RGPD El artículo 32 establece la necesidad de que las organizaciones implementen diversas medidas que logren un nivel adecuado de seguridad en todas sus operaciones de procesamiento de datos.
Para lograrlo, las organizaciones deben tener en cuenta:
Seguridad de procesamiento
- Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el controlador y el procesador implementarán medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas, entre otras cosas, según corresponda:
- La seudonimización y cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de procesamiento.
- La capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
- Un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
- Al evaluar el nivel adecuado de seguridad, se tendrán en cuenta, en particular, los riesgos que presenta el procesamiento, en particular los derivados de la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a datos personales transmitidos, almacenados o procesados de otro modo.
- La adhesión a un código de conducta aprobado a que se refiere el artículo 40 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
- El controlador y el procesador tomarán medidas para garantizar que cualquier persona física que actúe bajo la autoridad del controlador o del procesador que tenga acceso a datos personales no los procese excepto siguiendo instrucciones del controlador, a menos que esté obligado a hacerlo por Derecho de la Unión o de los Estados miembros.
Seguridad de procesamiento
- Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el controlador y el procesador implementarán medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas, entre otras cosas, según corresponda:
- La seudonimización y cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de procesamiento.
- La capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
- Un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
- Al evaluar el nivel adecuado de seguridad, se tendrán en cuenta, en particular, los riesgos que presenta el procesamiento, en particular los derivados de la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a datos personales transmitidos, almacenados o procesados de otro modo.
- La adhesión a un código de conducta aprobado a que se refiere el artículo 40 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
- El controlador y el procesador tomarán medidas para garantizar que cualquier persona física que actúe bajo la autoridad del controlador o del procesador que tenga acceso a datos personales no los procese excepto siguiendo instrucciones del controlador, a menos que esté obligado a hacerlo por ley doméstica.
Desde la migración, hemos podido reducir el tiempo dedicado a la administración.
El artículo 32 del RGPD pide a las organizaciones que adopten un enfoque basado en el riesgo para el procesamiento de datos que tenga en cuenta varias variables clave:
Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.
La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.
Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.
Esto incluye:
ISO recomienda un ejercicio exhaustivo de determinación de alcance, para que las organizaciones puedan producir un PIMS que, en primer lugar, cumpla con sus requisitos de protección de la privacidad y, en segundo lugar, no se infiltre en áreas del negocio que no necesitan atención.
Las organizaciones deben establecer y documentar:
Todos los ejercicios de alcance que planifiquen la implementación de PIMS deben incluir una evaluación exhaustiva de las actividades de procesamiento y almacenamiento de PII.
Las organizaciones deben intentar implementar, gestionar y optimizar un Sistema de gestión de información de privacidad (PIMS), en línea con las normas ISO publicadas.
Las organizaciones deben trazar e implementar un proceso de evaluación de riesgos de protección de la privacidad que:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
Las organizaciones deben redactar e implementar un "proceso de tratamiento de riesgos" de protección de la privacidad/PII que:
Los procedimientos de seguridad de las aplicaciones deben desarrollarse junto con políticas más amplias de protección de la privacidad, generalmente a través de una evaluación de riesgos estructurada que tenga en cuenta múltiples variables.
Los requisitos de seguridad de las aplicaciones deben incluir:
Los servicios transaccionales que facilitan el flujo de datos de privacidad entre la organización y una organización tercera u organización asociada deben:
Para cualquier aplicación que implique pedidos y/o pagos electrónicos, las organizaciones deben:
Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.
Al hacerlo, las organizaciones deberían:
Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
En esta sección hablamos de los artículos 32 (1) (b), 32 (1) (d) y 32 (2) del RGPD.
Las organizaciones deben desarrollar procesos que atiendan revisiones independientes de sus prácticas de seguridad de la información de privacidad, incluidas tanto políticas específicas de temas como políticas generales.
Las revisiones deben ser realizadas por:
Las revisiones deben ser independientes y estar realizadas por personas con suficiente conocimiento de las directrices de protección de la privacidad y de los procedimientos propios de la organización.
Los revisores deben establecer si las prácticas de seguridad de la información privada cumplen con los “objetivos y requisitos documentados” de la organización.
Además de las revisiones periódicas estructuradas, las organizaciones pueden encontrarse con la necesidad de realizar revisiones ad hoc desencadenadas por ciertos eventos, que incluyen:
Las organizaciones deben asegurarse de que el personal pueda revisar las políticas de privacidad en todo el espectro de operaciones comerciales.
