- AWS
- Seguridad, identidad y cumplimiento
Privacidad de datos en Japón
Información general
La Ley de Protección de la Información Personal (APPI) es el principal marco normativo que regula los datos personales en Japón.
La APPI se aplica a todos los operadores empresariales (personas naturales y jurídicas) que manejan información personal. La APPI también distingue entre información personal y datos personales; estos últimos se definen como información personal que forma parte de una base de datos de información personal. Las obligaciones de los operadores empresariales varían según adquieran, utilicen o proporcionen información personal o datos personales.
El 23 de enero de 2019, la Comisión Europea (UE) adoptó una decisión de adecuación respecto de Japón, lo que permite la libre circulación de datos personales entre ambas economías sobre la base de sólidas garantías de protección.
AWS mantiene una vigilancia constante sobre la privacidad y la seguridad de los datos. La seguridad en AWS comienza con nuestra infraestructura central. Diseñada específicamente para la nube y para cumplir los requisitos de seguridad más exigentes del mundo, nuestra infraestructura se supervisa ininterrumpidamente para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de talla mundial que supervisan esta infraestructura crearon y mantuvieron nuestra amplia selección de servicios de seguridad innovadores, que pueden ayudarle a satisfacer sus propias exigencias normativas y de seguridad. Como cliente de AWS, independientemente de su tamaño o ubicación, se beneficia de toda nuestra experiencia, evaluada frente a los marcos de aseguramiento de terceros más exigentes.
AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a sus servicios de infraestructura en la nube en el marco de certificaciones y marcos de aseguramiento de seguridad reconocidos a nivel mundial, incluidos ISO 27001, ISO 27017, ISO 27018, nivel 1 de PCI DSS y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y organizativas son validadas por evaluadores independientes de terceros y están diseñadas para prevenir el acceso no autorizado o la divulgación del contenido de clientes.
Por ejemplo, la norma ISO 27018 es el primer código internacional de buenas prácticas centrado en la protección de datos personales en la nube. Se basa en la norma de seguridad de la información ISO 27002 y proporciona orientaciones para la implementación de los controles de ISO 27002 aplicables a la información de identificación personal (PII) tratada por proveedores de servicios de nube pública. Esto demuestra a los clientes que AWS cuenta con un sistema de controles diseñado específicamente para proteger la privacidad del contenido de los clientes.
Estas medidas técnicas y organizativas exhaustivas de AWS están alineadas con los objetivos de la APPI en materia de protección de datos personales. Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido y son responsables de implementar medidas de seguridad adicionales según sus necesidades específicas, incluida la clasificación del contenido, el cifrado, el control de acceso y las credenciales de seguridad.
Dado que AWS no tiene visibilidad ni conocimiento sobre lo que los clientes cargan en su red, incluida la determinación de si dichos datos están sujetos a la Ley de Privacidad, los clientes son, en última instancia, responsables de su propio cumplimiento de la Ley de Privacidad y de las normativas relacionadas. El contenido de esta página complementa los recursos de privacidad de datos existentes para ayudarle a alinear sus requisitos con el Modelo de responsabilidad compartida de AWS al almacenar y tratar datos personales mediante servicios de AWS.
Preguntas frecuentes
Abrir todoLos centros de datos de AWS se organizan en clústeres en diversas ubicaciones alrededor del mundo. Cada uno de nuestros clústeres de centros de datos de una ubicación determinada se conoce como “región”.
Los clientes de AWS eligen las regiones de AWS donde se almacenará su contenido. Esto permite a los clientes con requisitos geográficos específicos establecer entornos en las ubicaciones que elijan.
Los clientes pueden replicar y realizar copias de seguridad del contenido en más de una región, pero AWS no traslada el contenido de sus clientes fuera de las regiones que estos hayan elegido, salvo cuando sea necesario para prestar servicios conforme a lo que soliciten los clientes o para cumplir con la legislación aplicable.
Los clientes pueden optar por utilizar una sola región, todas las regiones o cualquier combinación de regiones. Visite la página de la infraestructura global de AWS para conocer la lista completa de las regiones de AWS.
- Determinar dónde se ubicará, por ejemplo, el tipo de entorno de almacenamiento y la ubicación geográfica de ese almacenamiento.
