¿Qué es la soberanía de datos?

La soberanía de datos hace referencia a que los datos están sujetos a las leyes y normativas de su ubicación física. Esto puede significar datos en almacenamiento, procesamiento o transmisión, independientemente de la ubicación física de una organización.

Todos los datos almacenados, procesados y transferidos dentro de un país, estado, región o jurisdicción están sujetos a las leyes y normativas pertinentes en relación con el uso de los datos y la protección de la privacidad. Las leyes de soberanía de datos se crean para proteger y gobernar a las personas, las organizaciones y los gobiernos. Las normativas de protección de datos incluyen reglas sobre la gestión de datos de salud personales, los niveles de seguridad de datos para la información del sector público y el establecimiento de un almacenamiento local de datos para empresas extranjeras.

La residencia de datos es el lugar donde se encuentran los datos físicamente. La soberanía de datos es la forma en que las leyes de una ubicación se aplican a los datos que existen físicamente en ese lugar. Tanto la soberanía como la residencia de datos son especialmente importantes en la computación y los servicios en la nube, donde es posible almacenar datos en cualquier parte del mundo. 

Todo el almacenamiento, las instancias y los servicios en la nube se ejecutan en máquinas físicas vinculadas a una ubicación geográfica específica. Debido a estos diferentes entornos normativos, las organizaciones deben prestar una atención crítica a dónde residen sus instancias en la nube y dónde se ejecutan los servicios en la nube. La soberanía de datos de estos almacenamientos e instancias es una decisión muy importante.

La soberanía de datos normalmente recae en la función de gobernanza, riesgo y cumplimiento del programa legal y de ciberseguridad de una organización.

El Compromiso de soberanía digital de AWS es nuestro compromiso de ofrecer a todos los clientes de AWS el conjunto más avanzado de controles y características de soberanía disponibles en la nube. Le ofrecemos la flexibilidad de elegir cómo y dónde quiere ejecutar sus cargas de trabajo para la localización de datos.

En el Compromiso de soberanía digital de AWS se describen cuatro áreas clave en las que AWS invierte en capacidades para ayudar a los clientes a cumplir sus cambiantes requisitos en materia de soberanía digital.

Controle dónde residen los datos

Las organizaciones siempre deben poder elegir dónde residen los datos. AWS siempre ha ofrecido a los clientes la posibilidad de elegir dónde residen sus datos, con regiones y zonas de disponibilidad de AWS en Norteamérica, Sudamérica, Europa, Oriente Medio, África, Asia-Pacífico y Australia y Nueva Zelanda.

Cuando una región de AWS no está lo suficientemente cerca como para satisfacer las necesidades de residencia de datos, AWS ofrece varias ofertas de infraestructura distribuida que brindan una experiencia en la nube uniforme dentro de un límite geográfico. Con las regiones de AWS, las zonas locales de AWS, las zonas locales dedicadas de AWS, AWS Outposts y AWS Wavelength, tiene la capacidad de ejecutar sus cargas de trabajo dondequiera que residan.

Control sobre el acceso a los datos

Las organizaciones deben contar con protecciones para evitar el acceso no autorizado a los datos. Por ejemplo, AWS Nitro System está diseñado para aplicar restricciones de modo que nadie, ni siquiera cualquier persona de AWS, pueda acceder a las cargas de trabajo de los clientes en EC2. Debe crear los permisos y las restricciones de acceso para garantizar el nivel más alto de protección de datos, según el tipo de datos.

Capacidades de cifrado de datos

Las organizaciones deben poder cifrar los datos en tránsito, en reposo y en memoria. Los datos de la organización deben usar el cifrado de forma predeterminada, con la opción de usar un cifrado más seguro si se desea. El cifrado ya se admite en todos los servicios de AWS y la mayoría de ellos también admiten el cifrado con claves administradas por el cliente a las que AWS no puede acceder.

