Preguntas Frecuentes AWS Security

1. ¿Cuál es la mejor manera de completar mi cuestionario anual de proveedores / due diligence de AWS?

En caso de que necesite ayuda para completar un cuestionario para documentar la postura de seguridad y cumplimiento de AWS, le recomendamos los siguientes recursos que se utilizan con más frecuencia para completar cuestionarios de seguridad y cumplimiento:

AWS Artifact:

https://aws.amazon.com/artifact

AWS Artifact es su recurso central de referencia para obtener información relacionada con el cumplimiento que le interese. Proporciona acceso bajo demanda a los informes de seguridad y cumplimiento de AWS y a determinados acuerdos en línea. El informe AWS SOC 2 es particularmente útil para completar cuestionarios porque proporciona una descripción completa de la implementación y efectividad operativa de los controles de seguridad de AWS. Otro documento útil es el Executive Briefing dentro del AWS FedRAMP Partner Package.

Cuestionario de Iniciativa de Evaluaciones de Consenso de la Cloud Security Alliance:

https://d1.awsstatic.com/whitepapers/compliance/CSA_Consensus_Assessments_Initiative_Questionnaire.pdf

El Cuestionario de Iniciativa de Evaluaciones de Consenso de CSA proporciona un conjunto de preguntas que la CSA anticipa que un consumidor y / o auditor de la nube le haría a un proveedor de la nube. Proporciona una serie de preguntas de seguridad, control y proceso que luego se pueden utilizar para una amplia gama de usos, incluida la selección del proveedor de la nube y la evaluación de la seguridad. Este documento contiene las respuestas de AWS al cuestionario CSA.

Riesgos y Cumplimiento Regulatorio en AWS:

https://d1.awsstatic.com/whitepapers/compliance/AWS_Risk_and_Compliance_Whitepaper.pdf

Este documento aborda información específica de AWS sobre cuestiones generales de cumplimiento de la informática en la nube. Hay descripciones detalladas de todas las certificaciones, programas, informes y atestaciones de terceros de AWS.

Página web de controles de seguridad en Centros de datos de AWS:

https://aws.amazon.com/es/compliance/data-center/controls

Muchos cuestionarios tienen una sección completa con preguntas relacionadas con la seguridad física del centro de datos. Esta página web le brinda información sobre algunos de nuestros controles físicos y ambientales.

Visita virtual a un centro de datos de AWS:

https://aws.amazon.com/es/compliance/data-center/data-centers/

Conozca aspectos clave sobre como construimos nuestros centros de datos para ofrecerle seguridad en las siguientes capas

  • Capa Perimetral
  • Capa de infraestructura
  • Capa de Datos
  • Capa Medioambiental

2. ¿Qué servicios y características de AWS cumplen con los estándares comunes de seguridad y cumplimiento en la nube?

AWS Services in Scope proporciona una lista de servicios que se evalúan para cumplir con los estándares de cumplimiento comunes. A menos que se indique específicamente como excluido, las características de cada uno de los servicios enumerados se consideran en el alcance del programa de cumplimiento y se revisan y prueban como parte de la evaluación. Consulte la documentación de AWS para conocer las características de un servicio de AWS.

3. ¿Puedo cumplir con mis requisitos reglamentarios en AWS?

AWS tiene clientes en todo el mundo y se adapta continuamente a las regulaciones en evolución. El Centro de cumplimiento de AWS le ofrece una ubicación central para investigar los requisitos normativos relacionados con la nube y cómo afectan a su industria. Seleccione el país que le interesa y el Centro de cumplimiento de AWS mostrará la posición regulatoria del país con respecto a la adopción de servicios en la nube.

4. ¿AWS tiene subprocesadores? - Acceso de subcontratistas a centros de datos:

AWS puede contratar a las entidades enumeradas en la página web de los subprocesadores de AWS para que lleven a cabo actividades de procesamiento específicas en nombre del cliente o las actividades de administración de las instalaciones del centro de datos. Esta página web también brinda a los clientes la opción de suscribirse a notificaciones por correo electrónico si cambia la lista de subprocesadores.

AWS informa proactívamente a nuestros clientes sobre cualquier subcontratista que tenga acceso al contenido propiedad del cliente que cargue en AWS, incluido el contenido que puede contener datos personales. No hay subcontratistas autorizados por AWS para acceder a ningún contenido propiedad del cliente que cargue en AWS. Para supervisar el acceso de los subcontratistas durante todo el año, consulte la página web de AWS Third-Party Access

5. ¿Pueden proporcionarme las ubicaciones de los centros de datos de AWS para mi política de continuidad comercial o recuperación ante desastres?

AWS mantiene las ubicaciones de nuestros centros de datos en estricta confidencialidad para mantener la seguridad y privacidad de los datos de los clientes. Las ubicaciones se divulgan solo a los empleados y contratistas de AWS que tienen una necesidad comercial aprobada para estar en las instalaciones.

Los clientes pueden evaluar la seguridad y la resistencia de la infraestructura física de AWS considerando todos los controles de seguridad que AWS tiene implementados para sus centros de datos. Para ayudar a los clientes a evaluar los riesgos relacionados con los centros de datos de AWS, AWS proporciona la página web AWS Data Center Controls y el informe AWS SOC 2 disponible en AWS Artifact .

6. ¿Qué factores son importantes para que los clientes evalúen como parte de su planificación de recuperación ante desastres?

Los clientes que evalúan AWS como parte de su planificación de recuperación ante desastres deben identificar primero sus objetivos de resiliencia y considerar los requisitos normativos aplicables para la resiliencia y la recuperación ante desastres. Luego, los clientes pueden diseñar su entorno de AWS para cumplir con sus objetivos de resiliencia y requisitos normativos. Por ejemplo, para mitigar los riesgos ambientales, los clientes pueden diseñar sus cargas de trabajo de AWS para aprovechar las zonas de disponibilidad y regiones separadas físicamente para alcanzar sus objetivos. Los clientes con requisitos de alta disponibilidad suelen utilizar varias zonas de disponibilidad o regiones para aplicaciones críticas. Obtenga más información en la página web AWS Disaster Recovery , la página web AWS Data Center Controls y en el informe AWS SOC 2 disponible en AWS Artifact .