ISO 27701 – Cláusula 6.11 – Adquisición, Desarrollo y Mantenimiento de Sistemas

Explicación de los requisitos clave de la cláusula 27701 de la norma ISO 6.11

Los servicios de aplicaciones, los requisitos de seguridad de la información y las actividades de gestión de proyectos deben desarrollarse junto con cualquier esfuerzo de protección de la privacidad de la organización para garantizar que la PII y los datos de pago/pedidos reciban la máxima protección durante todo el ciclo de vida de la aplicación y del proyecto.

Qué se cubre en la cláusula 27701 de la norma ISO 6.11

La cláusula 27701 de ISO 6.11 contiene tres subcláusulas que tratan de los elementos principales de la adquisición de sistemas, y cada cláusula contiene orientación adjunta de los controles contenidos en ISO 27002:

• ISO 27701 6.11.1.1 – Análisis y especificación de requisitos de seguridad de la información (ISO 27002 Control 5.8)
• ISO 27701 6.11.1.2 – Protección de servicios de aplicaciones en redes públicas (ISO 27002 Control 8.26)
• ISO 27701 6.11.1.3 – Protección de las transacciones de servicios de aplicaciones (ISO 27002 Control 8.26)

Una subcláusula, 6.11.1.2, contiene información que es elementos aplicables del Reino Unido. GDPR legislación, sin ofrecer más orientación sobre PIMS o temas relacionados con PII.

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.

ISO 27701 Cláusula 6.11.1.1 – Análisis y especificación de requisitos de seguridad de la información

Referencias ISO 27002 Control 5.8

Los procedimientos de protección de la privacidad deben integrarse en las actividades de gestión de proyectos para garantizar que la PII esté protegida en todo momento y que las políticas de seguridad de la organización estén alineadas.

Las organizaciones deben garantizar que:

• Los riesgos de protección de la privacidad se consideran durante todo el ciclo de vida del proyecto, especialmente en las primeras etapas.
• El progreso de la mitigación de riesgos de protección de la privacidad se revisa periódicamente, con un enfoque en mejorar la efectividad y la resiliencia.
• Los comités de proyecto toman en cuenta los controles de protección de la privacidad en las etapas apropiadas del proyecto.
• Las funciones y responsabilidades en materia de protección de la privacidad deberían delinearse en una etapa temprana.
• Todos los productos que se entregarán como parte del proyecto tienen un conjunto claro de requisitos de protección de la privacidad.
• Los ciclos de vida del proyecto (ágil, en cascada, etc.) reflejan los requisitos de riesgo de dicho proyecto en cualquier etapa determinada, con énfasis en la protección de la privacidad.

ISO 27701 Cláusula 6.11.1.2 – Protección de servicios de aplicaciones en redes públicas

Referencias ISO 27002 Control 8.26

Los procedimientos de seguridad de las aplicaciones deben desarrollarse junto con políticas más amplias de protección de la privacidad, generalmente a través de una evaluación de riesgos estructurada que tenga en cuenta múltiples variables.

Los requisitos de seguridad de las aplicaciones deben incluir:

• Los niveles de confianza inherentes a todas las entidades de la red (ver Controles ISO 27002 5.17, 8.2 y 8.5).
• La clasificación de datos que la aplicación está configurada para procesar (incluida la PII).
• Cualquier requisito de segregación.
• Protección contra ataques internos, externos y/o uso malicioso.
• Cualquier requisito legal, contractual o reglamentario vigente.
• Protección robusta de la información confidencial.
• Datos que deben protegerse en tránsito.
• Cualquier requisito criptográfico.
• Controles seguros de entrada y salida.
• Uso mínimo de campos de entrada sin restricciones, especialmente aquellos que tienen el potencial de almacenar datos personales.
• El manejo de mensajes de error, incluida la comunicación clara de los códigos de error.

Servicios transaccionales

Los servicios transaccionales que facilitan el flujo de datos de privacidad entre la organización y una organización tercera u organización asociada deben:

• Establecer un nivel adecuado de confianza entre las identidades organizacionales.
• Incluir mecanismos que verifiquen la confianza entre identidades establecidas (por ejemplo, hash y firmas digitales).
• Describir procedimientos sólidos que gobiernen lo que los empleados pueden gestionar documentos transaccionales clave.
• Contener procedimientos de gestión documental y transaccional que cubran la confidencialidad, integridad, prueba de envío y recepción de documentos y transacciones clave.
• Incluir orientación específica sobre cómo mantener las transacciones confidenciales.

Aplicaciones de pedidos y pagos electrónicos

Para cualquier aplicación que implique pedidos y/o pagos electrónicos, las organizaciones deben:

1. Describir requisitos estrictos para la protección de datos de pagos y pedidos.
2. Verifique la información de pago antes de realizar un pedido.
3. Almacene de forma segura datos transaccionales y relacionados con la privacidad de una manera que sea inaccesible para el público.
4. Utilice autoridades confiables al implementar firmas digitales, teniendo en cuenta la protección de la privacidad en todo momento.

Artículos aplicables del RGPD

• Artículo 5 – (1)(f)
• Artículo 32 – (1)(a)

Controles ISO 27002 relevantes

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 Cláusula 6.11.1.3 – Protección de las transacciones de servicios de aplicaciones

Referencias ISO 27002 Control 8.26

Ver ISO 27701 Cláusula 6.11.1.2

Controles de soporte de ISO 27002 y GDPR

Cómo ayuda ISMS.online

Nuestra plataforma todo en uno garantiza que su trabajo de privacidad se alinee y satisfaga las necesidades de cada sección del estándar ISO 27701. Y como es independiente de las regulaciones, puede asignarlo a cualquier regulación que necesite.

• Banco de riesgos integrado
• ROPA es fácil
• Espacio seguro para la RRD

Descubre más por reservar una demostración.