¿Qué requiere el control A.3.26?
Se deberán definir e implementar normas para el uso eficaz de la criptografía relacionada con el procesamiento de información de identificación personal, incluida la gestión de claves criptográficas.
Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) exige que las organizaciones adopten un enfoque estructurado y basado en políticas para la criptografía. No basta con simplemente cifrar los datos: la organización debe definir reglas que especifiquen cuándo se requiere criptografía, qué algoritmos y longitudes de clave son aceptables, cómo se gestionan las claves a lo largo de su ciclo de vida y cómo se comunican las capacidades criptográficas a los clientes.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.26) proporciona la siguiente orientación:
- Requisitos jurisdiccionales — Algunas jurisdicciones pueden exigir el uso de criptografía para proteger ciertos tipos de información personal identificable (PII), como datos de salud, números de registro de residencia, números de pasaporte y números de licencia de conducir.
- Transparencia del cliente — La organización debe proporcionar información al cliente sobre las circunstancias en las que utiliza criptografía para proteger la información de identificación personal que procesa.
- Cifrado de autoservicio para el cliente — La organización también debería proporcionar información sobre cualquier capacidad que ofrezca que pueda ayudar al cliente a aplicar su propia protección criptográfica.
- Vea también A.3.22: Dispositivos de punto final del usuario para requisitos relacionados
- Vea también A.3.25: Registro de actividad para requisitos relacionados
La guía destaca dos dimensiones importantes: el cifrado obligatorio impuesto por ley (que varía según la jurisdicción y el tipo de información personal identificable) y la transparencia para los clientes sobre el tipo de cifrado aplicado y las opciones disponibles. Los encargados del tratamiento, en particular, deben estar preparados para explicar su arquitectura de cifrado a los responsables del tratamiento.
¿Cómo se relaciona esto con el RGPD?
El control A.3.26 se corresponde con lo siguiente: GDPR artículo:
- Artículo 32 (1) (a) — La obligación de implementar medidas técnicas y organizativas adecuadas, incluida la pseudonimización y el cifrado de datos personales.
El artículo 32(1)(a) nombra explícitamente el cifrado como una medida técnica apropiada, lo que convierte a la criptografía en una de las pocas tecnologías específicas a las que se hace referencia directamente en el GDPREl cifrado también figura en el considerando 83 del RGPD y puede reducir las obligaciones de notificación de violaciones de datos según el artículo 34(3)(a) cuando los datos se vuelven ininteligibles para personas no autorizadas.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por las cláusulas 6.7.1.1 (política sobre el uso de controles criptográficos) y 6.7.1.2 (gestión de claves). La edición de 2025 consolida ambas en A.3.26 con una guía de implementación unificada en B.3.26. La guía ahora pone mayor énfasis en comunicar las capacidades criptográficas a los clientes y en brindar soporte al cifrado aplicado por el cliente. Consulte la Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.26, los auditores generalmente buscarán lo siguiente:
- Política de criptografía — Una política documentada que especifique cuándo se requiere el cifrado, los algoritmos y longitudes de clave aprobados, los procedimientos de gestión de claves y las funciones responsables de los controles criptográficos.
- Cifrado en reposo — Evidencia de que la información de identificación personal (PII) está cifrada en reposo mediante algoritmos aprobados, incluyendo el cifrado de bases de datos, el cifrado de discos y el cifrado de copias de seguridad.
- Cifrado en tránsito — Evidencia de que la información de identificación personal (PII) se cifra durante la transmisión mediante TLS 1.2 o superior para todos los canales de transmisión de datos.
