Está en la página 1de 648

CONSENSUS ASSESSMENTS INITIATIVE QUESTIONN

Grupo de control CGID CID

Seguridad de la aplicación y la AIS-01 AIS-01.1


interfaz
Seguridad de la aplicación

AIS-01.2

AIS-01.3
AIS-01.4

AIS-01.5

Seguridad de la aplicación y la AIS-02 AIS-02.1


interfaz
Requisitos de acceso de clientes

AIS- 02.2
Seguridad de la aplicación y la AIS-03 AIS-03.1
interfaz
Integridad de los datos

Seguridad de la aplicación y la AIS-04 AIS-04.1


interfaz
Seguridad/Integridad de los datos
Garantía y cumplimiento de AAC-01 AAC-01.1
auditoría
Planificación de auditoría
Garantía y cumplimiento de AAC-02 AAC-02.1
auditoría
Auditorías independientes

AAC-02.2

AAC-02.3

AAC-02.4

AAC-02.5
AAC-02.6

AAC-02.7

AAC-02.8

Garantía y cumplimiento de AAC-03 AAC-03.1


auditoría
Asignación reglamentaria de
sistema de información
AAC-03.2

AAC-03.3

AAC-03.4

Administración y resiliencia BCR-01 BCR-01.1


operativa de la continuidad
empresarial
Planificación de la continuidad BCR-01.2
empresarial
Administración y resiliencia BCR-02 BCR-02.1
operativa de la continuidad
empresarial
Prueba de la continuidad
empresarial

Administración y resiliencia BCR-03 BCR-03.1


operativa de la continuidad
empresarial
Energía/telecomunicaciones BCR-03.2

Administración y resiliencia BCR-04 BCR-04.1


operativa de la continuidad
empresarial
Documentación
Administración y resiliencia BCR-05 BCR-05.1
operativa de la continuidad
empresarial
Riesgos ambientales

Administración y resiliencia BCR-06 BCR-06.1


operativa de la continuidad
empresarial
Ubicación del equipo

Administración y resiliencia BCR-07 BCR-07.1


operativa de la continuidad
empresarial
Mantenimiento del equipo
BCR-07.2

BCR-07.3

BCR-07.4

BCR-07.5
Administración y resiliencia BCR-08 BCR-08.1
operativa de la continuidad
empresarial
Cortes de electricidad del equipo

Administración y resiliencia BCR-09 BCR-09.1


operativa de la continuidad
empresarial
Análisis del impacto

BCR-09.2

BCR-09.3
Administración y resiliencia BCR-10 BCR-10.1
operativa de la continuidad
empresarial
Política

Administración y resiliencia BCR-11 BCR-11.1


operativa de la continuidad
empresarial
Política de retención

BCR-11.2

BCR-11.4

BCR-11.5

Control de cambios y CCC-01 CCC-01.1


administración de configuración
Nuevo desarrollo/adquisición

CCC-01.2
Control de cambios y CCC-02 CCC-02.1
administración de configuración
Desarrollo externalizado

CCC-02.2

Control de cambios y CCC-03 CCC-03.1


administración de configuración
Prueba de calidad

CCC-03.2

CCC-03.3

CCC-03.4
Control de cambios y CCC-04 CCC-04.1
administración de configuración
Instalaciones de software no
autorizadas
Control de cambios y CCC-05 CCC-05.1
administración de configuración
Cambios de producción

Seguridad de los datos y DSI-01 DSI-01.1


administración del ciclo de vida de
la información
Clasificación

DSI-01.2

DSI-01.3

DSI-01.4

DSI-01.5
DSI-01.6

DSI-01.7

Seguridad de los datos y DSI-02 DSI-02.1


administración del ciclo de vida de
la información
Inventario/flujos de datos

DSI-02.2

Seguridad de los datos y DSI-03 DSI-03.1


administración del ciclo de vida de
la información
Transacciones de comercio
electrónico

DSI-03.2

Seguridad de los datos y DSI-04 DSI-04.1


administración del ciclo de vida de
la información
Política de
gestión/etiquetado/seguridad

DSI-04.2
Seguridad de los datos y DSI-05 DSI-05.1
administración del ciclo de vida de
la información
Datos de no producción

Seguridad de los datos y DSI-06 DSI-06.1


administración del ciclo de vida de
la información
Propiedad/gestión

Seguridad de los datos y DSI-07 DSI-07.1


administración del ciclo de vida de
la información
Eliminación segura

DSI-07.2
Seguridad del centro de datos DCS-01 DCS-01.1
Gestión de activos

DCS-01.2

Seguridad del centro de datos DCS-02 DCS-02.1


Puntos de acceso controlados

Seguridad del centro de datos DCS-03 DCS-03.1


Identificación del equipamiento
Seguridad del centro de datos DCS-04 DCS-04.1
Autorización externa

Seguridad del centro de datos DCS-05 DCS-05.1


Equipamiento externo

Seguridad del centro de datos DCS-06 DCS-06.1


Política
DCS-06.2

Seguridad del centro de datos DCS-07 DCS-07.1


Autorización del área segura

Seguridad del centro de datos DCS-08 DCS-08.1


Entrada de personas no autorizadas

Seguridad del centro de datos DCS-09 DCS-09.1


Acceso de usuario

Cifrado y administración de claves EKM-01 EKM-01.1


Derechos
Cifrado y administración de claves EKM-02 EKM-02.1
Generación de claves

EKM-02.2

EKM-02.3

EKM-02.4

EKM-02.5

Cifrado y administración de claves EKM-03 EKM-03.1


Cifrado

EKM-03.2
EKM-03.3

EKM-03.4

Cifrado y administración de claves EKM-04 EKM-04.1


Almacenamiento y acceso

EKM-04.2

EKM-04.3

EKM-04.4

Gobernanza y gestión de riesgos GRM-01 GRM-01.1


Requisitos de referencia
GRM-01.2

GRM-01.3

Gobernanza y gestión de riesgos GRM-02 GRM-02.1


Evaluaciones de riesgos

GRM-02.2
Gobernanza y gestión de riesgos GRM-03 GRM-03.1
Supervisión de gestión

Gobernanza y gestión de riesgos GRM-04 GRM-04.1


Programa de gestión

GRM-04.2
Gobernanza y gestión de riesgos GRM-05 GRM-05.1
Respaldo/participación en la gestión

Gobernanza y gestión de riesgos GRM-06 GRM-06.1


Política

GRM-06.2

GRM-06.3

GRM-06.4

Gobernanza y gestión de riesgos GRM-07 GRM-07.1


Ejecución de políticas

GRM-07.2
Gobernanza y gestión de riesgos GRM-08 GRM-08.1
Impactos de cambios de
empresa/políticas

Gobernanza y gestión de riesgos GRM-09 GRM-09.1


Revisiones de políticas
GRM-09.2

Gobernanza y gestión de riesgos GRM-10 GRM-10.1


Evaluaciones

GRM-10.2

Gobernanza y gestión de riesgos GRM-11 GRM-11.1


Programa

GRM-11.2

Recursos Humanos HRS-01 HRS-01.1


Devoluciones de activos

HRS-01.2
Recursos Humanos HRS-02 HRS-02.1
Evaluación de antecedentes

Recursos Humanos HRS-03 HRS-03.1


Acuerdos de empleo

HRS-03.2

HRS-03.3

HRS-03.4

HRS-03.5

Recursos Humanos HRS-04 HRS-04.1


Terminación de empleo
HRS-04.2

Recursos Humanos HRS-05 HRS-05.1


Dispositivos portátiles/móviles

Recursos Humanos HRS-06 HRS-06.1


Acuerdos de no divulgación
Recursos Humanos HRS-07 HRS-07.1
Funciones/responsabilidades

Recursos Humanos HRS-08 HRS-08.1


Uso aceptable
HRS-08.2

HRS-08.3

Recursos Humanos HRS-09 HRS-09.1


Formación/concienciación

HRS-09.2

Recursos Humanos HRS-10 HRS-10.1


Responsabilidad del usuario
HRS-10.2

HRS-10.3

Recursos Humanos HRS-11 HRS-11.1


Espacio de trabajo

HRS-11.2

HRS-11.3

Identidad y administración de IAM-01 IAM-01.1


acceso
Acceso a herramientas de auditoría

IAM-01.2
Identidad y administración de IAM-02 IAM-02.1
acceso
Política de acceso de usuario
IAM-02.2
Identidad y administración de IAM-03 IAM-03.1
acceso
Acceso a puertos de
diagnóstico/configuración

Identidad y administración de IAM-04 IAM-04.1


acceso
Políticas y procedimientos
IAM-04.2
Identidad y administración de IAM-05 IAM-05.1
acceso
Segregación de tareas

Identidad y administración de IAM-06 IAM-06.1


acceso
Restricción de acceso de código
fuente
IAM-06.2
Identidad y administración de IAM-07 IAM-07.1
acceso
Acceso de terceros

IAM-07.2

IAM-07.3

IAM-07.4

IAM-07.5
IAM-07.6
IAM-07.7
Identidad y administración de IAM-08 IAM-08.1
acceso
Restricción/autorización de acceso
del usuario

IAM-08.2

Identidad y administración de IAM-09 IAM-09.1


acceso
Autorización de acceso del usuario

IAM-09.2

Administración de identidad y IAM-10 IAM-10.1


acceso
Revisiones de acceso del usuario

IAM-10.2

IAM-10.3
Identidad y administración de IAM-11 IAM-11.1
acceso
Revocación de acceso del usuario

IAM-11.2

Identidad y administración de IAM-12 IAM-12.1


acceso
Credenciales de ID del usuario

IAM-12.2

IAM-12.3

IAM-12.4

IAM-12.5

IAM-12.6
IAM-12.7

IAM-12.8

IAM-12.9

IAM-12.10

IAM-12.11

Identidad y administración de IAM-13 IAM-13.1


acceso
Acceso a programas de utilidad

IAM-13.2

IAM-13.3

Seguridad de infraestructura y IVS-01 IVS-01.1


virtualización
Registro de auditoría/Detección de
intrusiones
IVS-01.2

IVS-01.3

IVS-01.4

IVS-01.5

Seguridad de infraestructura y IVS-02 IVS-02.1


virtualización
Detección de cambios

IVS-02.2

Seguridad de infraestructura y IVS-03 IVS-03.1


virtualización
Sincronización del reloj

Seguridad de infraestructura y IVS-04 IVS-04.1


virtualización
Planificación de capacidad/recursos

IVS-04.2

IVS-04.3
IVS-04.4

Seguridad de infraestructura y IVS-05 IVS-05.1


virtualización
Gestión - Gestión de
vulnerabilidades

Seguridad de infraestructura y IVS-06 IVS-06.1


virtualización
Seguridad de red
IVS-06.2

IVS-06.3

IVS-06.4

Seguridad de infraestructura y IVS-07 IVS-07.1


virtualización
Fortalecimiento del SO y controles
de base

Seguridad de infraestructura y IVS-08 IVS-08.1


virtualización
Entornos de producción/no
producción

IVS-08.2
IVS-08.3

Seguridad de infraestructura y IVS-09 IVS-09.1


virtualización
Segmentación

IVS-09.2

IVS-09.3

IVS-09.4

Seguridad de infraestructura y IVS-10 IVS-10.1


virtualización
Seguridad de VM - Protección de
datos

IVS-10.2

Seguridad de infraestructura y IVS-11 IVS-11.1


virtualización
Seguridad de VM - Fortalecimiento
del hipervisor
Seguridad de infraestructura y IVS-12 IVS-12.1
virtualización
Seguridad inalámbrica

IVS-12.2

IVS-12.3

Seguridad de infraestructura y IVS-13 IVS-13.1


virtualización
Arquitectura de red

IVS-13.2

Interoperabilidad y portabilidad IPY-01 IPY-01


API

Interoperabilidad y portabilidad IPY-02 IPY-02


Solicitud de datos

Interoperabilidad y portabilidad IPY-03 IPY-03.1


Política y aspectos legales
Interoperabilidad y portabilidad IPY-03
Política y aspectos legales
IPY-03.2

Interoperabilidad y portabilidad IPY-04 IPY-04.1


Protocolos de red estandarizados

IPY-04.2

Interoperabilidad y portabilidad IPY-05 IPY-05.1


Virtualización

IPY-05.2

Seguridad móvil MOS-01 MOS-01


Antimalware

Seguridad móvil MOS-02 MOS-02


Tiendas de aplicaciones

Seguridad móvil MOS-03 MOS-03


Aplicaciones aprobadas

Seguridad móvil MOS-04 MOS-04


Software aprobado para BYOD
(“trae tu propio dispositivo”)
Seguridad móvil MOS-05 MOS-05
Concienciación y formación

Seguridad móvil MOS-06 MOS-06


Servicios basados en la nube

Seguridad móvil MOS-07 MOS-07


Compatibilidad

Seguridad móvil MOS-08 MOS-08


Elegibilidad del dispositivo
Seguridad móvil MOS-09 MOS-09
Inventario de dispositivos

Seguridad móvil MOS-10 MOS-10


Administración de dispositivos

Seguridad móvil MOS-11 MOS-11


Cifrado

Seguridad móvil MOS-12 MOS-12.1


Jailbreaking y rooting

MOS-12.2

Seguridad móvil MOS-13 MOS-13.1


Aspectos legales
MOS-13.2

Seguridad móvil MOS-14 MOS-14


Pantalla de bloqueo
Seguridad móvil MOS-15 MOS-15
Sistemas operativos

Seguridad móvil MOS-16 MOS-16.1


Contraseñas
MOS-16.2

MOS-16.3

Seguridad móvil MOS-17 MOS-17.1


Política
MOS-17.2

MOS-17.3

Seguridad móvil MOS-18 MOS-18.1


Borrado remoto
MOS-18.2

Seguridad móvil MOS-19 MOS-19.1


Parches de seguridad
MOS-19.2

Seguridad móvil MOS-20 MOS-20.1


Usuarios
MOS-20.2
Gestión de incidentes de seguridad, SEF-01 SEF-01.1
descubrimiento electrónico y
pruebas forenses de la nube
Mantenimiento de
contacto/autoridad

Gestión de incidentes de seguridad, SEF-02 SEF-02.1


descubrimiento electrónico y
pruebas forenses de la nube
Gestión de incidentes

SEF-02.2

SEF-02.3

SEF-02.4
Gestión de incidentes de seguridad, SEF-03 SEF-03.1
descubrimiento electrónico y
pruebas forenses de la nube
Informe de incidentes

SEF-03.2

Gestión de incidentes de seguridad, SEF-04 SEF-04.1


descubrimiento electrónico y
pruebas forenses de la nube
Preparación legal para respuesta a
incidentes
Gestión de incidentes de seguridad, SEF-04
descubrimiento electrónico y
pruebas forenses de la nube
Preparación legal para respuesta a
incidentes SEF-04.2

SEF-04.3

SEF-04.4

Gestión de incidentes de seguridad, SEF-05 SEF-05.1


descubrimiento electrónico y
pruebas forenses de la nube
Métricas de respuesta a incidentes SEF-05.2

Gestión de la cadena de suministro, STA-01 STA-01.1


transparencia y responsabilidad
Calidad e integridad de los datos

STA-01.2

Gestión de la cadena de suministro, STA-02 STA-02.1


transparencia y responsabilidad
Informe de incidentes

Gestión de la cadena de suministro, STA-03 STA-03.1


transparencia y responsabilidad
Servicios de red/infraestructura

STA-03.2
Gestión de la cadena de suministro, STA-04 STA-04.1
transparencia y responsabilidad
Evaluaciones internas del proveedor
Gestión de la cadena de suministro, STA-05 STA-05.1
transparencia y responsabilidad
Acuerdos de terceros

STA-05.2

STA-05.3
STA-05.4
STA-05.5
Gestión de la cadena de suministro, STA-06 STA-06.1
transparencia y responsabilidad
Revisiones de gobernanza de la
cadena de suministro

Gestión de la cadena de suministro, STA-07 STA-07.1


transparencia y responsabilidad
Métricas de la cadena de suministro

STA-07.2

STA-07.3

STA-07.4

Gestión de la cadena de suministro, STA-08 STA-08.1


transparencia y responsabilidad
Evaluación de terceros
transparencia y responsabilidad
Evaluación de terceros

STA-8.2

Gestión de la cadena de suministro, STA-09 STA-09.1


transparencia y responsabilidad
Auditorías de terceros

STA-09.2

Gestión de amenazas y TVM-01 TVM-01.1


vulnerabilidades
Antivirus/Software malintencionado

TVM-01.2

Gestión de amenazas y TVM-02 TVM-02.1


vulnerabilidades
Gestión de vulnerabilidades/parches

TVM-02.2

TVM-02.3

TVM-02.4
TVM-02.5

TVM-02.6

Gestión de amenazas y TVM-03 TVM-03.1


vulnerabilidades
Código móvil

TVM-03.2
© Copyright 2014 Cloud Security Alliance. Todos los derechos reservados. Puede descargar, almacenar, visualizar en su equipo,
«Cuestionario de Iniciativa de Evaluaciones de Consenso (CAIQ), versión 3.0.1» en http://www.cloudsecurityalliance.org sujeto
condiciones: (a) solo puede usar el Cuestionario de Iniciativa de Evaluaciones de Consenso, v3.0.1 para uso personal, informati
comercial; (b) no puede modificar ni alterar de ninguna manera el Cuestionario de Iniciativa de Evaluaciones de Consenso, v3.0
redistribuir el Cuestionario de Iniciativa de Evaluaciones de Consenso v3.0.1; y (d) no puede quitar la marca registrada, los dere
otras notificaciones. Puede citar parcialmente el Cuestionario de Iniciativa de Evaluaciones de Consenso, v3.0.1 según lo permi
disposiciones de uso legítimo de la ley de derechos de autor de Estados Unidos, siempre que indique que las partes pertenece
de Iniciativa de Evaluaciones de Consenso, v3.0.1 de Cloud Security Alliance (2014). Si desea obtener una licencia para usar est
otro modo que no esté incluido en la notificación de derechos de autor, escriba a info@cloudsecurityalliance.org.
CONSENSUS ASSESSMENTS INITIATIVE QUESTIONNAIRE v3.0.1

Especificación de control

Las interfaces de aplicaciones y programación (API) se deben diseñar, desarrollar,


implementar y probar de conformidad con los estándares líderes de la industria (por
ejemplo, OWASP para aplicaciones web), además de cumplir con las obligaciones
legales, estatutarias o reglamentarias pertinentes.
Antes de brindar a los clientes acceso a los datos, los activos y los sistemas de
información, es necesario abordar los requisitos contractuales, reglamentarios y de
seguridad identificados para el acceso de los clientes.
Se implementarán rutinas de integridad de entrada y salida de datos (por ejemplo,
verificaciones de reconciliación y edición) para las interfaces y las bases de datos de
las aplicaciones a fin de evitar los errores de procesamiento, la corrupción de datos o
el mal uso manuales o sistemáticos.

Se establecerán y mantendrán políticas y procedimientos de seguridad de datos


(confidencialidad, integridad y disponibilidad) en múltiples interfaces de sistemas,
jurisdicciones y funciones empresariales a fin de evitar la divulgación, alteración o
destrucción inadecuadas.
Se desarrollarán y mantendrán planes de auditoría para abordar las interrupciones de
procesos empresariales. Los planes de auditoría se centrarán en revisar la eficacia de
la implementación de operaciones de seguridad. Todas las actividades de auditoría
deben acordarse antes de llevarlas a cabo.
Se llevarán a cabo revisiones y evaluaciones independientes por lo menos una vez al
año para garantizar que la organización aborde los incumplimientos de políticas,
estándares, procedimientos y obligaciones de cumplimiento.
Las organizaciones crearán y mantendrán un marco de control que incluya los
estándares y los requisitos reglamentarios, legales y estatutarios relevantes para sus
necesidades empresariales. Se revisará el marco de control al menos una vez al año
para garantizar que se reflejen los cambios que puedan afectar los procesos
empresariales.
Se establecerá, documentará y adoptará un marco unificado consistente para la
planificación de la continuidad empresarial y el desarrollo de planes con el objetivo
de garantizar que todos los planes de continuidad empresarial sean consistentes al
abordar las prioridades de requisitos de prueba, mantenimiento y seguridad de la
información. Algunos de los requisitos para los planes de continuidad empresarial son
los siguientes:
• Propósito y alcance definido, alineados con las dependencias relevantes
• Todas las personas que los utilizarán pueden acceder a los planes y entenderlos
• Pertenece a una persona, cuyo nombre se conoce, responsable de su revisión,
actualización y aprobación
• Líneas de comunicación, funciones y responsabilidades definidas
• Procedimientos de recuperación detallados, solución alternativa manual e
información de referencia
• Método para la invocación del plan
Los planes de continuidad empresarial y respuesta a incidentes de seguridad estarán
sujetos a pruebas cada intervalos planificados o cuando se produzcan cambios
organizacionales o ambientales significativos. Los planes de respuesta a incidentes
deben incluir a los clientes afectados (inquilinos) y a otras relaciones empresariales
que representen dependencias críticas de procesos empresariales de cadena de
suministro interna.

Cada intervalo planificado se asegurará, supervisará, mantendrá y comprobará la


eficacia continua de los servicios de utilidades de centros de datos y las condiciones
ambientales (por ejemplo, controles de agua, energía, temperatura y humedad,
telecomunicaciones y conectividad a Internet) con el objetivo de garantizar la
protección frente a «interceptaciones» o daños no autorizados; además, incluirá
conmutación automatizada u otras redundancias en caso de interrupciones
planificadas o no planificadas.

La documentación del sistema de información (por ejemplo, guías del administrador y


del usuario, y diagramas de arquitectura) estarán disponibles para el personal
autorizado con el objetivo de garantizar lo siguiente:
• Configuración, instalación y funcionamiento del sistema operativo
• Uso efectivo de las características de seguridad del sistema
Se anticiparán, diseñarán y aplicarán contramedidas de protección física frente a
daños por causas y desastres naturales, además de ataques intencionales, como
incendio, inundación, descarga eléctrica atmosférica, tormenta geomagnética solar,
viento, terremoto, tsunami, explosión, accidente nuclear, actividad volcánica, riesgo
biológico, disturbios civiles, alud de lodo, actividad tectónica y otras formas de
desastres naturales o causados por el hombre.

Para reducir los riesgos de amenazas ambientales, peligros y oportunidades de acceso


no autorizado, el equipo estará lejos de ubicaciones con probabilidades elevadas de
riesgos ambientales y estará complementado con equipo redundante ubicado a una
distancia razonable.

Se establecerán políticas y procedimientos, y se implementarán procesos


empresariales y medidas técnicas de respaldo para el mantenimiento del equipo a fin
de garantizar la continuidad y la disponibilidad de las operaciones y el personal de
asistencia técnica.
Se implementarán medidas de protección para hacer frente a amenazas naturales y
creadas por el hombre según una evaluación de impacto empresarial específica de la
ubicación geográfica.

Habrá un método definido y documentado para determinar el impacto de cualquier


interrupción a la organización (proveedor de servicios en la nube, consumidor de
servicios en la nube) que debe incluir lo siguiente:
• Identificar productos y servicios críticos
• Identificar todas las dependencias, incluyendo procesos, aplicaciones, socios
empresariales y proveedores de servicios de terceros
• Comprender las amenazas a productos y servicios críticos
• Determinar el impacto de las interrupciones planificadas o no planificadas y cómo
varían a lo largo del tiempo
• Establecer el período máximo de interrupción permitido
• Establecer prioridades de recuperación
• Establecer objetivos de tiempo de recuperación para la reanudación de productos y
servicios críticos dentro del período de interrupción tolerable máximo
• Calcular los recursos necesarios para la reanudación
Se establecerán políticas y procedimientos, y se implementarán procesos
empresariales y medidas técnicas de respaldo, para la gobernanza de TI y la
administración de servicios a fin de garantizar la planificación, la prestación y la
asistencia técnica adecuadas de las capacidades de TI de la organización, que brindan
asistencia técnica para las funciones empresariales, el personal y/o los clientes de
conformidad con estándares aceptables de la industria (por ejemplo, ITIL v4 y COBIT
5). Además, las políticas y los procedimientos deben definir las funciones y las
responsabilidades junto con la formación continua del personal.

Se establecerán políticas y procedimientos, y se implementarán procesos


empresariales y medidas técnicas de respaldo, para definir y respetar el período de
retención de cualquier activo crítico según lo establecido por las políticas y los
procedimientos, además de las obligaciones de cumplimiento legales, estatutarias o
reglamentarias aplicables. Las medidas de copia de seguridad y recuperación
formarán parte de la planificación de la continuidad empresarial, y su eficacia será
comprobada según corresponda.

Se establecerán políticas y procedimientos, y se implementarán procesos


empresariales y medidas técnicas de respaldo para garantizar el desarrollo o la
adquisición de nuevos datos, aplicaciones físicas o virtuales, componentes de
sistemas y red de infraestructura, o cualquier instalación empresarial, operativa o del
centro de datos que la dirección de la organización u otra posición o función
empresarial responsable haya autorizado previamente.
Los socios empresariales externos deberán adherirse a las mismas políticas y los
mismos procedimientos de administración, publicación y prueba de cambios que los
desarrolladores internos dentro de la organización (por ejemplo, procesos de
administración de servicios de ITIL).

La organización seguirá un proceso definido de control y prueba de calidad de


cambios (por ejemplo, administración de servicios de ITIL) con referencias
establecidas, pruebas y estándares de publicación, que se centran en la disponibilidad
del sistema, la confidencialidad y la integridad de los sistemas y los servicios.
Se establecerán políticas y procedimientos y se implementarán procesos
empresariales y medidas técnicas de respaldo para restringir la instalación de
software no autorizado en puntos de conexión de usuarios propiedad de la
organización o administrados (por ejemplo, estaciones de trabajo, laptops y
dispositivos móviles), así como en los componentes de sistemas y red de
infraestructura de TI.
Se establecerán políticas y procedimientos para administrar los riesgos relacionados
con realizar cambios a:
• Diseños y configuraciones de aplicaciones (físicas y virtuales) e interfaces sistema-
sistema (API) críticas para la empresa o que afectan al cliente (inquilino).
• Componentes de sistemas y red de infraestructura.
Se implementarán medidas técnicas para garantizar que todos los cambios
correspondan directamente a una solicitud de cambio registrada, crítica para la
empresa o que afecte al cliente (inquilino), y/o con la autorización del cliente
(inquilino) de conformidad con el acuerdo (SLA) antes de llevar a cabo la
implementación.

El propietario de los datos asignará una clasificación a los datos y los objetos que
contengan datos según el tipo de datos, el valor, la confidencialidad y su importancia
para la organización.
Se establecerán políticas y procedimientos y se implementarán procesos
empresariales y medidas técnicas de respaldo para realizar el inventario, documentar
y mantener flujos de datos de los datos que residen (permanentemente o
temporalmente) en las aplicaciones (físicas y virtuales) y en los componentes de
sistemas y red de infraestructura y/o que están compartidos con terceros para
garantizar el cumplimiento de acuerdos reglamentarios, estatutarios o de cadena de
suministro (SLA), y para abordar otros riegos empresariales asociados con los datos.
Previa solicitud, el proveedor debe informar al cliente (inquilino) sobre el impacto y el
riesgo de cumplimiento, especialmente si los datos del cliente se utilizan como parte
de los servicios.

Los datos relacionados con el comercio electrónico que viajan por redes públicas
estarán debidamente clasificados y protegidos frente a actividades fraudulentas,
divulgaciones no autorizadas o modificaciones a fin de evitar controversias
contractuales y poner en riesgo los datos.

Se establecerán políticas y procedimientos para el etiquetado, el manejo y la


seguridad de los datos y los objetos que contienen datos. Se implementarán
mecanismos de sucesión de etiqueta para los objetos que funcionan como
contenedores de acumulación de datos.
No se replicarán los datos de producción, ni se los utilizarán en entornos de no
producción. Cualquier uso de datos del cliente en entornos de no producción
requiere la aprobación explícita y documentada de todos los clientes cuyos datos se
ven afectados, y debe cumplir con todos los requisitos legales y reglamentarios para
la limpieza de elementos con datos confidenciales.

Todos los datos tendrán un administrador designado, cuyas responsabilidades se


definirán, documentarán y comunicarán.

Se establecerán políticas y procedimientos, y se implementarán procesos


empresariales y medidas técnicas de respaldo, para la eliminación segura y completa
de los datos en todos los medios de almacenamiento con el objetivo de garantizar
que no puedan recuperarse por ningún medio de computación forense.
Los activos se deben clasificar en términos de importancia empresarial, expectativas
de nivel de servicio y requisitos de continuidad operativa. Se mantendrá y actualizará
con frecuencia un inventario completo de activos críticos para la empresa ubicados
en todos los sitios y/o las ubicaciones geográficas y su uso con el transcurso del
tiempo. Además, se asignará un propietario mediante funciones y responsabilidades
definidas.

Se implementarán perímetros de seguridad física (por ejemplo, vallas, muros,


barreras, guardias, portones, vigilancia electrónica, mecanismos de autentificación
física, mostradores de recepción y patrullas de seguridad) para proteger los datos
confidenciales y los sistemas de información.

Se utilizará la identificación de equipo automatizada como método de autentificación


de conexión. Podrán utilizarse tecnologías de ubicación para validar la integridad de la
autentificación de la conexión según la ubicación conocida del equipo.
Se debe obtener autorización antes de reubicar o trasladar el hardware, el software o
los datos a instalaciones fuera del sitio.

Se establecerán políticas y procedimientos para la eliminación segura del equipo


(según tipo de activo) utilizado fuera de las instalaciones de la organización. Esto
incluirá una solución de borrado o proceso de destrucción que no permita la
recuperación de la información. El borrado consistirá en escribir por completo la
unidad para garantizar que la unidad borrada vuelva al inventario para su reutilización
e implementación o para que se la almacene de manera segura hasta que pueda ser
destruida.

Se establecerán políticas y procedimientos y se implementarán procesos


empresariales y medidas técnicas de respaldo para mantener un entorno de trabajo
seguro y protegido en oficinas, salas, instalaciones y áreas seguras de
almacenamiento de información confidencial.
La entrada y salida de las áreas seguras estarán limitadas y monitorizadas por
mecanismos de control de acceso físico para garantizar que sean exclusivos del
personal autorizado.

Los puntos de entrada y salida, como las áreas de servicio y otros puntos donde el
personal no autorizado puede entrar a las instalaciones, estarán monitorizados,
controlados y, en lo posible, aislados de las instalaciones de almacenamiento y
procesamiento de datos para evitar dañar, poner en peligro y perder los datos.

Los usuarios y el personal de asistencia técnica tendrán restringido el acceso físico a


los activos y las funciones de información.

Las claves deben tener usuarios identificables (que vinculen las claves con las
identidades) y existirán políticas de administración de claves.
Se establecerán políticas y procedimientos para la administración de claves
criptográficas en el sistema criptográfico del servicio (por ejemplo, administración del
ciclo de vida desde la generación de la clave hasta la revocación y el reemplazo,
infraestructura de clave pública, diseño de protocolo criptográfico y algoritmos
utilizados, controles de acceso vigentes para la generación segura de claves, e
intercambio y almacenamiento, incluida la segregación de claves utilizadas para datos
o sesiones cifrados). Previa solicitud, el proveedor informará al cliente (inquilino)
sobre los cambios en el sistema criptográfico, especialmente si se utilizan los datos
del cliente (inquilino) como parte del servicio y/o si la implementación del mecanismo
de control es una responsabilidad compartida con el cliente (inquilino).

Se establecerán políticas y procedimientos y se implementarán procesos


empresariales y medidas técnicas de respaldo para el uso de protocolos de cifrado
destinados a proteger los datos confidenciales almacenados (por ejemplo, servidores
de archivos, bases de datos y estaciones de trabajo del usuario final) y los datos en
tránsito (por ejemplo, interfaces del sistema, redes públicas y mensajería electrónica)
de conformidad con las obligaciones legales, estatutarias y reglamentarias de
cumplimiento.
La plataforma y los datos deberán estar cifrados mediante un método apropiado (por
ejemplo, AES-256) en formatos abiertos/validados y con algoritmos estándar. Las
claves no estarán almacenadas en la nube (por ejemplo, en el proveedor de nube en
cuestión), sino que las mantendrá el consumidor de la nube o el proveedor de
administración de claves de confianza. La administración de claves y el uso de claves
serán tareas independientes.

Se establecerán requisitos de seguridad de referencia para sistemas de aplicaciones e


infraestructura desarrollados o adquiridos, pertenecientes o administrados por la
organización, físicos o virtuales, así como para los componentes de red que cumplan
con las obligaciones legales, estatutarias y reglamentarias de cumplimiento. Los
cambios respecto de las configuraciones de referencia estándar deben estar
autorizados de conformidad con las políticas y los procedimientos de administración
de cambios antes de la implementación, el aprovisionamiento o el uso. El
cumplimiento de los requisitos de referencia de seguridad se evaluará por lo menos
una vez al año, a menos que se establezca y autorice una frecuencia diferente según
las necesidades empresariales.
de cambios antes de la implementación, el aprovisionamiento o el uso. El
cumplimiento de los requisitos de referencia de seguridad se evaluará por lo menos
una vez al año, a menos que se establezca y autorice una frecuencia diferente según
las necesidades empresariales.

En los intervalos planificados se llevarán a cabo evaluaciones de riesgos vinculadas


con los requisitos de gobernanza de datos, que tendrán en cuenta lo siguiente:
• Conocimiento del lugar de almacenamiento y transmisión de los datos en
aplicaciones, bases de datos, servidores e infraestructura de red.
• Cumplimiento de los períodos de retención establecidos y los requisitos de
eliminación de fin de vida útil.
• Clasificación y protección de los datos frente a uso, acceso, pérdida, destrucción y
falsificación no autorizados.
Los gerentes tienen la responsabilidad de estar informados sobre las políticas, los
procedimientos y los estándares de seguridad, y cumplir con ellos.

Se desarrollará, documentará, aprobará e implementará un Programa de


Administración de Seguridad de la Información (ISMP) que incluya salvaguardias
administrativas, técnicas y físicas para proteger los activos y los datos frente a
pérdida, uso indebido, acceso no autorizado, divulgación, alteración y destrucción. El
programa de seguridad incluirá, entre otras, las siguientes áreas en la medida en que
estén relacionadas con las características de la empresa:
• Administración de riesgos
• Política de seguridad
• Organización de la seguridad de la información
• Administración de activos
• Seguridad de los recursos humanos
• Seguridad física y ambiental
• Administración de comunicaciones y operaciones
• Control de acceso
• Adquisición, desarrollo y mantenimiento de sistemas de información
La dirección ejecutiva y de línea tomará acciones formales para respaldar la seguridad
de la información mediante la dirección y el compromiso claramente documentados,
y garantizará que la acción haya sido asignada.

Se establecerán políticas y procedimientos de seguridad de la información que


estarán disponibles para su revisión por parte de todo el personal y de las relaciones
empresariales externas que hayan sido afectados. Las políticas de seguridad de la
información deben estar autorizadas por la dirección empresarial de la organización
(u otra posición o función responsable) y respaldadas por un plan empresarial
estratégico y un programa de administración de seguridad de la información que
incluya funciones de seguridad de la información definidas y responsabilidades de la
dirección empresarial.

Se establecerá una política formal disciplinaria o de sanciones para los empleados


que infrinjan las políticas y los procedimientos de seguridad. Los empleados sabrán
qué medida podría tomarse en caso de infracciones, y las medidas disciplinarias
estarán indicadas en las políticas y los procedimientos.
Los resultados de la evaluación de riesgos incluirán actualizaciones de políticas,
procedimientos, estándares y controles de seguridad para garantizar su relevancia y
eficacia a lo largo del tiempo.

La dirección empresarial de la organización (u otra función o posición responsable)


revisará la política de seguridad de la información cada intervalos planificados o como
resultado de cambios en la organización con el objetivo de garantizar que siga
alineada con la estrategia de seguridad, eficacia, precisión y relevancia, y que respete
las obligaciones legales, estatutarias o reglamentarias de cumplimiento.
las obligaciones legales, estatutarias o reglamentarias de cumplimiento.

De conformidad con el marco empresarial, se llevarán a cabo evaluaciones formales


de riesgos anuales o cada intervalos planificados (y cuando haya cambios de los
sistemas de información) con el objetivo de determinar la probabilidad y el impacto
de todos los riesgos identificados mediante métodos cuantitativos y cualitativos. La
probabilidad y el impacto de los riesgos inherentes y residuales se determinarán
independientemente, teniendo en cuenta todas las categorías de riesgos (por
ejemplo, resultados de auditoría, análisis de amenazas y vulnerabilidades, y
cumplimiento reglamentario).

Se mitigarán los riesgos a niveles aceptables. Se establecerán y documentarán los


niveles de aceptación según criterios de riesgos y de conformidad con los marcos de
tiempo de resolución razonables y la aprobación de las partes interesadas.

Cuando termina la relación laboral del personal y/o caducan las relaciones
empresariales externas, todos los recursos pertenecientes a la organización se
devolverán dentro de un período de tiempo establecido.
De conformidad con las leyes locales, las reglamentaciones, la ética y las limitaciones
contractuales, todos los candidatos a un empleo, los contratistas y los terceros
estarán sujetos a la verificación de antecedentes proporcional a la clasificación de
datos a la que tendrán acceso, los requisitos empresariales y el riesgo aceptable.

Los acuerdos de empleo incluirán disposiciones y/o términos para el cumplimiento de


la gobernanza de la información y las políticas de seguridad establecidas; asimismo,
deberán estar firmados por el personal recién contratado o incorporado (por ejemplo,
empleado a tiempo completo o parcial, o trabajadores temporales) antes de
garantizar acceso al personal a las instalaciones empresariales, los recursos y los
activos.

Se asignarán, documentarán y comunicarán las funciones y las responsabilidades para


llevar a cabo la terminación del empleo o cambios en los procedimientos de empleo.
Se establecerán políticas y procedimientos y se implementarán procesos
empresariales y medidas técnicas de respaldo para gestionar los riesgos
empresariales relacionados con el permiso de los dispositivos móviles para acceder a
los recursos empresariales, y podrá requerirse la implementación de controles de
compensación y políticas y procedimientos de uso aceptable más seguros (por
ejemplo, formación sobre seguridad obligatoria, controles de identidad, derechos y
acceso más estrictos, y monitorización de dispositivos).

En los intervalos planificados, se identificarán, documentarán y revisarán los


requisitos de acuerdos de no divulgación o confidencialidad que reflejan las
necesidades de la organización de protección de datos y detalles operativos.
Se documentarán las funciones y las responsabilidades de los contratistas, empleados
y terceros que estén vinculados con los activos de información y seguridad.

Se establecerán políticas y procedimientos y se implementarán procesos


empresariales y medidas técnicas de respaldo para definir los permisos y las
condiciones para el uso de puntos de conexión de usuarios propiedad de la
organización o administrados (por ejemplo, estaciones de trabajo, laptops y
dispositivos móviles), así como de los componentes de sistemas y red de
infraestructura de TI. Además, se considerarán e incorporarán, según corresponda,
los permisos y las condiciones definidas para el uso de dispositivos móviles
personales y aplicaciones asociadas con acceso a recursos empresariales (por
ejemplo, “trae tu propio dispositivo” [BYOD]).

Se establecerá un programa de formación sobre seguridad para todos los contratistas,


terceros y empleados de la organización, que será obligatorio cuando corresponda.
Todas las personas con acceso a los datos de la organización recibirán una formación
sobre seguridad, además de actualizaciones frecuentes sobre procedimientos,
procesos y políticas organizacionales relacionadas con su función profesional dentro
de la organización.

Todos los miembros del personal deben conocer sus funciones y responsabilidades
para:
• Garantizar el conocimiento y el cumplimiento de las políticas y los procedimientos
establecidos, además de las obligaciones de cumplimiento legales, estatutarias y
reglamentarias.
• Lograr un entorno de trabajo seguro y protegido.
• Garantizar el conocimiento y el cumplimiento de las políticas y los procedimientos
establecidos, además de las obligaciones de cumplimiento legales, estatutarias y
reglamentarias.
• Lograr un entorno de trabajo seguro y protegido.

Se establecerán políticas y procedimientos para que los espacios de trabajo


desatendidos no tengan documentos confidenciales a la vista (por ejemplo, en un
escritorio) y para que las sesiones de usuario queden desactivadas después de un
período de inactividad determinado.

El acceso y el uso de las herramientas de auditoría que están en contacto con los
sistemas de información de la organización estarán correctamente segmentados y
restringidos para evitar comprometer los datos de registro y su uso indebido.
Se establecerán políticas y procedimientos y se implementarán procesos
empresariales y medidas técnicas de respaldo para garantizar la administración
correcta de identidades, derechos y accesos de todos los usuarios empresariales
internos y clientes (inquilinos) con acceso a los datos y las interfaces de aplicaciones
(físicas y virtuales) propiedad de la organización o administradas, y los componentes
de sistemas y red de infraestructura. Las políticas, los procedimientos, los procesos y
las medidas deben incluir lo siguiente:
• Procedimientos, funciones y responsabilidades de respaldo para otorgar y quitar
derechos de cuentas de usuarios sobre la base de la regla del menor privilegio según
la función del trabajo (por ejemplo, cambios de empleados internos y personal
temporario, acceso controlado por el cliente, relaciones empresariales de los
proveedores y otras relaciones empresariales de terceros).
• Consideraciones de casos empresariales para niveles más elevados de seguridad y
secretos de autentificación multifactoriales (por ejemplo, interfaces de
administración, generación de claves, acceso remoto, segregación de tareas, acceso
de emergencia, aprovisionamiento a gran escala o implementaciones distribuidas
geográficamente y redundancia de personal para sistemas críticos).
• Segmentación del acceso a las sesiones y los datos por parte de terceros en
estructuras con múltiples inquilinos (por ejemplo, proveedor y/u otro cliente
[inquilino]).
• Verificación de confianza de identidad y aplicación de servicio a servicio (API),
además de interoperabilidad de procesamiento de la información (por ejemplo, SSO y
federación).
• Administración del ciclo de vida de las credenciales de cuentas, desde la creación
de instancias hasta la revocación.
• Reducción de la tienda de credenciales y/o identidades de cuenta, o reutilización
cuando sea posible.
• Reglas de autentificación, autorización y responsabilidad (AAA) para acceder a los
datos y las sesiones (por ejemplo, cifrado y secretos de autentificación
seguros/multifactoriales no compartidos y con vencimiento).
• Permisos y compatibilidad para control del cliente (inquilino) mediante reglas de
autentificación, autorización y responsabilidad (AAA) para acceder a los datos y las
sesiones
• Observancia de los requisitos legales, estatutarios o reglamentarios de
cumplimiento
sesiones
• Observancia de los requisitos legales, estatutarios o reglamentarios de
cumplimiento
El acceso de los usuarios a los puertos de diagnóstico y configuración estará limitado
a los individuos y las aplicaciones autorizados.

Se establecerán políticas y procedimientos para almacenar y administrar la


información sobre identidad de cada persona que accede a la infraestructura de TI y
para determinar su nivel de acceso. También se desarrollarán políticas para controlar
el acceso a los recursos de red según la identidad del usuario.
Se establecerán políticas y procedimientos, y se implementarán procesos
empresariales y medidas técnicas de respaldo, para restringir el acceso de los
usuarios según la segregación predefinida de tareas a fin de abordar los riesgos
empresariales asociados con un conflicto de intereses que surja de la función de
usuario.

El acceso a las aplicaciones, los programas o el código fuente desarrollados por la


organización, así como cualquier otra forma de propiedad intelectual y el uso del
software propio, estarán debidamente limitados de conformidad con la regla de
menor privilegio basada en la función del trabajo y según las políticas y los
procedimientos de acceso de usuario establecidos.
La identificación, la evaluación y la priorización de los riesgos que representan los
procesos empresariales que requieren el acceso de terceros a los sistemas de
información y los datos de la organización estarán acompañados de la aplicación
coordinada de recursos para minimizar, monitorizar y medir la probabilidad y el
impacto del acceso no autorizado o indebido. Antes de otorgar acceso, se
implementarán controles de compensación derivados del análisis de riesgos.
Se establecerán políticas y procedimientos para el almacenamiento y el acceso
permitido de identidades utilizadas para la autentificación a fin de garantizar que solo
se pueda acceder a las identidades según reglas de menor privilegio y limitación de
replicación solo para los usuarios definidos explícitamente como necesarios para la
empresa.

Antes de otorgar el acceso, y según las restricciones de las políticas y los


procedimientos establecidos, la gerencia de la organización deberá autorizar el acceso
de usuario (por ejemplo, empleados, contratistas, clientes [inquilinos], socios
empresariales y/o relaciones de proveedor) a los datos y las aplicaciones (físicas y
virtuales) propiedad de la organización o administradas, los sistemas de
infraestructura y los componentes de red. Previa solicitud, el proveedor informará al
cliente (inquilino) sobre este acceso de usuario, especialmente si se utilizan los datos
del cliente (inquilino) como parte del servicio y/o si la implementación del mecanismo
de control es una responsabilidad compartida con el cliente (inquilino).

