Amazon Web Services: Riesgos y conformidad Abril de 2015

Transcripción

1 Amazon Web Services: Riesgos y conformidad Abril de 2015 (Consulte para acceder a versión más actualizada de este documento) Página 1 de 136

2 Con este documento se pretende facilitar destinada a ayudar a los clientes de AWS a integrar AWS con estructura de control que tienen instada para respaldar su entorno de TI. Este documento incluye un enfoque básico para evaluar los controles de AWS, además de para ayudar a los clientes con integración de los entornos de control. También se incluye específica de AWS en reción con preguntas generales acerca de conformidad de informática en nube. Índice Información general sobre riesgos y conformidad... 3 Entorno de responsabilidad compartida... 3 Control exhaustivo de conformidad... 4 Evaluación e integración de los controles de AWS... 4 Información acerca del control de TI de AWS... 5 Regiones mundiales de AWS... 5 Programa de riesgos y conformidad de AWS... 6 Gestión de riesgos... 6 Entorno de control Informes y certificaciones de AWS y acreditaciones independientes... 7 FedRAMP SM... 7 FIPS FISMA y DIACAP... 8 HIPAA... 9 ISO ISO ITAR PCI DSS nivel SOC 1/SSAE 16/ISAE SOC SOC Otras prácticas recomendadas de conformidad Preguntas cve sobre conformidad y AWS Contacto de AWS Apéndice A: Cuestionario Consensus Assessments Initiative Questionnaire v1.1 de CSA Apéndice B: Conformidad de AWS con el modelo de del contenido de Motion Picture of America Association (MPAA) Apéndice C: Conformidad de AWS con s consideraciones de de informática en nube de Dirección de Señales Australiana (ASD) Apéndice D: Glosario de términos Página 2 de 136

3 Información general sobre riesgos y conformidad Habida cuenta de que AWS y sus clientes ejercen el control compartido del entorno de TI, ambas partes son responsables de gestión de dicho entorno. Por una parte, AWS es responsable de prestar sus servicios en una ptaforma controda y con un alto nivel de, así como de ofrecer un amplio abanico de características de que los clientes pueden utilizar. Por cuanto atañe a los clientes, su responsabilidad comprende configurar los entornos de TI de manera controda y segura para satisfacer sus necesidades. Si bien los clientes no facilitan a AWS acerca del uso y s configuraciones, en cambio, AWS sí informa a los clientes sobre el entorno de control y pertinente. Para ello, AWS se basa en: Obtener s certificaciones del sector y s acreditaciones independientes descritas en el presente documento Publicar acerca de s prácticas de y control de AWS en documentos técnicos y en el contenido del sitio web Ofrecer certificados, informes y otra documentación directamente a los clientes de AWS en virtud de acuerdos de confidencialidad (según proceda) Para obtener una descripción más detalda de de AWS, visite el Centro de de AWS. En el documento técnico AWS Overview of Security Processes se abordan los controles generales de y específica de los servicios de AWS. Entorno de responsabilidad compartida Al migrar infraestructura de TI a los servicios de AWS, se crea un modelo de responsabilidad compartida entre el cliente y AWS. Este modelo compartido puede aliviar carga operativa del cliente, ya que AWS opera, gestiona y contro los componentes del sistema operativo host y capa de virtualización, a fin de ofrecer física en s instaciones en s que operan los servicios. Por otra parte, el cliente asume responsabilidad y gestión del sistema operativo invitado (incluidas s actualizaciones y s revisiones de ), de cualquier otro software de aplicaciones asociadas y de configuración del firewall del grupo de que ofrece AWS. Los clientes deben pensar detenidamente en los servicios que eligen, ya que s responsabilidades varían en función de los servicios que utilicen, de integración de los mismos en su entorno de TI y de legisción y los regmentos aplicables. Los clientes pueden mejorar o cumplir requisitos de conformidad más estrictos gracias a utilización de aplicaciones tecnológicas como firewalls basados en host, prevención y detección de intrusiones basadas en host, cifrado y gestión de cves. La naturaleza de esta responsabilidad compartida también ofrece flexibilidad y posibilidad de que el cliente pueda contror implementación de soluciones que satisfagan s necesidades de certificación específicas del sector. Esta responsabilidad compartida entre clientes y AWS también abarca los controles de TI. De misma forma que AWS y sus clientes comparten responsabilidad operativa del entorno de TI, también comparten en lo referente a gestión, operación y verificación de los controles de TI. AWS puede ayudar a aliviar carga que supone para los clientes operar los controles, para lo que gestiona los controles asociados con infraestructura física implementada en el entorno de AWS de cuya gestión se encargaba el cliente anteriormente. Habida cuenta de que implementación de cada cliente se realiza de manera independiente en AWS, los clientes tienen oportunidad de migrar a AWS gestión de determinados controles de TI, para así obtener un entorno de control distribuido (nuevo). Los clientes pueden utilizar documentación de control y conformidad de AWS disponible (se describe en sección Certificaciones y acreditaciones independientes de AWS de este documento) para realizar sus procedimientos de evaluación y verificación de control según sea necesario. En siguiente sección se ofrece un enfoque acerca de cómo los clientes de AWS pueden evaluar y validar su entorno de control distribuido con eficacia. Página 3 de 136

4 Control exhaustivo de conformidad Como de costumbre, los clientes de AWS necesitan mantener un control adecuado de todo el entorno de control de TI con independencia de cómo se implemente TI. Entre s principales prácticas destacan conocer los objetivos y los requisitos necesarios en materia de conformidad (a partir de s fuentes pertinentes), crear un entorno de control que satisfaga tales objetivos y requisitos, conocer validación necesaria conforme a tolerancia de riesgos de organización y verificación de eficacia operativa del entorno de control. La implementación en nube de AWS ofrece a s empresas diferentes opciones para aplicar varios tipos de controles y diversos métodos de verificación. A efectos de conseguir un sólido nivel de control y conformidad por parte del cliente, cabe adoptar el siguiente enfoque básico: 1. Revise disponible en AWS y toda adicional que proceda para conocer al máximo todo el entorno de TI y, a continuación, documente todos los requisitos de conformidad. 2. Diseñe e implemente los objetivos de control a efectos de satisfacer s necesidades empresariales en términos de conformidad. 3. Identifique y documente los controles que sean propiedad de terceros. 4. Compruebe que se cumpn todos los objetivos de control y que se han diseñado todos los controles principales y que estos operan con eficacia. Enfocar el control de conformidad de esta forma ayudará a s empresas a conocer mejor su entorno de control y a definir con cridad s actividades de verificación que cabe ejecutar. Evaluación e integración de los controles de AWS AWS ofrece a los clientes una gran variedad de con respecto al entorno de control informático a través de publicaciones técnicas, informes, certificaciones y otras acreditaciones independientes. Esta documentación ayuda a los clientes a conocer los controles existentes relevantes para los servicios de AWS que utilizan y cómo estos controles han sido validados. Esta también ayuda a los clientes a justificar y validar que los controles de su entorno informático funcionan con eficacia. Los auditores internos o externos suelen encargarse de validar el diseño y eficacia operativa de los objetivos de control y los controles a través de revisiones de procesos y evaluación de evidencias. Por otra parte, el cliente o el auditor externo del cliente suelen realizar verificaciones y observaciones directas para validar los controles. En caso de que se utilicen proveedores de servicios, tales como AWS, s empresas solicitan y evalúan s certificaciones y acreditaciones independientes para obtener garantías razonables en reción con el diseño y eficacia operativa de los controles y objetivos de control. Como resultado, si bien AWS puede gestionar los controles cve del cliente, el entorno de control puede constituir una estructura unificada donde se tienen en cuenta todos los controles y donde también se verifica su eficacia operativa. Las acreditaciones independientes y s certificaciones de AWS no solo pueden ofrecer un nivel más alto de validación del entorno de control, sino que también pueden liberar a los clientes de tener que realizar determinadas tareas de validación del entorno de TI por sí mismos en nube de AWS. Página 4 de 136

5 Información acerca del control de TI de AWS AWS facilita acerca del control de TI a los clientes de s dos formas siguientes: 1. Definición de controles específicos. Los clientes de AWS pueden identificar los controles cve gestionados por AWS. Los controles cve son de vital importancia para el entorno de control del cliente y precisan de una acreditación externa sobre eficacia operativa de estos controles a efectos de satisfacer los requisitos de conformidad, como auditoría financiera anual. Para tal fin, AWS publica un amplio abanico de controles de TI específicos en su informe Service Organization Controls 1 (SOC 1), Tipo II. El informe SOC 1, denominado anteriormente el informe Decración de Normas de Auditoría (SAS) Nº 70, Organizaciones de servicios y conocido comúnmente como Statement on Standards for Attestation Engagements Nº 16 (SSAE 16), es un estándar de auditoría reconocido ampliamente que desarrol el American Institute of Certified Public Accountants (AICPA). La auditoría SOC 1 es una auditoría exhaustiva utilizada para evaluar el diseño y eficacia operativa de los objetivos y s actividades de control de AWS, entre otros, aquellos que comprenden parte de infraestructura que AWS gestiona. La categoría "Tipo II" hace referencia al hecho de que cada uno de los controles descritos en el informe no sólo se evalúa en términos de idoneidad del diseño, sino que los auditores externos también comprueban su eficacia operativa. Habida cuenta de independencia y s competencias del auditor externo de AWS, los controles identificados en el informe aportan a los clientes un alto nivel de confianza en el entorno de control de AWS. El diseño y funcionamiento de los controles de AWS pueden considerarse eficaces para muchos fines de conformidad, entre otros, s auditorías de los estados financieros de sección 404 de Ley Sarbanes-Oxley (SOX). Otros organismos de certificación externos también pueden recurrir a los informes SOC 1, Tipo II (por ejemplo, los auditores de ISO pueden solicitar un informe SOC 1, Tipo II, a fin de realizar s evaluaciones para los clientes). Otras actividades de control específicas están recionadas con el cumplimiento por parte de AWS de s normas del sector de tarjetas de pago (Payment Card Industry, PCI) y de ley estadounidense Federal Information Security Management Act (FISMA). Tal y como se ha especificado anteriormente, AWS cumple s normas de del nivel FISMA Moderate y el estándar de de datos de PCI. Estas normas PCI y FISMA son muy prescriptivas y requieren una validación independiente de que AWS se atiene al estándar publicado. 2. Conformidad con norma de control general. Si un cliente de AWS necesita que se cump un amplio abanico de objetivos de control, puede realizarse una evaluación de s certificaciones del sector de AWS. Con certificación ISO de AWS, AWS cumple con una norma de amplia e integral, además de atenerse a s prácticas recomendadas retivas al mantenimiento de un entorno seguro. Gracias al estándar de de datos (Data Security Standard, DSS) del sector de tarjetas de pago (Payment Card Industry, PCI), AWS cumple con un conjunto de controles importantes para s empresas que procesan sobre tarjetas de crédito. Habida cuenta de que AWS se atiene a s normas de FISMA, AWS cumple un amplio abanico de controles específicos exigidos por organismos gubernamentales de EE. UU. La conformidad con estas normas generales ofrece a los clientes exhaustiva sobre naturaleza integral de los controles y los procesos de existentes, y puede tenerse en cuenta para gestión de conformidad. Más adente en este documento se hab de manera más amplia acerca de los informes y s certificaciones de AWS y de s acreditaciones independientes. Regiones mundiales de AWS Los centros de datos están compidos en clústeres en varias regiones del mundo. Para esta publicación, se contempn nueve regiones: EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE.UU.) (Oregón), UE (Irnda), Asia Pacífico (Singapur), Asia Pacífico (Tokio), Asia Pacífico (Sídney) y América del Sur (São Paulo). Página 5 de 136

6 Programa de riesgos y conformidad de AWS AWS facilita acerca de su programa de riesgos y conformidad a fin de permitir a los clientes incorporar los controles de AWS en su estructura de control. Con esta se pretende ayudar a los clientes a documentar una estructura completa de control en que AWS constituya una parte importante de dicha estructura. Gestión de riesgos El departamento de gestión de AWS ha desarroldo un pn de negocio estratégico que comprende identificación de riesgos y ejecución de controles a efectos de mitigar o gestionar los riesgos. Este departamento evaluar el pn al menos cada dos años. En este proceso, es preciso que el departamento de gestión identifique los riesgos en sus ámbitos de responsabilidad, así como que adopte s medidas apropiadas destinadas a mitigar tales riesgos. Asimismo, el entorno de control de AWS está sujeto a varias evaluaciones de riesgos internas y externas. Los equipos de Seguridad y conformidad de AWS han establecido un marco y políticas de de basados en el marco Control Objectives for Information and reted Technology (COBIT, Objetivos de control para y tecnologías afines) y han integrado con eficacia el marco certificable ISO basándose en los controles de ISO 27002, los Principios de los servicios de confianza del American Institute of Certified Public Accountants (AICPA), el PCI DSS v3.0 y revisión 3 de Publicación del National Institute of Standards and Technology (NIST, Instituto Nacional de Estándares y Tecnología) (Recommended Security Controls for Federal Information Systems). AWS se atiene en todo momento a política de, ofrece formación a los empleados en materia de y realiza revisiones de de s aplicaciones. En estas revisiones se evalúa confidencialidad, integridad y disponibilidad de los datos, así como conformidad con política de de. AWS Security analiza con reguridad todas s direcciones IP de extremo de servicio expuestas a Internet a fin de detectar vulnerabilidades (estos análisis no incluyen s instancias de los clientes). AWS Security notifica al respecto a s partes apropiadas para remediar todas s vulnerabilidades detectadas. Asimismo, empresas de independientes realizan con reguridad evaluaciones de amenazas de vulnerabilidades externas. Los resultados y s recomendaciones derivados de estas evaluaciones se csifican y, además, se entregan a los equipos directivos de AWS. Estos análisis se realizan para comprobar el estado y viabilidad de infraestructura subyacente de AWS, por lo que no están pensados para reempzar a los análisis de vulnerabilidades que realizan los clientes por su cuenta y que resultan necesarios para satisfacer sus requisitos de conformidad específicos. Los clientes pueden solicitar permiso para realizar análisis de infraestructura de nube siempre que se limiten a s instancias del cliente y no infrinjan Política de uso aceptable de AWS. La aprobación previa para realizar estos tipos de análisis se puede obtener enviando una solicitud a través del formurio de solicitud de pruebas de intrusión/vulnerabilidades de AWS. Entorno de control AWS gestiona un entorno de control integral que comprende políticas, procesos y actividades de control que se benefician de varios aspectos del entorno de control global de Amazon. El objetivo de este entorno de control consiste en entrega segura de ofertas de servicios de AWS. El entorno de control colectivo comprende al personal, los procesos y tecnología necesarios para crear y mantener un entorno que respalde eficacia operativa de estructura de control de AWS. AWS ha integrado en su estructura de control los controles específicos de nube aplicables que han identificado los principales organismos del sector de informática en nube. AWS realiza un seguimiento de estos grupos del sector a fin de obtener ideas acerca de qué prácticas principales se pueden aplicar para facilitar aún más a los clientes gestión de su entorno de control. Página 6 de 136

7 El entorno de control en Amazon parte del estrato más alto de empresa. Los altos cargos desempeñan funciones importantes a hora de definir los valores principales y el tono de empresa. A todos los empleados se les proporciona el código de conducta de empresa y, además, completan un proceso de formación periódica. Las auditorías de conformidad se realizan a fin de que los empleados puedan conocer y seguir s políticas establecidas. La estructura organizativa de AWS ofrece una estructura de pnificación, ejecución y control de s operaciones empresariales. Esta estructura organizativa asigna funciones y responsabilidades a fin de habilitar al personal adecuado, ofrecer eficacia en s operaciones y facilitar segregación de funciones. La dirección también tiene una autoridad definida y líneas apropiadas para generar informes del personal cve. Los procesos de verificación de contratación de empresa comprenden formación, experiencia profesional anterior y, en algunos casos, comprobación de antecedentes de conformidad con legisción y los regmentos a efectos de que los empleados se ajusten al cargo del empleado y al nivel de acceso a s instaciones de AWS. La empresa sigue un proceso de contratación estructurado para familiarizar a los nuevos empleados con s herramientas, los procesos, los sistemas, s políticas y los procedimientos de Amazon. AWS ha aplicado un programa formal de de diseñado para proteger confidencialidad, integridad y disponibilidad de los sistemas y los datos de los clientes. AWS publica un documento técnico sobre que se encuentra disponible en el sitio web público en el que se trata cómo AWS puede ayudar a los clientes a proteger sus datos. Informes y certificaciones de AWS y acreditaciones independientes AWS cobora con organismos de certificación externos y auditores independientes para ofrecer a los clientes considerable acerca de s políticas, los procesos y los controles que establece y aplica AWS. FedRAMP SM AWS es un proveedor de servicios en nube que cumple con el programa federal de gestión de riesgos y autorizaciones (Federal Risk and Authorization Management Program, FedRAMP sm ) de EE. UU. AWS ha completado s pruebas realizadas por una organización de valoración independiente (3PAO, por sus sigs en inglés) acreditada por FedRAMP sm y el Departamento de Sanidad y Asuntos Sociales (HHS) de EE. UU. le ha otorgado dos títulos de autorización de agencia operativa (Agency Authority to Operate, ATO) tras demostrar su conformidad con los requisitos de FedRAMP sm con un nivel de impacto moderado. Todas s agencias del Gobierno de EE. UU. pueden aprovechar los paquetes AWS Agency ATO almacenados en el repositorio de FedRAMP sm para evaluar AWS respecto a sus aplicaciones y sus cargas de trabajo, ofrecer autorizaciones de uso de AWS y trasdar cargas de trabajo al entorno de AWS. Los dos Agency ATO de FedRAMP sm abarcan todas s regiones de EE. UU. ( región AWS GovCloud (EE.UU.) y s regiones EE.UU. Este y EE.UU. Oeste de AWS). Página 7 de 136

8 Los siguientes servicios se encuentran dentro de los límites de acreditación para s regiones indicadas anteriormente: Amazon Redshift. Amazon Redshift es un servicio rápido y totalmente gestionado de almacén de datos a esca de petabytes que permite analizar todos los datos empleando s herramientas de inteligencia empresarial existentes en forma sencil y rentable. Amazon Estic Compute Cloud (Amazon EC2). Amazon EC2 ofrece capacidad informática de tamaño variable en nube. Está diseñado para ofrecer a los desarroldores una informática de escado web más sencil. Amazon Simple Storage Service (S3). Amazon S3 proporciona una sencil interfaz de servicios web que puede utilizarse para almacenar y recuperar cantidad de datos que desee, cuando desee y desde cualquier parte de web. Amazon Virtual Private Cloud (VPC). Amazon VPC permite aprovisionar una sección de AWS aisda mediante lógica donde poder nzar recursos de AWS en red virtual que se defina. Amazon Estic Block Store (EBS). Amazon EBS ofrece volúmenes de almacenamiento altamente disponibles, fiables y predecibles que se pueden adjuntar a una instancia de Amazon EC2 en ejecución y se pueden exponer como un dispositivo dentro de instancia. AWS Identity and Access Management (IAM). IAM permite contror de forma segura el acceso de sus usuarios a servicios y recursos de AWS. Con IAM puede crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir o denegar el acceso a los recursos de AWS. Para obtener más acerca de conformidad con el FedRAMP sm de AWS, consulte s Preguntas frecuentes sobre el FedRAMP sm en AWS. FIPS La Publicación del Federal Information Processing Standard (FIPS) es un estándar de del gobierno de EE. UU. que especifica los requisitos de para los módulos criptográficos que protegen confidencial. Para ayudar a los clientes a cumplir los requisitos de FIPS 140-2, s terminaciones SSL de AWS GovCloud (EE.UU.) operan mediante el uso de hardware validado conforme a FIPS AWS trabaja con los clientes de AWS GovCloud (EE.UU.) para facilitarles necesaria que les ayude a garantizar conformidad cuando utilizan el entorno de AWS GovCloud (EE.UU.). FISMA y DIACAP AWS permite a s agencias gubernamentales estadounidenses cumplir ley estadounidense Federal Information Security Management Act (FISMA), retiva a gestión de de. La infraestructura de AWS ha sido evaluada por asesores independientes para diferentes sistemas gubernamentales como parte de su proceso de aprobación de propietarios de sistemas. Diversas organizaciones civiles y del Departamento de Defensa (DoD, por sus sigs en inglés) de Estados Unidos han logrado autorizaciones de para sistemas alojados en AWS, según el proceso Risk Management Framework (RMF), retivo a gestión del riesgo y definido en NIST , y al proceso DoD Information Assurance Certification and Accreditation Process (DIACAP) de certificación y acreditación de calidad de. Página 8 de 136

9 HIPAA AWS permite que s entidades cubiertas y s empresas asociadas sujetas a Ley estadounidense de portabilidad y responsabilidad de seguros médicos (Health Insurance Portability and Accountability Act, HIPAA) puedan beneficiarse del entorno seguro de AWS para procesar, mantener y almacenar sanitaria confidencial, por lo que AWS suscribirá acuerdos de empresas asociadas con tales clientes. AWS ofrece además un documento técnico dedicado a HIPAA para los clientes que deseen informarse acerca de cómo pueden aprovechar AWS para procesar y almacenar sanitaria. En el documento técnico Creating HIPAA-Compliant Medical Data Applications with AWS se explica cómo pueden utilizar AWS s empresas para procesar sistemas que faciliten conformidad con HIPAA y Health Information Technology for Economic and Clinical Health (HITECH). Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta HIPAA, pero solo deben procesar, almacenar y transmitir médica protegida (PHI) en los servicios elegibles por HIPAA definidos en el BAA. En actualidad hay seis servicios elegibles por HIPAA, entre los que se incluyen Amazon EC2, Amazon EBS, Amazon S3, Amazon Redshift, Amazon Gcier y Amazon Estic Load Bancer. AWS sigue un programa de gestión de riesgos basado en estándares para asegurarse de que los servicios elegibles por HIPAA admiten expresamente los procesos de, control y administrativos necesarios en virtud de HIPAA. El uso de estos servicios para almacenar y procesar médica protegida (PHI) permite que nuestros clientes y AWS aborden s disposiciones de HIPAA aplicables a nuestro modelo operativo basado en utilidad. AWS da prioridad a los servicios elegibles, y añade servicios nuevos, en función de demanda de los clientes. ISO 9001 AWS ha obtenido certificación ISO Esta certificación ayuda directamente a los clientes que desarroln, migran y operan en nube de AWS sus sistemas de TI con control de calidad. Los clientes pueden utilizar los informes de conformidad de AWS para demostrar que disponen de sus propios programas ISO 9001 y programas de calidad específicos del sector, como GxP para s ciencias de vida, ISO para dispositivos médicos, AS9100 para el sector aeroespacial e ISO/TS para el sector del automóvil. Los clientes de AWS que no poseen requisitos de sistema de calidad pueden beneficiarse de y transparencia adicionales que proporciona certificación ISO La certificación ISO 9001 abarca el sistema de gestión de calidad en un ámbito especificado de servicios y regiones de AWS de operaciones (ver más abajo) y servicios, incluidos: AWS Cloud Formation AWS Cloud Hardware Security Model (HSM) AWS CloudTrail AWS Direct Connect Amazon DynamoDB Amazon EC2 VM Import/Export AWS Estic Beanstalk Amazon Estic Block Store (EBS) Amazon Estic Cloud Compute (EC2) Estic Load Bancing (ELB) Amazon Estic MapReduce (EMR) Amazon EstiCache Amazon Gcier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Retional Database Service (RDS) Página 9 de 136

10 AWS Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) AWS Storage Gateway Amazon Simple Workflow Service (SWF) Amazon Virtual Private Cloud (VPC) La infraestructura física subyacente y el entorno de gestión de AWS La acreditación ISO 9001 de AWS abarca regiones de AWS, incluidas EE. UU. Este (Norte de Virginia), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE. UU.), América del Sur (São Paulo), UE (Irnda), Asia Pacífico (Singapur), Asia Pacífico (Sídney) y Asia Pacífico (Tokio). ISO 9001:2008 es una norma internacional de gestión de calidad de los productos y servicios. La norma 9001 describe un sistema de gestión de calidad basado en ocho principios definidos por el Comité Técnico de Gestión y Garantía de Calidad de Organización Internacional para Normalización (ISO). Incluyen: Enfoque en los clientes Liderazgo Involucración de s personas Enfoque en el proceso Enfoque sistemático en gestión Mejora continua Enfoque factual en toma de decisiones Reciones de beneficio mutuo con los proveedores ISO AWS ha obtenido certificación ISO de nuestro sistema de gestión de de (ISMS) que abarca infraestructura, los centros de datos y los servicios de AWS, incluidos: AWS CloudFormation AWS CloudTrail Amazon DynamoDB AWS Estic Beanstalk Amazon Estic Block Store (EBS) Amazon Estic Cloud Compute (EC2) AWS Direct Connect Amazon EC2 VM Import/Export AWS Cloud Hardware Security Model (HSM) Estic Load Bancing (ELB) Amazon Estic MapReduce (EMR) Amazon EstiCache Amazon Gcier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Retional Database Service (RDS) AWS Route 53 Amazon SimpleDB Página 10 de 136

11 Amazon Simple Storage Service (S3) Amazon Simple Workflow Service (SWF) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) La infraestructura física subyacente (GovCloud incluido) y el entorno de gestión de AWS La ISO 27001/27002 es una norma de global muy extendida que fija los requisitos y s mejores prácticas para un enfoque sistemático en gestión de de empresas y clientes que se basa en evaluaciones de riesgo periódicas adecuadas a s siempre cambiantes amenazas posibles. Para poder obtener certificación, empresa debe mostrar que tiene un enfoque sistemático y en desarrollo continuo de gestión de los riesgos de de que afectan a confidencialidad, integridad y disponibilidad de de empresa y del cliente. Esta certificación refuerza el compromiso de Amazon de proporcionar importante acerca de nuestros controles y nuestras prácticas de. La certificación ISO de AWS incluye todos los centros de datos de todas s regiones del mundo, y AWS ha establecido un programa formal para mantener esta certificación. AWS facilita en nuestro sitio web adicional y preguntas frecuentes acerca de certificación ISO obtenida. ITAR La región AWS GovCloud (EE.UU.) respalda conformidad con el Regmento estadounidense sobre el tráfico internacional de armas (ITAR). Dentro de gestión de un programa integral de conformidad con s reguciones ITAR, s empresas sometidas a s reguciones de exportación de ITAR deben contror s exportaciones no intencionadas mediante restricción del acceso a datos protegidos a ciudadanos de EE.UU. y limitar ubicación física de esos datos al territorio de EE.UU. AWS GovCloud (EE.UU.) proporciona un entorno ubicado físicamente en EE.UU. y en el que el acceso por parte del personal de AWS se limita a ciudadanos de EE.UU., para permitir que s empresas que reúnan los requisitos exigidos transmitan, procesen y almacenen artículos y datos protegidos según s restricciones de ITAR. El entorno de AWS GovCloud (EE.UU.) ha sido auditado por una entidad externa independiente para validar que se aplican los controles adecuados a efectos de apoyar el cumplimiento de este requisito por los programas de conformidad de exportación de los clientes. PCI DSS nivel 1 AWS alcanza el Nivel 1 conforme al Estándar de de datos (Data Security Standard, DSS) del sector de tarjetas de pago (Payment Card Industry, PCI). Los clientes pueden ejecutar aplicaciones en nuestra infraestructura tecnología conforme al sector de PCI para el almacenamiento, procesamiento y transmisión de datos de tarjetas de crédito en nube. En febrero de 2013, el Consejo de estándares de de PCI publicó sus directrices de informática en nube conforme al estándar de de datos del sector de tarjetas de crédito PCI DSS Cloud Computing Guidelines. Estas directrices proporcionan a los clientes que gestionan entornos de datos de titures de tarjeta instrucciones importantes para mantener los controles de PCI DSS en nube. AWS ha incorporado s directrices de informática en nube PCI DSS en el AWS PCI Compliance Package para los clientes. El Paquete de conformidad con PCI de AWS incluye una confirmación de conformidad de AWS con PCI, que demuestra validación satisfactoria de AWS conforme a los estándares aplicables a los proveedores de servicios de nivel 1 en versión 3.0 de PCI DSS, además de un resumen de responsabilidad de AWS respecto a PCI, donde se explica cómo se comparten s responsabilidades de conformidad entre AWS y nuestros clientes en nube. Página 11 de 136

12 Los servicios siguientes están incluidos en el ámbito de aplicación de PCI DSS nivel 1: AWS Auto Scaling AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB (DDB) Amazon Estic Block Store (EBS) Amazon Estic Compute Cloud (EC2) Estic Load Bancing (ELB) Amazon Estic MapReduce (EMR) Amazon Gcier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Retional Database Service (RDS) Amazon Route 53 Amazon SimpleDB (SDB) Amazon Simple Storage Service (S3) Amazon SQS Amazon SWF Amazon Virtual Private Cloud (VPC) El ámbito de aplicación más reciente de los servicios para certificación PCI DSS nivel 1 de AWS está disponible en: Preguntas frecuentes sobre certificación PCI DSS de nivel 1. SOC 1/SSAE 16/ISAE 3402 Amazon Web Services publica un informe Service Organization Controls 1 (SOC 1), Tipo II. La auditoría de este informe se realiza conforme a los estándares profesionales Statement on Standards for Attestation Engagements Nº 16 (SSAE 16) e International Standards for Assurance Engagements No (ISAE 3402). Este informe regudo por dos estándares está pensado para cumplir una amplia variedad de requisitos de auditoría financiera de organismos de auditoría de EE. UU. e internacionales. La auditoría del informe SOC 1 certifica que los objetivos de control de AWS se diseñan de forma adecuada y que se definen los controles individuales para salvaguardar unas operaciones eficaces con los datos del cliente. Este informe sustituye al informe de auditoría Statement on Auditing Standards No. 70 (SAS 70) Tipo II. Aquí se especifican los objetivos de control de AWS conforme a SOC 1. En el mismo informe se identifican s actividades de control que respaldan cada uno de estos objetivos y los resultados que el auditor independiente ha obtenido de los procedimientos de pruebas de cada control. Página 12 de 136

13 Ámbito del objetivo Organización de Acceso de usuarios a Amazon Seguridad lógica Tratamiento seguro de los datos Protección ambiental y física Gestión de cambios Redundancia, disponibilidad e integridad de los datos Gestión de incidencias Descripción del objetivo Los controles ofrecen garantías razonables de que s políticas de de se han aplicado y comunicado en toda organización. Los controles ofrecen garantías razonables de que se han establecido los procedimientos para añadir, modificar y eliminar s cuentas de usuario de Amazon de manera oportuna, así como para revisars con carácter periódico. Los controles ofrecen garantías razonables de que se restringe correctamente el acceso interno y externo no autorizado a los datos y de que el acceso a los datos de los clientes se separa correctamente del de otros clientes. Los controles ofrecen garantías razonables de que el tratamiento de los datos entre el punto de iniciación del cliente y una ubicación de almacenamiento de AWS se protege y asigna con precisión. Los controles ofrecen garantías razonables de que el acceso físico a los centros de datos y s instaciones operativas de Amazon está restringido a personal autorizado y de que existen procedimientos para minimizar s repercusiones de un funcionamiento inadecuado o un desastre físico en s instaciones del centro de datos y en el equipo informático. Los controles ofrecen garantías razonables de que se registran, autorizan, prueban, aprueban y documentan los cambios introducidos en los recursos informáticos existentes, entre otros, cambios urgentes, no rutinarios y de configuración. Los controles ofrecen garantías razonables de que se mantiene integridad de los datos en todas s fases, entre otras, en transmisión, el almacenamiento y el procesamiento. Los controles ofrecen garantías razonables de que se registran, analizan y resuelven s incidencias del sistema. Los informes SOC 1 están pensados para centrarse en los controles de una organización de servicios que pueden resultar relevantes para realizar una auditoría de los estados financieros de entidad de un usuario. Habida cuenta de que AWS cuenta con una amplia cartera de clientes, al igual que el uso de sus servicios, aplicabilidad de los controles en los estados financieros de los clientes varía en función del cliente de que se trate. Por tanto, el informe SOC 1 de AWS está diseñado para abarcar controles cve específicos que probablemente resulten necesarios durante una auditoría financiera, así como para comprender un amplio abanico de controles generales de TI para aceptar una amplia variedad de escenarios de uso y auditoría. Esto permite a los clientes beneficiarse de infraestructura de AWS para almacenar y procesar datos de vital importancia, incluidos aquellos que forman parte del proceso de generación de informes financieros. AWS evalúa periódicamente selección de estos controles a fin de considerar opinión de los clientes y el uso que estos hacen de este importante informe de auditoría. El compromiso de AWS con el informe SOC 1 es continuo y AWS mantendrá el proceso de auditorías periódicas. El ámbito de aplicación del informe SOC 1 comprende: AWS CloudFormation AWS CloudHSM AWS CloudTrail AWS Direct Connect Amazon DynamoDB Amazon EC2 VM Import/Export Amazon Estic Beanstalk Página 13 de 136

