La asociación bancaria española Centro de Cooperación Interbancaria (CCI) ha desarrollado Pinakes, un sistema de calificación destinado a gestionar y supervisar los controles de ciberseguridad de los proveedores de servicios de los que dependen las entidades financieras españolas. Los requisitos se derivan de las directrices de la Autoridad Bancaria Europea (EBA/GL/2019/02). Y AWS ha obtenido la calificación AAA de dicha normativa, cuyo alcance El alcance abarca 166 servicios en 25 regiones de AWS a nivel global.
Pinakes evalúa los niveles de ciberseguridad de los proveedores de servicios a través de 1.315 requisitos en 4 apartados (confidencialidad, integridad, disponibilidad de la información y general) y 14 dominios:
- Programa de gestión de la seguridad de la información
- Seguridad de las instalaciones
- Gestión de terceras partes
- Cumplimiento normativo
- Controles de red
- Control de acceso
- Gestión de incidentes
- Cifrado
- Desarrollo seguro
- Monitorización
- Protección frente al malware
- Resiliencia
- Operación de los sistemas
- Seguridad del personal
Cada requisito está asociado a un nivel de calificación (A+, A, B, C, D), que va desde el más alto A+ (el proveedor ha implantado las medidas y controles más diligentes para la gestión de la ciberseguridad) hasta el más bajo D (se cumplen los requisitos mínimos de seguridad). Un auditor externo independiente ha verificado el estado de implementación de cada sección. Como resultado, AWS ha sido calificada con A en Confidencialidad, Integridad y Disponibilidad, obteniendo una calificación global de AAA.
De esta manera, sus clientes españoles del sector financiero pueden consultar la calificación de AWS Pinakes para confirmar que el entorno de control de AWS está diseñado e implementado adecuadamente. Al recibir una AAA, AWS demuestra el compromiso de cumplir con las mayores expectativas de seguridad establecidas por la CCI para los proveedores de servicios en la nube.