Para garantizar la pertinencia de los derechos, los líderes empresariales de la


organización u otra función empresarial responsable autorizarán y revalidarán el
acceso de usuario cada intervalos regulares, junto con evidencia que demuestre que
la organización cumple con la regla de menor privilegio según la función del trabajo.
En el caso de las infracciones de acceso, las medidas correctivas deben cumplir con
las políticas y los procedimientos establecidos de acceso de usuarios.
Se dará de baja oportunamente (mediante revocación o modificación) el acceso de
usuario a los datos y las aplicaciones (físicas y virtuales) propiedad de la organización
o administradas, los sistemas de infraestructura y los componentes de red, en función
de las políticas y los procedimientos establecidos y según el cambio de estado del
usuario (por ejemplo, terminación del empleo o cualquier otra relación empresarial,
cambio de trabajo o traslado). Previa solicitud, el proveedor informará al cliente
(inquilino) sobre estos cambios, especialmente si se utilizan los datos del cliente
(inquilino) como parte del servicio y/o si la implementación del mecanismo de control
es una responsabilidad compartida con el cliente (inquilino).

Se restringirán las credenciales de cuentas de usuarios empresariales internos o del


cliente (inquilino) según los puntos que aparecen a continuación, lo que garantizará la
administración adecuada de las identidades, los derechos y el acceso de conformidad
con las políticas y los procedimientos establecidos:
• Verificación de confianza de identidad y aplicación de servicio a servicio (API),
además de interoperabilidad de procesamiento de la información (por ejemplo, SSO y
federación).
• Administración del ciclo de vida de las credenciales de cuentas, desde la creación
de instancias hasta la revocación.
• Reducción de la tienda de credenciales y/o identidades de cuenta, o reutilización
cuando sea posible.
• Cumplimiento de las reglas de autentificación, autorización y responsabilidad (AAA)
aceptables de la industria y/o en cumplimiento con las reglamentaciones (por
ejemplo, cifrado y secretos de autentificación seguros/multifactoriales no
compartidos y con vencimiento).
Se restringirán los programas de servicio capaces de ignorar controles de sistema,
objeto, red, máquina virtual y aplicación.

Se requerirán niveles de seguridad más elevados para la protección, la retención y la


administración del ciclo de vida de los registros de auditoría, de conformidad con las
obligaciones de cumplimiento legales, estatutarias o reglamentarias aplicables, así
como para brindar responsabilidad de acceso de usuario único a fin de detectar
comportamientos de red sospechosos y/o anomalías de integridad de los archivos,
además de apoyar las capacidades de investigación forense en caso de una infracción
de seguridad.
comportamientos de red sospechosos y/o anomalías de integridad de los archivos,
además de apoyar las capacidades de investigación forense en caso de una infracción
de seguridad.

El proveedor garantizará la integridad de todas las imágenes de máquinas virtuales en


todo momento. Se registrarán todos los cambios en las imágenes de máquinas
virtuales y se elevarán alertas independientemente de su estado de ejecución (por
ejemplo, inactivo, apagado o en ejecución). Los resultados de un cambio o el traslado
de una imagen y la subsiguiente validación de la integridad de la imagen estarán
inmediatamente disponibles para los clientes a través de métodos electrónicos (por
ejemplo, portales o alertas).

Se utilizará una fuente de tiempo externa fiable y previamente acordada para


sincronizar los relojes del sistema de todos los sistemas de procesamiento de la
información a fin de facilitar el rastreo y la reconstrucción de las cronologías de
actividades.

Se planificará, preparará y medirá la disponibilidad, la calidad, así como la capacidad y


los recursos suficientes para garantizar el rendimiento del sistema requerido de
conformidad con las obligaciones legales, estatutarias y reglamentarias de
cumplimiento. Se realizarán proyecciones de los requisitos de capacidad futuros para
mitigar el riesgo de sobrecarga del sistema.
Los encargados de la implementación garantizarán que las herramientas o los
servicios de evaluación de vulnerabilidad de la seguridad sean compatibles con las
tecnologías de virtualización en uso (por ejemplo, apto para la virtualización).

Se diseñarán y configurarán entornos de red e instancias virtuales para restringir y


controlar el tráfico entre las conexiones confiables y no confiables. Dichas
configuraciones se revisarán al menos una vez al año y contarán con una justificación
documentada para el uso de todos los servicios, protocolos, puertos y controles de
compensación permitidos.

Todos los sistemas operativos serán reforzados para brindar únicamente los puertos,
los protocolos y los servicios necesarios a fin de cumplir con las necesidades
empresariales y contar con controles técnicos de respaldo, como antivirus,
monitorización de integridad de archivos y registros, como parte de su estándar o
plantilla de compilación operativa de referencia.

Los entornos de producción y no producción deben estar separados para evitar el


acceso no autorizado o los cambios en los activos de información. La separación de
los entornos puede incluir: firewalls de inspección con estado, fuentes de
autentificación de dominio/dominio kerberos y una clara segregación de tareas para
el personal que accede a estos entornos como parte de sus tareas de trabajo.
Las aplicaciones (físicas y virtuales) multiinquilino propiedad de la organización o
administradas, los sistemas de infraestructura y los componentes de red estarán
diseñados, desarrollados, implementados y configurados de tal manera que el acceso
de usuario del proveedor y el cliente (inquilino) esté debidamente segmentado a
partir de otros usuarios de inquilinos, según las siguientes consideraciones:
• Políticas y procedimientos establecidos
• Aislamiento de activos críticos empresariales y/o datos y sesiones confidenciales de
usuarios, que exigen controlen internos más estrictos y niveles más altos de seguridad
• Cumplimiento de las obligaciones legales, estatutarias y reglamentarias de
cumplimiento

Se utilizarán canales de comunicación seguros y cifrados para la migración de


servidores físicos, aplicaciones o datos a servidores virtualizados y, cuando sea
posible, se utilizará una red separada de las redes de nivel de producción para tales
migraciones.

El acceso a todas las funciones de administración de hipervisor o las consolas


administrativas para sistemas que alojan sistemas virtualizados estará restringido al
personal según el principio de menor privilegio y respaldado mediante controles
técnicos (por ejemplo, autentificación de dos factores, trazas de auditoría, filtrado de
direcciones IP, firewalls y comunicaciones encapsuladas TLS con las consolas
administrativas).
Se establecerán políticas y procedimientos, y se implementarán procesos
empresariales y medidas técnicas de respaldo, para proteger entornos de red
inalámbrica, lo que incluye:
• Firewalls de perímetro implementados y configurados para restringir el tráfico no
autorizado
• Configuración de seguridad activada con cifrado de alta seguridad para la
autentificación y la transmisión, que reemplaza la configuración predeterminada de
proveedor (por ejemplo, claves de cifrado, contraseñas y cadenas de comunidad
SNMP)
• Acceso de usuario a dispositivos de red inalámbrica restringido al personal
autorizado
• Capacidad de detectar la presencia de dispositivos de red inalámbrica no
autorizados para una desconexión oportuna de la red

Los diagramas de arquitectura de red deben identificar claramente los entornos y los
flujos de datos de riesgo elevado que pueden tener consecuencias legales de
cumplimiento. Se implementarán medidas técnicas y se aplicarán técnicas de defensa
a fondo (por ejemplo, análisis de paquete a fondo, limitación de tráfico y
enrutamiento con reglas de filtrado) para la detección y la respuesta oportuna a
ataques basados en red asociados con patrones anómalos de tráfico de entrada o
salida (por ejemplo, suplantación de direcciones MAC y ataques de tipo «poisoning»
de ARP) y/o ataques de denegación de servicio distribuido (DDoS).

El proveedor usará API abiertas y publicadas para garantizar la interoperabilidad entre


los componentes y para facilitar la migración de las aplicaciones.

Todos los datos estructurados y no estructurados estarán disponibles para el cliente,


quien los recibirá, previa solicitud, en un formato estándar habitual en la industria
(por ejemplo, .doc, .xls, .pdf, registros y archivos planos).

Se establecerán políticas, procedimientos y disposiciones y/o términos previamente


acordados para cumplir con los requisitos del cliente (inquilino) en materia de
aplicación de servicio a servicio (API) e interoperabilidad de procesamiento de
información, así como la portabilidad para el desarrollo de aplicaciones y el
intercambio de información, el uso y la persistencia de integridad.
Se establecerán políticas, procedimientos y disposiciones y/o términos previamente
acordados para cumplir con los requisitos del cliente (inquilino) en materia de
aplicación de servicio a servicio (API) e interoperabilidad de procesamiento de
información, así como la portabilidad para el desarrollo de aplicaciones y el
intercambio de información, el uso y la persistencia de integridad.

El proveedor usará protocolos de red estandarizados seguros (por ejemplo, texto no


claro y autentificado) para la importación y la exportación de datos, y para
administrar el servicio; asimismo, pondrá los documentos a disposición de los clientes
(inquilinos), que detallarán los estándares de interoperabilidad y portabilidad
pertinentes incluidos.

