicamente en el informe SOC 1 Tipo II. Además, otras certificaciones compatibles con AWS, como ISO 27001 y FedRAMPsm, requieren los mejores controles físicos y de entorno.

Paquete FedRAMP, Informe ISO 27001, SOC 1
Formación/concientización sobre Recursos Humanos

¿Se ofrece un programa serio de formación para concientización sobre seguridad, basado en roles y que aborde los problemas de acceso y administración de datos relacionados con la nube (p. ej., múltiples usuarios, nacionalidad, modelo de entrega en la nube, implicación de la separación de obligaciones y conflictos de intereses) para todas las personas con acceso a los datos del usuario?

Sí. En consonancia con la norma ISO 27001, todos los empleados de AWS realizan una formación periódica sobre seguridad de la información, la cual requiere aceptación para completarla. Periódicamente se realizan auditorías de conformidad para validar que los empleados entiendan y sigan las políticas establecidas.

Consulte los informes de conformidad de SOC, PCI DSS, ISO 27001 y FedRAMP

Estos son algunos de los desafíos más comunes encontrados con el anexo para socios empresariales (BAA) de HIPAA. Para obtener acceso a más recursos relacionados con el BAA, incluso a una lista completa de preguntas frecuentes sobre HIPAA, videos instructivos sobre el anexo, informes técnicos, etc., visite la página principal de Conformidad de AWS con HIPAA.

P: ¿Puedo obtener una copia impresa de mi BAA en vigencia?

R: Las versiones del BAA en Artifact y la copia impresa no difieren. Cuando utilice Artifact, siempre podrá descargar una copia del BAA antes y después de aceptar los términos. Si tiene un BAA vigente que no esté online, puede comunicarse con su representante de ventas para obtener una copia.

P: Necesito el Anexo A para confirmar que las cuentas se han agregado a un BAA vigente o necesito evidencia de que una cuenta determinada está cubierta por un BAA.

R: AWS no emite un Anexo A actualizado después de que las cuentas adicionales queden cubiertas por un BAA existente. Al utilizar Artifact, podrá designar inmediatamente el autoservicio con nuevas cuentas en la consola. Después de que haya aceptado un BAA en Artifact, puede iniciar sesión en la consola con el ID de cuenta y confirmar que el estado está activo. Si desea agregar una nueva cuenta, puede hacerlo como autoservicio.  Para confirmar el estado de la cobertura y compartir el BAA con auditores o reguladores, puede descargar el archivo pdf que está disponible. Además, el estado también sirve como evidencia de cobertura.

P: No tengo la capacidad de celebrar un BAA o no puedo marcar las casillas de verificación del acuerdo de confidencialidad.

R: Este problema surge de un error en los permisos. El individuo o el equipo que maneja las solicitudes de IAM de su cuenta de AWS puede resolver esto mediante el ajuste de los permisos. Puede encontrar más información sobre la configuración de cuentas de IAM aquí.

Más recursos de conformidad de AWS


header-icon_apn-partner-programs-orange

La página de servicios en el ámbito detallará qué servicios están actualmente en el ámbito y cuáles están en progreso. También puede ponerse en contacto con su gerente de cuenta de ventas de AWS y SA sobre cualquier necesidad específica para un determinado servicio.

header-icon_apn-partner-programs-orange

El blog de seguridad de AWS es una excelente manera de realizar un seguimiento de todas las actualizaciones más recientes de los programas de seguridad de AWS.

header-icon_apn-partner-programs-orange

Para obtener información sobre algunas de las experiencias actuales de los clientes de AWS, visite nuestra página de testimonios que enumera los casos prácticos de nuestros clientes en todas las industrias.

header-icon_apn-partner-programs-orange

Si necesita más información sobre un régimen de conformidad específico, consulte las siguientes páginas para preguntas frecuentes:

header-icon_apn-partner-programs-orange

La ruta de aprendizaje del auditor de AWS es un recurso diseñado específicamente para aquellas personas que ejercen un rol legal, de auditor y de conformidad, y que quieren aprender a demostrar el cumplimiento normativo de sus operaciones internas en la plataforma de AWS.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »