Reglamento General de Protección de Datos (GDPR)

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia relativa a la transferencia de datos personales de personas de la UE fuera del EEE (Schrems II). En Schrems II, el TJUE dictaminó que el Escudo de Privacidad UE-EE. UU. ya no era un mecanismo válido para transferir datos personales del EEE a EE. UU. Sin embargo, en la misma sentencia, el TJUE confirmó que las empresas pueden (sujetas a la aplicación de medidas complementarias, si es necesario) continuar con el uso de las cláusulas contractuales tipo como mecanismo válido para transferir datos personales fuera del EEE. Desde entonces, el Consejo Europeo de Protección de Datos (CEPD), organismo europeo compuesto por representantes de las autoridades nacionales de protección de datos, ofrece una lista no exhaustiva de medidas complementarias en sus “Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE” (Recomendaciones del CEPD).

Las Recomendaciones del CEPD proporcionan ejemplos a los exportadores de datos de las medidas complementarias que podrían aplicarse. Consulte la pregunta frecuente “¿Puedo seguir utilizando los servicios de AWS tras la sentencia Schrems II?” para obtener detalles sobre los recursos de transferencia de datos de AWS.

Sí, los clientes de AWS pueden seguir utilizando los servicios de AWS para transferir los datos de los clientes desde Europa a países fuera del EEE que no cuenten con una decisión de adecuación de la Comisión Europea. La sentencia Schrems II validó el uso de las cláusulas contractuales tipo (SCC) como mecanismo para transferir los datos de los clientes fuera del EEE y los clientes de AWS pueden seguir confiando en las SCC para cualquier transferencia de datos de los clientes fuera del EEE en conformidad con el RGPD.

• Ubicación del procesamiento. Los clientes seleccionan la región de AWS en la que se almacenarán los datos de sus clientes. Puede encontrar información general sobre las regiones de AWS disponibles en Zonas de disponibilidad y regiones. AWS no tratará los datos de clientes fuera de la región de AWS seleccionada por el cliente, a menos que sea necesario para proporcionar los servicios de AWS solicitados por el cliente o para cumplir la ley o una orden vinculante de un organismo gubernamental. Consulte la página web Características de privacidad de los servicios de AWS para obtener más información sobre las transferencias de datos como parte de los servicios de AWS.
• Subtratadores. AWS puede utilizar subtratadores, es decir, filiales de AWS o terceros, para facilitar el procesamiento de los datos de clientes con el fin de cumplir con nuestras obligaciones con los clientes en conformidad con el APD de AWS, o para proporcionar servicios en nuestro nombre. Consulte la pregunta frecuente “¿AWS utiliza subtratadores para procesar los datos de los clientes?” que aparece abajo para obtener más detalles.
• Herramientas de transferencia. Puesto que la sentencia Schrems II ha validado el uso de las SCC como mecanismo para transferir datos a países fuera del EEE que no han recibido una decisión de adecuación de la Comisión Europea, nuestros clientes pueden seguir confiando en las SCC incluidas en el APD de AWS si eligen transferir sus datos fuera del EEE de conformidad con el RGPD.
• Medidas adicionales.
  • Control de clientes. Los clientes tienen la propiedad y el control de los datos de sus clientes en todo momento gracias a herramientas sencillas pero poderosas que les permiten determinar dónde se almacenarán los datos de sus clientes, asegurar los datos en tránsito y en reposo, gestionar el acceso de los usuarios a sus recursos de AWS, y modificar, eliminar y recuperar los datos de los clientes.
  • Medidas técnicas y organizativas. AWS implementa controles y procesos técnicos y físicos responsables y sofisticados diseñados para evitar el acceso no autorizado o la divulgación de los datos de los clientes (consulte la página web de conformidad de AWS para obtener más información). Asimismo, proporcionamos una serie de servicios avanzados de cifrado y gestión de claves (incluidos servicios que permiten a los clientes administrar sus propias claves) que los clientes pueden utilizar para proteger los datos de sus clientes tanto en tránsito como en reposo: los datos de clientes cifrados quedan inaccesibles sin las claves de descifrado correspondientes. Independientemente de que los datos de los clientes estén cifrados o no, prestamos mucha atención para proteger los datos de los clientes de cualquier acceso no autorizado.
  • Solicitudes de los cuerpos de seguridad. AWS cuenta con procesos internos para atender las solicitudes que recibimos de los cuerpos de seguridad. Cuando los cuerpos de seguridad nos piden datos de clientes, examinamos dicha solicitud con detenimiento para autentificar la exactitud y verificar que es apropiada y cumple con todas las leyes vigentes. A menos que la ley lo prohíba, AWS notifica a los clientes antes de revelar sus datos para que estos puedan tomar medidas adicionales y buscar protección contra la divulgación. En el Anexo suplementario al APD de AWS (Anexo suplementario), AWS asume compromisos contractuales reforzados en relación con el tratamiento de las solicitudes gubernamentales de datos de clientes, por ejemplo, se compromete a (i) usar todos los esfuerzos razonables para redirigir cualquier organismo gubernamental que solicite datos de clientes al cliente correspondiente; (ii) notificar rápidamente la solicitud al cliente si está legalmente permitido hacerlo, incluso mediante el uso de todos los esfuerzos razonables y legales para obtener una renuncia a la prohibición si es necesario; (iii) impugnar cualquier solicitud excesiva o inapropiada, incluso cuando la solicitud entre en conflicto con la legislación de la UE; y (iv) si, después de agotar los pasos descritos anteriormente, AWS sigue teniendo obligación de revelar los datos del cliente en respuesta a una solicitud gubernamental, revelar solo la cantidad mínima de datos del cliente necesaria para satisfacer la solicitud.
  • Medidas contractuales. AWS adquiere varios compromisos contractuales con las medidas descritas anteriormente que se reflejan en el APD de AWS y en el Anexo suplementario. El APD de AWS y el Anexo suplementario incluyen compromisos contractuales de AWS relativos a (1) la selección por parte del cliente de las regiones de AWS en las que se almacenan y procesan los datos del cliente; (2) las medidas tanto técnicas como organizativas que AWS implementa para proteger la infraestructura de AWS y las medidas técnicas organizativas que los clientes pueden optar por aplicar para proteger los datos de sus clientes; (3) las medidas de AWS para proteger los datos de los clientes e informar al cliente en caso de una solicitud de divulgación de datos por parte de un organismo gubernamental; y (4) la capacidad de AWS para cumplir con sus obligaciones establecidas en el APD de AWS en cumplimiento de la legislación vigente en un tercer país en el que se procesen los datos de los clientes. El Anexo suplementario también aborda (5) los derechos legales de las personas a reclamar una indemnización en caso de violación de los derechos otorgados por el RGPD.

Sí, AWS puede utilizar tres tipos de subtratadores: (1) entidades de AWS que proporcionan la infraestructura en la que se ejecutan los servicios de AWS; (2) entidades de AWS que respaldan servicios específicos de AWS que pueden requerir que estas entidades procesen los datos de los clientes; y (3) terceros que AWS ha contratado para realizar actividades de procesamiento para servicios específicos de AWS. La página web de subtratadores de AWS proporciona más información sobre los subtratadores que AWS contrata de acuerdo con el APD de AWS, para proporcionar actividades de procesamiento de datos de clientes en nombre de los clientes. Los subtratadores relevantes para un cliente individual dependerán de la región de AWS que el cliente seleccione o de los servicios de AWS concretos que utilice.

El documento técnico de AWS, Cómo gestionar la conformidad con los requisitos para la transferencia de datos de la Unión Europea (UE), aporta información sobre los servicios y los recursos que AWS ofrece a los clientes para ayudarles a llevar a cabo evaluaciones de la transferencia de datos en vista de la sentencia “Schrems II” y las consiguientes recomendaciones del Comité Europeo de Protección de Datos. El documento técnico también describe las medidas clave adicionales que AWS ha adoptado y ha facilitado para proteger los datos de los clientes.

Para demostrar los altos niveles de conformidad que mantenemos en la infraestructura, AWS ofrece información útil a los clientes, incluidos varios informes de conformidad de auditores terceros que han verificado que cumplimos distintos estándares y reglamentos relativos a la seguridad. En estos informes, los clientes pueden ver que protegemos los datos de sus clientes que deciden procesar en AWS. Un ejemplo de ello es la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La norma ISO 27018 contiene controles de seguridad centrados en la protección de los datos de clientes.

AWS también cumple el código de conducta de CISPE en relación con la protección de los datos. Puede encontrar más información acerca del código de conducta de CISPE en la siguiente pregunta frecuente: “¿Cumple AWS con un código de conducta aprobado por el RGPD específico para los servicios de infraestructura en la nube?”

