¿Qué requiere el control A.3.25?
Se deberán generar, almacenar, proteger y analizar registros que documenten las actividades, excepciones, fallos y otros eventos relevantes relacionados con el procesamiento de información de identificación personal (PII).
Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) establece requisitos exhaustivos de registro para las actividades de procesamiento de información personal identificable (PII). El registro cumple múltiples funciones: detectar el acceso no autorizado a la PII, respaldar la investigación de incidentes, demostrar el cumplimiento ante los auditores y proporcionar evidencia en caso de una violación de datos. Sin un registro adecuado, una organización podría desconocer que se ha producido una violación, quién accedió a la PII o cuándo.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.25) proporciona una guía exhaustiva que abarca varias áreas:
- Revisión y seguimiento — Los registros de eventos deben revisarse mediante monitoreo y alerta automatizados continuos, o manualmente con una periodicidad documentada específica, para identificar irregularidades y proponer soluciones.
- Registro de acceso a información personal identificable — Siempre que sea posible, los registros de eventos deben documentar el acceso a la información de identificación personal (PII), incluyendo quién accedió, cuándo, a qué datos del titular de la PII se accedió y qué cambios se realizaron (adiciones, modificaciones o eliminaciones).
- Entornos multiproveedor — Cuando intervienen varios proveedores de servicios, las funciones en la implementación del registro deben estar claramente definidas y documentadas, y se debe abordar el acuerdo sobre el acceso al registro entre los proveedores.
- Registros como información de identificación personal — La información de registro registrada para la supervisión de seguridad y el diagnóstico operativo puede contener información de identificación personal (PII). Los controles de acceso deben garantizar que la información registrada se utilice únicamente para el fin previsto.
- Retención y eliminación de registros — Un procedimiento, preferiblemente automático, debe garantizar que la información registrada se elimine o se anonimice según lo especificado en el calendario de retención.
- Vea también A.3.22: Dispositivos de punto final del usuario para requisitos relacionados
- Vea también A.3.24: Copia de seguridad de la información para requisitos relacionados
Guía de implementación para el procesamiento de información de identificación personal (PII)
- Criterios de acceso al registro del cliente — La organización debe definir los criterios para determinar si, cuándo y cómo se puede poner a disposición del cliente la información de registro o cómo puede utilizarla.
- aislamiento del cliente — Cuando los clientes tienen permiso para acceder a los registros, solo deben acceder a los registros relacionados con sus propias actividades, no pueden acceder a los registros de otros clientes ni modificarlos.
Una de las principales tensiones que plantea la guía es que los propios registros pueden contener información de identificación personal (por ejemplo, nombres de usuario, direcciones IP, identificadores de los interesados), lo que significa que los registros son simultáneamente un control de privacidad y un riesgo para la privacidad que debe gestionarse.
¿Cómo se relaciona esto con el RGPD?
El control A.3.25 se corresponde con lo siguiente: GDPR artículo:
- Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige medidas de seguridad adecuadas. El registro de eventos es un control de detección clave que permite identificar y responder a incidentes de seguridad que afectan a los datos personales.
El registro también admite GDPR El artículo 33 establece las obligaciones de notificación de violaciones de seguridad, proporcionando las pruebas necesarias para detectar dichas violaciones y determinar su alcance e impacto.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por las cláusulas 6.9.4.1 (registro de eventos), 6.9.4.2 (protección de la información de registro) y 6.9.4.3 (registros de administrador y operador). La edición de 2025 consolida las tres en un único control A.3.25, con una guía de implementación unificada en B.3.25 que incluye una nueva guía específica del procesador sobre el acceso a los registros del cliente. Consulte la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.25, los auditores generalmente buscarán lo siguiente:
- Política de registro — Una política documentada que especifique qué eventos deben registrarse, los períodos de retención de los registros, quién tiene acceso a ellos y cómo se protegen los registros contra manipulaciones.
- Cobertura de registro — Evidencia de que todos los sistemas que procesan información de identificación personal generan registros de eventos que cubren como mínimo eventos de autenticación, acceso a información de identificación personal, modificaciones de datos y acciones administrativas.
- Monitoreo de registros — Evidencia de monitoreo activo de registros, ya sea a través de una plataforma SIEM, alertas automatizadas o cronogramas de revisión manual documentados.