14 SOC 2 Amazon Estic Block Store (EBS) Amazon EstiCache Amazon Estic Compute Cloud (EC2) Amazon Estic Load Bancing (ELB) Amazon Estic MapReduce (EMR) Amazon Gcier AWS Identity and Access Management (IAM) Amazon Redshift Amazon Retional Database Service (RDS) Amazon Route 53 Amazon SimpleDB Amazon Simple Storage Service (S3) Amazon Simple Workflow (SWF) AWS Storage Gateway Amazon Virtual Private Cloud (VPC) Además del informe SOC 1, AWS publica un informe Service Organization Controls 2 (SOC 2), Tipo II. El informe SOC 2, simir al SOC 1 en evaluación de los controles, constituye un informe de testimonio que amplía evaluación de los controles conforme a los criterios establecidos por los Principios de los servicios de confianza del American Institute of Certified Public Accountants (AICPA). Estos principios definen controles de prácticas principales recionados con, disponibilidad, integridad durante el procesamiento, confidencialidad y privacidad, aplicables a s organizaciones de servicios, como AWS. El informe AWS SOC2 es una evaluación del diseño y eficacia operativa de los controles que cumplen los criterios del principio de estipudos en los Principios de los servicios de confianza del AICPA. Este informe proporciona una transparencia adicional respecto a de AWS en base a un estándar predefinido de prácticas principales del sector y demuestra el compromiso de AWS con protección de los datos de los clientes. El ámbito de aplicación del informe SOC 2 comprende los mismos servicios que el informe SOC 1. Consulte descripción de SOC 1 anterior para conocer los servicios que recaen dentro del ámbito de aplicación. SOC 3 AWS publica un informe denominado Controles de s organizaciones de servicios 3 (SOC 3). El informe SOC 3 es un resumen del informe SOC 2 de AWS de disponibilidad pública e incluye el sello de SysTrust del AICPA. El informe incluye opinión de un auditor externo acerca del funcionamiento de los controles (en función de los principios de del Instituto Americano de Auditores Públicos de Cuentas, AICPA por sus sigs en inglés) incluidos en el informe SOC 2), decración del departamento de gestión de AWS retiva a eficacia de los controles e general acerca de infraestructura y los servicios de AWS. El informe AWS SOC 3 incluye todos los centros de datos de AWS en todo el mundo que ofrecen los servicios prestados. Es un magnífico recurso para que los clientes validen que AWS cuenta con garantía de auditores externos sin pasar por el proceso de solicitar un informe SOC 2. El ámbito de aplicación del informe SOC 3 comprende los mismos servicios que el informe SOC 1. Consulte descripción de SOC 1 anterior para conocer los servicios que recaen dentro del ámbito de aplicación. Consulte aquí el informe SOC 3 de AWS. Página 14 de 136

15 Otras prácticas recomendadas de conformidad La flexibilidad y el control de clientes que proporciona ptaforma de AWS permiten implementación de soluciones que satisfacen los requisitos de conformidad específicos del sector. CSA: AWS ha completado el cuestionario Consensus Assessments Initiative Questionnaire (CAIQ) de Cloud Security Alliance (CSA). Este cuestionario publicado por CSA ofrece una forma de hacer referencia a los controles de existentes en s ofertas de infraestructura como servicio de AWS y de documentarlos. El cuestionario (CAIQ) incluye más de 140 preguntas que un consumidor y un auditor de nube desearían preguntar a un proveedor de servicios en nube. Consulte el apéndice A del presente documento para acceder al cuestionario Assessments Initiative Questionnaire Consensus de CSA completado por AWS. MPAA: La asociación Motion Picture Association of America (MPAA) ha establecido una serie de prácticas recomendadas para almacenar, procesar y ofrecer de forma segura medios y contenido protegidos ( Las empresas multimedia utilizan estas prácticas recomendadas como mecanismo para valorar el riesgo y de su contenido e infraestructura. AWS ha demostrado su conformidad con s prácticas recomendadas de MPAA, y infraestructura de AWS ha superado todos los controles de infraestructura de MPAA aplicables. Aunque MPAA no ofrece ninguna "certificación", los clientes del sector multimedia pueden utilizar documentación de AWS sobre MPAA que les ayude a valorar y evaluar el riesgo que supone el entorno de AWS para el contenido de tipo MPAA. Consulte el apéndice B de este documento para obtener acerca de consonancia de AWS con el modelo de del contenido de Motion Picture of America Association (MPAA). Página 15 de 136

16 Preguntas cve sobre conformidad y AWS En esta sección se incluyen preguntas generales acerca de conformidad de informática en nube aplicadas concretamente a AWS. Estas preguntas comunes acerca de conformidad pueden resultar interesantes para evaluar y operar un entorno de informática en nube y, además, pueden facilitar s tareas de gestión de control de los clientes de AWS. Ref. Pregunta sobre informática Información de AWS en nube 1 Tituridad del control. De quién es tituridad de los controles de infraestructura implementada en nube? 2 Auditoría de TI. Cómo puede realizarse auditoría del proveedor de nube? 3 Conformidad con Sarbanes- Oxley. Cómo se consigue conformidad con SOX si los sistemas comprendidos en el ámbito de aplicación se implementan en el entorno del proveedor de nube? 4 Conformidad con HIPAA. Es posible cumplir los requisitos de conformidad de ley HIPAA al realizar implementación en el entorno del proveedor de nube? Por cuanto atañe a parte que se implementa en AWS, AWS contro los componentes físicos de dicha tecnología. El cliente tiene tituridad y el control de todo lo demás, incluido el control de los puntos de conexión y s transmisiones. Para ayudar a los clientes a comprender mejor los controles que aplicamos y eficacia con que operan, publicamos un informe SOC 1, Tipo II, con los controles definidos para EC2, S3 y VPC, así como controles detaldos de carácter ambiental y para física. Estos controles se definen con un alto nivel de especificidad que debe satisfacer mayoría de s necesidades de los clientes. Los clientes de AWS que hayan firmado un acuerdo de confidencialidad con AWS pueden solicitar una copia del informe SOC 1, Tipo II. El cliente es responsable de auditar mayoría de s capas y los controles que van más allá de los controles físicos. La definición de los controles lógicos y físicos definidos por AWS está documentada en el informe SOC 1, Tipo II (SSAE 16), y el informe se encuentra disponible para que los equipos de auditoría y conformidad puedan revisarlo. La certificación ISO y otras certificaciones de AWS también se encuentran disponibles para que los auditores puedan revisars. Si un cliente procesa financiera en nube de AWS, los auditores del cliente pueden determinar si algunos sistemas de AWS recaen dentro del ámbito de aplicación a efectos de cumplimiento de s disposiciones de Sarbanes-Oxley (SOX). Los auditores del cliente pueden extraer su propia conclusión acerca de aplicabilidad de SOX. Habida cuenta de que el cliente es responsable de gestionar mayoría de los controles de acceso lógicos, es el más apto para determinar si s actividades de control que lleva a cabo cumplen s normas correspondientes. Si los auditores de SOX solicitan específica sobre los controles físicos de AWS, pueden remitirse al informe SOC 1, Tipo II, de AWS, donde se detaln los controles que ofrece AWS. Las disposiciones de HIPAA se aplican al cliente de AWS y es el cliente el encargado de contror que así sea. La ptaforma de AWS admite implementación de soluciones que satisfacen los requisitos de certificación específicos del sector, como HIPAA. Los clientes pueden usar los servicios de AWS para mantener un nivel de equivalente o superior al que se necesita para proteger registros de estado electrónicos. Los clientes han creado aplicaciones sanitarias que cumplen con s normas de y privacidad HIPAA en AWS. AWS ofrece adicional en su sitio web acerca de conformidad con HIPAA, incluido un documento técnico acerca de este tema. Página 16 de 136

17 Ref. Pregunta sobre informática en nube 5 Conformidad con ley GLBA. Es posible cumplir los requisitos de certificación GLBA al realizar implementación en el entorno del proveedor de nube? 6 Conformidad con el regmento federal. Es posible que un organismo gubernamental de los Estados Unidos cump los regmentos de y privacidad al realizar implementación en el entorno del proveedor de nube? 7 Ubicación de los datos. Dónde se alojan los datos de los clientes? 8 Detección electrónica. El proveedor de nube satisface s necesidades de los clientes a fin de cumplir los requisitos y los procedimientos de detección electrónica? 9 Visitas al centro de datos. El proveedor de nube permite que los clientes visiten en centro de datos? Información de AWS La mayoría de los requisitos de GLBA los contro el cliente de AWS. AWS ofrece medios para que los clientes protejan los datos, gestionen los permisos y compilen aplicaciones compatibles con GLBA en infraestructura de AWS. Si los clientes precisan de garantías específicas de que los controles de físicos funcionan con eficacia, pueden remitirse al informe SOC 1, Tipo II, de AWS según corresponda. Las agencias gubernamentales estadounidenses pueden cumplir una serie de estándares de conformidad, incluida ley estadounidense Federal Information Security Management Act (FISMA) retiva a gestión de de de 2002, el Federal Risk and Authorization Management Program (FedRAMP sm ) para gestión de riesgos y autorizaciones, Publicación del Federal Information Processing Standard (FIPS) y el Regmento estadounidense sobre el tráfico internacional de armas (ITAR). También se pueden cumplir otras leyes y otros regmentos en función de los requisitos previstos en legisción aplicable. Los clientes de AWS designan en qué región física se ubicarán sus datos y servidores. La replicación de los datos para los objetos de datos de S3 se realiza dentro del clúster regional en el que se almacenan los datos, y replicación no se realiza en otros clústeres del centro de datos de otras regiones. Los clientes de AWS designan en qué región física se ubicarán sus datos y servidores. AWS no moverá el contenido de los clientes desde s regiones seleccionadas sin notificárselo, a menos que resulte necesario a efectos de cumplir legisción o por petición de organismos gubernamentales. Para esta publicación, se contempn nueve regiones: EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE.UU.) (Oregón), UE (Irnda), Asia Pacífico (Singapur), Asia Pacífico (Tokio), Asia Pacífico (Sídney) y América del Sur (São Paulo). AWS ofrece infraestructura, y los clientes gestionan todo lo demás, entre otros elementos, el sistema operativo, configuración de red y s aplicaciones instadas. Los clientes son responsables de responder según proceda a los procedimientos legales que impliquen identificación, recopición, el procesamiento, el análisis y eboración de los documentos electrónicos que almacenan o procesan con AWS. Bajo petición, AWS puede coborar con los clientes que requieran asistencia de AWS en procedimientos legales. No. Como nuestros centros de datos alojan muchos clientes, AWS no permite que estos realicen visitas a los centros de datos, ya que ello supondría que muchos clientes tendrían acceso físico a de terceros. A fin de satisfacer esta necesidad del cliente, un auditor independiente y competente valida existencia y operación de los controles como parte de nuestro informe SOC 1, Tipo II (SSAE 16). Esta validación de terceros ampliamente aceptada ofrece a los clientes perspectiva independiente de eficacia de los controles existentes. Los clientes de AWS que hayan firmado un acuerdo de confidencialidad con AWS pueden solicitar una copia del informe SOC 1, Tipo II. Las revisiones independientes de física de los centros de datos forman parte también de auditoría ISO 27001, evaluación de PCI, auditoría de ITAR y los programas de prueba de FedRAMP sm. Página 17 de 136

18 Ref. Pregunta sobre informática en nube 10 Acceso de terceros. Se permite el acceso de terceros a los centros de datos del proveedor de nube? 11 Acciones privilegiadas. Las acciones privilegiadas se supervisan y contron? 12 Acceso confidencial. El proveedor de nube aborda s amenazas del acceso confidencial inapropiado a s aplicaciones y los datos de los clientes? 13 Varios inquilinos. La segregación de clientes se aplica de forma segura? 14 Vulnerabilidades del hipervisor. El proveedor de nube ha abordado vulnerabilidades conocidas del hipervisor? Información de AWS AWS contro de manera estricta el acceso a los centros de datos, incluso para empleados internos. No se proporciona acceso a terceros a los centros de datos de AWS salvo cuando lo aprueba de forma explícita el director del centro de datos de AWS correspondiente de acuerdo con política de acceso de AWS. Consulte el informe SOC 1 Tipo II para conocer los controles específicos recionados con el acceso físico, autorización de acceso a los centros de datos y otros controles recionados. Los controles existentes limitan el acceso a sistemas y datos, además de estipur que el acceso a los sistemas o datos se restrinja y supervise. Asimismo, los datos de los clientes y s instancias de servidor se aísn de forma lógica de otros clientes de manera predeterminada. Un auditor independiente examina el control de acceso de usuarios privilegiados en el marco de s auditorías de SOC 1, ISO 27001, PCI, ITAR y FedRAMP sm de AWS. AWS ofrece controles SOC 1 específicos para abordar amenaza del acceso confidencial inapropiado, y s iniciativas de conformidad y certificación públicas tratadas en este documento abordan el acceso confidencial. Todas s certificaciones y acreditaciones independientes evalúan los controles lógicos de detección y prevención de acceso. Asimismo, s evaluaciones de riesgo periódicas se centran en forma de contror y supervisar el acceso confidencial. El entorno de AWS es un entorno virtualizado de varios inquilinos. AWS ha aplicado procesos de gestión de, controles PCI y otros controles de diseñados para aisr a cada cliente de los demás. Los sistemas de AWS están diseñados para impedir que los clientes accedan a s instancias o a los hosts físicos que no tengan asignados mediante aplicación de filtros a través del software de virtualización. Un asesor de cualificado (QSA) de PCI independiente ha validado esta arquitectura, y demostró su conformidad con todos los requisitos de versión 3.0 de PCI DSS publicada en noviembre de Tenga en cuenta que AWS también tiene opciones de un solo inquilino. Las instancias dedicadas son instancias de Amazon EC2 nzadas en Amazon Virtual Private Cloud (Amazon VPC) que ejecutan hardware dedicado a un único cliente. Las instancias dedicadas le permiten sacar el máximo provecho de los beneficios de Amazon VPC y de nube de AWS, a vez que aís s instancias informáticas de Amazon EC2 a nivel de hardware. Amazon EC2 actualmente utiliza una versión bastante personalizada del hipervisor Xen. Los equipos de intrusión internos y externos evalúan regurmente el hipervisor para detectar s vulnerabilidades nuevas y existentes y los vectores de ataque. Este hipervisor está perfectamente adaptado para mantener un fuerte aismiento entre s máquinas virtuales invitadas. Durante s evaluaciones y auditorías, los auditores independientes evalúan con reguridad del hipervisor Xen de AWS. Consulte el documento técnico de de AWS para obtener adicional acerca del aismiento de instancias y del hipervisor Xen. Página 18 de 136

19 Ref. Pregunta sobre informática en nube 15 Gestión de vulnerabilidades. Se aplican correctamente s revisiones de los sistemas? 16 Cifrado. Los servicios prestados admiten el cifrado? 17 Tituridad de los datos. Qué derechos tiene el proveedor de nube sobre los datos de los clientes? 18 Aismiento de los datos. El proveedor de nube aís correctamente los datos de los clientes? 19 Servicios compuestos. El proveedor de nube comparte su servicio con los servicios de nube de otros proveedores? 20 Controles ambientales y físicos. El proveedor de nube especificado opera estos controles? 21 Protección por parte del cliente. El proveedor de nube permite a los clientes proteger y gestionar el acceso desde clientes, como PC y dispositivos móviles? 22 l servidor. El proveedor de nube permite a los clientes proteger sus servidores virtuales? 23 Identity and Access Management. El servicio incluye s funciones de IAM? Información de AWS AWS es responsable de aplicar s revisiones de los sistemas que respaldan entrega del servicio a los clientes, como el hipervisor y los servicios de redes. Esto se hace de conformidad con política de AWS y con los requisitos de ISO 27001, NIST y PCI. Los clientes contron los sistemas operativos invitados, el software y s aplicaciones con los que cuentan y, por tanto, también son responsables de aplicar s revisiones de sus propios sistemas. Sí. AWS permite a los clientes utilizar sus propios mecanismos de cifrado prácticamente para todos los servicios, entre otros, S3, EBS, SimpleDB y EC2. Los túneles IPSec con VPC también están cifrados. Amazon S3 también ofrece a los clientes opción de utilizar el cifrado del servidor. Además, los clientes también pueden utilizar tecnologías de cifrado de terceros. Consulte el documento técnico de de AWS para obtener más. Los clientes de AWS preservan el control y tituridad de los datos. AWS ofrece un alto nivel de protección de privacidad de los clientes, por lo que está alerta a hora de determinar qué requisitos de conformidad con s leyes debemos cumplir. AWS no duda en impugnar s órdenes de s autoridades si considera que carecen de fundamentos sólidos. Todos los datos almacenados por AWS en nombre de los clientes tienen sólidas capacidades de control y de aismiento de inquilinos. Amazon S3 ofrece controles avanzados de acceso a los datos. Consulte el documento técnico sobre de AWS para obtener adicional acerca de específica de los servicios de datos. AWS no recurre a ningún otro proveedor de nube para entregar servicios de AWS a los clientes. Sí. Se describen específicamente en el informe SOC 1, Tipo II. Además, otras certificaciones de AWS como ISO y FedRAMP sm requieren que los controles físicos y de protección del medio ambiente sean prácticas recomendadas. Sí. AWS permite a los clientes gestionar s aplicaciones cliente y móviles conforme a sus propias necesidades. Sí. AWS permite a los clientes aplicar su propia arquitectura de. Consulte el documento técnico sobre de AWS para obtener más detalles acerca de del servidor y de red. AWS dispone de un conjunto de ofertas de gestión de identidad y acceso, de manera que permite a los clientes gestionar s identidades de los usuarios, asignar credenciales de, organizar a los usuarios en grupos y gestionar los permisos de los usuarios de forma centralizada. Consulte el sitio web de AWS para obtener más. Página 19 de 136

20 Ref. Pregunta sobre informática en nube 24 Interrupciones de mantenimiento previstas. El proveedor especifica cuándo se interrumpirán los sistemas para realizar el mantenimiento? 25 Capacidad de escado. El proveedor permite a los clientes escar más allá del acuerdo original? 26 Disponibilidad del servicio. El proveedor confirma un alto nivel de disponibilidad? 27 Ataques de denegación de servicio distribuido (DDoS). Cómo protege el proveedor su servicio frente a los ataques DDoS? 28 Portabilidad de los datos. Se pueden exportar los datos almacenados con un proveedor del servicio por petición del cliente? 29 Continuidad empresarial del proveedor del servicio. El proveedor del servicio aplica un programa de continuidad empresarial? 30 Continuidad empresarial del cliente. El proveedor del servicio permite que los clientes apliquen un pn de continuidad empresarial? Información de AWS AWS no necesita interrumpir los sistemas para realizar tareas regures de mantenimiento ni para aplicar revisiones de los mismos. La aplicación de revisiones del sistema y el mantenimiento de AWS no suelen repercutir en los clientes. El cliente es el encargado de contror el mantenimiento de s instancias. La nube de AWS es distribuida, muy segura y resistente, por lo que ofrece a los clientes un potencial masivo de escado. Los clientes pueden aumentar o reducir el escado y pagar sólo por lo que utilicen. AWS confirma altos niveles de disponibilidad en sus acuerdos de nivel de servicios (SLA). Por ejemplo, Amazon EC2 garantiza un porcentaje anual de tiempo de actividad de al menos el 99,95% durante el año de servicio. Amazon S3 garantiza un porcentaje de tiempo de actividad mensual de al menos el 99,9%. Se ofrecen créditos de servicio para los casos en que no se cumpn estas métricas de disponibilidad. La red de AWS ofrece protección de alto nivel frente a los problemas tradicionales de de red, y el cliente puede aplicar medidas adicionales de protección. Consulte el documento técnico sobre de AWS para obtener más acerca de este tema, incluidos los detalles retivos a los ataques DDoS. AWS permite que los clientes extraigan y añadan datos en los servicios de almacenamiento de AWS. El servicio AWS Import/Export para S3 acelera transferencia de grandes volúmenes de datos desde y hacia AWS utilizando dispositivos de almacenamiento portátiles. AWS aplica un programa de continuidad empresarial. Puede encontrar detalda en este sentido en el documento técnico sobre de AWS. AWS ofrece a los clientes posibilidad de aplicar un sólido pn de continuidad, incluida utilización de copias de frecuentes de s instancias del servidor, replicación de redundancia de los datos y arquitecturas de implementación en varias zonas de disponibilidad y regiones. Página 20 de 136

21 Ref. Pregunta sobre informática en nube 31 Duración de los datos. El servicio especifica duración de los datos? 32 Copias de. El servicio ofrece copias de en cintas? 33 Subidas de precios. El proveedor del servicio sube los precios de manera repentina? 34 Sostenibilidad. La empresa del proveedor del servicio tiene potencial para sostenibilidad a rgo pzo? Información de AWS Amazon S3 ofrece una infraestructura de almacenamiento que presenta elevados niveles de durabilidad. Los objetos se almacenan de forma redundante en varios dispositivos de diversas instaciones dentro de una región de Amazon S3. Una vez almacenados, Amazon S3 mantiene durabilidad de los objetos detectando y reparando rápidamente cualquier pérdida de redundancia. Del mismo modo, Amazon S3 comprueba de forma regur integridad de los datos almacenados mediante sumas de comprobación. Si se detecta algún tipo de daño en los objetos, se reparan utilizando los datos redundantes. En caso de los datos almacenados en S3, el servicio está diseñado para ofrecer una durabilidad del 99, % y una disponibilidad de los objetos del 99,99% durante un año concreto. AWS permite a los clientes realizar sus propias copias de en cintas con su propio proveedor de servicios de copias de en cinta. No obstante, AWS no ofrece el servicio de copia de en cinta. El servicio de Amazon S3 está diseñado para gestionar probabilidad de que se produzcan pérdidas de datos con un porcentaje próximo a cero, y duración equivalente de copias en varios sitios de los objetos de datos se consigue con redundancia del almacenamiento de los datos. Para obtener acerca de redundancia y duración de los datos, consulte el sitio web de AWS. A AWS le ava un historial de reducciones frecuentes de los precios a medida que se reducen los costes por prestación de los servicios a lo rgo del tiempo. AWS ha reducido los precios de manera coherente durante los últimos años. AWS es un proveedor líder de nube y, además, se trata de una estrategia empresarial a rgo pzo de Amazon.com. AWS cuenta con un amplio potencial de sostenibilidad a rgo pzo. Contacto de AWS Los clientes pueden ponerse en contacto con el equipo AWS Sales and Business Development para solicitar los informes y s certificaciones de auditores externos y para solicitar adicional acerca de conformidad de AWS. El representante remitirá a los clientes al equipo adecuado en función de naturaleza de consulta. Para obtener más sobre Conformidad de AWS, visite el sitio de AWS Compliance o envíe sus preguntas directamente a awscompliance@amazon.com. Página 21 de 136

22 Apéndice A: Cuestionario Consensus Assessments Initiative Questionnaire v1.1 de CSA Cloud Security Alliance (CSA) es una "organización sin ánimo de lucro con misión de promover el uso de prácticas recomendadas para ofrecer garantías de en el ámbito de informática en nube, así como de ofrecer acerca de los usos de informática en nube a efectos de ayudar a proteger todas s formas de informática". [Referencia Un amplio abanico de profesionales, empresas y asociaciones del ámbito de participan en esta organización para conseguir esta misión. El cuestionario Consensus Assessments Initiative Questionnaire de CSA incluye una serie de preguntas que CSA prevé que un usuario o un auditor de nube podría pntearse acerca de un proveedor de nube. Contiene una serie de preguntas acerca de, el control y los procesos que pueden utilizarse para una amplia variedad de usos, entre otros, para evaluar y seleccionar al proveedor de nube. AWS ha completado este cuestionario con s siguientes respuestas. Dominio Conformidad Conformidad Grupo de control Pnificación de auditoría Auditorías independientes CID CO-01.1 CO-02.1 Preguntas sobre evaluación de consenso Ebora decraciones de auditoría con un formato estructurado aceptado por industria (por ejemplo, CloudAudit/A6 URI Ontology, CloudTrust, SCAP/CYBEX, GRC XML, el programa de garantías/auditoría de gestión de informática en nube de ISACA, etc.)? Permite que los clientes consulten los informes SAS70 Tipo II/SSAE 16 SOC2/ISAE3402 u otros informes de auditoría simires de terceros? Conformidad CO-02.2 Realiza pruebas de intrusión de red de infraestructura del servicio de nube con reguridad de conformidad con s directrices y s prácticas recomendadas del sector? Conformidad CO-02.3 Realiza pruebas de intrusión de s aplicaciones de infraestructura de nube con reguridad de conformidad con s directrices y s prácticas recomendadas del sector? Conformidad CO-02.4 Realiza auditorías internas con reguridad de conformidad con s directrices y s prácticas recomendadas del sector? Conformidad CO-02.5 Realiza auditorías externas con reguridad de conformidad con s directrices y s prácticas recomendadas del sector? Conformidad CO-02.6 Los resultados de s pruebas de intrusión de red se encuentran disponibles cuando los inquilinos los solicitan? Conformidad CO-02.7 Los resultados de s auditorías internas y externas se encuentran disponibles cuando los inquilinos los solicitan? Respuesta de AWS AWS obtiene determinadas certificaciones del sector y acreditaciones independientes, además de ofrecer determinadas certificaciones, informes y otra documentación relevante directamente a los clientes de AWS en virtud de un acuerdo de nivel de servicios. AWS facilita directamente a nuestros clientes, de conformidad con acuerdos de nivel de servicios, acreditaciones independientes, certificaciones, el informe Service Organization Controls 1 (SOC 1), Tipo II, y otros informes de conformidad relevantes. AWS Security analiza con reguridad todas s direcciones IP de extremo de servicio expuestas a Internet a fin de detectar vulnerabilidades (estos análisis no incluyen s instancias de los clientes). AWS Security notifica al respecto a s partes apropiadas para remediar todas s vulnerabilidades detectadas. Asimismo, empresas de independientes realizan con reguridad evaluaciones de amenazas de vulnerabilidades externas. Los resultados y s recomendaciones derivados de estas evaluaciones se csifican y, además, se entregan a los equipos directivos de AWS. Asimismo, el entorno de control de AWS está sujeto a evaluaciones de riesgos internas y externas de carácter regur. AWS cobora con auditores independientes y organismos de certificación externos para revisar y probar el entorno de control global de AWS. Página 22 de 136

23 Dominio Conformidad Grupo de control Auditorías de terceros CID CO-03.1 Preguntas sobre evaluación de consenso Permite que los inquilinos ejecuten evaluaciones independientes de s vulnerabilidades? Conformidad CO-03.2 Recurre a algún tercero para que realice análisis de vulnerabilidades y pruebas de intrusión periódicas en s aplicaciones y redes? Respuesta de AWS Los clientes pueden solicitar permiso para realizar análisis de infraestructura de nube siempre que se limiten a s instancias del cliente y no infrinjan Política de uso aceptable de AWS. La aprobación previa para realizar estos tipos de análisis se puede obtener enviando una solicitud a través del formurio de solicitud de pruebas de intrusión/vulnerabilidades de AWS. Conformidad Conformidad Conformidad Mantenimiento de contactos y autoridades Asignación normativa del sistema de Propiedad intelectual CO-04.1 CO-05.1 CO-05.2 CO-06.1 Mantiene reciones y puntos de contacto con s autoridades locales en virtud de contratos y de conformidad con los regmentos apropiados? Tiene posibilidad de segmentar o cifrar de manera lógica los datos de los clientes, como los datos que puedan producirse para un único inquilino, sin necesidad de tener que acceder de forma inadvertida a los datos de otros inquilinos? Tiene posibilidad de segmentar y recuperar los datos de un cliente específico de manera lógica en caso de que se produzcan errores o pérdidas de datos? Dispone de políticas y procedimientos que describan los controles existentes para proteger propiedad intelectual del inquilino? AWS Security contrata regurmente a empresas de independientes para que realicen evaluaciones externas de s amenazas de vulnerabilidades. En el informe SOC 1, Tipo II, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. AWS mantiene contacto con los organismos del sector, s organizaciones de riesgo y conformidad, s autoridades locales y los organismos normativos de conformidad con norma ISO Todos los datos almacenados por AWS en nombre de los clientes tienen sólidas capacidades de control y de aismiento de inquilinos. Los clientes mantienen el control y tituridad de sus datos, por lo que son responsables de cifrarlos. AWS permite a los clientes utilizar sus propios mecanismos de cifrado prácticamente para todos los servicios, entre otros, S3, EBS, SimpleDB y EC2. Los túneles IPSec con VPC también están cifrados. Amazon S3 también ofrece a los clientes opción de utilizar el cifrado del servidor. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Los equipos de conformidad y de AWS han creado una estructura de de y políticas recionadas basadas en estructura de los objetivos de control para y tecnologías recionadas (Control Objectives for Information and reted Technology, COBIT). La estructura de de AWS integra s prácticas recomendadas de ISO y el estándar de de los datos de PCI. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Página 23 de 136

24 Dominio Conformidad Conformidad Control de los datos Control de los datos Control de los datos Control de los datos Control de los datos Control de los datos Grupo de control Propiedad intelectual Propiedad intelectual Tituridad/Adm inistración Csificación CID CO-07.1 CO-08.1 DG DG DG DG DG DG Preguntas sobre evaluación de consenso Si se recurre a los servicios de inquilinos alojados en nube en beneficio del proveedor de nube, se preservan los derechos de IP de los inquilinos? Si se recurre a los servicios de inquilinos alojados en nube en beneficio del proveedor de nube, ofrece a los inquilinos posibilidad de descartar esta opción? Sigue una norma de etiquetado estructurado de los datos (por ejemplo, ISO 15489, especificación del catálogo XML de Oasis, s directrices sobre el tipo de datos de CSA)? Ofrece posibilidad de identificar máquinas virtuales a través de metadatos/etiquetas de políticas (por ejemplo, s etiquetas se pueden utilizar para limitar a los sistemas operativos invitados s acciones de arrancar, crear instancias y transportar datos en el país incorrecto, entre otras acciones)? Ofrece posibilidad de identificar hardware a través de etiquetas de hardware/metadatos/etiquetas de políticas (por ejemplo, TXT/TPM, VN-Tag, etc.)? Tiene posibilidad de utilizar ubicación geográfica del sistema como un factor de autenticación? Puede facilitar ubicación física y geográfica del almacenamiento de los datos de un inquilino bajo petición? Permite que los inquilinos definan ubicaciones geográficas aceptables para el direccionamiento de los datos o creación de instancias de los recursos? Respuesta de AWS AWS supervisa utilización de recursos en función de s necesidades a fin de gestionar con eficacia disponibilidad del servicio. AWS no recopi propiedad intelectual del cliente como parte de supervisión de utilización de recursos. No se mina utilización de los servicios del cliente alojados en nube. Los clientes de AWS mantienen el control y tituridad de sus datos y pueden aplicar una norma de etiquetado de datos estructurado para satisfacer sus necesidades. Las máquinas virtuales se asignan a los clientes como parte del servicio de EC2. Los clientes mantienen el control de los recursos que se utilizan y de dónde residen. Consulte el sitio web de AWS ( para obtener adicional. AWS ofrece posibilidad de etiquetar los recursos de EC2. Las etiquetas de EC2, un tipo de metadatos, se pueden utilizar para crear nombres sencillos, mejorar capacidad de búsqueda y aumentar coordinación entre varios usuarios. AWS Management Console también admite el etiquetado. AWS ofrece opción del acceso de usuario condicional en función de dirección IP. Los clientes pueden agregar condiciones para contror forma en que sus usuarios pueden utilizar AWS (por ejemplo, hora del día, dirección IP de origen, o en función de si utilizan o no SSL). AWS ofrece a los clientes flexibilidad necesaria para colocar instancias y almacenar datos en varias regiones geográficas. Los clientes de AWS designan en qué región física se ubicarán sus datos y servidores. AWS no moverá el contenido de los clientes desde s regiones seleccionadas sin notificárselo, a menos que resulte necesario a efectos de cumplir legisción o por petición de organismos gubernamentales. Para esta publicación, se contempn nueve regiones: EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE.UU.) (Oregón), UE (Irnda), Asia Pacífico (Singapur), Asia Pacífico (Tokio), Asia Pacífico (Sídney) y América del Sur (São Paulo). Página 24 de 136

25 Dominio Control de los datos Control de los datos Control de los datos Control de los datos Grupo de control Política de gestión, etiquetado y Política de retención CID DG DG DG DG Preguntas sobre evaluación de consenso Existen políticas y procedimientos para el etiquetado, gestión y de los datos y los objetos que contienen datos? Se utilizan mecanismos para etiquetar recursos heredados para objetos que actúan como contenedores agregados de los datos? Ofrece opciones de control técnico para exigir el cumplimiento de s políticas de retención de datos del inquilino? Dispone de un procedimiento documentado para responder a s solicitudes que los gobiernos o terceros realizan de los datos de los inquilinos? Respuesta de AWS Los clientes de AWS mantienen el control y tituridad de los datos y pueden aplicar procedimientos y una política de etiquetado y gestión para satisfacer sus necesidades. AWS da a los clientes posibilidad de eliminar sus datos. No obstante, los clientes de AWS mantienen el control y tituridad de los datos, por lo que tienen responsabilidad de gestionar retención de los datos en función de sus propias necesidades. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Control de los datos Control de los datos Control de los datos Eliminación segura Datos no recionados con producción DG DG DG Admite eliminación segura (por ejemplo, desmagnetización/borrado criptográfico) de los datos archivados según determine el inquilino? Puede ofrecer un procedimiento público para cerrar prestación del servicio, incluida garantía de desinfectar todos los recursos informáticos de los datos del inquilino cuando un cliente ha cerrado su entorno o ha anudo un recurso? Dispone de procedimientos para garantizar que los datos de producción no se repliquen ni utilicen en entornos no productivos? AWS ofrece un alto nivel de protección de privacidad de los clientes, por lo que está alerta a hora de determinar qué requisitos de conformidad con s leyes debemos cumplir. AWS no duda en impugnar s órdenes de s autoridades si considera que carecen de fundamentos sólidos. Cuando un dispositivo de almacenamiento alcanza el final de su vida útil, los procedimientos de AWS incluyen un proceso de retirada diseñado para prevenir que los datos de los clientes queden expuestos al acceso de personas no autorizadas. AWS utiliza técnicas detaldas en DoD M ("Manual de operaciones del programa de industrial nacional") o NIST ("Directrices para desinfección de soportes") para destruir datos como parte del proceso de retirada. En caso de que no se pueda retirar un dispositivo de hardware con estos procedimientos, el dispositivo se desmagnetizará o destruirá físicamente de conformidad con s prácticas estándar del sector. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Los clientes de AWS preservan el control y tituridad de sus propios datos. AWS ofrece a los clientes posibilidad de mantener y desarrolr entornos de producción y que no sean de producción. Es responsabilidad del cliente garantizar que los datos de producción no se repliquen en entornos no productivos. Página 25 de 136