Sí. Desde junio de 2023, 107 servicios de AWS cumplen con el Código de conducta de Protección de datos de los Proveedores de Servicios de Infraestructura en la Nube en Europa (CISPE). CISPE es una coalición de líderes en computación en la nube que atiende a millones de clientes europeos. El Código de conducta de Protección de datos CISPE (Código CISPE), es el primer código de conducta paneuropeo de protección de datos centrado en los proveedores de servicios de infraestructura en la nube. El Código CISPE fue aprobado por el Comité Europeo de Protección de Datos, en nombre de las 27 autoridades de protección de datos en Europa, y fue adoptado de manera formal por la Autoridad de Protección de Datos de Francia (CNIL), que actúa como la principal autoridad supervisora. En 2017, AWS anunció que cumplía los requisitos de una versión anterior del Código CISPE.

El Código CISPE ayuda a los clientes a asegurarse de que el proveedor de servicios de infraestructura en la nube ofrece las garantías operativas adecuadas para demostrar el cumplimiento con el RGPD y proteger los datos de los clientes. Estos son algunos de los beneficios claves del Código CISPE:

• Centrado en la infraestructura en la nube: aclara la función del proveedor de servicios de infraestructura en la nube en virtud del RGPD con respecto al tratamiento de los datos de los clientes, es decir, cualquier dato personal tratado en nombre del cliente que use el servicio de infraestructura en la nube.
• Datos en Europa: exige a los proveedores de servicios de infraestructura en la nube que ofrezcan a los clientes la posibilidad de usar servicios para almacenar y procesar los datos de los clientes exclusivamente en el Espacio Económico Europeo (EEE).
• Privacidad de datos: el código CISPE garantiza a las organizaciones que sus proveedores de servicios de infraestructura en la nube cumplen los requisitos aplicables a datos personales procesados en su nombre (datos de clientes) de acuerdo con el RGPD.

El Certificado de Conformidad que muestra el estado de conformidad de AWS está disponible en el registro público de la CISPE. Se ha verificado de forma independiente que los servicios de AWS incluidos en la lista cumplen el Código CISPE. El proceso de verificación fue llevado a cabo por Ernst & Young CertifyPoint (EY CertifyPoint), un organismo de control independiente, reconocido a nivel mundial y acreditado por la CNIL.

El RGPD no cambia el Modelo de responsabilidad compartida de AWS, que se continúa aplicando a los clientes. El modelo de responsabilidad compartida es un útil método para ilustrar las diferentes responsabilidades de AWS (como subprocesador o procesador de datos) y de los clientes (como controladores de datos o procesadores de datos) según el RGPD.

De acuerdo con el modelo de responsabilidad compartida, AWS es responsable de proteger la infraestructura subyacente que da soporte a los servicios de AWS (“Seguridad “DE” la nube”). Los clientes, en calidad de responsables o encargados del tratamiento de datos, son responsables de los datos personales que carguen a los servicios de AWS (“Seguridad “EN” en la nube”).

Responsabilidad de AWS en relación con la “Seguridad de la nube”: AWS es responsable de proteger la infraestructura global que ejecuta todos los servicios de AWS. Esta infraestructura se compone del hardware, el software, redes y las instalaciones que ejecutan los servicios de AWS, lo que brinda controles eficientes a los clientes, incluidos los controles de la configuración de seguridad, para la gestión del contenido de los clientes. AWS proporciona varios informes de conformidad de auditores externos que han verificado que cumplimos distintos estándares y reglamentos relacionados con la seguridad informática (para obtener más información, visite la página web Conformidad de AWS). En estos informes, los clientes pueden ver que protegemos los datos de sus clientes. Un ejemplo de ello es la conformidad con las normas ISO 27001, 27017 y 27018 por parte de AWS. La norma ISO 27018 contiene controles de seguridad centrados en la protección de los datos de clientes.

“Seguridad en la nube” como responsabilidad del cliente: los clientes de AWS son responsables de la arquitectura y la seguridad de las aplicaciones y soluciones que deciden implementar en los servicios de AWS. Los clientes de AWS también son responsables de configurar los servicios de AWS de forma que se protejan las necesidades de confidencialidad, integridad y seguridad de los datos de sus clientes. Las responsabilidades específicas que tienen los clientes para proteger los datos de sus clientes varían en función de los servicios de AWS que los clientes decidan utilizar y de cómo se integren esos servicios en sus entornos de TI. Los clientes de AWS pueden ver y controlar los datos de sus clientes. También pueden implementar controles de seguridad flexibles basados en la confidencialidad del tipo específico de datos de los clientes. Los clientes pueden hacerlo mediante sus propias medidas de seguridad y herramientas, o mediante las medidas de seguridad y herramientas facilitadas por AWS u otros proveedores. De este modo, los clientes pueden establecer capas de seguridad adicionales para los datos más confidenciales de los clientes.