El proveedor usará una plataforma de virtualización reconocida en la industria y


formatos de virtualización estándar (por ejemplo, OVF) para garantizar la
interoperabilidad; además, documentará los cambios personalizados en todos los
hipervisores en uso y todos los enlaces de virtualización de una solución específica
para que el cliente los revise.

La formación sobre seguridad de la información del proveedor incluirá formación


sobre antimalware específica para dispositivos móviles.

Se comunicó una lista documentada de establecimientos de aplicaciones aprobadas


para dispositivos móviles que acceden o almacenan datos administrados por el
proveedor.

La empresa tendrá una política documentada que prohíba la instalación de


aplicaciones no aprobadas o aplicaciones aprobadas que no se obtuvieron a través de
una tienda de aplicaciones previamente identificada.

La política de BYOD y la formación de concienciación establecen claramente las


aplicaciones aprobadas, las tiendas de aplicaciones, las extensiones de aplicaciones y
los complementos que se pueden usar para BYOD.
El proveedor tendrá una política documentada de dispositivos móviles que incluya
una definición de dispositivo móvil, así como el uso y los requisitos aceptables para
todos los dispositivos móviles. El proveedor publicará y comunicará las políticas y los
requisitos mediante el programa de formación y concienciación de seguridad de la
empresa.

Todos los servicios basados en la nube utilizados por los dispositivos móviles o la
política de BYOD de la empresa estarán previamente aprobados para el uso y
almacenamiento de datos empresariales de la organización.

La empresa tendrá un proceso documentado de validación de aplicaciones para


probar los dispositivos móviles, el sistema operativo y los problemas de
compatibilidad de las aplicaciones.

La política de BYOD definirá los requisitos de dispositivo y elegibilidad para permitir el


uso de BYOD.
Se creará y mantendrá un inventario de todos los dispositivos móviles utilizados para
almacenar y acceder los datos empresariales. Para cada dispositivo incluido en el
inventario, se incluirán todos los cambios de estado del dispositivo (por ejemplo, los
niveles de sistema operativo y parche, el estado de perdido o dado de baja, y la
persona que tiene asignado el dispositivo o aprobado su uso (BYOD)).

Se implementará una solución centralizada de administración de dispositivos móviles


en todos los dispositivos que tienen permitido administrar, transmitir o procesar
datos del cliente.

La política de dispositivo móvil requerirá el uso de cifrado para todo el dispositivo o


para los datos identificados como confidenciales en todos los dispositivos móviles, y
se aplicará mediante controles de tecnología.

La política de dispositivo móvil prohibirá el incumplimiento de los controles de


seguridad integrados en los dispositivos móviles (por ejemplo, jailbreaking u
obtención de privilegios de usuario root) y se aplicará mediante controles de
detección y prevención en el dispositivo o mediante un sistema centralizado de
administración de dispositivos (por ejemplo, administración de dispositivos móviles).

La política de BYOD incluye aclaraciones sobre las expectativas de privacidad, los


requisitos para litigios, el descubrimiento electrónico y la conservación de
documentos por razones legales. La política de BYOD indicará claramente las
expectativas respecto de la pérdida de datos que no pertenezcan a la empresa
cuando se requiera el borrado de un dispositivo.

BYOD y/o los dispositivos que pertenecen a la empresa se configuran para requerir
una pantalla de bloqueo automática, y el requisito se aplicará mediante controles
técnicos.
Los cambios de sistema operativo de los dispositivos móviles, niveles de parches y/o
aplicaciones se administrarán mediante los procesos de administración de cambios de
la empresa.

Las políticas de contraseña, aplicables a los dispositivos móviles, se documentarán y


aplicarán mediante controles técnicos en todos los dispositivos de la empresa o en los
dispositivos aprobados para el uso de BYOD, y prohibirán el cambio de longitudes de
contraseña/PIN y los requisitos de autentificación.

La política de dispositivo móvil requerirá que el usuario de BYOD realice copias de


seguridad de los datos, prohibirá el uso de tiendas de aplicaciones no aprobadas y
requerirá el uso de software antimalware (cuando corresponda).

Todos los dispositivos móviles permitidos para su uso mediante el programa de BYOD
de la empresa o los dispositivos móviles asignados por la empresa deberán permitir el
borrado remoto por parte del departamento de TI de la empresa o el departamento
de TI de la empresa borrará todos los datos empresariales.

Los dispositivos móviles que se conectan a redes empresariales o que almacenan


información de la empresa y acceden a ella permitirán la validación remota de
versiones o parches de software. El fabricante del dispositivo instalará los parches de
seguridad más recientes al momento de su lanzamiento general en todos los
dispositivos móviles, y el personal de TI podrá realizar estas actualizaciones de
manera remota.

La política de BYOD indicará qué sistemas y servidores están permitidos para el uso o
el acceso en un dispositivo activado para BYOD.
Los puntos de contacto de las autoridades de reglamentación pertinentes, las
autoridades nacionales y locales de aplicación de la ley y demás autoridades legales
jurisdiccionales se mantendrán y actualizarán con frecuencia (por ejemplo, cambios
en el alcance afectado y/o cambios en cualquier obligación de cumplimiento) para
garantizar que se hayan establecido vínculos directos de cumplimiento y para estar
preparados para una investigación forense que requiera la interacción rápida de las
autoridades de aplicación de la ley.

Se establecerán políticas y procedimientos, y se implementarán procesos


empresariales y medidas técnicas de respaldo, para clasificar los eventos relacionados
con la seguridad y garantizar la administración oportuna y exhaustiva de incidentes,
según lo establecido por las políticas y los procedimientos de administración de
servicios de TI.

El personal y las relaciones empresariales externas serán informados de sus


responsabilidades y, si es necesario, darán su consentimiento y/o se comprometerán
por contrato a informar, de manera oportuna, sobre todos los eventos de seguridad.
Los eventos de seguridad de la información se informarán de manera oportuna
mediante canales de comunicación predefinidos y según las obligaciones legales,
estatutarias o reglamentarias de cumplimiento.

Luego de un incidente de seguridad de la información, se requieren procedimientos


forenses adecuados, incluida la cadena de custodio, para la presentación de la
evidencia que respaldará la posible acción legal ante la jurisdicción pertinente. Una
vez notificados, los clientes y/o demás socios empresariales externos afectados por
una infracción de seguridad tendrán la oportunidad de participar en la investigación
forense según lo permitido por la ley.
Luego de un incidente de seguridad de la información, se requieren procedimientos
forenses adecuados, incluida la cadena de custodio, para la presentación de la
evidencia que respaldará la posible acción legal ante la jurisdicción pertinente. Una
vez notificados, los clientes y/o demás socios empresariales externos afectados por
una infracción de seguridad tendrán la oportunidad de participar en la investigación
forense según lo permitido por la ley.

Se implementarán mecanismos para supervisar y cuantificar los tipos, los volúmenes


y los costos de los incidentes de seguridad de la información.

Los proveedores inspeccionarán, tendrán la responsabilidad corregir los errores de


calidad de datos y los riesgos asociados y trabajarán con sus socios de cadena de
suministro para lograrlo. Los proveedores diseñarán e implementarán controles para
mitigar y frenar los riesgos de seguridad de los datos mediante la separación de
tareas, el acceso basado en funciones y el acceso de menor privilegio para todo el
personal en la cadena de suministro.

El proveedor pondrá a disponibilidad de todos los clientes y proveedores afectados la


información sobre incidentes de seguridad; lo hará periódicamente y a través de
métodos electrónicos (por ejemplo, portales).

Se diseñarán, desarrollarán e implementarán diseños y configuraciones de


aplicaciones (físicas y virtuales) e interfaces de sistema a sistema (API) críticas para la
empresa o que afecten al cliente (inquilino), y componentes de sistemas y red de
infraestructura, de conformidad con las expectativas de nivel de servicio y capacidad
acordadas mutuamente, además de las políticas y los procedimientos de
administración de gobernanza y servicio de TI.
El proveedor llevará a cabo evaluaciones internas anuales de conformidad y eficacia
de sus políticas, procedimientos, y medidas y métricas de respaldo.
Los acuerdos de cadena de suministro (por ejemplo, SLA) entre los proveedores y los
clientes incluirán, al menos, las disposiciones y/o los siguientes términos acordados
mutuamente:
• Alcance de las relaciones y los servicios empresariales ofrecidos (por ejemplo,
adquisición de datos del cliente (inquilino), intercambio y uso, conjuntos de funciones
y funcionalidad, componentes de sistemas y red de infraestructura y personal para
brindar servicio y asistencia técnica, funciones y responsabilidades del proveedor y el
cliente (inquilino) y cualquier relación empresarial subcontratada o externalizada,
ubicación geográfica física de los servicios alojados y todas las consideraciones
reglamentarias de cumplimiento conocidas)
• Requisitos de seguridad de la información, puntos de contacto principales del
proveedor y el cliente (inquilino) durante toda la relación empresarial, y referencias a
procesos empresariales y medidas técnicas, de respaldo y pertinentes implementados
para garantizar la efectividad de la gobernanza, la administración de riesgos, la
garantía, y el cumplimiento de las obligaciones legales, estatutarias y reglamentarias
por parte de todas las relaciones empresariales afectadas.
• Notificación y/o autorización previa de todos los cambios controlados por el
proveedor que afecten al cliente (inquilino)
• Notificación oportuna de un incidente de seguridad (o infracción de seguridad
confirmada) a todos los clientes (inquilinos) y demás relaciones empresariales
afectadas (por ejemplo, cadena de suministro ascendente o descendente afectada)
• Evaluación y verificación independiente del cumplimiento de las disposiciones y/o
los términos del acuerdo (por ejemplo, certificación aceptada por industria, informe
de auditoría de certificados o formularios de garantía equivalentes) sin suponer un
riesgo de exposición empresarial inaceptable para la organización evaluada
• Terminación de la relación empresarial y tratamiento de los datos del cliente
(inquilino) afectado
• Requisitos de interoperabilidad y portabilidad de datos y aplicación de servicio a
servicio (API) del cliente (inquilino) para el desarrollo de aplicaciones y el intercambio,
el uso y la persistencia de integridad de la información
el uso y la persistencia de integridad de la información
Los proveedores revisarán los procesos de administración de riesgos y gobernanza de
sus socios para que las prácticas sean consistentes y estén alineadas para identificar
los riesgos heredados de otros miembros en la cadena de suministro en la nube de
ese socio.