26 Dominio Control de los datos Control de los datos Grupo de control Filtración de CID DG DG Preguntas sobre evaluación de consenso Dispone de controles para prevenir filtración de datos o puesta en peligro accidental o intencionada entre los inquilinos en un entorno de varios inquilinos? Dispone de una solución de prevención de extrusiones o de prevención de pérdida de datos (DLP) para todos los sistemas que interactúan con oferta del servicio de nube? Respuesta de AWS El entorno de AWS es un entorno virtualizado de varios inquilinos. AWS ha aplicado procesos de gestión de, controles PCI y otros controles de diseñados para aisr a cada cliente de los demás. Los sistemas de AWS están diseñados para impedir que los clientes accedan a s instancias o a los hosts físicos que no tengan asignados mediante aplicación de filtros a través del software de virtualización. Un asesor de cualificado (QSA) de PCI independiente ha validado esta arquitectura, y demostró su conformidad con todos los requisitos de versión 3.0 de PCI DSS publicada en noviembre de Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Control de los datos Evaluaciones de riesgos DG Ofrece datos sobre el estado del control de a fin de permitir que los inquilinos realicen una supervisión constante de los estándares del sector (que permita validación constante por parte del inquilino del estado de control físico y lógico)? AWS publica certificaciones e informes de auditores independientes a fin de ofrecer a los clientes considerable acerca de s políticas, los procesos y los controles establecidos y ejecutados por AWS. Se pueden facilitar s certificaciones y los informes correspondientes a los clientes de AWS. s instaciones s instaciones Política FS-01.1 Puede demostrar que se han establecido s políticas y los procedimientos para mantener un entorno de trabajo seguro y protegido en oficinas, sas, instaciones y espacios seguros? Acceso de usuarios FS-02.1 De conformidad con s leyes locales, los regmentos, los códigos éticos y s restricciones contractuales, todos los candidatos, contratistas y terceros están sujetos a una verificación de antecedentes? Los clientes pueden realizar una supervisión continua de los controles lógicos en sus propios sistemas. AWS cobora con organismos de certificación externos y auditores independientes para revisar y validar el cumplimiento de s estructuras de conformidad. En el informe SOC 1, Tipo II, de AWS, se ofrecen detalles adicionales acerca de s actividades específicas de control de física que ejecuta AWS. Consulte s normas de ISO 27001; anexo A, dominio 9.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO AWS comprueba los antecedentes penales de conformidad con legisción aplicable, como parte de s prácticas de preselección de empleados a efectos de que estos se adecuen al cargo y al nivel de acceso del empleado a s instaciones de AWS. Página 26 de 136

27 Dominio s instaciones s instaciones s instaciones Grupo de control Puntos de acceso controdos Autorización de espacio seguro Entrada de personas no autorizadas CID FS-03.1 FS-04.1 FS-05.1 Preguntas sobre evaluación de consenso Hay perímetros de física (vals, muros, barreras, guardias, portones, vigincia electrónica, mecanismos de autenticación física, recepción y patruls de )? Permite que los inquilinos especifiquen en qué ubicaciones geográficas pueden entrar y salir los datos (para abordar s consideraciones sobre jurisdicción en función de dónde están almacenados los datos y desde dónde se accede a ellos)? Los puntos de entrada y salida, como s áreas de servicio y otros puntos donde personal no autorizado puede entrar en s instaciones, están supervisados, controdos y aisdos del procesamiento y almacenamiento de los datos? Respuesta de AWS Entre los controles de física destacan, entre otros, controles perimetrales como vals, muros, personal de, videovigincia, sistemas de detección de intrusiones y otros recursos electrónicos. En el informe SOC 1, Tipo II, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. Consulte s normas de ISO 27001; anexo A, dominio 9.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Los clientes de AWS pueden designar en qué región física se ubicarán sus datos y servidores. AWS no moverá el contenido de los clientes desde s regiones seleccionadas sin notificárselo, a menos que resulte necesario a efectos de cumplir legisción o por petición de organismos gubernamentales. Para esta publicación, se contempn nueve regiones: EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), AWS GovCloud (EE.UU.) (Oregón), UE (Irnda), Asia Pacífico (Singapur), Asia Pacífico (Tokio), Asia Pacífico (Sídney) y América del Sur (São Paulo). Consulte el sitio web de AWS en para obtener adicional. El acceso físico está estrictamente controdo en el perímetro y en los puntos de acceso del edificio por personal de profesional mediante videovigincia, sistema de detección de intrusiones y otros recursos electrónicos. El personal autorizado debe confirmar dos veces como mínimo una autenticación de dos factores para acceder a los pisos del centro de datos. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Además, en el informe SOC 1, Tipo II, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. Página 27 de 136

28 Dominio s instaciones Grupo de control Autorización fuera del sitio CID FS-06.1 Preguntas sobre evaluación de consenso Ofrece a los inquilinos documentación en que se describan los escenarios en que los datos se pueden mover de una ubicación física a otra? (Por ejemplo: copias de remotas, conmutaciones por error para continuidad empresarial y replicación) Respuesta de AWS Los clientes pueden designar en qué región física se ubicarán sus datos. AWS no moverá el contenido de los clientes desde s regiones seleccionadas sin notificárselo, a menos que resulte necesario a efectos de cumplir legisción o por petición de organismos gubernamentales. s instaciones Equipo fuera del sitio FS-07.1 Ofrece a los inquilinos documentación en que se describen s políticas y los procedimientos que rigen gestión de recursos y incorporación de equipos? Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en De conformidad con s normas de ISO 27001, cuando un dispositivo de almacenamiento alcanza el final de su vida útil, los procedimientos de AWS incluyen un proceso de retirada diseñado para prevenir que los datos de los clientes queden expuestos al acceso de personas no autorizadas. AWS utiliza técnicas detaldas en DoD M ("Manual de operaciones del programa de industrial nacional") o NIST ("Directrices para desinfección de soportes") para destruir datos como parte del proceso de retirada. En caso de que no se pueda retirar un dispositivo de hardware con estos procedimientos, el dispositivo se desmagnetizará o destruirá físicamente de conformidad con s prácticas estándar del sector. s instaciones s instaciones Gestión de recursos FS-08.1 FS-08.2 Conserva un inventario completo de todos los recursos de vital importancia en el que conste tituridad del recurso? Conserva un inventario completo de todas s reciones con proveedores de vital importancia? Consulte s normas de ISO 27001; anexo A, dominio 9.2, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO De conformidad con norma ISO 27001, a los recursos de hardware de AWS se les asigna un propietario, de cuyo seguimiento y de cuya supervisión se encarga el personal de AWS con herramientas de gestión del inventario propietarias de AWS. El equipo de cadena de suministro y contratación de AWS mantiene reciones con todos los proveedores de AWS. Consulte s normas de ISO 27001; anexo A, dominio 7.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Página 28 de 136

29 Dominio los recursos humanos Grupo de control Investigación de antecedentes CID HR-01.1 Preguntas sobre evaluación de consenso De conformidad con s leyes locales, los regmentos, los códigos éticos y s restricciones contractuales, todos los candidatos, contratistas y terceros están sujetos a una verificación de antecedentes? Respuesta de AWS AWS comprueba los antecedentes penales de conformidad con legisción aplicable, como parte de s prácticas de preselección de empleados a efectos de que estos se adecuen al cargo y al nivel de acceso del empleado a s instaciones de AWS. los recursos humanos los recursos humanos Acuerdos borales Terminación del empleo Programa de gestión HR-02.1 HR-02.2 HR-03.1 IS-01.1 Forma específicamente a los empleados en lo que respecta a su papel con respecto al papel del inquilino a hora de ofrecer controles de de? Documenta los reconocimientos que los empleados obtienen en formación que cursan? Se asignan, documentan y comunican s funciones y responsabilidades para seguir terminación del empleo o cambiar los procedimientos del empleo? Ofrece a los inquilinos documentación en que se describa el Programa de Gestión de Información (ISMP)? Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en A todos los empleados se les proporciona el código de conducta de empresa y, además, completan un proceso de formación periódica acerca de de que requiere un reconocimiento para completarlo. Las auditorías de conformidad se realizan periódicamente a fin de validar que los empleados puedan conocer y seguir s políticas establecidas. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en El equipo de recursos humanos de AWS define s responsabilidades de gestión internas que cabe seguir para terminación y el cambio de funciones de los empleados y proveedores. El departamento de recursos humanos (RR. HH.), el de operaciones corporativas y los propietarios de servicios comparten responsabilidad de concesión y retirada de acceso a empleados y contratistas. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en AWS ofrece a nuestros clientes documentación sobre certificación ISO en que se hab acerca del programa ISMS de AWS. Ayuda y soporte de gestión IS-02.1 Existen políticas para garantizar que dirección y los cargos ejecutivos adoptan medidas formales para respaldar de a través de una dirección documentada cra, compromisos, asignación explícita y verificación de ejecución de asignaciones? De conformidad con s normas de ISO 27001, se han establecido políticas y procedimientos a través de estructura de de de AWS. El entorno de control en Amazon parte del estrato más alto de empresa. Los altos cargos desempeñan funciones importantes a hora de definir los valores principales y el tono de empresa. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Página 29 de 136

30 Dominio Grupo de control CID Preguntas sobre evaluación de consenso Política IS-03.1 Las políticas de privacidad y de se atienen a s normas particures del sector (ISO-27001, ISO , CoBIT, etc.)? IS-03.2 Dispone de acuerdos que garanticen que los proveedores se atienen a s políticas de privacidad y de? IS-03.3 Puede demostrar debida diligencia en asignación de los controles, arquitectura y los procesos a los regmentos o los estándares? Requisitos de base Revisiones de políticas Cumplimiento de s políticas IS-04.1 IS-04.2 IS-04.3 IS-05.1 IS-06.1 Cuenta con líneas de base documentadas acerca de de para cada componente de infraestructura (por ejemplo, hipervisores, sistemas operativos, enrutadores, servidores DNS, etc.)? Tiene posibilidad de contror constantemente conformidad de infraestructura con respecto a s líneas de base de de, así como de informar al respecto? Permite que los clientes ofrezcan su propia imagen de máquina virtual de confianza para garantizar conformidad con sus propias normas internas? Informa a los inquilinos cuando realiza cambios materiales en s políticas de privacidad o de? Se aplica alguna política oficial de carácter disciplinario o de sanciones para los empleados que infringen los procedimientos y s políticas de? Respuesta de AWS El departamento de de de AWS ha establecido políticas y procedimientos basados en estructura de COBIT, s normas de ISO y s disposiciones de PCI DSS. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Además, AWS publica un informe SOC 1, Tipo II. Consulte el informe SOC 1 para obtener adicional. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en De conformidad con s normas de ISO 27001, AWS mantiene líneas de base del sistema para componentes de vital importancia. Consulte s normas de ISO 27001; anexo A, dominio 15.2, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Los clientes pueden facilitar su propia imagen de máquina virtual. VM Import permite a los clientes importar fácilmente imágenes de máquinas virtuales desde el entorno del cliente a instancias de Amazon EC2. El documento técnico de general sobre los procesos de de AWS y el documento técnico sobre riesgos y conformidad de AWS, disponibles en se actualizan con reguridad para reflejar s actualizaciones en s políticas de AWS. AWS ofrece una política de y también ofrece formación sobre a los empleados a fin de educarles con respecto a su función y sus responsabilidades en el ámbito de de. Los empleados que infrinjan s normas o los protocolos de Amazon son investigados y, además, se adoptará contra ellos acción disciplinaria correspondiente (por ejemplo, una advertencia, una pn de ejecución, suspensión o escisión). Consulte el documento técnico de general sobre los procesos de de AWS para obtener más, que se encuentra disponible Página 30 de 136

31 Dominio Grupo de control CID IS-06.2 Preguntas sobre evaluación de consenso Los empleados saben qué acciones pueden emprenderse en caso de que realicen alguna infracción y se explica como tal en s políticas y los procedimientos? Respuesta de AWS Consulte norma ISO 27001, anexo A, dominio 8.2, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Política sobre el acceso de usuarios IS-07.1 IS-07.2 Cuenta con controles que garanticen eliminación oportuna del acceso de los sistemas que dejan de ser necesarios para los fines empresariales? Ofrece métricas que realicen un seguimiento de agilidad con que puede revocar el acceso de los sistemas que dejan de ser necesarios para los fines empresariales? El acceso se revoca automáticamente cuando se anu el historial de un empleado en el sistema de recursos humanos de Amazon. Cuando se produce un cambio en función de un empleado, ha de aprobarse de forma explícita el acceso continuado al recurso o, de lo contrario, dicho acceso se revocará automáticamente. En el informe SOC 1, Tipo II, de AWS, se facilita adicional acerca de revocación de acceso a los usuarios. Además, en sección "Employee Lifecycle" del documento técnico sobre de AWS se facilita adicional. Autorización y restricción de acceso de usuarios Revocación de acceso a usuarios IS-08.1 IS-08.2 IS-09.1 Documenta cómo concede y aprueba el acceso a los datos del inquilino? Dispone de un método para alinear s metodologías de csificación de los datos de proveedores e inquilinos a efectos de control de acceso? Se aplican de manera oportuna canceción del aprovisionamiento, revocación o modificación del acceso de los usuarios a los sistemas, los recursos de y los datos de organización tras producirse algún cambio en el estado de los empleados, los contratistas, los clientes, los socios empresariales o terceros? Consulte norma ISO 27001, anexo A, dominio 11, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Los clientes de AWS preservan el control y tituridad de los datos. Los clientes son responsables del desarrollo, el contenido, operación, el mantenimiento y el uso de su contenido. El acceso se revoca automáticamente cuando se anu el historial de un empleado en el sistema de recursos humanos de Amazon. Cuando se produce un cambio en función de un empleado, ha de aprobarse de forma explícita el acceso continuado al recurso o, de lo contrario, dicho acceso se revocará automáticamente. En el informe SOC 1, Tipo II, de AWS, se facilita adicional acerca de revocación de acceso a los usuarios. Además, en sección "Employee Lifecycle" del documento técnico sobre de AWS se facilita adicional. Página 31 de 136

32 Dominio Grupo de control CID IS-09.2 Preguntas sobre evaluación de consenso Se prevé algún cambio de estado para incluir terminación del empleo, el contrato o el acuerdo, el cambio de empleo o transferencia dentro de organización? Respuesta de AWS Consulte norma ISO 27001, anexo A, dominio 11, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Revisiones de acceso de usuarios IS-10.1 IS-10.2 Requiere al menos una certificación anual de los derechos de todos los administradores y usuarios del sistema (excluidos los usuarios de cuyo mantenimiento se encargan los inquilinos)? Si se observa que los usuarios tienen derechos inapropiados, se registran todas s acciones de reparación y certificación? De conformidad con norma ISO 27001, todas s concesiones de acceso se revisan cada 90 días; se requieren reaprobaciones explícitas o, de lo contrario, el acceso al recurso se revocará de inmediato. Los controles específicos para s revisiones de acceso de usuarios se describen en el informe SOC 1, Tipo II. Las excepciones de los controles de derechos de usuario se documentan en el informe SOC 1, Tipo II. Formación y sensibilización IS-10.3 IS-11.1 IS-11.2 En caso de que se haya permitido el acceso inapropiado a los datos del inquilino, compartirá los informes de certificación y reparación de los derechos de usuario con los inquilinos? Ofrece o habilita algún programa oficial de formación para sensibilizar acerca de que trate s cuestiones retivas a gestión de los datos y el acceso recionado con nube (es decir, varios inquilinos, nacionalidad, modelo de entrega de nube, segregación de funciones, implicaciones y conflictos de intereses) para todas s personas con acceso a los datos del inquilino? Los administradores y responsables de los datos disponen de adecuada acerca de s responsabilidades legales retivas a y integridad de los datos? Consulte s normas de ISO 27001, anexo A, dominio 11.2, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO De conformidad con norma ISO 27001, todos los empleados de AWS completan una formación periódica sobre de que requiere un reconocimiento para completar. Las auditorías de conformidad se realizan periódicamente a fin de validar que los empleados puedan conocer y seguir s políticas establecidas. Página 32 de 136

33 Dominio Grupo de control Puntos de referencia y conocimientos del sector CID IS-12.1 IS-12.2 Preguntas sobre evaluación de consenso Participa en grupos del sector y asociaciones profesionales recionados con de? Compara los controles de con s normas del sector? Respuesta de AWS Los equipos de conformidad y de AWS mantienen contactos con grupos del sector y servicios profesionales recionados con. AWS ha establecido una estructura de de y políticas recionadas basadas en estructura de COBIT y, además, ha integrado estructura de certificación de ISO basada en los controles de ISO y el estándar PCI DSS. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Funciones y responsabilidad es Supervisión de gestión Segregación de funciones Responsabilidad del usuario IS-13.1 IS-14.1 IS-15.1 IS-16.1 IS-16.2 Ofrece a los inquilinos un documento de definición de funciones donde se acren s responsabilidades administrativas que usted tiene con respecto a s del inquilino? Los directores son responsables de mantener sensibilización con respecto a s políticas, los procedimientos y los estándares relevantes para su ámbito de responsabilidad, así como de su cumplimiento? Ofrece documentación a los inquilinos acerca de cómo mantener segregación de funciones dentro de oferta del servicio de nube? Los usuarios son conscientes de sus responsabilidades en cuanto a mantener sensibilización y el cumplimiento con respecto a s políticas, los procedimientos y los estándares de y s disposiciones normativas aplicables? Los usuarios son conscientes de s responsabilidades que tienen por lo que se refiere a mantener un entorno de trabajo seguro y protegido? En el documento técnico de general sobre los procesos de de AWS y en el documento técnico sobre riesgos y conformidad de AWS se ofrece detalda acerca de s funciones y responsabilidades de AWS y de nuestros clientes. Los documentos técnicos se encuentran disponibles en: El entorno de control en Amazon parte del estrato más alto de empresa. Los altos cargos desempeñan funciones importantes a hora de definir los valores principales y el tono de empresa. A cada empleado se le facilita el código de conducta de empresa y, además, completa una formación periódica. Las auditorías de conformidad se realizan a fin de que los empleados puedan conocer y seguir s políticas establecidas. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Los clientes tienen capacidad de gestionar s segregaciones de funciones de los recursos de AWS. A nivel interno, AWS se atiene a s normas de ISO en lo retivo a gestión de segregación de funciones. Consulte norma ISO 27001, anexo A, dominio 10.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO AWS ha implementado varios métodos de comunicación interna a esca mundial para ayudar a que los empleados conozcan s funciones y s responsabilidades individuales y para comunicar eventos importantes de manera puntual. Estos métodos comprenden programas de formación y orientación para los empleados recién contratados, además de mensajes de correo electrónico y publicación de a través de intranet de Amazon. Página 33 de 136

34 Dominio Grupo de control Espacio de trabajo CID IS-16.3 IS-17.1 IS-17.2 Preguntas sobre evaluación de consenso Los usuarios son conscientes de s responsabilidades que tienen para dejar un equipo desatendido de manera segura? Los procedimientos y s políticas de gestión de datos abordan los conflictos de intereses de inquilinos y de nivel de servicio? Los procedimientos y s políticas de gestión de datos incluyen alguna función de integridad del software o de auditoría de manipuciones para casos de acceso no autorizado a los datos del inquilino? IS-17.3 La infraestructura de gestión de máquina virtual incluye alguna función de integridad del software o de auditoría de manipuciones para detectar cambios en compición o configuración de máquina virtual? Cifrado IS-18.1 Tiene posibilidad de admitir creación de cves de cifrado exclusivas para cada inquilino? IS-18.2 Permite s cves de cifrado generadas por los inquilinos o que los inquilinos cifren los datos con una identidad sin acceder a un certificado de cve pública. (por ejemplo, el cifrado basado en identidades)? Gestión de cves de cifrado IS-19.1 IS-19.2 IS-19.3 IS-19.4 Cifra los datos inactivos (en disco o almacenados) de los inquilinos dentro del entorno? Utiliza el cifrado para proteger los datos y s imágenes de máquina virtual durante transferencia entre redes e instancias del hipervisor? Puede gestionar s cves de cifrado en nombre de los inquilinos? Realiza el mantenimiento de procedimientos de gestión de cves? Respuesta de AWS Consulte el estándar ISO 27001, Anexo A, dominios 8.2 y Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Además, en el documento técnico de general de los procesos de de AWS, se ofrece adicional en este sentido, que se encuentra disponible en Las políticas de gestión de datos de AWS están en consonancia con norma ISO Consulte el estándar ISO 27001, Anexo A, dominios 8.2 y Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO En el informe SOC 1, Tipo II, de AWS, se ofrece adicional acerca de s actividades de control específicas que lleva a cabo AWS para prevenir el acceso no autorizado a los recursos de AWS. Los clientes de AWS gestionan su propio cifrado a menos que estén utilizando el servicio de cifrado del servidor de AWS. En este caso, AWS crea una cve de cifrado exclusiva para cada inquilino. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en AWS permite a los clientes utilizar sus propios mecanismos de cifrado prácticamente para todos los servicios, entre otros, S3, EBS, SimpleDB y EC2. Los túneles IPSec con VPC también están cifrados. Amazon S3 también ofrece a los clientes opción de utilizar el cifrado del servidor. Además, los clientes también pueden utilizar tecnologías de cifrado de terceros. Los procedimientos de gestión de cves de AWS están en consonancia con norma ISO Consulte norma ISO 27001, anexo A, dominio 15.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Página 34 de 136

35 Dominio Grupo de control Gestión de revisiones y vulnerabilidades CID IS-20.1 IS-20.2 IS-20.3 IS-20.4 IS-20.5 IS-20.6 Preguntas sobre evaluación de consenso Realiza análisis de vulnerabilidades de s capas de red con reguridad según prescriben s prácticas recomendadas del sector? Realiza análisis de vulnerabilidades de s capas de s aplicaciones con reguridad según prescriben s prácticas recomendadas del sector? Realiza análisis de vulnerabilidades de s capas del sistema operativo local con reguridad según prescriben s prácticas recomendadas del sector? Facilitará los resultados de los análisis de vulnerabilidades a los inquilinos si los solicitan? Tiene posibilidad de revisar con rapidez s vulnerabilidades en todos los sistemas, s aplicaciones y los dispositivos informáticos? Comunicará a los inquilinos los pzos de aplicación de revisiones de sistemas basados en riesgos si estos los solicitan? Respuesta de AWS Los clientes mantienen el control de los sistemas operativos invitados, el software y s aplicaciones con los que cuentan, por lo que además son responsables de realizar los análisis de vulnerabilidades y aplicación de revisiones de sus propios sistemas. Los clientes pueden solicitar permiso para realizar análisis de infraestructura de nube siempre que se limiten a s instancias del cliente y no infrinjan Política de uso aceptable de AWS. AWS Security analiza con reguridad todas s direcciones IP de extremo de servicio expuestas a Internet a fin de detectar vulnerabilidades. AWS Security notifica al respecto a s partes apropiadas para remediar todas s vulnerabilidades detectadas. La aplicación de revisiones del sistema y el mantenimiento de AWS no suelen repercutir en los clientes. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Antivirus y software malicioso IS-21.1 Tiene programas anti-malware instados en todos los sistemas que admiten s ofertas del servicio de nube? Consulte norma ISO 27001, anexo A, dominio 12.5, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO El programa, los procesos y los procedimientos de AWS para gestionar el antivirus y el software malicioso están en consonancia con s normas de ISO Consulte el informe SOC 1, Tipo II, de AWS para obtener adicional. IS-21.2 Garantiza que los sistemas de detección de amenazas de que utilizan firmas, listas o modelos de comportamiento se actualizan en todos los componentes de infraestructura dentro de los pzos aceptados en el sector? Además, consulte norma ISO 27001, anexo A, dominio 10.4, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Gestión de incidencias IS-22.1 IS-22.2 Cuenta con un pn documentado para responder a s incidencias de? Integra requisitos personalizados para los inquilinos en los pnes de respuesta a s incidencias de? El programa, los pnes y los procedimientos para responder a s incidencias de AWS se han desarroldo en consonancia con norma ISO En el informe SOC 1, Tipo II, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. Página 35 de 136

36 Dominio Grupo de control Informes sobre incidencias Preparación legal de respuesta a incidencias Métricas sobre respuesta a incidencias CID IS-22.3 IS-23.1 IS-23.2 IS-24.1 IS-24.2 IS-24.3 IS-24.4 IS-25.1 Preguntas sobre evaluación de consenso Publica un documento de funciones y responsabilidades en el que se especifique cuáles son s funciones suyas y s de sus inquilinos durante s incidencias de? Combina su sistema de gestión de eventos e de (SIEM) diversas fuentes de datos (registros de aplicaciones, registros de firewall, registros de ID, registros de accesos físicos, etc.) para poder enviar alertas y realizar análisis detaldos? La estructura de registro y supervisión permite aisr una incidencia para inquilinos específicos? El pn de respuesta a incidencias cumple s normas del sector en reción con los controles y los procesos de gestión de cadena de custodia admisibles a efectos legales? La función de respuesta a incidencias incluye utilización de técnicas de análisis y recopición de datos forenses admisibles a efectos legales? Puede respaldar conservación de documentos debido a litigios (congeción de los datos a partir de un momento dado) de un inquilino concreto sin tener que conger los datos de otros inquilinos? Aplica y certifica separación de los datos de los inquilinos cuando se ebora para responder a citaciones legales? Supervisa y cuantifica el tipo, el volumen y repercusión de todas s incidencias en de? Respuesta de AWS En el documento técnico de general sobre los procesos de de AWS (disponible en se facilita adicional. El programa, los pnes y los procedimientos para responder a s incidencias de AWS se han desarroldo en consonancia con norma ISO En el informe SOC 1, Tipo II, de AWS, se ofrecen detalles acerca de s actividades de control específicas que ejecuta AWS. Todos los datos almacenados por AWS en nombre de los clientes tienen sólidas capacidades de control y de aismiento de inquilinos. Consulte el documento técnico de general sobre los procesos de de AWS y el documento técnico sobre riesgos y conformidad de AWS (disponibles en para obtener adicional. El programa, los pnes y los procedimientos para responder a s incidencias de AWS se han desarroldo en consonancia con norma ISO En el informe SOC 1, Tipo II, de AWS, se ofrecen detalles acerca de s actividades de control específicas que ejecuta AWS. Todos los datos almacenados por AWS en nombre de los clientes tienen sólidas capacidades de control y de aismiento de inquilinos. Consulte el documento técnico de general sobre los procesos de de AWS y el documento técnico sobre riesgos y conformidad de AWS (disponibles en para obtener adicional. Las métricas de de AWS se supervisan y analizan de conformidad con norma ISO IS-25.2 Compartirá datos estadísticos sobre s incidencias en de con los inquilinos si estos los solicitan? Consulte norma ISO 27001, anexo A, dominio 13.2, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Página 36 de 136

37 Dominio Grupo de control CID Preguntas sobre evaluación de consenso Uso aceptable IS-26.1 Ofrece documentación acerca de cómo puede utilizar los datos o metadatos de los inquilinos o acerca de cómo acceder a ellos? IS-26.2 Recopi o crea metadatos acerca del uso que el inquilino hace de los datos mediante utilización de tecnologías de inspección, como los motores de búsqueda, entre otras? IS-26.3 Admite que los inquilinos descarten opción de que se acceda a sus datos o metadatos a través de tecnologías de inspección? Devoluciones de recursos Transacciones de comercio electrónico Acceso de herramientas de auditoría IS-27.1 IS-27.2 IS-28.1 IS-28.2 IS-29.1 Hay sistemas para supervisar s infracciones de privacidad e informar a los inquilinos de inmediato si un evento de privacidad ha afectado a sus datos? Su política de privacidad se atiene a s normas del sector? Proporciona a los inquilinos metodologías abiertas de cifrado (3.4ES, AES, etc.) para que protejan sus datos si es necesario atravesar redes públicas? (por ejemplo, Internet) Utiliza metodologías de cifrado abierto siempre que los componentes de infraestructura necesitan comunicarse entre sí a través de redes públicas (por ejemplo, replicación de los datos de un entorno a otro a través de Internet)? Restringe, registra y supervisa el acceso a los sistemas de gestión de de? (Por ejemplo: hipervisores, firewalls, escáneres de vulnerabilidades, analizadores de protocolos de red, API, etc.) Respuesta de AWS Los clientes de AWS preservan el control y tituridad de los datos. Los clientes de AWS son responsables de supervisar su propio entorno para detectar si se producen viociones de privacidad. En el informe SOC 1, Tipo II, de AWS, se ofrece general acerca de los controles existentes para supervisar el entorno gestionado de AWS. Todas s API de AWS se encuentran disponibles a través de puntos finales protegidos por SSL que ofrecen autenticación del servidor. AWS permite a los clientes utilizar sus propios mecanismos de cifrado prácticamente para todos los servicios, entre otros, S3, EBS, SimpleDB y EC2. Los túneles IPSec con VPC también están cifrados. Amazon S3 también ofrece a los clientes opción de utilizar el cifrado del servidor. Además, los clientes también pueden utilizar tecnologías de cifrado de terceros. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en De conformidad con s normas ISO 27001, AWS ha establecido políticas y procedimientos formales para delinear s normas mínimas de acceso lógico a los recursos de AWS. En el informe SOC 1, Tipo II, de AWS, se describen los controles existentes para gestionar provisión de acceso a los recursos de AWS. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Página 37 de 136

38 Dominio Grupo de control Acceso de los puertos de configuración y diagnóstico Servicios de infraestructuras y redes Dispositivos portátiles y móviles Restricción de acceso al código fuente Acceso a programas de utilidades CID IS-30.1 IS-31.1 IS-31.2 IS-32.1 IS-33.1 IS-33.2 IS-34.1 IS-34.2 Preguntas sobre evaluación de consenso Utiliza redes seguras dedicadas para ofrecer acceso de gestión a infraestructura del servicio de nube? Recopi datos sobre capacidad y utilización de todos los componentes relevantes de oferta del servicio de nube? Ofrece a los inquilinos informes sobre utilización y pnificación de capacidad? Se han establecido políticas y procedimientos y aplicado medidas para limitar estrictamente el acceso a datos confidenciales desde dispositivos portátiles y móviles, como portátiles, teléfonos móviles y asistentes digitales personales (PDA) que presentan un riesgo más alto que los dispositivos no portátiles, tales como los ordenadores de sobremesa de s instaciones de organización del proveedor? Se aplican controles para prevenir el acceso no autorizado al código fuente de aplicación, el programa o el objeto, así como para garantizar que dicho acceso se restrinja sólo a personal autorizado? Se aplican controles para prevenir el acceso no autorizado al código fuente de aplicación, el programa o el objeto del inquilino, así como para garantizar que dicho acceso se restrinja sólo a personal autorizado? Se restringen y supervisan adecuadamente s utilidades que pueden gestionar particiones virtualizadas (como apagar, clonar, etc.)? Tiene capacidad para detectar ataques dirigidos directamente a infraestructura virtual (por ejemplo, procesamiento con shims, Blue Pill, Hyper jumping, etc.)? Respuesta de AWS Los administradores que tengan necesidades empresariales de acceder a los pnes de gestión han de utilizar autenticación multifactor para poder acceder a hosts de administración en función del propósito. Estos hosts de administración son sistemas específicamente diseñados, compidos, configurados y con extra para proteger el pno de gestión de nube. Todo este acceso está sujeto a registros y auditorías. Cuando algún empleado deja de tener necesidad empresarial de acceder al pno de gestión, se revocan los privilegios y el acceso en reción con estos hosts y con los sistemas pertinentes. AWS gestiona los datos de capacidad y utilización de conformidad con norma ISO Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO De conformidad con s normas ISO 27001, AWS ha establecido políticas y procedimientos formales para delinear s normas mínimas de acceso lógico a los recursos de AWS. En el informe SOC 1, Tipo II, de AWS, se describen los controles existentes para gestionar provisión de acceso a los recursos de AWS. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en De conformidad con s normas ISO 27001, AWS ha establecido políticas y procedimientos formales para delinear s normas mínimas de acceso lógico a los recursos de AWS. En el informe SOC 1, Tipo II, de AWS, se describen los controles existentes para gestionar provisión de acceso a los recursos de AWS. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en De conformidad con s normas ISO 27001, s utilidades del sistema se restringen y supervisan correctamente. En el informe SOC 1, Tipo II, de AWS, se ofrece adicional acerca de los controles disponibles para restringir el acceso al sistema. Página 38 de 136

39 Dominio Legal Legal Grupo de control Acuerdos de no divulgación Acuerdos de terceros CID IS-34.3 LG-01.1 LG-02.1 Preguntas sobre evaluación de consenso Los controles técnicos previenen los ataques destinados a infraestructura virtual? Se identifican, documentan y revisan en los intervalos previstos los acuerdos de no divulgación o confidencialidad que reflejan s necesidades de organización en reción con protección de los datos y los detalles operativos? Selecciona y supervisa a los proveedores externos de conformidad con s leyes del país en que se procesan, almacenan y transmiten los datos? Legal LG-02.2 Selecciona y supervisa a los proveedores externos de conformidad con s leyes del país en que se originan los datos? Respuesta de AWS Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en El consejo jurídico de Amazon gestiona y revisa periódicamente los acuerdos de nivel de servicios de Amazon a fin de reflejar s necesidades empresariales de AWS. AWS no recurre a ningún otro proveedor de nube para entregar servicios de AWS a los clientes. El consejo jurídico de Amazon revisa los acuerdos de terceros según procede. Legal LG-02.3 El consejo jurídico revisa todos los acuerdos de terceros? Gestión de operaciones Gestión de operaciones Gestión de operaciones Gestión de operaciones Política OP-01.1 Se han establecido políticas y procedimientos y, en su caso, están disponibles para que todo el personal desempeñe correctamente s funciones recionadas con s operaciones de los servicios? Documentación OP-02.1 Se ha puesto toda documentación del sistema de (por ejemplo, guías del administrador y del usuario, diagramas de arquitectura, etc.) a disposición del personal autorizado para garantizar configuración, instación y el funcionamiento del sistema de? Pnificación de capacidad y recursos OP-03.1 OP-03.2 Proporciona documentación con respecto a qué niveles de sobresuscripción del sistema (red, almacenamiento, memoria, E/S, etc.) mantiene y en qué circunstancias/situaciones? Restringe el uso de s funciones de sobresuscripción de memoria existentes en el hipervisor? Se han establecido políticas y procedimientos a través de estructura de de de AWS basados en estructura de COBIT, s normas de ISO y s disposiciones de PCI DSS. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en La documentación del sistema de se pone a disposición del personal de AWS a nivel interno a través de intranet de Amazon. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en AWS no divulga s prácticas retivas a gestión de capacidad. AWS publica acuerdos de nivel de servicios para que los servicios comuniquen los compromisos de nivel de rendimiento. Gestión de operaciones Mantenimiento del equipo OP-04.1 En caso de que se utilice una infraestructura virtual, su solución de nube incluye funciones de recuperación y restablecimiento independientes para el hardware? La funcionalidad de s instantáneas de EBS permite a los clientes capturar y restablecer imágenes de máquinas virtuales en cualquier momento. Los clientes pueden exportar sus AMI y utilizars en s instaciones o con otro Página 39 de 136