- Protección de registros — Controles técnicos que impiden la manipulación de registros, incluyendo almacenamiento de escritura única, sumas de verificación de integridad o recopilación centralizada de registros en un sistema separado.
- Gestión de retención de registros — Controles automatizados o procedimentales que garanticen que los registros se conserven durante el período especificado y luego se eliminen o se anonimicen.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.11 Planificación de la gestión de incidentes | Los registros proporcionan la base de evidencia para detectar e investigar incidentes. |
| A.3.12 Respuesta a incidentes de seguridad | La respuesta a incidentes se basa en el análisis de registros para determinar el alcance y el impacto. |
| A.3.23 Autenticación segura | Los eventos de autenticación son una categoría crítica de eventos registrados. |
| A.3.9 Derechos de acceso | El acceso a los registros debe estar restringido al personal autorizado. |
| A.1.4.8 Retención | La retención de registros debe cumplir con el calendario de retención de información de identificación personal. |
¿A quién se aplica este control?
A.3.25 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento deben registrar las actividades de tratamiento de datos personales en sus propios sistemas. Los encargados del tratamiento tienen obligaciones adicionales en cuanto al acceso de los clientes a los registros: deben definir cuándo y cómo pueden acceder a ellos, garantizar el aislamiento de los clientes (cada cliente solo puede ver sus propios registros) e impedir que los clientes modifiquen los registros.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para el cumplimiento del registro de información de identificación personal?
SGSI.online Proporciona herramientas prácticas para gestionar el cumplimiento de la normativa de registro de datos:
- Gestión de registros de auditoría — Registros de auditoría integrados que registran todas las acciones dentro de la plataforma, demostrando el cumplimiento de los requisitos de registro para su propio PIMS.
- Gestión de políticas — Publicar políticas de registro con control de versiones y seguimiento de la confirmación del personal
- Programación de la revisión de registros — Programar y realizar un seguimiento de las actividades de revisión periódica de registros, con asignaciones de tareas y registros de finalización para evidencia de auditoría.
- Integración de incidentes — Vincular los resultados del análisis de registros directamente con los registros de incidentes, creando una cadena documentada desde la detección hasta la resolución.
- Seguimiento de la retención — Gestione los requisitos de retención de registros junto con su plan general de retención de datos, destacando los conflictos y las fechas de vencimiento.
Preguntas Frecuentes
¿Qué eventos deben registrarse para el procesamiento de información de identificación personal (PII)?
Como mínimo, los registros deben documentar quién accedió a la información personal identificable (IPI), cuándo, a qué datos de la persona titular de la IPI se accedió y qué cambios se realizaron. Esto incluye los intentos de autenticación, tanto exitosos como fallidos, las lecturas y escrituras de datos, las acciones administrativas (como la creación o modificación de cuentas de usuario), las exportaciones de datos, los cambios de consentimiento y cualquier decisión de procesamiento automatizado. El nivel de detalle debe ser proporcional a la sensibilidad de la IPI y al perfil de riesgo del sistema.
¿Cómo deben las organizaciones gestionar la información de identificación personal (PII) en los registros?
Los registros suelen contener información personal identificable (IPI), como nombres de usuario, direcciones de correo electrónico, direcciones IP e identificadores de los interesados. Las organizaciones deben minimizar la IPI en los registros, limitándola a lo estrictamente necesario para su finalidad, aplicar controles de acceso para restringir quién puede consultarlos, incluir los datos de registro en los planes de retención de datos y anonimizarlos o eliminarlos una vez transcurrido el período de retención. Los registros no deben utilizarse para fines que excedan su ámbito de aplicación previsto (por ejemplo, monitorización de seguridad, diagnóstico operativo).
¿Cuáles son las obligaciones de registro específicas del procesador?
Los procesadores deben definir y comunicar los criterios sobre cuándo y cómo se puede facilitar la información de registro a los clientes. Si se permite el acceso a los clientes, el procesador debe implementar controles que garanticen que cada cliente solo pueda acceder a los registros relacionados con sus propias actividades, no pueda ver los registros de otros clientes ni modificar ningún registro. Estas disposiciones deben documentarse en el acuerdo de procesamiento de datos y los criterios deben ponerse a disposición del cliente.
Los registros de auditoría son una categoría de evidencia clave: Guía de requisitos de evidencia de auditoría Explica cómo los auditores evalúan los controles de registro.
Incluya el inicio de sesión en su Declaración de aplicabilidad y especifique su estrategia de retención.
