Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.4.10: Controles de transmisión PII

El control A.1.4.10 exige que las organizaciones sometan la información de identificación personal (IIP) transmitida a través de redes de transmisión de datos a los controles adecuados, diseñados para garantizar que los datos lleguen a su destino previsto. Aquí es donde la gestión de la privacidad se une a la seguridad de la información.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.4.10?

La organización deberá someter la información de identificación personal transmitida (por ejemplo, enviada a otra organización) a través de una red de transmisión de datos a los controles adecuados diseñados para garantizar que los datos lleguen a su destino previsto.

Este control se encuentra dentro del minimización de PII El objetivo (A.1.4) aborda la seguridad de la información de identificación personal (IIP) cuando esta abandona el control directo de la organización durante la transmisión. Ya sea que la IIP se envíe a un procesador de datos, se comparta con un socio, se transfiera a un servicio en la nube o se transmita entre sistemas internos, la organización debe garantizar que llegue a su destino y que esté protegida durante el tránsito.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.4.10) proporciona la siguiente orientación:

  • Implementar el cifrado para la información de identificación personal en tránsito. — Utilice cifrado para proteger la información de identificación personal durante la transmisión, evitando así la interceptación o el espionaje. Esto incluye tanto las transmisiones externas (a terceros) como las internas (entre sistemas).
  • Verificar la identidad y la autorización del destinatario. — Antes de transmitir información personal identificable, confirme que el destinatario es quien dice ser y que está autorizado a recibir los datos.
  • transmisiones de registros — Mantener registros de las transmisiones de información de identificación personal, incluyendo qué se envió, a quién, cuándo y a través de qué canal.
  • Considere la seguridad del canal de transmisión. — Evaluar la seguridad del propio canal de transmisión, incluyendo la red, los protocolos y los intermediarios involucrados.
  • Utilice protocolos seguros — Utilice protocolos de seguridad estándar del sector, como TLS (para web y correo electrónico), SFTP (para transferencia de archivos), VPN (para conexiones de red) y API cifradas.
  • Vea también A.1.4.2: Limitar la recopilación para requisitos relacionados
  • Vea también A.1.4.5: Objetivos de minimización de la información de identificación personal (PII) para requisitos relacionados

El control es independiente de la tecnología, pero exige que las organizaciones seleccionen métodos de transmisión proporcionales a la sensibilidad de la información personal identificable y al riesgo. La transmisión de historiales médicos requiere controles más estrictos que la transmisión de la dirección de correo electrónico de un contacto comercial.

¿Cómo se relaciona esto con el RGPD?

El control A.1.4.10 se asigna a GDPR Artículo 5(1)(f), el principio de integridad y confidencialidad, que exige que los datos personales se traten de manera que se garantice la seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida accidental. La transmisión es una actividad de tratamiento, y la seguridad de los datos en tránsito es un elemento central de la GDPRrequisitos de seguridad según el Artículo 32.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el ISO 29100, principio de Seguridad de la informaciónEsto exige que la información de identificación personal (IIP) esté protegida con controles adecuados contra riesgos como el acceso no autorizado, la destrucción, el uso, la modificación, la divulgación o la pérdida. La transmisión representa uno de los momentos de mayor riesgo en el ciclo de vida de los datos, ya que la IIP está expuesta a amenazas a nivel de red.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.4.10, los auditores generalmente buscarán lo siguiente:

  • Política de seguridad de la transmisión — Una política documentada que especifique los controles de seguridad mínimos requeridos para la información de identificación personal en tránsito, incluidos los protocolos aprobados, los estándares de cifrado y los procedimientos de verificación del destinatario.
  • Configuraciones de cifrado — Evidencia de configuraciones TLS/SSL para servicios web, configuraciones SFTP para transferencias de archivos, configuraciones VPN para conexiones de red y estándares de cifrado de API.
  • Procedimientos de verificación del destinatario — Procedimientos documentados para verificar la identidad y la autorización de los destinatarios de información personal identificable antes de la transmisión, en particular para nuevos destinatarios o transferencias únicas.
  • Registros de transmisión — Registros de transmisiones de información de identificación personal, que muestren qué se envió, a quién y a través de qué canal.
  • Acuerdos con terceros — Acuerdos de procesamiento de datos o acuerdos de intercambio de datos con los destinatarios que especifiquen los requisitos de seguridad de la transmisión.
  • Evaluaciones de vulnerabilidad — Resultados de las evaluaciones de red y protocolo que confirman que los canales de transmisión cumplen con los requisitos de seguridad.

¿Cuáles son los controles relacionados?

