¿Qué requiere el control A.3.30?
La organización deberá dirigir, supervisar y revisar las actividades relacionadas con el desarrollo de sistemas subcontratados para el procesamiento de información personal identificable (PII).
Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) aborda la realidad de que muchas organizaciones subcontratan parte o la totalidad de su desarrollo de software. Ya sea mediante contratistas, agencias, equipos externos o proveedores de servicios gestionados, la organización sigue siendo responsable de garantizar que los sistemas subcontratados protejan la información personal identificable (PII) con el mismo estándar que los sistemas desarrollados internamente. Los tres verbos —dirigir, supervisar y revisar— establecen un marco de supervisión integral.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.30) proporciona la siguiente orientación:
- Aplicar la privacidad desde el diseño y la privacidad por defecto. — Los mismos principios de privacidad desde el diseño y privacidad por defecto (véase B.3.29) deben aplicarse, si procede, a los sistemas de información externalizados.
La guía es deliberadamente concisa porque el conjunto completo de principios de desarrollo de A.3.29 Arquitectura de sistema seguro Esto se aplica igualmente al trabajo subcontratado. En la práctica, esto implica que los contratos de desarrollo subcontratados deben incluir los principios de ingeniería de seguridad de la organización, y esta debe contar con mecanismos de supervisión para verificar el cumplimiento durante todo el proceso de desarrollo.
¿Cómo se relaciona esto con el RGPD?
El control A.3.30 no tiene una conexión directa. GDPR Mapeo de artículos en el Anexo D. Sin embargo, respalda indirectamente varias obligaciones del RGPD:
- Artículo 25 (1) — La protección de datos desde el diseño se aplica independientemente de si el desarrollo se realiza internamente o se subcontrata.
- Artículo 28 — Cuando un desarrollador subcontratado actúa como encargado del tratamiento, se aplican los requisitos del artículo 28 (contratos del encargado del tratamiento, instrucciones, medidas de seguridad).
El RGPD deja claro que la externalización no transfiere la responsabilidad. El responsable o el encargado del tratamiento sigue siendo responsable de la privacidad y la seguridad de los sistemas desarrollados en su nombre.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.11.2.7 (desarrollo subcontratado). La edición de 2025 mantiene el requisito principal como A.3.30 con la guía de implementación en B.3.30 que ahora vincula explícitamente con los principios de privacidad por diseño y privacidad por defecto en B.3.29. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.30, los auditores generalmente buscarán lo siguiente:
- Contratos de desarrollo con requisitos de privacidad — Contratos con desarrolladores subcontratados que incluyan requisitos de protección de información personal identificable, principios de ingeniería segura, obligaciones de manejo de datos y el derecho a auditoría.
- Registros de dirección y supervisión — Evidencia de cómo la organización comunica los requisitos de privacidad a los desarrolladores subcontratados, incluidas las especificaciones, las directrices y los materiales de capacitación proporcionados.
- Actividades de monitoreo — Registros de seguimiento continuo, como revisiones de código, pruebas de seguridad, revisiones de progreso y comprobaciones de cumplimiento realizadas durante el proceso de desarrollo.
- Criterios de revisión y aceptación — Procesos de revisión documentados que incluyen pruebas de aceptación centradas en la privacidad, aprobación de la revisión de seguridad y verificación de que los entregables cumplen con los requisitos de protección de la información de identificación personal (PII).
- Manejo de datos durante el desarrollo — Evidencia de que los desarrolladores subcontratados no utilizan información personal identificable real para las pruebas (enlace a A.3.31 Información de prueba) y que cualquier acceso a información de identificación personal se controle y registre adecuadamente.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.29 Arquitectura de sistema seguro | El desarrollo externalizado debe seguir los mismos principios de ingeniería. |
| A.3.10 Acuerdos con proveedores | Los contratos de subcontratación de desarrollo deben incluir cláusulas de protección de información personal identificable (PII). |
| A.3.27 Ciclo de vida de desarrollo seguro | Los desarrolladores subcontratados deben seguir los requisitos del ciclo de vida del desarrollo de software (SDLC) de la organización. |
| A.3.31 Información de la prueba | El desarrollo subcontratado no debe utilizar información personal identificable real para las pruebas. |
| A.3.18 Acuerdos de confidencialidad | Los desarrolladores subcontratados deben firmar acuerdos de confidencialidad que cubran la información personal identificable (PII). |
¿A quién se aplica este control?
