Cómo demostrar el cumplimiento del artículo 25 del RGPD

Comentario técnico

Cuando una organización se propone diseñar una operación de procesamiento de datos que cumpla con la protección de datos "por diseño" y "por defecto", hay varios factores importantes a tener en cuenta:

• Desarrollos tecnológicos.
• Costo de implementación.
• La naturaleza de la operación (contexto y finalidad).
• Riesgos y libertades del individuo.
• Alcance (es decir, dónde se recopilarán los datos).
• Minimización de datos.
• El concepto de medidas "apropiadas".

ISO 27701 Cláusula 5.2.1 (Comprensión de la organización y su contexto) y artículo 25 (3) del RGPD de la UE

Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.

La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.

Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.

Esto incluye:

• Revisar las leyes, regulaciones o "decisiones judiciales" de privacidad vigentes.
• Teniendo en cuenta el conjunto único de requisitos de la organización relacionados con el tipo de productos y servicios que vende, y los documentos, políticas y procedimientos de gobierno específicos de la empresa.
• Cualquier factor administrativo, incluido el funcionamiento diario de la empresa.
• Acuerdos de terceros o contratos de servicios que tienen el potencial de afectar la PII y la protección de la privacidad.

ISO 27701 Cláusula 6.10.2.4 (Acuerdos de confidencialidad o no divulgación) y Artículo 25 (1)(f) del RGPD UE

Las organizaciones deben utilizar acuerdos de confidencialidad (NDA) y acuerdos de confidencialidad para proteger la divulgación intencional o accidental de información confidencial a personal no autorizado.

Al redactar, implementar y mantener dichos acuerdos, las organizaciones deberían:

• Ofrecer una definición de la información que se desea proteger.
• Describa claramente la duración prevista del acuerdo.
• Indique claramente las acciones requeridas una vez que se haya rescindido el acuerdo.
• Cualquier responsabilidad que acuerden los firmantes confirmados.
• Propiedad de la información (incluida la propiedad intelectual y los secretos comerciales).
• Cómo se permite a los firmantes utilizar la información.
• Describa claramente el derecho de la organización a monitorear la información confidencial.
• Cualesquiera repercusiones que se deriven del incumplimiento.
• Revisa periódicamente sus necesidades de confidencialidad y ajusta cualquier acuerdo futuro en consecuencia.

Las leyes de confidencialidad varían de una jurisdicción a otra, y las organizaciones deben considerar sus propias obligaciones legales y regulatorias al redactar NDA y acuerdos de confidencialidad (consulte ISO 27002 Controles 5.31, 5.32, 5.33 y 5.34).

Compatible con controles ISO 27002

• ISO 27002 5.31
• ISO 27002 5.32
• ISO 27002 5.33
• ISO 27002 5.34

ISO 27701 Cláusula 6.11.2.1 (Política de desarrollo seguro) y artículo 25 (1) del RGPD UE

Las organizaciones deben garantizar que el ciclo de vida del desarrollo se cree teniendo en cuenta la protección de la privacidad.

Para lograr esto, las organizaciones deberían:

1. Operar con entornos de desarrollo, pruebas y desarrollo separados (ver Control ISO 27002 8.31).
2. Publicar orientación sobre la protección de la privacidad durante todo el ciclo de vida del desarrollo, incluidas metodologías, pautas de codificación y lenguajes de programación (ver Controles ISO 27002 8.28, 8.27 y 5.8).
3. Describir los requisitos de seguridad en la fase de especificación y diseño (ver Control 27002 de ISO 5.8).
4. Implementar puntos de control de seguridad en todos los proyectos relevantes (ver Control ISO 27002 5.8).
5. Realizar pruebas de seguridad y sistemas, incluidos escaneos de códigos y pruebas de penetración (consulte Control ISO 27002 5.8).
6. Ofrezca repositorios seguros para todo el código fuente (consulte los controles ISO 27002 8.4 y 8.9).
7. Ejerza procedimientos estrictos de control de versiones (consulte Control ISO 27002 8.32).
8. Ofrecer protección de la privacidad del personal y capacitación en seguridad de aplicaciones (consulte Control ISO 27002 8.28).
9. Analizar la capacidad de los desarrolladores para localizar, mitigar y erradicar vulnerabilidades (ver Control ISO 27002 8.28).
10. Documente cualquier requisito de licencia vigente o futuro (consulte Control ISO 27002 8.30).

Compatible con controles ISO 27002

• ISO 27002 5.8
• ISO 27002 8.4
• ISO 27002 8.9
• ISO 27002 8.27
• ISO 27002 8.28
• ISO 27002 8.30
• ISO 27002 8.31

ISO 27701 Cláusula 6.11.2.5 (Entorno de desarrollo seguro) y Artículo 25 (1) del RGPD UE

El sistema organizacional debe diseñarse, documentarse, implementarse y mantenerse teniendo en cuenta la protección de la privacidad:

Los principios de ingeniería deben analizar:

• Una amplia gama de controles de seguridad necesarios para proteger la PII contra amenazas específicas y generalizadas.
• Qué tan bien equipados están los controles de seguridad para hacer frente a eventos importantes de seguridad.
• Controles específicos que son distintos de los procesos comerciales individuales.
• Cuando la en la red y cómo Se deben implementar controles de seguridad.
• Cómo funcionan varios controles en armonía entre sí.

Los principios de ingeniería deben tener en cuenta:

1. Integración arquitectónica.
2. Medidas técnicas de seguridad (cifrado, IAM, DAM, etc.)
3. Qué tan bien equipada está la organización para implementar y mantener la solución elegida.
4. Directrices de mejores prácticas de la industria.

La ingeniería de sistemas seguros debe abarcar:

• Principios arquitectónicos estándar de la industria bien establecidos.
• Una revisión de diseño de amplio alcance que identifica vulnerabilidades y ayuda a formar un enfoque de cumplimiento de extremo a extremo.
• Divulgación completa de cualquier control de seguridad que no cumpla con los requisitos esperados.
• Endurecimiento del sistema.

Las organizaciones deberían adoptar un enfoque de seguridad de "confianza cero".

Cuando la organización subcontrata el desarrollo a organizaciones de terceros, se deben hacer esfuerzos para garantizar que los principios de seguridad del socio estén alineados con los propios de la organización.

Compatible con controles ISO 27002

• ISO 27002 5.15
• ISO 27002 5.18
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 Cláusula 7.4.2 (Procesamiento límite) y Artículo 25 (2) del RGPD UE

Las organizaciones también deben procesar PII solo si es relevante, proporcional y necesaria para cumplir un propósito declarado, incluido:

1. Revelación.
2. Almacenamiento.
3. Accesibilidad.

Compatible con las cláusulas ISO 27701 y los controles ISO 27002

Cómo ayuda ISMS.online

Le proporcionamos un entorno prediseñado donde puede describir y demostrar cómo protege los datos de sus clientes europeos y del Reino Unido.

La plataforma ISMS.online tiene orientación integrada en cada paso combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que el esfuerzo requerido para demostrar su enfoque hacia el RGPD se reduce sustancialmente.

También se beneficiará de una gama de potentes funciones que le permitirán ahorrar tiempo.

• ROPA es fácil
• Plantillas de evaluación
• Un espacio seguro para la RRD (Solicitudes de derechos de los titulares de datos)
• Gestión de infracciones

Descubre más por reservando una breve demostración de 30 minutos.