¿Qué requiere el control A.2.4.4?
La organización deberá someter la información de identificación personal transmitida a través de una red de transmisión de datos a los controles adecuados, diseñados para garantizar que los datos lleguen a su destino previsto.
Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda la seguridad de la información de identificación personal durante la transmisión. Siempre que los datos personales se transmitan a través de redes, ya sea entre sistemas dentro del entorno del procesador, entre el procesador y el responsable del tratamiento, o entre el procesador y un subcontratista, deben protegerse contra la interceptación, la alteración y el uso indebido.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.4.4) proporciona la siguiente orientación:
- Control de acceso — Asegúrese de que solo las personas autorizadas tengan acceso a los sistemas de transmisión.
- Procesos documentados — Siga los procesos adecuados, incluida la retención de datos de auditoría para demostrar el cumplimiento.
- Integridad y cumplimiento — Asegurar que la información de identificación personal se transmita sin comprometer a los destinatarios correctos.
- Requisitos contractuales — Los requisitos de transmisión pueden especificarse en el contrato con el cliente.
- Consulta al cliente — Cuando no existan requisitos contractuales, la organización deberá consultar con el cliente antes de la transmisión.
- Vea también A.2.3.2: Cumplir con las obligaciones con los responsables de PII para requisitos relacionados
- Vea también A.2.4.2: Archivos temporales para requisitos relacionados
La guía subraya que los controles de transmisión no son únicamente una cuestión técnica. El procesador debe garantizar que los datos correctos lleguen al destinatario correcto sin que se vean comprometidos durante el trayecto. Esto requiere una combinación de cifrado, controles de acceso, mecanismos de autenticación y registros de auditoría. Si el cliente tiene requisitos de transmisión específicos, estos deben documentarse en el contrato.
¿Cómo se relaciona esto con el RGPD?
El control A.2.4.4 se corresponde con lo siguiente: GDPR artículo:
- Artículo 5(1)(f) — Integridad y confidencialidad — Los datos personales se tratarán de forma que se garantice la seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales, utilizando medidas técnicas u organizativas apropiadas.
El principio de integridad y confidencialidad exige que los datos personales estén protegidos tanto durante su transmisión como en reposo. Transmitir información de identificación personal a través de redes sin los controles adecuados (como el cifrado) expone los datos a la interceptación y la vulneración, lo que viola directamente este principio.
Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.4.4 como un control independiente con orientación de implementación en B.2.4.4 que aborda específicamente el acceso a los sistemas de transmisión, la retención de datos de auditoría y el papel de los contratos de clientes en la definición de los requisitos de transmisión. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.4.4, los auditores generalmente buscarán lo siguiente:
- Estándares de cifrado — Evidencia de que la información de identificación personal (PII) se cifra durante la transmisión utilizando protocolos actuales aceptados por la industria (como TLS 1.2 o superior para datos en tránsito).
- Controles de acceso — Documentación que demuestre que solo las personas y los sistemas autorizados tienen acceso a los mecanismos de transmisión.
- Pistas de auditoría — Se conservaron los datos de auditoría que demuestran la transmisión exitosa, incluyendo el remitente, el destinatario, la marca de tiempo y la confirmación de entrega.
- Especificaciones contractuales — Cláusulas contractuales que especifican los requisitos de transmisión del cliente, incluidos los estándares de cifrado, los canales permitidos y los procedimientos de verificación del destinatario.
- Registros de incidentes — Registros de cualquier fallo de transmisión o incidente de seguridad, incluyendo análisis de la causa raíz y medidas correctivas adoptadas.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.5.2 Base para la transferencia de información de identificación personal entre jurisdicciones | La transmisión transfronteriza requiere tanto controles técnicos como una base legal. |
| A.2.2.2 Acuerdo con el cliente | Los requisitos de transmisión deben especificarse en el contrato con el cliente. |
| A.2.4.3 Devolución, transferencia o eliminación | La devolución de información personal identificable al cliente es una forma de transmisión que requiere controles apropiados. |
| A.3 Controles de seguridad compartidos | La seguridad de la red y los controles criptográficos son la base de la seguridad de la transmisión. |
| A.2.5.3 Países para la transferencia de información personal identificable | Los destinos de transmisión deben estar documentados y divulgados. |
¿A quién se aplica este control?
A.2.4.4 se aplica exclusivamente a Procesadores de información personal identificableLos procesadores suelen transmitir información de identificación personal (IIP) como parte de sus operaciones, ya sea al recibir datos de los responsables del tratamiento, al devolver resultados procesados, al compartir datos con subcontratistas o al replicar datos entre sistemas. Cada uno de estos puntos de transmisión representa una posible exposición. Este control garantiza que los procesadores implementen las medidas de seguridad adecuadas para toda la IIP en tránsito.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para controles de transmisión PII?
SGSI.online Proporciona herramientas prácticas para gestionar la seguridad de la transmisión de información de identificación personal (PII):
- Documentación de políticas — Documente sus políticas de seguridad de transmisión, incluidos los estándares de cifrado, los canales permitidos y los controles de acceso, con control de versiones y programación de revisiones.
- Mapeo de activos — Mapear los flujos de datos que implican la transmisión de información de identificación personal (PII), identificando los sistemas remitente y receptor, los métodos de transmisión y los controles aplicados a cada uno.
- Gestión de contratos — Realice un seguimiento de los requisitos de transmisión específicos del cliente junto con sus controles estándar, asegurándose de que se cumplan las obligaciones contractuales.
- Administracion de incidentes — Registrar y gestionar incidentes de seguridad de la transmisión con análisis de la causa raíz, acciones correctivas y lecciones aprendidas.
- Pruebas de auditoría — Almacenar datos de auditoría de transmisión, certificados de cifrado y registros de control de acceso como evidencia estructurada para auditorías internas y externas.
Preguntas Frecuentes
¿Qué estándares de cifrado se deben utilizar para la transmisión de información de identificación personal (PII)?
La norma no prescribe protocolos de cifrado específicos, pero las mejores prácticas actuales exigen TLS 1.2 o superior para la transmisión de datos a través de redes. Para la transmisión de correo electrónico, considere el cifrado S/MIME o PGP. Para la transferencia de archivos, utilice SFTP o SCP en lugar de FTP sin cifrar. Para las comunicaciones API, implemente HTTPS con validación de certificado. Los requisitos específicos también pueden estar definidos en el contrato con el cliente o en la normativa de protección de datos aplicable.
¿Qué ocurre si el cliente no especifica los requisitos de transmisión?
La guía del Anexo B establece que, cuando no existan requisitos contractuales, la organización debe consultar con el cliente antes de la transmisión. En la práctica, esto significa consultar proactivamente con el cliente sobre sus métodos de transmisión preferidos, requisitos de cifrado y procedimientos de verificación del destinatario. Documentar esta consulta y el enfoque acordado protege a ambas partes y demuestra buenas prácticas ante los auditores.
¿Este control se aplica a la transmisión dentro de la red?
Sí. El control se aplica a la información de identificación personal (IIP) transmitida a través de cualquier red de transmisión de datos, incluidas las redes internas. Si bien las transmisiones externas suelen conllevar un mayor riesgo, el tráfico de la red interna también puede ser interceptado, especialmente en entornos compartidos o en la nube. La mejor práctica consiste en cifrar la IIP durante la transmisión, independientemente de si la red es interna o externa, e implementar la segmentación de la red y controles de acceso para limitar la exposición.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para las pruebas específicas del procesador que requieren los auditores.
