Está en la página 1de 41

4.

2 ISO/IEC 27002:2013, Information Technology - Security techniques Code of practice for


security management.

Introduccin. . El ISO 27002:2013 es el cdigo de prcticas de seguridad de la informacin el cual tiene como objetivo
proveer una gua para la implementacin de controles para el Sistema de Gestin de Seguridad de la Informacin ISO
27001.

Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
RESPONSABLE
Recomendaciones para el
5 Polticas de
establecimiento de polticas de
Seguridad de la
seguridad de la informacin
Informacin.
para un ISMS.
Actividades para el
6 Organizacin de establecimiento de un marco
Los responsables en el tratamiento de datos
Seguridad de la para la gestin de la seguridad
personales, debern observar los principios
1. Recomendacin Informacin. de la informacin a travs de la
1 de licitud, consentimiento, informacin, Art. 6 Art. 9
General. organizacin.
calidad, finalidad, lealtad, proporcionalidad y
Prcticas de seguridad de la
responsabilidad, previstos en la Ley.
7 Seguridad de informacin relacionadas al
Recursos Humanos. control de recursos humanos
internos y externos.
Actividades para el control de
8 Gestin de Activos. activos de informacin dentro
del alcance de un ISMS.

44
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Prcticas para el control de
acceso a los activos de
9 Control de Acceso.
informacin o informacin
dentro del alcance de un ISMS.
Lineamientos para la proteccin
10 Criptografa. de la informacin por medios
criptogrficos.
Actividades para la prevencin
11 Seguridad Fsica y
de eventos que pueden daar
Ambiental.
los activos de informacin.
Prcticas para asegurar el
12 Seguridad en las apropiado control y seguridad
operaciones. sobre los activos de
procesamiento.
Prcticas para asegurar el
13 Seguridad en las apropiado control y seguridad
Comunicaciones. sobre los activos de
comunicacin.
14 Adquisicin, Actividades para el
desarrollo y aseguramiento del siclo de vida
mantenimiento de desarrollo, mantenimiento o
Sistemas. adquisicin de sistemas.
Prcticas para la administracin
15 Relacionamiento
de la seguridad de la
con los Proveedores.
informacin con proveedores.
16 Gestin de Actividades para la gestin de
Incidentes de incidentes de seguridad de la
Seguridad de la informacin.

45
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Informacin.

17 Aspectos de
Seguridad de la
Actividades para el
Informacin de la
establecimiento de un plan de
Gestin de la
continuidad del negocio.
Continuidad de
Negocios.
Actividades para el monitoreo
del cumplimiento respecto al
18 Cumplimiento.
sistema de gestin de
seguridad.
LICITUD Y LEALTAD
Los datos personales debern recabarse y 18.1.1 Identificacin
Proceso para la identificacin y
tratarse de manera lcita, privilegiando la de legislacin
formalizacin de requerimientos
proteccin de los intereses del titular y la aplicable y
regulatorios, legales y
expectativa razonable de privacidad, sin requerimientos
Art. 7 contractuales.
importar la fuente de la que se obtienen los Paso 1. Alcance y contractuales.
2 Art. 7 Art. 10
datos. Objetivos.
Art. 44 18.1.4 Privacidad y Actividades para prevenir
proteccin de brechas relacionadas a la
La obtencin de datos personales no debe
Informacin Personal seguridad de informacin
hacerse a travs de medios engaosos o
Identificable. personal
fraudulentos.
CONSENTIMIENTO
El tratamiento de datos personales estar 18.1.1 Identificacin
Art. 11 Proceso para la identificacin y
sujeto al consentimiento de su titular, salvo Paso 2. Poltica de de legislacin
Art. 12 formalizacin de requerimientos
3 las excepciones previstas por la Ley. Art. 8 Gestin de Datos aplicable y
Art. 15 regulatorios, legales y
Personales. requerimientos
contractuales.
Los datos financieros o patrimoniales contractuales.

46
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
requerirn consentimiento expreso de su
titular.
18.1.4 Privacidad y Actividades para prevenir
proteccin de brechas relacionadas a la
Cuando los datos personales se obtengan
Informacin Personal seguridad de informacin
personalmente o de manera directa de su
Identificable. personal
titular, el consentimiento deber ser previo al
tratamiento.
18.1.1 Identificacin
Proceso para la identificacin y
de legislacin
formalizacin de requerimientos
aplicable y
regulatorios, legales y
El responsable deber facilitar al titular Paso 2. Poltica de requerimientos
contractuales.
4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestin de Datos contractuales.
su consentimiento expreso. Personales. 18.1.4 Privacidad y Actividades para prevenir
proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal
Tratndose de datos personales sensibles, el 18.1.1 Identificacin
Proceso para la identificacin y
responsable deber obtener el de legislacin
formalizacin de requerimientos
consentimiento expreso y por escrito del aplicable y
regulatorios, legales y
titular para su tratamiento. requerimientos
Paso 2. Poltica de contractuales.
contractuales.
5 Art. 9 Art. 56 Gestin de Datos
No podrn crearse bases de datos que Actividades para la proteccin
Personales.
contengan datos personales sensibles, sin de registros de acuerdo a las
18.1.3 Proteccin de
que se justifique la creacin de las mismas regulaciones, legislaciones,
registros.
para finalidades legtimas, concretas y contratos y requerimientos de
acordes con las actividades o fines explcitos negocio vigentes.

47
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
que persigue el sujeto regulado.
18.1.4 Privacidad y Actividades para prevenir
proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal

Paso 7.
Implementacin de
las Medidas de
18.1.1 Identificacin
Para efectos de demostrar la obtencin del Seguridad Proceso para la identificacin y
de legislacin
consentimiento, la carga de la prueba Aplicables a los formalizacin de requerimientos
6 Art. 20 aplicable y
recaer, en todos los casos, en el Datos Personales. regulatorios, legales y
requerimientos
responsable. Cumplimiento contractuales.
contractuales.
Cotidiano de
Medidas de
Seguridad.
INFORMACIN
A travs del aviso de privacidad, el
responsable tendr la obligacin de informar
a los titulares, los datos que recaba, las
finalidades necesarias y las que no lo son
18.1.1 Identificacin
para la relacin jurdica, as como las Art. 14 Proceso para la identificacin y
Paso 2. Poltica de de legislacin
caractersticas principales de su tratamiento. Art. 23 formalizacin de requerimientos
7 Art. 15 Gestin de Datos aplicable y
Cuando se traten datos personales como Art. 112 regulatorios, legales y
Personales. requerimientos
parte de un proceso de toma de decisiones contractuales.
contractuales.
sin que intervenga la valoracin de una
persona fsica, el responsable deber
informar al titular que esta situacin ocurre.

