¿Qué requiere el control A.3.28?
Los requisitos de seguridad de la información relacionados con el procesamiento de información de identificación personal (PII) deberán identificarse, especificarse y aprobarse al desarrollar o adquirir aplicaciones.
Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) exige un enfoque estructurado para definir los requisitos de seguridad de las aplicaciones que manejan información de identificación personal (PII). Esto se aplica tanto a las aplicaciones desarrolladas internamente como a las adquiridas de terceros. La clave reside en la aprobación: los requisitos de seguridad no solo deben identificarse y documentarse, sino que también deben ser aprobados formalmente antes de que se inicie el desarrollo o la adquisición.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.28) proporciona la siguiente orientación:
- Cifrado para redes no confiables — La organización debe garantizar que la información de identificación personal transmitida a través de redes de transmisión de datos no confiables esté cifrada para su transmisión.
- Definición de redes no confiables — Las redes no confiables pueden incluir internet público y otras instalaciones fuera del control operativo de la organización.
- Limitaciones prácticas — En algunos casos (por ejemplo, el intercambio de correo electrónico), las características inherentes de los sistemas de redes de transmisión de datos no confiables pueden requerir que se expongan algunos datos de encabezado o de tráfico para una transmisión efectiva.
- Vea también A.3.29: Arquitectura de sistemas seguros y principios de ingeniería para requisitos relacionados
- Vea también A.3.30: Desarrollo externalizado para requisitos relacionados
La guía se centra específicamente en el cifrado en tránsito como requisito básico de seguridad para las aplicaciones. Esto refleja la realidad de que las aplicaciones que procesan información de identificación personal casi siempre transmiten datos a través de redes, y el cifrado es la protección fundamental contra la interceptación. El reconocimiento de las limitaciones prácticas (como las cabeceras de correo electrónico) demuestra un enfoque pragmático: la norma reconoce que no todos los datos pueden cifrarse en todas las circunstancias.
¿Cómo se relaciona esto con el RGPD?
El control A.3.28 se corresponde con lo siguiente: GDPR artículos:
- Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige una seguridad adecuada de los datos personales.
- Artículo 32 (1) (a) — La obligación de implementar medidas técnicas y organizativas adecuadas, incluido el cifrado de datos personales.
Ambos artículos respaldan el principio de que las aplicaciones que manejan datos personales deben contar con medidas de seguridad adecuadas diseñadas desde el principio, y no añadidas posteriormente.
Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por las cláusulas 6.11.1.2 (protección de los servicios de aplicaciones en redes públicas) y 6.11.1.3 (protección de las transacciones de los servicios de aplicaciones). La edición de 2025 consolida estas cláusulas en A.3.28 con un alcance más amplio que abarca todos los requisitos de seguridad de las aplicaciones, no solo la seguridad de las redes públicas y las transacciones. Consulte la Tabla de correspondencias del Anexo F para el mapeo completo.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.28, los auditores generalmente buscarán lo siguiente:
- Especificación de requisitos de seguridad — Requisitos de seguridad documentados para cada aplicación que procesa información de identificación personal (PII), que abarcan autenticación, autorización, cifrado, validación de entrada, registro y manejo de datos.
- Registros de aprobación — Evidencia de que los requisitos de seguridad han sido revisados y aprobados formalmente por una autoridad competente (por ejemplo, equipo de seguridad, DPO o comité de revisión de arquitectura) antes del desarrollo o la adquisición.
- Cifrado en tránsito — Evidencia de que todas las aplicaciones que transmiten información de identificación personal a través de redes no confiables utilizan TLS 1.2 o superior, con certificados configurados correctamente.
- Evaluación de seguridad de adquisiciones — Para las aplicaciones adquiridas, evidencia de que los requisitos de seguridad de PII se incluyeron en los criterios de adquisición y que el producto seleccionado los cumple.
