Cómo demostrar el cumplimiento del artículo 5 del RGPD

Transferencia de información

ISO 27701 Cláusula 6.10.2.1 (Políticas y procedimientos de transferencia de información) y Artículo 5 (1)(f) del RGPD de la UE

Las operaciones de transferencia de información deberían:

• Centrarse en controles que impidan la interceptación, Acceso no autorizado, proceso de copiar, modificación, desvío, destrucción y denegación de servicio de PII e información relacionada con la privacidad (consulte ISO 27002 Controlar 8.24).
• Asegúrese de que la información sea rastreable.
• Clasifique una lista de contactos, es decir, propietarios, propietarios de riesgos, etc.
• Describir las responsabilidades en caso de un incidente de seguridad.
• Incluir sistemas de etiquetado claros y concisos (ver Control ISO 27002 5.13).
• Garantizar una instalación de transferencia confiable, incluidas políticas temáticas específicas sobre la transferencia de datos (ver Control ISO 27002 5.10).
• Describir las pautas de retención y eliminación, incluidas las leyes y pautas específicas de cada región o sector.

Transferencia electronica

Al utilizar servicios de transferencia electrónica, las organizaciones deben:

1. Intente detectar y protegerse contra programas maliciosos (consulte ISO 27002 Control 8.7).
2. Concéntrese en proteger los archivos adjuntos.
3. Tenga mucho cuidado al enviar información a la dirección correcta.
4. Exigir un proceso de aprobación, antes de que los empleados puedan transmitir información a través de 'servicios públicos externos' (por ejemplo, mensajería instantánea), y ejercer un mayor control sobre dichos métodos.
5. Evite el uso de servicios de SMS y máquinas de fax, siempre que sea posible.

Transferencias físicas (incluidos medios de almacenamiento)

Al transferir medios físicos (incluidos documentos en papel) entre instalaciones o ubicaciones externas, las organizaciones deben:

• Describa responsabilidades claras para el envío y la recepción.
• Tenga mucho cuidado al ingresar los detalles de la dirección correcta.
• Utilice embalajes que ofrezcan protección contra daños físicos o manipulación.
• Opere con una lista de mensajeros autorizados y despachadores externos, incluidos estándares de identificación sólidos.
• Mantenga registros completos de todas las transferencias físicas, incluidos los detalles del destinatario, las fechas y horas de las transferencias y cualquier medida de protección física.

Transferencias verbales

La transmisión verbal de información confidencial presenta un riesgo de seguridad único, particularmente en lo que respecta a la PII y la protección de la privacidad.

Las organizaciones deben recordar a los empleados que:

1. Evite tener este tipo de conversaciones en un lugar público o en un lugar interno no seguro.
2. Evite dejar mensajes de correo de voz que contengan información confidencial o restringida.
3. Asegúrese de que la persona con la que está hablando tenga un nivel adecuado para recibir dicha información, e infórmele de lo que se va a decir antes de divulgar la información.
4. Sea consciente de su entorno y asegúrese de que se respeten los controles de la habitación.

Consideraciones adicionales del RGPD del Reino Unido

• Artículo 5 – (1)(f)

Compatible con controles ISO 27002

• ISO 27002 5.13
• ISO 27002 8.7
• ISO 27002 8.24

ISO 27701 Cláusula 6.10.2.4 (Acuerdos de confidencialidad o no divulgación) y Artículo 5 (1) del RGPD UE

Las organizaciones deben utilizar acuerdos de confidencialidad (NDA) y acuerdos de confidencialidad para proteger la divulgación intencional o accidental de información confidencial a personal no autorizado.

Al redactar, implementar y mantener dichos acuerdos, las organizaciones deberían:

• Ofrecer una definición de la información que se desea proteger.
• Describa claramente la duración prevista del acuerdo.
• Indique claramente las acciones requeridas una vez que se haya rescindido el acuerdo.
• Cualquier responsabilidad que acuerden los firmantes confirmados.
• Propiedad de la información (incluida la propiedad intelectual y los secretos comerciales).
• Cómo se permite a los firmantes utilizar la información.
• Describa claramente el derecho de la organización a monitorear la información confidencial.
• Cualesquiera repercusiones que se deriven del incumplimiento.
• Revisa periódicamente sus necesidades de confidencialidad y ajusta cualquier acuerdo futuro en consecuencia.

Las leyes de confidencialidad varían de una jurisdicción a otra, y las organizaciones deben considerar sus propias obligaciones legales y regulatorias al redactar NDA y acuerdos de confidencialidad (ver Controles ISO 27002 5.31, 5.32, 5.33 y 5.34).

Compatible con controles ISO 27002

• ISO 27002 5.31
• ISO 27002 5.32
• ISO 27002 5.33
• ISO 27002 5.34

Adquisición de sistemas, desarrollo y mantenimiento

ISO 27701 Cláusula 6.11.1.2 (Seguridad de servicios de aplicaciones en redes públicas) y Artículo 5 (1)(f) del RGPD de la UE

Los procedimientos de seguridad de las aplicaciones deben desarrollarse junto con políticas más amplias de protección de la privacidad, generalmente a través de una evaluación de riesgos estructurada que tenga en cuenta múltiples variables.

Los requisitos de seguridad de las aplicaciones deben incluir:

1. Los niveles de confianza inherentes a todas las entidades de la red (ver Controles ISO 27002 5.17, 8.2 y 8.5).
2. La clasificación de datos que la aplicación está configurada para procesar (incluida la PII).
3. Cualquier requisito de segregación.
4. Protección contra ataques internos, externos y/o uso malicioso.
5. Cualquier requisito legal, contractual o reglamentario vigente.
6. Protección robusta de la información confidencial.
7. Datos que deben protegerse en tránsito.
8. Cualquier requisito criptográfico.
9. Controles seguros de entrada y salida.
10. Uso mínimo de campos de entrada sin restricciones, especialmente aquellos que tienen el potencial de almacenar datos personales.
11. El manejo de mensajes de error, incluida la comunicación clara de los códigos de error.

Servicios transaccionales

Los servicios transaccionales que facilitan el flujo de datos de privacidad entre la organización y una organización tercera u organización asociada deben:

• Establecer un nivel adecuado de confianza entre las identidades organizacionales.
• Incluir mecanismos que verifiquen la confianza entre identidades establecidas (por ejemplo, hash y firmas digitales).
• Describir procedimientos sólidos que gobiernen lo que los empleados pueden gestionar documentos transaccionales clave.
• Contener procedimientos de gestión documental y transaccional que cubran la confidencialidad, integridad, prueba de envío y recepción de documentos y transacciones clave.
• Incluir orientación específica sobre cómo mantener las transacciones confidenciales.

Aplicaciones de pedidos y pagos electrónicos

Para cualquier aplicación que implique pedidos y/o pagos electrónicos, las organizaciones deben:

• Describir requisitos estrictos para la protección de datos de pagos y pedidos.
• Verifique la información de pago antes de realizar un pedido.
• Almacene de forma segura datos transaccionales y relacionados con la privacidad de una manera que sea inaccesible para el público.
• Utilice autoridades confiables al implementar firmas digitales, teniendo en cuenta la protección de la privacidad en todo momento.

