ISO 27701 Cláusula 7.4.1 – Colección de límites
Objeto de la Cláusula 7.4.1
Las organizaciones deben limitar su recopilación de PII en función de tres factores:
- Pertinencia.
- Proporcionalidad.
- Necesidad.
Orientación sobre la Cláusula 7.4.1
Las organizaciones solo deben recopilar PII, ya sea directa o indirectamente, de acuerdo con los factores anteriores, y solo para fines que sean relevantes y necesarios para el propósito declarado.
Como concepto, se debe respetar la 'privacidad por defecto', es decir, cualquier función opcional debe estar desactivada de forma predeterminada.
ISO 27701 Cláusula 7.4.2 – Procesamiento de límites
Objeto de la Cláusula 7.4.2
Para acompañar la norma ISO 27701 7.4.1, las organizaciones también deben procesar la PII solo si es relevante, proporcional y necesaria para cumplir un propósito establecido.
Orientación sobre la Cláusula 7.4.2
El procesamiento de PII incluye:
- Revelación.
- Almacenamiento.
- Accesibilidad.
Todas las funciones anteriores deben llevarse a cabo a los niveles mínimos que se requieren para cumplir un objetivo.
Las organizaciones deben limitar el procesamiento de PII junto con los procesos, políticas y procedimientos de seguridad de la información publicados (ver ISO 27701 Cláusula 6.2).
Cláusulas relevantes de ISO 27701
- ISO 27701 6.2
ISO 27001 simplificado
Una ventaja del 81% desde el primer día
Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 7.4.3 – Precisión y Calidad
Objeto de la Cláusula 7.4.3
Las organizaciones deben tomar medidas para garantizar que la PII sea con precisión, completar y hasta a la fecha, durante todo su ciclo de vida.
Orientación sobre la Cláusula 7.4.3
Las políticas de seguridad de la información organizacional y las configuraciones técnicas deben contener pasos que busquen minimizar los errores a lo largo de su operación de procesamiento de PII, incluidos controles sobre cómo responder a las imprecisiones.
ISO 27701 Cláusula 7.4.4 – Objetivos de minimización de PII
Objeto de la Cláusula 7.4.4
Las organizaciones necesitan construir procedimientos de "minimización de datos", incluidos mecanismos como la desidentificación.
Orientación sobre la Cláusula 7.4.4
Se debe utilizar la minimización de datos para garantizar que la recopilación y el procesamiento de PII se limiten al "propósito identificado" de cada función (ver ISO 27701 Cláusula 7.2.1).
Una gran parte de este proceso implica documentar en qué medida la información de los principales de una PII debe ser directamente atribuible a ellos y cómo se debe lograr la minimización a través de una variedad de métodos disponibles.
Las organizaciones deben describir las técnicas específicas que utilizan para desidentificar a los directores de PII, tales como:
- Aleatorización.
- Adición de ruido.
- Generalización.
- Eliminación de atributos.
Cláusulas relevantes de ISO 27701
- ISO 27701 7.2.1
Cláusula 27701 de la norma ISO 7.4.5: Desidentificación y eliminación de información personal identificable al final del procesamiento
Objeto de la Cláusula 7.4.5
Las organizaciones deben destruir por completo cualquier PII que ya no cumpla un propósito o modificarla de manera que impida cualquier forma de identificación principal.
Orientación sobre la Cláusula 7.4.5
Tan pronto como la organización establezca que no es necesario procesar la PII en ningún momento en el futuro, la información debe ser borrado or desidentificado, según lo dicten las circunstancias.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 7.4.6 – Archivos temporales
Objeto de la Cláusula 7.4.6
Los archivos temporales se crean por diversas razones técnicas, durante todo el ciclo de vida de procesamiento y recopilación de PII, en numerosas aplicaciones, sistemas y plataformas de seguridad.
Las organizaciones deben asegurarse de que estos archivos se destruyan dentro de un período de tiempo razonable, de acuerdo con una política de retención oficial.
Orientación sobre la Cláusula 7.4.6
Una forma sencilla de identificar la existencia de dichos archivos es realizar comprobaciones periódicas de los archivos temporales en la red. Los archivos temporales suelen incluir:
- Archivos de actualización de bases de datos.
- Información almacenada en caché.
- Archivos creados por aplicaciones y paquetes de software personalizados.
Las organizaciones deben adherirse a un llamado procedimiento de recolección de basura que elimina archivos temporales cuando ya no son necesarios.
ISO 27701 Cláusula 7.4.7 – Retención
Objeto de la Cláusula 7.4.7
Es de vital importancia que las organizaciones reconozcan sus obligaciones de eliminar y/o eliminar la PII que ya no sea necesaria para lograr un propósito declarado.
Orientación sobre la Cláusula 7.4.7
Las organizaciones deben redactar y cumplir programas de retención categóricos que describan el período de tiempo exacto durante el cual los directores de PII pueden esperar que se almacenen sus datos.
Los cronogramas de retención deben adaptarse a los requisitos legales, estatutarios o contractuales que rigen durante cuánto tiempo se debe almacenar la PII en una plataforma determinada.
ISO 27701 Cláusula 7.4.8 – Eliminación
Objeto de la Cláusula 7.4.8
Las organizaciones deben tener políticas y procedimientos claros que regulen cómo se elimina la PII.
Orientación sobre la Cláusula 7.4.8
La eliminación de datos es un tema amplio que presenta una serie de variables diferentes, según la técnica de eliminación requerida y la naturaleza de los datos que se eliminan.
Las organizaciones deben considerar:
- Qué incluye la PII.
- Cualquier metadato residual que deba borrarse junto con los datos principales.
- El tipo de medio de almacenamiento en el que se guarda la PII.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 7.4.9 - Controles de transmisión PII
Objeto de la Cláusula 7.4.9
Cualquier PII que vaya a transferirse a una organización externa debe hacerse con el máximo cuidado con la información que se envía, utilizando medios seguros.
Orientación sobre la Cláusula 7.4.9
Las organizaciones deben asegurarse de que solo el personal autorizado pueda acceder a los sistemas de transmisión, y lo hacen de una manera que sea fácilmente auditable con el único propósito de llevar la información a donde necesita ir sin incidentes.
Artículos de apoyo del RGPD
Varios elementos de la cláusula 27701 de ISO 7.4 son aplicables en el Reino Unido. GDPR legislación. Eche un vistazo a la siguiente tabla para ver las referencias correspondientes.
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Artículos relacionados con el RGPD |
|---|---|---|
| 7.4.1 | Limitar colección | Artículo (5) |
| 7.4.2 | Limitar el procesamiento | Artículo (25) |
| 7.4.3 | Precisión y Calidad | Artículo (5) |
| 7.4.4 | Objetivos de minimización de PII | Artículo (5) |
| 7.4.5 | Desidentificación y eliminación de PII al final del procesamiento | Artículos (5), (6), (11), (32) |
| 7.4.6 | Archivos temporales | Artículo (5) |
| 7.4.7 | Retención | Artículos (13), (14) |
| 7.4.8 | Disposición | Artículo (5) |
| 7.4.9 | Controles de transmisión PII | Artículo (5) |
Cómo ayuda ISMS.online
La plataforma ISMS.online ofrece asistencia integrada en cada etapa y nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar' a ISO 27701, para hacer el proceso mucho más fácil.
También se beneficiará de una variedad de funciones que le permitirán ahorrar tiempo.
Si por algún motivo experimenta falta de confianza, capacidad o impulso para tomar medidas durante su camino hacia la norma ISO 27701, podemos poner a su disposición nuestro equipo de expertos internos.
Descubre más por reservar una demostración.
