¿Qué requiere el control A.3.24?
Se deberán mantener copias de seguridad de la información de identificación personal (PII), así como del software y los sistemas relacionados con el procesamiento de dicha información, y se deberán realizar pruebas periódicas al respecto.
Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) aborda la dimensión de disponibilidad de la protección de la información de identificación personal (IIP). Si bien muchos controles de privacidad se centran en prevenir el acceso o la divulgación no autorizados, el A.3.24 garantiza que la IIP pueda recuperarse y restaurarse en caso de fallo del sistema. Sin copias de seguridad probadas, un ataque de ransomware, un fallo de hardware o un desastre natural podrían provocar la pérdida permanente de datos personales.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.24) proporciona una guía exhaustiva:
- Política de copia de seguridad y borrado — La organización debe contar con una política que aborde la copia de seguridad, la recuperación y la restauración de la información de identificación personal (PII), incluidos los requisitos contractuales o legales para la eliminación de la PII contenida en los datos de copia de seguridad.
- Comunicación con el cliente — Las responsabilidades de copia de seguridad específicas para la información de identificación personal (PII) pueden depender del cliente. La organización debe asegurarse de que los clientes estén informados de los límites del servicio en lo que respecta a la copia de seguridad.
- Transparencia del servicio de respaldo — Cuando se ofrecen explícitamente servicios de copia de seguridad y restauración a los clientes, la organización debe proporcionar información clara sobre sus capacidades.
- Requisitos jurisdiccionales — Algunas jurisdicciones imponen requisitos específicos con respecto a la frecuencia de las copias de seguridad, la frecuencia de revisión y prueba, o los procedimientos de recuperación de la información de identificación personal (PII). Las organizaciones que operan en estas jurisdicciones deben demostrar el cumplimiento.
- integridad de la restauración de PII — Cuando se restaura la información de identificación personal (PII) a partir de una copia de seguridad, los procesos deben garantizar que la PII se restaure a un estado en el que se pueda asegurar su integridad, o en el que se identifique y resuelva cualquier inexactitud o información incompleta (lo que puede implicar al titular de la PII).
- Registro de restauración — La organización debe mantener un procedimiento y un registro para los esfuerzos de recuperación de información personal identificable (PII), registrando como mínimo el nombre de la persona responsable y una descripción de la información personal identificable recuperada.
- Respaldos de subcontratistas — El uso de subcontratistas para almacenar copias replicadas o de respaldo de información de identificación personal está cubierto por los controles de gestión de proveedores (B.3.10, B.3.20).
- Vea también A.3.22: Dispositivos de punto final del usuario para requisitos relacionados
- Vea también A.3.25: Registro de actividad para requisitos relacionados
Un aspecto particularmente importante es la tensión entre la retención de copias de seguridad y la eliminación de información de identificación personal (PII): las organizaciones deben equilibrar la necesidad de conservar las copias de seguridad para la recuperación con la obligación de eliminar la PII cuando expiren los períodos de retención o cuando los interesados ejerzan su derecho de supresión.
¿Cómo se relaciona esto con el RGPD?
El control A.3.24 se corresponde con lo siguiente: GDPR artículos:
- Artículo 5(1)(f) — El principio de integridad y confidencialidad, que abarca la protección contra la pérdida o destrucción accidental de datos personales.
- Artículo 32, apartado 1, letra c) — El requisito de implementar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
El artículo 32(1)(c) menciona específicamente la capacidad de restauración, lo que convierte a las copias de seguridad probadas en una medida directa. GDPR requisito más que buena práctica.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.9.3.1 (copia de seguridad de la información). La edición de 2025 conserva y amplía los requisitos principales como A.3.24, con una guía de implementación significativamente más detallada en B.3.24 que cubre el registro de restauración, los requisitos jurisdiccionales y la tensión entre copia de seguridad y borrado. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.24, los auditores generalmente buscarán lo siguiente:
- Política de respaldo — Una política documentada que abarque el alcance, la frecuencia, los períodos de retención, el cifrado, los cronogramas de pruebas y las responsabilidades de las copias de seguridad para los sistemas que contienen información de identificación personal.
- Registros de prueba de respaldo — Evidencia de pruebas periódicas de restauración de copias de seguridad, incluyendo fechas de las pruebas, alcance, resultados y cualquier problema identificado y solucionado.
- Registros de restauración — Un registro de cualquier evento de restauración de información de identificación personal (PII) que indique la persona responsable, una descripción de la PII restaurada y cualquier problema de integridad identificado.