48
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Si obtiene los datos de manera automtica,
deber informar al titular sobre el uso de
estas tecnologas y la forma en que podr
deshabilitarlas.
Paso 7.
Implementacin de
Cuando los datos personales sean obtenidos las Medidas de
18.1.1 Identificacin
directamente del titular, el aviso de Seguridad Proceso para la identificacin y
de legislacin
privacidad debe ponerse a disposicin de los Art. 3, I Aplicables a los formalizacin de requerimientos
8 Art. 27 aplicable y
titulares a travs de formatos impresos, Art. 17 Datos Personales. regulatorios, legales y
requerimientos
digitales, visuales, sonoros o cualquier otra Cumplimiento contractuales.
contractuales.
tecnologa. Cotidiano de
Medidas de
Seguridad.
Paso 7.
Implementacin de
El aviso de privacidad debe contener un
las Medidas de
mecanismo, para que el titular pueda 18.1.1 Identificacin
Seguridad Proceso para la identificacin y
manifestar su negativa al tratamiento de sus Art. 14 de legislacin
Aplicables a los formalizacin de requerimientos
9 datos personales. Cuando los datos se Art. 18 Art. 29 aplicable y
Datos Personales. regulatorios, legales y
obtengan de manera indirecta del titular, el Art. 32 requerimientos
Cumplimiento contractuales.
responsable deber darle a conocer el aviso contractuales.
Cotidiano de
de privacidad y sus cambios.
Medidas de
Seguridad

49
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Paso 7.
Implementacin de
las Medidas de
Para efectos de demostrar la puesta a 18.1.1 Identificacin
Seguridad Proceso para la identificacin y
disposicin del aviso de privacidad en de legislacin
Aplicables a los formalizacin de requerimientos
10 cumplimiento del principio de informacin, la Art. 31 aplicable y
Datos Personales. regulatorios, legales y
carga de la prueba recaer, en todos los requerimientos
Cumplimiento contractuales.
casos, en el responsable. contractuales.
Cotidiano de
Medidas de
Seguridad.

CALIDAD

Actividades para la proteccin


de registros de acuerdo a las
El responsable procurar que los datos 18.1.3 Proteccin de
regulaciones, legislaciones,
personales contenidos en las bases de datos registros.
Paso 2. Poltica de contratos y requerimientos de
sean exactos, completos, pertinentes,
11 Art. 11 Art. 36 Gestin de Datos negocio vigentes.
correctos y actualizados segn se requiera
Personales. 18.1.4 Privacidad y Actividades para prevenir
para el cumplimiento de la finalidad para la
proteccin de brechas relacionadas a la
cual son tratados.
Informacin Personal seguridad de informacin
Identificable. personal
Cuando los datos de carcter personal hayan 18.1.1 Identificacin
Proceso para la identificacin y
dejado de ser necesarios para el de legislacin
formalizacin de requerimientos
cumplimiento de las finalidades previstas por aplicable y
Paso 2. Poltica de regulatorios, legales y
el aviso de privacidad y las disposiciones Art. 3 III requerimientos
12 Art. 37 Gestin de Datos contractuales.
legales aplicables, debern ser cancelados, Art. 11 contractuales.
Personales.
previo bloqueo de los mismos. Requerimientos para la
8.3.2 Eliminacin de
disposicin de medios de forma
medios.
El responsable de la base de datos estar segura cuando estos ya no sean

50
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
obligado a eliminar la informacin relativa al utilizados.
incumplimiento de obligaciones
contractuales, una vez que transcurra un
plazo de setenta y dos meses, contado a 11.2.7 Eliminacin
Actividades para el re-uso o la
partir de la fecha calendario en que se segura o re-uso del
eliminacin de equipo.
presente el mencionado incumplimiento. equipo.

Requerimientos para la
8.3.2 Eliminacin de disposicin de medios de forma
medios. segura cuando estos ya no sean
utilizados.

11.2.7 Eliminacin
Actividades para el re-uso o la
segura o re-uso del
eliminacin de equipo.
equipo.

Requerimientos para la
El responsable establecer y documentar 12.1.1 Documentacin
Paso 2. Poltica de documentacin formal y
procedimientos para la conservacin y, en su de procedimientos
13 Art. 38 Gestin de Datos comunicacin al personal
caso, bloqueo y supresin de los datos operacionales.
Personales. relevante.
personales.
Actividades para la ejecucin de
12.3.1 Respaldo de respaldos de informacin para
informacin. prevenir la prdida de
informacin.

18.1.1 Identificacin
Proceso para la identificacin y
de legislacin
formalizacin de requerimientos
aplicable y
regulatorios, legales y
requerimientos
contractuales.
contractuales.

51
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Actividades para la proteccin
de registros de acuerdo a las
18.1.3 Proteccin de
regulaciones, legislaciones,
registros.
contratos y requerimientos de
negocio vigentes.

18.1.4 Privacidad y Actividades para prevenir


proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal

Paso 7.
Implementacin de
las Medidas de
18.1.1 Identificacin
Seguridad Proceso para la identificacin y
Al responsable le corresponde demostrar que de legislacin
Aplicables a los formalizacin de requerimientos
14 los datos personales se conservan, o en su Art. 39 aplicable y
Datos Personales. regulatorios, legales y
caso, bloquean, suprimen o cancelan. requerimientos
Cumplimiento contractuales.
contractuales.
Cotidiano de
Medidas de
Seguridad.
FINALIDAD
El tratamiento de datos personales deber 18.1.1 Identificacin
Proceso para la identificacin y
limitarse al cumplimiento de las finalidades Art. 40 Paso 2. Poltica de de legislacin
formalizacin de requerimientos
15 previstas en el aviso de privacidad. Art. 12 Art. 42 Gestin de Datos aplicable y
regulatorios, legales y
Si el responsable pretende tratar los datos Art. 43 Personales. requerimientos
contractuales.
para un fin distinto al establecido, deber contractuales.

52
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
obtener nuevamente el consentimiento del
titular.
18.1.4 Privacidad y Actividades para prevenir
El titular podr oponerse o revocar su proteccin de brechas relacionadas a la
consentimiento para las finalidades distintas Informacin Personal seguridad de informacin
a las que dieron origen a la relacin jurdica, Identificable. personal
sin que ello tenga como consecuencia la
conclusin del tratamiento.
PROPORCIONALIDAD

18.1.1 Identificacin
Proceso para la identificacin y
de legislacin
formalizacin de requerimientos
El tratamiento de datos personales ser el aplicable y
regulatorios, legales y
que resulte necesario, adecuado y relevante requerimientos
contractuales.
en relacin con las finalidades previstas en el Paso 2. Poltica de contractuales.
Art. 45
16 aviso de privacidad. En particular para datos Art. 13 Gestin de Datos
Art. 46
personales sensibles, el responsable deber Personales.
18.1.4 Privacidad y Actividades para prevenir
limitar el periodo de tratamiento al mnimo
proteccin de brechas relacionadas a la
indispensable.
Informacin Personal seguridad de informacin
Identificable. personal.

CONFIDENCIALIDAD
El responsable o terceros que intervengan en Requerimientos para el diseo
cualquier fase del tratamiento de datos e implementacin de acuerdos
Paso 2. Poltica de 13.2.4 Acuerdos de
personales debern guardar confidencialidad de confidencialidad y de no
17 Art. 21 Art. 9 Gestin de Datos confidencialidad o de
respecto de stos, obligacin que subsistir divulgacin que reflejen las
Personales. no divulgacin.
aun despus de finalizar sus relaciones con el necesidades de la organizacin
titular o, en su caso, con el responsable. en cuento a proteccin de

53
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
informacin.

