RGPD El artículo 5 contiene la mayor cantidad de información que debe considerarse desde la perspectiva de ISO.
El artículo 5 puede verse en gran medida como un conjunto de principios subyacentes que se encuentran en toda la legislación del Reino Unido y de la UE y abarcan numerosas áreas diferentes de cumplimiento, que incluyen:
Las organizaciones deben estar completamente familiarizadas con el Artículo 5 para comprender mejor los matices sutiles que presenta el RGPD en otras áreas de la legislación.
Principios relacionados con el procesamiento de datos personales
- Los datos personales serán:
- (a) procesados de manera legal, justa y transparente en relación con el interesado ("licitud, equidad y transparencia");
- (b) recopilados para fines específicos, explícitos y legítimos y no procesados posteriormente de manera incompatible con esos fines; el procesamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, no se considerará incompatible con los fines iniciales ("limitación de fines");
- (c) adecuados, relevantes y limitados a lo necesario en relación con los fines para los que se procesan ('minimización de datos');
- d) ser exactos y, cuando sea necesario, actualizados; se deben tomar todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se procesan, se eliminen o rectifiquen sin demora ("exactitud");
- (e) conservarse en una forma que permita la identificación de los interesados durante el tiempo necesario para los fines para los cuales se procesan los datos personales; Los datos personales podrán almacenarse durante períodos más prolongados en la medida en que los datos personales se procesen únicamente con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos de conformidad con el artículo 89, apartado 1, sujeto a la implementación de las medidas técnicas y organizativas apropiadas. medidas requeridas por el presente Reglamento para salvaguardar los derechos y libertades del interesado ("limitación de almacenamiento");
- (f) procesados de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, utilizando medidas técnicas u organizativas apropiadas ("integridad y confidencialidad");
- El responsable del tratamiento será responsable del apartado 1 («responsabilidad») y podrá demostrar su cumplimiento.
Desde una perspectiva técnica, el Artículo 5 proporciona en gran medida el marco legal dentro del cual las organizaciones deben operar, para seguir cumpliendo, a través de seis principios rectores:
Aunque increíblemente vaga, la "imparcialidad" es un requisito general del RGPD y sirve como herramienta interpretativa para situaciones que pueden no violar la letra de la ley, pero que claramente no son "justas" desde la perspectiva de un individuo y sus derechos.
La 'transparencia' requiere que el interesado tenga pleno conocimiento del tratamiento de sus datos. El RGPD exige que la información proporcionada al interesado se entregue en un plazo razonable, sea fácilmente accesible y esté libre de errores.
El artículo 5 del RGPD establece que cualquier dato personal recopilado debe limitarse a fines muy específicos y legítimos, y no debe reapropiarse para ningún fin distinto al previsto originalmente.
La minimización de datos según el artículo 5 del RGPD se define en dos términos: "procesamiento" y "finalidad". Esencialmente, las organizaciones deben asegurarse de procesar datos solo al nivel mínimo para cumplir su propósito inicial.
Los datos deben mantenerse precisos y actualizados en todo momento. Si se determina que los datos son inexactos, el artículo 5 establece que las organizaciones deben tomar "medidas razonables" para rectificar cualquier error que se haya cometido. En general, los individuos deben estar representados adecuadamente por los datos que contienen, de modo que cualquier decisión que se tome no se tome basándose en una impresión falsa de quiénes son.
Las organizaciones deben ser conscientes del hecho de que las operaciones de procesamiento no deberían durar para siempre. Una vez que se cumple un conjunto inicial de objetivos, el procesamiento de datos debe detenerse. Para lograr esto, las organizaciones deben definir tiempos de almacenamiento antes de procesar cualquier dato.
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
Las operaciones de transferencia de información deberían:
Al utilizar servicios de transferencia electrónica, las organizaciones deben:
Al transferir medios físicos (incluidos documentos en papel) entre instalaciones o ubicaciones externas, las organizaciones deben:
La transmisión verbal de información confidencial presenta un riesgo de seguridad único, particularmente en lo que respecta a la PII y la protección de la privacidad.