Compatible con controles ISO 27002

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 Cláusula 6.11.3.1 (Protección de datos de prueba) y Artículo 5 (1)(f) del RGPD UE

Las organizaciones deben seleccionar cuidadosamente los datos de prueba para garantizar que la actividad de prueba sea confiable y segura. Las organizaciones deben prestar especial atención para garantizar que la PII no se copie en los entornos de desarrollo y prueba.

Para proteger los datos operativos durante las actividades de prueba, las organizaciones deben:

1. Utilice un conjunto homogéneo de procedimientos de control de acceso en entornos operativos y de prueba.
2. Asegúrese de que se requiera autorización cada vez que se copien datos operativos en un entorno de prueba.
3. Registrar la copia y el uso de datos operativos.
4. Salvaguardar la privacidad de la información mediante técnicas como el enmascaramiento (ver Control ISO 27002 8.11).
5. Eliminar datos operativos de un entorno de prueba, una vez que ya no sean necesarios (consulte Control ISO 27002 8.10).
6. Almacene de forma segura los datos de las pruebas y asegúrese de que los empleados sepan que solo se utilizarán con fines de prueba.

Compatible con controles ISO 27002

• ISO 27002 8.10
• ISO 27002 8.11

Relaciones con proveedores

ISO 27701 Cláusula 6.12.1.2 (Abordar la seguridad en los acuerdos con proveedores) y Artículo 5 (1)(f) del RGPD de la UE

Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.

Al hacerlo, las organizaciones deberían:

• Ofrezca una descripción clara que detalle la información de privacidad a la que se debe acceder y cómo se accederá a esa información.
• Clasifique la información de privacidad a la que se accederá de acuerdo con un esquema de clasificación aceptado (ver Controles ISO 27002 5.10, 5.12 y 5.13).
• Dar la debida consideración al propio esquema de clasificación de los proveedores.
• Clasifique los derechos en cuatro áreas principales (legales, estatutarias, regulatorias y contractuales) con una descripción detallada de las obligaciones por área.
• Asegúrese de que cada parte esté obligada a implementar una serie de controles que monitoreen, evalúen y administren los niveles de riesgo de seguridad de la información de privacidad.
• Describa la necesidad de que el personal del proveedor cumpla con los estándares de seguridad de la información de una organización (consulte ISO 27002 Control 5.20).
• Facilitar una comprensión clara de lo que constituye un uso aceptable e inaceptable de la información de privacidad y de los activos físicos y virtuales de cualquiera de las partes.
• Establecer controles de autorización necesarios para que el personal del proveedor acceda o vea la información de privacidad de una organización.
• Considerar lo que ocurre en caso de incumplimiento del contrato o de incumplimiento de las estipulaciones individuales.
• Describir un procedimiento de gestión de incidentes, incluido cómo se comunican los eventos importantes.
• Asegúrese de que el personal reciba capacitación en concientización sobre seguridad.
• (Si al proveedor se le permite utilizar subcontratistas) agregue requisitos para garantizar que los subcontratistas estén alineados con el mismo conjunto de estándares de seguridad de la información de privacidad que el proveedor.
• Considere cómo se examina al personal de los proveedores antes de interactuar con la información de privacidad.
• Estipular la necesidad de certificaciones de terceros que aborden la capacidad del proveedor para cumplir con los requisitos de seguridad de la información de privacidad de la organización.
• Tener el derecho contractual de auditar los procedimientos de un proveedor.
• Exigir a los proveedores que entreguen informes que detallen la efectividad de sus propios procesos y procedimientos.
• Concéntrese en tomar medidas para afectar la resolución oportuna y exhaustiva de cualquier defecto o conflicto.
• Asegurar que los proveedores operen con una política BUDR adecuada, para proteger la integridad y disponibilidad de la PII y los activos relacionados con la privacidad.
• Requerir una política de gestión de cambios del lado del proveedor que informe a la organización sobre cualquier cambio que tenga el potencial de afectar la protección de la privacidad.
• Implementar controles de seguridad física que sean proporcionales a la sensibilidad de los datos que se almacenan y procesan.
• (Cuando se vayan a transferir datos) solicite a los proveedores que se aseguren de que los datos y los activos estén protegidos contra pérdidas, daños o corrupción.
• Describa una lista de acciones que deberá tomar cualquiera de las partes en caso de rescisión.
• Pídale al proveedor que describa cómo pretende destruir la información de privacidad después de la terminación, o si los datos ya no son necesarios.
• Tome medidas para garantizar una interrupción mínima del negocio durante un período de transferencia.

Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.

Compatible con controles ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

Gestión y cumplimiento de incidentes de seguridad de la información

ISO 27701 Cláusula 6.13.1.1 (Responsabilidades y procedimientos) y Artículo 5 (1)(f) del RGPD UE

Roles y Responsabilidades

Para crear una política de gestión de incidentes cohesiva y altamente funcional que salvaguarde la disponibilidad y la integridad de la información privada durante incidentes críticos, las organizaciones deben:

• Adherirse a un método para informar eventos de seguridad de la información de privacidad.
• Establecer una serie de procesos que gestionen los incidentes relacionados con la seguridad de la información de privacidad en toda la empresa, que incluyen:
• Administración.
• Documentación.
• Detección.
• Triaje.
• Priorización.
• Análisis.
• Comunicación.
• Redactar un procedimiento de respuesta a incidentes que permita a la organización evaluar, responder y aprender de los incidentes.
• Asegúrese de que los incidentes sean gestionados por personal capacitado y competente que se beneficie de programas continuos de capacitación y certificación en el lugar de trabajo.

Gestión de Incidentes

El personal involucrado en incidentes de seguridad de la información privada debe comprender:

1. El tiempo que debería llevar resolver una incidencia.
2. Cualquier posible consecuencia.
3. La gravedad del incidente.

Al abordar eventos de seguridad de la información de privacidad, el personal debe:

• Evaluar los eventos de acuerdo con un estricto criterio que los valide como incidentes aprobados.
• Clasifique los eventos de seguridad de la información de privacidad en 5 subtemas:
• Monitoreo (ver Controles ISO 27002 8.15 y 8.16).
• Detección (ver Control ISO 27002 8.16).
• Clasificación (ver ISO 27002 Control 5.25).
• Análisis.
• Informes (ver Control ISO 27002 6.8).
• Al resolver incidentes de seguridad de la información de privacidad, las organizaciones deben:
• Responder y escalar problemas (ver Control ISO 27002 5.26) de acuerdo con el tipo de incidente.
• Activar planes de gestión de crisis y continuidad del negocio.
• Afectar una recuperación gestionada de un incidente que mitigue el daño operativo y/o financiero.
• Garantizar una comunicación exhaustiva de los eventos relacionados con incidentes a todo el personal relevante.
• Participar en el trabajo colaborativo (consulte los controles 27002 y 5.5 de ISO 5.6).
• Registre todas las actividades basadas en gestión de incidentes.
• Ser responsable del manejo de la evidencia relacionada con el incidente (ver Control ISO 27002 5.28).
• Lleve a cabo un análisis exhaustivo de la causa raíz para minimizar el riesgo de que el incidente vuelva a ocurrir, incluidas las modificaciones sugeridas a cualquier proceso.