40 Dominio Gestión de operaciones Gestión de operaciones Gestión de operaciones Gestión de operaciones Gestión de riesgos Gestión de riesgos Gestión de riesgos Gestión de riesgos Grupo de control CID OP-04.2 OP-04.3 OP-04.4 OP-04.5 Preguntas sobre evaluación de consenso En caso de que se utilice una infraestructura virtual, ofrece a los inquilinos posibilidad de restablecer una máquina virtual a un estado anterior en el tiempo? En caso de que se utilice una infraestructura virtual, permite descargar s imágenes de máquina virtual para exportars a un nuevo proveedor de nube? En caso de que se utilice una infraestructura virtual, se habilitan s imágenes de máquina para que el cliente pueda replicars en su propia ubicación de almacenamiento remota? La solución de nube incluye funciones de recuperación y restablecimiento independientes para el proveedor y el software? Programa RI-01.1 Las organización está asegurada por algún tercero para los casos en que se produzcan pérdidas? RI-01.2 Los acuerdos de nivel de servicios de su organización contempn indemnización de los inquilinos por s pérdidas que puedan sufrir debido a s interrupciones o s pérdidas que se produzcan en infraestructura de organización? Evaluaciones RI-02.1 Las evaluaciones de riesgos formales están en consonancia con estructura empresarial y se realizan al menos una vez al año, o en intervalos previstos, a fin de determinar probabilidad y repercusión de todos los riesgos identificados, con utilización de métodos cualitativos y cuantitativos? RI-02.2 La probabilidad y repercusión asociadas a los riesgos inherentes y residuales se determinan de manera independiente, teniendo en cuenta todas s categorías de riesgos (por ejemplo, resultados de auditorías, análisis de amenazas y vulnerabilidades y conformidad normativa)? Respuesta de AWS proveedor (sujetos a restricciones de licencias de software). Consulte el documento técnico de general sobre los procesos de de AWS para obtener más, que se encuentra disponible AWS indemniza a los clientes por s pérdidas que puedan sufrir debido a s interrupciones de los servicios de conformidad con el acuerdo de nivel de servicios de AWS. De conformidad con norma ISO 27001, AWS ha desarroldo un programa de gestión de riesgos para mitigar y gestionar los riesgos. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con certificación ISO Consulte el documento técnico sobre riesgos y conformidad de AWS (disponible en aws.amazon.com/security) para obtener adicional acerca de estructura de gestión de riesgos de AWS. Página 40 de 136

41 Dominio Gestión de riesgos Grupo de control Mitigación y aceptación CID RI-03.1 Preguntas sobre evaluación de consenso Los riesgos se mitigan conforme a niveles aceptables en virtud de los criterios establecidos por empresa y de pzos de resolución razonables? Respuesta de AWS De conformidad con norma ISO 27001, anexo A, dominio 4.2, AWS ha desarroldo un programa de gestión de riesgos para mitigar y gestionar los riesgos. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con certificación ISO Gestión de riesgos Gestión de riesgos Repercusiones de cambios de políticas y empresariales Acceso de terceros RI-03.2 RI-04.1 RI-05.1 RI-05.2 RI-05.3 RI-05.4 RI-05.5 La reparación se realiza a niveles aceptables conforme a criterios establecidos por empresa y pzos de resolución razonables? Los resultados de s evaluaciones incluyen actualizaciones de s políticas, los procedimientos, s normas y los controles de a efectos de garantizar que siguen siendo pertinentes y eficaces? Ofrece alguna función de recuperación frente a desastres para varios errores? Realiza una supervisión de continuidad del servicio con otros proveedores por si fal su proveedor? Dispone de más de un proveedor para cada servicio del que depende? Ofrece acceso a resúmenes de continuidad y redundancia operativa que incluyan los servicios de los que depende? Brinda al inquilino posibilidad de decrar un desastre? Consulte el documento técnico sobre riesgos y conformidad de AWS (disponible en: para obtener adicional acerca de estructura de gestión de riesgos de AWS. Las actualizaciones de s políticas, los procedimientos, s normas y los controles de AWS se realizan todo los años de conformidad con norma ISO Consulte norma ISO 27001, anexo A, dominio 5.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con certificación ISO AWS ofrece a los clientes flexibilidad necesaria para colocar s instancias y almacenar datos en varias regiones geográficas, así como en zonas de disponibilidad múltiples dentro de cada región. Cada zona de disponibilidad está diseñada como una zona de fallo independiente. En caso de fallo, los procesos automatizados desvían el tráfico de datos del cliente de zona afectada. En el informe SOC 1, Tipo II, de AWS, se ofrece adicional. El estándar ISO 27001, Anexo A, dominio 11.2 ofrece más. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con certificación ISO RI-05.6 Ofrece alguna opción de conmutación por error que pueda activar el inquilino? RI-05.7 Comparte con sus inquilinos los pnes de redundancia y continuidad empresarial? Gestión de versiones Nuevos desarrollos y adquisiciones RM Se han establecido políticas y procedimientos de autorización de gestión para desarrolr o adquirir nuevas aplicaciones, sistemas, bases de datos, infraestructuras, servicios, operaciones e instaciones? De conformidad con s normas ISO 27001, AWS cuenta con procedimientos para gestionar nuevos desarrollos de recursos. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con certificación ISO Además, en el informe SOC 1, Tipo II, de AWS, puede encontrar adicional. Página 41 de 136

42 Dominio Gestión de versiones Gestión de versiones Grupo de control Cambios de producción Pruebas de calidad CID RM RM Preguntas sobre evaluación de consenso Ofrece a los inquilinos documentación en que se describan los procedimientos de gestión de los cambios de producción y sus funciones, derechos y responsabilidades en este sentido? Ofrece a los inquilinos documentación en que se describa el proceso de garantía de calidad? Respuesta de AWS En el informe SOC 1, Tipo II, de AWS, se ofrece general acerca de los controles existentes para gestionar los cambios en el entorno de AWS. Además, consulte norma ISO 27001, anexo A, dominio 12.5, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO AWS incorpora normas de calidad como parte de los procesos del ciclo de vida de desarrollo del sistema (SDLC) que están en consonancia con norma ISO Consulte norma ISO 27001, anexo A, dominio 10.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Gestión de versiones Gestión de versiones Desarrollo externalizado RM RM Cuenta con controles para garantizar el cumplimiento de s normas de calidad en todos los desarrollos de software? Dispone de controles para detectar defectos de del código fuente en s actividades de desarrollo de software externalizadas? AWS no suele externalizar el desarrollo de software. AWS incorpora normas de calidad como parte de los procesos del ciclo de vida de desarrollo del sistema (SDLC) que están en consonancia con norma ISO Consulte norma ISO 27001, anexo A, dominio 10.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Gestión de versiones Instaciones de software no autorizado RM Dispone de controles para restringir y supervisar instación de software no autorizado en los sistemas? El programa, los procesos y los procedimientos de AWS para gestionar software malicioso están en consonancia con s normas de ISO Consulte el informe SOC 1, Tipo II, de AWS para obtener adicional. Resiliencia Programa de gestión RS-01.1 Dispone de políticas, procesos y procedimientos que definan recuperación frente a desastres y continuidad empresarial a fin de minimizar repercusión de un evento de riesgo real y, en su caso, se comunican correctamente a los inquilinos? Además, consulte norma ISO 27001, anexo A, dominio 10.4, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Los pnes y s políticas de continuidad empresarial de AWS se han desarroldo y probado de conformidad con s normas de ISO Consulte norma ISO 27001, anexo A, dominio 14.1, y el informe SOC 1 de AWS para obtener adicional acerca de AWS y continuidad empresarial. Página 42 de 136

43 Dominio Resiliencia Grupo de control Análisis de impacto CID RS-02.1 Preguntas sobre evaluación de consenso Ofrece a los inquilinos informes y visibilidad constantes sobre el rendimiento del acuerdo de nivel de servicios (SLA) operativo? Resiliencia RS-02.2 Pone a disposición de los inquilinos métricas de de basadas en estándares (CSA, CAMM, etc.)? Resiliencia RS-02.3 Ofrece a los clientes informes y visibilidad constantes acerca del rendimiento de su acuerdo de nivel de servicios? Resiliencia Pn de continuidad empresarial RS-03.1 Ofrece a los inquilinos opciones de alojamiento resistentes desde el punto de vista geográfico? Resiliencia RS-03.2 Ofrece a los inquilinos funciones de conmutación por error del servicio de infraestructura a otros proveedores? Respuesta de AWS AWS CloudWatch proporciona supervisión de los recursos de nube de AWS y de s aplicaciones que los clientes ejecutan en AWS. Consulte aws.amazon.com/cloudwatch para obtener adicional. AWS también publica más actualizada sobre disponibilidad del servicio en el Panel de estado del servicio. Visite status.aws.amazon.com. Los centros de datos están compidos en clústeres en varias regiones del mundo. AWS ofrece a los clientes flexibilidad necesaria para colocar s instancias y almacenar datos en varias regiones geográficas, así como en zonas de disponibilidad múltiples dentro de cada región. Los clientes han de pnificar el uso que realizan de AWS para poder utilizar varias regiones y zonas de disponibilidad. Resiliencia Resiliencia Pruebas de continuidad empresarial Riesgos ambientales RS-04.1 RS-05.1 Los pnes de continuidad empresarial están sujetos a pruebas a intervalos regures o a cambios de entorno u organizativos importantes a fin de garantizar una eficacia constante? Se anticipa y diseña protección física contra daños por desastres o fenómenos naturales y ataques deliberados y, en su caso, se aplican contramedidas? Consulte el documento técnico de general sobre los procesos de de AWS para obtener más, que se encuentra disponible en Los pnes de continuidad empresarial de AWS se han desarroldo y probado de conformidad con s normas de ISO Consulte norma ISO 27001, anexo A, dominio 14.1, y el informe SOC 1 de AWS para obtener adicional acerca de AWS y continuidad empresarial. Los centros de datos de AWS incorporan protección física frente a riesgos ambientales. Un auditor independiente ha validado protección física de AWS frente a riesgos ambientales, que ha certificado su conformidad con s prácticas recomendadas de norma ISO Consulte norma ISO 27001, anexo A, dominio 9.1, y el informe SOC 1, Tipo II, de AWS para obtener adicional. Página 43 de 136

44 Dominio Resiliencia Grupo de control Ubicación del equipo CID RS-06.1 Preguntas sobre evaluación de consenso Está alguno de sus centros de datos ubicado en un lugar con alta probabilidad o incidencia de riesgos medioambientales de gran impacto (como inundaciones, tornados, terremotos, huracanes, etc.)? Respuesta de AWS Los centros de datos de AWS incorporan protección física frente a riesgos ambientales. Los servicios de AWS ofrecen a los clientes flexibilidad de almacenar los datos en varias regiones geográficas, así como en zonas de disponibilidad múltiples. Los clientes han de pnificar el uso que realizan de AWS para poder utilizar varias regiones y zonas de disponibilidad. Consulte norma ISO 27001, anexo A, dominio 9.1, y el informe SOC 1, Tipo II, de AWS para obtener adicional. Resiliencia Fals de alimentación del equipo RS-07.1 Se aplican redundancias y mecanismos de para proteger los equipos frente a interrupciones del servicio de utilidad (por ejemplo, cortes de alimentación, interrupciones de red, etc.)? El equipo de AWS está protegido frente a interrupciones de conformidad con norma ISO Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO En el informe SOC 1, Tipo II, de AWS, se ofrece adicional acerca de los controles disponibles para minimizar el efecto del funcionamiento inadecuado o el desastre físico en el equipo y en s instaciones del centro de datos. Resiliencia Alimentación y telecomunicacio nes RS-08.1 Ofrece a los inquilinos documentación en que muestra ruta que siguen los datos cuando se transfieren entre sus sistemas? Resiliencia RS-08.2 Los inquilinos pueden definir cómo se transfieren los datos y conforme a qué jurisdicción legal? Además, consulte el documento técnico de general sobre los procesos de de AWS, disponible en Los clientes de AWS designan en qué región física se ubicarán sus datos y servidores. AWS no moverá el contenido de los clientes desde s regiones seleccionadas sin notificárselo, a menos que resulte necesario a efectos de cumplir legisción o por petición de organismos gubernamentales. En el informe SOC 1, Tipo II, de AWS, se ofrece adicional. Los clientes también pueden elegir ruta de acceso de red a s instaciones de AWS, incluso a través de redes privadas y dedicadas en s que el cliente contro el direccionamiento del tráfico. Página 44 de 136

45 Dominio Arquitectura de Grupo de control Requisitos de acceso de clientes CID SA-01.1 Preguntas sobre evaluación de consenso Se abordan y tratan todos los requisitos normativos, contractuales y de identificados para el acceso de los clientes a nivel de contrato antes de concederles acceso a los datos, los recursos y los sistemas de? Respuesta de AWS Los clientes de AWS tienen responsabilidad de garantizar que el uso que hacen de AWS se atiene a los regmentos y s leyes aplicables. AWS informa acerca de su entorno de control y a los clientes a través de acreditaciones independientes y certificaciones del sector y documentos técnicos (disponibles en además de ofrecer directamente a los clientes de AWS certificaciones, informes y otra documentación relevante. Arquitectura de Arquitectura de Credenciales de ID de usuario SA-02.1 SA-02.2 Admite utilización de soluciones de inicio de sesión único (SSO) basadas en clientes existentes en su servicio y también integración con s mismas? Utiliza estándares abiertos para delegar s funciones de autenticación en los inquilinos? Consulte norma ISO 27001, anexo A, dominio 6.2, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO El servicio AWS Identity and Access Management (IAM) ofrece federación de identidades en AWS Management Console. La autenticación multifactor es una característica opcional que el cliente puede utilizar. Consulte el sitio web de AWS ( para obtener adicional. Arquitectura de Arquitectura de Arquitectura de SA-02.3 SA-02.4 SA-02.5 Admiten estándares de federación de identidades (SAML, SPML, WS-Federation, etc.) como medio para autenticar/autorizar usuarios? Dispone de una función de punto de aplicación de políticas (por ejemplo, XACML) para imponer restricciones políticas y legales regionales en reción con el acceso de los usuarios? Cuenta con un sistema de gestión de identidades que admita los derechos basados en contextos y funciones sobre los datos (es decir, que permita csificación de los datos de un inquilino)? Arquitectura de Arquitectura de SA-02.6 SA-02.7 Ofrece a los inquilinos sólidas opciones de autenticación (multifactor), como certificados digitales, tokens, biométricas, etc. para el acceso de los usuarios? Permite que los inquilinos utilicen servicios de garantía de identidades de terceros? Arquitectura de Seguridad e integridad de los datos SA-03.1 La arquitectura de de los datos se ha diseñado conforme a una norma del sector? (Por ejemplo: CDSA, MULITSAFE, CSA Trusted Cloud Architectural Standard, FedRAMP sm CAESARS) La arquitectura de de los datos de AWS se ha diseñado para incorporar s principales prácticas del sector. Consulte norma ISO 27001, anexo A, dominio 10.8, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Página 45 de 136

46 Dominio Arquitectura de Arquitectura de Arquitectura de Arquitectura de Arquitectura de Arquitectura de Grupo de control s aplicaciones Integridad de los datos Entornos de producción y de otro tipo CID SA-04.1 SA-04.2 SA-04.3 SA-05.1 SA-06.1 SA-06.2 Preguntas sobre evaluación de consenso Utiliza normas del sector (puntos de referencia de Build Security in Maturity Model [BSIMM], estructura de proveedor de tecnología de confianza Open Group ACS Trusted Technology Provider Framework, NIST, etc.) para aportar a los sistemas y al ciclo de vida de desarrollo de software (SDLC)? Utiliza una herramienta de análisis de código abierto automatizada para detectar los defectos de antes de producción? Verifica si todos los proveedores de software se atienen a s normas del sector en reción con del ciclo de vida de desarrollo de sistemas y software (SDLC)? Se ejecutan rutinas de integridad de entrada y salida de los datos (es decir, comprobaciones de edición y reconciliación) para s bases de datos y s interfaces de aplicación a fin de prevenir los errores de procesamiento manual o sistemático o corrupción de los datos? En caso de que se trate de ofertas de software como servicio (SaaS) y de ptaforma como servicio (PaaS), ofrece a los inquilinos entornos independientes para los procesos de producción y pruebas? Para s ofertas de infraestructura como servicio (IaaS), ofrece orientación a los inquilinos acerca de cómo crear entornos adecuados de producción y pruebas? Respuesta de AWS El ciclo de vida de desarrollo de sistemas de AWS incorpora s prácticas recomendadas del sector, que incluyen s revisiones formales de diseño de AWS Security Team, el modedo de amenazas y realización de una evaluación de riesgos. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional. Además, consulte norma ISO 27001, anexo A, dominio 12.5, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Los controles de integridad de los datos de AWS, tal y como se describen en el informe SOC 1, Tipo II, de AWS, ofrecen garantías razonables de que se mantiene integridad de los datos en todas s fases, entre otras, transmisión, el almacenamiento y el procesamiento. Además, consulte norma ISO 27001, anexo A, dominio 12.2, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Los clientes de AWS tienen posibilidad y responsabilidad de crear y mantener los entornos de producción y pruebas. En el sitio web de AWS se ofrecen directrices acerca de cómo crear un entorno que utilice los servicios de AWS, disponible en Arquitectura de Arquitectura de Arquitectura de Autenticación multifactor de usuarios remotos red SA-07.1 SA-08.1 Se requiere autenticación multifactor para el acceso de todos los usuarios remotos? Para s ofertas de infraestructura como servicio (IaaS), ofrece a los clientes orientación acerca de cómo crear una equivalencia de arquitectura de por capas usando una solución virtualizada? Segmentación SA-09.1 Los entornos de red y del sistema están separados de forma lógica a fin de garantizar que se satisfacen s necesidades de del cliente y de empresa? La autenticación multifactor es una característica opcional que el cliente puede utilizar. Consulte el sitio web de AWS ( para obtener adicional. En el sitio web de AWS se ofrecen directrices acerca de cómo crear una arquitectura de por capas en una serie de documentos técnicos que se encuentran disponibles en el sitio web público de AWS, en Los clientes de AWS tienen responsabilidad de gestionar segmentación de red de conformidad con los requisitos definidos. A nivel interno, segmentación de red de AWS Página 46 de 136

47 Dominio Arquitectura de Arquitectura de Arquitectura de Arquitectura de Arquitectura de Arquitectura de Grupo de control conexión inalámbrica CID SA-09.2 SA-09.3 SA-09.4 SA-10.1 SA-10.2 SA-10.3 Preguntas sobre evaluación de consenso Los entornos del sistema y de red están separados de forma lógica a fin de garantizar el cumplimiento de s disposiciones legistivas, normativas y contractuales? Los entornos del sistema y de red están separados de forma lógica a fin de garantizar separación de los entornos de producción y de otro tipo? Los entornos del sistema y de red están separados de forma lógica a fin de garantizar protección y el aismiento de los datos confidenciales? Se han establecido políticas y procedimientos y se han aplicado mecanismos para proteger los parámetros del entorno de red y, en su caso, este entorno está configurado para restringir el tráfico no autorizado? Se han establecido políticas y procedimientos y se han aplicado mecanismos para garantizar que configuración de adecuada está habilitada con un cifrado reforzado a efectos de autenticación y transmisión, de forma que se reempce configuración predeterminada del proveedor? (Por ejemplo, cves de cifrado, contraseñas, ences comunitarios SNMP, etc.) Se han establecido políticas y procedimientos y se han aplicado mecanismos para proteger los entornos de red y detectar presencia de dispositivos de red no autorizados para una desconexión oportuna de red? Respuesta de AWS está en consonancia con s normas ISO Consulte norma ISO 27001, anexo A, dominio 11.4, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO AWS cuenta con políticas, procedimientos y mecanismos destinados a proteger el entorno de red. En el informe SOC 1, Tipo II, de AWS, se ofrece adicional. Además, consulte norma ISO 27001, anexo A, dominio 10.6, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Arquitectura de Redes compartidas SA-11.1 El acceso a los sistemas con una infraestructura de red compartida está restringido a personal autorizado de conformidad con políticas, procedimientos y normas de? Las redes compartidas con entidades externas deben tener un pn documentado en el que se detallen los controles compensatorios utilizados para separar el tráfico de red entre s organizaciones? El acceso está estrictamente restringido a recursos de vital importancia, como servicios, hosts y dispositivos de red, y debe aprobarse explícitamente en el sistema de gestión de permisos propietarios de Amazon. En el informe SOC 1, Tipo II, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. Además, consulte norma ISO 27001, anexo A, dominio 11. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Página 47 de 136

48 Dominio Arquitectura de Grupo de control Sincronización del reloj CID SA-12.1 Preguntas sobre evaluación de consenso Utiliza un protocolo de servicio temporal sincronizado (por ejemplo, NTP) para garantizar que todos los sistemas tienen una referencia temporal común? Respuesta de AWS De conformidad con s normas ISO 27001, los sistemas de de AWS utilizan relojes internos del sistema sincronizados a través del protocolo de tiempo de redes (Network Time Protocol, NTP). Arquitectura de Arquitectura de Arquitectura de Arquitectura de Identificación del equipo Detección de intrusiones y registros de auditoría SA-13.1 SA-14.1 SA-14.2 SA-14.3 La identificación automática del equipo se utiliza como un método de autenticación de conexión para validar integridad de autenticación en función de una ubicación conocida del equipo? Se utilizan s herramientas de detección de intrusiones de red (IDS) y de integridad de los archivos (host) para facilitar detección oportuna, investigación mediante análisis de causa raíz y respuesta a s incidencias? Está restringido a personal autorizado el acceso físico y lógico de los usuarios a los registros de auditoría? Puede demostrar que se ha seguido debida diligencia en asignación de regmentos y normas a los controles, arquitectura y los procesos? Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO AWS gestiona identificación de equipos de conformidad con norma ISO Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO El programa de respuesta a incidencias de AWS (detección, investigación y respuesta a incidencias) se ha desarroldo de conformidad con norma ISO En el informe SOC 1, Tipo II, de AWS, se ofrecen detalles acerca de s actividades de control específicas que ejecuta AWS. En el documento técnico de general sobre los procesos de de AWS (disponible en se facilita adicional. Arquitectura de Código móvil SA-15.1 Se autoriza el código móvil antes de su instación y uso, y se comprueba configuración del código para garantizar que el código móvil autorizado funciona de conformidad con una política de cramente definida? AWS permite a los clientes gestionar s aplicaciones cliente y móviles conforme a sus propias necesidades. Arquitectura de SA-15.2 Se impide ejecución de todos los códigos móviles no autorizados? Página 48 de 136

49 Apéndice B: Conformidad de AWS con el modelo de del contenido de Motion Picture of America Association (MPAA) La Motion Picture of America Association (MPAA) ha establecido un conjunto de prácticas recomendadas para almacenar, procesar y ofrecer de forma segura contenido protegido multimedia y de otro tipo. Para obtener adicional acerca de s prácticas recomendadas sobre del contenido establecidas por MPAA, consulte: Las empresas multimedia pueden utilizar estas prácticas recomendadas como mecanismo para evaluar el riesgo y auditar de gestión del contenido. En tab siguiente se documenta conformidad de AWS con s directrices del modelo de del contenido de Motion Picture of America Association (MPAA) publicadas el 1 de enero de Se ofrece una referencia a los informes y s certificaciones de auditores externos de AWS por si desea adicional. * La correspondencia entre ISO y NIST se refleja según se define en s directrices comunes de s prácticas recomendadas sobre del contenido de MPAA publicadas el 1 de enero de Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-1.0 MS.S-1.0 Supervisión y sensibilización de ejecutiva Supervisión y sensibilización de ejecutiva Asegurarse de que dirección ejecutiva y los propietarios supervisan de solicitando una revisión periódica de los resultados de evaluación de riesgos y del programa de de Establecer un sistema de gestión de de que implemente un marco de control (por ejemplo, IS ) de de que esté aprobado por dirección ejecutiva y los propietarios El entorno de control en Amazon parte del estrato más alto de empresa. Los altos cargos desempeñan funciones importantes a hora de definir los valores principales y el tono de empresa. AWS ha establecido un marco y políticas de de basados en el marco Control Objectives for Information and reted Technology (COBIT, Objetivos de control para y tecnologías afines) y ha integrado con eficacia el marco certificable ISO basándose en los controles de ISO 27002, los Principios de los servicios de confianza del American Institute of Certified Public Accountants (AICPA), el PCI DSS v3.0 y revisión 3 de Publicación del National Institute of Standards and Technology (NIST, Instituto Nacional de Estándares y Tecnología) (Recommended Security Controls for Federal Information Systems). Los empleados de AWS completan una formación periódica basada en roles que incluye formación sobre de AWS. Las auditorías de conformidad se realizan a fin de que los empleados puedan conocer y seguir s políticas establecidas. MS-1 SOC1 (1.1) SOC2 (S.2.3) PM-1 PM-2 Página 49 de 136

50 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-1.1 MS-2.0 MS-2.1 MS-2.2 Supervisión y sensibilización de ejecutiva Gestión de riesgos Gestión de riesgos Gestión de riesgos Formar e involucrar a los propietarios y dirección ejecutiva en s responsabilidades de empresa en cuanto a protección del contenido Desarrolr un proceso formal de evaluación de riesgos de centrado en los flujos de trabajo del contenido y los recursos confidenciales a fin de identificar y priorizar riesgos de robo de contenido y filtración que resulten relevantes para s instaciones Identificar contenido de alta según petición del cliente Realizar una evaluación de riesgos interna anualmente y cuando cambie el flujo de trabajo cve, basándose como mínimo en s directrices comunes de s prácticas recomendadas de MPAA y s directrices complementarias aplicables, y documentar y actuar sobre los riesgos identificados AWS ha implementado una política formal documentada de evaluación de riesgos que se actualiza y revisa al menos una vez al año. Esta política aborda el propósito, el ámbito de aplicación, s funciones, s responsabilidades y el compromiso de dirección. De acuerdo con esta política, el equipo de conformidad de AWS realiza una evaluación de riesgos anual que abarca todas s regiones y los negocios de AWS, y alta dirección de AWS revisa dicha evaluación. Esto se suma a certificación y los informes realizados por auditores independientes. La finalidad de evaluación de riesgos es identificar s amenazas y vulnerabilidades de AWS, asignar un grado de riesgo a esas amenazas y vulnerabilidades, documentar formalmente evaluación y crear un pn de tratamiento de riesgos para abordar los problemas. La alta dirección de AWS revisa los resultados de s evaluaciones anualmente y siempre que un cambio significativo justifique una nueva evaluación de riesgos antes de evaluación de riesgos anual programada. Los clientes mantienen propiedad de sus datos (contenido) y son responsables de evaluar y gestionar los riesgos asociados a los flujos de trabajo de sus datos para satisfacer sus necesidades de conformidad. Los auditores independientes externos revisan el marco de gestión de riesgos de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. MS-2 SOC2 (S3.31, S4.2, S4.3) CA-1 CA-2 CA-5 RA-1 RA-2 RA-3 Página 50 de 136

51 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-3.0 MS.S-3.0 Organización de Organización de Identificar los puntos de contacto cves en materia de y definir formalmente s funciones y responsabilidades en términos de protección de contenido y recursos Establecer un equipo de que sea responsable de supervisar de forma proactiva los sistemas de y física para identificar y responder ante cualquier actividad sospechosa AWS ha constituido una organización de de gestionada por el equipo AWS Security y de cuya dirección se encarga el oficial principal de de (CISO) de AWS. AWS mantiene y ofrece formación de sensibilización sobre a todos los usuarios de sistemas de que sustentan AWS. Esta formación anual para sensibilizar acerca de incluye los temas siguientes: el propósito de formación de sensibilización sobre, ubicación de todas s políticas de AWS y los procedimientos de respuesta a incidencias de AWS (incluidas instrucciones acerca de cómo notificar s incidencias de internas y externas). Los sistemas de AWS disponen de una gran variedad de recursos para poder supervisar s principales métricas operativas y de. Las armas se configuran para notificar automáticamente al personal de operaciones y de gestión cuando s métricas cve superan los umbrales de preaviso. Cuando se supera un umbral, se inicia el proceso de respuesta a incidencias de AWS. El equipo de respuesta a incidencias de Amazon utiliza procedimientos de diagnóstico propios del sector para gestionar s soluciones durante los eventos que repercuten en el negocio. El personal ofrece un servicio de 24 horas los 7 días de semana durante los 365 días del año para poder detectar incidencias y gestionar su impacto hasta su resolución. MS-3 SOC1 (1.1) SOC2 (S.2.3) PM-2 Los auditores independientes externos revisan s funciones y s responsabilidades de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Página 51 de 136

52 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-4.0 Políticas y procedimientos Establecer políticas y procedimientos en reción con de los recursos y del contenido; s políticas deben abordar al menos los siguientes temas: Políticas de Recursos Humanos Uso aceptable (por ejemplo, redes sociales, Internet, teléfono, etc.) Csificación de recursos Políticas de gestión de recursos Dispositivos de grabación digital (por ejemplo, smartphones, cámaras digitales y cámaras de vídeo) Política de excepciones (por ejemplo, proceso para documentar s desviaciones de s políticas) Control de contraseñas (por ejemplo, longitud mínima de contraseña o protectores de pantal) AWS ha establecido un marco y políticas de de basados en el marco Control Objectives for Information and reted Technology (COBIT, Objetivos de control para y tecnologías afines) y ha integrado con eficacia el marco certificable ISO basándose en los controles de ISO 27002, los Principios de los servicios de confianza del American Institute of Certified Public Accountants (AICPA), el PCI DSS v3.0 y revisión 3 de Publicación del National Institute of Standards and Technology (NIST, Instituto Nacional de Estándares y Tecnología) (Recommended Security Controls for Federal Information Systems). AWS mantiene y ofrece formación de sensibilización sobre a todos los usuarios de sistemas de que sustentan AWS. Esta formación anual para sensibilizar acerca de incluye los temas siguientes: el propósito de formación de sensibilización sobre, ubicación de todas s políticas de AWS y los procedimientos de respuesta a incidencias de AWS (incluidas instrucciones acerca de cómo notificar s incidencias de internas y externas). Los auditores independientes externos revisan s políticas, los procedimientos y los programas de formación correspondientes de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. MS-4 SOC1 (1.2) SOC2 (S1.1, S1.2, S1.3, S2.2, S2.3, S2.4, S3.7 S3.8, S3.9, S4.2, S4.3)) AT-1 AT-2 AT-3 AT-4 PL-1 PS-7 Prohibición de quitar recursos del cliente de s instaciones Gestión de cambios del sistema Política de denunciantes de irreguridades Página 52 de 136 Política de sanciones (por ejemplo, política de carácter disciplinario)

53 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS.S-4.0 Políticas y procedimientos Proporcionar formación especializada específica del contenido que se gestiona en instación MS-4.1 MS.S-4.1 MS-4.2 Políticas y procedimientos Políticas y procedimientos Políticas y procedimientos Revisar y actualizar s políticas y los procedimientos de al menos anualmente Impartir formación sobre s aplicaciones y los procesos recionados con el cifrado y gestión de cves a todas s personas que manejen contenido cifrado Exigir firma de todo el personal de empresa (por ejemplo, empleados, trabajadores temporales y de los trabajadores en prácticas) y de trabajadores externos (por ejemplo, contratistas, autónomos o agencias temporales) de s políticas, los procedimientos, los requisitos del cliente y s actualizaciones Página 53 de 136

54 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-4.3 Políticas y procedimientos Desarrolr y actualizar periódicamente un programa de sensibilización acerca de y entrenar al personal de empresa y a otros trabajadores en el momento de su contratación, y después anualmente, sobre los procedimientos y s políticas de, incluyendo s áreas siguientes como mínimo: Procedimientos y políticas de de TI Gestión y de recursos y contenido Escado y notificación de incidencias de Medidas disciplinarias Página 54 de 136

55 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-5.0 Respuesta frente a incidencias Establecer un pn formal de respuesta a incidencias en el que se describan s acciones que cabe ejecutar cuando se detecta y registra una incidencia de AWS ha aplicado un programa y una política formales y documentados de respuesta a incidencias. La política aborda el propósito, el ámbito de aplicación, s funciones, s responsabilidades y el compromiso de dirección. AWS utiliza un pnteamiento en tres fases para gestionar s incidencias: 1. Fase de activación y notificación: s incidencias de AWS empiezan con detección de un evento. Este evento puede proceder de varias fuentes, incluidas: MS-5 SOC 1 (8.2) SOC 2 (S2.4, S3.5, S3.7, S3.9) IR-1 IR-2 IR-4 IR-5 IR-6 IR-7 IR-8 MS-5.1 Respuesta frente a incidencias Identificar al equipo de respuesta a incidencias de que será responsable de detectar, analizar y remediar s incidencias de a. Métricas y armas: AWS es capaz de reconocer s situaciones excepcionales. La mayoría de los problemas se detectan rápidamente con una supervisión s 24 horas del día, los 7 días de semana, durante los 365 días del año y armas procedentes de métricas en tiempo real y paneles de servicios. La mayoría de s incidencias se detectan de esta manera. AWS utiliza armas con indicadores tempranos para identificar de forma proactiva los problemas que pueden afectar en última instancia a los clientes. b. Vale de problema introducido por un empleado de AWS MS-5.2 Respuesta frente a incidencias Establecer un proceso de informes de incidencias de para que s personas informen de s incidencias detectadas al equipo de respuesta a incidencias de c. Lmadas a línea telefónica de asistencia técnica, que está disponible s 24 horas del día, los 7 días de semana, durante los 365 días del año. Página 55 de 136

56 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-5.3 Respuesta frente a incidencias Comunicar inmediatamente s incidencias a los clientes cuyo contenido pueda haberse fugado, robado o puesto en peligro de otra forma (por ejemplo, faltan recursos de un cliente) y celebrar una reunión final con dirección y con el cliente Si el evento cumple los criterios de incidencia, el ingeniero de soporte de guardia correspondiente iniciará una intervención mediante herramienta de gestión de eventos de AWS; iniciará intervención y localizará a s personas encargadas de resolución según el programa (por ejemplo, el equipo de ). Estas personas realizarán un análisis de incidencia a fin de determinar si es necesario involucrar a más personas y averiguar raíz aproximada del problema. 2. Fase de recuperación: s personas encargadas de resolución realizarán soporte técnico reactivo para tratar de resolver incidencia. Una vez que se ha abordado solución de problemas, el soporte técnico reactivo y los componentes afectados, el coordinador de lmada asignará los pasos que hay que seguir a continuación en cuanto a documentación y acciones de seguimiento, y dará por terminada intervención. 3. Fase de reconstitución: una vez completadas s actividades de corrección pertinentes, el coordinador decrará finalizada fase de recuperación. Se asignarán al equipo correspondiente el análisis final y un análisis detaldo de causa de incidencia. La alta dirección examinará los resultados del análisis final y s acciones pertinentes como cambios de diseño, etc. se incluirán en un documento de corrección de errores (COE); también se hará un seguimiento de s mismas hasta su finalización. Además de los mecanismos de comunicación interna explicados anteriormente, AWS también ha implementado varios métodos de comunicación externa para prestar asistencia a su cartera de clientes y a comunidad. El equipo de atención al cliente dispone de mecanismos para recibir notificaciones sobre problemas operativos que afecten a experiencia de los clientes. El equipo de atención al cliente realiza el mantenimiento del "Panel de estado del servicio" para que se encuentre disponible a fin de advertir al cliente de cualquier problema que pueda tener un gran impacto. Página 56 de 136 Los auditores independientes externos revisan el programa de gestión de incidencias de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm.

