Ir al contenido
SGSI.online

ISO 27701:2025 Control A.3.31: Información de prueba

El control A.3.31 exige que las organizaciones seleccionen, protejan y gestionen adecuadamente la información de prueba relacionada con el procesamiento de información de identificación personal (IIP). Este control compartido evita la exposición innecesaria de datos personales reales en entornos de prueba y desarrollo.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.3.31?

La información de prueba relacionada con el procesamiento de información de identificación personal deberá seleccionarse, protegerse y gestionarse adecuadamente.

Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) aborda una de las causas más comunes de exposición innecesaria de información personal identificable (PII): la copia de datos de producción en entornos de prueba y desarrollo. Los entornos de prueba suelen tener controles de acceso más débiles, un acceso más amplio, menor supervisión e infraestructura más transitoria que los sistemas de producción, lo que supone un riesgo significativo para la privacidad si contienen información personal identificable real.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.3.31) proporciona la siguiente orientación:

  • Prefiero los datos sintéticos. — La información de identificación personal (PII) no debe utilizarse con fines de prueba; en su lugar, debe utilizarse información de identificación personal falsa o sintética.
  • Aplicar controles equivalentes cuando la información de identificación personal sea inevitable. — Cuando no se pueda evitar el uso de información personal identificable (PII) para fines de prueba, se deben implementar medidas técnicas y organizativas equivalentes a las utilizadas en el entorno de producción para minimizar los riesgos.
  • Evaluar el riesgo cuando no sea factible utilizar controles equivalentes. — Cuando tales medidas equivalentes no sean factibles, se deberá realizar una evaluación de riesgos y utilizarla para identificar la selección de controles de mitigación apropiados.
  • Vea también A.3.28: Requisitos de seguridad de la aplicación para requisitos relacionados
  • Vea también A.3.29: Arquitectura de sistemas seguros y principios de ingeniería para requisitos relacionados

La guía establece una jerarquía clara: primero, datos sintéticos; luego, controles equivalentes a los de producción si el uso de información personal identificable (PII) real es inevitable; y, como último recurso, medidas de mitigación basadas en la evaluación de riesgos. Este enfoque gradual reconoce que algunos escenarios de prueba pueden requerir datos reales, pero deja claro que esto debe ser la excepción y no la regla.

¿Cómo se relaciona esto con el RGPD?

El control A.3.31 se corresponde con lo siguiente: GDPR artículo:

  • Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado.

El uso de información personal identificable real en entornos de prueba con controles de seguridad más débiles que en producción constituye una violación directa del artículo 5, apartado 1, letra f). Las autoridades de supervisión han emprendido acciones coercitivas contra organizaciones que expusieron datos personales a través de entornos de prueba con seguridad insuficiente.

Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la cláusula 6.11.3.1 (protección de datos de prueba). La edición de 2025 mantiene los requisitos principales como A.3.31 con la guía de implementación en B.3.31 que ahora proporciona una jerarquía de tres niveles más clara para la gestión de datos de prueba: datos sintéticos, controles equivalentes y luego mitigaciones evaluadas en función del riesgo. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.3.31, los auditores generalmente buscarán lo siguiente:

  • Política de datos de prueba — Una política documentada que especifique que se deben utilizar datos sintéticos o anonimizados para las pruebas, con un proceso definido para los casos excepcionales en los que se requiera información personal identificable real.
  • Capacidad de datos sintéticos — Evidencia de que la organización cuenta con herramientas o procesos para generar datos de prueba realistas pero ficticios.
  • Seguridad del entorno de prueba — Cuando se utilice información personal identificable real en las pruebas, se deberá demostrar que el entorno de prueba cuenta con controles de seguridad equivalentes a los de producción (controles de acceso, cifrado, registro de eventos, monitorización).
  • Evaluaciones de riesgo — Cuando no sean factibles controles equivalentes, evaluaciones de riesgos documentadas que identifiquen los riesgos y los controles de mitigación seleccionados.
  • Gestión del ciclo de vida de los datos de prueba — Evidencia de que la información personal identificable real utilizada en las pruebas se elimina o destruye una vez finalizado el propósito de la prueba.

¿Cuáles son los controles relacionados?

