Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas operativas para la Ley Gramm Leach Bliley (GLBA)
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear comprobaciones de control de seguridad, operativas o de optimización de costos mediante reglas de AWS Config administradas o personalizadas y acciones correctivas de AWS Config. Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de asignación entre la Ley Gramm-Leach-Bliley (GLBA) y las reglas de AWS Config administradas. Cada regla de Config se aplica a un recurso de AWS específico que está relacionado con uno o más controles de la GLBA. Un control de la GLBA puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
| ID de control | Descripción del control | Regla de AWS Config | Directrices |
|---|---|---|---|
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Administre el acceso a la nube de AWS de manera que se garantice que no se pueda acceder públicamente a las instancias de replicación de DMS. Las instancias de replicación de DMS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Administre el acceso a la nube de AWS de manera que se garantice que las instantáneas de EBS no se puedan restaurar públicamente. Las instantáneas de volumen de EBS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la nube de AWS de manera que se garantice que no se puede acceder públicamente a instancias de Amazon Elastic Compute Cloud (Amazon EC2). Las instancias de Amazon EC2 pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la nube de AWS de manera que se garantice que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de OpenSearch Service dentro de una Amazon VPC garantiza una comunicación segura entre OpenSearch Service y otros servicios dentro de la Amazon VPC sin necesidad de utilizar una puerta de enlace de Internet, un dispositivo NAT o una conexión de VPN. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la nube de AWS de manera que garantice que no se pueda acceder públicamente a los nodos maestros del clúster de Amazon EMR. Los nodos maestros del clúster de Amazon EMR pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Implemente instancias de Amazon Elastic Compute Cloud (Amazon EC2) dentro de una Amazon Virtual Private Cloud (Amazon VPC) para permitir una comunicación segura entre una instancia y otros servicios dentro de la Amazon VPC, sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. Todo el tráfico permanece seguro dentro de la nube de AWS. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Asigne instancias de Amazon EC2 a una Amazon VPC para gestionar correctamente el acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a recursos en la nube de AWS de manera que garantice que las puertas de enlace de Internet solo se conecten a la Amazon Virtual Private Cloud (Amazon VPC) autorizada. Las puertas de enlace de internet permiten el acceso bidireccional a internet desde y hacia la Amazon VPC, lo que puede provocar un acceso no autorizado a los recursos de Amazon VPC. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que se garantice que no se pueda acceder públicamente a las funciones de AWS Lambda. El acceso público puede degradar la disponibilidad de los recursos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Implemente funciones de AWS Lambda en una Amazon Virtual Private Cloud (Amazon VPC) para obtener una comunicación segura entre una función y otros servicios de Amazon VPC. Con esta configuración, no se requiere ninguna puerta de enlace de internet, dispositivo NAT ni conexión de VPN. Todo el tráfico permanece seguro dentro de la nube de AWS. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Para gestionar correctamente el acceso, las funciones de AWS Lambda deben asignarse a una VPC. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los clústeres de Amazon Redshift no sean públicos. Los clústeres de Amazon Redshift pueden contener información confidencial y principios. Además dichas cuentas requieren control de acceso. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público. Esta regla le permite configurar de forma opcional los parámetros ignorePublicAcls (valor predeterminado de Config: True), blockPublicPolicy (valor predeterminado de Config: True), blockPublicAcls (valor predeterminado de Config: True) y restrictPublicBuckets (valor predeterminado de Config: True). Los valores reales deben reflejar las políticas de su organización. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que solo permita a los usuarios, procesos y dispositivos autorizados acceder a buckets de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los blocs de notas de Amazon SageMaker no permitan el acceso directo a internet. Al impedir el acceso directo a internet, puede evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Si configura las interfaces de red con una dirección IP pública, se puede acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a sus aplicaciones o servidores. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que solo permita a los usuarios, procesos y dispositivos autorizados acceder a buckets de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Asegúrese de que los documentos de AWS Systems Manager (SSM) no sean públicos, ya que esto podría permitir el acceso no deseado a los documentos de SSM. Un documento de SSM público puede exponer información sobre su cuenta, sus recursos y sus procesos internos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la nube de AWS de manera que garantice que no se asigne automáticamente una dirección IP pública a las subredes de Amazon Virtual Private Cloud (VPC). Las instancias de Amazon Elastic Compute Cloud (EC2) que se lanzan en subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Al restringir el acceso a los recursos dentro de un grupo de seguridad desde internet (0.0.0.0/0), se puede controlar el acceso remoto a los sistemas internos. | |
