Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas operativas para la Ley Gramm Leach Bliley (GLBA)
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear controles de seguridad, operativos o de optimización de costes mediante reglas gestionadas o personalizadas y acciones correctivas. AWS Config AWS Config Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de asignación entre la Ley Gramm-Leach-Bliley (GLBA) y las reglas de AWS Config administradas. Cada regla de Config se aplica a un AWS recurso específico y se refiere a uno o más controles GLBA. Un control de la GLBA puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
| ID de control | Descripción del control | AWS Regla de configuración | Directrices |
|---|---|---|---|
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a las instancias de replicación del DMS. Las instancias de replicación de DMS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la AWS nube asegurándose de que las instantáneas de EBS no se puedan restaurar públicamente. Las instantáneas de volumen de EBS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a las instancias de Amazon Elastic Compute Cloud (Amazon EC2). Las instancias de Amazon EC2 pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la AWS nube asegurándose de que los dominios de Amazon OpenSearch OpenSearch Service (Service) estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de OpenSearch servicio dentro de una Amazon VPC permite una comunicación segura entre el OpenSearch Servicio y otros servicios de la Amazon VPC sin necesidad de una pasarela de Internet, un dispositivo NAT o una conexión VPN. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a los nodos maestros del clúster de Amazon EMR. Los nodos maestros del clúster de Amazon EMR pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Implemente instancias de Amazon Elastic Compute Cloud (Amazon EC2) dentro de una Amazon Virtual Private Cloud (Amazon VPC) para permitir una comunicación segura entre una instancia y otros servicios dentro de la Amazon VPC, sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. Todo el tráfico permanece seguro en la AWS nube. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Asigne instancias de Amazon EC2 a una Amazon VPC para gestionar correctamente el acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos de la AWS nube asegurándose de que las puertas de enlace de Internet solo estén conectadas a Amazon Virtual Private Cloud (Amazon VPC) autorizada. Las puertas de enlace de Internet permiten el acceso bidireccional a internet desde y hacia la Amazon VPC, lo que puede provocar un acceso no autorizado a los recursos de Amazon VPC. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a las funciones de AWS Lambda. El acceso público puede degradar la disponibilidad de los recursos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Implemente funciones de AWS Lambda en una Amazon Virtual Private Cloud (Amazon VPC) para una comunicación segura entre una función y otros servicios de la Amazon VPC. Con esta configuración, no se requiere ninguna puerta de enlace de internet, dispositivo NAT ni conexión de VPN. Todo el tráfico permanece de forma segura en la nube. AWS Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Para gestionar correctamente el acceso, las funciones de AWS Lambda deben asignarse a una VPC. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la AWS nube asegurándose de que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la AWS nube asegurándose de que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la AWS nube asegurándose de que los clústeres de Amazon Redshift no sean públicos. Los clústeres de Amazon Redshift pueden contener información confidencial y principios. Además dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público. Esta regla le permite configurar opcionalmente los restrictPublicBuckets parámetros ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) y (Config Default: True). Los valores reales deben reflejar las políticas de su organización. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos de la AWS nube permitiendo que solo los usuarios, procesos y dispositivos autorizados accedan a los depósitos de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la AWS nube asegurándose de que las SageMaker libretas de Amazon no permitan el acceso directo a Internet. Al impedir el acceso directo a internet, puede evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Si configura las interfaces de red con una dirección IP pública, se puede acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a sus aplicaciones o servidores. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos de la AWS nube permitiendo que solo los usuarios, procesos y dispositivos autorizados accedan a los depósitos de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Asegúrese de que los documentos de AWS Systems Manager (SSM) no sean públicos, ya que esto podría permitir el acceso no deseado a los documentos de SSM. Un documento de SSM público puede exponer información sobre su cuenta, sus recursos y sus procesos internos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la AWS nube asegurándose de que a las subredes de Amazon Virtual Private Cloud (VPC) no se les asigne automáticamente una dirección IP pública. Las instancias de Amazon Elastic Compute Cloud (EC2) que se lanzan en subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos de la AWS nube asegurándose de que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Al restringir el acceso a los recursos dentro de un grupo de seguridad desde internet (0.0.0.0/0), se puede controlar el acceso remoto a los sistemas internos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la AWS nube asegurándose de que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de Amazon OpenSearch Service dentro de una Amazon VPC permite una comunicación segura entre Amazon OpenSearch Service y otros servicios de la Amazon VPC sin necesidad de una pasarela de Internet, un dispositivo NAT o una conexión VPN. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté activado en la caché de la etapa de API Gateway. Puesto que pueden capturarse datos confidenciales para el método de la API, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Como es posible que existan datos confidenciales y, para ayudar a proteger los datos en reposo, asegúrese de que el cifrado de sus AWS CloudTrail registros esté activado. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos confidenciales en reposo, asegúrate de que el cifrado esté activado en tus Amazon CloudWatch Log Groups. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Puesto que puede haber datos confidenciales, para proteger los datos en reposo, asegúrese de habilitar el cifrado de Amazon Elastic File System (EFS). | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Como pueden existir datos confidenciales y, para ayudar a proteger los datos en reposo, asegúrate de que el cifrado esté habilitado para tus dominios de Amazon OpenSearch OpenSearch Service (Servicio). | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Puesto que puede haber datos confidenciales, para proteger los datos en reposo, asegúrese de habilitar el cifrado de los volúmenes de Amazon Elastic Block Store (Amazon EBS). | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para sus instancias de Amazon Relational Database Service (Amazon RDS). Puesto que puede haber datos confidenciales en reposo en las instancias de Amazon RDS, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para proteger los datos en reposo, asegúrese de que el cifrado esté activado en los clústeres de Amazon Redshift. También debe asegurarse de que las configuraciones necesarias se implementen en los clústeres de Amazon Redshift. El registro de auditoría debería habilitarse para proporcionar información acerca de las conexiones y las actividades de usuario en la base de datos. Esta regla requiere que se establezca un valor para clusterDbEncrypted (Config Default: TRUE) y LoggingEnabled (Config Default: TRUE). Los valores reales deben reflejar las políticas de su organización. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de habilitar el cifrado para los buckets de Amazon Simple Storage Service (Amazon S3). Puesto que puede haber datos confidenciales en reposo en los buckets de S3, habilite el cifrado para protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado con el Servicio de administración de AWS claves (AWS KMS) esté habilitado para su punto final. SageMaker Como los datos confidenciales pueden estar en reposo en el SageMaker punto final, habilite el cifrado en reposo para ayudar a proteger esos datos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado con el Servicio de administración de AWS claves (AWS KMS) esté habilitado en su SageMaker portátil. Como los datos confidenciales pueden estar en reposo en el SageMaker portátil, habilite el cifrado en reposo para ayudar a proteger esos datos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que los temas del Amazon Simple Notification Service (Amazon SNS) requieran cifrado AWS mediante el Servicio AWS de administración de claves (KMS). Puesto que puede haber datos confidenciales en reposo en los mensajes publicados, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para proteger los datos en reposo, asegúrese de habilitar el cifrado de los volúmenes de Amazon Elastic Block Store (Amazon EBS). Puesto que puede haber datos confidenciales en reposo en estos volúmenes, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el cifrado esté habilitado para las tablas de Amazon DynamoDB. Puesto que puede haber datos confidenciales en reposo en estas tablas, habilite el cifrado en reposo para ayudar a protegerlos. De forma predeterminada, las tablas de DynamoDB se AWS cifran con una clave maestra del cliente (CMK) propia. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el cifrado esté habilitado para las instantáneas de Amazon Relational Database Service (Amazon RDS). Puesto que puede haber datos confidenciales en reposo, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de tener el cifrado habilitado para los buckets de Amazon Simple Storage Service (Amazon S3). Puesto que puede haber datos confidenciales en reposo en los buckets de Amazon S3, habilite el cifrado en reposo para protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el cifrado esté activado en sus puntos AWS de recuperación de Backup. Puesto que puede haber datos confidenciales en reposo, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el node-to-node cifrado OpenSearch de Amazon Service esté activado. ode-to-node El cifrado N permite el cifrado TLS 1.2 para todas las comunicaciones dentro de Amazon Virtual Private Cloud (Amazon VPC). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos confidenciales en reposo, asegúrese de que el cifrado esté habilitado para AWS CodeBuild los registros almacenados en Amazon S3. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos confidenciales en reposo, asegúrese de que el cifrado de sus AWS CodeBuild artefactos esté activado. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Como pueden existir datos confidenciales y, para ayudar a proteger los datos en reposo, asegúrate de que el cifrado esté habilitado para tus dominios de Amazon OpenSearch Service. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el node-to-node cifrado OpenSearch de Amazon Service esté activado. ode-to-node El cifrado N permite el cifrado TLS 1.2 para todas las comunicaciones dentro de Amazon Virtual Private Cloud (Amazon VPC). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Puesto que puede haber datos confidenciales, para proteger los datos en reposo, asegúrese de habilitar el cifrado para Amazon Kinesis Streams. | |
| GLBA-SEC.501(b)(2) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (2) para protegerse ante las amenazas o peligros previstos para la seguridad o integridad de dichos registros; y | Amazon GuardDuty puede ayudar a supervisar y detectar posibles eventos de ciberseguridad mediante fuentes de inteligencia sobre amenazas. Estos incluyen listas de direcciones IP maliciosas y aprendizaje automático para identificar actividades inesperadas, no autorizadas y maliciosas en su entorno de AWS nube. | |
| GLBA-SEC.501(b)(2) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (2) para protegerse ante las amenazas o peligros previstos para la seguridad o integridad de dichos registros; y | AWS Security Hub ayuda a monitorear el personal, las conexiones, los dispositivos y el software no autorizados. AWS Security Hub agrega, organiza y prioriza las alertas de seguridad, o hallazgos, de varios servicios. AWS Algunos de estos servicios son Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer y AWS Firewall Manager y Partner Solutions. AWS | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Esta regla garantiza que AWS los secretos de Secrets Manager tengan habilitada la rotación. La rotación de los secretos de forma habitual puede acortar el período de vigencia de un secreto y, potencialmente, reducir el impacto sobre la empresa si el secreto se desvela. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Se auditan las credenciales de los dispositivos, usuarios y procesos autorizados, garantizando que las claves de acceso de IAM se roten según lo especificado en la política de la organización. Cambiar las claves de acceso de forma habitual es una práctica recomendada de seguridad. Al hacerlo, se reduce el período de tiempo en el que una clave de acceso está activa y el impacto sobre la empresa si las claves se ven comprometidas. Esta regla requiere un valor de rotación de clave de acceso (valor predeterminado de Config: 90). El valor real debe reflejar las políticas de su organización. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | AWS Identity and Access Management (IAM) puede ayudarle a incorporar los principios de privilegios mínimos y separación de funciones en los permisos y autorizaciones de acceso, garantizando que los grupos de IAM tengan al menos un usuario. Una forma de incorporar privilegios mínimos es colocar a los usuarios en grupos en función de los permisos o funciones laborales asociados. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Las identidades y las credenciales se emiten, administran y verifican en función de la política de contraseñas de IAM de la organización. Cumplen o superan los requisitos establecidos en la norma NIST SP 800-63 y en el estándar AWS fundamental de mejores prácticas de seguridad para la seguridad de las contraseñas. Esta regla le permite configurar opcionalmente RequireUppercaseCharacters (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireLowercaseCharacters (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireSymbols (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireNumbers (valor de las mejores prácticas de seguridad AWS AWS fundamentales: verdadero), MinimumPasswordLength (valor de las mejores prácticas de seguridad AWS fundamentales: 14), PasswordReusePrevention (valor de las mejores prácticas de seguridad AWS fundamentales: 24) y MaxPasswordAge (valor de las mejores prácticas de seguridad fundamentales: 90) para su IAM La política de contraseñas. Los valores reales deben reflejar las políticas de su organización. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | AWS Identity and Access Management (IAM) puede ayudarlo a incorporar los principios del mínimo privilegio y la separación de funciones en los permisos y autorizaciones de acceso, impidiendo que las políticas contengan «Efecto»: «Permitir» con «Acción»: «*» en lugar de «Recurso»: «*». Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | El acceso a los sistemas y activos se puede controlar comprobando que el usuario raíz no tenga claves de acceso adjuntas a su función de AWS Identity and Access Management (IAM). Asegúrese de eliminar las claves de acceso raíz. En su lugar, cree y utilice el sistema basado en roles Cuentas de AWS para ayudar a incorporar el principio de funcionalidad mínima. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | AWS Identity and Access Management (IAM) puede ayudarle a restringir los permisos y autorizaciones de acceso al garantizar que los usuarios sean miembros de al menos un grupo. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Esta regla garantiza que las políticas de AWS Identity and Access Management (IAM) se adjunten únicamente a grupos o funciones para controlar el acceso a los sistemas y activos. La asignación de privilegios en el nivel de grupo o rol ayuda a reducir las oportunidades de que una identidad reciba o conserve demasiados privilegios. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | AWS Identity and Access Management (IAM) puede ayudarlo con los permisos y autorizaciones de acceso comprobando las contraseñas y claves de acceso de IAM que no se utilicen durante un período de tiempo específico. Si se identifican credenciales no utilizadas, debe deshabilitarlas o eliminarlas, ya que pueden infringir el principio de privilegio mínimo. Esta regla requiere que establezcas un valor en la maxCredentialUsage Edad (Config Default: 90). El valor real debe reflejar las políticas de su organización. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Administre el acceso a la AWS nube habilitando s3_ bucket_policy_grantee_check. Esta regla comprueba que el acceso otorgado por el bucket de Amazon S3 esté restringido por cualquiera de AWS los principales, usuarios federados, principales de servicio, direcciones IP o ID de Amazon Virtual Private Cloud (Amazon VPC) que usted proporcione. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Asegúrese de que las acciones de IAM se limiten únicamente a las acciones necesarias. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Gestione el acceso a los recursos en la AWS nube asegurándose de que la MFA esté habilitada para todos los usuarios de AWS Identity and Access Management (IAM) que tengan una contraseña de consola. La MFA agrega una capa adicional de protección a las credenciales de inicio de sesión. Al requerir la MFA para los usuarios, puede reducir los incidentes de cuentas comprometidas y evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Asegúrese de que el control de acceso detallado esté habilitado en sus dominios de Amazon OpenSearch Service. El control de acceso detallado proporciona mecanismos de autorización mejorados para lograr el acceso con menos privilegios a los dominios de Amazon Service. OpenSearch Permite un control de acceso al dominio basado en funciones, así como una seguridad a nivel de índices, documentos y campos, la compatibilidad con los paneles de servicio, la multitenencia y la autenticación básica HTTP para OpenSearch Service y Kibana. OpenSearch | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Habilitar el acceso de solo lectura a los contenedores de Amazon Elastic Container Service (ECS) puede ayudar a cumplir con el principio de privilegio mínimo. Esta opción puede reducir los vectores de ataque, ya que el sistema de archivos de la instancia de contenedor no se puede modificar a menos que tenga permisos explícitos de lectura y escritura. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | La aplicación de un directorio raíz para un punto de acceso de Amazon Elastic File System (Amazon EFS) ayuda a restringir el acceso a los datos al garantizar que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Para ayudar a implementar el principio de privilegio mínimo, asegúrese de que la aplicación por parte de los usuarios esté habilitada en el Amazon Elastic File System (Amazon EFS). Cuando está habilitada, Amazon EFS reemplaza los ID de usuario y grupo del cliente de NFS por la identidad configurada en el punto de acceso para todas las operaciones del sistema de archivos y solo permite el acceso a esta identidad de usuario obligatoria. |
Plantilla
La plantilla está disponible en GitHub: Mejores prácticas operativas para la Ley Gramm Leach Bliley