Las actividades de presentación de informes deben centrarse en cuatro áreas clave:

1. Acciones que deben tomarse una vez que ocurre un evento de seguridad de la información.
2. Formularios de incidentes que registran información a lo largo de un incidente.
3. Procesos de retroalimentación de extremo a extremo a todo el personal relevante.
4. Informes de incidentes que detallan lo que ocurrió una vez que se resolvió el incidente.

Compatible con controles ISO 27002

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 Cláusula 6.15.1.1 (Identificación de la legislación aplicable y requisitos contractuales) y Artículo 5 (1)(f) del RGPD UE

Las organizaciones deben cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales cuando:

• Redacción y/o modificación de procedimientos de seguridad de la información privada.
• Categorizar la información.
• Embarcarse en evaluaciones de riesgos relacionadas con las actividades de seguridad de la información de privacidad.
• Forjar relaciones con proveedores, incluyendo cualquier obligación contractual a lo largo de la cadena de suministro.

Factores legislativos y regulatorios

Las organizaciones deben seguir procedimientos que les permitan Identifique, analizar y entender obligaciones legislativas y regulatorias, especialmente aquellas que se refieren a la protección de la privacidad y la PII, dondequiera que operen.

Las organizaciones deben ser continuamente conscientes de sus obligaciones de protección de la privacidad cada vez que celebren nuevos acuerdos con terceros, proveedores y contratistas.

Criptografía

Al implementar métodos de cifrado para reforzar la protección de la privacidad y salvaguardar la PII, las organizaciones deben:

1. Observe las leyes que rigen la importación y exportación de hardware o software que tenga el potencial de cumplir una función criptográfica.
2. Proporcionar acceso a información cifrada según las leyes de la jurisdicción en la que operan.
3. Utilice tres elementos clave de cifrado:
• Firmas digitales.
• Focas.
• Certificados digitales.

Compatible con controles ISO 27002

• ISO 27002 5.20

ISO 27701 Cláusula 6.15.1.3 (Protección de registros) y Artículo 5 (2) del RGPD UE

Las organizaciones deben considerar la gestión de registros en 4 áreas clave:

1. Autenticidad.
2. Confiabilidad.
3. Integridad.
4. Usabilidad.

Para mantener un sistema de registros funcional que proteja la PII y la información relacionada con la privacidad, las organizaciones deben:

• Publicar directrices que aborden:
• Almacenamiento.
• Manejo (cadena de custodia).
• Disposición.
• Previniendo la manipulación.
• Describa cuánto tiempo se debe conservar cada tipo de registro.
• Observe las leyes que se ocupan del mantenimiento de registros.
• Cumpla con las expectativas de los clientes sobre cómo las organizaciones deben manejar sus registros.
• Destruya los registros una vez que ya no sean necesarios.
• Clasifique los registros según su riesgo de seguridad, por ejemplo:
• Contabilidad.
• Transacciones de negocios.
• Registros de personal.
• Legal.
• Asegúrese de que puedan recuperar registros dentro de un período de tiempo aceptable, si así lo solicita un tercero o una agencia policial.
• Siga siempre las pautas del fabricante al almacenar o manipular registros en fuentes de medios electrónicos.

Dispositivos Móviles y Teletrabajo

ISO 27701 Cláusula 6.3.2.1 (Políticas de dispositivos móviles) y Artículo 5 (1)(f) del RGPD de la UE

Las organizaciones deben implementar políticas temáticas específicas que aborden diferentes categorías de dispositivos terminales y versiones de software de dispositivos móviles, y cómo se deben adaptar los controles de seguridad para mejorar la seguridad de los datos.

La política, los procedimientos y las medidas de seguridad de apoyo de una organización sobre dispositivos móviles deben tener en cuenta:

• Las diferentes categorías de datos que el dispositivo puede tanto procesar como almacenar.
• Cómo se registran e identifican los dispositivos en la red.
• Cómo se van a proteger físicamente los dispositivos.
• Cualquier limitación en aplicaciones e instalaciones de software.
• Gestión remota, incluidas actualizaciones y parches.
• Controles de acceso de usuarios, incluido RBAC si es necesario.
• Cifrado
• Contramedidas antimalware (administradas o no administradas).
• BUDR.
• Restricciones de navegación.
• Análisis de usuarios (ver Control ISO 27002 8.16).
• La instalación, uso y gestión remota de dispositivos de almacenamiento extraíbles o dispositivos periféricos extraíbles.
• Cómo segregar datos en el dispositivo, de modo que la PII se separe de los datos estándar del dispositivo (incluidos los datos personales del usuario). Esto incluye considerar si es apropiado o no almacenar cualquier tipo de datos organizacionales en el dispositivo físico, en lugar de utilizar el dispositivo para proporcionar acceso en línea a ellos.
• Qué sucede cuando un dispositivo se pierde o es robado, es decir, abordar cualquier requisito legal, reglamentario o contractual y tratar con las aseguradoras de la organización.

Responsabilidad del usuario individual

Todos los miembros de la organización que utilizan el acceso remoto deben conocer explícitamente cualquier política y procedimiento de dispositivos móviles que se les aplique en el contexto de la gestión segura de dispositivos terminales.

Se debe indicar a los usuarios que:

• Cierre cualquier sesión de trabajo activa cuando ya no esté en uso.
• Implementar controles de protección física y digital, según lo exige la política.
• Tenga en cuenta su entorno físico (y los riesgos de seguridad inherentes que contiene) al acceder a datos seguros utilizando el dispositivo.

Traer su propio dispositivo (BYOD)

Las organizaciones que permiten que el personal utilice dispositivos de propiedad personal también deben considerar los siguientes controles de seguridad:

• Instalar software en el dispositivo (incluidos los teléfonos móviles) que ayude a separar los datos comerciales y personales.
• Hacer cumplir una política BYOD que incluya:
• Reconocimiento de propiedad organizacional de la PII.
• Medidas de protección física y digital (ver arriba).
• Eliminación remota de datos.
• Cualquier medida que garantice la alineación con la legislación de PII y la orientación regulatoria.
• Derechos de propiedad intelectual, relacionados con la propiedad de la empresa sobre cualquier cosa que se haya producido en un dispositivo personal.
• Acceso organizacional al dispositivo, ya sea con fines de protección de la privacidad o para cumplir con una investigación interna o externa.
• CLUF y licencias de software que pueden verse afectados por el uso de software comercial en un dispositivo de propiedad privada.

Configuraciones inalámbricas

Al redactar procedimientos relacionados con la conectividad inalámbrica en dispositivos terminales, las organizaciones deberían:

• Considere detenidamente cómo se debe permitir que dichos dispositivos se conecten a redes inalámbricas para acceder a Internet, con el fin de salvaguardar la PII.
• Asegúrese de que las conexiones inalámbricas tengan capacidad suficiente para facilitar las copias de seguridad o cualquier otra función específica del tema.

Compatible con controles ISO 27002

• ISO 27002 8.9 – Gestión de la configuración
• ISO 27002 8.16 – Actividades de seguimiento

Gestión de activos

ISO 27701 Cláusula 6.5.2.1 (Clasificación de la información) y Artículo 5 (1)(f) del RGPD UE

En lugar de poner toda la información en pie de igualdad, las organizaciones deberían clasificar la información según un tema específico.