| GLBA-SEC.501(b) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas | Gestione el acceso a la nube de AWS de manera que se garantice que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de Amazon OpenSearch Service dentro de una Amazon VPC garantiza una comunicación segura entre Amazon OpenSearch Service y otros servicios dentro de la Amazon VPC sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté activado en la caché de la etapa de API Gateway. Puesto que pueden capturarse datos confidenciales para el método de la API, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en reposo, debe asegurarse de que el cifrado esté habilitado para sus registros de seguimiento de AWS CloudTrail. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo confidenciales, asegúrese de que el cifrado esté habilitado para sus grupos de registros de Amazon CloudWatch. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Puesto que puede haber datos confidenciales, para proteger los datos en reposo, asegúrese de habilitar el cifrado de Amazon Elastic File System (EFS). | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté activado en sus dominios de Amazon OpenSearch Service (OpenSearch Service). | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Puesto que puede haber datos confidenciales, para proteger los datos en reposo, asegúrese de habilitar el cifrado de los volúmenes de Amazon Elastic Block Store (Amazon EBS). | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para sus instancias de Amazon Relational Database Service (Amazon RDS). Puesto que puede haber datos confidenciales en reposo en las instancias de Amazon RDS, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para proteger los datos en reposo, asegúrese de que el cifrado esté activado en los clústeres de Amazon Redshift. También debe asegurarse de que las configuraciones necesarias se implementen en los clústeres de Amazon Redshift. El registro de auditoría debería habilitarse para proporcionar información acerca de las conexiones y las actividades de usuario en la base de datos. Esta regla requiere que se establezca un valor para clusterDbEncrypted (valor predeterminado de Config: TRUE) y loggingEnabled (valor predeterminado de Config: TRUE). Los valores reales deben reflejar las políticas de su organización. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de habilitar el cifrado para los buckets de Amazon Simple Storage Service (Amazon S3). Puesto que puede haber datos confidenciales en reposo en los buckets de S3, habilite el cifrado para protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado con AWS Key Management Service (AWS KMS) esté habilitado para el punto de conexión de SageMaker. Puesto que puede haber datos confidenciales en reposo en el punto de conexión de SageMaker, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado con AWS Key Management Service (AWS KMS) esté habilitado para el cuaderno de SageMaker. Puesto que puede haber datos confidenciales en reposo en el cuaderno de SageMaker, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos en reposo, asegúrese de que los temas de Amazon Simple Notification Service (Amazon SNS) requieran el cifrado mediante AWS Key Management Service (AWS KMS). Puesto que puede haber datos confidenciales en reposo en los mensajes publicados, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para proteger los datos en reposo, asegúrese de habilitar el cifrado de los volúmenes de Amazon Elastic Block Store (Amazon EBS). Puesto que puede haber datos confidenciales en reposo en estos volúmenes, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el cifrado esté habilitado para las tablas de Amazon DynamoDB. Puesto que puede haber datos confidenciales en reposo en estas tablas, habilite el cifrado en reposo para ayudar a protegerlos. De forma predeterminada, las tablas de DynamoDB se cifran con una clave maestra de cliente (CMK) propiedad de AWS. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el cifrado esté habilitado para las instantáneas de Amazon Relational Database Service (Amazon RDS). Puesto que puede haber datos confidenciales en reposo, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de tener el cifrado habilitado para los buckets de Amazon Simple Storage Service (Amazon S3). Puesto que puede haber datos confidenciales en reposo en los buckets de Amazon S3, habilite el cifrado en reposo para protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el cifrado esté activado en sus puntos de recuperación de AWS Backup. Puesto que puede haber datos confidenciales en reposo, habilite el cifrado en reposo para ayudar a protegerlos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el cifrado de nodo a nodo para Amazon Elasticsearch Service esté habilitado. El cifrado de nodo a nodo habilita el cifrado TLS 1.2 para todas las comunicaciones dentro de la Amazon Virtual Private Cloud (Amazon VPC). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos confidenciales en reposo, asegúrese de que el cifrado esté habilitado para los registros de AWS CodeBuild almacenados en Amazon S3. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Para ayudar a proteger los datos confidenciales en reposo, asegúrese de que el cifrado esté habilitado para sus artefactos de AWS CodeBuild. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté activado en sus dominios de Amazon OpenSearch Service. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Asegúrese de que el cifrado de nodo a nodo para Amazon Elasticsearch Service esté habilitado. El cifrado de nodo a nodo habilita el cifrado TLS 1.2 para todas las comunicaciones dentro de la Amazon Virtual Private Cloud (Amazon VPC). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| GLBA-SEC.501(b)(1) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (1) para garantizar la seguridad y confidencialidad de los registros y la información de los clientes; | Puesto que puede haber datos confidenciales, para proteger los datos en reposo, asegúrese de habilitar el cifrado para Amazon Kinesis Streams. | |
| GLBA-SEC.501(b)(2) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (2) para protegerse ante las amenazas o peligros previstos para la seguridad o integridad de dichos registros; y | Amazon GuardDuty puede ayudar a monitorear y detectar posibles eventos de ciberseguridad mediante fuentes de información sobre amenazas. Estas incluyen listas de IP malintencionadas y machine learning para identificar la actividad inesperada y no permitida, así como la actividad malintencionada en el entorno de la nube de AWS. | |
| GLBA-SEC.501(b)(2) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (2) para protegerse ante las amenazas o peligros previstos para la seguridad o integridad de dichos registros; y | AWS Security Hub ayuda a monitorear el personal, las conexiones, los dispositivos y el software no autorizados. AWS Security Hub agrega, organiza y prioriza las alertas de seguridad o los resultados de varios servicios de AWS. Algunos de estos servicios son Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer, AWS Firewall Manager y soluciones de socios de AWS. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Esta regla garantiza que los secretos de AWS Secrets Manager tengan habilitada la rotación. La rotación de los secretos de forma habitual puede acortar el período de vigencia de un secreto y, potencialmente, reducir el impacto sobre la empresa si el secreto se desvela. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Se auditan las credenciales de los dispositivos, usuarios y procesos autorizados para garantizar que las claves de acceso de IAM se roten según la política de la organización. Cambiar las claves de acceso de forma habitual es una práctica recomendada de seguridad. Al hacerlo, se reduce el período de tiempo en el que una clave de acceso está activa y el impacto sobre la empresa si las claves se ven comprometidas. Esta regla requiere un valor de rotación de clave de acceso (valor predeterminado de Config: 90). El valor real debe reflejar las políticas de su organización. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | AWS Identity and Access Management (IAM) puede ayudarle a incorporar los principios de privilegio mínimo y separación de funciones con permisos y autorizaciones de acceso al garantizar que los grupos de IAM tengan al menos un usuario. Una forma de incorporar privilegios mínimos es colocar a los usuarios en grupos en función de los permisos o funciones laborales asociados. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Las identidades y las credenciales se emiten, administran y verifican en función de la política de contraseñas de IAM de la organización. Cumplen o superan los requisitos definidos en NIST SP 800-63 y en el estándar Prácticas recomendadas de seguridad básica de AWS para la seguridad de las contraseñas. Esta regla le permite definir de forma opcional RequireUppercaseCharacters (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireLowercaseCharacters (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireSymbols (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireNumbers (valor de Prácticas recomendadas de seguridad básica de AWS: true), MinimumPasswordLength (valor de Prácticas recomendadas de seguridad básica de AWS: 14), PasswordReusePrevention (valor de Prácticas recomendadas de seguridad básica de AWS: 24) y MaxPasswordAge (valor de Prácticas recomendadas de seguridad básica de AWS: 90) para su política de contraseñas de IAM. Los valores reales deben reflejar las políticas de su organización. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | AWS Identity and Access Management (IAM) puede ayudarle a incorporar los principios de privilegio mínimo y la separación de funciones con permisos y autorizaciones de acceso, al restringir las políticas que incluyan Effect: Allow con Action: * sobre Resource: *. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | El acceso a los sistemas y activos se puede controlar comprobando que el usuario raíz no tenga claves de acceso adjuntas a su rol de AWS Identity and Access Management (IAM). Asegúrese de eliminar las claves de acceso raíz. En su lugar, cree y utilice cuentas de Cuentas de AWS basadas en roles para ayudar a incorporar el principio de funcionalidad mínima. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | AWS Identity and Access Management (IAM) puede ayudarle a restringir los permisos y autorizaciones de acceso al garantizar que los usuarios sean miembros de al menos un grupo. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Esta regla garantiza que las políticas de AWS Identity and Access Management (IAM) se adjunten solo a grupos o roles para controlar el acceso a los sistemas y activos. La asignación de privilegios en el nivel de grupo o rol ayuda a reducir las oportunidades de que una identidad reciba o conserve demasiados privilegios. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | AWS Identity and Access Management (IAM) puede ayudar con los permisos y autorizaciones de acceso al comprobar las contraseñas y claves de acceso de IAM que no se utilicen durante un período de tiempo específico. Si se identifican credenciales no utilizadas, debe deshabilitarlas o eliminarlas, ya que pueden infringir el principio de privilegio mínimo. Esta regla requiere definir un valor para maxCredentialUsageAge (valor predeterminado de Config: 90). El valor real debe reflejar las políticas de su organización. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Gestione el acceso a la nube de AWS habilitando s3_ bucket_policy_grantee_check. Esta regla comprueba que el acceso concedido por el bucket de Amazon S3 esté restringido por cualquiera de las entidades principales de AWS, usuarios federados, entidades principales de servicio, direcciones IP o ID de Amazon Virtual Private Cloud (Amazon VPC) que proporcione. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Asegúrese de que las acciones de IAM se limiten únicamente a las acciones necesarias. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que la MFA esté habilitada para todos los usuarios de AWS Identity and Access Management (IAM) que tengan una contraseña de consola. La MFA agrega una capa adicional de protección a las credenciales de inicio de sesión. Al requerir la MFA para los usuarios, puede reducir los incidentes de cuentas comprometidas y evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Asegúrese de habilitar el control de acceso detallado en sus dominios de Amazon OpenSearch Service. El control de acceso detallado proporciona mecanismos de autorización mejorados para lograr el acceso con privilegio mínimo a los dominios de Amazon OpenSearch Service. Permite el control de acceso al dominio basado en roles, así como la seguridad en el nivel de índices, documentos y campos, la compatibilidad con los paneles de OpenSearch Service, la tenencia múltiple y la autenticación básica HTTP para OpenSearch Service y Kibana. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Habilitar el acceso de solo lectura a los contenedores de Amazon Elastic Container Service (ECS) puede ayudar a cumplir con el principio de privilegio mínimo. Esta opción puede reducir los vectores de ataque, ya que el sistema de archivos de la instancia de contenedor no se puede modificar a menos que tenga permisos explícitos de lectura y escritura. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | La aplicación de un directorio raíz para un punto de acceso de Amazon Elastic File System (Amazon EFS) ayuda a restringir el acceso a los datos al garantizar que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado. | |
| GLBA-SEC.501(b)(3) | De conformidad con la política de la subsección (a), cada agencia o autoridad descrita en la sección 505(a) establecerá las normas apropiadas para las instituciones financieras sujetas a su jurisdicción en relación con las medidas de protección administrativas, técnicas y físicas (3) para protegerse ante el acceso no autorizado a o el uso de dichos registros o información, que podría generar perjuicios o inconveniencias sustanciales a cualquier cliente. | Para ayudar a implementar el principio de privilegio mínimo, asegúrese de que la aplicación por parte de los usuarios esté habilitada en el Amazon Elastic File System (Amazon EFS). Cuando está habilitada, Amazon EFS reemplaza los ID de usuario y grupo del cliente de NFS por la identidad configurada en el punto de acceso para todas las operaciones del sistema de archivos y solo permite el acceso a esta identidad de usuario obligatoria. |
Plantilla
La plantilla está disponible en GitHub: Operational Best Practices for Gramm Leach Bliley Act (GLBA)
