Protección de los datos en reposo

Los datos en reposo representan cualquier dato que se almacene en un almacenamiento no volátil durante cualquier periodo de tiempo de su carga de trabajo. Esto incluye el almacenamiento en bloque, el almacenamiento de objetos, las bases de datos, los archivos, los dispositivos de IoT y todo tipo de forma de almacenamiento en la que se conserven los datos. La protección de los datos en reposo reduce el riesgo de acceso no autorizado si se implementan el cifrado y los controles de acceso adecuados.

El cifrado y la tokenización son dos esquemas de protección de datos importantes, pero distintos.

La tokenización es un proceso que le permite definir un token para representar un dato de carácter confidencial (por ejemplo, un token para representar el número de la tarjeta de crédito de un cliente). Un token debe carecer de sentido por sí solo y no debe derivarse de los datos que está tokenizando; por lo tanto, un resumen criptográfico no se puede utilizar como token. Al planificar minuciosamente el enfoque de tokenización, puede proporcionar protección adicional al contenido y puede asegurarse de que satisface los requisitos de conformidad. Por ejemplo, puede reducir el ámbito de complimiento de un sistema de procesamiento de tarjetas de crédito si aprovecha un token en lugar de un número de tarjeta de crédito.

El cifrado es un método de transformación de contenido que impide que este se pueda leer sin una clave secreta necesaria para descifrarlo y convertirlo en texto sin formato. La tokenización y el cifrado se pueden usar para asegurar y proteger la información cuando corresponda. Además, el enmascaramiento es una técnica que permite redactar parte de un dato hasta el punto de que el resto de los datos no se considere confidencial. Por ejemplo, PCI-DSS permite retener los últimos cuatro dígitos del número de una tarjeta fuera del límite de cumplimiento para su indexación.

Auditoría del uso de claves de cifrado: asegúrese de comprender y auditar el uso de las claves de cifrado para comprobar que los mecanismos de control de acceso de las claves se implementen de forma adecuada. Por ejemplo, cualquier servicio de AWS que utilice una clave de AWS KMS registra cada uso en AWS CloudTrail. A continuación, puede hacer consultas a AWS CloudTrail mediante una herramienta como Información de registros de Amazon CloudWatch para asegurarse de que todos los usos de sus claves sean válidos.

Prácticas recomendadas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC07-BP04 Definición de la administración escalable del ciclo de vida de los datos

SEC08-BP01 Implementación de una administración de claves segura