RESPONSABILIDAD
Recomendaciones para el
5 Polticas de
establecimiento de polticas de
Seguridad de la
seguridad de la informacin
Informacin.
para un ISMS.
Actividades para el
6 Organizacin de establecimiento de un marco
El responsable tiene la obligacin de velar y Seguridad de la para la gestin de la seguridad
responder por el tratamiento de los datos Informacin. de la informacin a travs de la
personales en su posesin, debiendo adoptar organizacin.
las medidas necesarias. Prcticas de seguridad de la
Paso 2. Poltica de 7 Seguridad de informacin relacionadas al
18 El responsable deber tomar las medidas Art. 14 Art. 47 Gestin de Datos Recursos Humanos. control de recursos humanos
necesarias y suficientes para garantizar que el Personales. internos y externos.
aviso de privacidad dado a conocer al titular, Actividades para el control de
sea respetado en todo momento por l o 8 Gestin de Activos. activos de informacin dentro
por terceros con los que guarde alguna del alcance de un ISMS.
relacin jurdica. Prcticas para el control de
acceso a los activos de
9 Control de Acceso.
informacin o informacin
dentro del alcance de un ISMS.
Lineamientos para la proteccin
10 Criptografa. de la informacin por medios
criptogrficos.

54
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Actividades para la prevencin
11 Seguridad Fsica y
de eventos que pueden daar
Ambiental.
los activos de informacin.
Prcticas para asegurar el
12 Seguridad en las apropiado control y seguridad
operaciones sobre los activos de
procesamiento.
Prcticas para asegurar el
13 Seguridad en las apropiado control y seguridad
Comunicaciones. sobre los activos de
comunicacin.
14 Adquisicin, Actividades para el
desarrollo y aseguramiento del siclo de vida
mantenimiento de desarrollo, mantenimiento o
Sistemas. adquisicin de sistemas.
Prcticas para la administracin
15 Relacionamiento
de la seguridad de la
con los Proveedores.
informacin con proveedores.
16 Gestin de
Actividades para la gestin de
Incidentes de
incidentes de seguridad de la
Seguridad de la
informacin.
Informacin.
17 Aspectos de
Seguridad de la
Actividades para el
Informacin de la
establecimiento de un plan de
Gestin de la
continuidad del negocio.
Continuidad de
Negocios.

55
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Actividades para el monitoreo
del cumplimiento respecto al
18 Cumplimiento.
sistema de gestin de
seguridad.
6.1.5 Seguridad de la Actividades para la
Informacin en la administracin de la seguridad
Gestin de Proyectos. en proyectos.
Lineamientos para la
8.2.1 Clasificacin de
clasificacin de informacin de
Informacin.
la organizacin.
14.1.1 Anlisis y Lineamientos para la inclusin
especificacin de de requerimientos de seguridad
requerimientos de para la adquisicin, desarrollo o
Seguridad de la mejoras en los sistemas
Los responsables debern adoptar medidas Paso 5. Realizar el Informacin. existentes.
para garantizar el debido tratamiento, Anlisis de Riesgo 18.1.1 Identificacin
19 Art. 14 Art. 48 Proceso para la identificacin y
privilegiando los intereses del titular y la de los Datos de legislacin
formalizacin de requerimientos
expectativa razonable de privacidad. Personales. aplicable y
regulatorios, legales y
requerimientos
contractuales.
contractuales.
Actividades para la proteccin
de registros de acuerdo a las
18.1.3 Proteccin de
regulaciones, legislaciones,
registros.
contratos y requerimientos de
negocio vigentes.
18.1.4 Privacidad y Actividades para prevenir
proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin

56
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Identificable. personal

Actividades y requerimientos
5.1.1 Polticas de
para definir un set de polticas
Seguridad de la
relacionadas a la seguridad de
Informacin.
la informacin
Lineamientos para la
6.2.1 Poltica de implementacin de una poltica
Dispositivos Mviles. para el uso y proteccin de
medios mviles.
Actividades para el
establecimiento de un proceso
7.2.3 Proceso
disciplinario en caso de
disciplinario.
Elaborar polticas y programas de privacidad Paso 2. Poltica de violaciones a la seguridad de la
20 obligatorios y exigibles al interior de la Art. 48 - I Gestin de Datos informacin.
organizacin. Personales. 8.1.3 Uso aceptable Establecimiento formal de
de activos. reglas para el uso aceptable de
activos de informacin.
Lineamientos para el
9.1.1 Poltica de establecimiento de una poltica
Control de Acceso. de control de acceso a la
informacin.
Aspectos relevantes para el
10.1.1 Poltica sobre desarrollo de una poltica sobre
el uso de controles el uso de controles
criptogrficos. criptogrficos para proteccin
de la informacin.

57
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
11.2.9 Poltica de Lineamientos para la
escritorio y pantalla implementacin de una poltica
limpios. de escritorio y pantalla limpios.
13.2.1 Polticas y
Actividades para el desarrollo
procedimientos de
de la poltica y procedimientos
transferencia de
de transferencia de informacin.
informacin.
Establecimiento formal de
14.2.1 Poltica de
polticas de seguridad para el
desarrollo seguro.
desarrollo de software.
15.1.1 Poltica de
Gua para el establecimiento
Seguridad de la
formal de requerimientos de
Informacin para el
seguridad cuando se trabaja
relacionamiento con
con proveedores.
terceros.
18.1.1 Identificacin
Proceso para la identificacin y
de legislacin
formalizacin de requerimientos
aplicable y
regulatorios, legales y
requerimientos
contractuales.
contractuales.
18.1.4 Privacidad y Actividades para prevenir
proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal
Poner en prctica un programa de Paso 9. Mejora 7.2.2 Concienciacin, Actividades para desarrollar e
capacitacin, actualizacin, y concientizacin Continua y Educacin, y implementar un programa de
21 Art. 48 - II
del personal sobre las obligaciones en Capacitacin. Entrenamiento de entrenamiento y capacitacin
materia de proteccin de datos personales. Capacitacin. Seguridad de la sobre temas relevantes para la

58
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Informacin. seguridad de la informacin.

Las polticas de seguridad de la


5.1.2 Revisin de las informacin debern ser
polticas de Seguridad revisadas por la direccin o en
de la Informacin. caso de algn cambio relevante
en la organizacin,
La organizacin debe someterse
18.2.1 Revisin
a revisiones independientes de
independiente de
seguridad de la informacin en
Establecer un sistema de supervisin y Seguridad de la
intervalos planeados o cuando
vigilancia interna, verificaciones o auditoras Paso 8. Revisiones y Informacin.
22 Art. 48 - III ocurran cambios significativos.
externas para comprobar el cumplimiento de Auditora.
La direccin debe evaluar
las polticas de privacidad. 18.2.2 Cumplimiento
peridicamente el nivel de
con polticas y
cumplimiento respecto a
estndares de
polticas y procedimientos de
Seguridad.
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de cumplimiento de los sistemas
cumplimiento tcnico. de informacin de acuerdo a
las polticas establecidas.
Las actividades para proveer
5.1. Direccin de la
direccin y soporte para la
Paso 3. Establecer Gerencia para
seguridad de la informacin de
Funciones y Seguridad de la
Destinar recursos para la instrumentacin de acuerdo a los requerimientos
23 Art. 48 - IV Obligaciones de Informacin.
los programas y polticas de privacidad. del negocio.
Quienes Traten
Actividades para el
Datos Personales. 6.1 Organizacin
establecimiento de un marco
interna.
para iniciar y controlar la

59
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
operacin de la seguridad de la
informacin.