57 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-6.0 Flujo de trabajo Documentar un flujo de trabajo que incluya el seguimiento del contenido y puntos de comprobación de autorización en cada proceso; incluir los siguientes procesos para el contenido físico y digital: La documentación del flujo de trabajo del contenido (datos) es responsabilidad de los clientes de AWS, ya que estos mantienen propiedad y el control de sus propios sistemas operativos de invitado, software, aplicaciones y datos. MS-6 No aplicable a AWS No aplicable a AWS No aplica ble a AWS No aplicable a AWS Entrega Adquisición Transferencia Almacenamiento Devolución al autor Eliminación del sitio Destrucción MS-6.1 Flujo de trabajo Identificar, aplicar y evaluar eficacia de los controles cves para prevenir, detectar y corregir riesgos recionados con el flujo de trabajo del contenido Página 57 de 136

58 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-7.0 Segregación de funciones Segregar s funciones dentro del flujo de trabajo de contenido e implementar y documentar controles de compensación cuando no sea práctica segregación La segregación de funciones del flujo de trabajo del contenido (datos) es responsabilidad de los clientes de AWS, ya que estos mantienen propiedad y el control de sus propios sistemas operativos de invitado, software, aplicaciones y datos. Los clientes que alojan recursos digitales y flujos de trabajo en AWS pueden utilizar AWS Identity and Access Management cuando corresponda para implementar requisitos de control recionados con segregación de funciones en lo que respecta a los recursos digitales y s transferencias de contenido. Los clientes pueden aprovechar AWS CloudTrail como ayuda para revisión y retención de registros de auditoría según corresponda. MS-7 No aplicable a AWS No aplicable a AWS No aplica ble a AWS No aplicable a AWS Página 58 de 136

59 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-8.0 Comprobacion es de antecedentes Realizar comprobaciones de antecedentes de todo el personal de empresa y de otros trabajadores AWS comprueba los antecedentes penales de conformidad con legisción aplicable, como parte de s prácticas de preselección de empleados a efectos de que estos se adecuen al cargo y al nivel de acceso del empleado a s instaciones de AWS. MS-8 SOC 2 (S3.11) PS-3 Los auditores independientes externos revisan el programa de verificación de los antecedentes de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. MS-9.0 MS-9.1 Acuerdos de confidencialida d Acuerdos de confidencialida d Exigir a todo el personal de empresa y a otros trabajadores que firmen un acuerdo de confidencialidad (por ejemplo, de no divulgación) al ser contratados y, a partir de ahí, con carácter anual, en el que se incluyan disposiciones acerca de gestión y protección del contenido Exigir a todo el personal de empresa y a otros trabajadores que devuelvan todo el contenido y del cliente que tengan en su poder tras terminar el empleo o el contrato El consejo jurídico de Amazon gestiona y revisa periódicamente el acuerdo de no divulgación de Amazon (NDA) para reflejar s necesidades empresariales de AWS. Los auditores independientes externos revisan el uso de Contratos de confidencialidad (NDA) de AWS durante s auditorías de nuestra conformidad con ISO y FedRAMP sm. MS PL-4 PS-4 PS-6 PS-8 SA-9 Página 59 de 136

60 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-10.0 MS.S-10.0 MS-10.1 MS.S-10.1 Estudio y utilización de terceros Estudio y utilización de terceros Estudio y utilización de terceros Estudio y utilización de terceros Exigir a todos los trabajadores externos que gestionan el contenido que firmen acuerdos de confidencialidad (por ejemplo, de no divulgación) al ser contratados Comunicar a los clientes el uso de proveedores de almacenamiento externos para los recursos físicos Incluir los requisitos de en contratos de terceros Solicitar que s empresas de transporte internacional (hacia y desde EE. UU.) cuenten con el certificado "Customs-Trade Partnership Against Terrorism" (CTPAT, Asociación Aduanas- Comercio contra el Terrorismo) Como parte del proceso de contratación, todas s personas que prestan apoyo a los dispositivos y sistemas de AWS firman un contrato de confidencialidad antes de que se les conceda acceso. Además, como parte de orientación que recibe, el personal tiene que leer y aceptar política de uso aceptable y el código de conducta de Amazon. Los requisitos de del personal de proveedores externos que prestan apoyo a los dispositivos y sistemas de AWS quedan recogidos en un contrato mutuo de confidencialidad entre organización matriz de AWS, Amazon.com y el proveedor externo correspondiente. El consejo jurídico de Amazon y el equipo de contratación de AWS definen los requisitos de que debe cumplir el personal de los proveedores externos de AWS en acuerdos de contrato con el proveedor externo. Todas s personas que trabajen con de AWS tienen que superar como mínimo el proceso de cribado previo a contratación, consistente en verificaciones de los antecedentes penales, y firmar un Contrato de confidencialidad (NDA) antes de que se les conceda acceso a de AWS. Los auditores independientes externos revisan los requisitos de los proveedores externos de AWS durante s auditorías de nuestra conformidad con PCI DSS, ISO y FedRAMP sm. MS PL-4 PS-4 PS-6 PS-7 PS-8 SA-9 Página 60 de 136

61 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS-10.2 MS.S-10.2 MS-10.3 MS.S-10.3 Estudio y utilización de terceros Estudio y utilización de terceros Estudio y utilización de terceros Estudio y utilización de terceros Aplicar un proceso para recmar recursos y recordar a los trabajadores externos s disposiciones de los acuerdos de confidencialidad y de contractual cuando se termina reción boral Volver a evaluar los proveedores de transporte y embajes anualmente y cuando el proveedor cambie su ubicación y preste servicios adicionales Exigir que los trabajadores externos tengan garantías y seguros según proceda (por ejemplo, un servicio de mensajería) Revisar anualmente el acceso a los sitios web y a los sistemas de entrega de contenido de terceros MS-10.4 Estudio y utilización de terceros Restringir el acceso de terceros a contenido y espacios de producción, a menos que así se requiera para el desempeño de sus funciones Página 61 de 136

62 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * MS.S-10.4 MS-10.5 Estudio y utilización de terceros Estudio y utilización de terceros Incorporar actividades de diligencia debida sobre (por ejemplo, evaluación de, cuestionario de autoevaluación) como parte del proceso de selección y contratación de empleados externos que manejen contenido confidencial Exigir a s empresas externas que notifiquen a los clientes si van a incorporar a otras empresas para gestionar el contenido PS-1.0 PS.S-1.0 PS-1.1 Puntos de entrada y salida Puntos de entrada y salida Puntos de entrada y salida Bloquear todos los puntos de entrada y salida si instación no tiene un área de acceso controdo segregada más allá de recepción Poner guardias de en todos los puntos de entrada y salida que no sean de emergencia Contror el acceso a s áreas donde se gestione contenido separando el área de contenido de otras zonas de s instaciones (por ejemplo, s oficinas administrativas) AWS utiliza mecanismos de autenticación multifactor para el acceso a los centros de datos y otros mecanismos de adicionales diseñados para asegurar que solo s personas autorizadas entran en un centro de datos de AWS. Las personas autorizadas tienen que utilizar su tarjeta de identificación en el lector de tarjetas e introducir su PIN único para obtener acceso a instación y s sas para s que fueron autorizadas. El acceso físico a los centros de datos pasa por el sistema de control de acceso electrónico de AWS. Este sistema consta de lectores de tarjetas y terminales para introducción de PIN en s entradas a edificios y sas, y lectores de tarjetas somente en s salidas de edificios y sas. El uso obligatorio de lectores de tarjetas para salida de edificios y sas hace que no se pueda volver hacia atrás, lo que ayuda a asegurar que personas no autorizadas no consigan ir detrás de personas autorizadas y entren sin una tarjeta de identificación. PS-1 SOC 1 (5.5) SOC 2 (S3.3, S3.4) PE-3 PE-6 Página 62 de 136

63 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-1.1 PS.S-1.2 PS.S-1.3 PS.S-1.4 Puntos de entrada y salida Puntos de entrada y salida Puntos de entrada y salida Puntos de entrada y salida Bloquear e instar armas en s puertas de todos los muelles de carga y supervisar s puertas de los muelles de carga mientras están en uso Separar entrada de los transportistas para impedir que entren en otras áreas de instación Implementar un proceso de patrul diaria de con un horario aleatorio y documentar los resultados de patrul en un registro Documentar, investigar y resolver todas s incidencias detectadas durante los turnos de los guardias de Además del sistema de control de acceso, todas s entradas a los centros de datos de AWS, incluidas entrada principal, el muelle de carga y todas s puertas o trampils de los techos, están protegidas con sistemas de detección de intrusiones que hacen sonar armas si se fuerza apertura de una puerta o si se queda abierta una puerta. Los centros de datos de AWS, además de contar con mecanismos electrónicos, disponen de guardias de debidamente entrenados s 24 horas del día, los 7 días de semana, que están destacados en el edificio y en sus alrededores. El acceso a los centros de datos dentro de los límites del sistema solo se concede en medida en que sea necesario, previa revisión y aprobación por parte del administrador de acceso al área (AAM) de todas s solicitudes de acceso físico. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Página 63 de 136

64 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-2.0 PS-2.1 Entrada y salida de visitantes Entrada y salida de visitantes Mantener un registro detaldo de los visitantes en el que se incluya lo siguiente: Nombre Empresa Hora de entrada y de salida Persona visitada Firma del visitante Número de pca asignado Asignar a cada visitante una etiqueta o una pca de identificación, que debe estar visible en todo momento, y recoger todas s pcas a salida Los centros de datos de AWS se encuentran en instaciones sin identificación externa y no están abiertos al público. El acceso físico está estrictamente controdo tanto en el perímetro como en los puntos de acceso del edificio. AWS solo ofrece acceso al centro de datos y solo facilita a los proveedores, contratistas y visitantes que tengan necesidad empresarial legítima de tales privilegios, como en caso de reparaciones de emergencia. Todos los visitantes de los centros de datos deben estar autorizados previamente por el administrador de acceso al área (AAM) correspondiente y deben quedar reflejados en el sistema de gestión de vales de AWS. Cuando lleguen al centro de datos, han de presentar su identificación y deberán firmar antes de que se les emita una tarjeta de visitante. Durante su estancia en el centro de datos, irán acompañados en todo momento de personal autorizado. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. PS-2 SOC 1 (5.1) SOC 2 (S3.3, S3.4) PE-3 PE-7 PS-2.2 PS-2.3 Entrada y salida de visitantes Entrada y salida de visitantes No dar acceso electrónico a los visitantes a zonas de contenido y producción Exigir que los visitantes vayan acompañados por personal autorizado cuando están dentro de s instaciones o, como mínimo, cuando se encuentran en zonas de contenido y producción Página 64 de 136

65 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-3.0 Identificación Dar al personal de empresa y a los trabajadores externos a rgo pzo (por ejemplo, los servicios de limpieza) una foto de identificación validada que debe estar visible en todo momento AWS ofrece al personal acceso a rgo pzo al centro de datos mediante una tarjeta de acceso electrónico que incorpora una foto identificativa. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. PS-3 SOC 1 (5.1) SOC 2 (S3.3, S3.4) PE-3 PS-4.0 Seguridad perimetral Aplicar controles de perimetrales para abordar los riesgos a los que s instaciones pueden estar expuestas según se haya identificado en evaluación de riesgos de organización El acceso físico a los centros de datos pasa por el sistema de control de acceso electrónico de AWS. Este sistema consta de lectores de tarjetas y terminales para introducción de PIN en s entradas a edificios y sas, y lectores de tarjetas somente en s salidas de edificios y sas. El uso obligatorio de lectores de tarjetas para salida de edificios y sas hace que no se pueda volver hacia atrás, lo que ayuda a asegurar que personas no autorizadas no consigan ir detrás de personas autorizadas y entren sin una tarjeta de identificación. PS-4 SOC 1 (5.5) SOC 2 (S3.3, S3.4) PE-3 Además del sistema de control de acceso, todas s entradas a los centros de datos de AWS, incluidas entrada principal, el muelle de carga y todas s puertas o trampils de los techos, están protegidas con sistemas de detección de intrusiones que hacen sonar armas si se fuerza apertura de una puerta o si se queda abierta una puerta. PS.S-4.0 Seguridad perimetral Instar protecciones adicionales en el perímetro (por ejemplo, vals, barricadas con vehículos) para reducir el riesgo de acceso no autorizado a s instaciones Los centros de datos de AWS, además de contar con mecanismos electrónicos, disponen de guardias de debidamente entrenados s 24 horas del día, los 7 días de semana, que están destacados en el edificio y en sus alrededores. Página 65 de 136

66 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-4.1 PS.S-4.2 Seguridad perimetral Seguridad perimetral Cerrar con lve s puertas del perímetro en todo momento y dedicar un empleado in-situ a contror s funciones de apertura remota Estacionar un guardia de en s entradas perimetrales e implementar un proceso (por ejemplo, un brazo de barrera electrónica, permisos de aparcamiento) para permitir entrada de vehículos en el campus de s instaciones PS-5.0 Armas Instar un sistema de arma sonoro y centralizado que cubra todos los puntos de entrada y salida (incluidas s salidas de emergencia), los muelles de carga, s escaleras de incendios y s zonas restringidas (por ejemplo, s cámaras y s sas de servidores y máquinas) El acceso a los centros de datos dentro de los límites del sistema solo se concede en medida en que sea necesario, previa revisión y aprobación por parte del administrador de acceso al área (AAM) de todas s solicitudes de acceso físico. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Todas s entradas a los centros de datos de AWS, incluidas entrada principal, el muelle de carga y todas s puertas o trampils de los techos, están protegidas con sistemas de detección de intrusiones que hacen sonar armas y crean también una arma en el sistema centralizado de supervisión de física de AWS si se fuerza apertura de una puerta o si se queda abierta una puerta. Los centros de datos de AWS, además de contar con mecanismos electrónicos, disponen de guardias de debidamente entrenados s 24 horas del día, los 7 días de semana, que están destacados en el edificio y en sus alrededores. Un guardia de investiga todas s armas y documenta causa de todas s incidencias. Todas s armas están configuradas para su escado automático si no hay respuesta antes del tiempo establecido en el acuerdo de nivel de servicios (SLA). PS-5 SOC 1 (5.5) SOC 2 (S3.3, S3.4) PE-3 PE-6 Página 66 de 136

67 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-5.1 Armas Configurar armas para ofrecer notificaciones de escado directamente al personal encargado de o para que sean supervisadas por un grupo de central o algún tercero PS-5.2 Armas Asignar códigos exclusivos de activación y desactivación a cada persona que deba acceder al sistema de arma, y restringir el acceso al resto del personal PS-5.3 Armas Revisar anualmente lista de usuarios que pueden activar y desactivar los sistemas de arma PS-5.4 Armas Probar el sistema de arma cada 6 meses El acceso a los centros de datos dentro de los límites del sistema solo se concede en medida en que sea necesario, previa revisión y aprobación por parte del administrador de acceso al área (AAM) de todas s solicitudes de acceso físico. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. PS-5.5 Armas Instar y colocar con eficacia los detectores de movimiento en zonas restringidas (por ejemplo, cámaras y sas de servidores y máquinas) y configurarlos para que alerten al personal de adecuado o al tercero que proceda Página 67 de 136

68 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-5.6 Armas Instar armas de apertura de puertas en los espacios de contenido y producción a fin de informar cuando los puntos de entrada y salida sensibles están abiertos durante más tiempo del predeterminado (por ejemplo, 60 segundos) PS-6.0 Autorización Documentar y aplicar un proceso para gestionar el acceso a s instaciones y conservar registros de los cambios introducidos en los derechos de acceso PS.S-6.0 Autorización Revisar el acceso a s áreas restringidas (por ejemplo, cámara, caja fuerte) mensualmente y cuando cambien s funciones o el estado de empleo del personal de empresa o de trabajadores externos PS-6.1 Autorización Restringir el acceso a los sistemas de producción al personal autorizado únicamente El acceso físico a los centros de datos pasa por el sistema de control de acceso electrónico de AWS. Este sistema consta de lectores de tarjetas y terminales para introducción de PIN en s entradas a edificios y sas, y lectores de tarjetas somente en s salidas de edificios y sas. El uso obligatorio de lectores de tarjetas para salida de edificios y sas hace que no se pueda volver hacia atrás, lo que ayuda a asegurar que personas no autorizadas no consigan ir detrás de personas autorizadas y entren sin una tarjeta de identificación. Además del sistema de control de acceso, todas s entradas a los centros de datos de AWS, incluidas entrada principal, el muelle de carga y todas s puertas o trampils de los techos, están protegidas con sistemas de detección de intrusiones que hacen sonar armas si se fuerza apertura de una puerta o si se queda abierta una puerta. PS-4 SOC 1 (5.3, 5.5) SOC 2 (S3.3, S3.4, S5.3) PE-1 PE-2 PE-3 PE-4 PE-5 Página 68 de 136

69 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-6.2 Autorización Revisar el acceso a zonas restringidas (por ejemplo, cámaras y sas de servidores y máquinas) con carácter trimestral y cuando se cambian s funciones o el estado de los empleados del personal de empresa o de trabajadores externos Los centros de datos de AWS, además de contar con mecanismos electrónicos, disponen de guardias de debidamente entrenados s 24 horas del día, los 7 días de semana, que están destacados en el edificio y en sus alrededores. El acceso a los centros de datos dentro de los límites del sistema solo se concede en medida en que sea necesario, previa revisión y aprobación por parte del administrador de acceso al área (AAM) de todas s solicitudes de acceso físico. PS-7.0 PS.S-7.0 PS-7.1 Acceso electrónico Acceso electrónico Acceso electrónico Utilizar el acceso electrónico en s instaciones para cubrir todos los puntos de entrada y salida y todos los espacios en que se almacena, transmite o procesa el contenido Establecer sas distintas para replicación y para masterización Restringir administración del sistema de acceso electrónico al personal competente Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. El acceso físico a los centros de datos pasa por el sistema de control de acceso electrónico de AWS. Este sistema consta de lectores de tarjetas y terminales para introducción de PIN en s entradas a edificios y sas, y lectores de tarjetas somente en s salidas de edificios y sas. El uso obligatorio de lectores de tarjetas para salida de edificios y sas hace que no se pueda volver hacia atrás, lo que ayuda a asegurar que personas no autorizadas no consigan ir detrás de personas autorizadas y entren sin una tarjeta de identificación. La capacidad de crear e imprimir una tarjeta de identificación se hace cumplir sistemáticamente y está limitada a un núcleo reducido del personal de. Todas s tarjetas de identificación se activan por un período de tiempo limitado y es necesaria una nueva aprobación para ampliar fecha de vencimiento de s tarjetas. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. MS-9 SOC 1 (5.3, 5.5) SOC 2 (S3.3, S3.4, S PE-2 PE-3 PE-7 Página 69 de 136

70 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-7.2 PS-7.3 PS-7.4 Acceso electrónico Acceso electrónico Acceso electrónico Almacenar s tarjetas en bnco en un armario cerrado y garantizar que s tarjetas lve están desactivadas antes de asignars al personal Desactivar s tarjetas lve perdidas en el sistema antes de emitir una nueva Expedir tarjetas de acceso de terceros con una fecha de vencimiento establecida (por ejemplo, 90 días) en función del pzo aprobado PS-8.0 Lves Limitar distribución de s lves maestras sólo al personal autorizado (por ejemplo, el propietario o dirección de s instaciones) PS-8.1 Lves Aplicar un proceso de registro de entrada y salida para seguir y supervisar distribución de lves maestras El personal de física de AWS posee, gestiona y ejecuta los procesos y procedimientos de física, entre otros, los procedimientos para gestionar s lves maestras de s instaciones. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. PS-8 SOC 1 (5.5) SOC 2 (S3.3, S3.4, S PE-2 PE-3 CM-8 Página 70 de 136

71 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-8.2 Lves Utilizar lves que sólo se puedan copiar con una herramienta de desbloqueo específica para los puntos de entrada y salida exteriores PS-8.3 Lves Realizar un inventario con carácter trimestral de s lves maestras y s lves de zonas restringidas, incluidos los puntos de entrada y salida de s instaciones PS-9.0 Cámaras Instar un sistema CCTV que grabe todos los puntos de entrada y salida de s instaciones y s zonas restringidas PS.S-9.0 Cámaras Revisar diariamente posición de s cámaras, así como calidad de imagen, los fotogramas por segundo y retención de s grabaciones El acceso físico está controdo en el perímetro y en los puntos de acceso del edificio por personal de profesional mediante videovigincia, sistema de detección de intrusiones y otros recursos electrónicos. Los puntos de acceso físico a s ubicaciones de los servidores se graban con cámaras de televisión de circuito cerrado (CCTV), tal y como se define en política de física del centro de datos de AWS. Las imágenes se conservan durante 90 días, a menos que este período esté limitado a 30 en virtud de s disposiciones legales o contractuales. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. PS-9 SOC 1 (5.4) SOC 2 (S3.3) PE-2 PE-3 PE-6 Página 71 de 136

72 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-9.1 Cámaras Revisar al menos semanalmente posición de s cámaras, así como calidad de imagen, s condiciones de iluminación, los fotogramas por segundo y retención adecuada de s grabaciones de vigincia PS.S-9.1 Cámaras Designar a un empleado o un grupo de empleados para que supervise s grabaciones de vigincia durante el horario de trabajo e investigue inmediatamente s incidencias de detectadas PS-9.2 Cámaras Restringir el acceso físico y lógico a conso de CCTV y al equipo de CCTV (por ejemplo, DVR) al personal responsable de administrar y supervisar el sistema PS-9.3 Cámaras Garantizar que s grabaciones de cámara incluyen una hora y fecha precisas PS-10.0 Registro y supervisión Registrar y revisar el acceso electrónico a zonas restringidas para sucesos sospechosos El acceso físico está controdo en el perímetro y en los puntos de acceso del edificio por personal de profesional mediante videovigincia, sistema de detección de intrusiones y otros recursos electrónicos. PS-10 SOC 1 (5.3, 5.5) SOC 2 (S3.3, S3.4, S5.3) AU-3 AU-6 AU-9 Página 72 de 136

73 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-10.0 Registro y supervisión Realizar una revisión semanal de los registros de acceso electrónico de s áreas siguientes, si procede: Almacén de copias maestras y troquedoras Todas s entradas a los centros de datos de AWS, incluidas entrada principal, el muelle de carga y todas s puertas o trampils de los techos, están protegidas con sistemas de detección de intrusiones que hacen sonar armas y crean también una arma en el sistema centralizado de supervisión de física de AWS si se fuerza apertura de una puerta o si se queda abierta una puerta. AU-11 PS-10.1 PS-10.2 Registro y supervisión Registro y supervisión Pre-masterización Sa de servidores o máquinas Sa de deshechos Jaus de alta Investigar s actividades sospechosas de acceso electrónico que se consideren sospechosas Mantener un registro constante de todas s incidencias de acceso electrónico confirmadas e incluir documentación de s actividades de seguimiento que se hayan llevado a cabo Los centros de datos de AWS, además de contar con mecanismos electrónicos, disponen de guardias de debidamente entrenados s 24 horas del día, los 7 días de semana, que están destacados en el edificio y en sus alrededores. Un guardia de investiga todas s armas y documenta causa de todas s incidencias. Todas s armas están configuradas para su escado automático si no hay respuesta antes del tiempo establecido en el acuerdo de nivel de servicios (SLA). Los puntos de acceso físico a s ubicaciones de los servidores se graban con cámaras de televisión de circuito cerrado (CCTV), tal y como se define en política de física del centro de datos de AWS. Las imágenes se conservan durante 90 días, a menos que este período esté limitado a 30 en virtud de s disposiciones legales o contractuales. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Página 73 de 136

74 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-10.3 Registro y supervisión Conservar en un lugar seguro s grabaciones de vigincia de CCTV y los registros de acceso electrónico al menos durante 90 días, o durante el tiempo máximo que permita ley PS-11.0 Búsquedas Informar al personal de empresa y a los trabajadores externos al ser contratados que los bolsos y otros embajes están sujetos a inspecciones aleatorias, e incluir una disposición que aborde estas inspecciones en s políticas de s instaciones De conformidad con s políticas de física de AWS, AWS se reserva el derecho a realizar registros de bolsas y paquetes en el supuesto de que surja algún problema. Los auditores independientes externos revisan los mecanismos de física de AWS durante s auditorías de nuestra conformidad con SOC, PCI DSS, ISO y FedRAMP sm. PS Página 74 de 136

75 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-11.0 Búsquedas Implementar un proceso de registro a salida que sea aplicable a todo el personal y los visitantes de s instaciones, incluido lo siguiente: Retirada de todas s prendas de abrigo, sombreros o gorras y cinturones para su inspección Vaciado del contenido de todos los bolsillos Realización de un cacheo propio con supervisión del personal de Inspección minuciosa de todas s bolsas Inspección de bandeja de CD/DVD de los portátiles Escaneado de s personas con un detector de metales manual a 10 cm de persona registrada Página 75 de 136

76 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-11.1 Búsquedas Prohibir que el personal entre o salga de s instaciones con dispositivos de grabación digital (por ejemplo, unidades USB, cámaras digitales, teléfonos móviles) e incluir búsqueda de estos dispositivos como parte del procedimiento de registro de salida PS.S-11.2 Búsquedas Exigir el uso de bolsas de plástico y recipientes para alimentos transparentes para toda comida que entre en s áreas de producción PS.S-11.3 Búsquedas Implementar un código de vestimenta que prohíba el uso de ropa demasiado grande (por ejemplo, pantalones holgados, sudaderas con capucha muy grandes) PS.S-11.4 Búsquedas Utilizar etiquetas u hologramas numerados con precinto de para identificar los dispositivos que se pueden introducir y sacar de s instaciones PS.S-11.5 Búsquedas Implementar un proceso para probar el procedimiento de registro de salida Página 76 de 136

77 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-11.6 Búsquedas Realizar un registro de vehículos aleatorio al salir del aparcamiento de s instaciones PS.S-11.7 Búsquedas Segregar s líneas de replicación que procesan contenido muy confidencial y realizar registros al salir de s áreas segregadas PS.S-11.8 Búsquedas Implementar controles adicionales para supervisar actividad de los guardias de PS-12.0 PS.S-12.0 Seguimiento de inventario Seguimiento de inventario Aplicar un sistema de gestión de los recursos del contenido para ofrecer un seguimiento detaldo de los recursos físicos (es decir, los que sean del cliente y los que se hayan creado recientemente) Utilizar notificaciones automatizadas para los recursos que han estado fuera del almacén durante rgos períodos de tiempo Los clientes de AWS son los propietarios de gestión de recursos de contenido, y también implementan y operan. Es responsabilidad de los clientes implementar el seguimiento de inventario de sus recursos físicos. En los entornos de centros de datos de AWS, todos los componentes nuevos de sistemas de, que incluyen, entre otros, servidores, bastidores, dispositivos de red, discos duros, componentes de hardware del sistema y materiales de construcción que se entreguen y se reciban en los centros de datos requieren una autorización previa y una notificación al director del centro de datos. Los artículos se entregarán en el muelle de carga de cada centro de datos de AWS y un empleado a tiempo completo de AWS los inspeccionará para ver si presentan algún daño o se ha manipudo su embaje, y firmará entrega correcta. A llegada de los envíos, los artículos se escanean y capturan en el sistema de gestión de recursos y en el sistema de seguimiento de inventario de dispositivos de AWS. PS AU-9 AU-11 CM-8 MP-3 Página 77 de 136

78 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-12.1 PS.S-12.1 PS-12.2 Seguimiento de inventario Seguimiento de inventario Seguimiento de inventario Colocar códigos de barras en los recursos de los clientes y en los medios creados (por ejemplo, cintas o unidades de disco duro) cuando se reciban y almacenar los recursos en cámaras cuando no se utilicen Cerrar con lve y registrar los recursos retrasados o devueltos si no se pudieron entregar a tiempo los envíos Conservar los registros de s transacciones de despzamientos de recursos al menos durante 90 días Una vez recibidos los artículos, se depositan en una sa de almacenamiento de equipos dentro del centro de datos y solo se puede acceder a ellos si se pasa tarjeta de identificación por el lector y se introduce el PIN hasta que se instalen en pnta del centro de datos. Antes de que los artículos tengan autorización para salir del centro de datos, se escanean, se hace un seguimiento de ellos y se sanean. Los auditores independientes externos revisan los procesos y los procedimientos de gestión de recursos de AWS durante s auditorías de nuestra conformidad con PCI DSS, ISO y FedRAMP sm. PS-12.3 Seguimiento de inventario Revisar los registros del sistema de gestión de recursos de contenido e investigar s anomalías PS-12.4 Seguimiento de inventario Utilice studio AKA ("alias") cuando proceda en los sistemas de seguimiento de recursos y en todos los recursos físicos Página 78 de 136

79 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-13.0 PS.S-13.0 PS-13.1 PS.S-13.1 Recuentos de inventario Recuentos de inventario Recuentos de inventario Recuentos de inventario Realizar un recuento de inventario trimestral de cada proyecto de prenzamiento del cliente, realizar comparaciones con los registros de gestión de recursos y comunicar a los clientes de inmediato s variaciones identificadas Realizar un recuento de inventario semanal de los proyectos de prenzamiento de cada cliente, realizar comparaciones con los registros de gestión de recursos y comunicar a los clientes de inmediato s variaciones identificadas Segregar funciones entre el personal directivo y s personas responsables de realizar los recuentos de inventario Supervisar constantemente los elementos de s pelícus (por ejemplo, negativos, pelícu sin procesar) durante todo el proceso de flujo de trabajo Los clientes mantienen el control y responsabilidad de sus datos y de los recursos de medios asociados. El cliente es responsable de realizar el seguimiento del inventario de los recursos físicos y de supervisarlos. Los sistemas de seguimiento del inventario de sistemas y dispositivos de gestión de recursos de AWS mantienen un inventario sistemático de los componentes de los sistemas de de los centros de datos de AWS. Se realizan periódicamente auditorías del inventario y un auditor independiente s revisa como parte de nuestro programa de conformidad con FedRAMP sm. Los auditores independientes externos revisan los procesos y los procedimientos de gestión de recursos de AWS durante s auditorías de nuestra conformidad con PCI DSS, ISO y FedRAMP sm. PS AU-6 AC-5 IR-4 IR-5 Página 79 de 136

80 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-13.2 PS-14.0 PS.S-14.0 Recuentos de inventario Seguimiento de medios en bnco y material sin procesar Seguimiento de medios en bnco y material sin procesar Realizar y revisar un informe diario de antigüedad para identificar los recursos realmente confidenciales que se extraen de s cámaras y que no se comprueban Etiquetar (por ejemplo, con códigos de barras o mediante asignación de identificadores exclusivos) cada unidad de medios en bnco y material sin procesar cuando se reciban Establecer un proceso para hacer un seguimiento mensual del consumo de materias primas (por ejemplo, policarbonato) Los clientes de AWS preservan el control y tituridad de los datos y recursos de medios. Es responsabilidad del estudio o del centro de procesamiento gestionar de los medios. PS MP-4 MP-2 PE-2 PE-3 PS-14.1 Seguimiento de medios en bnco y material sin procesar Almacenar los medios en bnco y el material sin procesar en un lugar seguro Página 80 de 136