- Conciliación de borrado de copias de seguridad — Evidencia de que la organización ha abordado la eliminación de información de identificación personal (PII) dentro de los datos de respaldo, ya sea a través de medidas técnicas o justificación documentada para su retención.
- Comunicación con el cliente — Para los procesadores, evidencia de que los clientes han sido informados sobre las capacidades y limitaciones de respaldo.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.4.8 Retención | La retención de copias de seguridad debe ajustarse a los calendarios de retención de información de identificación personal (PII). |
| A.1.4.6 Desidentificación y eliminación | Los requisitos de eliminación de información de identificación personal generan tensión con la retención de copias de seguridad. |
| A.3.20 Medios de almacenamiento | Los soportes de respaldo deben gestionarse a lo largo de su ciclo de vida. |
| A.3.26 Uso de criptografía | Los datos de respaldo deben estar cifrados tanto en tránsito como en reposo. |
| A.3.10 Acuerdos con proveedores | Los proveedores de copias de seguridad de terceros deben estar sujetos a contratos apropiados. |
¿A quién se aplica este control?
A.3.24 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento deben garantizar que sus datos personales estén respaldados y sean recuperables. Los encargados del tratamiento tienen la obligación adicional de comunicar a sus clientes las capacidades y limitaciones de las copias de seguridad, así como de proporcionar información clara sobre las capacidades de restauración cuando los servicios de copia de seguridad formen parte de la oferta.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para la gestión del cumplimiento de las copias de seguridad?
SGSI.online Proporciona herramientas prácticas para gestionar el cumplimiento de las copias de seguridad de la información de identificación personal (PII):
- Gestión de programación de copias de seguridad — Documentar y realizar un seguimiento de los cronogramas de copias de seguridad para todos los sistemas de procesamiento de información de identificación personal (PII), con recordatorios automatizados para las próximas pruebas y revisiones.
- Seguimiento de resultados de pruebas — Registrar los resultados de las pruebas de restauración de copias de seguridad con el estado de aprobado/reprobado, los problemas identificados y las acciones correctivas, creando un registro de auditoría completo.
- Registro de restauración — Mantenga el registro requerido de eventos de restauración de PII con la persona responsable, la descripción y los campos de evaluación de integridad.
- Gestión de políticas — Publicar políticas de copia de seguridad con control de versiones y seguimiento de la confirmación del personal
- Gestión de retención — Vincule los períodos de retención de copias de seguridad con su calendario de retención de datos, destacando los casos en los que la retención de copias de seguridad pueda entrar en conflicto con las obligaciones de eliminación de información de identificación personal.
Preguntas Frecuentes
¿Cómo se gestionan las solicitudes de eliminación cuando la información de identificación personal (PII) existe en las copias de seguridad?
Este es uno de los aspectos más complejos de la gestión de copias de seguridad de información personal identificable (PII). La mayoría de las organizaciones no pueden eliminar selectivamente registros individuales de conjuntos de copias de seguridad sin restaurar la copia de seguridad completa. Los enfoques comunes incluyen: mantener un registro de eliminación que se aplique cada vez que se restaura una copia de seguridad, utilizar períodos de retención de copias de seguridad lo suficientemente cortos como para garantizar que la PII eliminada caduque de forma natural, o implementar soluciones de copia de seguridad que admitan la eliminación granular. El enfoque debe documentarse en la política de copias de seguridad y comunicarse a los interesados al responder a las solicitudes de eliminación.
¿Con qué frecuencia se debe probar la restauración de copias de seguridad?
La norma exige pruebas periódicas, pero no especifica la frecuencia. La práctica recomendada en el sector es probar las copias de seguridad de los sistemas de información personal identificable (PII) críticos al menos trimestralmente, y los sistemas menos críticos al menos anualmente. Algunas jurisdicciones pueden imponer frecuencias de prueba específicas. Las pruebas deben verificar tanto la capacidad técnica para restaurar los datos como la integridad de la PII restaurada. Los resultados de las pruebas deben documentarse y cualquier fallo debe dar lugar a una corrección inmediata.
¿Qué debe contener el registro de restauración de información personal identificable (PII)?
Como mínimo, el registro debe incluir el nombre de la persona responsable de la restauración y una descripción de la información personal recuperada. Las buenas prácticas recomiendan incluir también la fecha y hora de la restauración, el motivo de la misma, la copia de seguridad de origen utilizada, cualquier problema de integridad detectado durante la restauración y las medidas adoptadas para solucionarlo. Algunas jurisdicciones exigen contenido adicional para el registro, por lo que las organizaciones deben consultar la normativa local y documentar su cumplimiento.
Registre este control en su Declaración de aplicabilidad con su enfoque de implementación.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.