18.1 Cumplimiento Actividades para prevenir


con requerimientos brechas en cuanto a
legales y regulaciones, requerimientos
contractuales. legales, y contractuales.

6.1.5 Seguridad de la Actividades para la


Informacin en la administracin de la seguridad
Gestin de Proyectos. en proyectos.

Lineamientos para la
8.2.1 Clasificacin de
clasificacin de informacin de
Instrumentar un procedimiento para que se Informacin.
Paso 5. Realizar el la organizacin.
atienda el riesgo para la proteccin de datos
Anlisis de Riesgo
24 personales por la implementacin de nuevos Art. 48 - V 14.1.1 Anlisis y Lineamientos para la inclusin
de los Datos
productos, servicios, tecnologas y modelos especificacin de de requerimientos de seguridad
Personales.
de negocios, as como para mitigarlos. requerimientos de para la adquisicin, desarrollo o
Seguridad de la mejoras en los sistemas
Informacin. existentes.
La organizacin debe someterse
18.2.1 Revisin
a revisiones independientes de
independiente de
seguridad de la informacin en
Seguridad de la
intervalos planeados o cuando
Informacin.
ocurran cambios significativos.

60
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
La direccin debe evaluar
18.2.2 Cumplimiento
peridicamente el nivel de
con polticas y
cumplimiento respecto a
estndares de
polticas y procedimientos de
Seguridad.
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de cumplimiento de los sistemas
cumplimiento tcnico. de informacin de acuerdo a
las polticas establecidas.
Las polticas de seguridad de la
5.1.2 Revisin de las informacin debern ser
polticas de Seguridad revisadas por la direccin o en
de la Informacin. caso de algn cambio relevante
en la organizacin,
La organizacin debe someterse
18.2.1 Revisin
a revisiones independientes de
independiente de
seguridad de la informacin en
Seguridad de la
Revisar peridicamente las polticas y intervalos planeados o cuando
Paso 8. Revisiones y Informacin.
25 programas de seguridad para determinar las Art. 48 - VI ocurran cambios significativos.
Auditora.
modificaciones que se requieran. La direccin debe evaluar
18.2.2 Cumplimiento
peridicamente el nivel de
con polticas y
cumplimiento respecto a
estndares de
polticas y procedimientos de
Seguridad.
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de cumplimiento de los sistemas
cumplimiento tcnico. de informacin de acuerdo a
las polticas establecidas.

61
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Paso 7. Lineamientos de
Implementacin de 12.1.1 Documentacin documentacin de
las Medidas de de procedimientos procedimientos operacionales y
Seguridad operacionales. su difusin a las partes
Establecer procedimientos para recibir y
Aplicables a los relevantes.
26 responder dudas y quejas de los titulares de Art. 48 - VII
Datos Personales.
los datos personales. 16.1 Gestin de
Cumplimiento Actividades para la
incidentes y mejoras
Cotidiano de administracin de incidentes de
de Seguridad de la
Medidas de seguridad.
Informacin.
Seguridad.
Actividades para el
Disponer de mecanismos para el Paso 3. Funciones y
establecimiento de un proceso
cumplimiento de las polticas y programas de Obligaciones de 7.2.3 Proceso
27 Art. 48 - VIII disciplinario en caso de
privacidad, as como de sanciones por su Quienes Traten disciplinario.
violaciones a la seguridad de la
incumplimiento. Datos Personales.
informacin.
Recomendaciones para el
5 Polticas de
establecimiento de polticas de
Seguridad de la
seguridad de la informacin
Informacin.
para un ISMS.
Establecer medidas para el aseguramiento de
Paso 6. Actividades para el
los datos personales, es decir, un conjunto
Identificacin de las 6 Organizacin de establecimiento de un marco
de acciones tcnicas y administrativas que
28 Art. 48 - IX medidas de Seguridad de la para la gestin de la seguridad
permitan garantizar al responsable el
seguridad y Anlisis Informacin. de la informacin a travs de la
cumplimiento de los principios y obligaciones
de Brecha. organizacin.
que establece la Ley y su Reglamento.
Prcticas de seguridad de la
7 Seguridad de informacin relacionadas al
Recursos Humanos. control de recursos humanos
internos y externos.

62
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Actividades para el control de
8 Gestin de Activos. activos de informacin dentro
del alcance de un ISMS.
Prcticas para el control de
acceso a los activos de
9 Control de Acceso.
informacin o informacin
dentro del alcance de un ISMS.
Lineamientos para la proteccin
10 Criptografa. de la informacin por medios
criptogrficos.
Actividades para la prevencin
11 Seguridad Fsica y
de eventos que pueden daar
Ambiental.
los activos de informacin.
Prcticas para asegurar el
12 Seguridad en las apropiado control y seguridad
Operaciones. sobre los activos de
procesamiento.
Prcticas para asegurar el
13 Seguridad en las apropiado control y seguridad
Comunicaciones. sobre los activos de
comunicacin.
14 Adquisicin, Actividades para el
desarrollo y aseguramiento del siclo de vida
mantenimiento de desarrollo, mantenimiento o
Sistemas. adquisicin de sistemas.
Prcticas para la administracin
15 Relacionamiento
de la seguridad de la
con los Proveedores.
informacin con proveedores.

63
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
16 Gestin de
Actividades para la gestin de
Incidentes de
incidentes de seguridad de la
Seguridad de la
informacin.
Informacin.
17 Aspectos de
Seguridad de la
Actividades para el
Informacin de la
establecimiento de un plan de
Gestin de la
continuidad del negocio.
Continuidad de
Negocios.
Actividades para el monitoreo
del cumplimiento respecto al
18 Cumplimiento.
sistema de gestin de
seguridad.
Lineamientos para la
8.3.1 Gestin de implementacin de
medios removibles. procedimientos para la gestin
de medios removibles.
Establecer medidas para la trazabilidad de los Paso 6. Requerimientos para la
datos personales, es decir acciones, medidas Identificacin de las disposicin de medios de forma
8.3.2 Eliminacin de
29 y procedimientos tcnicos que permiten Art. 48 - X medidas de segura cuando estos ya no sean
medios.
rastrear a los datos personales durante su seguridad y Anlisis utilizados.
tratamiento. de Brecha.
Actividades para la ejecucin de
12.7.1 Controles de
auditoras con el objetivo de
auditora sistemas de
minimizar interrupciones en los
informacin.
procesos de negocio.