Las organizaciones deben recordar a los empleados que:
Las organizaciones deben utilizar acuerdos de confidencialidad (NDA) y acuerdos de confidencialidad para proteger la divulgación intencional o accidental de información confidencial a personal no autorizado.
Al redactar, implementar y mantener dichos acuerdos, las organizaciones deberían:
Las leyes de confidencialidad varían de una jurisdicción a otra, y las organizaciones deben considerar sus propias obligaciones legales y regulatorias al redactar NDA y acuerdos de confidencialidad (ver Controles ISO 27002 5.31, 5.32, 5.33 y 5.34).
Los procedimientos de seguridad de las aplicaciones deben desarrollarse junto con políticas más amplias de protección de la privacidad, generalmente a través de una evaluación de riesgos estructurada que tenga en cuenta múltiples variables.
Los requisitos de seguridad de las aplicaciones deben incluir:
Los servicios transaccionales que facilitan el flujo de datos de privacidad entre la organización y una organización tercera u organización asociada deben:
Para cualquier aplicación que implique pedidos y/o pagos electrónicos, las organizaciones deben:
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
Desde la migración, hemos podido reducir el tiempo dedicado a la administración.
Las organizaciones deben seleccionar cuidadosamente los datos de prueba para garantizar que la actividad de prueba sea confiable y segura. Las organizaciones deben prestar especial atención para garantizar que la PII no se copie en los entornos de desarrollo y prueba.
Para proteger los datos operativos durante las actividades de prueba, las organizaciones deben:
Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.
Al hacerlo, las organizaciones deberían:
Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.
Para crear una política de gestión de incidentes cohesiva y altamente funcional que salvaguarde la disponibilidad y la integridad de la información privada durante incidentes críticos, las organizaciones deben:
El personal involucrado en incidentes de seguridad de la información privada debe comprender:
Al abordar eventos de seguridad de la información de privacidad, el personal debe:
Las actividades de presentación de informes deben centrarse en cuatro áreas clave:
Sentimos que teníamos
lo mejor de ambos mundos. Éramos
capaz de utilizar nuestro
procesos existentes,
y el Adoptar, Adaptar
El contenido nos dio nuevos
profundidad a nuestro SGSI.
Las organizaciones deben cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales cuando:
Las organizaciones deben seguir procedimientos que les permitan Identifique, analizar y entender obligaciones legislativas y regulatorias, especialmente aquellas que se refieren a la protección de la privacidad y la PII, dondequiera que operen.
Las organizaciones deben ser continuamente conscientes de sus obligaciones de protección de la privacidad cada vez que celebren nuevos acuerdos con terceros, proveedores y contratistas.
Al implementar métodos de cifrado para reforzar la protección de la privacidad y salvaguardar la PII, las organizaciones deben:
Las organizaciones deben considerar la gestión de registros en 4 áreas clave:
Para mantener un sistema de registros funcional que proteja la PII y la información relacionada con la privacidad, las organizaciones deben:
Las organizaciones deben implementar políticas temáticas específicas que aborden diferentes categorías de dispositivos terminales y versiones de software de dispositivos móviles, y cómo se deben adaptar los controles de seguridad para mejorar la seguridad de los datos.
La política, los procedimientos y las medidas de seguridad de apoyo de una organización sobre dispositivos móviles deben tener en cuenta:
Todos los miembros de la organización que utilizan el acceso remoto deben conocer explícitamente cualquier política y procedimiento de dispositivos móviles que se les aplique en el contexto de la gestión segura de dispositivos terminales.
Se debe indicar a los usuarios que:
Las organizaciones que permiten que el personal utilice dispositivos de propiedad personal también deben considerar los siguientes controles de seguridad:
Al redactar procedimientos relacionados con la conectividad inalámbrica en dispositivos terminales, las organizaciones deberían:
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
En lugar de poner toda la información en pie de igualdad, las organizaciones deberían clasificar la información según un tema específico.