A.3.30 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Toda organización que subcontrate el desarrollo de sistemas que procesen datos personales debe dirigir, supervisar y revisar las actividades de desarrollo subcontratadas. Esto se aplica a los acuerdos de subcontratación completa, a los contratistas individuales, a las agencias de desarrollo y a cualquier otro tipo de colaboración con terceros.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la supervisión del desarrollo externalizado?
SGSI.online Proporciona herramientas prácticas para gestionar las relaciones de desarrollo externalizadas:
- Administración de suministros — Realice un seguimiento de los proveedores de desarrollo subcontratados con registros de contratos, estado de cumplimiento, evaluaciones de riesgos y cronogramas de revisión en un solo lugar.
- Comunicación de requisitos — Comparta los requisitos de privacidad y los principios de ingeniería segura con los desarrolladores subcontratados a través de la plataforma, con seguimiento de confirmación.
- Revisar flujos de trabajo — Cree flujos de trabajo de revisión estructurados para revisiones de código, evaluaciones de seguridad y pruebas de aceptación con seguimiento de aprobación.
- Evaluaciones de riesgo — Realizar evaluaciones de riesgos específicas para escenarios de desarrollo subcontratados, incluidos los riesgos de acceso a datos, los riesgos de calidad del código y los riesgos de los subcontratistas.
- Registro de auditoría — Mantener un registro de auditoría completo de todas las actividades de supervisión, comunicaciones y resultados de las revisiones como evidencia de cumplimiento.
Preguntas Frecuentes
¿Qué debe incluirse en un contrato de desarrollo externalizado?
El contrato debe incluir: requisitos de protección de datos personales y principios de ingeniería segura de la organización; obligaciones de manejo de datos (incluidas restricciones al uso de datos personales reales para pruebas); obligaciones de confidencialidad; derecho a auditar el código y las prácticas de seguridad; requisitos de pruebas de seguridad; obligaciones de notificación de incidentes; disposiciones sobre propiedad intelectual y titularidad del código; y requisitos de destrucción de datos al finalizar el contrato. Cuando el desarrollador tenga acceso a datos personales, el contrato también debe abordar los requisitos del artículo 28 del RGPD para el tratamiento de datos.
¿Cómo deben las organizaciones supervisar el desarrollo externalizado?
El monitoreo debe incluir: revisiones periódicas del código centradas en el manejo de información personal identificable (PII); pruebas de seguridad (SAST, DAST, pruebas de penetración) en hitos definidos; revisiones de progreso que incluyan el cumplimiento de los requisitos de privacidad; verificación de que los entornos de prueba no contengan PII real; revisión de los registros de acceso de cualquier entorno de desarrollo que contenga PII; y evaluación periódica de las prácticas de seguridad del desarrollador. El nivel de monitoreo debe ser proporcional a la sensibilidad de la PII y a la criticidad del sistema.
¿Este control se aplica al uso de componentes de código abierto?
A.3.30 cubre específicamente las relaciones de desarrollo subcontratadas donde un tercero desarrolla sistemas en nombre de la organización. Los componentes de código abierto se incluyen más naturalmente en A.3.28 Seguridad de las aplicaciones (requisitos de seguridad de la aplicación) donde la organización debe evaluar la idoneidad de seguridad de los componentes de terceros. Sin embargo, si una organización encarga a un tercero el desarrollo o la personalización de un componente de código abierto para el procesamiento de información de identificación personal (PII), dicho encargo se incluye en el ámbito de aplicación de A.3.30.
Las plataformas SaaS pueden encontrar orientación personalizada en nuestra guía para plataformas SaaS.
Documente este control en su Declaración de aplicabilidad.