Los propietarios de la información deben considerar cuatro factores clave al clasificar los datos (especialmente los relacionados con la PII), que deben revisarse periódicamente o cuando dichos factores cambien:

1. El confidencialidad de los datos.
2. El integridad de los datos.
3. Datos disponibilidad .
4. la organizacion obligaciones legales hacia PII.

Para proporcionar un marco operativo claro, las categorías de información deben nombrarse de acuerdo con el nivel de riesgo inherente, en caso de que ocurra algún incidente que comprometa cualquiera de los factores anteriores.

Para garantizar la compatibilidad entre plataformas, las organizaciones deben poner sus categorías de información a disposición de cualquier personal externo con el que compartan información y garantizar que todas las partes relevantes comprendan ampliamente el propio esquema de clasificación de la organización.

Las organizaciones deben tener cuidado con la subclasificación o, por el contrario, la sobreclasificación de datos. Lo primero puede dar lugar a errores al agrupar la PII con tipos de datos menos sensibles, mientras que lo primero a menudo genera gastos adicionales, una mayor probabilidad de errores humanos y anomalías en el procesamiento.

ISO 27701 Cláusula 6.5.2.2 (Etiquetado de información) y Artículo 5 (1)(f) del RGPD UE

Las etiquetas son una parte clave para garantizar que se cumpla la política de clasificación de PII de la organización (ver arriba) y que los datos puedan identificarse claramente de acuerdo con su sensibilidad (por ejemplo, que la PII se etiquete para distinguirla de tipos de datos menos confidenciales).

Los procedimientos de etiquetado de PII deben definir:

• Cualquier escenario en el que no se requiera etiquetado (datos disponibles públicamente).
• Instrucciones sobre cómo el personal debe etiquetar los activos físicos y digitales y las ubicaciones de almacenamiento.
• Planes de contingencia para cualquier escenario donde el etiquetado no sea físicamente posible.

ISO ofrece un amplio margen para que las organizaciones elijan sus propias técnicas de etiquetado, que incluyen:

• Físico etiquetado.
• Electronic etiquetas en encabezados y pies de página.
• La adición o modificación de metadatos, incluidos términos de búsqueda y funcionalidad interactiva con otras plataformas de gestión de información (por ejemplo, el PIMS de la organización).
• marcas de agua que proporciona una indicación clara de la clasificación de los datos documento por documento.
• Stamp marcas en copias físicas de información.

ISO 27701 Cláusula 6.5.3.1 (Gestión de medios extraíbles) y Artículo 5 (1)(f) del RGPD UE

Medios de almacenamiento extraíbles

Al desarrollar políticas que gobiernen el manejo de los activos de medios involucrados en el almacenamiento de PII, las organizaciones deben:

• Desarrollar políticas únicas para temas específicos basadas en requisitos departamentales o laborales.
• Asegúrese de que se solicite y otorgue la autorización adecuada antes de que el personal pueda retirar medios de almacenamiento de la red (incluido mantener un registro preciso y actualizado de dichas actividades).
• Almacene los medios de acuerdo con las especificaciones del fabricante, libres de cualquier daño ambiental.
• Considere utilizar cifrado como requisito previo para acceder o, cuando esto no sea posible, implementar medidas de seguridad física adicionales.
• Minimice el riesgo de que la PII se corrompa transfiriendo información entre medios de almacenamiento, según sea necesario.
• Introduzca la redundancia de PII almacenando información protegida en múltiples activos al mismo tiempo.
• Autorice únicamente el uso de medios de almacenamiento en entradas aprobadas (es decir, tarjetas SD y puertos USB), activo por activo.
• Supervise de cerca la transferencia de PII a medios de almacenamiento, para cualquier propósito.
• Tenga en cuenta los riesgos inherentes a la transferencia física de medios de almacenamiento (y, por proxy, la PII contenida en ellos), al mover activos entre personal o instalaciones (consulte ISO 27002 Control 5.14).

Reutilización y eliminación

Al reutilizar, reutilizar o desechar medios de almacenamiento, se deben implementar procedimientos sólidos para garantizar que la PII no se vea afectada de ninguna manera, incluidos:

1. Formatear los medios de almacenamiento y garantizar que toda la PII se elimine antes de su reutilización (consulte Control ISO 27002 8.10), incluido el mantenimiento de la documentación adecuada de todas esas actividades.
2. Eliminar de forma segura cualquier medio que la organización ya no utilice y que se haya utilizado para almacenar PII.
3. Si la eliminación requiere la participación de un tercero, las organizaciones deben tener mucho cuidado para garantizar que sean un socio adecuado para realizar dichas tareas, en línea con la responsabilidad de la organización hacia la PII y la protección de la privacidad.
4. Implementar procedimientos que identifiquen qué medios de almacenamiento están disponibles para su reutilización o pueden eliminarse en consecuencia.

Si los dispositivos que se han utilizado para almacenar PII se dañan, las organizaciones deben considerar cuidadosamente si es más apropiado destruir dichos medios o enviarlos a reparación (errando por el lado del primero).

Compatible con controles ISO 27002

• ISO 27002 5.14

ISO 27701 Cláusula 6.5.3.2 (Eliminación de medios) y Artículo 5 (1)(f) del RGPD UE

See ISO 27701 Cláusula 6.5.3.1

Orientación adicional relacionada con la PII

Si los medios van a eliminar esa PII que anteriormente tenían, las organizaciones deben implementar procedimientos que documenten la destrucción de la PII y los datos relacionados con la privacidad, incluidas garantías categóricas de que ya no están disponibles.

ISO 27701 Cláusula 6.5.3.3 y RGPD UE 5 (1)(f)

Medios de almacenamiento extraíbles

Al implementar políticas relacionadas con medios extraíbles, las organizaciones deben:

• Desarrollar procedimientos que aborden los requisitos departamentales o laborales.
• Asegúrese de obtener la autorización adecuada antes de eliminar cualquier medio de la red corporativa.
• Asegúrese de que se cumplan estrictamente las pautas del fabricante al operar cualquier tipo de dispositivo de almacenamiento.
• Considere el uso de tecnología de almacenamiento criptográfico.
• Tome medidas para garantizar que los datos no se dañen durante ningún proceso de transferencia.
• Aumente la redundancia almacenando información en múltiples activos al mismo tiempo.
• Aprobar el uso de medios de almacenamiento (es decir, tarjetas SD y puertos USB), activo por activo.
• Comprender y mitigar los riesgos inherentes al movimiento de medios y activos entre el personal y las ubicaciones (ver Control ISO 27002 5.14).

Las organizaciones deben mantener registros exhaustivos de cualquier medio de almacenamiento utilizado para procesar información confidencial, incluido:

• El tipo de medio que se va a enviar (HDD, USB, tarjeta SD, etc.).
• Cualquier remitente autorizado y cualquier personal interno autorizado a recibir medios.
• La fecha y hora de la transferencia.
• Cuántos medios se van a transferir.