La dirección debería desarrollar métodos técnicos para informar sobre el cumplimiento de la privacidad (incluida la automatización y herramientas personalizadas). Los informes deben registrarse, almacenarse y analizarse para mejorar aún más los esfuerzos de protección de la privacidad y la seguridad de la PII.
Cuando se descubren problemas de cumplimiento, las organizaciones deben:
Es de vital importancia adoptar medidas correctivas lo antes posible. Si los problemas no están completamente resueltos para el momento de la próxima revisión, como mínimo, se deben proporcionar pruebas que demuestren que se están logrando avances.
En lugar de poner toda la información en pie de igualdad, las organizaciones deberían clasificar la información según un tema específico.
Los propietarios de la información deben considerar cuatro factores clave al clasificar los datos (especialmente los relacionados con la PII), que deben revisarse periódicamente o cuando dichos factores cambien:
Para proporcionar un marco operativo claro, las categorías de información deben nombrarse de acuerdo con el nivel de riesgo inherente, en caso de que ocurra algún incidente que comprometa cualquiera de los factores anteriores.
Para garantizar la compatibilidad entre plataformas, las organizaciones deben poner sus categorías de información a disposición de cualquier personal externo con el que compartan información y garantizar que todas las partes relevantes comprendan ampliamente el propio esquema de clasificación de la organización.
Las organizaciones deben tener cuidado con la subclasificación o, por el contrario, la sobreclasificación de datos. Lo primero puede dar lugar a errores al agrupar la PII con tipos de datos menos sensibles, mientras que lo primero a menudo genera gastos adicionales, una mayor probabilidad de errores humanos y anomalías en el procesamiento.
Al desarrollar políticas que gobiernen el manejo de los activos de medios involucrados en el almacenamiento de PII, las organizaciones deben:
Al reutilizar, reutilizar o desechar medios de almacenamiento, se deben implementar procedimientos sólidos para garantizar que la PII no se vea afectada de ninguna manera, incluidos:
Si los dispositivos que se han utilizado para almacenar PII se dañan, las organizaciones deben considerar cuidadosamente si es más apropiado destruir dichos medios o enviarlos a reparación (errando por el lado del primero).
ISO advierte a las organizaciones contra el uso de dispositivos de almacenamiento no cifrados para cualquier Actividades relacionadas con la PII.
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
Consulte la sección anterior sobre ISO 27701 Cláusula 6.5.3.1
Si los medios van a eliminar esa PII que anteriormente tenían, las organizaciones deben implementar procedimientos que documenten la destrucción de la PII y los datos relacionados con la privacidad, incluidas garantías categóricas de que ya no están disponibles.
Las organizaciones deben utilizar cifrado para proteger el confidencialidad, autenticidad y integridad de PII e información relacionada con la privacidad, y cumplir con sus diversas obligaciones contractuales, legales o reglamentarias.
El cifrado es un concepto de gran alcance: no existe un enfoque único que sirva para todos. Las organizaciones deben evaluar sus necesidades y elegir una solución criptográfica que cumpla con sus objetivos comerciales y operativos únicos.
Las organizaciones deberían considerar:
Los procedimientos de gestión clave deben distribuirse en 7 funciones principales:
Los sistemas de gestión de claves organizacionales deberían:
Las organizaciones deben redactar políticas temáticas específicas que aborden directamente cómo la organización realiza copias de seguridad de las áreas relevantes de su red para salvaguardar la PII y mejorar la resiliencia contra incidentes relacionados con la privacidad.
Los procedimientos BUDR deben redactarse para lograr el objetivo principal de garantizar que todos Los datos, el software y los sistemas críticos para el negocio se pueden recuperar siguiendo De pérdida de datos, intrusión, interrupción del negocio y fallas críticas.
Como prioridad, los planes BUDR deberían:
Las organizaciones deben desarrollar procedimientos separados que se ocupen únicamente de la PII (aunque contenidos dentro de su plan BUDR principal).
Se deben tener en cuenta las variaciones regionales en los estándares PII BUDR (contractuales, legales y regulatorios) cada vez que se crea un nuevo trabajo, se modifican trabajos o se agregan nuevos datos PII a la rutina BUDR.
Siempre que surja la necesidad de restaurar la PII después de un incidente BUDR, las organizaciones deben tener mucho cuidado para devolver la PII a su estado original y revisar las actividades de restauración para resolver cualquier problema con los nuevos datos.
