Protección de datos en AWS Audit Manager - AWS Audit Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en AWS Audit Manager

El modelo de responsabilidad AWS compartida modelo se aplica a la protección de datos en AWS Audit Manager. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte la sección Privacidad de datos FAQ. Para obtener información sobre la protección de datos en Europa, consulte el modelo de responsabilidad AWS compartida y la entrada del GDPR blog sobre AWS seguridad.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utilice la autenticación multifactorial (MFA) con cada cuenta.

  • UseSSL/TLSpara comunicarse con AWS los recursos. Necesitamos TLS 1.2 y recomendamos TLS 1.3.

  • Configure API y registre la actividad del usuario con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita entre FIPS 140 y 3 módulos criptográficos validados para acceder a AWS través de una interfaz de línea de comandos o unaAPI, utilice un FIPS terminal. Para obtener más información sobre los FIPS puntos finales disponibles, consulte la Norma federal de procesamiento de información () FIPS 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con Audit Manager u otro Servicios de AWS mediante la consolaAPI, AWS CLI, o AWS SDKs. Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información sobre las credenciales URL para validar la solicitud a ese servidor.

Además de la recomendación anterior, recomendamos específicamente que los clientes de Audit Manager no incluyan información de identificación confidencial en los campos de formato libre al crear evaluaciones, controles personalizados, marcos personalizados y comentarios de las delegaciones.

Eliminación de datos de Audit Manager

Hay varias formas de eliminar los datos de Audit Manager.

Eliminación de datos al deshabilitar Audit Manager

Al deshabilitar Audit Manager, puede decidir si desea eliminar todos los datos de Audit Manager. Si decide eliminar sus datos, se eliminarán en un plazo de 7 días a partir de la desactivación de Audit Manager. Una vez eliminados los datos, no los puede recuperar.

Eliminación automática de datos

Algunos datos de Audit Manager se eliminan automáticamente después de un período de tiempo específico. Audit Manager conserva los datos de los clientes de la siguiente manera.

Tipo de datos Periodo de retención de datos Notas

Evidencia

Los datos se conservan durante 2 años desde el momento de la creación

Incluye evidencias automatizadas y evidencias manuales

Recursos creados por los clientes

Los datos se conservan indefinidamente

Incluye evaluaciones, informes de evaluación, controles personalizados y marcos personalizados
Eliminación manual de datos

Puede eliminar recursos de Audit Manager individuales en cualquier momento. Para obtener instrucciones, consulte lo siguiente:

Para eliminar otros datos de recursos que pueda haber creado al utilizar Audit Manager, consulte lo siguiente:

Cifrado en reposo

Para cifrar los datos en reposo, Audit Manager utiliza el cifrado del lado del servidor Claves administradas por AWS para todos sus registros y almacenes de datos.

Sus datos se cifran mediante una clave gestionada por el cliente o una Clave propiedad de AWS, según la configuración que haya seleccionado. Si no proporciona una clave gestionada por el cliente, Audit Manager utilizará una Clave propiedad de AWS para cifrar su contenido. Todos los metadatos de los servicios en DynamoDB y Amazon S3 en Audit Manager se cifran mediante una Clave propiedad de AWS.

Audit Manager cifra los datos de la siguiente manera:

  • Los metadatos del servicio almacenados en Amazon S3 se cifran Clave propiedad de AWS con el símbolo SSE -KMS.

  • Los metadatos del servicio almacenados en DynamoDB se KMS cifran en el lado del servidor mediante y un. Clave propiedad de AWS

  • El contenido almacenado en DynamoDB se cifra en el lado del cliente mediante una clave administrada por el cliente o una Clave propiedad de AWS. La KMS clave se basa en la configuración elegida.

  • El contenido almacenado en Amazon S3 en Audit Manager se cifra mediante SSE -KMS. La KMS clave se basa en su selección y puede ser una clave gestionada por el cliente o una Clave propiedad de AWS.

  • Los informes de evaluación publicados en su bucket de S3 se cifran de la siguiente manera:

    • Si has proporcionado una clave gestionada por el cliente, tus datos se cifran con SSE -KMS.

    • Si ha utilizado la Clave propiedad de AWS, sus datos se cifran con SSE -S3.

Cifrado en tránsito

Audit Manager proporciona puntos de enlace seguros y privados para cifrar datos en tránsito. Los puntos finales seguros y privados permiten AWS proteger la integridad de las API solicitudes a Audit Manager.

Tránsito entre servicios

De forma predeterminada, todas las comunicaciones entre servicios están protegidas mediante el cifrado Transport Layer Security (TLS).

Administración de claves

Audit Manager admite Claves propiedad de AWS tanto claves administradas por el cliente como para cifrar todos los recursos de Audit Manager (evaluaciones, controles, marcos, pruebas e informes de evaluación guardados en depósitos de S3 en sus cuentas).

Recomendamos utilizar una clave administrada por el cliente. De este modo, puede ver y administrar las claves de cifrado que protegen sus datos, incluida la visualización de los registros de su uso en AWS CloudTrail. Cuando elige una clave gestionada por el cliente, Audit Manager crea una concesión en la KMS clave para que pueda usarse para cifrar su contenido.

aviso

Después de eliminar o deshabilitar una KMS clave que se utiliza para cifrar los recursos de Audit Manager, ya no podrá descifrar el recurso que se cifró con esa KMS clave, lo que significa que los datos se vuelven irrecuperables.

Eliminar una KMS clave en AWS Key Management Service (AWS KMS) es destructivo y potencialmente peligroso. Para obtener más información sobre la eliminación de KMS claves, consulte Eliminar AWS KMS keys en la Guía del AWS Key Management Service usuario.

Puede especificar la configuración de cifrado al activar Audit Manager mediante el AWS Management Console, el Audit Manager API o el AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Habilitación AWS Audit Manager.

Puede revisar y cambiar la configuración de cifrado en cualquier momento. Para obtener instrucciones, consulte Configuración de los ajustes de cifrado de datos.

Para obtener más información sobre cómo configurar las claves administradas por el cliente, consulte Creación de claves en la Guía del usuario de AWS Key Management Service .