Reutilización y eliminación

Durante todo el proceso de reutilización, reutilización o eliminación de medios de almacenamiento, las organizaciones deben:

• Asegúrese de que todos los medios estén formateados correctamente y que todas esas actividades estén documentadas minuciosamente (consulte Control ISO 27002 8.10).
• Asegúrese de que, cuando los activos de almacenamiento ya no sean necesarios, se eliminen de manera segura, incluida una investigación exhaustiva de los terceros involucrados en las actividades de eliminación, para garantizar que la organización cumpla con sus obligaciones con respecto al manejo de la PII.
• Identifique qué medios son adecuados para su reutilización o deben desecharse, especialmente cuando los dispositivos se hayan dañado o estén físicamente comprometidos de alguna manera.

Control de Acceso

ISO 27701 Cláusula 6.6.2.1 (Registro y baja de usuarios) y RGPD UE 5 (1)(f)

El registro de usuario se rige por el uso de 'identidades' asignadas. Las identidades proporcionan a las organizaciones un marco para regular el acceso de los usuarios a la PII y a los activos y materiales relacionados con la privacidad, dentro de los límites de una red.

La organización debe seguir seis puntos de orientación principales para garantizar que las identidades se gestionen correctamente y que la PII esté protegida dondequiera que se almacene, procese o se acceda a ella:

1. Cuando se asignan identidades a un ser humano, solo esa persona puede autenticarse y/o utilizar esa identidad al acceder a la PII.
2. Las identidades compartidas (varias personas registradas con la misma identidad) solo deben implementarse para satisfacer un conjunto único de requisitos operativos.
3. Las entidades no humanas deben considerarse y gestionarse de forma diferente a las identidades basadas en usuarios que acceden a PII y a material relacionado con la privacidad.
4. Las identidades deben eliminarse una vez que ya no sean necesarias, especialmente aquellas con acceso a PII o roles basados ​​en la privacidad.
5. Las organizaciones deben ceñirse a la regla de "una entidad, una identidad" al distribuir identidades en la red.
6. Los registros deben registrarse mediante documentación clara, que incluya marcas de tiempo, niveles de acceso e información de identidad.

Las organizaciones que trabajan en asociación con organizaciones externas (particularmente plataformas basadas en la nube) deben comprender los riesgos inherentes asociados con tales prácticas y tomar medidas para garantizar que la PII no se vea afectada negativamente en el proceso (consulte los Controles 27002 y 5.19 de ISO 5.17).

Compatible con controles ISO 27002

• ISO 27002 5.17
• ISO 27002 5.19

ISO 27701 Cláusula 6.6.2.2 (Provisión de acceso de usuarios) y RGPD UE 5 (1)(f)

Los 'derechos de acceso' rigen cómo se otorga y revoca el acceso a la PII y a la información relacionada con la privacidad, utilizando el mismo conjunto de principios rectores.

Concesión y revocación de derechos de acceso

Los procedimientos de acceso deben incluir:

• Permiso y autorización del propietario (o gestión) de la información o activo (ver ISO 27002 Control 5.9).
• Cualquier requisito comercial, legal u operativo vigente.
• Un reconocimiento de la necesidad de segregar funciones para mejorar la seguridad de la PII y construir una operación de protección de la privacidad más resiliente.
• Controles para revocar los derechos de acceso, cuando el acceso ya no es necesario (abandonos, etc.).
• Medidas de acceso a horarios para personal temporal o contratistas.
• Un registro centralizado de derechos de acceso otorgados a entidades humanas y no humanas.
• Medidas para modificar los derechos de acceso de cualquier personal o terceros contratistas que hayan cambiado de puesto de trabajo.

Revisar los derechos de acceso

Las organizaciones deben realizar revisiones periódicas de los derechos de acceso en toda la red, incluyendo:

• Incorporar la revocación de derechos de acceso en los procedimientos de baja de recursos humanos (consulte los controles ISO 27002 6.1 y 6.5) y los flujos de trabajo de cambio de roles.
• Solicitudes de derechos de acceso 'privilegiados'.

Gestión del cambio y salidas

El personal que abandona la organización (ya sea intencionalmente o como empleado despedido) y aquellos que son objeto de una solicitud de cambio deben modificar sus derechos de acceso con base en procedimientos sólidos de gestión de riesgos, que incluyen:

• La fuente del cambio/terminación, incluido el motivo subyacente.
• El puesto de trabajo actual del usuario y las responsabilidades adjuntas.
• La información y los activos a los que se puede acceder actualmente, incluidos sus niveles de riesgo y valor para la organización.

Orientación complementaria

Los contratos de trabajo y los contratos de contratista/servicio deben incluir una explicación de lo que sucede después de cualquier intento de acceso no autorizado (ver Controles ISO 27002 5.20, 6.2, 6.4, 6.6).

Compatible con controles ISO 27002

• ISO 27002 5.9
• ISO 27002 5.20
• ISO 27002 6.2
• ISO 27002 6.4
• ISO 27002 6.6

ISO 27701 Cláusula 6.6.4.2 (Procedimientos de inicio de sesión seguro) y RGPD UE 5 (1)(f)

La PII y los activos relacionados con la privacidad deben almacenarse en una red que cuente con una variedad de controles de autenticación, que incluyen:

• Autenticación multifactor (MFA).
• Certificados digitales.
• Tarjetas inteligentes/llaveros.
• Verificación biométrica.
• Fichas seguras.

Para prevenir y minimizar el riesgo de acceso no autorizado a la PII, las organizaciones deben:

1. Evite la visualización de PII en un monitor o dispositivo terminal hasta que el usuario se haya autenticado correctamente.
2. Ofrezca a los posibles usuarios una advertencia clara (antes de intentar iniciar sesión) que describa la naturaleza confidencial de los datos a los que están a punto de acceder.
3. Tenga cuidado de no brindar demasiada ayuda durante el proceso de autenticación (es decir, explicar qué parte de un intento fallido de inicio de sesión no es válida).
4. Implementar medidas de seguridad de mejores prácticas, que incluyen:
• Tecnología CAPTCHA.
• Forzar el restablecimiento de contraseñas y/o impedir temporalmente los inicios de sesión después de varios intentos fallidos.
5. Registre los intentos fallidos de inicio de sesión para su posterior análisis y/o difusión a los organismos encargados de hacer cumplir la ley.
6. Inicie un incidente de seguridad cada vez que se detecte una discrepancia importante en el inicio de sesión o la organización descubra una anomalía de autenticación que tenga el potencial de afectar la PII.
7. Transmita los registros de autenticación (que contienen el último intento de inicio de sesión y la información de inicio de sesión fallida) a una fuente de datos separada.
8. Solo envíe los datos de la contraseña como símbolos abstractos), a menos que el usuario tenga problemas de accesibilidad/visión.
9. Evite compartir todos y cada uno de los datos de autenticación.
10. Elimine las sesiones de inicio de sesión inactivas, especialmente cuando se utiliza PII en entornos de trabajo remotos o en activos BYOD.
11. Establezca un límite de tiempo para las sesiones autenticadas, especialmente aquellas que acceden activamente a PII.

Seguridad física y ambiental

ISO 27701 Cláusula 6.8.2.7 (Eliminación segura o reutilización de equipos) y RGPD UE 5 (1)(f)

La PII y la información relacionada con la privacidad están particularmente en riesgo cuando surge la necesidad de eliminar o reutilizar los activos de almacenamiento y procesamiento, ya sea internamente o en asociación con un proveedor externo especializado.

