¿Qué requiere el control A.3.8?
Se deberá gestionar el ciclo de vida completo de las identidades relacionadas con el procesamiento de información de identificación personal (PII).
Este control se encuentra dentro del controles de seguridad compartidos (Cuadro A.3y se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Amplía los requisitos de gestión de identidades de la norma ISO 27001 para abordar específicamente los sistemas que procesan datos personales, reconociendo que las identidades comprometidas son una de las vías más comunes para las violaciones de la privacidad.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.3.8) proporciona orientación detallada sobre la gestión del ciclo de vida de la identidad para los sistemas de procesamiento de información de identificación personal (PII):
- Credenciales comprometidas — Abordar las situaciones en las que se vea comprometido el control de acceso de los usuarios, como la corrupción o el compromiso de contraseñas. Contar con procedimientos para detectar y responder con prontitud al compromiso de credenciales.
- Identificaciones desactivadas/caducadas — No vuelva a emitir identificadores de usuario desactivados o caducados para sistemas de procesamiento de información personal identificable (PII). Esto preserva la integridad de los registros de auditoría y evita la confusión de identidades.
- Responsabilidad compartida — Cuando los clientes (por ejemplo, en un contexto SaaS) son responsables de algunos aspectos de la gestión de la identificación de usuario, esto debe estar claramente documentado en los acuerdos de servicio.
- Controles específicos de cada jurisdicción — Algunas jurisdicciones exigen comprobaciones de credenciales no utilizadas con una frecuencia específica. Identifique y cumpla con cualquier requisito aplicable a su organización.
- Vea también A.3.9: Derechos de acceso para requisitos relacionados
- Vea también A.3.23: Autenticación segura para requisitos relacionados
La guía abarca todo el ciclo de vida: creación, aprovisionamiento, modificación, suspensión, desactivación y eliminación de identidades. Cada etapa debe estar documentada y controlada.
¿Cómo se relaciona esto con el RGPD?
El control A.3.8 se asigna a GDPR Artículo 5(1)(f) (principio de integridad y confidencialidad). Una gestión sólida de la identidad es una medida técnica y organizativa fundamental en virtud del artículo 32 (seguridad del tratamiento). Las identidades comprometidas o gestionadas de forma deficiente pueden dar lugar a accesos no autorizados a datos personales, lo que constituye tanto un incidente de seguridad como una posible violación de datos que requiere notificación conforme a los artículos 33 y 34.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Como control de seguridad compartido, A.3.8 respalda el enfoque más amplio. ISO 29100, marco. La gestión de identidades es una implementación directa del principio de seguridad de la información, que garantiza que solo las personas autorizadas puedan acceder a la información de identificación personal (PII) y que su acceso pueda ser rastreado, revisado y revocado a lo largo del ciclo de vida de la identidad.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.8, los auditores generalmente buscarán lo siguiente:
- Procedimientos del ciclo de vida de la identidad — Procedimientos documentados que abarcan la creación, modificación, suspensión y desactivación de identidades de usuario para sistemas de procesamiento de información de identificación personal (PII).
- Proceso de incorporación/traslado/baja — Evidencia de que los cambios de identidad se desencadenan por eventos de RR. HH. (nuevas contrataciones, cambios de rol, bajas) y se gestionan con prontitud.
- No se permite la reutilización de identificadores desactivados. — Evidencia de que los identificadores de usuario desactivados o caducados no se han vuelto a emitir a nuevos usuarios en los sistemas de procesamiento de información de identificación personal.
- Revisiones de credenciales no utilizadas — Evidencia de revisiones periódicas para identificar y desactivar cuentas inactivas, con frecuencia y resultados documentados.