Control Relación
A.3.27 Ciclo de vida de desarrollo seguro La gestión de datos de prueba debe estar integrada en el ciclo de vida del desarrollo.
A.3.30 Desarrollo subcontratado Los desarrolladores subcontratados no deben utilizar información personal identificable real para las pruebas.
A.1.4.6 Desidentificación y eliminación Las técnicas de anonimización pueden crear datos de prueba utilizables a partir de datos de producción.
A.3.9 Derechos de acceso El acceso a entornos de prueba que contienen información personal identificable real debe estar controlado.
A.3.25 Registro de actividad Se debe registrar el acceso a la información de identificación personal en entornos de prueba.

¿A quién se aplica este control?

A.3.31 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Cualquier organización que pruebe sistemas que procesan datos personales debe gestionar los datos de prueba adecuadamente. Esto es especialmente importante para los proveedores de SaaS, las empresas de software y los proveedores de servicios gestionados, donde el desarrollo y las pruebas son actividades continuas y no proyectos puntuales.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para la gestión de datos de prueba?

SGSI.online Proporciona herramientas prácticas para gestionar la información de las pruebas de forma segura:

  • Gestión de políticas — Publicar políticas de datos de prueba con control de versiones y seguimiento de la confirmación del personal
  • Evaluaciones de riesgo — Realizar evaluaciones de riesgo específicas para escenarios en los que la presencia de información personal identificable (PII) real en las pruebas sea inevitable, con controles de mitigación documentados.
  • Gestión de excepciones — Realizar un seguimiento de las excepciones aprobadas en las que se utiliza información personal identificable real para realizar pruebas, incluyendo la justificación, la aprobación, las medidas de seguridad aplicadas y la confirmación de la destrucción de datos.
  • Monitoreo de cumplimiento — Supervisar el cumplimiento del entorno de pruebas con la política de datos de prueba en todos los equipos de desarrollo.
  • Gestión de pruebas — Almacenar evidencia de gestión de datos de prueba, incluyendo documentación de capacidad de datos sintéticos, evaluaciones de riesgos y registros de excepciones para la preparación de auditorías.

Preguntas Frecuentes

¿Cuándo es aceptable utilizar información personal identificable real para realizar pruebas?

Solo se debe utilizar información personal identificable real cuando los datos sintéticos no puedan replicar adecuadamente el escenario de prueba. Las justificaciones comunes incluyen: probar la migración de datos desde un sistema heredado (donde se debe verificar la estructura y el contenido de los datos), diagnosticar un problema de producción que no se puede reproducir con datos sintéticos o realizar pruebas de rendimiento donde el volumen y las características de los datos deben coincidir con los de producción. En todos los casos, se debe realizar una evaluación de riesgos, aplicar controles de seguridad equivalentes y eliminar la información personal identificable real del entorno de prueba una vez que se haya completado el propósito de la prueba.

¿Qué técnicas se pueden utilizar para crear datos de prueba sintéticos?

Las técnicas comunes incluyen: herramientas de generación de datos que crean registros realistas pero ficticios (nombres, direcciones, identificadores); enmascaramiento o seudonimización de datos que reemplaza los valores reales de información personal identificable (PII) con valores ficticios, preservando la estructura y las relaciones de los datos; selección de subconjuntos de datos que toma una pequeña muestra de los datos de producción y la anonimiza; y herramientas de síntesis de datos que utilizan modelos estadísticos para generar datos con las mismas características de distribución que los datos de producción. El enfoque debe preservar el valor de prueba de los datos, eliminando al mismo tiempo el riesgo para la privacidad.

¿Qué controles de seguridad son necesarios para los entornos de prueba con información personal identificable real?

La norma exige controles equivalentes a los del entorno de producción. Esto suele incluir: el mismo modelo de control de acceso con los mismos requisitos de autenticación; cifrado de datos en reposo y en tránsito; registro y monitorización de todos los accesos a datos; revisiones periódicas de acceso; aislamiento seguro del entorno de las redes públicas; y procedimientos de destrucción de datos una vez finalizadas las pruebas. Muchas organizaciones consideran más sencillo y menos arriesgado invertir en la capacidad de datos sintéticos que duplicar los controles de seguridad de producción en múltiples entornos de prueba.

Incluya controles de datos de prueba en su Declaración de aplicabilidad.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan en cuanto a la protección de los datos de prueba.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.