En Amazon Web Services, estamos comprometidos con la comprensión profunda de las necesidades cambiantes tanto de nuestros clientes como de los reguladores, adaptándonos e innovando rápidamente para satisfacerlas. El próximo AWS European Sovereign Cloud será una nueva nube independiente para Europa, diseñada para ofrecer a las organizaciones del sector público y a los clientes de industrias altamente reguladas una mayor flexibilidad para cumplir con sus requisitos únicos de soberanía. El AWS European Sovereign Cloud se basa en la misma sólida base de controles de seguridad, privacidad y cumplimiento que se aplican a otras regiones de AWS en todo el mundo, con medidas adicionales de gobernanza, técnicas y operativas para abordar las estrictas expectativas de los clientes y reguladores europeos. La soberanía es la característica definitoria del AWS European Sovereign Cloud y estamos utilizando un marco de trabajo validado de forma independiente para satisfacer los requisitos de soberanía de nuestros clientes, al tiempo que ofrecemos la escalabilidad y la funcionalidad que espera de la nube de AWS.
Hoy, nos complace compartir más detalles sobre el AWS European Sovereign Cloud: el Marco de Referencia de Soberanía (ESC-SRF). Este marco de referencia alinea los criterios de soberanía en múltiples dominios, como la independencia de la gobernanza, el control operativo, la residencia de los datos y el aislamiento técnico. Trabajando a partir de los casos de uso de soberanía de nuestros clientes, alineamos los controles con cada uno de los criterios y el AWS European Sovereign Cloud está siendo sometido a una auditoría independiente de terceros para verificar que el diseño y las operaciones de estos controles cumplen con los compromisos de soberanía de AWS. Los clientes y socios también pueden aprovechar el ESC-SRF como base sobre la cual pueden construir sus propios criterios y controles de soberanía complementarios al utilizar el AWS European Sovereign Cloud.
Para explicar claramente cómo el AWS European Sovereign Cloud cumple con las expectativas de soberanía, estamos publicando el ESC-SRF en AWS Artifact, incluyendo el mapeo de criterios y controles. En AWS Artifact, nuestro portal de recuperación de artefactos de auditoría de autoservicio, tiene acceso a la documentación de seguridad y cumplimiento de AWS y a los acuerdos de AWS bajo demanda. Ahora puede utilizar el ESC-SRF para definir las mejores prácticas para su propio caso de uso, mapearlas a los controles e ilustrar cómo cumple e incluso supera las necesidades de soberanía de sus clientes.
Un modelo de soberanía transparente y validado
El ESC-SRF se ha construido a partir de los comentarios de los clientes, los requisitos reglamentarios de toda la Unión Europea (UE), los marcos de la industria, los compromisos contractuales de AWS y las aportaciones de los socios. El ESC-SRF es agnóstico a la industria y al sector, ya que está escrito para abordar las necesidades y expectativas fundamentales de soberanía en la capa fundacional de nuestras ofertas en la nube, con requisitos y controles de soberanía adicionales que se aplican exclusivamente al AWS European Sovereign Cloud. Cada criterio se implementa a través de controles de soberanía que serán validados de forma independiente por un auditor externo.
El marco de trabajo se basa en las capacidades de seguridad básicas de AWS, incluyendo el cifrado, la gestión de claves, la gobernanza de acceso, el aislamiento basado en el AWS Nitro System y las certificaciones de cumplimiento internacionalmente reconocidas. El marco de trabajo añade medidas de gobernanza, técnicas y operativas específicas de la soberanía, como estructuras corporativas independientes de la UE, servicios de confianza y certificados dedicados de la UE, operaciones realizadas por personal de AWS residente en la UE, residencia estricta de los datos de los clientes y los metadatos creados por los clientes, separación de todas las demás regiones de AWS y respuesta a incidentes operada dentro de la UE.
Estos controles son la base de una attestación dedicada de AWS European Sovereign Cloud System and Organization Controls (SOC) 2. El ESC-SRF establece una base sólida para la soberanía de la nube, para que los clientes puedan centrarse en definir medidas de soberanía en la nube que se adapten a sus objetivos, necesidades reglamentarias y postura de riesgo.
Cómo puede utilizar el ESC-SRF
El ESC-SRF describe cómo AWS implementa y valida los controles de soberanía en el AWS European Sovereign Cloud. AWS considera que cada criterio es vinculante y su implementación será validada por un auditor externo independiente en 2026. Aunque la mayoría de los clientes no operan a la escala de AWS, puede utilizar el ESC-SRF tanto como modelo de garantía como marco de referencia que puede adaptar a sus casos de uso específicos.
Desde una perspectiva de garantía, proporciona visibilidad de extremo a extremo de cada criterio de soberanía hasta su implementación técnica. También proporcionaremos una validación de terceros en el informe SOC 2 del AWS European Sovereign Cloud. Los clientes pueden utilizar este informe con auditores internos, evaluadores externos, autoridades de supervisión y reguladores. Esto puede reducir la necesidad de solicitudes de pruebas ad hoc y apoyar a los clientes proporcionándoles pruebas de garantías de soberanía claras y exigibles.
Desde una perspectiva de diseño, puede consultar el marco de trabajo al dar forma a su propia arquitectura de soberanía, seleccionar configuraciones y definir controles internos para cumplir con los requisitos reglamentarios, contractuales y específicos de la misión. Debido a que el ESC-SRF es agnóstico a la industria y al sector, puede aplicar criterios del marco de trabajo para que se adapten a sus necesidades únicas. Dependiendo de su caso de uso de soberanía, no todos los criterios pueden aplicarse a sus necesidades de soberanía. El ESC-SRF también puede utilizarse en conjunto con AWS Well-Architected, que puede ayudarle a aprender, medir y construir utilizando las mejores prácticas arquitectónicas. Cuando sea apropiado, puede crear su propia versión del ESC-SRF, mapearla a los controles y hacer que un tercero la pruebe. Para descargar el ESC-SRF, visite AWS Artifact (se requiere iniciar sesión).
Una base sólida y clara
La publicación del ESC-SRF forma parte de nuestro compromiso continuo de cumplir con el AWS Digital Sovereignty Pledge a través de la transparencia y las garantías para ayudar a los clientes a satisfacer sus necesidades de soberanía en evolución con garantías diseñadas, implementadas y validadas íntegramente dentro de la UE. Dentro del marco de trabajo, los clientes pueden construir soluciones en el AWS European Sovereign Cloud con confianza y una sólida comprensión de cómo pueden alcanzar sus objetivos de soberanía utilizando AWS.
Para obtener más información sobre el AWS European Sovereign Cloud, visite aws.eu.
