¿Qué requiere el control A.3.27?
Se establecerán y aplicarán normas para el desarrollo seguro de software y sistemas relacionados con el procesamiento de información de identificación personal (PII).
Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) exige que las organizaciones integren la protección de la información personal identificable (PII) en el ciclo de vida del desarrollo de software desde el principio, en lugar de añadir controles de privacidad una vez que los sistemas estén construidos. Esta es la implementación práctica del principio de «privacidad desde el diseño»: los equipos de desarrollo necesitan reglas claras y prácticas que los guíen en la creación de sistemas que protejan la PII por defecto.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.27) proporciona orientación detallada sobre cómo integrar la privacidad en el desarrollo:
- Políticas de desarrollo centradas en la información de interés público — Las políticas para el desarrollo y diseño del sistema deben incluir directrices para las necesidades de procesamiento de información personal identificable (PII) de la organización, basadas en las obligaciones con los titulares de la PII y los requisitos legales aplicables.
- Privacidad por diseño y por defecto — Las políticas deben tener en cuenta los siguientes aspectos:
- Orientación sobre la protección de la información de identificación personal y la implementación de los principios de privacidad (según ISO/IEC 29100) en el ciclo de vida del desarrollo de software.
- Requisitos de privacidad y protección de datos personales en la fase de diseño, que pueden basarse en los resultados de una evaluación de riesgos de privacidad o una evaluación de impacto en la privacidad.
- Puntos de control de protección de información personal identificable (PII) dentro de los hitos del proyecto.
- Conocimientos necesarios sobre privacidad y protección de datos personales para los equipos de desarrollo
- Por defecto, se minimiza el procesamiento de información de identificación personal.
- Vea también A.3.29: Arquitectura de sistemas seguros y principios de ingeniería para requisitos relacionados
- Vea también A.3.31: Información de la prueba para requisitos relacionados
La guía se estructura en torno a cinco áreas prácticas que los equipos de desarrollo pueden integrar en sus procesos existentes. El énfasis en minimizar el procesamiento de información de identificación personal (IIP) por defecto es particularmente importante: los sistemas deben diseñarse para recopilar y procesar únicamente la IIP estrictamente necesaria para el propósito identificado.
¿Cómo se relaciona esto con el RGPD?
El control A.3.27 se corresponde con lo siguiente: GDPR artículo:
- Artículo 25 (1) — Protección de datos desde el diseño y por defecto, que exige a los responsables del tratamiento que implementen medidas técnicas y organizativas adecuadas destinadas a aplicar los principios de protección de datos e integrar las salvaguardias necesarias en el tratamiento, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento.
El artículo 25 es uno de los GDPRLas disposiciones más vanguardistas del reglamento, y el apartado A.3.27, proporcionan una forma estructurada de demostrar el cumplimiento mediante la incorporación de los requisitos de privacidad en los procesos de desarrollo.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.11.2.1 (política de desarrollo seguro). La edición de 2025 mantiene los requisitos principales como A.3.27 con una guía de implementación ampliada en B.3.27 que proporciona un marco de cinco puntos más claro para incorporar la privacidad en el desarrollo. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.27, los auditores generalmente buscarán lo siguiente:
- Política de desarrollo seguro — Una política documentada que incluya requisitos específicos de información de identificación personal (PII) para cada fase del ciclo de vida del desarrollo (diseño, desarrollo, pruebas, implementación, mantenimiento).
- Evaluaciones del impacto en la privacidad — Evidencia de que se realizan evaluaciones de impacto en la protección de datos (PIA) o evaluaciones de impacto en la protección de datos (DPIA) durante la fase de diseño de nuevos sistemas o cambios significativos en sistemas que procesan información de identificación personal (PII).
- Puntos de control de protección de información personal identificable (PII) — Evidencia de que los hitos del proyecto incluyen revisiones o aprobaciones de privacidad, como por ejemplo, controles de privacidad en las revisiones de sprint o en las listas de verificación de lanzamiento.
- Capacitación para desarrolladores — Registros que demuestren que los miembros del equipo de desarrollo han recibido capacitación sobre los requisitos de protección de la información de identificación personal, los principios de privacidad y las prácticas de codificación segura.