81 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-15.0 PS.S-15.0 PS-15.1 PS.S-15.1 PS.S-15.2 Recursos de clientes Recursos de clientes Recursos de clientes Recursos de clientes Recursos de clientes Restringir el acceso a recursos de cliente terminados al personal responsable del seguimiento y gestión de recursos Exigir que dos empleados de compañía con tarjetas de acceso diferentes abran s áreas muy confidenciales (por ejemplo, caja fuerte, jau de alta ) fuera del horario de trabajo Almacenar los recursos del cliente en un espacio restringido y seguro (por ejemplo, cámaras o cajas de ) Utilizar una jau con acceso controdo para el área de ensayo y supervisar el área mediante cámaras de vigincia Utilizar una caja fuerte ignífuga cerrada para almacenar por noche los paquetes sin entregar que se guarden en s instaciones Es responsabilidad de s personas que examinan o gestionan s copias físicas de los recursos terminados asegurarse de que se implementa una física adecuada. Tal y como se refleja en los apartados PS-1 a PS-14 de MPAA, AWS lleva a cabo un programa de física y un programa de gestión de recursos en todos nuestros centros de datos que los auditores independientes externos revisan y evalúan periódicamente como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. PS-15 SOC 1 (5.3, 5.5) SOC 2 (S3.3, S3.4, S5.3) MP-2 MP-4 PE-2 PE-3 Página 81 de 136

82 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-15.3 Recursos de clientes Implementar un área segura dedicada (por ejemplo, jau de, sa segura) para el almacenamiento de los originales sin estrenar que no se hayan entregado que esté cerrada con lve, tenga acceso controdo y esté supervisada con cámaras de vigincia o guardias de PS-16.0 Eliminaciones Exigir que el material rechazado, dañado y obsoleto se borra, neutraliza, ral o destruye físicamente antes de eliminarlo (por ejemplo, ralr un DVD o destruir una unidad de disco duro) y actualizar los registros de gestión de recursos para reflejar tal destrucción PS.S-16.0 Eliminaciones Implementar un proceso que requiera presencia de personal de para supervisar y registrar el proceso de desguace si se destruyen desechos Cuando un dispositivo de almacenamiento de AWS alcanza el final de su vida útil, los procedimientos de AWS incluyen un proceso de retirada diseñado para impedir que los datos de los clientes queden expuestos al acceso de personas no autorizadas. AWS utiliza técnicas detaldas en DoD M ("Manual de operaciones del programa de industrial nacional") o NIST ("Directrices para desinfección de soportes") para destruir datos como parte del proceso de retirada. Todos los dispositivos de almacenamiento retirados se desmagnetizan y destruyen físicamente de acuerdo con s prácticas estándar del sector. Los auditores independientes externos revisan y evalúan periódicamente el proceso de retirada de dispositivos de almacenamiento de AWS como parte de nuestro programa continuado de conformidad con ISO y FedRAMP sm. PS MP-6 Página 82 de 136

83 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-16.1 Eliminaciones Almacenar los elementos que se vayan a recicr y destruir en una ubicación o un contenedor seguros a fin de prevenir copia y reutilización de los recursos antes de desecharlos PS.S-16.1 Eliminaciones Realizar periódicamente formación sobre para todo el personal de empresa y los empleados externos a fin de concienciar sobre los procesos de eliminación y destrucción de recursos (por ejemplo, poner los recursos en los contenedores designados) PS-16.2 Eliminaciones Mantener un registro de eliminación de recursos al menos durante 12 meses PS.S-16.2 Eliminaciones Rayar los discos antes de colocarlos en el contenedor de desecho PS-16.3 Eliminaciones Exigir a s empresas externas encargadas de destrucción del contenido que faciliten un certificado de destrucción por cada tarea completada Página 83 de 136

84 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-16.3 Eliminaciones Automatizar transferencia de los discos rechazados por s máquinas de reproducción directamente a los contenedores de desecho (sin intervención de ningún operador de s máquinas) PS.S-16.4 Eliminaciones Prohibir el uso de empresas terceras para destrucción de s unidades de DCDM o de contenido preliminar PS-17.0 Envío Exigir que s instaciones emitan una orden de envío o trabajo válida para autorizar salida de los recursos de s instaciones a efectos de envíos PS.S-17.0 Envío Documentar y conservar un registro diferente para sobre los transportistas En los entornos de centros de datos de AWS, todos los componentes nuevos de sistemas de, que incluyen, entre otros, servidores, bastidores, dispositivos de red, discos duros, componentes de hardware del sistema y materiales de construcción que se entreguen y se reciban en los centros de datos requieren una autorización previa y una notificación al director del centro de datos. Los artículos se entregarán en el muelle de carga de cada centro de datos de AWS y un empleado a tiempo completo de AWS los inspeccionará para ver si presentan algún daño o se ha manipudo su embaje, y firmará entrega correcta. A llegada de los envíos, los artículos se escanean y capturan en el sistema de gestión de recursos y en el sistema de seguimiento de inventario de dispositivos de AWS. PS MP-5 AU-11 PE-16 Página 84 de 136

85 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-17.1 Envío Seguir y registrar los detalles de envío de los recursos; como mínimo, incluir lo siguiente: Los auditores independientes externos revisan los procesos y los procedimientos de gestión de recursos de AWS durante s auditorías de nuestra conformidad con PCI DSS, ISO y FedRAMP sm. Hora de envío Nombre y firma del remitente Nombre del destinatario Dirección de destino Número de seguimiento del transportista Referencia a orden de trabajo correspondiente PS.S-17.1 Envío Exigir que el personal que recoja los paquetes verifique el número de documento de envío y consiga una firma del punto de envío PS-17.2 Envío Validar los recursos que salen de s instaciones conforme a una orden de envío o trabajo válida PS.S-17.2 Envío Observar y supervisar el embaje y el seldo de los tráilers cuando el envío se realiza in-situ PS-17.3 Envío Proteger los recursos pendientes de ser recogidos Página 85 de 136

86 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-17.3 Envío Implementar un proceso formal para registrar, supervisar y revisar duración de los viajes, s rutas y los tiempos de entrega para los envíos entre instaciones PS-17.4 Envío Prohibir al personal de mensajería y entrega que entren en s zonas de contenido y producción de s instaciones PS.S-17.4 Envío No permitir que los elementos de s pelícus salgan de s instaciones sin el procedimiento de envío, salvo con un pase de autorización firmado PS.S-17.5 Envío Enviar por partes s copias de s proyecciones previas en s sas (por ejemplo, carretes impares en lugar de pares) PS-18.0 Recepción Inspeccionar el contenido entregado tras recibirlo y comparar los documentos de envío (por ejemplo, el embaje y el registro de manifiestos) PS-18.1 Recepción Conservar un registro de recepción que debe completar el personal designado al recibir s entregas Una vez recibidos los componentes nuevos de sistemas de en los centros de datos de AWS, se depositan en una sa de almacenamiento de equipos dentro del centro de datos y solo se puede acceder a ellos si se pasa tarjeta de identificación por el lector y se introduce el PIN hasta que se instalen en pnta del centro de datos. Antes de que los artículos tengan autorización para salir del centro de datos, se escanean, se hace un seguimiento de ellos y se sanean. PS MP-3 MP-4 PE-16 Página 86 de 136

87 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-18.2 Recepción Realizar s siguientes acciones de inmediato: Etiquetar los recursos recibidos, por ejemplo, con códigos de barras o asignación de identificadores exclusivos Los auditores independientes externos revisan los procesos y los procedimientos de gestión de recursos de AWS durante s auditorías de nuestra conformidad con PCI DSS, ISO y FedRAMP sm. Registrar el recurso en el sistema de gestión de recursos Mover el recurso a zona restringida (por ejemplo, una cámara o una caja fuerte) PS-18.3 Recepción Ejecutar un método seguro (por ejemplo, contenedores seguros) para recibir s entregas nocturnas PS-19.0 Etiquetado Prohibir utilizar de cargos, incluidos los alias, en el exterior de los embajes Las etiquetas de recursos de AWS son independientes de los clientes y se utilizan para mantener un inventario de hardware dentro de herramienta de gestión de recursos de AWS. Dentro de los centros de datos de AWS, el hardware o los datos almacenados en el hardware no están asociados físicamente a un cliente. Todos los datos de los clientes, cualquiera que sea su origen, se consideran críticos; además, todos los medios se consideran confidenciales. PS MP-3 Los auditores independientes externos revisan los procesos y los procedimientos de gestión de recursos de AWS durante s auditorías de nuestra conformidad con PCI DSS, ISO y FedRAMP sm. Página 87 de 136

88 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS-20.0 Embaje Enviar todos los recursos en contenedores cerrados y seldos, y utilizar contenedores cerrados con lve en función del valor del recurso PS.S-20.0 Embaje Aplicar embaje retráctil a todos los envíos e inspeccionar el embaje antes del envío final para asegurarse de que está embado debidamente PS-20.1 Embaje Aplicar al menos uno de los siguientes controles: Cinta con precinto de Embaje con precinto de Sellos con precinto de en forma de hologramas El empaquetado de los recursos multimedia físicos terminados es responsabilidad del organismo distribuidor correspondiente (como empresas distribuidoras, de creación de DVD, de postproducción, etc.). PS MP-5 PS-21.0 Vehículos de transporte Contenedores seguros (por ejemplo, maletines Pelican con bloqueo mediante combinación numérica) Cerrar siempre los automóviles y los camiones y no colocar los paquetes en lugares visibles de estos vehículos El transporte de los recursos multimedia físicos terminados (como DVD) es responsabilidad del organismo distribuidor correspondiente (como empresas distribuidoras, de creación de DVD, de postproducción, etc.). PS-21 MP-5 Página 88 de 136

89 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * PS.S-21.0 PS.S-21.1 Vehículos de transporte Vehículos de transporte Incluir s características de siguientes en los vehículos de transporte (por ejemplo, tráilers): Separación de cabina del conductor Posibilidad de bloquear y selr s puertas de zona de carga GPS para los envíos de alta Aplicar precintos numerados en s puertas de carga para los envíos de títulos muy confidenciales PS.S-21.2 Vehículos de transporte Exigir el uso de escoltas de para entrega de contenido muy confidencial en zonas de alto riesgo DS-1.0 WAN Segmentar s WAN con firewalls de inspección con estado mediante listas de control de acceso que impidan el acceso no autorizado a cualquier red interna DS-1.1 WAN Desarrolr un proceso para revisar s listas de control de acceso (ACL) del firewall a fin de confirmar si configuración es apropiada y necesaria para empresa cada 6 meses Los dispositivos de protección perimetral que emplean conjuntos de regs, listas de control de acceso (ACL) y configuraciones garantizan el flujo de entre el entramado de red. En Amazon existen varios entramados de red y todos están separados por dispositivos que contron el flujo de entre ellos. El flujo de entre los entramados se establece mediante autorizaciones aprobadas, en forma de listas de control de acceso (ACL) que residen en estos dispositivos. Estos dispositivos contron el flujo de entre los entramados conforme estipun estas ACL. El personal adecuado define y aprueba s ACL, que se gestionan e implementan mediante herramienta de gestión de ACL de AWS. DS-1 SOC 1(3.2, 3.3, 3.4, 3.7, 3.9, 3.10, 3.14, 3.15, 3.16) SOC 2(S.3.2, S3.4, S.3.5, S4.1, S.4.2, S4.3,S3.12) AC-2 AC-3 CM-7 Página 89 de 136

90 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-1.2 WAN Denegar todos los protocolos de forma predeterminada y activar únicamente los protocolos seguros y específicos permitidos en WAN DS-1.3 WAN Montar servidores externamente accesibles (por ejemplo, servidores FTP seguros y servidores web) dentro de DMZ DS-1.4 WAN Ejecutar un proceso para aplicar revisiones en los dispositivos de infraestructura de red (por ejemplo, firewalls, enrutadores y conmutadores, entre otros) DS-1.5 WAN Reforzar los dispositivos de infraestructura de red en función de s normas de configuración de DS-1.6 WAN No permitir el acceso remoto a los dispositivos de infraestructura de red WAN (por ejemplo, firewalls y enrutadores) que contron el acceso al contenido DS-1.7 WAN Proteger s copias de de los dispositivos de infraestructura de red en un servidor central protegido en red interna El equipo de de de Amazon aprueba estas ACL. Las listas de control de acceso entre entramados de red y los conjuntos de regs del firewall aprobados restringen el flujo de a determinados servicios de los sistemas de. Los conjuntos de regs y s listas de control de acceso se revisan y aprueban, y se envían automáticamente a los dispositivos de protección perimetral de forma periódica (al menos cada 24 horas) para garantizar que estén actualizados. Los auditores independientes externos revisan periódicamente gestión de red de AWS como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. AWS implementa privilegios mínimos en todos los componentes de su infraestructura. AWS prohíbe todos los puertos y protocolos que no tengan un fin empresarial específico. AWS sigue un proceso riguroso para implementación mínima somente de s características y funciones que son esenciales para el uso del dispositivo. Se realiza un escaneo de red y se corrigen todos los puertos o protocolos innecesarios que están en uso. Se realizan periódicamente análisis de vulnerabilidades internos y externos del sistema operativo host, aplicación web y s bases de datos del entorno de AWS con diversas herramientas. Las prácticas de escaneo y corrección de vulnerabilidades se revisan periódicamente como parte del programa continuado de AWS de conformidad con PCI DSS y FedRAMP sm. Página 90 de 136

91 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-1.8 WAN Realizar un análisis anual de vulnerabilidades en los hosts a los que se accede externamente y solucionar los problemas DS-1.9 WAN Permitir sólo al personal autorizado que solicite el establecimiento de una conexión con el proveedor de servicios de telecomunicaciones DS-2.0 Internet Prohibir el acceso de Internet a sistemas (ordenadores y servidores) que procesan o almacenan contenido digital Los dispositivos de protección perimetral se configuran en un modo para denegar todo Los dispositivos de protección perimetral que emplean conjuntos de regs, listas de control de acceso (ACL) y configuraciones garantizan el flujo de entre el entramado de red. Estos dispositivos se configuran en un modo para denegar todo y requieren un firewall aprobado configurado para permitir conectividad. Consulte DS-2.0 para obtener adicional acerca de gestión de los firewalls de red de AWS. DS-2 SOC 1(3.2, 3.3, 3.4, 3.7, 3.9, 3.10, 3.14, 3.15, 3.16) SOC 2(S.3.2, S3.4, S.3.5, S4.1, S.4.2, S4.3,S3.12) CA-3 PL-4 Los activos de AWS no disponen de ninguna capacidad inherente de correo electrónico y el puerto 25 no se utiliza. Un cliente (por ejemplo, un estudio, un centro de procesamiento, etc.) puede utilizar un sistema para alojar capacidades de correo electrónico; sin embargo, en ese caso el cliente es responsable de emplear los niveles adecuados de protección contra spam y malware en los puntos de entrada y salida de correo electrónico, así como de actualizar s definiciones de spam y malware cuando haya disponibles nuevas versiones. Página 91 de 136

92 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-2.1 Internet Implementar software de filtrado de correo electrónico o dispositivos que bloqueen lo siguiente en s redes que no son de producción: Posibles correos electrónicos de phishing Los recursos de Amazon (por ejemplo, los portátiles) están configurados con software antivirus que incluye filtrado de correo electrónico y detección de malware. Los auditores independientes externos revisan gestión de los firewalls de red de AWS y el programa antivirus de Amazon como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Archivos adjuntos prohibidos (por ejemplo, ejecutables, scripts de Visual Basic, etc.) Restricciones de tamaño de archivos limitadas a 10 MB DS-2.2 Internet Ejecutar dispositivos o software de filtrado web que restrinja el acceso a sitios web conocidos para intercambio de archivos punto a punto, virus, piratería informática u otros sitios web maliciosos Página 92 de 136

93 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-3.0 LAN Aisr red de contenido y producción de s redes que no sean de producción (por ejemplo, red de oficina, DMZ, etc.) mediante segmentación de red física o lógica AWS ofrece a los clientes posibilidad de segmentar y gestionar redes, pero no es responsable de implementación y gestión de estos entornos segmentados. DS AC-6 AC-17 CM-7 SI-4 DS-3.1 LAN Restringir el acceso a los sistemas de contenido y producción al personal autorizado DS-3.2 LAN Restringir el acceso remoto a red de contenido y producción sólo al personal aprobado que requiere acceso para desempeñar s responsabilidades de su cargo DS-3.3 LAN Desactivar todos los puertos de conmutación no utilizados de red de contenido y producción a fin de prevenir que dispositivos no autorizados espíen los paquetes DS-3.4 LAN Restringir el uso de dispositivos no conmutados, como concentradores y repetidores, en red de contenido y producción Página 93 de 136

94 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-3.5 LAN Prohibir s redes de doble alojamiento (los ences de red) en sistemas informáticos dentro de red de contenido y producción DS-3.6 LAN Ejecutar un sistema de prevención o detección de intrusiones en red de contenido y producción DS-4.0 Acceso inalámbrico Prohibir s redes inalámbricas y utilización de dispositivos inalámbricos en red de producción y contenido No hay ninguna capacidad inalámbrica inherente en los recursos de AWS. Las capacidades inalámbricas de los recursos de Amazon (por ejemplo, los portátiles) se implementan y gestionan de acuerdo con los estándares de configuración inalámbrica segura propios del sector. Amazon supervisa continuamente s redes inalámbricas a fin de detectar dispositivos no autorizados. DS AC-18 SI-4 Los auditores independientes externos revisan gestión que realiza AWS de s redes inalámbricas como parte de nuestro programa continuado de conformidad con PCI DSS, ISO y FedRAMP sm. Página 94 de 136

95 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-4.1 Acceso inalámbrico Configurar s redes inalámbricas que no son de producción (por ejemplo, administrativa y de invitado) con los controles de siguientes: Desactivar WEP Activar el cifrado AES Segregar s redes de "invitado" de otras redes de empresa DS-4.2 Acceso inalámbrico Ejecutar un proceso para analizar anualmente los puntos de acceso inalámbricos de detección no autorizada DS-5.0 dispositivos de E/S Designar sistemas específicos que cabe utilizar para entrada y salida (E/S) de contenido AWS impide el acceso a los dispositivos de salida del sistema y solo lo permite a s personas autorizadas. Para obtener autorización de acceso es necesario enviar una solicitud electrónica, proporcionar un pn de negocio para el acceso y obtener una aprobación DS-5 SOC 1 (2.1, 5.1) SOC 2 (S.3.2, S3.3, S.3.4) MP-2 AC-19 PE-5 Página 95 de 136

96 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-5.1 dispositivos de E/S Bloquear los dispositivos de entrada y salida (E/S), como por ejemplo, USB, FireWire, e-sata, SCSI, etc.) en todos los sistemas que gestionan o almacenan contenido, con excepción de los sistemas utilizados para E/S de contenido documentada de dicha autorización de un aprobador autorizado. Un auditor independiente externo revisa los procedimientos de gestión de acceso de AWS como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Los dispositivos electrónicos personales y los medios extraíbles tienen prohibida conexión con los sistemas de de AWS. DS-5.2 dispositivos de E/S Restringir instación o utilización de grabadoras de medios (por ejemplo, grabadoras de DVD, Bluray y CD) y de otros dispositivos con funciones de salida a sistemas de E/S específicos utilizados para extraer el contenido en soportes físicos Página 96 de 136

97 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-6.0 l sistema Instar software antivirus en todos los servidores y s estaciones de trabajo Dentro del entorno de AWS, se utiliza una herramienta de gestión de configuración para gestionar el software que se puede implementar en paquetes, grupos de paquetes y entornos. Un paquete es una colección de archivos recionados, como software, contenido, etc., que están estrechamente vincudos. Un grupo de paquetes es un conjunto de paquetes que se suelen implementar juntos. Un entorno es combinación de un conjunto de paquetes y grupos de paquetes que se implementan en un conjunto de cses de host (hosts o servidores que realizan misma función). Un entorno representa el conjunto completo de paquetes necesarios para que un servidor cump una función determinada. DS SI-3 SI-2 RA-5 AC-5 SC-2 PE-3 MA-4 PE-5 SA-7 SA-6 AWS mantiene distribución de los sistemas operativos de referencia utilizados en los hosts. Todos los puertos, protocolos y servicios innecesarios se deshabilitan en s compiciones base. Los equipos de servicio utilizan s herramientas de compición para añadir únicamente los paquetes de software aprobados necesarios para que los servidores funcionen según s referencias de configuración que se mantienen en s herramientas. DS-6.1 DS-6.2 l sistema l sistema Actualizar s definiciones de antivirus a diario Analizar el contenido basado en archivos en busca de virus antes de incorporarlo a red de contenido y producción Los servidores se escanean periódicamente y todos los puertos o protocolos innecesarios en uso se corrigen de acuerdo con el proceso de resolución de errores. El software implementado se somete a pruebas de intrusión recurrentes realizadas por expertos del sector cuidadosamente seleccionados. La tarea de corrección de s pruebas de intrusión se incorpora también a referencia mediante el proceso de resolución de errores. Página 97 de 136

98 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-6.3 DS-6.4 DS-6.5 DS-6.6 l sistema l sistema l sistema l sistema Realizar análisis de virus de manera siguiente: Activar el análisis regur de virus en todo el sistema para todas s estaciones de trabajo Activar análisis de virus en todo el sistema para servidores, siempre que proceda (por ejemplo, en sistemas distintos de SAN) Implementar un proceso para actualizar periódicamente los sistemas (por ejemplo, sistemas de transferencia de archivos, sistemas operativos, bases de datos, aplicaciones, dispositivos de red) con parches y actualizaciones que corrijan s vulnerabilidades del sistema Prohibir que los usuarios sean administradores de sus propias estaciones de trabajo Utilizar bloqueos en dispositivos informáticos portátiles que gestionen contenido (por ejemplo, portátiles, tabletas o torres) cuando se dejen desatendidos Los equipos de de de Amazon y de de AWS están suscritos a fuentes de noticias retivas a los fallos de proveedores aplicables de Secunia y TELUS Security Labs. El equipo de de de Amazon supervisa de manera proactiva los sitios web de los proveedores y otros lugares para ver si hay nuevos parches. Antes de su implementación, se evalúan los parches para ver su impacto sobre y s operaciones y después de aplican a su debido tiempo según evaluación. Los recursos de Amazon (por ejemplo, los portátiles) están configurados con software antivirus que incluye filtrado de correo electrónico y detección de malware. Los auditores independientes externos revisan todos los procesos de gestión de configuración de AWS y de resolución de errores como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Página 98 de 136

99 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-6.7 DS-6.8 l sistema l sistema Instar software antivirus remoto en todos los dispositivos informáticos portátiles para gestionar el contenido a fin de permitir limpieza remota de todas s unidades de disco duro y de otros dispositivos de almacenamiento Restringir los privilegios de instación de software a los usuarios aprobados DS-6.9 DS-6.10 DS-7.0 l sistema l sistema Administración de cuentas Aplicar normas y líneas de base de para configurar los sistemas (por ejemplo, ordenadores portátiles, estaciones de trabajo y servidores) configurados a nivel interno Los servicios y s aplicaciones que no resulten necesarios deben desinstarse de los servidores de transferencia de contenido Establecer y ejecutar un proceso de gestión de cuentas para cuentas de administradores, usuarios y servicios en todos los sistemas y s aplicaciones de que gestionan contenido AWS cuenta con una política formal de control de acceso que se revisa y actualiza anualmente (o cuando se produce algún cambio importante en el sistema que afecta a política). La política aborda el propósito, el ámbito de aplicación, s funciones, s responsabilidades y el compromiso de dirección. DS-7 SOC 1 (2.1, 2.2) SOC 2 (S.3.2, S.3.4) AC-2 AC-5 AC-6 AU-2 AU-12 Página 99 de 136

100 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-7.1 DS-7.2 DS-7.3 DS-7.4 Administración de cuentas Administración de cuentas Administración de cuentas Administración de cuentas Mantener pruebas trazables de s actividades de gestión de cuentas (por ejemplo, correos electrónicos de aprobación y formurios de solicitud de cambios) Asignar credenciales exclusivas en función de s necesidades conforme a los principios del mínimo privilegio Renombrar s cuentas de administrador predeterminadas y limitar el uso de estas cuentas a situaciones especiales que requieran estas credenciales (por ejemplo, actualizaciones del sistema operativo, instaciones de revisiones y actualizaciones de software) Segregar funciones para garantizar que s personas responsables de asignar el acceso a los sistemas de no son usuarios finales de dichos sistemas (es decir, el personal no puede asignarse acceso a sí mismo) AWS emplea el concepto de privilegios mínimos, que solo permite el acceso necesario para que los usuarios desempeñen sus funciones. Cuando se crean cuentas de usuario, estas tienen un acceso mínimo. Un acceso superior a los privilegios mínimos requiere autorización correspondiente. Los usuarios autorizados de sistemas y dispositivos de AWS reciben los privilegios de acceso a través de pertenencia a grupos específicos para función boral y el papel que desempeñan s personas autorizadas. Los propietarios de los grupos establecen y verifican s condiciones de pertenencia a los grupos. Todas s cuentas de usuario, grupo y sistema tienen identificadores únicos y no se reutilizan. No se utilizan cuentas temporales ni de invitado o anónimas y no tienen permiso en los dispositivos. Las cuentas de usuario se revisan al menos trimestralmente. Cada trimestre, todos los propietarios de grupos revisan y quitan, según sea necesario, todos los usuarios que ya no necesitan ser miembros de esos grupos. Esta revisión se inicia con una notificación sistemática que herramienta de gestión de cuentas de AWS envía al propietario del grupo, quien tiene que establecer un punto de referencia del grupo. Una línea de referencia es una nueva evaluación completa de los permisos que realiza el propietario de un grupo. Si línea de referencia no está terminada en el pzo fijado, se quitan todos los miembros del grupo. Las cuentas de usuario se deshabilitan automáticamente de forma sistemática tras 90 días de inactividad IA-4 PS-4 PS-5 PE-2 Página 100 de 136

101 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-7.5 Administración de cuentas Supervisar y auditar s actividades de s cuentas de servicio y administrador AWS ha identificado s categorías de eventos auditables en sus sistemas y dispositivos. Los equipos de servicio configuran s características de auditoría para registrar continuamente los eventos recionados con de acuerdo con los requisitos. El sistema de almacenamiento de registros está diseñado para ofrecer un sistema de alta escabilidad y disponibilidad que aumenta automáticamente capacidad a medida que crece necesidad de almacenar registros. DS-7.6 DS-7.7 DS-7.8 Administración de cuentas Administración de cuentas Administración de cuentas Aplicar un proceso trimestral para revisar el acceso de usuario a todos los sistemas de que gestionan contenido y eliminar s cuentas de usuario que gestionan contenido y eliminar s cuentas de usuario que ya no precisan de acceso Revisar el acceso del usuario al contenido según cada proyecto Deshabilitar o eliminar s cuentas locales de los sistemas que gestionan contenido siempre que sea técnicamente viable Los auditores independientes externos revisan los procedimientos de gestión de acceso de AWS como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Página 101 de 136

102 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-8.0 Autenticación Exigir el uso de nombres de usuario y contraseñas exclusivos para acceder a los sistemas de DS-8.1 Autenticación Exigir aplicación de una sólida política de contraseñas para acceder a los sistemas de Se crean identificadores únicos de usuario como parte del proceso de flujo de trabajo de incorporación en el sistema de gestión de recursos humanos de AWS. El proceso de concesión de acceso a los dispositivos permite garantizar unos identificadores únicos para los dispositivos. Ambos procesos incluyen aprobación del jefe para establecer cuenta de usuario o el dispositivo. Los autenticadores iniciales se entregan al usuario en persona y a los dispositivos como parte del proceso de aprovisionamiento. Los usuarios internos pueden asociar cves públicas SSH a su cuenta. Los autenticadores de cuentas del sistema se proporcionan al solicitante como parte del proceso de creación de cuentas una vez que se verifica identidad del solicitante. AWS define mínima de los autenticadores, incluida longitud de s contraseñas, necesidad de utilizar contraseñas complejas y los requisitos de duración de s contraseñas, y el contenido junto con longitud mínima de bits de cve SSH. Los auditores independientes externos revisan política de contraseñas de AWS y su implementación como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. DS-8 SOC 1 (2.5) SOC 2 (S.3.2, S.3.4) IA-2 IA-4 IA-5 AC-7 AC-11 AC-17 DS-8.2 Autenticación Implementar autenticación de dos factores (por ejemplo, nombre de usuario/contraseña y token seguro) para el acceso remoto (por ejemplo, VPN) a s redes. Página 102 de 136

103 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-8.3 Autenticación Implementar salvapantals protegidos con contraseña o software de bloqueo de pantal en los servidores y s estaciones de trabajo DS-9.0 DS.S-9.0 Registro y supervisión Registro y supervisión Ejecutar sistemas de registros e informes en tiempo real para registrar eventos de e informar de ellos; recopir siguiente como mínimo: Cuándo (marca temporal) Dónde (fuente) Quién (nombre de usuario) Qué (contenido) Implementar mecanismos de registro en todos los sistemas utilizados para: Generación de cves Gestión de cves Gestión de certificados de proveedores AWS ha identificado s categorías de eventos auditables en sus sistemas y dispositivos. Los equipos de servicio configuran s características de auditoría para registrar continuamente los eventos recionados con de acuerdo con los requisitos. El sistema de almacenamiento de registros está diseñado para ofrecer un sistema de alta escabilidad y disponibilidad que aumenta automáticamente capacidad a medida que crece necesidad de almacenar registros. Los registros de auditoría contienen una serie de elementos de datos para admitir los requisitos de análisis necesarios. Además, el equipo de de AWS u otros equipos apropiados pueden utilizar los registros de auditoría para realizar inspecciones o análisis bajo demanda, o como respuesta a eventos recionados con o que repercuten en el negocio. El personal designado de los equipos de AWS recibe alertas automatizadas en caso de que se produzca un fallo en el procesamiento de auditoría. Entre los fallos en el procesamiento de auditoría se incluyen errores de software y hardware. Cuando se recibe una alerta, el personal de guardia emite un vale de problema y hace un seguimiento del evento hasta que se resuelve. DS-9 SOC 1 (3.6) AU-1 AU-2 AU-3 AU-6 SI-4 Página 103 de 136

104 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-9.1 Registro y supervisión Configurar sistemas de registro para enviar notificaciones automáticas cuando se detectan eventos de a fin de facilitar respuesta activa a incidencias Los auditores independientes externos revisan los procesos de supervisión y registro de AWS como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. DS-9.2 DS-9.3 Registro y supervisión Registro y supervisión Investigar cualquier actividad inusual detectada por los sistemas de registros e informes Revisar los registros semanalmente Página 104 de 136

105 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-9.4 Registro y supervisión Habilitar el registro de transferencias y movimientos de contenido internos y externos e incluir como mínimo siguiente : Nombre de usuario Marca temporal Nombre de archivo Dirección IP de origen Dirección IP de destino DS-9.5 DS-9.6 Registro y supervisión Registro y supervisión Evento (por ejemplo, descarga y consulta) Conservar los registros al menos durante 6 meses Restringir el acceso a los registros al personal apropiado Página 105 de 136

106 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-9.7 DS-10.0 DS.S-10.0 Registro y supervisión Técnicas de Técnicas avanzadas de Enviar notificaciones automáticas a los coordinadores de producción al realizar transmisiones salientes de contenido Garantizar que s técnicas de (por ejemplo, desarticución, marcas de agua visibles e invisibles) están disponibles para utilizarse y aplicarse cuando así se requiera Implementar un proceso para gestión de cves que aborde los siguientes aspectos: Aprobación y revocación de dispositivos de confianza AWS ofrece a los clientes posibilidad de utilizar su propio mecanismo de cifrado prácticamente para todos los servicios, incluidos S3, EBS y EC2. También se cifran s sesiones de VPC. Internamente, AWS establece y gestiona cves de cifrado para criptografía necesaria empleada en infraestructura de AWS. AWS produce, contro y distribuye cves de cifrado simétricas mediante los procesos y tecnología de gestión de cves del sistema de de AWS aprobados por el NIST. Se utiliza un gestor de credenciales y cves seguras desarroldo por AWS para crear, proteger y distribuir cves simétricas, así como para proteger y distribuir: credenciales de AWS necesarias en los hosts, cves públicas y privadas de RSA y certificaciones X.509. DS IA-5 SC-9 SC-12 SC-13 Generación, renovación y revocación de cves de contenido Distribución interna y externa de cves de contenido Los auditores independientes externos revisan los procesos de cifrado de AWS como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Página 106 de 136

107 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-10.1 DS.S-10.1 DS-10.2 DS.S-10.2 Técnicas de Técnicas avanzadas de Técnicas de Técnicas avanzadas de Cifrar el contenido de los discos duros usando como mínimo cifrado AES de 128 bits mediante: Cifrado basado en archivos: (es decir, cifrar el contenido en sí mismo) Cifrado basado en unidades: (es decir, cifrar unidad de disco duro) Confirmar que los dispositivos que figuran en lista de dispositivos de confianza (TDL) son adecuados según aprobación de los titures de los derechos Enviar contraseñas y cves de descifrado usando un protocolo de comunicación fuera de banda (es decir, no en el mismo medio de almacenamiento que el contenido) Confirmar validez de s cves de contenido y asegurarse de que s fechas de vencimiento se ajustan a s instrucciones del cliente Página 107 de 136

