Validación de conformidad en AWS Secrets Manager

Guías de inicio rápido de seguridad y conformidad: estas guías de implementación tratan consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.

Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA : en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector y ubicación.

AWS Config evalúa en qué medida las configuraciones de los recursos cumplen las prácticas internas, las directrices del sector y la normativa. Para obtener más información, consulte Supervisión de secretos de AWS Secrets Manager para la conformidad mediante AWS Config.

AWS Security Hub proporciona una vista integral de su estado de seguridad en AWS que lo ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sector de seguridad. Para obtener más información sobre el uso de Security Hub para evaluar los recursos de Secrets Manager, consulte Controles de AWS Secrets Manager en la Guía del usuario de AWS Security Hub.

IAM Access Analyzer analiza las políticas, incluidas las declaraciones de condición de una política, que permiten a una entidad externa acceder a un secreto. Para obtener más información, consulte Vista previa del acceso con las API de Access Analyzer.

AWS Systems Manager proporciona manuales de procedimientos predefinidos para Secrets Manager. Para obtener más información, consulte Referencia del manual de procedimientos de Systems Manager Automation para Secrets Manager.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte Descarga de informes en AWS Artifact.

HIPAA: AWS ha ampliado el programa de conformidad con la Ley de portabilidad y responsabilidad de seguros médicos (HIPAA) para incluir a AWS Secrets Manager como servicio compatible con HIPAA. Si ha formalizado un Contrato de asociación empresarial (BAA, por sus siglas en inglés) con AWS, puede utilizar Secrets Manager para crear aplicaciones compatibles con HIPAA. AWS ofrece además un documento técnico dedicado a HIPAA para los clientes que deseen informarse acerca del modo de aprovechar AWS para procesar y almacenar información relacionada con el estado. Para obtener más información, consulte Conformidad con HIPAA.

Organización participante de PCI: AWS Secrets Manager dispone de declaración de conformidad para el estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS) versión 3.2 de nivel de proveedor de servicios 1. Los clientes que utilizan los productos y servicios de AWS para almacenar, procesar o transmitir datos de titulares de tarjetas pueden utilizar AWS Secrets Manager al administrar su propia certificación de conformidad con PCI DSS. Para obtener más información acerca de PCI DSS, incluido cómo solicitar una copia del Paquete de conformidad con PCI de AWS, consulte PCI DSS Nivel 1.

ISO: AWS Secrets Manager ha obtenido las certificaciones de conformidad ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e ISO 9001. Para obtener más información, consulte ISO 27001, ISO 27017, ISO 27018 e ISO 9001.

AICPA SOC: Los informes de control de organizaciones y sistemas (SOC) son informes de análisis independientes de terceros que muestran cómo Secrets Manager logra los controles y objetivos clave de conformidad. La finalidad de estos informes es ayudarle a usted y a sus auditores a entender los controles de AWS que se han establecido como soporte a las operaciones y a la conformidad. Para obtener más información, consulte Conformidad con SOC.

FedRAMP: El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) es un amplio programa gubernamental que ofrece un enfoque estandarizado para la supervisión continua, la autorización y la evaluación de la seguridad de servicios y productos en la nube. El Programa FedRAMP también proporciona autorizaciones provisionales para servicios y regiones en East/West (Este/Oeste) y GovCloud para consumir datos gubernamentales o regulados. Para obtener más información, consulte Conformidad con FedRAMP.

Departamento de Defensa: La Guía de requisitos de seguridad (SRG) de computación en la nube del Departamento de Defensa (DoD) proporciona un proceso estandarizado de evaluación y autorización para que los proveedores de servicios de nube (CSP) obtengan una autorización provisional del DoD, de modo que puedan servir a los clientes del DoD. Para obtener más información, consulte Recursos de DoD SRG

IRAP: El Programa de Asesores Registrados de Seguridad de la Información (IRAP) permite a los clientes del gobierno australiano validar que existen controles apropiados y determinar el modelo de responsabilidad adecuado para cumplir los requisitos del Manual de Seguridad de la Información (ISM) del gobierno australiano producido por el Centro Australiano de Ciberseguridad (ACSC). Para obtener más información, consulte Recursos de IRAP.

OSPAR: Amazon Web Services (AWS) obtuvo la certificación del Informe de Auditoría del Proveedor de Servicios Subcontratados (OSPAR). La alineación de AWS con las Directrices de la Asociación de Bancos de Singapur (ABS) sobre objetivos y procedimientos de control para proveedores de servicios externos (Directrices ABS) demuestra a los clientes el compromiso de AWS de satisfacer las altas expectativas para los proveedores de servicios de nube establecidas por la industria de servicios financieros en Singapur. Para obtener más información, consulte Recursos OSPAR.