Control Relación
A.1.4.4 Precisión y calidad La integridad de los datos durante la transmisión protege la exactitud de la información de identificación personal.
A.1.4.9 Eliminación La información de identificación personal (PII) transmitida a terceros también puede requerir su eliminación en el país del destinatario.
A.1.4.7 Archivos temporales Los procesos de transmisión suelen crear archivos temporales que contienen información de identificación personal (PII).
A.1.4.3 Limitar el procesamiento La transmisión solo debe realizarse para los datos que sean necesarios para el propósito indicado.
A.1.2.2 Identificar y documentar el propósito La transmisión solo debe realizarse para respaldar un propósito de procesamiento documentado.
A.1.2.9 Registros de procesamiento Las actividades de transmisión deben reflejarse en los registros de procesamiento, incluidas las categorías de destinatarios.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, los controles de transmisión de PII se abordaron en la cláusula 7.4.9 (controles de transmisión de PII). El control de 2025 mantiene el mismo requisito fundamental. La guía de implementación ahora hace referencia de manera más explícita a los protocolos seguros modernos y pone mayor énfasis en la verificación del destinatario y el registro de la transmisión. El formato reestructurado también aclara la relación entre la seguridad de la transmisión y los controles de seguridad de la información más amplios de la ISO 27001. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para gestionar los controles de transmisión de información personal identificable?

SGSI.online Integra la gestión de la privacidad y los controles de seguridad de la información en una única plataforma:

  • Mapeo del flujo de datos — Visualice y documente cada transmisión de información de identificación personal (PII), incluyendo el origen, el destino, el canal, el protocolo y el estándar de cifrado utilizado.
  • Registro de destinatarios — Mantener un registro de destinatarios autorizados de información personal identificable (PII) con su estado de verificación, acuerdos de procesamiento de datos y métodos de transmisión aprobados.
  • Documentación de control de seguridad — Documentar las configuraciones de cifrado, los estándares de protocolo y las medidas de seguridad de la red con registros controlados por versiones.
  • Integración ISO 27001 — Vincule los controles de transmisión de información personal identificable (PII) con su sistema de gestión de seguridad de la información más amplio, garantizando que los controles de privacidad y seguridad estén alineados.
  • Seguimiento del cumplimiento por parte de terceros — Supervisar el estado de cumplimiento de los destinatarios de los datos, incluidas las revisiones de contratos, las evaluaciones de seguridad y las notificaciones de incidentes.
  • Evidencia lista para auditoría — Exportar políticas de transmisión, registros de configuración y mapas de flujo de datos como parte de su paquete de evidencia de certificación.

Preguntas Frecuentes

¿Este control se aplica tanto a las transferencias de datos internas como a las externas?

Sí. El control se aplica a la información de identificación personal (IIP) transmitida a través de cualquier red de transmisión de datos, incluidas las redes internas y las transferencias externas. Si bien el perfil de riesgo puede variar (las transferencias externas generalmente presentan un mayor riesgo de interceptación), las transferencias internas también deben protegerse con el cifrado y los controles de acceso adecuados, especialmente cuando la IIP atraviesa segmentos de red o pasa por infraestructura compartida.

¿Cuál es el estándar mínimo de cifrado aceptable para la información de identificación personal en tránsito?

El estándar no prescribe un conjunto de cifrado específico, pero la práctica recomendada en la industria es TLS 1.2 o superior para el tráfico web y de API, siendo preferible TLS 1.3 cuando ambas partes lo admiten. Los protocolos más antiguos (SSL, TLS 1.0, TLS 1.1) están obsoletos y no deben utilizarse. Para la transferencia de archivos, SFTP o SCP sobre SSH son los protocolos estándar. Para el correo electrónico, se debe implementar el cifrado TLS entre servidores de correo siempre que sea posible. La elección debe estar documentada y alineada con su política de seguridad de la información.

¿Cómo deben gestionar las organizaciones la información personal identificable (PII) enviada por correo electrónico?

El correo electrónico presenta desafíos específicos, ya que los protocolos estándar no garantizan el cifrado de extremo a extremo. Entre las medidas adecuadas se incluyen: implementar TLS entre su servidor de correo y el del destinatario (TLS oportunista o forzado); usar cifrado S/MIME o PGP para información personal altamente sensible; proteger con contraseña los archivos adjuntos que contienen información personal; usar enlaces seguros para compartir archivos en lugar de archivos adjuntos directos; e implementar reglas de prevención de pérdida de datos (DLP) para detectar y prevenir la exposición accidental de información personal a través del correo electrónico. El enfoque debe ser proporcional a la sensibilidad de la información personal.

Nuestro Guía de requisitos de evidencia de auditoría Detalla lo que los auditores esperan de los controles de seguridad de la transmisión.

Para conocer los requisitos de transmisión transfronteriza, consulte nuestra Guía para la transferencia transfronteriza de datos.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.