AWS pone a disposición productos, herramientas y servicios que los clientes pueden utilizar para diseñar y proteger sus aplicaciones y soluciones y que se pueden implementar para ayudar a gestionar los requisitos del RGPD, entre ellos:

• AWS Identity and Access Management (IAM) permite a las organizaciones administrar el acceso a los servicios y recursos de AWS de manera segura. Al utilizar IAM, los clientes pueden crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir el acceso a los recursos de AWS y denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costes adicionales.
• AWS CloudTrail permite a las organizaciones registrar, supervisar de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitado en todas las cuentas de AWS de manera predeterminada).
• Amazon GuardDuty es un servicio de detección de amenazas administrado que supervisa de forma continua para encontrar comportamientos maliciosos o no autorizados, y facilita la protección de las cargas de trabajo y cuentas de AWS. Monitorea la actividad que pueda indicar que una cuenta se ha visto comprometida, como llamadas a la API inusuales o implementaciones potencialmente no autorizadas. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.
• Amazon Macie es una herramienta de machine learning que permite identificar y clasificar los datos personales almacenados en Amazon S3.

Consulte nuestro documento técnico, Información general sobre el cumplimiento del reglamento GDPR en AWS, para obtener más detalles sobre cómo usar los recursos de AWS de conformidad con el RGPD.

Sí, puede buscar “RGDP” en el buscador de soluciones de socios de AWS para que sea más sencillo encontrar socios de ISV, MSP y SI con productos o servicios que ayuden a cumplir los requisitos del RGPD. Los clientes también pueden buscar soluciones “RGPD” en AWS Marketplace.

Sí, el Departamento de Servicios de Garantía de Aeguridad de AWS lleva a cabo una serie de actividades para ayudar a los clientes en su camino hacia la conformidad con el RGPD. Este departamento de profesionales en conformidad certificados ayuda a los clientes a lograr, mantener y automatizar la conformidad en la nube mediante la vinculación de las normas de conformidad correspondientes con las características y funcionalidades específicas de los servicios de AWS. Puede encontrar más detalles sobre cómo los consultores de AWS Professional Services ayudan a los clientes aquí.

Los clientes pueden usar AWS Support para recibir orientación técnica que les ayude en su camino hacia la conformidad con el RGPD. En el marco de esta actividad, contamos con equipos de ingenieros de soporte para la nube y gerentes técnicos de cuenta (TAM) capacitados para identificar y mitigar los riesgos de conformidad. El nivel de soporte que ofrece AWS depende del plan de AWS Support que los clientes elijan. Los clientes que deseen saber cómo puede ayudarlos AWS Premium Support encontrarán más información en AWS Support Center, disponible a través de la Consola de administración de AWS, mediante los datos de contacto que figuran en el acuerdo de Enterprise Support suscrito con AWS o la página web de AWS Support. Los clientes con Enterprise Support deberán contactar a su TAM si tienen preguntas relacionadas con el RGPD.

Los siguientes dos programas pueden ser útiles para los clientes que deseen cumplir con el RGPD:

• Análisis de operaciones en la nube: este programa, que está disponible para los clientes de AWS Enterprise Support, está diseñado para identificar fallos en su estrategia para operar en la nube. El programa surgió a partir de un conjunto de prácticas recomendadas operativas extraídas de la experiencia de AWS con un gran conjunto de clientes representativos. Proporciona un análisis de las operaciones en la nube y las prácticas de administración asociadas, lo que puede ayudar a las organizaciones a cumplir el RGPD. El programa se fundamenta en cuatro pilares y se centra en preparar, monitorear, utilizar y optimizar sistemas basados en la cloud con el fin de alcanzar la excelencia operativa.
• Análisis de Well-Architected: este programa permite a las organizaciones evaluar su arquitectura con respecto a las prácticas recomendadas de AWS y crear arquitecturas seguras, confiables, de alto rendimiento y rentables. Con los análisis de Well-Architected, los clientes también pueden saber en qué lugares de su arquitectura hay riesgos y abordarlos antes de que las aplicaciones pasen a la fase de producción.