Por encima de todo, las organizaciones deben garantizar que cualquier medio de almacenamiento marcado para su eliminación que contenga PII debe ser físicamente destruido, borrado or sobrescrito (ver Control ISO 27002 7.10 y 8.10).

Para evitar que la PII se vea comprometida de alguna manera, al deshacerse o reutilizar activos, las organizaciones deben:

• Asegúrese de que todas las etiquetas se eliminen o modifiquen, según sea necesario, especialmente aquellas que indican la presencia de PII.
• Eliminar todos los controles de seguridad físicos y lógicos, cuando se desmantelen instalaciones o se trasladen locales, con vistas a su reutilización en una nueva ubicación.

Compatible con controles ISO 27002

• ISO 27002 7.10
• ISO 27002 8.10

ISO 27701 Cláusula 6.8.2.9 (política de escritorio y pantalla despejados) y RGPD UE 5 (1)(f)

La PII y la información relacionada con la privacidad están particularmente en riesgo cuando el personal descuidado y los contratistas externos no cumplen con las medidas de seguridad en el lugar de trabajo que protegen contra la visualización accidental o deliberada de la PII por parte de personal no autorizado.

Las organizaciones deben redactar políticas de escritorio y pantalla despejados específicas para cada tema (espacio de trabajo por espacio de trabajo, si es necesario) que incluyan:

• Ocultar de la vista casual, guardar bajo llave o almacenar de forma segura PII e información relacionada con la privacidad, cuando dicho material de datos no sea necesario.
• Mecanismos de bloqueo físico de los activos TIC.
• Controles de acceso digitales, como tiempos de espera de visualización, protectores de pantalla protegidos con contraseña y funciones de cierre de sesión automático.
• Impresión segura y recogida inmediata de documentos.
• Almacenamiento seguro y bajo llave de documentación confidencial y eliminación adecuada de dicho material cuando ya no sea necesario (trituración, servicios de eliminación de terceros, etc.).
• Tener en cuenta las vistas previas de mensajes (correo electrónico, SMS, recordatorios de calendario) que pueden proporcionar acceso a datos confidenciales; cada vez que se comparte o se ve una pantalla en un lugar público.
• Limpiar las pantallas físicas (p. ej., pizarras y tablones de anuncios) de información confidencial, cuando ya no sea necesaria.

Cuando las organizaciones abandonan colectivamente sus instalaciones (por ejemplo, durante un traslado de oficina o una reubicación similar), se deben hacer esfuerzos para garantizar que no se deje ninguna documentación, ya sea en escritorios y sistemas de archivo, o cualquiera que pueda haber caído en lugares oscuros.

Seguridad de operaciones

ISO 27701 Cláusula 6.9.3.1 (Copia de seguridad de la información) y RGPD UE 5 (1)(f)

Las organizaciones deben redactar políticas temáticas específicas que aborden directamente cómo la organización realiza copias de seguridad de las áreas relevantes de su red para salvaguardar la PII y mejorar la resiliencia contra incidentes relacionados con la privacidad.

Los procedimientos BUDR deben redactarse para lograr el objetivo principal de garantizar que todos Los datos, el software y los sistemas críticos para el negocio se pueden recuperar siguiendo De pérdida de datos, intrusión, interrupción del negocio y fallas críticas.

Como prioridad, los planes BUDR deberían:

• Describir los procedimientos de restauración que cubran todos los sistemas y servicios críticos.
• Ser capaz de producir copias viables de cualquier sistema, dato o aplicación que forme parte de un trabajo de respaldo.
• Atender los requisitos comerciales y operativos de la organización (ver ISO 27002 Control 5.30).
• Almacene las copias de seguridad en una ubicación ambientalmente protegida que esté físicamente separada de los datos de origen (consulte Control ISO 27002 8.1).
• Pruebe y evalúe periódicamente los trabajos de respaldo con respecto a los tiempos de recuperación exigidos por la organización para garantizar la disponibilidad de los datos.
• Cifre todos los datos de respaldo relacionados con PII.
• Vuelva a verificar si hay pérdida de datos antes de ejecutar una tarea de respaldo.
• Adhiérase a un sistema de informes que alerte al personal sobre el estado de los trabajos de respaldo.
• Buscar incorporar datos de plataformas basadas en la nube que no son administradas directamente por la organización, en trabajos de respaldo internos.
• Almacene las copias de seguridad de acuerdo con una política de retención de PII adecuada (consulte Control ISO 27002 8.10).

Orientación adicional específica sobre Pii

Las organizaciones deben desarrollar procedimientos separados que se ocupen únicamente de la PII (aunque contenidos dentro de su plan BUDR principal).

Se deben tener en cuenta las variaciones regionales en los estándares PII BUDR (contractuales, legales y regulatorios) cada vez que se crea un nuevo trabajo, se modifican trabajos o se agregan nuevos datos PII a la rutina BUDR.

Siempre que surja la necesidad de restaurar la PII después de un incidente BUDR, las organizaciones deben tener mucho cuidado para devolver la PII a su estado original y revisar las actividades de restauración para resolver cualquier problema con los nuevos datos.

Las organizaciones deben mantener un registro de la actividad de restauración, incluido el personal involucrado en la restauración, y una descripción de la PII que se ha restaurado.

Las organizaciones deben consultar con cualquier agencia legislativa o reguladora y asegurarse de que sus procedimientos de restauración de PII estén alineados con lo que se espera de ellos como procesadores y controladores de PII.

Compatible con controles ISO 27002

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 Cláusula 6.9.4.1 (Registro de eventos) y RGPD UE 5 (1)(f)

ISO define un 'evento' como cualquier acción realizada por una presencia/entidad digital o física en un sistema informático.

Los registros de eventos deben contener:

• Una identificación de usuario: quién o qué cuenta realizó las acciones.
• Un registro de la actividad del sistema.
• Marcas de tiempo.
• Identificadores de dispositivo y sistema, y ​​la ubicación del evento.
• información de la dirección IP.

Tipos de eventos

ISO identifica 11 eventos/componentes que requieren registro (y vinculados a la misma fuente de tiempo; consulte ISO 27002 Control 8.17), para mantener la seguridad de la PII y mejorar la protección de la privacidad de la organización:

1. Intentos de acceso al sistema.
2. Intentos de acceso a datos.
3. Intentos de acceso a recursos.
4. Cambios en la configuración del sistema operativo.
5. Privilegios elevados.
6. Programas de utilidades e instalaciones de mantenimiento (ver ISO 27002 Control 8.18).
7. Solicitudes de acceso a archivos y qué ocurrió (eliminación, migración, etc.).
8. Interrupciones críticas.
9. Actividades relacionadas con los sistemas de seguridad/antimalware.
10. Trabajo de administración de identidades (por ejemplo, altas y bajas de usuarios).
11. Actividades de sesión de aplicación seleccionadas.

Protección de registros

Los registros deben protegerse contra cambios no autorizados o anomalías operativas, que incluyen:

• Modificaciones del tipo de mensaje.
• Eliminación o edición.
• Sobrescritura debido a problemas de almacenamiento.

Las organizaciones deben utilizar las siguientes técnicas para mejorar la seguridad basada en registros:

• Hashing criptográfico.
• Grabación de solo agregar.
• Grabación de sólo lectura.
• Utilización de ficheros públicos de transparencia.

