¿Qué requiere el control A.3.23?
Se implementarán tecnologías y procedimientos de autenticación seguros relacionados con el procesamiento de información de identificación personal (PII) en función de las restricciones de acceso a la información.
Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) establece que el acceso a los sistemas que procesan información personal identificable (IPI) debe estar protegido por mecanismos de autenticación robustos. La frase «basado en restricciones de acceso a la información» es importante: la fuerza y el tipo de autenticación deben ser proporcionales a la sensibilidad de la IPI y al nivel de acceso otorgado. Un sistema que maneja datos de categoría especial requiere una autenticación más estricta que uno que procesa datos de contacto básicos.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.23) proporciona la siguiente orientación:
- Procedimientos de inicio de sesión seguros para cuentas de clientes — Cuando el cliente lo requiera, la organización deberá proporcionar la capacidad de establecer procedimientos de inicio de sesión seguros para todas las cuentas de usuario bajo el control del cliente.
La guía centrada en el procesador destaca una dimensión contractual importante: los procesadores deben poder proporcionar capacidades de autenticación seguras que cumplan con los requisitos de sus clientes (responsables del tratamiento). Esto puede incluir la autenticación multifactor, la integración de inicio de sesión único, la inclusión en listas negras de direcciones IP u otros controles de autenticación especificados en el acuerdo de procesamiento de datos.
¿Cómo se relaciona esto con el RGPD?
El control A.3.23 se corresponde con lo siguiente: GDPR artículo:
- Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige una seguridad adecuada de los datos personales, incluida la protección contra el acceso no autorizado.
Una autenticación débil o inexistente es una vía directa al acceso no autorizado a datos personales, lo que hace que este control sea fundamental para el cumplimiento del artículo 5(1)(f).
Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.6.4.2 (procedimientos de inicio de sesión seguros). La edición de 2025 amplía el alcance de los procedimientos de inicio de sesión específicamente a las tecnologías y procedimientos de autenticación seguros en general como A.3.23. Esto refleja la evolución de la autenticación más allá del inicio de sesión tradicional con nombre de usuario y contraseña para incluir biometría, tokens de hardware, autenticación sin contraseña y autenticación adaptativa basada en riesgos. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.23, los auditores generalmente buscarán lo siguiente:
- Política de autenticación — Una política documentada que especifique los requisitos de autenticación para diferentes tipos de sistemas y niveles de sensibilidad de la información de identificación personal (PII), incluidas las reglas de complejidad de las contraseñas, los requisitos de autenticación multifactor (MFA) y los controles de gestión de sesiones.
- Implementación de MFA — Evidencia de que la autenticación multifactor se implementa en sistemas que procesan información de identificación personal (PII), en particular para acceso remoto, cuentas privilegiadas y portales de atención al cliente.
- Matriz de control de acceso — Un mapeo entre roles del sistema, niveles de acceso a la información personal identificable y nivel de autenticación requerido.
- Configuración del procedimiento de inicio de sesión — Evidencia técnica de la configuración de inicio de sesión seguro, incluidos los umbrales de bloqueo de cuenta, el registro de intentos fallidos y la configuración del tiempo de espera de la sesión.
- Capacidades de autenticación orientadas al cliente — Para los procesadores, evidencia de que los clientes tienen a su disposición opciones de autenticación seguras, tal como se describe en el acuerdo de procesamiento de datos.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.8 Gestión de identidad | La autenticación verifica las identidades gestionadas bajo A.3.8 Gestión de identidades |
| A.3.9 Derechos de acceso | La solidez de la autenticación debe ser proporcional a los derechos de acceso que se protegen. |
| A.3.22 Dispositivos terminales de usuario | Los dispositivos de punto final deben aplicar una autenticación segura antes de otorgar acceso a la información de identificación personal (PII). |
| A.3.25 Registro de actividad | Los eventos de autenticación (correctos y fallidos) deben registrarse y supervisarse. |
| A.3.26 Uso de criptografía | Los mecanismos criptográficos son la base de muchas tecnologías de autenticación. |
¿A quién se aplica este control?
A.3.23 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento deben implementar una autenticación segura para sus propios sistemas que procesan datos personales. Los encargados del tratamiento tienen la obligación adicional de proporcionar capacidades de autenticación segura para las cuentas controladas por el cliente cuando este lo requiera, lo que convierte la autenticación en un requisito tanto contractual como técnico.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gestión de la autenticación?
SGSI.online Proporciona herramientas prácticas para implementar y gestionar la autenticación segura:
- Marco de control de acceso — Definir y documentar los requisitos de autenticación por sistema, rol y nivel de confidencialidad de la información personal identificable en una ubicación central y auditable.
- Gestión de políticas — Publicar políticas de autenticación con control de versiones y seguimiento de la confirmación del personal
- Evaluaciones de riesgo — Evalúe los riesgos relacionados con la autenticación mediante escenarios de amenazas predefinidos para el robo de credenciales, ataques de fuerza bruta y secuestro de sesiones.
- Seguimiento del cumplimiento — Supervise qué sistemas cumplen con su nivel de autenticación básico y cuáles tienen acciones pendientes.
- Gestión de pruebas — Almacenar y organizar la evidencia de configuración de autenticación, los registros de implementación de MFA y los informes de auditoría para facilitar su recuperación durante las evaluaciones.
Preguntas Frecuentes
¿Es obligatoria la autenticación multifactor?
El control no exige explícitamente la autenticación multifactor (MFA), pero sí requiere que esta se implemente «en función de las restricciones de acceso a la información», lo que significa que la solidez de la autenticación debe ser proporcional al riesgo. Para los sistemas que procesan información personal identificable (PII) sensible, acceso remoto y cuentas privilegiadas, la MFA se considera el estándar mínimo aceptable. Los auditores exigirán una justificación basada en el riesgo para cualquier sistema que procese PII y que no utilice MFA.
¿Qué métodos de autenticación se consideran seguros?
Los métodos de autenticación segura incluyen la autenticación multifactor (que combina información personal, datos propios y algo que se sabe), claves de seguridad de hardware (por ejemplo, FIDO2/WebAuthn), autenticación biométrica, autenticación basada en certificados y autenticación adaptativa basada en riesgos. La autenticación solo con contraseña se considera cada vez más insuficiente para los sistemas que procesan información personal identificable, especialmente para el acceso remoto. Los métodos sin contraseña que utilizan tokens de hardware o biometría están ganando aceptación como una alternativa más segura y fácil de usar.
¿Cuáles son las obligaciones específicas del procesador?
Los procesadores deben proporcionar acceso seguro a las cuentas controladas por el cliente cuando este lo requiera. Esto significa que deben ofrecer autenticación multifactor (MFA), integración de inicio de sesión único (SSO), inclusión en listas negras de direcciones IP u otras funciones de autenticación necesarias para que los responsables del tratamiento cumplan con sus obligaciones de cumplimiento normativo. Estas funcionalidades deben estar documentadas en el acuerdo de procesamiento de datos y disponibles sin obstáculos adicionales.
Registre este control en su Declaración de aplicabilidad con su enfoque de implementación.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.