AWS cuenta con un proceso de supervisión de incidentes de seguridad y de notificación de filtraciones de datos, y notificará a los clientes sobre la vulneración de la seguridad de AWS sin demoras indebidas y de conformidad con el APD de AWS. AWS también pone a disposición de los clientes una serie de herramientas para saber quién tiene acceso a sus recursos, cuándo y desde dónde. Una de estas herramientas es AWS CloudTrail, que permite auditar la gobernanza, la conformidad, las operaciones y los riesgos de una cuenta de AWS. Con AWS CloudTrail, el cliente puede registrar, monitorear de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en toda su infraestructura de AWS. De este modo, las organizaciones saben lo que sucede con la infraestructura de AWS y pueden tomar medidas de inmediato ante una actividad inusual. Para obtener más información sobre otras herramientas de seguridad que AWS pone a disposición de los clientes para ayudarlos a cumplir sus obligaciones como responsables del tratamiento de datos según la RGPD, visite la página web Seguridad en la nube de AWS.

AWS ofrece a los clientes y socios de la APN una serie de herramientas para proteger los datos de sus clientes y ayudar a protegerse frente a los ciberataques. Una de estas herramientas es AWS Shield. Se trata de un servicio gestionado de protección frente a ataques de denegación de servicio distribuido (DDoS) para salvaguardar los sitios web y las aplicaciones que se ejecutan en AWS. AWS Shield Standard está disponible sin costes adicionales y proporciona detección permanente y mitigaciones automáticas en línea que pueden minimizar el tiempo de inactividad y la latencia de las aplicaciones. Para obtener niveles más altos de protección contra ataques dirigidos a aplicaciones web que se ejecutan en AWS y utilizan recursos de ELB, Amazon CloudFront y Amazon Route 53, los clientes y los socios de APN pueden suscribirse a AWS Shield Advanced. AWS también publica y actualiza periódicamente un documento sobre las prácticas recomendadas de AWS para resistir ataques de DDoS, que ayuda a los clientes a usar AWS a fin de crear aplicaciones resilientes frente a los ataques de DDoS.

Entre las demás herramientas de AWS para proteger los datos de los clientes contra los ciberataques, figuran las siguientes:

• AWS Identity and Access Management (IAM) permite a las organizaciones administrar el acceso a los servicios y recursos de AWS de manera segura. Al utilizar IAM, los clientes y los socios de APN pueden crear y gestionar usuarios y grupos de AWS, así como usar permisos para permitir el acceso a los recursos de AWS y denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costes adicionales.
• AWS Config permite a los clientes y a los socios de la APN habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
• AWS CloudTrail permite a las organizaciones registrar, supervisar de manera continua y retener la información relativa a la actividad de la cuenta relacionada con acciones en AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitado en todas las cuentas de AWS de manera predeterminada).
• Amazon GuardDuty es un servicio de detección de amenazas administrado que supervisa de forma continua para encontrar comportamientos maliciosos o no autorizados, y facilita la protección de las cargas de trabajo y cuentas de AWS. Monitorea la actividad que pueda indicar que una cuenta se ha visto comprometida, como llamadas a la API inusuales o implementaciones potencialmente no autorizadas. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.

Amazon Macie es un servicio de privacidad y seguridad de datos completamente administrado que usa machine learning y la correspondencia de patrones para descubrir y proteger sus datos confidenciales en AWS. Como las organizaciones gestionan volúmenes cada vez mayores de datos, identificar y proteger sus datos personales a escala puede ser cada vez más complejo, más caro y llevar mucho más tiempo. Amazon Macie automatiza el descubrimiento de datos personales a escala y reduce los costos que supone protegerlos. Macie proporciona automáticamente un inventario de los buckets de Amazon S3, incluida una lista de los buckets no cifrados, los buckets de acceso público y los buckets compartidos con las cuentas de AWS fuera de las definidas en AWS Organizations. Luego, Macie aplica las técnicas de machine learning y correspondencia de patrones en los buckets que seleccione para identificar y recibir alertas sobre datos personales.

Amazon Macie cuenta con certificaciones estándares reconocidas en todo el mundo, como la norma ISO 27017 sobre seguridad en la nube o la ISO 27018 sobre privacidad en la nube. Los clientes y socios de la APN también pueden usar Macie para supervisar de forma continua el acceso a sus datos con el fin de detectar actividades sospechosas en función de patrones de acceso.