Las organizaciones deben mantener un registro de la actividad de restauración, incluido el personal involucrado en la restauración, y una descripción de la PII que se ha restaurado.
Las organizaciones deben consultar con cualquier agencia legislativa o reguladora y asegurarse de que sus procedimientos de restauración de PII estén alineados con lo que se espera de ellos como procesadores y controladores de PII.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
Las organizaciones deben primero Identifique y luego grabar los motivos específicos para procesar la PII que utilizan.
Los directores de PII deben estar completamente familiarizados con las diversas razones por las cuales se procesa su PII.
Es responsabilidad de la organización transmitir estas razones a los directores de PII, junto con una "declaración clara" de por qué necesitan procesar su información.
Toda la documentación debe ser clara, completa y fácilmente comprensible para cualquier director de PII que la lea, incluido todo lo relacionado con el consentimiento, así como copias de los procedimientos internos (consulte las cláusulas 27701, 7.2.3 y 7.3.2 de ISO 7.2.8).
Las organizaciones deben destruir por completo cualquier PII que ya no cumpla un propósito o modificarla de manera que impida cualquier forma de identificación principal.
Tan pronto como la organización establezca que no es necesario procesar la PII en ningún momento en el futuro, la información debe ser borrado or desidentificado, según lo dicten las circunstancias.
Desde el principio, la PII sólo debe procesarse de acuerdo con las instrucciones del cliente.
Los contratos deben incluir SLA relacionados con objetivos mutuos y cualquier escala de tiempo asociada en la que deban completarse.
Las organizaciones deben reconocer su derecho a elegir los distintos métodos que se utilizan para procesar la PII, que logren legalmente lo que el cliente busca, pero sin la necesidad de obtener permisos granulares sobre cómo la organización lo hace a nivel técnico.
Artículo del RGPD | Cláusula ISO 27701 | Controles ISO 27002 |
---|---|---|
Artículo 32 (3) del RGPD UE | 5.2.1 | Ninguna |
Artículo 32 (2) del RGPD UE | 5.2.3 | Ninguna |
Artículo 32 (2) del RGPD UE | 5.2.4 | Ninguna |
Artículos 32 (1) (b) y 32 (2) del RGPD UE | 5.4.1.2 | Ninguna |
Artículo 32, apartado 1, letra b) del RGPD UE | 5.4.1.3 | Ninguna |
Artículo 32, apartado 1, letra a) del RGPD UE | 6.11.1.2 | 5.17 8.2 8.5 |
Artículos 32 (1) (b) y 32 (2) del RGPD UE | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
Artículos 32 (1)(b), 32 (1)(d) y 32 (2) del RGPD UE | 6.15.2.1 | Ninguna |
Artículos 32 (1)(d) y (32)(2) del RGPD UE | 6.15.2.3 | Ninguna |
Artículo 32 (2) del RGPD UE | 6.5.2.1 | Ninguna |
Artículo 32, apartado 1, letra a) del RGPD UE | 6.5.3.1 | 5.14 |
Artículo 32, apartado 1, letra a) del RGPD UE | 6.5.3.3 | 5.14 |
Artículo 32, apartado 1, letra a) del RGPD UE | 6.7.1.1 | 5.31 8.24 |
Artículo 32, apartado 1, letra c) del RGPD UE | 6.9.3.1 | 5.30 8.1 8.10 |
Artículo 32 (4) del RGPD UE | 7.2.1 7.2.3 7.3.2 7.2.8 | Ninguna |
Artículo 32, apartado 1, letra a) del RGPD UE | 7.4.5 | Ninguna |
Artículo 32 (4) del RGPD UE | 8.2.2 | Ninguna |
La plataforma ISMS.online tiene orientación integrada en cada paso combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que el esfuerzo requerido para demostrar su enfoque hacia el RGPD se reduce sustancialmente. Tú WILL Benefíciese de una gama de potentes funciones que le permitirán ahorrar tiempo.
ISMS.online también le facilita iniciar su camino hacia el cumplimiento del RGPD y demostrar fácilmente un nivel de protección que va más allá de lo "razonable", todo en una ubicación segura y siempre activa.
Descubre más por reservando una breve demostración de 30 minutos.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Descubra la mejor manera de lograr el éxito del SGSI
Obtén tu guía gratis