Seguridad

Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratos

Presenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.

約 7 分で読めます

Descripción general de Artifact

Artifact es un servicio para obtener bajo demanda informes de cumplimiento y contratos de AWS. Cuando una auditoría de cumplimiento de tu empresa requiere evidencia de los controles de seguridad de AWS, puedes descargar informes SOC o certificados ISO desde Artifact y presentarlos al auditor. Los contratos como BAA y GDPR DPA también se pueden aplicar de forma masiva a toda la organización con Organizations. Artifact soporta tanto acceso directo desde la consola de administración de AWS como la obtención programática de informes mediante AWS CLI o API.

Gestión de informes y contratos

Artifact Reports proporciona más de 50 tipos de informes de cumplimiento, incluyendo SOC 1 (controles internos relacionados con informes financieros), SOC 2 (seguridad, disponibilidad, confidencialidad), PCI DSS AOC (certificación de cumplimiento de la industria de tarjetas de pago) y certificados ISO 27001. Los informes se descargan en formato PDF, y los informes SOC suelen ser documentos detallados de 200 a 400 páginas. Artifact Agreements permite firmar electrónicamente BAA (acuerdo de asociación comercial necesario para el cumplimiento de HIPAA) y NDA. Al firmar un acuerdo organizacional desde la cuenta de gestión de Organizations, se aplica automáticamente a todas las cuentas miembro. También es posible firmar contratos por cuenta individual, pero en entornos multi-cuenta, los contratos a nivel organizacional reducen significativamente la carga operativa.

Uso de informes y respuesta a auditorías

Los informes disponibles en Artifact Reports abarcan SOC 1/2/3, PCI DSS, ISO 27001/27017/27018, FedRAMP, HIPAA y más. Cuando un auditor solicita evidencia de los controles de seguridad de AWS, se descarga el informe correspondiente y se presenta. Algunos informes requieren aceptar un NDA (acuerdo de confidencialidad), que se acepta electrónicamente al momento de la descarga. Con Artifact Agreements se pueden aplicar BAA (Business Associate Agreement) y GDPR DPA (Data Processing Addendum) de forma masiva a toda la organización con Organizations, eliminando la necesidad de gestión de contratos por cuenta individual. Los informes se actualizan periódicamente, por lo que se obtiene la versión más reciente según el período de auditoría. Los informes SOC 2 Type II certifican la eficacia operativa de los controles durante un período definido (generalmente 12 meses) y son emitidos por una firma de auditoría. Tras obtenerlos, se comparten con el equipo de auditoría y se revisan las excepciones y respuestas de la gerencia para evaluar el impacto en la organización. Para explicaciones detalladas sobre Artifact, también puedes consultar libros relacionados en Amazon.

Precios y operación de Artifact

Artifact es gratuito. No hay cargos adicionales por la descarga de informes ni la gestión de contratos. Desde la cuenta de gestión o la cuenta de administrador delegado de Organizations, se pueden gestionar los contratos de todas las cuentas miembro de forma centralizada. Como flujo de trabajo de respuesta a auditorías, se estandariza el procedimiento de crear una lista de informes necesarios según el calendario de auditoría anual, descargar las versiones más recientes desde Artifact y proporcionarlas al equipo de auditoría. En el modelo de responsabilidad compartida de AWS, los informes de Artifact son evidencia de los controles del lado de AWS, y los controles del lado del usuario deben documentarse por separado. Se controla el acceso restringiendo las acciones IAM artifact:Get y artifact:DownloadAgreement solo al equipo de auditoría y personal de GRC, evitando la distribución innecesaria de informes protegidos por NDA.

Mejores prácticas de diseño y errores comunes

Hay consideraciones clave de diseño para aprovechar Artifact de manera efectiva. Primero, usar la función de administrador delegado de Organizations permite delegar permisos de obtención de informes al equipo de GRC mientras se reduce el acceso directo a la cuenta de gestión. Segundo, el historial de obtención de informes se registra en CloudTrail, proporcionando automáticamente un registro de auditoría de quién obtuvo qué informe y cuándo. Un error común es la discrepancia entre los períodos de cobertura de los informes SOC y el período de auditoría propio. Los informes SOC 2 Type II se emiten típicamente para períodos como abril-marzo u octubre-septiembre, y si no coinciden con tu año fiscal, puede ser necesario solicitar una carta puente (Gap Letter) a AWS. Además, Artifact solo proporciona evidencia de controles del lado de AWS: las aplicaciones en EC2 y las bases de datos gestionadas por el usuario requieren preparar evidencia de auditoría propia.

Integración con otros servicios

Aunque Artifact se usa de forma independiente, combinarlo con otros servicios de seguridad de AWS permite construir una postura de cumplimiento integral. AWS Config evalúa continuamente si las configuraciones de recursos cumplen con las reglas de cumplimiento (PCI DSS, CIS Benchmark, etc.), y junto con los controles del lado de AWS evidenciados por los informes de Artifact, cubre ambos lados del Modelo de Responsabilidad Compartida. Security Hub agrega el estado de cumplimiento de las reglas Config en un panel unificado, mientras que Audit Manager se encarga de la recopilación automatizada de evidencia y la generación de informes de auditoría. En la práctica, presentar los informes SOC de Artifact junto con los informes propios de Audit Manager a las firmas de auditoría externas proporciona evidencia integral de controles tanto del lado de AWS como del propio. En la industria financiera, es común presentar PCI DSS AOC junto con documentación propia de controles de seguridad, haciendo que el uso combinado de Artifact y Audit Manager sea un estándar de facto.

Resumen

Artifact es un servicio gratuito que proporciona bajo demanda informes de cumplimiento y contratos de AWS. Permite descargar informes de auditoría como SOC 1/2/3, PCI DSS e ISO 27001 para presentar a los auditores, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations, reduciendo significativamente el esfuerzo de respuesta a auditorías. Diseñando adecuadamente el uso de administradores delegados, los rastros de acceso en CloudTrail y la gestión de brechas en los períodos de cobertura de informes SOC, se puede estandarizar eficientemente el flujo de trabajo de auditoría anual.

Servicios relacionados

AWS ArtifactUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWSAWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamente

Artículos relacionados

Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.

Artículos y servicios similares

La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.AWS Audit ManagerUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAutomatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.AWS Audit ManagerServicio que automatiza la recopilación de evidencias para auditorías de cumplimiento, evaluando continuamente el estado de conformidad con frameworks como SOC 2, PCI DSS y HIPAA