- Procedimientos de gestión de claves — Procedimientos documentados de generación, distribución, almacenamiento, rotación, revocación y destrucción de claves
- Cumplimiento jurisdiccional — Evidencia de que se cumplen los requisitos de cifrado impuestos por las jurisdicciones aplicables para las categorías de información de identificación personal (PII) pertinentes.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.20 Medios de almacenamiento | Los soportes extraíbles que contengan información personal identificable deben utilizar cifrado siempre que sea posible. |
| A.3.7 Transferencia de información | Las transferencias de información personal identificable (PII) deben protegerse mediante cifrado durante la transmisión. |
| A.3.24 Copia de seguridad de la información | Los datos de respaldo que contengan información personal identificable deben estar cifrados. |
| A.3.28 Requisitos de seguridad de la aplicación | Los requisitos de cifrado a nivel de aplicación se rigen por la política de criptografía. |
| A.1.4.10 Controles de transmisión PII | Los controles de transmisión del controlador se basan en la protección criptográfica. |
¿A quién se aplica este control?
A.3.26 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento deben definir e implementar reglas criptográficas para su propio tratamiento de datos personales. Los encargados del tratamiento tienen la obligación adicional de comunicar a sus clientes el uso de la criptografía y de proporcionarles herramientas que les permitan aplicar su propio cifrado cuando sea necesario.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gestión de la criptografía?
SGSI.online Proporciona herramientas prácticas para gestionar su programa de criptografía:
- Plantillas de políticas de criptografía — Plantillas de políticas predefinidas que abarcan algoritmos aprobados, longitudes de claves, casos de uso y requisitos de gestión de claves, personalizables para su organización.
- Registro de gestión de claves — Realice un seguimiento de las claves criptográficas en todos sus sistemas con la gestión del ciclo de vida: generación, distribución, rotación, caducidad y destrucción.
- Mapeo de cumplimiento — Mapea tus controles criptográficos a los requisitos jurisdiccionales, el artículo 32 del RGPD y el control A.3.26 de la norma ISO 27701 en una sola vista.
- Gestión de pruebas — Almacene la evidencia de configuración de cifrado, los registros de gestión de claves y las confirmaciones de políticas en un formato estructurado y listo para auditoría.
- Revisar la programación — Programe revisiones periódicas de su política de criptografía y prácticas de gestión de claves con recordatorios automatizados.
Preguntas Frecuentes
¿Qué algoritmos de cifrado se recomiendan?
La norma no prescribe algoritmos específicos, pero las mejores prácticas del sector recomiendan actualmente AES-256 para el cifrado simétrico en reposo, TLS 1.2 o 1.3 para el cifrado en tránsito y RSA-2048 (o superior) o equivalentes de curva elíptica para el cifrado asimétrico. Las organizaciones deben consultar las directrices de las autoridades criptográficas nacionales (como el NCSC en el Reino Unido o el NIST en Estados Unidos) y revisar periódicamente sus algoritmos aprobados a medida que evolucionan las normas criptográficas.
¿Reduce el cifrado las obligaciones de notificación de violaciones de datos según el RGPD?
El artículo 34, apartado 3, letra a), del RGPD establece que no es necesaria la comunicación a los interesados si la organización ha implementado medidas técnicas de protección adecuadas que impidan el acceso a los datos personales a personas no autorizadas, como el cifrado. Sin embargo, esto no exime de la obligación de notificar a la autoridad de control, de conformidad con el artículo 33. Por lo tanto, el cifrado puede reducir el alcance y el impacto de la notificación de la violación de seguridad, pero no la elimina por completo.
¿Qué implica la gestión de personal clave?
La gestión de claves abarca todo el ciclo de vida de las claves criptográficas: generación (mediante generadores de números aleatorios seguros), distribución (solo a través de canales seguros), almacenamiento (en módulos de seguridad de hardware o sistemas de almacenamiento seguros equivalentes), rotación (sustitución de claves a intervalos definidos o tras una posible vulneración), revocación (desactivación de claves comprometidas o innecesarias) y destrucción (eliminación segura de claves al final de su vida útil). Una gestión deficiente de claves puede comprometer por completo la solidez de un cifrado.
Documente su enfoque de cifrado en su Declaración de aplicabilidad.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que esperan los auditores de evidencia criptográfica.
