AWS Artifact y Cumplimiento
Accede a reportes de compliance y acuerdos de AWS para tu organización.
1¿Qué es AWS Artifact?
AWS Artifact es un portal de autoservicio para acceder a reportes de seguridad y compliance de AWS, así como para gestionar acuerdos legales.
Dos componentes principales:
- Artifact Reports: Documentos de auditoría de terceros
- Artifact Agreements: Acuerdos legales con AWS
¿Por qué es importante?
Cuando tu organización necesita demostrar que usa una plataforma que cumple con estándares de seguridad y regulaciones, AWS Artifact proporciona la evidencia necesaria.
2Artifact Reports
Reportes de Compliance Disponibles
AWS Artifact proporciona acceso a reportes de auditorías realizadas por terceros independientes:
| Reporte | Descripción |
|---|---|
| SOC 1 | Controles relevantes para auditoría financiera |
| SOC 2 | Seguridad, disponibilidad, integridad, confidencialidad |
| SOC 3 | Versión pública de SOC 2 |
| PCI DSS | Estándar de seguridad de datos de tarjetas de pago |
| ISO 27001 | Sistema de gestión de seguridad de información |
| ISO 27017 | Controles de seguridad para cloud |
| ISO 27018 | Protección de datos personales en cloud |
| FedRAMP | Marco de seguridad del gobierno de EE.UU. |
| HIPAA | Elegibilidad para datos de salud |
Cómo acceder:
- Ir a AWS Artifact en la consola
- Seleccionar "Reports"
- Buscar el reporte deseado
- Aceptar NDA (Non-Disclosure Agreement)
- Descargar el documento
Uso típico:
- Auditor interno solicita evidencia de controles SOC 2
- Equipo legal necesita certificación ISO para un contrato
- Compliance officer verifica cumplimiento con HIPAA
3Artifact Agreements
Acuerdos Legales Disponibles
AWS Artifact permite revisar y aceptar acuerdos con AWS:
| Acuerdo | Propósito |
|---|---|
| BAA | Business Associate Agreement para HIPAA |
| GDPR DPA | Data Processing Agreement para GDPR |
| NDA | Para acceder a ciertos reportes |
Business Associate Agreement (BAA)
Requerido para manejar PHI (Protected Health Information) bajo HIPAA.
Proceso:
- Ir a Artifact Agreements
- Revisar el BAA de AWS
- Aceptar para tu cuenta u organización
- El BAA queda vigente automáticamente
Importante: El BAA solo aplica a servicios elegibles para HIPAA. No todos los servicios AWS están cubiertos.
Acuerdos a nivel de Organización
Con AWS Organizations, puedes aceptar acuerdos para todas las cuentas de la organización desde la cuenta de gestión.
4Programas de Compliance de AWS
Compliance como Responsabilidad Compartida
AWS mantiene certificaciones y cumple regulaciones, pero la responsabilidad es compartida:
| AWS es responsable de | Cliente es responsable de |
|---|---|
| Certificaciones de infraestructura | Configurar servicios correctamente |
| Auditorías de data centers | Proteger sus datos |
| Cumplimiento de la plataforma | Cumplimiento de sus aplicaciones |
Principales Programas:
Para Finanzas:
- SOC 1, SOC 2, SOC 3
- PCI DSS (si procesas tarjetas)
Para Salud:
- HIPAA (con BAA firmado)
- HITRUST
Para Gobierno:
- FedRAMP
- GovCloud
Estándares Globales:
- ISO 27001, 27017, 27018
- CSA STAR
- GDPR (Europa)
Por Industria:
- GLBA (servicios financieros)
- FERPA (educación)
- CJIS (justicia criminal)
5AWS Compliance Center
Recursos adicionales de Compliance
AWS Compliance Center (público) proporciona:
- Lista de todos los programas de compliance
- Servicios cubiertos por cada programa
- Recursos y whitepapers
- Preguntas frecuentes
URL: https://aws.amazon.com/compliance/
AWS Compliance Programs por Servicio
Cada servicio AWS tiene una página que lista qué programas de compliance incluye:
Ejemplo - Amazon S3:
- SOC ✅
- PCI ✅
- ISO ✅
- HIPAA Eligible ✅
- FedRAMP ✅
Servicios HIPAA Eligible
No todos los servicios son elegibles para HIPAA. Ejemplos de servicios elegibles:
- Amazon S3
- Amazon EC2
- Amazon RDS
- AWS Lambda
- Amazon DynamoDB
Revisa la lista actualizada en AWS Compliance.
6Ejemplo de Uso: Auditoría
Escenario: Tu empresa procesa pagos
Tu auditor de PCI DSS solicita evidencia de que AWS cumple con PCI.
Proceso:
-
Accede a AWS Artifact
- Consola AWS → Artifact
-
Busca el reporte PCI DSS
- Sección Reports
- Filtrar por "PCI"
-
Acepta el NDA
- Requerido para descargar
-
Descarga el Attestation of Compliance (AOC)
- Documento oficial que certifica cumplimiento
-
Entrega al auditor
- El auditor puede verificar que AWS (la infraestructura) cumple
- Tú demuestras cumplimiento de tu aplicación/configuración
Tu responsabilidad adicional:
- Configurar security groups correctamente
- Cifrar datos de tarjetas
- Implementar controles de acceso
- Mantener logs de auditoría
7En el Examen CLF-C02
Puntos clave:
- Artifact Reports: Acceso a certificaciones y auditorías de AWS
- Artifact Agreements: Acuerdos legales como BAA para HIPAA
- Responsabilidad compartida: AWS certifica la plataforma, tú certificas tu uso
- SOC, ISO, PCI: Disponibles en Artifact
- BAA requerido para HIPAA: Se firma a través de Artifact
- NDA necesario: Para acceder a algunos reportes
Preguntas típicas:
"¿Dónde puede una empresa obtener el reporte SOC 2 de AWS?" → AWS Artifact
"¿Qué debe hacer una empresa para cumplir HIPAA en AWS?" → Firmar BAA a través de AWS Artifact (y configurar correctamente)
"¿Qué servicio proporciona acceso a certificaciones de compliance de AWS?" → AWS Artifact
"¿Quién es responsable de que una aplicación cumpla con PCI DSS?" → El cliente (responsabilidad compartida). AWS Artifact proporciona evidencia de que AWS cumple, pero el cliente debe configurar correctamente.
Puntos Clave para el Examen
- Artifact Reports: Acceso a SOC, ISO, PCI, FedRAMP y más
- Artifact Agreements: Firmar BAA (HIPAA), DPA (GDPR)
- Requiere aceptar NDA para descargar algunos reportes
- BAA es obligatorio para manejar PHI bajo HIPAA
- Responsabilidad compartida: AWS cumple plataforma, tú cumples aplicación
- Disponible en la consola AWS sin costo adicional
- Organizations: Acuerdos aplicables a todas las cuentas