Resiliencia en la nube

Las organizaciones deben poder lograr la soberanía digital sin riesgo de pérdida de datos. El control de sus datos y la alta disponibilidad son consideraciones fundamentales para la soberanía de datos, ya que requieren que las organizaciones mitiguen proactivamente el riesgo de pérdida de datos. Esto le permite mantener sus operaciones incluso en caso de eventos inesperados. En la actualidad, AWS brinda la mayor disponibilidad de red de cualquier proveedor de servicios en la nube. Cada región de AWS se compone de varias zonas de disponibilidad (AZ), que son particiones de la infraestructura completamente aisladas. Para aislar mejor los problemas y alcanzar una alta disponibilidad, los clientes pueden dividir las aplicaciones a través de varias zonas de disponibilidad en la misma región de AWS.

Comprender e incorporar los requisitos de soberanía de datos es crucial para mantener el cumplimiento. Estas son algunas consideraciones al iniciar su recorrido de soberanía:

Planifique el cumplimiento de la localización de datos

El cumplimiento de la ley comienza con la comprensión de las normativas que rigen las operaciones de su organización. Estas leyes y normativas de datos pueden cubrir las áreas geográficas de operación de su empresa, los tipos de datos que almacena y procesa (por ejemplo, salud, finanzas), los clientes y los datos propios de sus empleados, y durante cuánto tiempo se guardan los registros de recopilación de datos.

Investigue y comuníquese con los organismos reguladores y los organismos de seguridad pertinentes para asegurarse de que está creando sistemas compatibles y de que está al tanto del proceso en caso de que se informe de infracciones.

No todas las empresas cuentan con un experto en soberanía de datos. Asociarse con un consultor de cumplimiento puede ser beneficioso para mantenerse al día con la evolución de las normativas. 

Implemente controles de acceso detallados

La residencia de datos puede verse comprometida si solo un usuario copia los datos en otra ubicación física. Para evitar esta situación, comience con la administración de identidades y accesos básica y basada en las prácticas recomendadas, e implemente controles de acceso privilegiados estrictos para los administradores de nivel superior. 

Para ayudarlo a automatizar y supervisar sus ubicaciones de almacenamiento, cifrar los datos y aplicar las barreras de protección en materia de residencia de datos, puede usar AWS Control Tower. La biblioteca de control de AWS Control Tower contiene un grupo de controles de soberanía digital. Estos controles pueden hacer cumplir las configuraciones de soberanía de datos, impedir acciones, detectar cambios en los recursos, aplicar restricciones de acceso detallados, activar el cifrado predeterminado y proporcionar capacidades de resiliencia.

Aumente la resiliencia de los sistemas de misión crítica

La continuidad de la empresa en caso de desastre depende de la fiabilidad de los sistemas de copia de seguridad y conmutación por error. Para cumplir con las normativas de soberanía de datos, estos sistemas deben residir en la misma región para mantener la misma soberanía de datos que sus operaciones típicas.

Incrementar la resiliencia de sus sistemas de misión crítica implica la distribución de los datos en varias zonas de disponibilidad para reforzar la localización de los datos.

En el caso de los clientes que ejecutan cargas de trabajo en las instalaciones o en los casos de uso remoto, puede usar los servicios de AWS que brindan capacidades específicas para una compatibilidad continua durante las interrupciones de la red y para la computación y el almacenamiento remotos. Estos servicios incluyen AWS Outposts y Amazon EKS Anywhere.

Encuentre un socio en la nube que brinde transparencia y garantías

La elección de la ubicación de los datos no solo es una decisión importante, sino que las organizaciones también deben poder confiar en que los sistemas de sus proveedores de servicios en la nube realmente cumplan con las normas de soberanía de datos de la jurisdicción. Traiga a un experto en cumplimiento y comuníquese con el propio equipo de cumplimiento del proveedor para cerciorarse.