Los propietarios de la información deben considerar cuatro factores clave al clasificar los datos (especialmente los relacionados con la PII), que deben revisarse periódicamente o cuando dichos factores cambien:
Para proporcionar un marco operativo claro, las categorías de información deben nombrarse de acuerdo con el nivel de riesgo inherente, en caso de que ocurra algún incidente que comprometa cualquiera de los factores anteriores.
Para garantizar la compatibilidad entre plataformas, las organizaciones deben poner sus categorías de información a disposición de cualquier personal externo con el que compartan información y garantizar que todas las partes relevantes comprendan ampliamente el propio esquema de clasificación de la organización.
Las organizaciones deben tener cuidado con la subclasificación o, por el contrario, la sobreclasificación de datos. Lo primero puede dar lugar a errores al agrupar la PII con tipos de datos menos sensibles, mientras que lo primero a menudo genera gastos adicionales, una mayor probabilidad de errores humanos y anomalías en el procesamiento.
Las etiquetas son una parte clave para garantizar que se cumpla la política de clasificación de PII de la organización (ver arriba) y que los datos puedan identificarse claramente de acuerdo con su sensibilidad (por ejemplo, que la PII se etiquete para distinguirla de tipos de datos menos confidenciales).
Los procedimientos de etiquetado de PII deben definir:
ISO ofrece un amplio margen para que las organizaciones elijan sus propias técnicas de etiquetado, que incluyen:
Al desarrollar políticas que gobiernen el manejo de los activos de medios involucrados en el almacenamiento de PII, las organizaciones deben:
Al reutilizar, reutilizar o desechar medios de almacenamiento, se deben implementar procedimientos sólidos para garantizar que la PII no se vea afectada de ninguna manera, incluidos:
Si los dispositivos que se han utilizado para almacenar PII se dañan, las organizaciones deben considerar cuidadosamente si es más apropiado destruir dichos medios o enviarlos a reparación (errando por el lado del primero).
See ISO 27701 Cláusula 6.5.3.1
Si los medios van a eliminar esa PII que anteriormente tenían, las organizaciones deben implementar procedimientos que documenten la destrucción de la PII y los datos relacionados con la privacidad, incluidas garantías categóricas de que ya no están disponibles.
Al implementar políticas relacionadas con medios extraíbles, las organizaciones deben:
Las organizaciones deben mantener registros exhaustivos de cualquier medio de almacenamiento utilizado para procesar información confidencial, incluido:
Durante todo el proceso de reutilización, reutilización o eliminación de medios de almacenamiento, las organizaciones deben:
El registro de usuario se rige por el uso de 'identidades' asignadas. Las identidades proporcionan a las organizaciones un marco para regular el acceso de los usuarios a la PII y a los activos y materiales relacionados con la privacidad, dentro de los límites de una red.
La organización debe seguir seis puntos de orientación principales para garantizar que las identidades se gestionen correctamente y que la PII esté protegida dondequiera que se almacene, procese o se acceda a ella:
Las organizaciones que trabajan en asociación con organizaciones externas (particularmente plataformas basadas en la nube) deben comprender los riesgos inherentes asociados con tales prácticas y tomar medidas para garantizar que la PII no se vea afectada negativamente en el proceso (consulte los Controles 27002 y 5.19 de ISO 5.17).
Nuestro reciente éxito al lograr la certificación ISO 27001, 27017 y 27018 se debió en gran parte a ISMS.online.
Los 'derechos de acceso' rigen cómo se otorga y revoca el acceso a la PII y a la información relacionada con la privacidad, utilizando el mismo conjunto de principios rectores.
Los procedimientos de acceso deben incluir:
Las organizaciones deben realizar revisiones periódicas de los derechos de acceso en toda la red, incluyendo:
El personal que abandona la organización (ya sea intencionalmente o como empleado despedido) y aquellos que son objeto de una solicitud de cambio deben modificar sus derechos de acceso con base en procedimientos sólidos de gestión de riesgos, que incluyen:
Los contratos de trabajo y los contratos de contratista/servicio deben incluir una explicación de lo que sucede después de cualquier intento de acceso no autorizado (ver Controles ISO 27002 5.20, 6.2, 6.4, 6.6).