Para ayudar a los clientes a cumplir los requisitos del RGPD, AWS tiene una serie de herramientas para controlar el acceso a los datos personales de su contenido en AWS. Entre estas herramientas, se incluyen las siguientes:

• La seguridad por defecto hace referencia a que los servicios de AWS están diseñados para ser seguros de manera predeterminada. Si se utiliza la configuración predeterminada, el acceso a los recursos se restringe al propietario de la cuenta y al administrador raíz.
• AWS Identity and Access Management (IAM) permite a los clientes administrar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, las organizaciones pueden crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir el acceso a los recursos de AWS o denegarlo. IAM es una característica de las cuentas de AWS que se ofrece sin costes adicionales.
• La autenticación multifactor de AWS agrega una capa de protección adicional por encima del nombre de usuario y la contraseña de la cuenta de AWS. AWS brinda a los clientes la opción de utilizar dispositivos MFA virtuales y de hardware.
• AWS Directory Service permite a los clientes hacer integraciones y federaciones con directorios corporativos para reducir la sobrecarga administrativa y mejorar la experiencia del usuario final.
• AWS Config permite a los clientes habilitar reglas predefinidas para garantizar que sus recursos de AWS sean conformes y estén bien configurados.
• AWS CloudTrail permite a los clientes registrar, supervisar de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en su infraestructura de AWS, lo que simplifica los análisis de seguridad, el seguimiento de cambios en los recursos y la solución de problemas (AWS CloudTrail está habilitada en todas las cuentas de AWS de manera predeterminada).
• Amazon Macie usa machine learning para ayudar a los clientes a evitar la pérdida de datos mediante la detección, clasificación y protección automáticas de datos confidenciales en AWS. Este servicio completamente administrado monitorea de manera continua el acceso a los datos en busca de anomalías y genera alertas detalladas cuando detecta un riesgo de acceso no autorizado o filtración de datos accidental, como el hecho de que un cliente, por error, otorgue acceso a información confidencial a usuarios ajenos.

AWS ofrece a los clientes y a los socios de la APN la posibilidad de agregar una capa de seguridad adicional a los datos en reposo de sus clientes en la nube. También los ayuda a cumplir sus obligaciones relativas a la seguridad del tratamiento como responsables del tratamiento de datos según el RGPD. Entre las herramientas de cifrado de AWS, figuran las siguientes:

• Funciones de cifrado de datos disponibles en los servicios de almacenamiento y bases de datos de AWS, como Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS y Redshift
• Opciones flexibles de gestión de claves, como AWS Key Management Service, que permiten elegir si desea que AWS administre las claves de cifrado o si quiere que los clientes mantengan el control total sobre ellas
• Colas de mensajes cifrados para la transmisión de datos confidenciales mediante el cifrado del servidor (SSE) para Amazon SQS
• Almacenamiento de claves criptográficas especializado y basado en hardware que usa AWS CloudHSM y permite a los clientes satisfacer los requisitos de conformidad

Además, AWS proporciona diversas API para que los clientes y los socios de la APN puedan integrar el cifrado y la protección de los datos con cualquiera de los servicios que desarrollen o implementen en un entorno de AWS.

AWS proporciona características y servicios específicos que ayudan a los clientes a cumplir requisitos del RGPD:

Control de acceso: permita el acceso a los recursos de AWS únicamente a administradores, usuarios y aplicaciones autorizados

• Autenticación multifactor (MFA)
• Acceso detallado a objetos en buckets de Amazon S3/Amazon SQS/Amazon SNS y otros
• Autenticación de solicitudes a la API
• Restricciones geográficas
• Tokens de acceso temporal mediante AWS Security Token Service

Supervisión y registro: obtenga información general de las actividades en sus recursos de AWS

• Gestión y configuración de activos con AWS Config
• Auditoría de conformidad y análisis de seguridad con AWS CloudTrail
• Identificación de desafíos de configuración mediante AWS Trusted Advisor
• Registro pormenorizado de acceso a objetos de Amazon S3
• Información detallada sobre flujos en la red mediante los registros de flujos de Amazon VPC
• Acciones y verificaciones de configuración basadas en reglas con las reglas de AWS Config
• Filtros y supervisión de acceso HTTP a aplicaciones con funciones de AWS WAF en AWS CloudFront

