¿Qué requiere el control A.3.7?
Deberán existir normas, procedimientos o acuerdos de transferencia de información relacionados con el procesamiento de información de identificación personal para todos los tipos de instalaciones de transferencia dentro de la organización y entre la organización y otras partes.
Este control se encuentra dentro del controles de seguridad compartidos (Cuadro A.3) y se aplica tanto a los controladores de PII como a los procesadores de PII. Aborda la seguridad de la PII en tránsito, complementando los controles de transferencia específicos del controlador en A.1.5 que se centran en los aspectos legales y de gobernanza de las transferencias internacionales.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.3.7) proporciona la siguiente orientación:
- Asegúrese de que las reglas relacionadas con el procesamiento de PII sean aplicado en todo el sistema y fuera de él. donde corresponda
- Considerar todos los métodos de transferencia, incluyendo transferencias electrónicas (correo electrónico, intercambio de archivos, API, sincronización en la nube), transferencias físicas (soportes portátiles, documentos impresos, mensajería) y comunicación verbal.
- Las reglas de transferencia deben especificar los controles de seguridad requeridos para cada método y nivel de clasificación.
- Los acuerdos con terceros deben definir las responsabilidades de protección de la información de identificación personal durante la transferencia.
- Los procedimientos deben abordar el manejo de fallas de transferencia, interceptaciones y medios perdidos.
- Vea también A.3.20: Medios de almacenamiento para requisitos relacionados
- Vea también A.3.21: Eliminación segura o reutilización de equipos para requisitos relacionados
La guía subraya que la seguridad de las transferencias no se limita al cifrado. Abarca todo el ciclo de vida de una transferencia: autorización, empaquetado, transmisión, confirmación de recepción y gestión de incidencias.
¿Cómo se relaciona esto con el RGPD?
El control A.3.7 se asigna a GDPR Artículo 5(1)(f) (principio de integridad y confidencialidad). GDPR Exige que los datos personales se traten de forma que se garantice la seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales. Los procedimientos de transferencia segura son un componente fundamental de esta obligación.
Este control también contribuye al cumplimiento del artículo 32 (seguridad del tratamiento), que exige medidas técnicas y organizativas adecuadas, incluyendo, según proceda, el cifrado de los datos personales y la capacidad de garantizar la confidencialidad continua de los sistemas de tratamiento.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Como control de seguridad compartido, A.3.7 respalda el enfoque más amplio. ISO 29100, marco. La seguridad de la transferencia es una implementación directa del principio de seguridad de la información, que garantiza que la información de identificación personal esté protegida no solo en reposo, sino también durante su movimiento entre sistemas, ubicaciones y organizaciones.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.7, los auditores generalmente buscarán lo siguiente:
- Política o procedimientos de transferencia — Normas documentadas que abarcan todos los métodos de transferencia (electrónico, físico, verbal) con disposiciones específicas para la información de identificación personal (PII).
- Estándares de cifrado — Evidencia de que la información de identificación personal (PII) se cifra durante la transmisión utilizando los estándares actuales (por ejemplo, TLS 1.2+ para transferencias electrónicas, contenedores cifrados para medios portátiles).
- Acuerdos de transferencia — Se han firmado acuerdos con terceros que definen los requisitos de seguridad para la información de identificación personal en tránsito.
- Controles técnicos — Evidencia de configuración para cifrado de correo electrónico, plataformas de transferencia segura de archivos, VPN y seguridad de API.
- Manejo de incidentes — Procedimientos para solucionar fallos en la transferencia, como la pérdida de soportes portátiles o la interceptación de comunicaciones.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.5 Clasificación de la información | Los niveles de clasificación determinan los controles de seguridad de transferencia necesarios. |
| A.3.6 Etiquetado de la información | Las etiquetas hacen visible la clasificación, lo que ayuda al personal a aplicar los procedimientos de transferencia correctos. |
| A.1.5.2 Base para la transferencia de información de identificación personal entre jurisdicciones | La base jurídica de la transferencia (control del controlador) complementa las medidas de seguridad en A.3.7. |
| A.1.5.4 Registros de transferencia de información personal identificable | Los registros de transferencia deben hacer referencia a las medidas de seguridad aplicadas durante la transferencia. |
| A.3.3 Políticas de seguridad de la información | Los procedimientos de transferencia deben basarse en la política de seguridad general. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se distribuía entre las cláusulas 6.10.2.1, 6.10.2.2 y 6.10.2.3, que abarcaban la mensajería electrónica, las políticas y procedimientos de transferencia de información y los acuerdos de confidencialidad, respectivamente. La edición de 2025 consolida estos en un único control (A.3.7) con una guía unificada en B.3.7. Esto hace que el requisito sea más coherente y fácil de implementar, manteniendo el mismo alcance sustantivo. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para gestionar la transferencia segura de información?
SGSI.online Proporciona las herramientas para documentar, aplicar y evidenciar sus controles de seguridad de transferencia:
- Documentación del procedimiento de transferencia — Crear y mantener procedimientos de transferencia para cada método (correo electrónico, intercambio de archivos, soportes físicos) con control de versiones y flujos de trabajo de aprobación.
- Gestión de proveedores y socios — Almacenar los acuerdos de transferencia junto con los perfiles de los proveedores, realizar un seguimiento del cumplimiento de los requisitos de seguridad acordados e indicar cuándo es necesario renovar los acuerdos.
- Prueba de control — Vincular los controles técnicos (configuraciones de cifrado, ajustes de la plataforma de transferencia segura) con los requisitos de la política pertinente.
- Administracion de incidentes — Registrar y hacer seguimiento de los incidentes relacionados con las transferencias, con análisis de la causa raíz y acciones correctivas.
- Registro integrado de riesgos — Evaluar los riesgos de transferencia junto con otros riesgos de seguridad de la información, asegurando que se apliquen controles proporcionales según el nivel de clasificación.
Preguntas Frecuentes
¿Este control se aplica únicamente a las transferencias externas?
No. El control abarca explícitamente las transferencias «dentro de la organización y entre la organización y terceros». Las transferencias internas, como el traslado de información personal identificable (PII) entre departamentos, sistemas o ubicaciones dentro de la misma organización, también deben estar sujetas a las normas de transferencia. Esto incluye el correo electrónico interno, el intercambio de archivos entre equipos, la replicación de datos entre centros de datos y el traslado físico de documentos entre oficinas.
¿Qué estándares de cifrado se deben utilizar para la información de identificación personal (PII) en tránsito?
Como mínimo, utilice TLS 1.2 o posterior para transferencias electrónicas. Para correo electrónico, considere S/MIME o PGP para información personal sensible. Para medios portátiles, utilice cifrado AES-256. Para transferencias mediante API, implemente HTTPS con TLS mutuo siempre que sea posible. Los estándares específicos deben ser proporcionales al nivel de clasificación de la información personal que se transfiere y estar alineados con las mejores prácticas de la industria y las directrices regulatorias vigentes.
¿Cómo debemos gestionar las transferencias verbales de información personal identificable?
La comunicación verbal de información personal identificable (por ejemplo, llamadas telefónicas, conversaciones presenciales) debe estar contemplada en sus procedimientos de transferencia. Considere medidas como la verificación de identidad antes de divulgar información personal identificable verbalmente, evitar hablar de información personal identificable sensible en espacios públicos, utilizar canales de comunicación seguros para conversaciones delicadas y capacitar al personal sobre el manejo verbal adecuado de datos personales.
Documente este control en su Declaración de aplicabilidad con su justificación de implementación.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.
