Seguridad de los datos en Log Management

Documentos > Reducir los riesgos que amenazan los datos > Seguridad de los datos en Log Management

En esta página hablamos sobre la seguridad de los datos que se envían a Datadog. Si estás buscando productos y funciones para proteger las aplicaciones y las soluciones en la nube, consulta la sección Seguridad.

El producto Log Management es compatible con múltiples entornos y formatos, lo que te permite enviar a Datadog casi cualquier dato. En este artículo se describen las principales garantías de seguridad y los controles de filtrado disponibles al enviar logs a Datadog.

Nota: Es posible ver logs en varios productos de Datadog. Todos los logs que se ven en la interfaz de usuario de Datadog, incluidos los que se ven en las páginas de trazas de APM, forman parte del producto Log Management.

Seguridad de la información

El Datadog Agent envía logs a Datadog a través de HTTPS o a través de una conexión TCP con cifrado TLS en el puerto 10516, lo que requiere una comunicación saliente (consulta Transporte de logs del Agent).

Datadog utiliza un cifrado simétrico en reposo (AES-256) para los logs indexados. Los logs indexados se eliminan de la plataforma Datadog una vez que su periodo de conservación expira, según lo que hayas definido.

Filtrar logs

En la versión 6 o posterior, el Agent puede configurarse para filtrar logs enviados por el Agent a la aplicación de Datadog. Para evitar el envío de logs específicos, utiliza el parámetro log_processing_rules, con el type exclude_at_match o include_at_match. Este parámetro permite crear una lista con una o más expresiones regulares, que indican al Agent que filtre logs basándose en las reglas de inclusión o exclusión proporcionadas.

Enmascarar logs

A partir de la versión 6, el Agent puede configurarse para enmascarar patrones específicos en los logs enviados por el Agent a la aplicación de Datadog. Para enmascarar secuencias confidenciales en tus logs, utiliza el parámetro log_processing_rules, con el type mask_sequences. Este parámetro permite crear una lista que contenga una o más expresiones regulares, que indican al Agent que redacte los datos confidenciales de tus logs.

Clientes habilitados por la HIPAA

Datadog will sign a Business Associate Agreement (BAA) with customers that transmit protected health information (ePHI) through Datadog’s HIPAA-eligible services.

These restrictions are imposed on customers who have signed Datadog’s BAA:

Users cannot request support through Zendesk Live Chat.
Users cannot share logs or security signals from the Datadog explorer.
Users cannot use third-party powered generative AI services.

If you have any questions about how the Log Management Service satisfies the applicable requirements under HIPAA, contact your account manager. HIPAA-enabled customers do not need to use specific endpoints to submit logs to enforce specific encryptions. The encryptions are enabled on all log submission endpoints.

Cumplimiento de PCI DSS para Log Management

El cumplimiento de PCI DSS para Log Management sólo está disponible para organizaciones de Datadog en el sitio US1.

Datadog permite a los clientes enviar logs a organizaciones de Datadog que cumplen con PCI DSS, si así lo solicitan. Para configurar una organización de Datadog que cumpla con PCI, sigue estos pasos:

To set up PCI-compliant Log Management, you must meet the following requirements:

Audit Trail must be enabled and remain enabled for PCI DSS compliance. If you haven’t already enabled Audit Trail, it is automatically enabled once the org is configured as PCI-compliant (after following the steps below).
Your Datadog organization is in the US1 site.
All logs sent to the PCI endpoints using HTTPS only. If you are using the Agent to send logs, you should enforce HTTPS transport.
All your logs endpoints need to be changed to the PCI endpoints for logs.
You may request access to the PCI Attestation of Compliance and Customer Responsibility Matrix on Datadog’s Trust Center - note that these documents are only applicable once you have finished all the onboarding steps and have been manually configured to be compliant by Datadog support.

To begin onboarding:

Contact Datadog support or your Customer Success Manager to request to being the PCI onboarding process while ensuring the necessary PCI requirements are met.
After Datadog support or Customer Success confirms that the org is ready to onboard, configure the respective configuration file to send all your logs to the dedicated PCI compliant endpoint(s):

agent-http-intake-pci.logs.datadoghq.com:443 for Agent traffic
http-intake-pci.logs.datadoghq.com:443 for non-Agent traffic
pci.browser-intake-datadoghq.com:443 for browser logs

For example, add the following lines to the Agent configuration file:

logs_config:
  logs_dd_url: <agent-http-intake-pci.logs.datadoghq.com:443>

All logs that are sent to the PCI compliant endpoint(s) automatically have a set of Sensitive Data Scanner PCI rules that are applied to scrub any cardholder data. These dedicated PCI rules must be enabled for PCI DSS compliance and are included with no additional charge.

To finish onboarding and be moved to compliant:

Inform your Datadog support or your Customer Success Manager that you have moved over all your endpoints to the PCI compliant endpoint(s).
Once confirmed by Datadog, your Logs and Log Management is considered to be PCI-compliant.

If you have any questions about how your now PCI-compliant Log Management satisfies the applicable requirements under PCI DSS, contact your account manager. See information on setting up PCI-compliant Application Performance Monitoring.

Consulta Cumplimiento de PCI DSS para obtener más información. Para activar el cumplimiento de PCI para APM, consulte Cumplimiento de PCI DSS para APM.