108 Nro. Tema sobre Práctica recomendada Implementación de AWS MPAA SOC de AWS ISO 27002* PCI NIST * DS-11.0 DS-11.1 Herramientas de transferencia Herramientas de transferencia Ejecutar herramientas de transferencia que utilicen controles de acceso, como mínimo un cifrado AES de 128 bits y una autenticación sólida para s sesiones de transferencia de contenido Ejecutar un proceso de excepciones, donde se puede obtener aprobación previa del cliente para abordar situaciones en s que no se utilizan herramientas de transferencias cifradas AWS ofrece a los clientes posibilidad de utilizar su propio mecanismo de cifrado prácticamente para todos los servicios, incluidos S3, EBS y EC2. También se cifran s sesiones de VPC. En s conexiones de AWS, hay disponibles hashes aprobados por FIPS. AWS utiliza módulos criptográficos para autenticación de los usuarios mediante los métodos de acceso siguientes: puntos de ence de API, VPN con IPSEC de VPC, IAM, token de hardware de MFA, SSH. DS-11 SOC 1 (4.1, 4.2, 4.3) SOC 2 (S.3.6) IA-5 SC-13 DS-12.0 DS-12.1 DS-12.2 Metodología de dispositivos de transferencia Metodología de dispositivos de transferencia Metodología de dispositivos de transferencia Ejecutar y utilizar sistemas dedicados para transferencias de contenido Segmentar los sistemas dedicados a transferir archivos desde sistemas que almacenan o procesan contenido y desde red que no es de producción Situar los sistemas de transferencia de contenido en una zona desmilitarizada (DMZ) y no en red de contenido o producción AWS ofrece a los clientes posibilidad de segmentar y gestionar redes, pero no es responsable de implementación y gestión de estos entornos segmentados. DS AC-4 AC-20 SC-7 Página 108 de 136

109 DS-12.3 Metodología de dispositivos de transferencia Eliminar contenido de los dispositivos de transferencia de contenido inmediatamente después de que recepción o transmisión hayan resultado satisfactorias DS-13.0 Portal de clientes Restringir el acceso a portales web utilizados para transferir contenido, transmitir contenido y distribuir cves a usuarios autorizados AWS ofrece a los clientes posibilidad de crear y gestionar un portal para clientes. AWS no implementa ni gestiona este portal en nombre de los clientes. DS AC-2 AC-3 AC-4 AC-6 DS-13.1 Portal de clientes Asignar credenciales exclusivas (por ejemplo, nombre de usuario y contraseña) a los usuarios del portal y distribuir s credenciales a los clientes de forma segura AC-20 IA-5 RA-3 RA-5 SC-10 DS-13.2 DS-13.3 Portal de clientes Portal de clientes Garantizar que los usuarios sólo tengan acceso a sus propios recursos digitales (es decir, el cliente A no debe tener acceso al contenido del cliente B) Alojar el portal web en un servidor dedicado de zona DMZ y limitar el acceso a y desde protocolos e IP específicos Página 109 de 136

110 DS-13.4 DS-13.5 DS-13.6 Riesgos y conformidad de Amazon Web Services Abril de 2015 Portal de clientes Portal de clientes Portal de clientes Prohibir el uso de software de seguimiento de producción de terceros que esté alojado en un servidor web de Internet a menos que lo apruebe el cliente Utilizar HTTPS y exigir el uso de un conjunto de cifrado reforzado (por ejemplo, SSLv3 o TLS v1) para el portal web interno y externo No utilizar cookies persistentes ni cookies que almacenen credenciales no cifradas DS-13.7 DS-13.8 DS-13.9 DS Portal de clientes Portal de clientes Portal de clientes Portal de clientes Establecer el acceso a contenido en los portales internos o externos para que expire en intervalos predefinidos, siempre que estén configurados Comprobar anualmente s vulnerabilidades de s aplicaciones web Permitir sólo al personal autorizado que solicite el establecimiento de una conexión con el proveedor de servicios de telecomunicaciones Prohibir transmisión de contenido usando correos electrónicos (incluido el correo web) desde red que no sea de producción, y gestionar s excepciones usando política de excepciones Página 110 de 136

111 DS Riesgos y conformidad de Amazon Web Services Abril de 2015 Portal de clientes Revisar el acceso al portal web de clientes al menos cada trimestre Página 111 de 136

112 Apéndice C: Conformidad de AWS con s consideraciones de de informática en nube de Dirección de Señales Australiana (ASD) Las consideraciones de de informática en nube se eboraron para ayudar a s agencias a realizar una evaluación de riesgos de los servicios que ofrecen los proveedores de servicios informáticos en nube. A continuación, se explica conformidad de AWS con s consideraciones de publicadas en septiembre de Para obtener más, visite: Área cve Preguntas RESPUESTA DE AWS Mantenimiento de disponibilidad y funcionalidad empresarial a. Importancia para empresa de los datos o funcionalidad. Voy a migrar a nube funcionalidad o datos de vital importancia? b. Pn de recuperación de desastres y continuidad empresarial del proveedor. Puedo estudiar a fondo una copia del pn de recuperación de desastres y continuidad empresarial del proveedor que abarque disponibilidad y restauración tanto de mis datos como de los servicios del proveedor que utilizo? Cuánto tiempo se tardan en recuperar tras un desastre mis datos y los servicios que utilizo? Tienen prioridad otros clientes del proveedor que son más grandes y pagan más dinero? Los clientes de AWS preservan el control y tituridad de su contenido. Los clientes son responsables de csificación y el uso de su contenido. Los clientes de AWS preservan el control y tituridad de los datos. AWS ofrece a los clientes flexibilidad necesaria para colocar s instancias y almacenar datos en varias regiones geográficas, así como en zonas de disponibilidad múltiples dentro de cada región. Cada zona de disponibilidad está diseñada como una zona de fallo independiente. En caso de fallo, los procesos automatizados desvían el tráfico de datos del cliente de zona afectada. En el informe SOC 1, Tipo 2, de AWS, se ofrece adicional. El estándar ISO 27001, Anexo A, dominio 11.2 ofrece más. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con certificación ISO Los clientes utilizan AWS para poder realizar una recuperación de desastres más rápida de sus sistemas de TI fundamentales sin incurrir en los gastos adicionales de infraestructuras que supone disponer de un segundo sitio físico. La nube de AWS presta apoyo a muchas arquitecturas de recuperación de desastres conocidas de entornos de "luz piloto" que están listos para escar en un momento a entornos de "espera activa" que permiten una rápida conmutación por error. Para obtener más acerca de recuperación de desastres en AWS, visite AWS ofrece a los clientes posibilidad de aplicar un sólido pn de continuidad, incluida utilización de copias de frecuentes de s instancias del servidor, replicación de redundancia de los datos y arquitecturas de implementación en varias zonas de disponibilidad y regiones. AWS ofrece a los clientes flexibilidad necesaria para colocar s instancias y almacenar datos en varias regiones geográficas, así como en zonas de disponibilidad múltiples dentro de cada región. Cada zona de disponibilidad está diseñada como una zona de fallo independiente. En caso de fallo, los procesos automatizados desvían el tráfico de datos del cliente de zona afectada. Los centros de datos de AWS incorporan protección física frente a riesgos ambientales. Un auditor independiente ha validado protección física de AWS frente a riesgos ambientales, que ha certificado su conformidad con s prácticas recomendadas de norma ISO Consulte norma ISO 27001, anexo A, dominio 9.1, y el informe SOC 1, Tipo II, de AWS para obtener adicional. Página 112 de 136

113 Área cve Preguntas RESPUESTA DE AWS c. Pn de copia de de mis datos. Gastaré más dinero en mantener una copia de actualizada de mis datos en s instaciones de mi agencia o si almacena un segundo proveedor que no tenga ningún punto de fallo en común con el primer proveedor? Los clientes de AWS mantienen el control y tituridad de su contenido, por lo que tienen responsabilidad de gestionar los pnes de copia de de sus datos. AWS permite que los clientes extraigan y añadan datos en los servicios de almacenamiento de AWS. El servicio AWS Import/Export para S3 acelera transferencia de grandes volúmenes de datos desde y hacia AWS utilizando dispositivos de almacenamiento portátiles. AWS permite a los clientes realizar sus propias copias de en cintas con su propio proveedor de servicios de copias de en cinta. No obstante, AWS no ofrece el servicio de copia de en cinta. El servicio de Amazon S3 está diseñado para gestionar probabilidad de que se produzcan pérdidas de datos con un porcentaje próximo a cero, y duración equivalente de copias en varios sitios de los objetos de datos se consigue con redundancia del almacenamiento de los datos. Para obtener acerca de redundancia y duración de los datos, consulte el sitio web de AWS. d. Mi pn de recuperación de desastres y continuidad empresarial. Gastaré más dinero en replicar mis datos o funcionalidad empresarial con un segundo proveedor que utilice un centro de datos diferente e idealmente no tenga ningún punto de fallo en común con el primer proveedor? Esta replicación debe configurarse preferiblemente para que se realice automáticamente una "conmutación por error, de forma que si los servicios de un proveedor dejan de estar disponibles, el control pase al otro proveedor automáticamente y sin interrupciones. AWS ofrece una gama completa de servicios informáticos en nube para recuperación de desastres. Para obtener más acerca de recuperación de desastres en AWS, visite Los clientes preservan el control y tituridad de sus datos. Los clientes pueden exportar sus AMI y utilizars en s instaciones o con otro proveedor (sujetos a restricciones de licencias de software). Consulte el documento técnico de general sobre los procesos de de AWS para obtener más, que se encuentra disponible AWS permite que los clientes extraigan y añadan datos en los servicios de almacenamiento de AWS. El servicio AWS Import/Export para S3 acelera transferencia de grandes volúmenes de datos desde y hacia AWS utilizando dispositivos de almacenamiento portátiles. AWS permite a los clientes realizar sus propias copias de en cintas con su propio proveedor de servicios de copias de en cinta. No obstante, AWS no ofrece el servicio de copia de en cinta. Los centros de datos de AWS están compidos en clústeres en varias regiones del mundo. Todos los centros de datos están en línea y a disposición de los clientes, por lo que ninguno está "inactivo". En caso de fallo, los procesos automatizados desvían el tráfico de datos del cliente de zona afectada. Las aplicaciones principales se implementan en una configuración N+1, de forma que en el caso de que se produzca un fallo en el centro de datos, haya capacidad suficiente para permitir equilibrar carga del tráfico entre los demás sitios. AWS ofrece a los clientes flexibilidad necesaria para colocar s instancias y almacenar datos en varias regiones geográficas, así como en zonas de disponibilidad múltiples dentro de cada región. Cada zona de disponibilidad está diseñada como una zona de fallo independiente. Esto significa que s zonas de disponibilidad están físicamente separadas dentro de una región metropolitana habitual y se encuentran en lnuras poco propensas a inundaciones (s categorías específicas de zonas propensas a inundaciones varían según región). Además de s instaciones de sistemas de alimentación ininterrumpida (SAI) discretos y de generación de copias de in situ, se alimentan a través de diferentes redes a partir de utilidades independientes para reducir aún más cada uno de los puntos de fallos. Página 113 de 136

114 Área cve Preguntas RESPUESTA DE AWS Todas s zonas de disponibilidad están conectadas de forma redundante a varios proveedores de tránsito de nivel 1. Los clientes han de pnificar el uso que realizan de AWS para poder utilizar varias regiones y zonas de disponibilidad. La distribución de aplicaciones por varias zonas de disponibilidad ofrece posibilidad de mantener resistencia ante mayoría de los modos de fallo, incluidos los desastres naturales o los fallos del sistema. En el informe SOC 1, Tipo 2, de AWS, se ofrece adicional. El estándar ISO 27001, Anexo A, dominio 11.2 ofrece más. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con certificación ISO e. Mi conectividad de red con nube. La conectividad de red entre los usuarios de mi agencia y red del proveedor es adecuada en cuanto a disponibilidad, rendimiento del tráfico (ancho de banda), retrasos (tencia) y pérdida de paquetes? f. Garantía de disponibilidad del proveedor. El Acuerdo de nivel de servicios (SLA) garantiza que el proveedor ofrecerá una disponibilidad del sistema y una calidad de servicio adecuadas con sus procesos empresariales y su arquitectura del sistema sólidos? Los clientes también pueden elegir su ruta de acceso de red a s instaciones de AWS, incluidos varios puntos de ence de VPN en cada región de AWS. Además, AWS Direct Connect facilita el establecimiento de una conexión de red dedicada entre sus instaciones y AWS. Con AWS Direct Connect, puede establecer conectividad privada entre AWS y su centro de datos, oficina o entorno de coubicación, lo que en muchos casos puede reducir los costes de red, aumentar el rendimiento del ancho de banda y proporcionar una experiencia de red más constante que s conexiones basadas en Internet. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en AWS confirma altos niveles de disponibilidad en sus acuerdos de nivel de servicios (SLA). Por ejemplo, Amazon EC2 garantiza un porcentaje anual de tiempo de actividad de al menos el 99,95% durante el año de servicio. Amazon S3 garantiza un porcentaje de tiempo de actividad mensual de al menos el 99,99%. Se ofrecen créditos de servicio para los casos en que no se cumpn estas métricas de disponibilidad. Los clientes han de pnificar el uso que realizan de AWS para poder utilizar varias regiones y zonas de disponibilidad. La distribución de aplicaciones por varias zonas de disponibilidad ofrece posibilidad de mantener resistencia ante mayoría de los modos de fallo, incluidos los desastres naturales o los fallos del sistema. AWS utiliza sistemas automáticos de supervisión para ofrecer un alto nivel de rendimiento y disponibilidad de los servicios. La supervisión proactiva se encuentra disponible a través de una serie de herramientas en línea destinadas tanto para uso interno como externo. Los sistemas de AWS disponen de una gran variedad de recursos para poder supervisar s principales métricas operativas. Las armas se configuran para notificar al personal de operaciones y gestión cuándo s métricas operativas cve superan los umbrales de advertencias anticipadas. Se utiliza un programa de asistencia de guardia a fin de que este personal esté siempre disponible para solucionar los problemas de funcionamiento. Incluye además un sistema de localización de personas para que s armas se comuniquen al personal de operaciones de forma rápida y fiable. Los auditores independientes externos revisan periódicamente gestión de red de AWS como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. Página 114 de 136

115 Área cve Preguntas RESPUESTA DE AWS g. Impacto de s interrupciones del servicio. Puedo tolerar el tiempo de inactividad máximo posible del SLA? Los períodos de interrupción programados son aceptables tanto en duración como en lo que respecta a hora del día o s interrupciones programadas interferirán con mis procesos empresariales esenciales? h. Inclusión en el SLA de s interrupciones programadas. El porcentaje de disponibilidad garantizado por el SLA incluye s interrupciones programadas? AWS no necesita interrumpir los sistemas para realizar tareas regures de mantenimiento ni para aplicar revisiones de los mismos. La aplicación de revisiones del sistema y el mantenimiento de AWS no suelen repercutir en los clientes. El cliente es el encargado de contror el mantenimiento de s instancias. AWS no gestiona ningún entorno con interrupciones programadas, ya que ofrece a los clientes posibilidad de que diseñen sus entornos para aprovechar existencia de diversas regiones y zonas de disponibilidad. i. Compensación contempda en el SLA. El SLA refleja adecuadamente los daños reales ocasionados por el incumplimiento del SLA, como pueden ser tiempos de inactividad no programados o pérdidas de datos? AWS indemniza a los clientes por s pérdidas que puedan sufrir debido a s interrupciones de los servicios de conformidad con el acuerdo de nivel de servicios de AWS. Página 115 de 136

116 Área cve Preguntas RESPUESTA DE AWS j. Disponibilidad e integridad de los datos. Cómo implementa el proveedor mecanismos como redundancia y s copias de remotas para impedir daños o pérdidas de mis datos? El proveedor garantiza integridad y disponibilidad de mis datos? Los controles de integridad de los datos de AWS, tal y como se describen en el informe SOC 1, Tipo II, de AWS, ofrecen garantías razonables de que se mantiene integridad de los datos en todas s fases, entre otras, transmisión, el almacenamiento y el procesamiento. Además, consulte norma ISO 27001, anexo A, dominio 12.2, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Los centros de datos están compidos en clústeres en varias regiones del mundo. AWS ofrece a los clientes flexibilidad necesaria para colocar s instancias y almacenar datos en varias regiones geográficas, así como en zonas de disponibilidad múltiples dentro de cada región. Los clientes han de pnificar el uso que realizan de AWS para poder utilizar varias regiones y zonas de disponibilidad. Usted elige dónde se almacenan sus datos al especificar una región (en el caso de Amazon S3) o una zona de disponibilidad de una región (para EBS). Los datos almacenados en Amazon se almacenan de forma redundante en varias ubicaciones físicas como parte del funcionamiento normal de dichos servicios y sin ningún cargo adicional. No obstante, replicación de Amazon EBS se almacena en misma zona de disponibilidad, no en varias zonas. Amazon S3 ofrece una infraestructura de almacenamiento que presenta elevados niveles de durabilidad. Los objetos se almacenan de forma redundante en varios dispositivos de diversas instaciones dentro de una región de Amazon S3. Una vez almacenados, Amazon S3 mantiene durabilidad de los objetos detectando y reparando rápidamente cualquier pérdida de redundancia. Del mismo modo, Amazon S3 comprueba de forma regur integridad de los datos almacenados mediante sumas de comprobación. Si se detecta algún tipo de daño en los objetos, se reparan utilizando los datos redundantes. En caso de los datos almacenados en S3, el servicio está diseñado para ofrecer una durabilidad del 99, % y una disponibilidad de los objetos del 99,99% durante un año concreto. k. Restauración de los datos. Si elimino accidentalmente un archivo, un mensaje de correo electrónico u otros datos, cuánto tiempo se tarda en restaurar mis datos parcial o totalmente a partir de una copia de? Ese tiempo es el máximo aceptable que figura en el SLA? l. Escabilidad. Cuántos recursos informáticos de reserva me ofrece el proveedor para que pueda escar sus servicios con poca anteción? Consulte el documento técnico de general sobre los procesos de de AWS para obtener más, que se encuentra disponible en Los clientes de AWS preservan el control y tituridad de los datos. AWS ofrece a los clientes flexibilidad necesaria para colocar s instancias y almacenar datos en varias regiones geográficas, así como en zonas de disponibilidad múltiples dentro de cada región. La nube de AWS es distribuida, muy segura y resistente, por lo que ofrece a los clientes un gran potencial de escado. Los clientes pueden aumentar o reducir el escado y pagar sólo por lo que utilicen. Página 116 de 136

117 Área cve Preguntas RESPUESTA DE AWS Protección de los datos frente al acceso no autorizado de un tercero m. Cambio de proveedor. Si quiero llevar mis datos a mi agencia o a otro proveedor, o si el proveedor quiebra o abandona el negocio de nube repentinamente, cómo accedo a mis datos en un formato independiente del proveedor para evitar dependencia de un proveedor? En qué medida cooperará el proveedor? Cómo me aseguro de que mis datos se eliminen de forma permanente de los medios de almacenamiento del proveedor? En el caso de ptaforma como servicio, qué normas utiliza el proveedor que faciliten portabilidad y interoperabilidad para trasdar fácilmente mi aplicación a otro proveedor o a mi agencia? a. Elección del modelo de implementación de nube. Puedo contempr posibilidad de utilizar una nube pública que es posiblemente menos segura, una nube híbrida o de comunidad que es posiblemente más segura, o una nube privada, que es más segura? Los clientes preservan el control y tituridad de sus datos. Los clientes pueden exportar sus AMI y utilizars en s instaciones o con otro proveedor (sujetos a restricciones de licencias de software). Consulte el documento técnico de general sobre los procesos de de AWS para obtener más, que se encuentra disponible AWS permite que los clientes extraigan y añadan datos en los servicios de almacenamiento de AWS. El servicio AWS Import/Export para S3 acelera transferencia de grandes volúmenes de datos desde y hacia AWS utilizando dispositivos de almacenamiento portátiles. AWS permite a los clientes realizar sus propias copias de en cintas con su propio proveedor de servicios de copias de en cinta. No obstante, AWS no ofrece el servicio de copia de en cinta. Los equipos de conformidad y de AWS han creado una estructura de de y políticas recionadas basadas en estructura de los objetivos de control para y tecnologías recionadas (Control Objectives for Information and reted Technology, COBIT). La estructura de de AWS integra s prácticas recomendadas de ISO y el estándar de de los datos de PCI. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en AWS facilita directamente a nuestros clientes, de conformidad con acuerdos de nivel de servicios, acreditaciones independientes, certificaciones, el informe Service Organization Controls 1 (SOC 1), Tipo II, y otros informes de conformidad relevantes. Amazon Virtual Private Cloud (Amazon VPC) le permite aprovisionar una sección aisda de forma lógica de nube de Amazon Web Services (AWS), donde puede nzar recursos de AWS en una red virtual que defina. Puede contror todos los aspectos del entorno de red virtual, incluida selección de su propio rango de direcciones IP, creación de subredes y configuración de tabs de enrutamiento y puertas de ence de red. Es fácil personalizar configuración de red de Amazon VPC. Por ejemplo, puede crear una subred de cara al público para los servidores web con acceso a Internet y colocar los sistemas de fondo, como bases de datos o servidores de aplicaciones, en una subred de uso privado sin acceso a Internet. Puede aprovechar varias capas de, incluidos grupos de y listas de control de acceso a red, para ayudar a contror el acceso a s instancias de Amazon EC2 desde cada subred. Página 117 de 136

118 Área cve Preguntas RESPUESTA DE AWS Además, también puede crear una conexión de red privada virtual (VPN) de hardware entre el centro de datos corporativo y su VPC, y aprovechar nube de AWS como una ampliación del centro de datos corporativo. b. Confidencialidad de mis datos. Mis datos se van a almacenar o procesar en nube como csificados, confidenciales, privados o a disposición pública? Y de mi sitio web público? La agregación de mis datos los hace más confidenciales que cualquier dato individual? Por ejemplo, confidencialidad puede aumentar si se almacena una cantidad considerable de datos o si se almacenan multitud de datos que si se vieran amenazados facilitaría el robo de identidad. Si se ponen en peligro los datos, podría demostrar mi diligencia debida a alta dirección, los funcionarios gubernamentales y el público? c. Obligaciones legales. Cuáles son mis obligaciones de proteger y gestionar mis datos según varias leyes, como Ley de privacidad, Ley de archivos y otra legisción específica del tipo de datos? El proveedor aceptará por contrato adhesión a estas obligaciones para ayudarme a garantizar que se cumplen esas obligaciones a satisfacción del gobierno australiano? Los clientes de AWS mantienen el control y tituridad de sus datos y pueden aplicar un programa de csificación de datos estructurado para satisfacer sus necesidades. Los clientes de AWS tienen responsabilidad de garantizar que el uso que hacen de AWS se atiene a los regmentos y s leyes aplicables. AWS informa acerca de su entorno de control y a los clientes a través de acreditaciones independientes y certificaciones del sector y documentos técnicos (disponibles en además de ofrecer directamente a los clientes de AWS certificaciones, informes y otra documentación relevante. AWS ha publicado un documento técnico sobre el uso de AWS en el contexto de s consideraciones sobre privacidad australianas y está disponible en _of_australian_privacy_considerations.pdf. Página 118 de 136

119 Área cve Preguntas RESPUESTA DE AWS d. Países con acceso a mis datos. En qué países se almacenan, procesan y hace copia de de mis datos? Qué países extranjeros atraviesan mis datos? En qué países se realiza conmutación por error o están los centros de datos redundantes? El proveedor me notificará si cambian s respuestas a estas preguntas? Los clientes de AWS eligen región o regiones de AWS donde se ubicarán el contenido y los servidores. De esta forma, los clientes que tengan requisitos geográficos específicos pueden establecer entornos en s ubicaciones que deseen. Los clientes de AWS en Australia pueden elegir implementar sus servicios de AWS somente en región Asia Pacífico (Sídney) y almacenar su contenido en Australia. Si el cliente elige esta opción, su contenido se ubicará en Australia a menos que decida trasdar los datos. Los clientes pueden replicar y hacer copia de del contenido en más de una región, pero AWS no mueve ni replica el contenido fuera de región o s regiones elegidas por el cliente. AWS está viginte en cuanto a de los clientes y no divulga ni mueve datos como respuesta a una solicitud del gobierno australiano, estadounidense o de otro país a menos que sea necesario para cumplir con una orden válida legalmente y vincunte, como una citación o una orden judicial, o cuando así lo exijan s leyes aplicables. Los organismos gubernamentales o regudores de otros países distintos de EE. UU. deben utilizar normalmente procesos internacionales reconocidos, como los tratados de asistencia judicial recíproca con el gobierno de EE. UU., para obtener órdenes válidas y vincuntes. Además, nuestra práctica consiste en notificar a los clientes antes de divulgar su contenido, cuando ello sea posible, para que tengan oportunidad de buscar amparo frente a divulgación de, salvo que haya alguna incompatibilidad legal. Página 119 de 136

120 Área cve Preguntas RESPUESTA DE AWS e. Tecnologías de cifrado de datos. El ISM de DSD utilizado para proteger mis datos cuando están en tránsito a través de una red, y cuando se almacenan en los equipos y los medios de copia de del proveedor considera adecuadas s longitudes de cve, los algoritmos hash y los algoritmos de cifrado? La posibilidad de cifrar datos mientras se están procesando en los equipos del proveedor es todavía una tecnología emergente y está en estudio en el sector y en los círculos académicos. El cifrado se considera suficientemente seguro como para proteger mis datos mientras estos sean confidenciales? AWS permite a los clientes utilizar sus propios mecanismos de cifrado prácticamente para todos los servicios, entre otros, S3, EBS, SimpleDB y EC2. También se cifran s sesiones de VPC. Amazon S3 también ofrece a los clientes opción de utilizar el cifrado del servidor. Además, los clientes también pueden utilizar tecnologías de cifrado de terceros. Internamente, AWS establece y gestiona cves de cifrado para criptografía necesaria empleada en infraestructura de AWS. AWS produce, contro y distribuye cves de cifrado simétricas mediante los procesos y tecnología de gestión de cves del sistema de de AWS aprobados por el NIST. Se utiliza un gestor de credenciales y cves seguras desarroldo por AWS para crear, proteger y distribuir cves simétricas, así como para proteger y distribuir: credenciales de AWS necesarias en los hosts, cves públicas y privadas de RSA y certificaciones X.509. Los auditores independientes externos revisan los procesos de cifrado de AWS como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. El servicio AWS CloudHSM le permite proteger sus cves de cifrado dentro de los dispositivos HSM diseñados y aprobados de acuerdo con los estándares gubernamentales para gestión segura de cves. Puede crear, almacenar y gestionar de manera segura s cves utilizadas para el cifrado de datos de modo que solo sean accesibles para usted. AWS CloudHSM le ayuda a cumplir los estrictos requisitos para gestión de cves sin reducir el rendimiento de aplicación. f. Desinfección de soportes. Qué procesos se utilizan para desinfectar los soportes en los que se almacenan mis datos al final de su vida? El ISM de DSD considera adecuados estos procesos? El servicio AWS CloudHSM funciona con Amazon Virtual Private Cloud (VPC). Los dispositivos CloudHSM se suministran en su VPC con dirección IP que usted especifique, lo que proporciona una conectividad de red sencil y privada a sus instancias de Amazon Estic Compute Cloud (EC2). La ubicación de dispositivos CloudHSM cerca de sus instancias de EC2 reduce tencia de red, lo cual mejora el rendimiento de aplicación. AWS proporciona acceso dedicado y exclusivo a los dispositivos CloudHSM, no disponible para otros clientes de AWS. Disponible en varias regiones y zonas de disponibilidad, AWS CloudHSM le permite añadir un almacenamiento para cves seguro y duradero a sus aplicaciones de Amazon EC2 Cuando un dispositivo de almacenamiento alcanza el final de su vida útil, los procedimientos de AWS incluyen un proceso de retirada diseñado para prevenir que los datos de los clientes queden expuestos al acceso de personas no autorizadas. AWS utiliza técnicas detaldas en DoD M ("Manual de operaciones del programa de industrial nacional") o NIST ("Directrices para desinfección de soportes") para destruir datos como parte del proceso de retirada. En caso de que no se pueda retirar un dispositivo de hardware con estos procedimientos, el dispositivo se desmagnetizará o destruirá físicamente de conformidad con s prácticas estándar del sector. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Página 120 de 136

121 Área cve Preguntas RESPUESTA DE AWS g. Supervisión y gestión remotas del proveedor. El proveedor supervisa, administra o gestiona los equipos en los que se almacenan o procesan mis datos? En caso afirmativo, esto se realiza de forma remota desde otros países extranjeros o desde Australia? El proveedor puede proporcionar informes de conformidad de parches y otros detalles retivos a de s estaciones de trabajo utilizadas para realizar este trabajo? Qué controles impiden que los empleados del proveedor utilicen de manera fiable sus portátiles personales? h. Mi supervisión y gestión. Puedo utilizar mis herramientas actuales para comprobar integridad y conformidad, supervisar y gestionar red para tener mejor visibilidad de todos mis sistemas, con independencia de que sean locales o estén en nube? Tengo que aprender a utilizar herramientas adicionales que proporcione el proveedor? El proveedor me ofrece algún mecanismo para que yo realice supervisión? i. Tituridad de los datos. Conservo tituridad legal de mis datos o pertenecen al proveedor y los liquidadores pueden considerarlos un activo disponible para venta si el proveedor se decra en quiebra? Al migrar infraestructura de TI a los servicios de AWS, se crea un modelo de responsabilidad compartida entre el cliente y AWS. Este modelo compartido puede aliviar carga operativa del cliente, ya que AWS opera, gestiona y contro los componentes del sistema operativo host y capa de virtualización, a fin de ofrecer física en s instaciones en s que operan los servicios. Por otra parte, el cliente asume responsabilidad y gestión del sistema operativo invitado (incluidas s actualizaciones y s revisiones de ), de cualquier otro software de aplicaciones asociadas y de configuración del firewall del grupo de que ofrece AWS. AWS CloudWatch proporciona supervisión de los recursos de nube de AWS y de s aplicaciones que los clientes ejecutan en AWS. Consulte aws.amazon.com/cloudwatch para obtener adicional. AWS también publica más actualizada sobre disponibilidad del servicio en el Panel de estado del servicio. Visite status.aws.amazon.com AWS Trusted Advisor inspecciona el entorno de AWS y realiza recomendaciones cuando surge oportunidad de ahorrar dinero, mejorar el rendimiento del sistema y fiabilidad, o ayudar a solucionar fallos de. Los clientes de AWS preservan tituridad y el control de los datos. AWS solo utiliza el contenido de cada cliente para proporcionar los servicios de AWS seleccionados por cada cliente a dicho cliente y no utiliza el contenido de los clientes para ningún propósito secundario. AWS trata del mismo modo todo el contenido de los clientes y no sabe el tipo de contenido que estos deciden almacenar en AWS. AWS se limita a poner a disposición del cliente los servicios de informática, almacenamiento, base de datos y red elegidos por él. AWS no necesita acceder al contenido de ningún cliente para proporcionarle los servicios Página 121 de 136

122 Área cve Preguntas RESPUESTA DE AWS j. Tecnologías de puerta de ence. Qué tecnologías utiliza el proveedor para crear un entorno de puerta de ence seguro? Por ejemplo, firewalls, filtros del flujo de tráfico, filtros de contenido, y software antivirus y diodos de datos según corresponda. k. Certificación de puerta de ence. El entorno de puerta de ence del proveedor está certificado conforme a s normas y s reguciones sobre del gobierno? La red de AWS ofrece protección de alto nivel frente a los problemas tradicionales de de red y los clientes pueden implementar medidas adicionales de protección. Consulte el documento técnico de general sobre los procesos de de AWS para obtener más, que se encuentra disponible en Los recursos de Amazon (por ejemplo, los portátiles) están configurados con software antivirus que incluye filtrado de correo electrónico y detección de malware. Los auditores independientes externos revisan gestión de los firewalls de red de AWS y el programa antivirus de Amazon como parte de nuestro programa continuado de conformidad con SOC, PCI DSS, ISO y FedRAMP sm. AWS obtiene ciertas certificaciones del sector y acreditaciones independientes, entre s que se incluye el entorno de puerta de ence de AWS. l. Filtrado de contenido de correo electrónico. En el caso de software de correo electrónico como servicio, el proveedor ofrece filtrado de contenido de correo electrónico personalizable que pueda aplicar política de contenido de correo electrónico de mi agencia? Un cliente puede utilizar un sistema para alojar capacidades de correo electrónico; sin embargo, en ese caso el cliente es responsable de emplear los niveles adecuados de protección contra spam y malware en los puntos de entrada y salida de correo electrónico, así como de actualizar s definiciones de spam y malware cuando haya disponibles nuevas versiones. Página 122 de 136

