Protección de datos en el terminal de transferencia de datos de AWS
El modelo de responsabilidad compartida
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
-
Utiliza la autenticación multifactor (MFA) en cada cuenta.
-
Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
-
Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta Working with CloudTrail trails en la Guía del usuario de AWS CloudTrail.
-
Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
-
Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
-
Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3
.
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye los casos en los que trabaje con el terminal de transferencia de datos u otros Servicios de AWS mediante la consola, la API, AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
Cifrado de datos
El terminal de transferencia de datos de AWS proporciona acceso a una conexión de red de alta velocidad para que pueda transferir datos de forma segura entre sistemas de almacenamiento autogestionados y servicios de almacenamiento de AWS. La forma en que se cifran los datos de almacenamiento en tránsito depende de los datos de almacenamiento en tránsito. La administración de los datos y su cifrado en tránsito son responsabilidad de la persona que utiliza el terminal de transferencia de datos.
Cifrado en reposo
El terminal de transferencia de datos de AWS cifra todos los datos en reposo.
El terminal de transferencia de datos solo captura los datos necesarios para las reservas, incluidos los nombres, apellidos y direcciones de correo electrónico de las personas especificadas para asistir y programar la reserva. El objetivo de esta recopilación de datos es confirmar los detalles de la reserva y garantizar el acceso a la sala para llevar a cabo la transferencia de datos. Esta información transaccional no se guarda durante más de 35 días; sin embargo, la información de la cuenta de AWS se conserva durante 10 años.
Cifrado en tránsito
El terminal de transferencia de datos de AWS no cifra los datos en tránsito. Los datos se cifran en tránsito cuando se interactúa con los puntos de conexión de la API del terminal de transferencia de datos para configurar los equipos de transferencia, agregar personal y programar reservas en la consola. Como parte del modelo de responsabilidad compartida de AWS, puede elegir cómo conectarse a través del terminal de transferencia de datos de Servicios de AWS. Le recomendamos conectarse a Servicios de AWS mediante cifrado en tránsito sólido, como TLS 1.2 y 1.3.
Por ejemplo, utilice solo conexiones cifradas a través de HTTPS (TLS) mediante la condición aws:SecureTransport en las políticas de bucket de Amazon S3, como se ilustra en la política de bucket a continuación.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "RestrictToTLSRequestsOnly", "Action": "s3:", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" }] }
Para obtener más información sobre el cifrado de datos en tránsito con otros Servicios de AWS, como Amazon S3, consulte Protección de datos con cifrado del servidor en la Guía del usuario de Amazon S3.
Administración de claves
El terminal de transferencia de datos de AWS no admite directamente las claves administradas por el cliente. Utilice la compatibilidad con claves administradas por el cliente disponible para los servicios de AWS a los que se conecte durante la reserva del terminal de transferencia de datos. Obtenga más información sobre las claves administradas por el cliente y cómo cifrar sus datos en reposo en la sección Claves de AWS KMS de la Guía para desarrolladores de AWS Key Management Service.
Privacidad del tráfico entre redes
El acceso a la consola del terminal de transferencia de datos se realiza a través de las API de servicio publicadas. Los recursos del terminal de transferencia de datos son independientes de la nube privada virtual (VPC).