Cuando surge la necesidad de proporcionar registros a organizaciones externas, se deben tomar medidas estrictas para salvaguardar la PII y la información relacionada con la privacidad, de acuerdo con los estándares de privacidad de datos aceptados (consulte ISO 27002 Control 5.34 y orientación adicional a continuación).

Análisis de registros

Los registros deberán analizarse de vez en cuando para mejorar la protección de la privacidad en general y para resolver y prevenir violaciones de seguridad.

Al realizar análisis de registros, las organizaciones deben tener en cuenta:

• La experiencia del personal que realiza el análisis.
• El tipo, categoría y atributo de cada tipo de evento.
• Cualquier excepción que se aplique a través de reglas de red que surjan de plataformas y hardware de software de seguridad.
• Tráfico de red anómalo.
• Análisis de datos especializados.
• Inteligencia sobre amenazas disponible (ya sea internamente o de una fuente externa confiable).

Supervisión de registros

El monitoreo de registros ofrece a las organizaciones la oportunidad de proteger la PII en origen y fomentar un enfoque proactivo para la protección de la privacidad.

Las organizaciones deberían:

1. Revisar los intentos internos y externos de acceder a recursos seguros.
2. Analice los registros de DNS (e informes de uso de datos) para identificar el tráfico hacia y desde fuentes maliciosas.
3. Recopile registros de puntos de acceso físicos y dispositivos de seguridad del perímetro físico (sistemas de entrada, etc.).

Orientación adicional relacionada con la PII

ISO exige que las organizaciones supervisen los registros relacionados con la PII a través de un 'proceso de alerta y monitoreo continuo y automatizado'. Esto puede requerir un conjunto separado de procedimientos que monitoreen el acceso a la PII.

Las organizaciones deben garantizar que, como prioridad, los registros proporcionen una descripción clara del acceso a la PII, incluyendo:

• Quién accedió a los datos.
• Cuando se accedió a los datos.
• A qué PII del director se accedió.
• Cualquier cambio que se haya realizado.

Las organizaciones deberían decidir 'si, cuando y como' La información de registro de PII debe ponerse a disposición de los clientes, todos los criterios deben estar disponibles gratuitamente para los propios directores y se debe tener mucho cuidado para garantizar que los directores de PII solo puedan acceder a la información que les pertenece.

Compatible con controles ISO 27002

• ISO 27002 5.34
• ISO 27002 8.11
• ISO 27002 8.17
• ISO 27002 8.18

ISO 27701 Cláusula 6.9.4.2 (Protección de la información de registro) y RGPD UE 5 (1)(f)

Ver ISO 27701 Cláusula 6.9.4.1

Orientación adicional relacionada con la PII

Las organizaciones deben dedicar mucha atención a garantizar que los registros que contienen PII estén controlados adecuadamente y se beneficien de un monitoreo seguro.

Se deben implementar procedimientos automatizados que eliminen o "desidentifiquen" los registros, de acuerdo con una política de retención publicada (consulte Control ISO 27002 7.4.7).

Guía para controladores PII

ISO 27701 Cláusula 7.2.1 (Identificar y documentar el propósito) y EU GDPR 5 (1)(b)

Los directores de PII deben estar completamente familiarizados con las diversas razones por las cuales se procesa su PII.

Es responsabilidad de la organización transmitir estas razones a los directores de PII, junto con una "declaración clara" de por qué necesitan procesar su información.

Toda la documentación debe ser clara, completa y fácilmente comprensible para cualquier director de PII que la lea, incluido todo lo relacionado con el consentimiento, así como copias de los procedimientos internos (consulte las cláusulas 27701, 7.2.3 y 7.3.2 de ISO 7.2.8).

Respaldo de cláusulas ISO 27701

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 Cláusula 7.2.2 (Identificar base legal) y RGPD UE 5 (1)(a)

Para formar una base legal para el procesamiento de PII, las organizaciones deben:

• Busque el consentimiento de los directores de PII.
• Redactar un contrato.
• Cumplir con otras obligaciones legales diversas.
• Proteger los 'intereses vitales' de los distintos directores de PII.
• Garantizar que las tareas que se realizan sean de interés público.
• Confirmar que el procesamiento de PII es un interés legítimo.

Para cada punto mencionado anteriormente, las organizaciones deberían poder ofrecer confirmación documentada.

Las organizaciones también deben considerar cualquier "categoría especial" de PII que se relacione con su organización en su esquema de clasificación de datos (consulte la cláusula 27701 de ISO 7.2.8) (las clasificaciones pueden variar de una región a otra).

Si las organizaciones experimentan algún cambio en sus motivos subyacentes para procesar la PII, esto debe reflejarse inmediatamente en su base legal documentada.

Respaldo de cláusulas ISO 27701

• ISO 27701 7.2.8

ISO 27701 Cláusula 7.2.6 (Contratos con procesadores de PII) y EU GDPR 5 (2)

Las organizaciones deben celebrar contratos escritos y vinculantes con cualquier procesador de PII externo que utilice.

Cualquier contrato debe garantizar que el procesador de PII implemente toda la información requerida contenida en el Anexo B de ISO 27701, con especial atención a los controles de evaluación de riesgos (ISO 27701 Cláusula 5.4.1.2) y el alcance general de las actividades de procesamiento (consulte ISO 27701 Cláusula 6.12). ).

Las organizaciones deben poder justificar la omisión de cualquier control contenido en el Anexo B, en su relación con el procesador de PII (ver ISO 27701 Cláusula 5.4.1.3).

ISO 27701 Cláusula 7.2.8 (Registros relacionados con el procesamiento de PII) y EU GDPR 5 (2)

Las organizaciones deben mantener un conjunto completo de registros que respalden sus acciones y obligaciones como procesadores de PII.

Los registros (también conocidos como "listas de inventario") deben tener un propietario delegado y pueden incluir:

• Operativo: el tipo específico de procesamiento de PII que se está llevando a cabo.
• Justificaciones: por qué se procesa la PII.
• Categórico: listas de destinatarios de PII, incluidas organizaciones internacionales.
• Seguridad: una descripción general de cómo se protege la PII.
• Privacidad: es decir, un informe de evaluación del impacto sobre la privacidad.

ISO 27701 Cláusula 7.3.6 (Acceso, Corrección y/o Eliminación) y RGPD UE 5 (1)(d)

Las organizaciones deben redactar, documentar e implementar procedimientos que permitan a los directores de PII acceder, corregir y/o eliminar su PII.

Los procedimientos deben incluir mecanismos a través de los cuales el director de PII pueda realizar la acción anterior, incluida la forma en que la organización debe informar al director si no se pueden realizar correcciones.

Las organizaciones deben comprometerse a publicar un tiempo de respuesta para todas las solicitudes de acceso, corrección o eliminación.

Es de vital importancia comunicar cualquier solicitud de este tipo a terceros a los que se haya transferido PII (consulte la cláusula 27701 de ISO 7.3.7).

La capacidad de un director de PII para solicitar correcciones o eliminaciones está dictada por la jurisdicción en la que opera la organización. Como tal, las empresas deben mantenerse al tanto de cualquier cambio legal o regulatorio que rija sus obligaciones hacia la PII.