123 Área cve Preguntas RESPUESTA DE AWS m. Políticas y procesos que apoyan el nivel de de TI del proveedor. Puedo obtener detalles de cómo el nivel de de red y de los equipos del proveedor está respaldado por políticas y procesos, incluidas evaluaciones de amenazas y riesgos, gestión continua de vulnerabilidades, un proceso de gestión de cambios que incorpore, pruebas de intrusión, registro y análisis periódico de logs, uso de productos de respaldados por el gobierno australiano, y conformidad con s normas y s reguciones sobre del gobierno australiano? n. Tecnologías que apoyan el nivel de de TI del proveedor Puedo obtener detalles de cómo el nivel de de red y de los equipos del proveedor está respaldado por controles técnicos directos, incluida aplicación puntual de parches de, software antivirus que se actualiza periódicamente, mecanismos de defensa en profundidad para protegerse frente a vulnerabilidades desconocidas, sistemas operativos reforzados y aplicaciones de software configuradas con los parámetros de más El departamento de de de AWS ha establecido políticas y procedimientos basados en estructura de COBIT, s normas de ISO y s disposiciones de PCI DSS. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Además, AWS publica un informe SOC 1, Tipo II. Consulte el informe SOC 1 para obtener adicional. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Los clientes de AWS pueden identificar los controles cve gestionados por AWS. Los controles cve son de vital importancia para el entorno de control del cliente y precisan de una acreditación externa sobre eficacia operativa de estos controles a efectos de satisfacer los requisitos de conformidad, como auditoría financiera anual. Para tal fin, AWS publica un amplio abanico de controles de TI específicos en su informe Service Organization Controls 1 (SOC 1), Tipo II. El informe SOC 1, denominado anteriormente el informe Decración de Normas de Auditoría (SAS) Nº 70, Organizaciones de servicios y conocido comúnmente como Statement on Standards for Attestation Engagements Nº 16 (SSAE 16), es un estándar de auditoría reconocido ampliamente que desarrol el American Institute of Certified Public Accountants (AICPA). La auditoría SOC 1 es una auditoría exhaustiva utilizada para evaluar el diseño y eficacia operativa de los objetivos y s actividades de control de AWS, entre otros, aquellos que comprenden parte de infraestructura que AWS gestiona. La categoría "Tipo II" hace referencia al hecho de que cada uno de los controles descritos en el informe no sólo se evalúa en términos de idoneidad del diseño, sino que los auditores externos también comprueban su eficacia operativa. Habida cuenta de independencia y s competencias del auditor externo de AWS, los controles identificados en el informe aportan a los clientes un alto nivel de confianza en el entorno de control de AWS. AWS facilita directamente a nuestros clientes, de conformidad con acuerdos de nivel de servicios, acreditaciones independientes, certificaciones, el informe Service Organization Controls 1 (SOC 1), Tipo II, y otros informes de conformidad relevantes. AWS Security analiza con reguridad todas s direcciones IP de extremo de servicio expuestas a Internet a fin de detectar vulnerabilidades (estos análisis no incluyen s instancias de los clientes). AWS Security notifica al respecto a s partes apropiadas para remediar todas s vulnerabilidades detectadas. Asimismo, empresas de independientes realizan con reguridad evaluaciones de amenazas de vulnerabilidades externas. Los resultados y s recomendaciones derivados de estas evaluaciones se csifican y, además, se entregan a los equipos directivos de AWS. Asimismo, el entorno de control de AWS está sujeto a evaluaciones de riesgos internas y externas de carácter regur. AWS cobora con auditores independientes y organismos de certificación externos para revisar y probar el entorno de control global de AWS. Página 123 de 136

124 Área cve Preguntas RESPUESTA DE AWS estrictos posible, sistemas de prevención y detección de intrusiones, y mecanismos de prevención de pérdida de datos? o. Auditoría del nivel de de TI del proveedor. Puedo auditar implementación que hace el proveedor de s medidas de, incluida realización de escaneos y otras pruebas de intrusión del entorno que se me proporciona? Si existe alguna razón justificable por cual no es posible realizar auditoría, qué tercero acreditado ha realizado auditorías y otras evaluaciones de vulnerabilidades? Qué tipo de auditorías internas realiza el proveedor, y qué normas de conformidad y otras prácticas recomendadas de organizaciones como Cloud Security Alliance se utilizan para estas evaluaciones? Puedo examinar minuciosamente una copia de los informes de resultados recientes? p. Autenticación de los usuarios. Qué sistemas de gestión de acceso e identidades admite el proveedor para el inicio de sesión de los usuarios a fin de utilizar el modelo de software como servicio? AWS facilita directamente a nuestros clientes, de conformidad con acuerdos de nivel de servicios, acreditaciones independientes, certificaciones, el informe Service Organization Controls 1 (SOC 1), Tipo II, y otros informes de conformidad relevantes. Los clientes pueden solicitar permiso para realizar análisis de infraestructura de nube siempre que se limiten a s instancias del cliente y no infrinjan Política de uso aceptable de AWS. La aprobación previa para realizar estos tipos de análisis se puede obtener enviando una solicitud a través del formurio de solicitud de pruebas de intrusión/vulnerabilidades de AWS. AWS Security contrata regurmente a empresas de independientes para que realicen evaluaciones externas de s amenazas de vulnerabilidades. En el informe SOC 1, Tipo 2, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. AWS Identity and Access Management (IAM) permite contror de forma segura el acceso a servicios y recursos de AWS por parte de sus usuarios. Con IAM puede crear y gestionar usuarios y grupos de AWS, así como utilizar permisos para permitir o denegar el acceso a los recursos de AWS. AWS admite federación de identidades, que simplifica gestión de usuarios al mantener sus identidades en un único lugar. AWS IAM incluye compatibilidad con el lenguaje de marcado para confirmaciones de (SAML, Security Assertion Markup Language) 2.0, una norma abierta que utilizan muchos proveedores de identidades. Esta nueva característica permite el inicio de sesión único federado, o SSO, y permite a los usuarios iniciar sesión en AWS Management Console o realizar lmadas mediante programación a s API de AWS, mediante aserciones de un proveedor de identidades compatible con SAML, como Shibboleth y Servicios de federación de Active Directory de Windows. Página 124 de 136

125 Área cve Preguntas RESPUESTA DE AWS q. Control centralizado de los N/D datos. Qué formación para los usuarios, políticas y controles técnicos impiden que los usuarios de mi agencia empleen dispositivos informáticos no aprobados o inseguros sin un entorno operativo de confianza para almacenar o procesar datos confidenciales a los que se accede mediante una ptaforma de software como servicio? r. Nivel de física del proveedor. El proveedor utiliza productos y dispositivos físicos de respaldados por el gobierno australiano? Cómo está diseñado el centro de datos físico del proveedor para impedir manipución o el robo de servidores, infraestructura y los datos almacenados en ellos? El centro de datos físico del proveedor está acreditado por un tercero autorizado? La definición de los controles lógicos y físicos definidos por AWS está documentada en el informe SOC 1, Tipo II (SSAE 16), y el informe se encuentra disponible para que los equipos de auditoría y conformidad puedan revisarlo. La certificación ISO y otras certificaciones de AWS también se encuentran disponibles para que los auditores puedan revisars. Entre los controles de física destacan, entre otros, controles perimetrales como vals, muros, personal de, videovigincia, sistemas de detección de intrusiones y otros recursos electrónicos. El acceso físico está estrictamente controdo en el perímetro y en los puntos de acceso del edificio e incluye, entre otros aspectos, personal de profesional mediante videovigincia, sistema de detección de intrusiones y otros recursos electrónicos. El personal autorizado debe confirmar dos veces como mínimo una autenticación de dos factores para acceder a los pisos del centro de datos. Los puntos de acceso físico a s ubicaciones de los servidores se graban con cámaras de televisión de circuito cerrado (CCTV), tal y como se define en política de física del centro de datos de AWS. Las imágenes se conservan durante 90 días, a menos que este período esté limitado a 30 en virtud de s disposiciones legales o contractuales AWS ofrece acceso al centro de datos y facilita a los empleados y contratistas aprobados que tengan necesidad empresarial legítima de tales privilegios. Todos los visitantes han de presentar su identificación y deberán firmar e ir acompañados de personal autorizado. Consulte el informe SOC 1 Tipo II para conocer los controles específicos recionados con el acceso físico, autorización de acceso a los centros de datos y otros controles recionados. Consulte norma ISO 27001, anexo A, dominio 9.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Página 125 de 136

126 Área cve Preguntas RESPUESTA DE AWS Protección de los datos frente al acceso no autorizado por parte de clientes del proveedor s. Contratación de software y hardware. Qué proceso de contratación se utiliza para asegurarse de que el software y el hardware de infraestructura en nube los ha suministrado una fuente legítima y no se han modificado malintencionadamente en tránsito? a. Segregación de los clientes. Qué garantía tengo de que los mecanismos de virtualización y varios inquilinos garantizan una segregación lógica y de red suficiente entre varios inquilinos, de forma que un cliente malintencionado que utilice el mismo equipo físico que yo no pueda acceder a mis datos? b. Debilitamiento de mi nivel de. En qué medida el uso de infraestructura en nube del proveedor debilitaría el nivel de de red actual de mi agencia? El proveedor me anunciaría como uno de sus clientes sin mi consentimiento expreso, ayudando así a un adversario que me tiene como objetivo? De conformidad con norma ISO 27001, a los recursos de hardware de AWS se les asigna un propietario, de cuyo seguimiento y de cuya supervisión se encarga el personal de AWS con herramientas de gestión del inventario propietarias de AWS. El equipo de cadena de suministro y contratación de AWS mantiene reciones con todos los proveedores de AWS. Consulte norma ISO 27001, anexo A, dominio 7.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO Amazon EC2 actualmente utiliza una versión bastante personalizada del hipervisor Xen. Los equipos de intrusión internos y externos evalúan regurmente el hipervisor para detectar s vulnerabilidades nuevas y existentes y los vectores de ataque. Este hipervisor está perfectamente adaptado para mantener un fuerte aismiento entre s máquinas virtuales invitadas. Durante s evaluaciones y auditorías, los auditores independientes evalúan con reguridad del hipervisor Xen de AWS. Todos los datos almacenados por AWS en nombre de los clientes tienen sólidas capacidades de control y de aismiento de inquilinos. Los clientes mantienen el control y tituridad de sus datos, por lo que son responsables de cifrarlos. AWS permite a los clientes utilizar sus propios mecanismos de cifrado prácticamente para todos los servicios, entre otros, S3, EBS y EC2. También se cifran s sesiones de VPC. Amazon S3 también ofrece a los clientes opción de utilizar el cifrado del servidor. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Los clientes de AWS se consideran confidenciales y no harían públicos detalles de los clientes sin su consentimiento expreso. Amazon Virtual Private Cloud (Amazon VPC) le permite aprovisionar una sección aisda de forma lógica de nube de Amazon Web Services (AWS), donde puede nzar recursos de AWS en una red virtual que defina. Puede contror todos los aspectos del entorno de red virtual, incluida selección de su propio rango de direcciones IP, creación de subredes y configuración de tabs de enrutamiento y puertas de ence de red. c. Servidores dedicados. Tengo algún control sobre en qué equipo físico se ejecutan mis máquinas virtuales? Puedo pagar más dinero para asegurarme de que ningún otro cliente pueda utilizar el mismo equipo físico que yo, por ejemplo servidores dedicados o nube privada virtual? VPC permite a los clientes nzar instancias de Amazon EC2 que estén físicamente aisdas a nivel del hardware host; se ejecutarán en hardware dedicado a un solo inquilino. Una VPC se puede crear con una propiedad "dedicada", en cuyo caso todas s instancias nzadas en VPC utilizarán esta función. De forma alternativa, una VPC puede crearse con una propiedad "predeterminada", pero los clientes pueden especificar propiedad "dedicada" para instancias particures nzadas dentro de VPC. Página 126 de 136

127 Área cve Preguntas RESPUESTA DE AWS Protección de los datos frente al acceso no autorizado por parte de empleados deshonestos del proveedor d. Desinfección de soportes. Cuando elimino fragmentos de mis datos, qué procesos se emplean para desinfectar los medios de almacenamiento antes de ponerlos a disposición de otro cliente? El ISM de DSD considera adecuados estos procesos? a. Gestión de s cves de cifrado de los datos. El proveedor conoce contraseña o cve que se utiliza para descifrar mis datos, o soy yo quien cifra y descifra los datos en mi equipo de forma que el proveedor solo tiene datos cifrados? b. Selección de los empleados del proveedor. Qué controles y procesos de selección realiza el proveedor para asegurarse de que sus empleados son de confianza? Los clientes preservan tituridad y el control de su contenido, y ofrecen a sus clientes posibilidad de eliminar sus datos. Cuando un dispositivo de almacenamiento alcanza el final de su vida útil, los procedimientos de AWS incluyen un proceso de retirada diseñado para prevenir que los datos de los clientes queden expuestos al acceso de personas no autorizadas. AWS utiliza técnicas detaldas en DoD M ("Manual de operaciones del programa de industrial nacional") o NIST ("Directrices para desinfección de soportes") para destruir datos como parte del proceso de retirada. En caso de que no se pueda retirar un dispositivo de hardware con estos procedimientos, el dispositivo se desmagnetizará o destruirá físicamente de conformidad con s prácticas estándar del sector. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Los clientes de AWS gestionan su propio cifrado a menos que estén utilizando el servicio de cifrado del servidor de AWS. En este caso, AWS crea una cve de cifrado exclusiva para cada inquilino. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en AWS comprueba los antecedentes penales de conformidad con legisción aplicable, como parte de s prácticas de preselección de empleados a efectos de que estos se adecuen al cargo y al nivel de acceso del empleado a s instaciones de AWS. c. Auditoría de los empleados del proveedor. Qué sistema de gestión de acceso e identidades utilizan los empleados del proveedor? Qué proceso de auditoría se utiliza para registrar y revisar s acciones que realizan los empleados del proveedor? d. Visitantes del centro de datos. Los visitantes de los centros de datos van acompañados en todo momento, y se verifican y registran el nombre y otros detalles personales de todos los visitantes? De conformidad con s normas ISO 27001, AWS ha establecido políticas y procedimientos formales para delinear s normas mínimas de acceso lógico a los recursos de AWS. En el informe SOC 1, Tipo 2, de AWS, se describen los controles existentes para gestionar provisión de acceso a los recursos de AWS. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en Todos los visitantes y contratistas han de presentar su identificación y deberán firmar e ir acompañados en todo momento de personal autorizado. AWS solo ofrece acceso al centro de datos y solo facilita a los empleados y contratistas que tengan necesidad empresarial legítima de tales privilegios. Cuando un empleado deja de tener necesidad empresarial de tales privilegios, su acceso se revoca de inmediato, incluso aunque siga siendo empleado de Amazon o de Amazon Web Services. El acceso físico a los centros de datos de los empleados de AWS está sujeto a logs y auditorías rutinarios. Página 127 de 136

128 Área cve Preguntas RESPUESTA DE AWS Gestión de s incidencias de e. Manipución física por parte de los empleados del proveedor. El cableado de red está instado profesionalmente de acuerdo con s normas australianas o unas normas aceptables internacionalmente para ayudar a evitar que los empleados del proveedor conecten accidentalmente cables a los equipos equivocados, y para ayudar a subrayar rápidamente cualquier intento deliberado por parte de los empleados del proveedor de manipución del cableado? f. Subcontratistas del proveedor. Las respuestas a estas preguntas son igualmente válidas para todos los subcontratistas del proveedor? a. Soporte técnico puntual del proveedor. El proveedor está localizable rápidamente y es receptivo a s solicitudes de soporte? El tiempo máximo de respuesta aceptable está reflejado en el SLA o no es más que un recmo de marketing que dice que el proveedor hará todo lo posible? El soporte técnico se ofrece localmente, desde un país extranjero o desde varios países extranjeros para armonizar los horarios de atención? Qué mecanismos utiliza el proveedor para entender en tiempo real el nivel de que necesito según mi uso de los servicios del proveedor, de forma que este pueda ofrecer soporte técnico? Entre los controles de física destacan, entre otros, controles perimetrales como vals, muros, personal de, videovigincia, sistemas de detección de intrusiones y otros recursos electrónicos. Esto incluye una protección adecuada de los cables de red. En el informe SOC 1, Tipo 2, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. Consulte norma ISO 27001, anexo A, dominio 9.1, para obtener adicional. Un auditor independiente ha validado y certificado AWS a fin de confirmar que está en consonancia con norma de certificación ISO La concesión de acceso a proveedores y contratistas se gestiona de misma forma que para los empleados y contratistas, y el departamento de recursos humanos (RR. HH.), el de operaciones corporativas y los propietarios de servicios comparten esa responsabilidad. Los proveedores están sujetos a los mismos requisitos de acceso que los empleados. AWS Support es un canal de soporte personalizado y de respuesta rápida que presta servicios s 24 horas del día, los 7 días de semana, durante los 365 días del año; además, cuenta con ingenieros de soporte técnico con experiencia. El servicio ayuda a clientes de todo tamaño y capacidades técnicas para que puedan utilizar de forma satisfactoria los productos y s características de Amazon Web Services. Todos los niveles de servicios de AWS Support ofrecen a los clientes de servicios de infraestructura de AWS una cantidad ilimitada de casos de asistencia, con tarifas mensuales y sin contratos a rgo pzo. Los cuatro niveles ofrecen a desarroldores y empresas flexibilidad de elegir un nivel de asistencia técnica conforme a sus necesidades específicas. Página 128 de 136

129 Área cve Preguntas RESPUESTA DE AWS b. Pn de respuesta ante incidencias del proveedor. El proveedor cuenta con un pn de respuesta ante incidencias de en el que se especifique cómo detecta y responde ante s incidencias de, de manera simir a los procedimientos de gestión de incidencias detaldos en el ISM de DSD? Puedo examinar detenidamente una copia? c. Formación de los empleados del proveedor. Qué cualificaciones, certificaciones y formación periódica de sensibilización sobre de han de tener los empleados del proveedor para saber cómo utilizar los sistemas del proveedor de forma segura y para identificar posibles incidencias de? d. Notificación de s incidencias de. El proveedor me notificará a través de comunicaciones seguras s incidencias de que sean más graves que un umbral acordado, sobre todo en aquellos casos en los que el proveedor pueda ser responsable? El proveedor notificará automáticamente a s autoridades competentes o a otras autoridades, que pueden confiscar los equipos informáticos utilizados para almacenar o procesar mis datos? El equipo de gestión de incidentes de Amazon utiliza procedimientos de diagnóstico propios del sector para gestionar s soluciones durante los eventos que repercuten en el negocio. El personal ofrece un servicio de 24 horas al día durante los 365 días de año para poder detectar incidentes y gestionar el impacto y su resolución. El programa, los pnes y los procedimientos para responder a s incidencias de AWS se han desarroldo en consonancia con norma ISO En el informe SOC 1, Tipo 2, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. En el documento técnico de general sobre los procesos de de AWS (disponible en se facilita adicional. De conformidad con norma ISO 27001, todos los empleados de AWS completan una formación periódica sobre de que requiere un reconocimiento para completar. Las auditorías de conformidad se realizan periódicamente a fin de validar que los empleados puedan conocer y seguir s políticas establecidas. Consulte el documento técnico de general sobre los procesos de de AWS para obtener adicional, que se encuentra disponible en La notificación de s incidencias de se realiza caso por caso y tal y como establece legisción aplicable. Todas s notificaciones se realizan a través de comunicaciones seguras Página 129 de 136

130 Área cve Preguntas RESPUESTA DE AWS e. Alcance del apoyo técnico del proveedor. Cuánta ayuda me ofrecerá el proveedor con s investigaciones si se produce una infracción de como una divulgación no autorizada de mis datos, o si es necesario realizar un descubrimiento de pruebas electrónico legal? f. Mi acceso a los registros. Cómo obtengo acceso a los registros de auditoría con sincronización de tiempo y a otros registros para realizar una investigación forense, y cómo se crean y almacenan los registros que serán pruebas válidas en un tribunal de justicia? AWS ofrece infraestructura y los clientes gestionan todo lo demás, entre otros elementos, el sistema operativo, configuración de red y s aplicaciones instadas. Los clientes son responsables de responder según proceda a los procedimientos legales que impliquen identificación, recopición, el procesamiento, el análisis y eboración de los documentos electrónicos que almacenan o procesan con AWS. Bajo petición, AWS puede coborar con los clientes que requieran asistencia de AWS en procedimientos legales. Los clientes mantienen el control de los sistemas operativos invitados, el software y s aplicaciones con los que cuentan, por lo que además son responsables de realizar una supervisión lógica de s condiciones de estos sistemas. De conformidad con s normas ISO 27001, los sistemas de de AWS utilizan relojes internos del sistema sincronizados a través del protocolo de tiempo de redes (Network Time Protocol, NTP). AWS CloudTrail ofrece una solución simple para registrar actividad de los usuarios, lo que ayuda a reducir carga que supone ejecutar un sistema de registro complejo. Consulte aws.amazon.com/cloudtrail para obtener adicional. g. Compensación por s incidencias de. Cómo me compensará adecuadamente el proveedor si s acciones del proveedor o el uso de software o hardware defectuoso contribuyen a una infracción de? AWS CloudWatch proporciona supervisión de los recursos de nube de AWS y de s aplicaciones que los clientes ejecutan en AWS. Consulte aws.amazon.com/cloudwatch para obtener adicional. AWS también publica más actualizada sobre disponibilidad del servicio en el Panel de estado del servicio. Visite status.aws.amazon.com. El programa, los pnes y los procedimientos para responder a s incidencias de AWS se han desarroldo en consonancia con norma ISO En el informe SOC 1, Tipo 2, de AWS, se ofrecen detalles adicionales acerca de s actividades de control específicas que ejecuta AWS. En el documento técnico de general sobre los procesos de de AWS (disponible en se facilita adicional. Página 130 de 136

131 Área cve Preguntas RESPUESTA DE AWS h. Vertidos de datos. Si los datos que considero demasiado confidenciales como para almacenarlos en nube se ponen accidentalmente en nube, lo que se conoce como vertido de datos, cómo se eliminarán los datos vertidos mediante técnicas forenses de desinfección? La parte correspondiente de los medios de almacenamiento físico se pone a cero siempre que se eliminan datos? En caso negativo, cuánto tiempo tardan los clientes en sobrescribir los datos eliminados como parte de una operación normal, teniendo en cuenta que s nubes suelen tener gran cantidad de capacidad de almacenamiento sin utilizar? Los datos vertidos se pueden eliminar pericialmente de los medios de copia de del proveedor? En qué otros sitios se almacenan los datos vertidos? Se pueden eliminar pericialmente? Los clientes preservan tituridad y el control de su contenido. Todos los datos almacenados por AWS en nombre de los clientes tienen sólidas capacidades de control y de aismiento de inquilinos. AWS permite a los clientes utilizar sus propios mecanismos de cifrado prácticamente para todos los servicios, entre otros, S3, EBS y EC2. Los túneles IPSec con VPC también están cifrados. Amazon S3 también ofrece a los clientes opción de utilizar el cifrado del servidor. Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Consulte el documento técnico sobre riesgos y conformidad de AWS para obtener adicional, que se encuentra disponible en Página 131 de 136

132 Apéndice D: Glosario de términos Acuerdo de nivel de servicios (SLA): constituye parte de un contrato de servicio en el que se define oficialmente el nivel del servicio. El SLA se utiliza para hacer referencia al tiempo de entrega contratado (del servicio) o al rendimiento. Autenticación: autenticación es el proceso por el que se determina si alguien o algo es realmente lo que se supone que es. DSS: el estándar de de datos (Data Security Standard, DSS) del sector de tarjetas de pago (Payment Card Industry, PCI) es un estándar mundial de de creado y gestionado por el consejo Payment Card Industry Security Standards Council. EBS: Amazon Estic Block Store (EBS) proporciona volúmenes de almacenamiento a nivel de bloque diseñados para utilizarlos con s instancias de Amazon EC2. Los volúmenes de Amazon EBS son de almacenamiento fuera de instancia que persiste con independencia de duración de una instancia. FedRAMP sm : el Federal Risk and Authorization Management Program (FedRAMP sm ) es un programa gubernamental que proporciona un enfoque estandardizado para evaluación, autorización y supervisión continua de de los productos y servicios en nube. FedRAMP sm es de uso obligatorio para s implementaciones y los modelos de servicios en nube de s agencias federales en los niveles de impacto de riesgos bajo y moderado. FIPS 140-2: La Publicación del Federal Information Processing Standard (FIPS) es un estándar de del gobierno de EE.UU. que especifica los requisitos de para los módulos criptográficos que protegen confidencial. FISMA: ley sobre gestión de de Federal Information Security Management Act de La ley prevé que cada organismo federal desarrolle, documente y aplique un programa de ámbito institucional para ofrecer de y de todos los sistemas de que respaldan s operaciones y los recursos de institución, incluidos los que facilitan o gestionan otras instituciones, otros contratistas u otras fuentes. GLBA: ley Gramm Leach Bliley Act (GLB o GLBA), también conocida como ley Financial Services Modernization Act de 1999, establece requisitos vincuntes para s instituciones financieras, entre otros, los retivos a divulgación de confidencial del cliente y protección de s amenazas de integridad de los datos y. HIPAA: ley Health Insurance Portability and Accountability Act (HIPAA) de 1996 prevé el establecimiento de normas nacionales para s transacciones electrónicas de datos de atención sanitaria e identificadores nacionales para los proveedores, los pnes de seguros médicos y los empleados. Las disposiciones sobre simplificación de administración también tratan y privacidad de los datos retivos a salud. Las normas pretenden mejorar eficiencia y eficacia del sistema de atención sanitaria nacional al fomentar el uso generalizado del intercambio electrónico de datos en el sistema estadounidense de atención sanitaria. Hipervisor: un hipervisor, también denominado monitor de máquina virtual (VMM), es un software de virtualización de ptaformas de software y hardware que permite que varios sistemas operativos se ejecuten en un equipo host de forma simultánea. IAM: AWS Identity and Access Management (IAM) permite que un cliente cree múltiples usuarios y gestione los permisos para cada uno de ellos dentro de su cuenta de AWS. Página 132 de 136

133 Instancia virtual: después de haber nzado una AMI, se hace referencia al sistema de ejecución resultante como una instancia. Todas s instancias basadas en misma AMI se inician de forma idéntica y que contienen se pierde cuando se terminan s instancias o cuando estas faln. ISAE 3402: el International Standards for Assurance Engagements No (ISAE 3402) es el estándar internacional de auditorías. La presentó el consejo International Auditing and Assurance Standards Board (IAASB), un organismo responsable de establecer normas dentro de federación internacional de contables International Federation of Accountants (IFAC). ISAE 3402 actualmente constituye nueva norma reconocida a nivel mundial para informar de s garantías en s organizaciones de servicios. ISO 27001: ISO/IEC es una norma del sistema de gestión de de (SGSI) publicada por Organización Internacional de Normalización (ISO) y comisión electrotécnica internacional International Electrotechnical Commission (IEC). La ISO oficialmente especifica un sistema de gestión que pretende ejercer un control de gestión explícito de de. Al tratarse de una especificación oficial, significa que exige requisitos específicos. Las organizaciones que procmen haber adoptado ISO/IEC pueden ser auditadas y certificadas de conformidad con norma. ISO 9001: certificación ISO 9001 de AWS ayuda directamente a los clientes que desarroln, migran y operan en nube de AWS sus sistemas de TI con control de calidad. Los clientes pueden utilizar los informes de conformidad de AWS para demostrar que disponen de sus propios programas ISO 9001 y programas de calidad específicos del sector, como GxP para s ciencias de vida, ISO para dispositivos médicos, AS9100 para el sector aeroespacial e ISO/TS para el sector del automóvil. Los clientes de AWS que no poseen requisitos de sistema de calidad pueden beneficiarse de y transparencia adicionales que proporciona certificación ISO ITAR: el Regmento Internacional de Tráfico de Armas (ITAR) es un conjunto de normativas del gobierno de Estados Unidos del control de exportación e importación de productos recionados con defensa de artículos y servicios en Lista de Municiones de Estados Unidos (USML). Los contratistas y s instituciones gubernamentales deben cumplir el ITAR y restringir el acceso a los datos protegidos. NIST: National Institute of Standards and Technology. Este organismo establece normas de detaldas según s necesidades del sector o de los programas gubernamentales. A efectos de conformidad con FISMA, s instituciones han de atenerse a s normas del NIST. Objeto: s entidades fundamentales almacenadas en Amazon S3. Los objetos se componen de datos de objetos y metadatos. El grupo de datos es opaco para Amazon S3. Los metadatos son conjuntos de pares de valores de nombres que describen el objeto. Estos incluyen algunos metadatos predeterminados como fecha de última modificación y los metadatos HTTP estándar como el tipo de contenido. El desarroldor también puede especificar metadatos personalizados en el momento en que se almacena el objeto. PCI: hace referencia al consejo de normas de del sector de s tarjetas de pago, un consejo independiente formado por American Express, Discover Financial Services, JCB, MasterCard Worldwide y Visa International, con el objetivo de gestionar evolución constante del estándar de de datos del sector de s tarjetas de pago. QSA: designación de asesor de cualificado (QSA) del sector de s tarjetas de pago (PCI) confiere el consejo de normas de de PCI a aquels personas que cumplen requisitos específicos de cualificación y son autorizadas para realizar s evaluaciones de conformidad PCI. Página 133 de 136

134 SAS 70: el estándar Statement on Auditing Standards No. 70 retivo a s organizaciones de servicios es una decración de auditoría emitida por el Consejo de normas de auditoría del instituto estadounidense American Institute of Certified Public Accountants (AICPA). En SAS 70 se ofrece orientación a los auditores de servicios para evaluar los controles internos de una organización de servicios (como AWS) y para presentar un informe del auditor del servicio. En SAS 70 también se ofrece orientación a los auditores de decraciones financieras de una entidad que utiliza una o varias organizaciones de servicios. El informe SAS 70 se ha reempzado por el informe Service Organization Controls 1. Servicio: software o capacidad informática que se presta a través de una red (por ejemplo, EC2, S3, VPC, etc.). SOC 1: el informe Controles de s organizaciones de servicios 1 (SOC 1) Tipo II, denominado anteriormente el informe Decración de Normas de Auditoría (SAS) Nº 70, Organizaciones de servicios (conocido comúnmente como el informe SSAE 16), es un estándar de auditoría reconocido ampliamente desarroldo por el American Institute of Certified Public Accountants (AICPA). A norma internacional se hace referencia como International Standards for Assurance Engagements No (ISAE 3402). SOC 2: los informes Service Organization Controls 2 (SOC 2) pretenden satisfacer s necesidades de una amplia cartera de usuarios que necesitan conocer el control interno de una organización en reción con, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Estos informes se eboran con guía de AICPA: Reporting on Controls at a Service Organizations Relevant to Security, Avaibility, Processing Integrity, Confidentiality, or Privacy, y están pensados para ser utilizados por s partes interesadas (por ejemplo, clientes, regudores, socios empresariales, proveedores y directores) de organización de servicios que tienen un conocimiento exhaustivo de propia organización y de sus controles internos. SOC 3: los informes Service Organization Controls 3 (SOC 3) están diseñados para satisfacer s necesidades de los usuarios que desean garantizar los controles de una organización de servicio recionados con, disponibilidad, integridad de procesamiento, confidencialidad y privacidad, pero que no necesitan un informe SOC 2, o bien no tienen los conocimientos necesarios para realizar un uso eficaz de dicho informe. Estos informes se eboran usando los principios, los criterios y s ilustraciones de los servicios de confianza de AICPA/Canadian Institute of Chartered Accountants (CICA) en reción con, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Habida cuenta de que se trata de informes de uso general, los informes SOC 3 pueden distribuirse de manera gratuita o publicarse en un sitio web como sello. SSAE 16: Statement on Standards for Attestation Engagements No. 16 (SSAE 16) es un estándar publicado por el Consejo de normas de auditoría (ASB) del instituto estadounidense American Institute of Certified Public Accountants (AICPA). La norma aborda los compromisos asumidos por un auditor de servicios para eborar informes acerca de los controles de s organizaciones que prestan servicios a s entidades de usuarios, para s que los controles de organización de servicios pueden resultar relevantes para un control interno de los informes financieros (ICFR) de s entidades de usuario. SSAE 16 reempza perfectamente al estándar Statement on Auditing Standards No. 70 (SAS 70) durante los períodos de del auditor del servicio que terminan el 15 de junio de 2011 o después. Zona de disponibilidad: s ubicaciones de Amazon EC2 se componen de regiones y zonas de disponibilidad. Las zonas de disponibilidad son regiones diferentes que están diseñadas para estar aisdas de fallos que se produzcan en otras zonas de disponibilidad, y que proporcionan conectividad de red de baja tencia a otras Zonas de disponibilidad de misma región. Página 134 de 136

135 Historial de versiones Abril de 2015 Actualizaciones a los servicios que recaen dentro del ámbito de aplicación para: FedRAMP sm, HIPAA, SOC 1, ISO 27001, ISO 9001 Febrero de 2015 Actualizaciones a los puntos de ence de VPN de FIPS y equilibradores de carga con terminación SSL Actualizaciones al texto sobre PCI DSS Diciembre de 2014 Resúmenes de actualizaciones de certificaciones y acreditaciones independientes Versión de noviembre de 2013 Cambios en el texto sobre el cifrado del túnel IPsec Versión de junio de 2013 Resúmenes de actualizaciones de certificaciones y acreditaciones independientes Actualizaciones del apéndice C: Glosario de términos Cambios de formato de menor importancia Versión de enero de 2013 Resúmenes de modificaciones de certificaciones y acreditaciones independientes Incorporación de conformidad de AWS con el modelo de del contenido de MPAA (apéndice B) Versión de noviembre de 2012 Modificaciones de contenido y ámbito de aplicación de certificación actualizado Referencia incorporada a SOC 2 y MPAA Versión de julio de 2012 Modificaciones de contenido y ámbito de aplicación de certificación actualizado Incorporación del cuestionario Consensus Assessments Initiative Questionnaire de CSA (apéndice A) Versión de enero de 2012 Modificaciones de menor importancia del contenido basadas en el ámbito de aplicación de certificación actualizado Cambios gramaticales de menor importancia Versión de diciembre de 2011 Cambio en sección Certificaciones y acreditación de terceros para reflejar norma SOC 1/SSAE 16, el nivel FISMA Moderate, el Regmento Internacional de Tráfico de Armas y FIPS Incorporación del cifrado del servidor de S3 Temas adicionales añadidos acerca de informática en nube Versión de mayo de 2011 Versión inicial Página 135 de 136

136 Avisos Amazon.com, Inc. o sus afiliados. Este documento se ofrece solo con fines informativos. Representa oferta de productos actual de AWS en fecha de publicación de este documento, que está sujeto a cambios sin previo aviso. Los clientes son responsables de realizar sus propias evaluaciones independientes de contenida en este documento y de cualquier uso de los productos o servicios de AWS, cada uno de los cuales se ofrece "tal cual", sin garantía de ningún tipo, ya sea explícita o implícita. Este documento no genera ninguna garantía, representación, compromiso contractual, condición ni garantías de AWS, sus filiales, proveedores ni licenciantes. Las responsabilidades y obligaciones de AWS con respecto a sus clientes se contron mediante los acuerdos de AWS, y este documento no forma parte ni modifica ningún acuerdo entre AWS y sus clientes. Página 136 de 136