- Prueba de seguridad — Evidencia de que las aplicaciones han sido probadas conforme a sus requisitos de seguridad, incluyendo pruebas de penetración o resultados de revisión de código de seguridad.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.27 Ciclo de vida de desarrollo seguro | Los requisitos de seguridad de la aplicación se integran en el proceso de desarrollo seguro. |
| A.3.26 Uso de criptografía | Los requisitos criptográficos para las aplicaciones se rigen por la política de criptografía. |
| A.3.23 Autenticación segura | La autenticación es un requisito clave de seguridad de la aplicación. |
| A.3.10 Acuerdos con proveedores | Las aplicaciones adquiridas deben cumplir con los requisitos de seguridad especificados en los acuerdos con los proveedores. |
| A.3.25 Registro de actividad | Los requisitos de registro de la aplicación deben definirse como parte de la especificación de seguridad. |
¿A quién se aplica este control?
A.3.28 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Cualquier organización que desarrolle o adquiera aplicaciones para el tratamiento de datos personales debe identificar y aprobar los requisitos de seguridad antes de proceder. Esto incluye aplicaciones web, aplicaciones móviles, API, herramientas internas, productos SaaS y cualquier otro software que gestione datos personales.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gestión de la seguridad de las aplicaciones?
SGSI.online Proporciona herramientas prácticas para gestionar los requisitos de seguridad de las aplicaciones:
- Plantillas de requisitos — Plantillas de requisitos de seguridad predefinidas para tipos de aplicaciones comunes, personalizables según las necesidades específicas de procesamiento de información personal identificable (PII) de su organización.
- Flujos de trabajo de aprobación — Enrutar los requisitos de seguridad a través de procesos formales de revisión y aprobación con registro de auditoría y seguimiento de firmas
- Evaluación de proveedores — Evalúe las aplicaciones de terceros según sus requisitos de seguridad mediante cuestionarios estructurados y un sistema de puntuación.
- Evaluaciones de riesgo — Realizar evaluaciones de riesgos a nivel de aplicación que se integren directamente en tus requisitos de seguridad, asegurando que estos sean proporcionales al riesgo.
- Gestión de pruebas — Almacenar los resultados de las pruebas de seguridad, los registros de aprobación y las pruebas de cumplimiento en un formato estructurado y listo para auditorías, vinculado a cada aplicación.
Preguntas Frecuentes
¿Qué requisitos de seguridad deben especificarse para las aplicaciones que procesan información de identificación personal (PII)?
Como mínimo, las aplicaciones que procesan información personal identificable (IPI) deben cumplir con los siguientes requisitos: autenticación y autorización (quién puede acceder a la IPI y con qué nivel de acceso), cifrado en reposo y en tránsito, validación de entrada y codificación de salida (para prevenir ataques de inyección), gestión de sesiones, registro y pistas de auditoría, manejo de errores (para prevenir la filtración de IPI en mensajes de error), capacidades de retención y eliminación de datos, y gestión del consentimiento cuando corresponda. Los requisitos deben ser proporcionales a la sensibilidad de la IPI y al perfil de riesgo de la aplicación.
¿Cómo se aplica este control a la adquisición de software como servicio (SaaS)?
Al adquirir aplicaciones SaaS que procesarán información de identificación personal (PII), la organización debe incluir los requisitos de seguridad de PII en los criterios de evaluación de la adquisición. Esto incluye evaluar las prácticas de cifrado del proveedor, las opciones de autenticación, la residencia de datos, los controles de acceso, las capacidades de registro y las certificaciones de cumplimiento. La evaluación debe documentarse y aprobarse antes de tomar la decisión de adquisición. El cumplimiento continuo debe supervisarse a través de los procesos de gestión de proveedores (A.3.10 Acuerdos con proveedores).
¿Qué se entiende por redes no confiables?
Las redes no confiables incluyen internet público y cualquier infraestructura de red que se encuentre fuera del control operativo directo de la organización. Esto puede incluir proveedores de red externos, redes Wi-Fi públicas, redes de datos móviles y conexiones entre sedes que atraviesen infraestructura pública. En lo que respecta a la información de identificación personal (IIP), lo más recomendable es considerar como no confiable cualquier red que se encuentre fuera del control físico y lógico directo de su organización y cifrar todas las transmisiones de IIP en consecuencia.
Las plataformas SaaS pueden encontrar orientación personalizada en nuestra guía para plataformas SaaS.
Documente este control en su Declaración de aplicabilidad.