La PII y los activos relacionados con la privacidad deben almacenarse en una red que cuente con una variedad de controles de autenticación, que incluyen:
Para prevenir y minimizar el riesgo de acceso no autorizado a la PII, las organizaciones deben:
La PII y la información relacionada con la privacidad están particularmente en riesgo cuando surge la necesidad de eliminar o reutilizar los activos de almacenamiento y procesamiento, ya sea internamente o en asociación con un proveedor externo especializado.
Por encima de todo, las organizaciones deben garantizar que cualquier medio de almacenamiento marcado para su eliminación que contenga PII debe ser físicamente destruido, borrado or sobrescrito (ver Control ISO 27002 7.10 y 8.10).
Para evitar que la PII se vea comprometida de alguna manera, al deshacerse o reutilizar activos, las organizaciones deben:
La PII y la información relacionada con la privacidad están particularmente en riesgo cuando el personal descuidado y los contratistas externos no cumplen con las medidas de seguridad en el lugar de trabajo que protegen contra la visualización accidental o deliberada de la PII por parte de personal no autorizado.
Las organizaciones deben redactar políticas de escritorio y pantalla despejados específicas para cada tema (espacio de trabajo por espacio de trabajo, si es necesario) que incluyan:
Cuando las organizaciones abandonan colectivamente sus instalaciones (por ejemplo, durante un traslado de oficina o una reubicación similar), se deben hacer esfuerzos para garantizar que no se deje ninguna documentación, ya sea en escritorios y sistemas de archivo, o cualquiera que pueda haber caído en lugares oscuros.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Tómate 30 minutos para ver cómo ISMS.online te ahorra horas (¡y horas!)
Agende una reuniónLas organizaciones deben redactar políticas temáticas específicas que aborden directamente cómo la organización realiza copias de seguridad de las áreas relevantes de su red para salvaguardar la PII y mejorar la resiliencia contra incidentes relacionados con la privacidad.
Los procedimientos BUDR deben redactarse para lograr el objetivo principal de garantizar que todos Los datos, el software y los sistemas críticos para el negocio se pueden recuperar siguiendo De pérdida de datos, intrusión, interrupción del negocio y fallas críticas.
Como prioridad, los planes BUDR deberían:
Las organizaciones deben desarrollar procedimientos separados que se ocupen únicamente de la PII (aunque contenidos dentro de su plan BUDR principal).
Se deben tener en cuenta las variaciones regionales en los estándares PII BUDR (contractuales, legales y regulatorios) cada vez que se crea un nuevo trabajo, se modifican trabajos o se agregan nuevos datos PII a la rutina BUDR.
Siempre que surja la necesidad de restaurar la PII después de un incidente BUDR, las organizaciones deben tener mucho cuidado para devolver la PII a su estado original y revisar las actividades de restauración para resolver cualquier problema con los nuevos datos.
Las organizaciones deben mantener un registro de la actividad de restauración, incluido el personal involucrado en la restauración, y una descripción de la PII que se ha restaurado.
Las organizaciones deben consultar con cualquier agencia legislativa o reguladora y asegurarse de que sus procedimientos de restauración de PII estén alineados con lo que se espera de ellos como procesadores y controladores de PII.
ISO define un 'evento' como cualquier acción realizada por una presencia/entidad digital o física en un sistema informático.
Los registros de eventos deben contener:
ISO identifica 11 eventos/componentes que requieren registro (y vinculados a la misma fuente de tiempo; consulte ISO 27002 Control 8.17), para mantener la seguridad de la PII y mejorar la protección de la privacidad de la organización:
Los registros deben protegerse contra cambios no autorizados o anomalías operativas, que incluyen:
Las organizaciones deben utilizar las siguientes técnicas para mejorar la seguridad basada en registros:
Cuando surge la necesidad de proporcionar registros a organizaciones externas, se deben tomar medidas estrictas para salvaguardar la PII y la información relacionada con la privacidad, de acuerdo con los estándares de privacidad de datos aceptados (consulte ISO 27002 Control 5.34 y orientación adicional a continuación).