- Controlar el formato del contenido, como por ejemplo texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado provisto por AWS o un mecanismo de cifrado de un tercero que el cliente elija.
- Administrar otros controles de acceso, como la administración de acceso de identidad y las credenciales de seguridad.
- Controlar si usar SSL, nube privada virtual y otras medidas de seguridad de la red para impedir el acceso no autorizado.
Los clientes mantienen la propiedad y el control de su contenido de clientes y eligen qué servicios de AWS procesan, almacenan y alojan dicho contenido. AWS no puede ver el contenido del cliente y no lo usa ni accede a él salvo para proporcionar los servicios de AWS que el cliente seleccionó, o bien cuando sea necesario para cumplir con la ley o una orden legal vinculante.
Los clientes que utilizan servicios de AWS mantienen el control de su contenido dentro del entorno de AWS. Pueden:
Esto permite a los clientes de AWS controlar todo el ciclo de vida de su contenido en AWS y administrarlo conforme a sus necesidades específicas, incluida la clasificación del contenido, el control de acceso, la retención y su eliminación.
La infraestructura en la nube de AWS está diseñada para ser uno de los entornos de computación en la nube más flexibles y seguros disponibles en la actualidad. La escala de Amazon permite realizar inversiones significativamente mayores en supervisión de la seguridad y medidas correctivas que las que casi cualquier gran empresa podría asumir por sí sola. Esta infraestructura se compone de hardware, software, redes e instalaciones que ejecutan los servicios de AWS y proporcionan controles sólidos a los clientes y a la Red de socios de AWS, incluidos controles de configuración de seguridad, para el tratamiento de datos personales. Para obtener más información sobre las medidas de AWS destinadas a mantener en todo momento niveles de seguridad elevados, consulte el documento técnico con información general sobre procesos de seguridad de AWS.
AWS también proporciona diversos informes de cumplimiento elaborados por auditores independientes que han verificado el cumplimiento de múltiples estándares y normativas de seguridad, incluidas las normas ISO 27001, ISO 27017 e ISO 27018. Para ofrecer transparencia respecto de la eficacia de estas medidas, proporcionamos acceso a los informes de auditoría elaborados por auditores independientes a través de AWS Artifact. Estos informes demuestran a los clientes y a la Red de socios de AWS, que pueden actuar como responsables o encargados del tratamiento de datos, que protegemos la infraestructura subyacente sobre la cual almacenan y tratan datos personales. Para obtener más información, consulte nuestros Recursos de cumplimiento.
La estrategia de seguridad de los centros de datos de AWS se estructura con controles de seguridad escalables y múltiples capas de defensa que ayudan a proteger la información. Por ejemplo, AWS gestiona cuidadosamente los riesgos potenciales de inundaciones y actividad sísmica. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un proceso de detección en profundidad para limitar el acceso a los centros de datos. Realizamos copias de seguridad de nuestros sistemas, probamos regularmente equipos y procesos, y capacitamos continuamente a los empleados de AWS para que estén listos para lo inesperado.
Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas con respecto a más de 2600 estándares y requisitos durante el año. Esa revisión independiente contribuye a garantizar que los estándares de seguridad se cumplan o incluso se superen de forma consistente. Como resultado, algunas de las organizaciones más reguladas del mundo confían en AWS para proteger sus datos.
Obtenga más información sobre cómo protegemos los centros de datos de AWS por diseño mediante un recorrido virtual »
- Medidas de seguridad que implementa y opera AWS: “seguridad de la nube”; y
- medidas de seguridad que los clientes implementan y operan, relacionadas con la seguridad del contenido y las aplicaciones de sus clientes que hacen uso de los servicios de AWS: “seguridad en la nube”
En virtud del Modelo de responsabilidad compartida de AWS, los clientes de AWS retienen el control de las medidas de seguridad que deciden implementar para proteger su contenido, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de aplicaciones ubicadas en un centro de datos en las instalaciones. Los clientes pueden aprovechar las medidas y controles de seguridad, tanto técnicos como organizativos, que ofrece AWS para cumplir con sus propios requisitos de cumplimiento. Los clientes pueden utilizar medidas conocidas para proteger sus datos, como el cifrado y la autenticación multifactor, además de las características de seguridad de AWS como AWS Identity and Access Management.
Al evaluar la seguridad de una solución en la nube, es importante que los clientes comprendan y distingan entre:
