¿Qué requiere el control A.3.9?
Los derechos de acceso a la información de identificación personal (PII) y otros activos asociados relacionados con el procesamiento de PII se otorgarán, revisarán, modificarán y eliminarán de acuerdo con la política y las normas específicas de la organización sobre control de acceso.
Este control se encuentra dentro del Controles de seguridad compartidos Anexo (A.3), que contiene obligaciones aplicables tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Una gestión de acceso eficaz garantiza que solo el personal autorizado pueda acceder a los datos personales, reduciendo así el riesgo de divulgación o modificación no autorizadas.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.9) proporciona la siguiente orientación:
- Mantener registros precisos — Mantener registros actualizados de los perfiles de usuario que documenten qué personas tienen acceso autorizado a la información de identificación personal (PII) y a los sistemas de procesamiento de PII.
- Identificadores de acceso de usuario individuales — Utilice identificadores de usuario individuales para que las organizaciones puedan identificar con exactitud quién accedió a la información de identificación personal y qué cambios realizaron, lo que facilita la rendición de cuentas y la trazabilidad.
- Responsabilidades del procesador — En escenarios de procesamiento, el cliente (controlador) puede ser responsable de algunos aspectos de la gestión de acceso. Los procesadores deben proporcionar los derechos administrativos apropiados para permitir que los controladores gestionen el acceso según sea necesario.
- Vea también A.3.8: Gestión de identidades para requisitos relacionados
- Vea también A.3.23: Autenticación segura para requisitos relacionados
El énfasis en la identificación individual implica que las cuentas compartidas o las credenciales de inicio de sesión genéricas no son aceptables cuando se trata de información personal identificable. Cada acceso debe poder rastrearse hasta una persona específica.
¿Cómo se relaciona esto con el RGPD?
El control A.3.9 se asigna a GDPR El artículo 5(1)(f) exige que los datos personales se traten de forma que se garantice la seguridad adecuada, incluida la protección contra el acceso no autorizado. Un control de acceso riguroso es una de las maneras más directas de demostrar el cumplimiento de este principio de integridad y confidencialidad.
Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se cubrió en las cláusulas 6.6.2.2, 6.6.2.5 y 6.6.2.6, que abordaban el aprovisionamiento de acceso de usuarios, la revisión de los derechos de acceso de los usuarios y la eliminación o ajuste de los derechos de acceso, respectivamente. La edición de 2025 consolida estos en un único control (A.3.9), con una separación más clara entre la declaración de control y la guía de implementación en B.3.9. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.9, los auditores generalmente buscarán lo siguiente:
- Política de control de acceso — Una política documentada y específica sobre el tema que abarca cómo se otorgan, revisan y revocan los derechos de acceso a la información de identificación personal (PII).
- Registro de acceso de usuarios — Una lista actualizada de todas las personas con acceso a información de identificación personal (PII), incluyendo sus funciones y los conjuntos de datos específicos a los que pueden acceder.
- Revisiones periódicas de acceso — Evidencia de revisiones periódicas (por ejemplo, trimestrales) que confirmen que los derechos de acceso siguen siendo apropiados, con registros de cualquier cambio realizado.
- Proceso de incorporación/traslado/baja — Procedimientos documentados que muestran cómo se otorga el acceso a los nuevos empleados, cómo se ajusta cuando el personal cambia de funciones y cómo se elimina rápidamente cuando alguien se marcha.
- Los registros de auditoría — Registros del sistema que demuestran que se utilizan identificadores de usuario individuales y que los eventos de acceso son rastreables.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.10 Acuerdos con proveedores | Los contratos con los proveedores deben definir los derechos de acceso y las restricciones para la información de identificación personal (PII). |
| A.3.18 Acuerdos de confidencialidad | El personal con acceso a información personal identificable debe estar sujeto a obligaciones de confidencialidad. |
| A.3.16 Cumplimiento de las políticas | Verificar que las políticas de control de acceso se estén siguiendo en la práctica. |
| A.3.15 Revisión independiente | Las auditorías independientes deben evaluar si los controles de acceso son efectivos. |
| A.3.17 Concienciación y formación | El personal necesita capacitación sobre las responsabilidades del control de acceso y el manejo de información personal identificable. |
¿A quién se aplica este control?
A.3.9 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento deben garantizar que el acceso a los datos personales se limite al personal autorizado, mientras que los encargados del tratamiento deben proporcionar a los responsables las herramientas administrativas necesarias para gestionar los derechos de acceso. En la práctica, esto significa que ambas partes necesitan procedimientos documentados de gestión de accesos.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para gestionar los derechos de acceso a la información de identificación personal?
SGSI.online Proporciona herramientas prácticas para gestionar los controles de acceso en todo su programa de privacidad:
- Registro de control de acceso — Documentar quién tiene acceso a qué activos de información personal identificable (PII), con categorización basada en roles y flujos de trabajo de aprobación.
- Revisiones de acceso programadas — Configure ciclos de revisión con recordatorios automatizados para que los derechos de acceso se verifiquen a intervalos planificados.
- Flujos de trabajo de altas, bajas y traslados — Plantillas de tareas predefinidas para aprovisionar, modificar y revocar el acceso cuando se producen cambios de personal.
- Registro completo de auditoría — Cada cambio en los derechos de acceso se registra con marcas de tiempo, aprobadores y motivos, listo para la revisión del auditor.
- Gestión de políticas — Mantenga su política de control de acceso con control de versiones, seguimiento de la confirmación del personal y fechas de revisión.
Preguntas Frecuentes
¿Con qué frecuencia deben revisarse los derechos de acceso?
La norma no prescribe una frecuencia específica, pero la mayoría de las organizaciones revisan los derechos de acceso a la información personal identificable (PII) trimestralmente. Los sistemas de alto riesgo que manejan categorías sensibles de PII pueden requerir revisiones mensuales. Lo fundamental es que las revisiones se realicen a intervalos planificados y se documenten, y que cualquier discrepancia se resuelva con prontitud.
¿Se pueden utilizar cuentas compartidas para acceder a información de identificación personal?
La guía de implementación exige específicamente identificadores de acceso de usuario individuales para que las organizaciones puedan identificar quién accedió a la información personal identificable y qué cambios realizó. Las cuentas compartidas o genéricas dificultan esta trazabilidad. Si el uso de cuentas compartidas es inevitable por una razón técnica específica, se deben documentar controles compensatorios, como el registro y la supervisión adicionales.
¿Cuáles son las obligaciones de un procesador en la gestión del acceso de los clientes?
Cuando un encargado del tratamiento gestiona información personal identificable (IPI) en nombre de un responsable del tratamiento, este último puede necesitar gestionar directamente algunos aspectos del acceso. El encargado del tratamiento debe proporcionar los derechos y herramientas administrativas adecuados para que el responsable del tratamiento pueda otorgar y revocar el acceso según sea necesario. La división de responsabilidades debe estar claramente documentada en el acuerdo de tratamiento.
Documente este control en su Declaración de aplicabilidad con su justificación de implementación.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.