Los registros deberán analizarse de vez en cuando para mejorar la protección de la privacidad en general y para resolver y prevenir violaciones de seguridad.
Al realizar análisis de registros, las organizaciones deben tener en cuenta:
El monitoreo de registros ofrece a las organizaciones la oportunidad de proteger la PII en origen y fomentar un enfoque proactivo para la protección de la privacidad.
Las organizaciones deberían:
ISO exige que las organizaciones supervisen los registros relacionados con la PII a través de un 'proceso de alerta y monitoreo continuo y automatizado'. Esto puede requerir un conjunto separado de procedimientos que monitoreen el acceso a la PII.
Las organizaciones deben garantizar que, como prioridad, los registros proporcionen una descripción clara del acceso a la PII, incluyendo:
Las organizaciones deberían decidir 'si, cuando y como' La información de registro de PII debe ponerse a disposición de los clientes, todos los criterios deben estar disponibles gratuitamente para los propios directores y se debe tener mucho cuidado para garantizar que los directores de PII solo puedan acceder a la información que les pertenece.
Ver ISO 27701 Cláusula 6.9.4.1
Las organizaciones deben dedicar mucha atención a garantizar que los registros que contienen PII estén controlados adecuadamente y se beneficien de un monitoreo seguro.
Se deben implementar procedimientos automatizados que eliminen o "desidentifiquen" los registros, de acuerdo con una política de retención publicada (consulte Control ISO 27002 7.4.7).
Los directores de PII deben estar completamente familiarizados con las diversas razones por las cuales se procesa su PII.
Es responsabilidad de la organización transmitir estas razones a los directores de PII, junto con una "declaración clara" de por qué necesitan procesar su información.
Toda la documentación debe ser clara, completa y fácilmente comprensible para cualquier director de PII que la lea, incluido todo lo relacionado con el consentimiento, así como copias de los procedimientos internos (consulte las cláusulas 27701, 7.2.3 y 7.3.2 de ISO 7.2.8).
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
ISMS.online le ahorrará tiempo y dinero
Obtenga su cotizaciónPara formar una base legal para el procesamiento de PII, las organizaciones deben:
Para cada punto mencionado anteriormente, las organizaciones deberían poder ofrecer confirmación documentada.
Las organizaciones también deben considerar cualquier "categoría especial" de PII que se relacione con su organización en su esquema de clasificación de datos (consulte la cláusula 27701 de ISO 7.2.8) (las clasificaciones pueden variar de una región a otra).
Si las organizaciones experimentan algún cambio en sus motivos subyacentes para procesar la PII, esto debe reflejarse inmediatamente en su base legal documentada.
Las organizaciones deben celebrar contratos escritos y vinculantes con cualquier procesador de PII externo que utilice.
Cualquier contrato debe garantizar que el procesador de PII implemente toda la información requerida contenida en el Anexo B de ISO 27701, con especial atención a los controles de evaluación de riesgos (ISO 27701 Cláusula 5.4.1.2) y el alcance general de las actividades de procesamiento (consulte ISO 27701 Cláusula 6.12). ).
Las organizaciones deben poder justificar la omisión de cualquier control contenido en el Anexo B, en su relación con el procesador de PII (ver ISO 27701 Cláusula 5.4.1.3).
Las organizaciones deben mantener un conjunto completo de registros que respalden sus acciones y obligaciones como procesadores de PII.
Los registros (también conocidos como "listas de inventario") deben tener un propietario delegado y pueden incluir:
Las organizaciones deben redactar, documentar e implementar procedimientos que permitan a los directores de PII acceder, corregir y/o eliminar su PII.
Los procedimientos deben incluir mecanismos a través de los cuales el director de PII pueda realizar la acción anterior, incluida la forma en que la organización debe informar al director si no se pueden realizar correcciones.
