Privacidad de datos en Australia
Información general
Los Principios de Privacidad de Australia (APP) que establece la Ley de Privacidad de Australia de 1988 (Cth) imponen requisitos para recopilar, administrar, tratar, usar, divulgar y manejar información personal. En los APP, se establecen principios de protección de datos para preservar la privacidad de las personas.
AWS vela por su privacidad y la seguridad de sus datos. En AWS, la seguridad empieza en nuestra infraestructura central. Diseñada específicamente para la nube y para cumplir los requisitos de seguridad más exigentes del mundo, nuestra infraestructura se supervisa ininterrumpidamente para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de talla mundial que supervisan esta infraestructura crearon y mantuvieron nuestra amplia selección de servicios de seguridad innovadores, que pueden ayudarle a satisfacer sus propias exigencias normativas y de seguridad. Como cliente de AWS, independientemente de su tamaño o de su ubicación, cuenta con todas las ventajas de nuestra experiencia comprobada en los entornos de seguridad externos más estrictos.
AWS implementa y mantiene medidas técnicas y de seguridad organizacional que se aplican a los servicios de la infraestructura de la nube de AWS conforme a los marcos y las certificaciones de seguridad reconocidos en todo el mundo, como IRAP, ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Asesores independientes externos validaron estas medidas técnicas y de seguridad, las cuales están diseñadas para impedir el acceso no autorizado o la divulgación de contenido de los clientes.
Por ejemplo, la norma ISO 27018 es el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información de la ISO 27002 y ofrece directrices de aplicación sobre los controles de la ISO 27002 aplicables a información de identificación personal (PII) procesada por proveedores de servicios de nube públicos. De esta forma, AWS le demuestra a los clientes que dispone de un sistema de controles que se ocupa específicamente de proteger la confidencialidad de su contenido.
Estas medidas técnicas y organizativas integrales de AWS están alineadas con los objetivos de los APP para proteger los datos personales. Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido y son responsables de implementar medidas de seguridad adicionales en función de sus necesidades específicas, como la clasificación de contenido, el cifrado, la administración del acceso y las credenciales de seguridad.
Los clientes son los principales responsables de cumplir la ley de privacidad y las normativas asociadas dado que AWS no puede ver ni saber lo que estos suben a su red, ni tampoco si dichos datos están sujetos o no a las regulaciones de esta ley. El contenido de esta página complementa los recursos de privacidad de datos existentes para ayudarlo a alinear sus requisitos con el modelo de responsabilidad compartida de AWSa la hora de procesar datos personales utilizando servicios de AWS.
-
¿Qué función desempeña el cliente en cuanto a la protección de su contenido?
Mediante el modelo de responsabilidad compartida de AWS, los clientes de AWS mantienen el control de las medidas de seguridad que deciden implementar para proteger su contenido, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de aplicaciones ubicadas en un centro de datos en las instalaciones. Los clientes pueden basarse en los controles y las medidas de seguridad técnicas y organizativas que ofrece AWS para administrar sus propios requisitos de cumplimiento. Los clientes pueden utilizar medidas conocidas para proteger sus datos, como el cifrado y la autenticación multifactor, además de las características de seguridad de AWS como AWS Identity and Access Management.
Al evaluar la seguridad de una solución en la nube, es importante que los clientes entiendan y distingan entre:
- Medidas de seguridad que AWS implementa y opera: "seguridad de la nube", y
- Medidas de seguridad que los clientes implementan y usan, relacionadas con la seguridad del contenido y las aplicaciones de los clientes que utilizan servicios de AWS: "seguridad en la nube"
-
¿Quién puede acceder al contenido de los clientes?
Los clientes mantienen la propiedad y el control de su contenido y seleccionan qué servicios de AWS procesan, almacenan y albergan su contenido. AWS no puede ver el contenido del cliente y no lo usa ni accede a él salvo para proporcionar los servicios de AWS que el cliente seleccionó, o bien cuando sea necesario para cumplir con la ley o una orden legal vinculante.
Los clientes que utilizan servicios de AWS mantienen el control de su contenido dentro del entorno de AWS. Pueden:
- Determinar dónde se ubicará, por ejemplo, el tipo de entorno de almacenamiento y la ubicación geográfica de ese almacenamiento.
- Controlar el formato del contenido, como por ejemplo texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado provisto por AWS o un mecanismo de cifrado de un tercero que el cliente elija.
- Administrar otros controles de acceso, como la administración de acceso de identidad y las credenciales de seguridad.
- Controlar si usar SSL, nube privada virtual y otras medidas de seguridad de la red para impedir el acceso no autorizado.
Esto permite a los clientes de AWS controlar todo el ciclo de vida de su contenido en AWS y administrar su contenido de acuerdo con sus propias necesidades específicas, incluida la clasificación de contenido, el control de acceso, la retención y la eliminación.
-
¿Dónde se almacena el contenido de los clientes?