- respuesta de compromiso — Procedimientos y evidencia de respuesta ante incidentes de vulneración de credenciales (restablecimiento de contraseñas, bloqueo de cuentas, registros de investigación)
- Acuerdos de servicio — Donde los clientes gestionan sus propios ID de usuario, acuerdos que definen claramente las responsabilidades.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.4 Funciones y responsabilidades | Los roles definidos determinan qué acceso debe tener cada identidad. |
| A.3.5 Clasificación de la información | El acceso a la información personal identificable de mayor clasificación debe restringirse a las identidades debidamente autorizadas. |
| A.3.3 Políticas de seguridad de la información | Los procedimientos de gestión de identidades deben implementar los requisitos de control de acceso definidos en las políticas de seguridad. |
| A.3.7 Transferencia de información | Las identidades utilizadas para acceder a los sistemas de transferencia deben gestionarse mediante los mismos controles de ciclo de vida. |
| A.3.12 Respuesta a incidentes de seguridad | La vulneración de la identidad que conlleva un acceso no autorizado puede dar lugar a obligaciones de notificación de la violación de seguridad. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la Cláusula 6.6.2.1 (registro y baja de usuarios). La versión de 2025 amplía el alcance para cubrir explícitamente todo el ciclo de vida de la identidad, no solo el registro y la baja. La guía ahora incluye disposiciones específicas para credenciales comprometidas, la no reutilización de ID desactivadas y requisitos de verificación de credenciales específicos de cada jurisdicción. Consulte la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gobernanza de la gestión de identidades?
SGSI.online Le ayuda a gestionar el ciclo de vida de la identidad para los sistemas de procesamiento de información de identificación personal (PII):
- Registro de control de acceso — Documentar quién tiene acceso a qué sistemas de procesamiento de información personal identificable, con niveles de acceso basados en roles vinculados a responsabilidades definidas.
- Flujos de trabajo de altas, bajas y traslados — Activar tareas de aprovisionamiento, modificación y desactivación de identidades a partir de eventos de RR. HH., con seguimiento de su finalización y aprobación.
- Revisiones periódicas de acceso — Programe y realice un seguimiento de las revisiones de acceso para los sistemas de procesamiento de información personal identificable (PII), con recordatorios integrados y un registro de auditoría de los resultados de las revisiones.
- Respuesta al incidente — Registrar los eventos de compromiso de credenciales y realizar un seguimiento de la respuesta hasta su resolución, incluyendo evidencia de las acciones correctivas tomadas.
- gobernanza del acceso de los proveedores — Cuando terceros o clientes gestionan sus propias identidades, documenta el modelo de responsabilidad compartida y supervisa el cumplimiento.
- Informes de cumplimiento — Generar informes sobre el estado de la gobernanza de identidades, incluidas las cuentas inactivas, las revisiones vencidas y las solicitudes de cambio de acceso abierto.
Preguntas Frecuentes
¿Por qué no deberían volver a emitirse los ID de usuario desactivados?
Reasignar un ID de usuario desactivado a una nueva persona genera ambigüedad en los registros de auditoría. Si un sistema registra las acciones por ID de usuario, resulta imposible distinguir entre las acciones realizadas por el titular original y los posteriores de dicho ID. Para los sistemas de procesamiento de información personal identificable (PII), donde los registros de auditoría son fundamentales para demostrar el cumplimiento normativo e investigar incidentes, esta ambigüedad es inaceptable. Cree siempre ID de usuario nuevos y únicos para los nuevos usuarios.
¿Con qué frecuencia debemos comprobar si hay credenciales no utilizadas?
Como mínimo, revise las credenciales no utilizadas trimestralmente. Algunas jurisdicciones o normativas del sector pueden exigir revisiones más frecuentes. Las herramientas automatizadas pueden marcar las cuentas que no se han utilizado en un periodo determinado (por ejemplo, 90 días), lo que permite a su equipo investigar y desactivar rápidamente las cuentas inactivas. Combine la detección automatizada con un proceso de revisión manual para detectar las cuentas que pudieran haber pasado desapercibidas.
¿Qué debemos hacer cuando nuestras credenciales se ven comprometidas?
Restablezca o suspenda inmediatamente las credenciales comprometidas e investigue el alcance de la vulneración. Determine si se accedió o se extrajo información personal identificable (PII). Si se ha producido una violación de datos personales, evalúe la necesidad de notificación según la legislación aplicable (p. ej. GDPR Artículos 33 y 34). Documente el incidente, las medidas adoptadas y el resultado. Analice la causa raíz e implemente medidas para prevenir su recurrencia, como la implementación de la autenticación multifactor o el fortalecimiento de las políticas de contraseñas.
Documente este control en su Declaración de aplicabilidad con su justificación de implementación.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.