Las organizaciones deben comprometerse a publicar un tiempo de respuesta para todas las solicitudes de acceso, corrección o eliminación.
Es de vital importancia comunicar cualquier solicitud de este tipo a terceros a los que se haya transferido PII (consulte la cláusula 27701 de ISO 7.3.7).
La capacidad de un director de PII para solicitar correcciones o eliminaciones está dictada por la jurisdicción en la que opera la organización. Como tal, las empresas deben mantenerse al tanto de cualquier cambio legal o regulatorio que rija sus obligaciones hacia la PII.
Las organizaciones deben limitar su recopilación de PII en función de tres factores:
Las organizaciones solo deben recopilar PII, ya sea directa o indirectamente, de acuerdo con los factores anteriores, y solo para fines que sean relevantes y necesarios para el propósito declarado.
Como concepto, se debe respetar la 'privacidad por defecto', es decir, cualquier función opcional debe estar desactivada de forma predeterminada.
Las organizaciones deben tomar medidas para garantizar que la PII sea precisa, completa y actualizada durante todo su ciclo de vida.
Las políticas de seguridad de la información organizacional y las configuraciones técnicas deben contener pasos que busquen minimizar los errores a lo largo de su operación de procesamiento de PII, incluidos controles sobre cómo responder a las imprecisiones.
Las organizaciones necesitan construir procedimientos de "minimización de datos", incluidos mecanismos como la desidentificación.
Se debe utilizar la minimización de datos para garantizar que la recopilación y el procesamiento de PII se limiten al "propósito identificado" de cada función (ver ISO 27701 Cláusula 7.2.1).
Una gran parte de este proceso implica documentar en qué medida la información de los principales de una PII debe ser directamente atribuible a ellos y cómo se debe lograr la minimización a través de una variedad de métodos disponibles.
Las organizaciones deben describir las técnicas específicas que utilizan para desidentificar a los directores de PII, tales como:
Las organizaciones deben destruir por completo cualquier PII que ya no cumpla un propósito o modificarla de manera que impida cualquier forma de identificación principal.
Tan pronto como la organización establezca que no es necesario procesar la PII en ningún momento en el futuro, la información debe ser borrado or desidentificado, según lo dicten las circunstancias.
Los archivos temporales se crean por diversas razones técnicas, durante todo el ciclo de vida de procesamiento y recopilación de PII, en numerosas aplicaciones, sistemas y plataformas de seguridad.
Las organizaciones deben asegurarse de que estos archivos se destruyan dentro de un período de tiempo razonable, de acuerdo con una política de retención oficial.
Una forma sencilla de identificar la existencia de dichos archivos es realizar comprobaciones periódicas de los archivos temporales en la red. Los archivos temporales suelen incluir:
Las organizaciones deben adherirse a un llamado procedimiento de recolección de basura que elimina archivos temporales cuando ya no son necesarios.
Las organizaciones deben tener políticas y procedimientos claros que regulen cómo se elimina la PII.
La eliminación de datos es un tema amplio que presenta una serie de variables diferentes, según la técnica de eliminación requerida y la naturaleza de los datos que se eliminan.
Las organizaciones deben considerar:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Cualquier PII que vaya a transferirse a una organización externa debe hacerse con el máximo cuidado con la información que se envía, utilizando medios seguros.
Las organizaciones deben asegurarse de que solo el personal autorizado pueda acceder a los sistemas de transmisión, y lo hacen de una manera que sea fácilmente auditable con el único propósito de llevar la información a donde necesita ir sin incidentes.
Desde el principio, la PII sólo debe procesarse de acuerdo con las instrucciones del cliente.
Los contratos deben incluir SLA relacionados con objetivos mutuos y cualquier escala de tiempo asociada en la que deban completarse.
Las organizaciones deben reconocer su derecho a elegir los distintos métodos que se utilizan para procesar la PII, que logren legalmente lo que el cliente busca, pero sin la necesidad de obtener permisos granulares sobre cómo la organización lo hace a nivel técnico.