64
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Lineamientos para establecer
13.2.2 Acuerdos sobre
acuerdos de informacin entre
transferencia de
la organizacin y entidades
informacin.
externas.
14.1.1 Anlisis y Lineamientos para la inclusin
especificacin de de requerimientos de seguridad
requerimientos de para la adquisicin, desarrollo o
Seguridad de la mejoras en los sistemas
Informacin. existentes.
Actividades para la proteccin
de registros de acuerdo a las
18.1.3 Proteccin de
regulaciones, legislaciones,
registros.
contratos y requerimientos de
negocio vigentes.
Paso 7. 6.1.1 Roles y
Todas los roles y
Implementacin de responsabilidades de
Todo responsable deber designar a una responsabilidades deben ser
las Medidas de Seguridad de la
persona, o departamento de datos definidos y asignados.
Seguridad Informacin.
personales, quien dar trmite a las
Aplicables a los
30 solicitudes de los titulares, para el ejercicio Art. 30 7.2.2 Concienciacin, Actividades para desarrollar e
Datos Personales.
de los derechos a que se refiere la Ley. Educacin, y implementar un programa de
Cumplimiento
Asimismo fomentar la proteccin de datos Entrenamiento de entrenamiento y capacitacin
Cotidiano de
personales al interior de la organizacin. Seguridad de la sobre temas relevantes para la
Medidas de
Informacin. seguridad de la informacin.
Seguridad.
SEGURIDAD
Todo responsable que lleve a cabo Art. 4 Paso 6. 5 Polticas de Recomendaciones para el
31 tratamiento de datos personales deber Art. 19 Art. 9 Identificacin de las Seguridad de la establecimiento de polticas de
establecer y mantener medidas de seguridad Art. 57 medidas de Informacin. seguridad de la informacin

65
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
administrativas, tcnicas y fsicas que seguridad y Anlisis para un ISMS.
permitan proteger los datos personales de Brecha.
contra dao, prdida, alteracin, destruccin
Actividades para el
o el uso, acceso o tratamiento no autorizado.
6 Organizacin de establecimiento de un marco
Seguridad de la para la gestin de la seguridad
No adoptarn medidas de seguridad
Informacin. de la informacin a travs de la
menores a aquellas que mantengan para el
organizacin.
manejo de su informacin.
Prcticas de seguridad de la
7 Seguridad de informacin relacionadas al
Cuando el encargado se encuentre ubicado
Recursos Humanos. control de recursos humanos
en territorio mexicano, le sern aplicables las
internos y externos.
disposiciones relativas a las medidas de
Actividades para el control de
seguridad contenidas en el Captulo III de
8 Gestin de Activos. activos de informacin dentro
Reglamento.
del alcance de un ISMS.
Prcticas para el control de
acceso a los activos de
9 Control de Acceso.
informacin o informacin
dentro del alcance de un ISMS.
Lineamientos para la proteccin
10 Criptografa. de la informacin por medios
criptogrficos.
Actividades para la prevencin
11 Seguridad Fsica y
de eventos que pueden daar
Ambiental.
los activos de informacin.
Prcticas para asegurar el
12 Seguridad en las
apropiado control y seguridad
operaciones.
sobre los activos de

66
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
procesamiento.

Prcticas para asegurar el


13 Seguridad en las apropiado control y seguridad
Comunicaciones. sobre los activos de
comunicacin.
14 Adquisicin, Actividades para el
desarrollo y aseguramiento del siclo de vida
mantenimiento de desarrollo, mantenimiento o
Sistemas. adquisicin de sistemas.
Prcticas para la administracin
15 Relacionamiento
de la seguridad de la
con los Proveedores.
informacin con proveedores.
16 Gestin de
Actividades para la gestin de
Incidentes de
incidentes de seguridad de la
Seguridad de la
informacin.
Informacin.
17 Aspectos de
Seguridad de la
Actividades para el
Informacin de la
establecimiento de un plan de
Gestin de la
continuidad del negocio.
Continuidad de
Negocios.
Actividades para el monitoreo
del cumplimiento respecto al
18 Cumplimiento.
sistema de gestin de
seguridad.

67
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control

6.1.5 Seguridad de la Actividades para la


El responsable determinar las medidas de Informacin en la administracin de la seguridad
seguridad aplicables a los datos personales Gestin de Proyectos. en proyectos.
que trate, considerando el riesgo existente,
las posibles consecuencias para los titulares, Lineamientos para la
8.2.1 Clasificacin de
la sensibilidad de los datos y el desarrollo clasificacin de informacin de
Informacin.
tecnolgico. la organizacin.

14.1.1 Anlisis y Lineamientos para la inclusin


De manera adicional, el responsable
especificacin de de requerimientos de seguridad
procurar tomar en cuenta los siguientes
Paso 5. Realizar el requerimientos de para la adquisicin, desarrollo o
elementos:
Anlisis de Riesgo Seguridad de la mejoras en los sistemas
32 I. El nmero de titulares; Art. 19 Art. 60
de los Datos Informacin. existentes.
II. Las vulnerabilidades previas ocurridas en
Personales. 18.1.1 Identificacin
los sistemas de tratamiento; Proceso para la identificacin y
III. El riesgo por el valor potencial de legislacin
formalizacin de requerimientos
cuantitativo o cualitativo que pudieran tener aplicable y
regulatorios, legales y
los datos personales tratados para una requerimientos
contractuales.
tercera persona no autorizada para su contractuales.

posesin, y Actividades para la proteccin


IV. Dems factores que puedan incidir en el de registros de acuerdo a las
18.1.3 Proteccin de
nivel de riesgo o que resulten de otras leyes regulaciones, legislaciones,
registros.
o regulacin aplicable al responsable. contratos y requerimientos de
negocio vigentes.

68
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control

18.1.4 Privacidad y Actividades para prevenir


proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal

Todos los activos asociados con


informacin e infraestructura de
8.1.1 Inventario de
procesamiento debern de
activos.
estar identificados en un
inventario,
Todos los activos de
informacin identificados deben
8.1.2 Propiedad de
Paso 4. Elaborar un tener asignado un dueo que
Elaborar un inventario de datos personales y activos.
33 Art. 61 - I Inventario de Datos ser responsable de los
de los sistemas de tratamiento.
Personales. mismos.
Lineamientos para la
8.2.1 Clasificacin de
clasificacin de informacin de
Informacin.
la organizacin.
Establece los requerimientos
8.2.2 Etiquetado de para el etiquetado de
informacin. informacin de acuerdo a su
clasificacin.
Actividades y requerimientos
Paso 3. Establecer 5.1.1 Polticas de
para definir un set de polticas
Funciones y Seguridad de la
Determinar las funciones y obligaciones de relacionadas a la seguridad de
34 Art. 61 - II Obligaciones de Informacin.
las personas que traten datos personales. la informacin
Quienes Traten
6.1.1 Roles y Todas los roles y
Datos Personales.
responsabilidades de responsabilidades deben ser

69
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Seguridad de la definidos y asignados.
Informacin.
18.1.1 Identificacin
Proceso para la identificacin y
de legislacin
formalizacin de requerimientos
aplicable y
regulatorios, legales y
requerimientos
contractuales.
contractuales.
6.1.5 Seguridad de la Actividades para la
Informacin en la administracin de la seguridad
Gestin de Proyectos. en proyectos.
Lineamientos para la
8.2.1 Clasificacin de
clasificacin de informacin de
Informacin.
la organizacin.
14.1.1 Anlisis y Lineamientos para la inclusin
especificacin de de requerimientos de seguridad
requerimientos de para la adquisicin, desarrollo o
Contar con un anlisis de riesgos de datos Paso 5. Realizar el
Seguridad de la mejoras en los sistemas
personales que consiste en identificar Anlisis de Riesgo
35 Art. 61 - III Informacin. existentes.
peligros y estimar los riesgos a los datos de los Datos
18.1.1 Identificacin
personales. Personales. Proceso para la identificacin y
de legislacin
formalizacin de requerimientos
aplicable y
regulatorios, legales y
requerimientos
contractuales.
contractuales.
Actividades para la proteccin
de registros de acuerdo a las
18.1.3 Proteccin de
regulaciones, legislaciones,
registros.
contratos y requerimientos de
negocio vigentes.

70
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Actividades para prevenir
18.1.4 Privacidad y
brechas relacionadas a la
proteccin de
seguridad de informacin
Informacin Personal
personal.
Identificable.

18.1.1 Identificacin
Proceso para la identificacin y
de legislacin
formalizacin de requerimientos
aplicable y
regulatorios, legales y
requerimientos
contractuales.
contractuales.
Actividades para la proteccin
de registros de acuerdo a las
18.1.3 Proteccin de
regulaciones, legislaciones,
registros.
contratos y requerimientos de
Paso 6. negocio vigentes.
Establecer las medidas de seguridad Identificacin de las 18.1.4 Privacidad y Actividades para prevenir
36 aplicables a los datos personales e identificar Art. 61 - IV medidas de proteccin de brechas relacionadas a la
aqullas implementadas de manera efectiva. seguridad y Anlisis Informacin Personal seguridad de informacin
de Brecha. Identificable. personal.
La direccin debe evaluar
18.2.2 Cumplimiento
peridicamente el nivel de
con polticas y
cumplimiento respecto a
estndares de
polticas y procedimientos de
Seguridad.
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de cumplimiento de los sistemas
cumplimiento tcnico. de informacin de acuerdo a
las polticas establecidas.

71
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
14.2.3 Revisin Actividades para asegurar que
tcnica de no hay efectos negativos
aplicaciones despus despus de haberse realizado
Realizar el anlisis de brecha que consiste en Paso 6. de cambios en la cambios en las plataformas
la diferencia de las medidas de seguridad Identificacin de las plataforma operativa. operativas.
37 existentes y aqullas faltantes que resultan Art. 61 - V medidas de Actividades para asegurar que
necesarias para la proteccin de los datos seguridad y Anlisis la seguridad de la informacin
18.2 Revisiones de
personales. de Brecha. se encuentra implementada y
Seguridad de la
operando de acuerdo a las
Informacin.
polticas y procedimientos
establecidos.
Paso 7.
Implementacin de
las Medidas de
Seguridad Actividades para identificar y
Elaborar un plan de trabajo para la Aplicables a los 12.6.1 Gestin de prevenir que las
38 implementacin de las medidas de seguridad Art. 61 - VI Datos Personales. vulnerabilidades vulnerabilidades tcnicas en los
faltantes, derivadas del anlisis de brecha. Plan de Trabajo tcnicas. activos de informacin sean
para la explotadas.
Implementacin de
las Medidas de
Seguridad Faltantes.
Las polticas de seguridad de la
5.1.2 Revisin de las informacin debern ser
Paso 8. Revisiones y polticas de Seguridad revisadas por la direccin o en
39 Llevar a cabo revisiones o auditoras. Art. 61 - VII
Auditora. de la Informacin. caso de algn cambio relevante
en la organizacin,
18.2.1 Revisin La organizacin debe someterse

72
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
independiente de a revisiones independientes de
Seguridad de la seguridad de la informacin en
Informacin. intervalos planeados o cuando
ocurran cambios significativos.
La direccin debe evaluar
18.2.2 Cumplimiento
peridicamente el nivel de
con polticas y
cumplimiento respecto a
estndares de
polticas y procedimientos de
Seguridad.
seguridad de la informacin.
Revisiones peridicas sobre el
18.2.3 Revisin de cumplimiento de los sistemas
cumplimiento tcnico. de informacin de acuerdo a
las polticas establecidas.
7.2.2 Concienciacin, Actividades para desarrollar e
Educacin, y implementar un programa de
Paso 9. Mejora
Entrenamiento de entrenamiento y capacitacin
Capacitar al personal que efecte el Continua y
40 Art. 61 - VIII Seguridad de la sobre temas relevantes para la
tratamiento de datos personales. Capacitacin.
Informacin. seguridad de la informacin.
Capacitacin.

Todos los activos asociados con


informacin e infraestructura de
Paso 5. Realizar el 8.1.1 Inventario de
procesamiento debern de
Anlisis de Riesgo activos.
Realizar un registro de los medios de estar identificados en un
41 Art. 61 - IX de los Datos
almacenamiento de los datos personales. inventario,
Personales.
Todos los activos de
8.1.2 Propiedad de
informacin identificados deben
activos.
tener asignado un dueo que

73
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
ser responsable de los
mismos.

Lineamientos para la
8.2.1 Clasificacin de
clasificacin de informacin de
Informacin.
la organizacin.
Establece los requerimientos
8.2.2 Etiquetado de para el etiquetado de
informacin. informacin de acuerdo a su
clasificacin.
Todos los activos asociados con
informacin e infraestructura de
8.1.1 Inventario de
procesamiento debern de
3. Acciones a activos.
estar identificados en un
implementar para la
Contar con una relacin de las medidas de inventario,
42 Art. 61 seguridad de los
seguridad. Todos los activos de
datos personales
informacin identificados deben
documentadas. 8.1.2 Propiedad de
tener asignado un dueo que
activos.
ser responsable de los
mismos.
Actualizar las medidas de seguridad cuando: Las polticas de seguridad de la
5.1.2 Revisin de las informacin debern ser
Paso 8. Revisiones y
43 I. Se modifiquen las medidas o procesos de Art. 62 polticas de Seguridad revisadas por la direccin o en
Auditora.
seguridad para su mejora continua, derivado de la Informacin. caso de algn cambio relevante
de las revisiones a la poltica de seguridad en la organizacin,

74
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
del responsable.
II. Se produzcan modificaciones sustanciales
en el tratamiento que deriven en un cambio
del nivel de riesgo.
III. Se vulneren los sistemas de tratamiento, 18.1.1 Identificacin
Proceso para la identificacin y
de conformidad con lo dispuesto en el de legislacin
formalizacin de requerimientos
artculo 20 de la Ley y 63 de su Reglamento. aplicable y
regulatorios, legales y
IV. Exista una afectacin a los datos requerimientos
contractuales.
personales distinta a las anteriores. contractuales.
En el caso de datos personales sensibles, los
responsables procurarn revisar y, en su caso,
actualizar las relaciones correspondientes una
vez al ao.
VULNERACIONES A LA SEGURIDAD

16.1 Gestin de
Actividades para la
Las vulneraciones de seguridad ocurridas en incidentes y mejoras
administracin de incidentes de
cualquier fase del tratamiento que afecten de de Seguridad de la
Paso 8. Revisiones y seguridad.
forma significativa los derechos patrimoniales Informacin.
Auditora.
o morales de los titulares, sern informadas Art. 63
44 Art. 20 Vulneraciones a la
de forma inmediata por el responsable al Art. 64
Seguridad de la 18.1.1 Identificacin
titular, a fin de que este ltimo pueda tomar Proceso para la identificacin y
Informacin. de legislacin
las medidas correspondientes a la defensa de formalizacin de requerimientos
aplicable y
sus derechos. regulatorios, legales y
requerimientos
contractuales.
contractuales.

75
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control

18.1.4 Privacidad y Actividades para prevenir


proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal

En caso de que ocurra una vulneracin a la


seguridad de los datos personales, el
responsable deber informar al titular al
menos lo siguiente:

Paso 8. Revisiones y
I. La naturaleza del incidente. 16.1.5 Respuesta a
Auditora. Procedimientos para la
II. Los datos personales comprometidos. incidentes de
45 Art. 65 Vulneraciones a la respuesta a incidentes de
III. Las recomendaciones al titular acerca de Seguridad de la
Seguridad de la seguridad.
las medidas que ste pueda adoptar para Informacin.
Informacin.
proteger sus intereses.
IV. Las acciones correctivas realizadas de
forma inmediata.
V. Los medios donde puede obtener ms
informacin al respecto.
En caso de que ocurra una vulneracin a los
datos personales, el responsable deber Paso 8. Revisiones y 16.1.6 Lecciones
Establecimiento de una base de
analizar las causas por las cuales se present Auditora. aprendidas de los
datos de eventos de seguridad
46 e implementar las acciones correctivas, Art. 66 Vulneraciones a la incidentes de
para minimizar el impacto de
preventivas y de mejora para adecuar las Seguridad de la Seguridad de la
eventos similares en el futuro.
medidas de seguridad correspondientes, a Informacin. Informacin.
efecto de evitar que la vulneracin se repita.
ENCARGADO

76
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
El encargado tendr las siguientes Actividades para mantener la
obligaciones respecto del tratamiento que seguridad en la informacin
13.2 Transferencia de
realice por cuenta del responsable: transmitida dentro de la
informacin.
organizacin y entidades
I. Tratar nicamente los datos personales externas.
conforme a las instrucciones del responsable. 15.1 Seguridad de la Actividades para asegurar la
II. Abstenerse de tratar los datos personales Informacin para el proteccin de los activos de
para finalidades distintas a las instruidas por relacionamiento con informacin que esta accesible
el responsable. proveedores. para terceros.
III. Implementar las medidas de seguridad Actividades para el
15.2 Gestin de la
conforme a la Ley, su Reglamento y las mantenimiento de niveles de
entrega de servicios
dems disposiciones aplicables. servicio y seguridad apropiados
de proveedores.
IV. Guardar confidencialidad respecto de los 1. Recomendacin con terceras partes.
47 Art. 50
datos personales tratados. General.
V. Suprimir los datos personales objeto de
tratamiento una vez cumplida la relacin
jurdica con el responsable o por
instrucciones del responsable, siempre y Lineamientos para prevenir
18.1 Cumplimiento
cuando no exista una previsin legal que relacionadas a layes y
con requerimientos
exija la conservacin de los datos personales. regulaciones o contratos
legales y
VI. Abstenerse de transferir los datos relacionados a seguridad de la
contractuales.
personales salvo en el caso de que el informacin
responsable as lo determine, la
comunicacin derive de una subcontratacin,
o cuando as lo requiera la autoridad
competente.
SUBCONTRATACIONES

77
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
Lineamientos para establecer
13.2.2 Acuerdos sobre
acuerdos de informacin entre
transferencia de
la organizacin y entidades
informacin.
externas.

Requerimientos para el diseo


e implementacin de acuerdos
Paso 7. 13.2.4 Acuerdos de de confidencialidad y de no
Implementacin de confidencialidad o de divulgacin que reflejen las
La relacin entre el responsable y el las Medidas de no divulgacin. necesidades de la organizacin
encargado deber estar establecida mediante Seguridad en cuento a proteccin de
clusulas contractuales u otro instrumento Aplicables a los informacin.
48 Art. 51
jurdico que decida el responsable, que Datos Personales.
permita acreditar su existencia, alcance y Cumplimiento 18.1.1 Identificacin
Proceso para la identificacin y
contenido. Cotidiano de de legislacin
formalizacin de requerimientos
Medidas de aplicable y
regulatorios, legales y
Seguridad. requerimientos
contractuales.
contractuales.

Actividades para la proteccin


de registros de acuerdo a las
18.1.3 Proteccin de
regulaciones, legislaciones,
registros.
contratos y requerimientos de
negocio vigentes.

78
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control

18.1.4 Privacidad y Actividades para prevenir


proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal

Toda subcontratacin de servicios por parte 15.1 Seguridad de la Actividades para asegurar la
del encargado que implique el tratamiento Informacin para el proteccin de los activos de
de datos personales deber ser autorizada relacionamiento con informacin que esta accesible
por el responsable, y se realizar en nombre proveedores. para terceros.
y por cuenta de este ltimo.
Paso 7.
Una vez obtenida la autorizacin, el
Implementacin de
encargado deber formalizar la relacin con
las Medidas de
el subcontratado a travs de clusulas
Seguridad
contractuales u otro instrumento jurdico que
Art. 54 Aplicables a los
49 permita acreditar su existencia, alcance y 18.1.1 Identificacin
Art. 55 Datos Personales. Proceso para la identificacin y
contenido. de legislacin
Cumplimiento formalizacin de requerimientos
En caso de que la subcontratacin no haya aplicable y
Cotidiano de regulatorios, legales y
sido prevista en clusulas contractuales, el requerimientos
Medidas de contractuales.
encargado deber obtener la autorizacin contractuales.
Seguridad.
correspondiente del responsable
previamente.
La obligacin de acreditar que la
subcontratacin se realiz con autorizacin
del responsable corresponder al encargado.
CMPUTO EN LA NUBE

79
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control

Para el tratamiento de datos personales en


13.2.1 Polticas y
servicios, aplicaciones e infraestructura en el Actividades para el desarrollo
procedimientos de
denominado cmputo en la nube, en los que de la poltica y procedimientos
transferencia de
el responsable se adhiera a los mismos de transferencia de informacin.
informacin.
mediante condiciones o clusulas generales
de contratacin, slo podr utilizar aquellos
Lineamientos para establecer
servicios en los que el proveedor cumpla, al 13.2.2 Acuerdos sobre
acuerdos de informacin entre
menos, con lo siguiente: transferencia de
Paso 7. la organizacin y entidades
informacin.
Implementacin de externas.
a) Tener y aplicar polticas de proteccin de
las Medidas de
datos personales afines a los principios y Requerimientos para el diseo
Seguridad
deberes aplicables que establece la Ley y su e implementacin de acuerdos
Aplicables a los
50 Reglamento; Art. 52 - I 13.2.4 Acuerdos de de confidencialidad y de no
Datos Personales.
confidencialidad o de divulgacin que reflejen las
Cumplimiento
b) Transparentar las subcontrataciones que no divulgacin. necesidades de la organizacin
Cotidiano de
involucren la informacin sobre la que se en cuento a proteccin de
Medidas de
presta el servicio; informacin.
Seguridad.
15.1 Seguridad de la Actividades para asegurar la
c) Abstenerse de incluir condiciones en la Informacin para el proteccin de los activos de
prestacin del servicio que le autoricen o relacionamiento con informacin que esta accesible
permitan asumir la titularidad o propiedad de proveedores. para terceros.
la informacin sobre la que presta el servicio, Actividades para el
15.2 Gestin de la
y mantenimiento de niveles de
entrega de servicios
servicio y seguridad apropiados
de proveedores.
d) Guardar confidencialidad respecto de los con terceras partes.

80
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
datos personales sobre los que se preste el 18.1.1 Identificacin
Proceso para la identificacin y
servicio. de legislacin
formalizacin de requerimientos
aplicable y
regulatorios, legales y
requerimientos
contractuales.
contractuales.
Actividades para la proteccin
de registros de acuerdo a las
18.1.3 Proteccin de
regulaciones, legislaciones,
registros.
contratos y requerimientos de
negocio vigentes.

18.1.4 Privacidad y Actividades para prevenir


proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal.

Para el tratamiento de datos personales en Actividades para mantener la


servicios, aplicaciones e infraestructura en el seguridad en la informacin
Paso 7. 13.2 Transferencia de
denominado cmputo en la nube, en los que transmitida dentro de la
Implementacin de informacin.
el responsable se adhiera a los mismos organizacin y entidades
las Medidas de
mediante condiciones o clusulas generales externas.
Seguridad
de contratacin, slo podr utilizar aquellos 15.1 Seguridad de la Actividades para asegurar la
Aplicables a los
51 servicios en los que el proveedor cuente con Art. 52 - II Informacin para el proteccin de los activos de
Datos Personales.
mecanismos, al menos, para: relacionamiento con informacin que esta accesible
Cumplimiento
proveedores. para terceros.
Cotidiano de
a) Dar a conocer cambios en sus polticas de Actividades para el
Medidas de 15.2 Gestin de la
privacidad o condiciones del servicio que mantenimiento de niveles de
Seguridad. entrega de servicios
presta; servicio y seguridad apropiados
de proveedores.
con terceras partes.

81
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
b) Permitir al responsable limitar el tipo de 18.1.1 Identificacin
Proceso para la identificacin y
tratamiento de los datos personales sobre los de legislacin
formalizacin de requerimientos
que se presta el servicio; aplicable y
regulatorios, legales y
requerimientos
contractuales.
c) Establecer y mantener medidas de contractuales.
seguridad adecuadas para la proteccin de Actividades para la proteccin
los datos personales sobre los que se preste de registros de acuerdo a las
18.1.3 Proteccin de
el servicio; regulaciones, legislaciones,
registros.
contratos y requerimientos de
d) Garantizar la supresin de los datos negocio vigentes.
personales una vez que haya concluido el
servicio prestado al responsable, y que este
ltimo haya podido recuperarlos, y
18.1.4 Privacidad y Actividades para prevenir
e) Impedir el acceso a los datos personales a proteccin de brechas relacionadas a la
personas que no cuenten con privilegios de Informacin Personal seguridad de informacin
acceso, o bien en caso de que sea a solicitud Identificable. personal
fundada y motivada de autoridad
competente, informar de ese hecho al
responsable.
TRANSFERENCIAS
Cuando el responsable pretenda transferir los Paso 7. Actividades para mantener la
Art. 68
datos personales a terceros nacionales o Implementacin de seguridad en la informacin
Art. 71 13.2 Transferencia de
52 extranjeros, distintos del encargado, deber Art. 36 las Medidas de transmitida dentro de la
Art. 72 informacin.
comunicar a stos el aviso de privacidad y las Seguridad organizacin y entidades
Art. 74
finalidades a las que el titular sujet su Aplicables a los externas.

82
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
tratamiento. Datos Personales. 18.1.1 Identificacin
Proceso para la identificacin y
El tratamiento de los datos se har conforme Cumplimiento de legislacin
formalizacin de requerimientos
a lo convenido en el aviso de privacidad, el Cotidiano de aplicable y
regulatorios, legales y
cual contendr una clusula en la que se Medidas de requerimientos
contractuales.
indique si el titular acepta o no la Seguridad. contractuales.
transferencia de sus datos, de igual manera, Actividades para la proteccin
el tercero receptor, asumir las mismas de registros de acuerdo a las
18.1.3 Proteccin de
obligaciones que correspondan al regulaciones, legislaciones,
registros.
responsable que transfiri los datos. contratos y requerimientos de
negocio vigentes.

18.1.4 Privacidad y Actividades para prevenir


proteccin de brechas relacionadas a la
Informacin Personal seguridad de informacin
Identificable. personal

Paso 7. 13.2.1 Polticas y


Actividades para el desarrollo
Implementacin de procedimientos de
Para efectos de demostrar que la de la poltica y procedimientos
las Medidas de transferencia de
transferencia, sea sta nacional o de transferencia de informacin.
Seguridad informacin.
internacional, se realiza conforme a lo que
Aplicables a los
53 establece la Ley y su Reglamento, la carga de Art. 69
Datos Personales.
la prueba recaer, en todos los casos, en el
Cumplimiento Lineamientos para establecer
responsable que transfiere y en el receptor 13.2.2 Acuerdos sobre
Cotidiano de acuerdos de informacin entre
de los datos personales. transferencia de
Medidas de la organizacin y entidades
informacin.
Seguridad. externas.

83
Identificador y
Referencia Referencia Referencia
N Requerimiento normativo nombre Descripcin
LFPDPPP Reglamento Recomendaciones
Objetivo de Control

En el caso de transferencias de datos 13.2.1 Polticas y


Actividades para el desarrollo
personales entre sociedades controladoras, procedimientos de
de la poltica y procedimientos
subsidiarias o afiliadas bajo el control comn transferencia de
de transferencia de informacin.
del mismo grupo del responsable, o a una informacin.
sociedad matriz o a cualquier sociedad del
mismo grupo del responsable, el mecanismo
para garantizar que el receptor de los datos
1. Recomendacin
54 personales cumplir con las disposiciones Art. 70
General Lineamientos para establecer
previstas en la Ley, su Reglamento y dems 13.2.2 Acuerdos sobre
normativa aplicable, podr ser la existencia acuerdos de informacin entre
transferencia de
de normas internas de proteccin de datos la organizacin y entidades
informacin.
externas.
personales cuya observancia sea vinculante,
siempre y cuando stas cumplan con lo
establecido en la Ley, su Reglamento y
dems normativa aplicable.

Paso 7.
13.2.1 Polticas y
Implementacin de Actividades para el desarrollo
procedimientos de
La transferencia deber formalizarse las Medidas de de la poltica y procedimientos
transferencia de
mediante algn mecanismo que permita Seguridad de transferencia de informacin.
informacin.
demostrar que el responsable transferente Art. 73 Aplicables a los
55
comunic al responsable receptor las Art. 75 Datos Personales.
Lineamientos para establecer
condiciones en las que el titular consinti el Cumplimiento 13.2.2 Acuerdos sobre
acuerdos de informacin entre
tratamiento de sus datos personales. Cotidiano de transferencia de
la organizacin y entidades
Medidas de informacin.
externas.
Seguridad.

84