Respaldo de cláusulas ISO 27701

• ISO 27701 7.3.7

Privacidad por diseño y privacidad por defecto

ISO 27701 Cláusula 7.4.1 (Cobro de límites) y RGPD UE 5 (1)(b) y (1)(c)

Las organizaciones deben limitar su recopilación de PII en función de tres factores:

1. Pertinencia.
2. Proporcionalidad.
3. Necesidad.

Las organizaciones solo deben recopilar PII, ya sea directa o indirectamente, de acuerdo con los factores anteriores, y solo para fines que sean relevantes y necesarios para el propósito declarado.

Como concepto, se debe respetar la 'privacidad por defecto', es decir, cualquier función opcional debe estar desactivada de forma predeterminada.

ISO 27701 Cláusula 7.4.3 (Precisión y calidad) y RGPD UE 5 (1)(d)

Las organizaciones deben tomar medidas para garantizar que la PII sea precisa, completa y actualizada durante todo su ciclo de vida.

Las políticas de seguridad de la información organizacional y las configuraciones técnicas deben contener pasos que busquen minimizar los errores a lo largo de su operación de procesamiento de PII, incluidos controles sobre cómo responder a las imprecisiones.

ISO 27701 Cláusula 7.4.4 (Objetivos de minimización de PII) y RGPD UE 5 (1)(c) y (1)(e)

Las organizaciones necesitan construir procedimientos de "minimización de datos", incluidos mecanismos como la desidentificación.

Se debe utilizar la minimización de datos para garantizar que la recopilación y el procesamiento de PII se limiten al "propósito identificado" de cada función (ver ISO 27701 Cláusula 7.2.1).

Una gran parte de este proceso implica documentar en qué medida la información de los principales de una PII debe ser directamente atribuible a ellos y cómo se debe lograr la minimización a través de una variedad de métodos disponibles.

Las organizaciones deben describir las técnicas específicas que utilizan para desidentificar a los directores de PII, tales como:

1. Aleatorización.
2. Adición de ruido.
3. Generalización.
4. Eliminación de atributos.

Respaldo de cláusulas ISO 27701

• ISO 27701 7.2.1

ISO 27701 Cláusula 7.4.5 (Desidentificación de PII y eliminación al final del procesamiento) y RGPD UE 5 (1)(c) y (1)(e)

Las organizaciones deben destruir por completo cualquier PII que ya no cumpla un propósito o modificarla de manera que impida cualquier forma de identificación principal.

Tan pronto como la organización establezca que no es necesario procesar la PII en ningún momento en el futuro, la información debe ser borrado or desidentificado, según lo dicten las circunstancias.

ISO 27701 Cláusula 7.4.6 (Archivos temporales) y RGPD UE 5 (1)(c)

Los archivos temporales se crean por diversas razones técnicas, durante todo el ciclo de vida de procesamiento y recopilación de PII, en numerosas aplicaciones, sistemas y plataformas de seguridad.

Las organizaciones deben asegurarse de que estos archivos se destruyan dentro de un período de tiempo razonable, de acuerdo con una política de retención oficial.

Una forma sencilla de identificar la existencia de dichos archivos es realizar comprobaciones periódicas de los archivos temporales en la red. Los archivos temporales suelen incluir:

• Archivos de actualización de bases de datos.
• Información almacenada en caché.
• Archivos creados por aplicaciones y paquetes de software personalizados.

Las organizaciones deben adherirse a un llamado procedimiento de recolección de basura que elimina archivos temporales cuando ya no son necesarios.

ISO 27701 Cláusula 7.4.8 (Eliminación) y RGPD UE 5 (1)(f)

Las organizaciones deben tener políticas y procedimientos claros que regulen cómo se elimina la PII.

La eliminación de datos es un tema amplio que presenta una serie de variables diferentes, según la técnica de eliminación requerida y la naturaleza de los datos que se eliminan.

Las organizaciones deben considerar:

• Qué incluye la PII.
• Cualquier metadato residual que deba borrarse junto con los datos principales.
• El tipo de medio de almacenamiento en el que se guarda la PII.

ISO 27701 Cláusula 7.4.9 (Controles de transmisión PII) y RGPD UE 5 (1)(f)

Cualquier PII que vaya a transferirse a una organización externa debe hacerse con el máximo cuidado con la información que se envía, utilizando medios seguros.

Las organizaciones deben asegurarse de que solo el personal autorizado pueda acceder a los sistemas de transmisión, y lo hacen de una manera que sea fácilmente auditable con el único propósito de llevar la información a donde necesita ir sin incidentes.

Guía para procesadores de PII

ISO 27701 Cláusula 8.2.2 (Fines organizativos) y RGPD UE 5 (1)(a) y (1)(b)

Desde el principio, la PII sólo debe procesarse de acuerdo con las instrucciones del cliente.

Los contratos deben incluir SLA relacionados con objetivos mutuos y cualquier escala de tiempo asociada en la que deban completarse.

Las organizaciones deben reconocer su derecho a elegir los distintos métodos que se utilizan para procesar la PII, que logren legalmente lo que el cliente busca, pero sin la necesidad de obtener permisos granulares sobre cómo la organización lo hace a nivel técnico.

ISO 27701 Cláusula 8.4.1 (Archivos temporales) y RGPD UE 5 (1)(c)

Las organizaciones deben garantizar que los archivos temporales se destruyan en un período de tiempo razonable, de acuerdo con una política de retención oficial y procedimientos de eliminación claros.

Una forma sencilla de identificar la existencia de dichos archivos es realizar comprobaciones periódicas de los archivos temporales en la red.

Las organizaciones deben adherirse a un llamado procedimiento de recolección de basura que elimina archivos temporales cuando ya no son necesarios.

ISO 27701 Cláusula 8.4.3 (Controles de PII) y RGPD UE 5 (1)(f)

Siempre que surge la necesidad de transmitir PII a través de una red de datos (incluido un enlace dedicado), las organizaciones deben preocuparse por garantizar que la PII llegue a los destinatarios correctos de manera oportuna.

Al transferir PII entre redes de datos, las organizaciones deben:

• Asegúrese de que solo las personas autorizadas puedan realizar la transferencia.
• Cumpla con los procedimientos publicados que rigen la transferencia de PII de la organización a un tercero.
• Conserve todos los datos de auditoría.
• Incluir los requisitos de transmisión en el contrato del cliente.
• Consultar con el cliente antes de realizar cualquier transferencia, si no existen estipulaciones escritas o contractuales.

Compatible con las cláusulas ISO 27701 y los controles ISO 27002

Cómo ayuda ISMS.online

Su solución GDPR completa.

Un entorno prediseñado que se adapta perfectamente a su sistema de gestión le permite describir y demostrar su enfoque para proteger los datos de los clientes europeos y británicos.

Con ISMS.online, puede pasar directamente al cumplimiento del RGPD y demostrar niveles de protección que van más allá de lo "razonable", todo en una ubicación segura y siempre disponible.

En combinación con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', la plataforma ISMS.online ofrece orientación integrada en cada paso, lo que reduce el esfuerzo necesario para demostrar el cumplimiento del RGPD. También tendrá a su disposición una serie de potentes funciones que le permitirán ahorrar tiempo.

Descubre más por reservando una breve demostración de 30 minutos.