Las organizaciones deben garantizar que los archivos temporales se destruyan en un período de tiempo razonable, de acuerdo con una política de retención oficial y procedimientos de eliminación claros.
Una forma sencilla de identificar la existencia de dichos archivos es realizar comprobaciones periódicas de los archivos temporales en la red.
Las organizaciones deben adherirse a un llamado procedimiento de recolección de basura que elimina archivos temporales cuando ya no son necesarios.
Siempre que surge la necesidad de transmitir PII a través de una red de datos (incluido un enlace dedicado), las organizaciones deben preocuparse por garantizar que la PII llegue a los destinatarios correctos de manera oportuna.
Al transferir PII entre redes de datos, las organizaciones deben:
Artículo del RGPD | Cláusula ISO 27701 | Controles ISO 27002 |
---|---|---|
Artículo 5, apartado 1, letra f) del RGPD UE | 6.10.2.1 | 5.13 8.7 8.24 |
Artículo 5(1) del RGPD UE | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.11.1.2 | 5.17 8.2 8.5 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.11.3.1 | 8.10 8.11 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.15.1.1 | 5.20 |
Artículo 5 (2) del RGPD UE | 6.15.1.3 | Ninguna |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.3.2.1 | 8.9 8.16 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.5.2.1 | Ninguna |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.5.2.2 | Ninguna |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.5.3.1 | 5.14 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.5.3.2 | 5.14 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.6.2.1 | 5.17 5.19 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.6.4.2 | Ninguna |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.8.2.7 | 7.10 8.10 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.8.2.9 | Ninguna |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.9.3.1 | 5.30 8.1 8.10 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
Artículo 5, apartado 1, letra f) del RGPD UE | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
Artículo 5, apartado 1, letra b) del RGPD UE | 7.2.1 | Ninguna |
Artículo 5, apartado 1, letra a) del RGPD UE | 7.2.2 | Ninguna |
Artículo 5 (2) del RGPD UE | 7.2.8 | Ninguna |
Artículo 5, apartado 1, letra d) del RGPD UE | 7.3.6 | Ninguna |
Artículo 5, apartado 1, letra b) del RGPD UE | 7.4.1 | Ninguna |
Artículo 5, apartado 1, letra d) del RGPD UE | 7.4.3 | Ninguna |
Artículo 5, apartado 1, letra c) del RGPD UE | 7.4.4 | Ninguna |
Artículo 5 (1)(c) y 5 (1)(e) del RGPD UE | 7.4.5 | Ninguna |
Artículo 5, apartado 1, letra c) del RGPD UE | 7.4.6 | Ninguna |
Artículo 5, apartado 1, letra f) del RGPD UE | 7.4.8 | Ninguna |
Artículo 5, apartado 1, letra f) del RGPD UE | 7.4.9 | Ninguna |
Artículo 5 (1)(a) y 5 (1)(b) del RGPD UE | 8.2.2 | Ninguna |
Artículo 5, apartado 1, letra c) del RGPD UE | 8.4.1 | Ninguna |
Artículo 5, apartado 1, letra f) del RGPD UE | 8.4.3 | Ninguna |
Su solución GDPR completa.
Un entorno prediseñado que se adapta perfectamente a su sistema de gestión le permite describir y demostrar su enfoque para proteger los datos de los clientes europeos y británicos.
Con ISMS.online, puede pasar directamente al cumplimiento del RGPD y demostrar niveles de protección que van más allá de lo "razonable", todo en una ubicación segura y siempre disponible.
En combinación con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', la plataforma ISMS.online ofrece orientación integrada en cada paso, lo que reduce el esfuerzo necesario para demostrar el cumplimiento del RGPD. También tendrá a su disposición una serie de potentes funciones que le permitirán ahorrar tiempo.
Descubre más por reservando una breve demostración de 30 minutos.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Descubra la mejor manera de lograr el éxito del SGSI
Obtén tu guía gratis