- evidencia de minimización de datos — Evidencia de que los sistemas están diseñados para recopilar y procesar la información personal identificable mínima necesaria, como documentos de diseño que muestren qué campos de datos se consideraron y por qué se requiere cada uno.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.2.6 Evaluación del impacto en la privacidad | Las evaluaciones de impacto en la privacidad (PIA, por sus siglas en inglés) incorporan los requisitos de privacidad en el proceso de desarrollo. |
| A.1.4.5 Objetivos de minimización de la información de identificación personal | El desarrollo debería implementar la minimización de datos por defecto. |
| A.3.28 Requisitos de seguridad de la aplicación | Los requisitos de seguridad para las aplicaciones complementan las reglas de desarrollo seguro. |
| A.3.17 Concienciación y formación | La formación en privacidad para desarrolladores respalda las prácticas de desarrollo seguras. |
| A.1.2.2 Identificar y documentar el propósito | Los fines del procesamiento documentados definen qué información personal debe recopilar el sistema. |
¿A quién se aplica este control?
A.3.27 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Cualquier organización que desarrolle o encargue software y sistemas para el tratamiento de datos personales debe establecer y aplicar normas de desarrollo seguras. Esto incluye a los equipos de desarrollo internos, a los desarrolladores subcontratados y a los equipos que trabajan en integraciones o personalizaciones a medida. Para el desarrollo externalizado, véase también el control. A.3.30 Desarrollo subcontratado.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para garantizar el cumplimiento de las normas de desarrollo seguro?
SGSI.online Proporciona herramientas prácticas para integrar la privacidad en sus procesos de desarrollo:
- Flujos de trabajo de DPIA — Plantillas integradas de evaluación de impacto en la protección de datos que se integran con su proceso de desarrollo, lo que garantiza que los requisitos de privacidad se capturen en la fase de diseño.
- Gestión de políticas — Publicar políticas de desarrollo seguras con control de versiones, confirmación del personal y programación de revisiones.
- Gestión de la formación — Realizar un seguimiento de la finalización de la formación en privacidad para desarrolladores, con recordatorios automáticos para las certificaciones vencidas o próximas a caducar.
- Seguimiento de hitos del proyecto — Cree puntos de control de protección de información personal identificable (PII) dentro de los planes del proyecto, con flujos de trabajo de aprobación para los controles de privacidad.
- Prueba de cumplimiento — Recopilar y organizar evidencia de desarrollo segura, incluyendo PIA, revisiones de diseño, registros de revisión de código y resultados de pruebas para la preparación de auditorías.
Preguntas Frecuentes
¿Qué significa en la práctica la privacidad por defecto?
La privacidad por defecto implica que, al implementar un sistema o crear una cuenta, la configuración predeterminada debe ofrecer el máximo nivel de protección de la privacidad. Los usuarios deben dar su consentimiento explícito para compartir datos adicionales, en lugar de tener que rechazar la recopilación de datos. Por ejemplo, un sistema solo debe recopilar los campos de información personal identificable (PII) mínimos necesarios para su función principal, con la recopilación de datos adicionales desactivada por defecto y habilitada únicamente si el usuario decide proporcionarlos explícitamente.
¿Cuáles son los puntos de control de protección de la información de identificación personal (PII)?
Los puntos de control de protección de datos personales son etapas definidas en el ciclo de vida del proyecto donde se revisan y verifican los requisitos de privacidad. Algunos ejemplos incluyen una revisión de privacidad durante el diseño de la arquitectura, un punto de control de revisión de código que verifica el cumplimiento en el manejo de datos personales, una aprobación de privacidad previa al lanzamiento y una verificación de privacidad posterior a la implementación. Estos puntos de control deben estar documentados en el proceso de desarrollo y contar con criterios claros de aprobación o rechazo.
¿Este control se aplica al software comercial?
A.3.27 se aplica principalmente al software y los sistemas desarrollados o encargados por la organización. Para el software comercial, la organización debe evaluar si el software cumple con los requisitos de protección de PII durante las fases de adquisición y configuración (véase A.3.28 Seguridad de las aplicacionesSin embargo, cualquier personalización, integración o configuración de software comercial que afecte al procesamiento de información personal debe seguir las reglas de desarrollo seguro establecidas en A.3.27.
Las organizaciones SaaS también deberían leer nuestra guía para plataformas SaaS para requisitos de privacidad específicos del desarrollo.
Para consideraciones de desarrollo específicas de IA, consulte nuestra Gobernanza de la privacidad de la IA guía.
