Protección de datos por diseño y de forma predeterminada

Cada vez que un usuario o una aplicación intentan utilizar la AWS Management Console, la API de AWS o la CLI de AWS, se envía una solicitud a AWS. El servicio de AWS recibe la solicitud y ejecuta un conjunto de pasos para determinar si se permite o deniega la solicitud, de acuerdo con una lógica de evaluación de políticas específica. A excepción de las solicitudes de credenciales raíz, todas las solicitudes a AWS se rechazan de forma predeterminada (se aplica la política de denegación predeterminada). Esto significa que se niega todo lo que la política no permite de forma explícita. En la definición de políticas y como práctica recomendada, AWS sugiere que se aplique el principio de privilegios mínimos, lo que significa que cada componente (como usuarios, módulos o servicios) debe poder acceder solo a los recursos necesarios para completar sus tareas.

Este enfoque es conforme al artículo 25 del RGPD que establece que el controlador “deberá implementar las medidas técnicas y organizativas adecuadas para garantizar que, de forma predeterminada, solo se procesen los datos personales necesarios para cada finalidad específica del procesamiento”.

AWS también proporciona herramientas para implementar la infraestructura como código, que es un mecanismo poderoso para incluir la seguridad desde el principio del diseño de una arquitectura. AWS CloudFormation proporciona un lenguaje común para describir y aprovisionar todos los recursos de infraestructura, incluidas las políticas y los procesos de seguridad. Con estas herramientas y prácticas, la seguridad se convierte en parte del código y se puede versionar, supervisar y modificar (con un sistema de control de versiones) de acuerdo con los requisitos de cada organización. Esto permite la protección de datos por diseño, ya que los procesos y políticas de seguridad se pueden incluir en la definición de la arquitectura y también se pueden supervisar continuamente aplicando medidas de seguridad en la organización.