AWS siempre ha priorizado la elección de los clientes por encima de la soberanía de datos, lo que permite tener un control total de la ubicación y el movimiento de sus datos. Desde el primer día, el enfoque de soberano por naturaleza de AWS nos ha ganado la confianza de los clientes, que se encuentran entre las organizaciones más concienciadas sobre la seguridad de los datos y la privacidad.

Mantener un mapa actualizado de su panorama de datos actual es esencial para mantener una arquitectura de datos compatible. Considere la posibilidad de implementar lo siguiente:

Ordene y proteja la información confidencial

La protección de la información confidencial implica controles integrados, como el etiquetado, la administración de identidades y accesos, el cifrado, el aislamiento y las reglas para los datos confidenciales en reposo, en tránsito y en procesamiento. 

Elija la residencia de datos de acuerdo con la legislación aplicable

Elija las ubicaciones de datos que mejor se adapten a sus necesidades en función de su investigación sobre las operaciones comerciales, los clientes y los tipos de datos. Recuerde que sus necesidades de ubicación de datos pueden cambiar a medida que cambia su empresa y que la soberanía de datos puede verse afectada.

Elija un proveedor de servicios en la nube de confianza

Al investigar rigurosamente a los proveedores de servicios en la nube pública, puede ganarse la confianza en sus garantías en materia de soberanía de datos. Elija un proveedor con operaciones bien establecidas en la ubicación de datos que haya elegido. 

Manténgase al día con las obligaciones de cumplimiento

Las leyes y normativas relacionadas con los datos cambian continuamente. Debe asegurarse de mantenerse al día con las normativas más recientes, anticiparse a los nuevos requisitos y cumplir con las obligaciones de presentación de informes. Elija un delegado dentro de su organización o una empresa asociada que sea responsable de mantenerse al día con los cambios de las leyes. Cree una política interna de protección de datos que se ajuste a sus obligaciones.

Las diferentes ubicaciones geográficas de todo el mundo tienen leyes y normativas muy variadas con respecto al almacenamiento, procesamiento y gestión de datos. Las jurisdicciones pueden superponerse y agregar capas adicionales de normativas de datos para almacenar y gestionar los datos. Por ejemplo, España, Francia y otros países de la UE tienen leyes internas que rigen la soberanía de datos, pero también deben cumplir con las leyes de la UE. Los sectores altamente regulados, como la atención médica y las finanzas, también tienen diferentes normativas. Algunos países tienen leyes de soberanía de datos indígenas con respecto a los derechos de los pueblos indígenas. 

Hacer negocios extraterritoriales puede tener implicaciones para sus requisitos en materia de gobernanza de datos. Por ejemplo, las empresas australianas deben cumplir con el RGPD cuando traten con datos de ciudadanos de la UE. 

En el caso de las organizaciones con varias entidades registradas en todo el mundo, la soberanía de datos y el cumplimiento de diferentes normativas extraterritoriales se vuelven muy complejos.

Todas las organizaciones, sean grandes o pequeñas, deben considerar cuidadosamente la soberanía de datos para asegurarse de que cumplan con sus obligaciones legales en la administración de datos. Las consideraciones sobre la soberanía de datos se intensifican para las operaciones transfronterizas, las empresas multinacionales y las organizaciones que trabajan en sectores altamente regulados. Tenga en cuenta cómo administra el almacenamiento de datos, cómo transfiere los datos y cómo los procesa.

Es importante elegir un proveedor de servicios en la nube que comprenda perfectamente la soberanía de datos. Su proveedor de servicios en la nube debe proporcionar protecciones de datos integradas a sus clientes de acuerdo con los requisitos regionales y ofrecer una amplia gama de controles de gobernanza de datos, identidad digital y administración de acceso, seguridad de datos y privacidad.

Explore la soberanía digital en AWS para obtener más información, casos prácticos y las actualizaciones de productos más recientes en esta área crítica de seguridad, identidad y cumplimiento.