Cifrado: cifre datos en AWS

• Cifrado de sus datos en reposo con AES256 (EBS/S3/Glacier/RDS)
• Administración de claves administrada de manera centralizada (por región de AWS)
• Túneles IPsec hacia AWS con las gateways de VPN
• Módulos HSM dedicados en la nube con AWS CloudHSM

Marco sólido para lograr la conformidad y normas de seguridad: demostramos la conformidad con rigurosas normas internacionales, como:

• ISO 27001 para procedimientos técnicos
• ISO 27017 para seguridad de la nube
• ISO 27018 para privacidad de la nube
• SOC 1, SOC 2 y SOC 3, PCI DSS de nivel 1,
• Catálogo de controles comunes de computación en la nube (C5) de BSI
• ENS alto

El RGPD es un reglamento de la UE y, después del Brexit, ya no se aplica al Reino Unido.  El gobierno del Reino Unido ha incorporado los requisitos del RGPD a la legislación británica como “RGPD del Reino Unido”.

AWS ofrece un Anexo del RGPD del Reino Unido que es conforme con el APD de AWS y que incorpora los compromisos de AWS como encargado del tratamiento de datos en virtud del RGPD del Reino Unido. Este Anexo del RGPD del Reino Unido forma parte de los Términos de servicio de AWS y se aplica automáticamente a todos los clientes que requieren un acuerdo de procesamiento de datos para cumplir con el RGPD del Reino Unido.

El Anexo del RGPD del Reino Unido, que forma parte de los Términos de servicio de AWS, incluye las SCC adoptadas por la CE y el anexo de transferencia internacional de datos (IDTA) emitido por el regulador de protección de datos del Reino Unido (la Oficina del Comisionado de Información).  El IDTA modifica las SCC para garantizar que constituyan una protección adecuada en virtud del RGPD del Reino Unido para las transferencias internacionales de datos a países fuera del Reino Unido que no han sido reconocidos como proveedores de un nivel adecuado de protección de los datos personales (países terceros del Reino Unido). El Anexo del RGPD del Reino Unido confirma que las SCC (modificadas por el IDTA) se aplicarán automáticamente siempre que un cliente use los servicios de AWS para transferir datos de clientes sujetos al RGPD del Reino Unido (datos de clientes del Reino Unido) a países terceros del Reino Unido.  Como parte del Anexo del RGPD del Reino Unido en los Términos de servicio de AWS, las SCC (modificadas por el IDTA) se aplicarán automáticamente siempre que un cliente use los servicios de AWS para transferir datos de clientes del Reino Unido a países terceros del Reino Unido.

AWS ofrece un Anexo suizo al Anexo de tratamiento de datos de AWS (el “Anexo suizo”). En este se encuentran los compromisos de AWS en calidad de encargado del tratamiento de datos en virtud de la Ley Federal de Protección de Datos de Suiza (la “FDPA”). El Anexo suizo forma parte de los Términos de servicio de AWS (consulte la sección 1.14.4) y se aplica automáticamente cuando la FDPA rige el uso de los servicios de AWS por parte de un cliente para tratar datos de clientes.

El Anexo suizo al Anexo de tratamiento de datos de AWS, que forma parte de los Términos de servicio de AWS (consulte la sección 1.14.4), incluye las Cláusulas contractuales tipo (las “SCC”) adoptadas por la Comisión Europea y modificadas según lo exigido por el Comisionado Federal Suizo de Protección de Datos e Información. El Anexo suizo confirma que las CCT (en su versión modificada por el Anexo suizo) se aplicarán automáticamente siempre que un cliente utilice los servicios de AWS para transferir datos de clientes sujetos a la FDPA a terceros países.

Se recomienda que los clientes que tengan preguntas con respecto al RGPD contacten antes con el administrador de cuentas de AWS. Si los clientes se registraron en Enterprise Support, también pueden contactar al gerente técnico de cuenta (TAM). Los TAM trabajan con arquitectos de soluciones para ayudar a los clientes a identificar posibles riesgos y mitigaciones. Los TAM y los equipos de cuentas también pueden indicar a los clientes y socios de APN recursos específicos en función de su entorno y necesidades.

AWS también cuenta con equipos de representantes de Enterprise Support, consultores de servicios profesionales y demás personal para ofrecer asistencia en caso de que los usuarios tengan alguna pregunta sobre el RGPD. Si tiene dudas, contáctenos aquí.