Validación de conformidad para Amazon CloudFront
Auditores externos evalúan la seguridad y la conformidad de Amazon CloudFront en distintos programas de conformidad de AWS. Esto incluye SOC, PCI, HIPAA y otros.
Para obtener una lista de los servicios que AWS incluyen los programas de conformidad específicos, consulte los servicios AWS incluidos en cada programa de conformidad
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte Descarga de informes en AWS Artifact.
La responsabilidad en torno a la conformidad que tiene usted al utilizar CloudFront está determinada por la confidencialidad de los datos, los objetivos de conformidad de su empresa y la legislación y normativa aplicables. AWS proporciona los siguientes recursos para ayudarlo con los requisitos de conformidad:
-
Guías de inicio rápido de seguridad y conformidad
: estas guías de implementación tratan consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS. -
Arquitectura para seguridad y conformidad de HIPAA en AWS: en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con la ley HIPAA.
El programa de conformidad con HIPAA de AWS incluye CloudFront (excepto la entrega de contenido a través de puntos de presencia incrustados de CloudFront) como un servicio válido de HIPAA. Si ha firmado un anexo para socios empresariales (BAA) con AWS, puede utilizar CloudFront (excepto la entrega de contenido a través de puntos de presencia incrustados de CloudFront) para entregar contenido que incluya información sanitaria protegida (PHI). Para obtener más información, consulte Conformidad con HIPAA
. -
AWSRecursos de conformidad
: este conjunto de manuales y guías podría aplicarse a su sector y ubicación. -
AWS Config: este servicio de AWS evalúa en qué medida las configuraciones de los recursos cumplen las prácticas internas, las directrices del sector y la normativa.
-
AWS Security Hub: este servicio de AWS utiliza controles de seguridad para evaluar las configuraciones de los recursos y los estándares de seguridad para ayudarle a cumplir con varios marcos de conformidad. Para obtener más información sobre el uso del centro de seguridad para evaluar los recursos de CloudFront, consulte controles de Amazon CloudFront en la Guía del usuario de AWS Security Hub.
Prácticas recomendadas de conformidad de CloudFront
En esta sección se ofrecen prácticas recomendadas y recomendaciones sobre conformidad cuando se utiliza Amazon CloudFront para servir contenido.
Si ejecuta cargas de trabajo conformes con HIPAA o PCI basadas en el Modelo de responsabilidad compartida de AWS
-
Habilitar registros de acceso de CloudFront Para obtener más información, consulte Configuración y uso de registros estándar (registros de acceso).
-
Capture las solicitudes que se envían a la API de CloudFront. Para obtener más información, consulte Registro de llamadas a la API de Amazon CloudFront con AWS CloudTrail.
Además, consulte lo siguiente para obtener más información acerca de cómo CloudFront cumple con los estándares PCI DSS y SOC.
La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)
CloudFront (excepto la entrega de contenido a través de los puntos de presencia incrustados de CloudFront) admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios, y se ha validado como conforme con el Estándar de Seguridad de los Datos de la Industria de las Tarjetas de Pago (DSS PCI). Para obtener más información acerca de PCI DSS, incluido cómo solicitar una copia del Paquete de conformidad con PCI de AWS, consulte PCI DSS Nivel 1
Como práctica recomendada de seguridad, le recomendamos que no almacene información de la tarjeta de crédito en las cachés perimetrales de CloudFront. Por ejemplo, puede configurar el origen para que incluya un encabezado Cache-Control:no-cache="
field-name
"
en las respuestas que contengan información de la tarjeta de crédito, como por ejemplo, los últimos cuatro dígitos de un número de tarjeta de crédito y la información de contacto del titular de la tarjeta.
Controles del Sistema y Organizaciones (System and Organization Controls, SOC)
CloudFront (excepto la entrega de contenido a través de puntos de presencia incrustados de CloudFront) cumple con las medidas de Controles del Sistema y Organizaciones (System and Organization Control, SOC), incluidos SOC 1, SOC 2 y SOC 3. Los informes SOC son informes de análisis independientes de terceros que muestran cómo AWS logra los controles y objetivos clave de conformidad. Estas auditorías garantizan que contamos con los mecanismos de seguridad y los procedimientos adecuados para protegernos frente a los riesgos que puedan afectar a la seguridad, la confidencialidad y la disponibilidad de los datos de clientes y negocios. Los resultados de estas auditorías de terceros están disponibles en el sitio web de conformidad de SOC de AWS