La infraestructura global de AWS le brinda la flexibilidad de elegir cómo desea ejecutar las cargas de trabajo y dónde. Cuando lo hace, utiliza la misma red, plano de control, API y servicios de AWS. Si desea ejecutar las aplicaciones en todo el mundo, puede elegir entre cualquiera de las regiones de AWS y la zonas de disponibilidad. Como cliente, puede elegir las regiones de AWS en las que se almacenará su contenido, lo que le permite implementar los servicios de AWS en la ubicación que elija según los requisitos geográficos específicos. Por ejemplo, si un cliente de AWS en Australia quiere almacenar sus datos solo en dicho país, puede optar por implementar sus servicios de AWS exclusivamente en la región Asia-Pacífico (Sídney) de AWS. Si quiere descubrir otras opciones de almacenamiento flexible, consulte la página web de las regiones de AWS.
Puede replicar y respaldar el contenido de sus clientes en más de una región de AWS. No transferiremos ni replicaremos su contenido fuera de las regiones de AWS elegidas sin su aceptación, salvo en caso que sea necesario para cumplir con la ley o una orden vinculante de un organismo gubernamental. Sin embargo, cabe destacar que puede que no todos los servicios de AWS estén disponibles en todas las regiones de AWS. Para obtener más información sobre los servicios que están disponibles en las distintas regiones de AWS, consulte la página web de los servicios regionales de AWS.
-
¿Cómo AWS garantiza la seguridad de sus centros de datos?
La estrategia de seguridad del centro de datos de AWS se ensambla con controles de seguridad escalables y múltiples capas de defensa que ayudan a proteger su información. Por ejemplo, AWS maneja cuidadosamente los riesgos potenciales de inundación y actividad sísmica. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un proceso de detección en profundidad para limitar el acceso a los centros de datos. Realizamos copias de seguridad de nuestros sistemas, probamos regularmente equipos y procesos, y capacitamos continuamente a los empleados de AWS para que estén listos para lo inesperado.
Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas en más de 2.600 estándares y requisitos durante todo el año. Tal examen independiente ayuda a garantizar que los estándares de seguridad se cumplan o superen de manera consistente. Como resultado, las organizaciones más reguladas del mundo confían en AWS para proteger sus datos.
Obtenga más información sobre cómo protegemos los centros de datos de AWS por diseño realizando un recorrido virtual »
-
¿Qué regiones de AWS puedo usar?
Los clientes pueden usar una región, todas las regiones o una combinación de varias. Visite la página de la infraestructura global de AWS para obtener una lista completa de las regiones de AWS.
-
¿Qué medidas de seguridad tiene AWS para proteger los sistemas?
La infraestructura de la nube de AWS está diseñada para ser uno de los entornos de informática en la nube más flexibles y seguros que están disponibles en la actualidad. La escala de Amazon permite realizar una inversión considerablemente mayor en medidas correctivas y políticas de seguridad que la que casi cualquier empresa grande podría permitirse por sí sola. Esta infraestructura se compone del hardware, el software, las redes y las instalaciones que ejecutan los servicios de AWS, lo que brinda potentes controles a los clientes y a los socios de AWS, incluidos los controles de la configuración de seguridad, para el tratamiento de los datos personales.
AWS también proporciona varios informes de conformidad de auditores externos que han comprobado y verificado que cumplimos con distintos estándares y reglamentos de seguridad, incluidas las normas ISO 27001, ISO 27017 e ISO 27018. A los fines de ofrecer transparencia en relación con la eficacia de estas medidas, proveemos acceso a los informes de auditoría externos en AWS Artifact. En estos informes, los clientes y los socios de APN (que pueden actuar como controladores de datos o procesadores de datos) pueden ver que protegemos la infraestructura subyacente sobre la que almacenan y procesan los datos personales. Para obtener más información, visite la página sobre nuestros recursos de conformidad.
-
¿En qué consiste el esquema de violaciones de datos notificables (NDB) de Australia?
AWS ofrece dos tipos de anexos de violaciones de datos notificables de Australia (ANDB) a aquellos clientes sujetos a la Ley de Privacidad de Australia de 1988 (Cth) y que utilizan AWS para almacenar y procesar información personal dentro del alcance del esquema de NDB. El anexo de ANDB cumple la necesidad de los clientes en cuanto a notificaciones de eventos de seguridad que afecten a sus datos. AWS ha puesto los dos tipos de anexos de ANDB a disposición en línea a través de acuerdos de enlace en AWS Artifact (el portal de auditoría y conformidad para clientes al que puede accederse desde la consola de administración de AWS). El primer tipo, el anexo de ANDB para cuentas, se aplica solo a cuentas individuales específicas que aceptan el anexo de ANDB para cuentas. Cada cuenta de AWS que el cliente requiera que esté dentro del ámbito del anexo debe aceptar de manera individual este anexo de ANDB para cuentas. El segundo tipo, el anexo de ANDB para organizaciones, se aplica a la cuenta maestra y todas las cuentas miembro de una organización de AWS una vez que la cuenta maestra de AWS Organizations lo ha aceptado. Si el cliente no necesita o no desea beneficiarse del anexo de ANDB para organizaciones, puede aceptar el anexo de ANDB para cuentas en sus cuentas individuales. Puede encontrar respuestas en línea a las preguntas frecuentes sobre el anexo de ANDB en Preguntas frecuentes de AWS Artifact.