Se implementarán políticas y procedimientos para garantizar la revisión consistente


de los acuerdos de servicio (por ejemplo, SLA) entre los proveedores y los clientes
(inquilinos) en la cadena de suministro pertinente (ascendente y descendente). Se
realizarán revisiones anuales, como mínimo, y se identificarán los incumplimientos de
los acuerdos establecidos. Las revisiones darán lugar a acciones para abordar los
conflictos o las inconsistencias de nivel de servicio que resulten de relaciones
desiguales con los proveedores

Mediante una revisión anual, los proveedores garantizarán un nivel razonable de


seguridad de la información a lo largo de su cadena de suministro de la información.
La revisión incluirá todos los socios/proveedores de terceros de los que depende su
cadena de suministro de la información.
seguridad de la información a lo largo de su cadena de suministro de la información.
La revisión incluirá todos los socios/proveedores de terceros de los que depende su
cadena de suministro de la información.

Los proveedores de terceros demostrarán el cumplimiento de la seguridad y


confidencialidad de la información, el control de acceso, las definiciones de servicio y
los acuerdos de nivel de prestación incluidos en los contratos de terceros. Los
informes, registros y servicios de terceros deberán pasar por una auditoría y revisión
anual, como mínimo, para regular los acuerdos de prestación de servicios y asegurar
su cumplimiento.

Se establecerán políticas y procedimientos, y se implementarán procesos


empresariales y medidas técnicas de respaldo, para evitar la ejecución de malware en
puntos de conexión de usuarios propiedad de la organización o administrados (por
ejemplo, estaciones de trabajo, laptops y dispositivos móviles), así como en los
componentes de sistemas y red de infraestructura de TI.

Se establecerán políticas y procedimientos, y se implementarán procesos


empresariales y medidas técnicas de respaldo, para la detección oportuna de
vulnerabilidades en las aplicaciones propiedad de la empresa o administradas, en los
componentes de redes y sistemas de infraestructura (por ejemplo, evaluación de
vulnerabilidad de red, prueba de penetración) para garantizar la eficacia de los
controles de seguridad implementados. Se utilizará un modelo basado en riesgos para
priorizar la corrección de vulnerabilidades. Los cambios se administrarán mediante un
proceso de administración de cambios para todos los parches proporcionados por el
proveedor, los cambios de configuración o los cambios en el software desarrollado
internamente de la organización. Previa solicitud, el proveedor informará al cliente
(inquilino) sobre las políticas y los procedimientos, y las debilidades identificadas,
especialmente si se utilizan los datos del cliente (inquilino) como parte del servicio
y/o si la implementación del mecanismo de control es una responsabilidad
compartida con el cliente (inquilino).
Se establecerán políticas y procedimientos, y se implementarán procesos
empresariales y medidas técnicas de respaldo, para evitar la ejecución de código
móvil no autorizado, definido como software transferido entre sistemas a través de
una red confiable o no confiable y ejecutado en un sistema local sin instalación ni
ejecución explícita por parte del destinatario, en puntos de conexión de usuarios
propiedad de la organización o administrados (por ejemplo, estaciones de trabajo,
laptops y dispositivos móviles), así como en los componentes de sistemas y red de
infraestructura de TI.
os los derechos reservados. Puede descargar, almacenar, visualizar en su equipo, ver y vincular el
Consenso (CAIQ), versión 3.0.1» en http://www.cloudsecurityalliance.org sujeto a las siguientes
o de Iniciativa de Evaluaciones de Consenso, v3.0.1 para uso personal, informativo y no
ninguna manera el Cuestionario de Iniciativa de Evaluaciones de Consenso, v3.0.1; (c) no puede
luaciones de Consenso v3.0.1; y (d) no puede quitar la marca registrada, los derechos de autor ni
el Cuestionario de Iniciativa de Evaluaciones de Consenso, v3.0.1 según lo permitido por la
chos de autor de Estados Unidos, siempre que indique que las partes pertenecen al Cuestionario
0.1 de Cloud Security Alliance (2014). Si desea obtener una licencia para usar este material de
ón de derechos de autor, escriba a info@cloudsecurityalliance.org.
Preguntas de evaluación de consenso Consensus Assessment Answers

Yes
¿Usa estándares de la industria (Build Security in Maturity Model [BSIMM], Open Group X
ACS Trusted Technology Provider Framework, NIST, etc.) para garantizar la seguridad de
su ciclo de vida de desarrollo de sistemas/software (SDLC)?

¿Usa una herramienta de análisis de código fuente automatizada para detectar defectos X
de seguridad en el código antes de la producción?

¿Usa un análisis de código fuente manual para detectar defectos de seguridad en el X


código antes de la producción?
¿Verifica que todos sus proveedores de software respeten los estándares de la industria X
para la seguridad del ciclo de vida de desarrollo de sistemas/software (SDLC)?

(solo para SaaS) ¿Revisa que sus aplicaciones no tengan vulnerabilidades de seguridad y
resuelve los problemas antes del desarrollo y la producción?

¿Se abordaron y solucionaron, según el contrato, todos los requisitos de seguridad, X


contractuales y reglamentarios identificados para el acceso de cliente antes de
garantizar a los clientes acceso a los datos, los activos y los sistemas de información?

¿Se definieron y documentaron todos los requisitos y niveles de confianza para el acceso X
de los clientes?
¿Se implementaron rutinas de integridad de entrada y salida de datos (por ejemplo, X
verificaciones de reconciliación y edición) para las interfaces y las bases de datos de las
aplicaciones a fin de evitar los errores de procesamiento manuales o sistemáticos o la
corrupción de datos?

¿Su arquitectura de seguridad de datos está diseñada con un estándar de la industria X


(por ejemplo, CDSA, MULITSAFE, estándar arquitectónico de la nube de confianza de
CSA, FedRAMP, CAESARS)?
¿Crea aserciones de auditoría mediante un formato estructurado aceptado en la X
industria (por ejemplo, CloudAudit/A6 URI Ontology, CloudTrust, SCAP/CYBEX, GRC XML,
programa de auditoría/garantía de administración de la computación en nube de ISACA,
etc.)?
¿Permite que los inquilinos vean sus informes de auditoría o certificación de terceros X
como SOC2/ISO 27001 o similares?

¿Lleva a cabo pruebas de penetración de red de su infraestructura de servicio en la nube X


con frecuencia según lo indicado por las buenas prácticas y las pautas de la industria?

¿Lleva a cabo pruebas de penetración de red de su infraestructura de servicio en la nube X


con frecuencia según lo indicado por las buenas prácticas y las pautas de la industria?

¿Lleva a cabo auditorías internas con frecuencia según lo indicado por las buenas X
prácticas y las pautas de la industria?
¿Lleva a cabo auditorías externas con frecuencia según lo indicado por las buenas X
prácticas y las pautas de la industria?
¿Los resultados de las pruebas de penetración están disponibles para los inquilinos si los
solicitan?

¿Los resultados de las auditorías internas y externas están disponibles para los inquilinos X
si los solicitan?

¿Tiene un programa de auditoría interna que permite la auditoría interfuncional de las X


evaluaciones?

¿Tiene la capacidad de segmentar o cifrar de manera lógica los datos del cliente de X
manera que los datos puedan producirse solo para un inquilino sin acceder
involuntariamente a los datos de otro inquilino?
¿Tiene la capacidad de recuperar los datos de un cliente específico en casos de errores o X
pérdidas de datos?

¿Tiene la capacidad de restringir el almacenamiento de datos de los clientes a países o


ubicaciones geográficas específicos?

¿Cuenta con un programa que incluya la capacidad de supervisar cambios en los X


requisitos reglamentarios de las jurisdicciones relevantes, ajustar su programa de
seguridad según los cambios en los requisitos legales y garantizar el cumplimiento de los
requisitos reglamentarios pertinentes?

¿Brinda a los inquilinos opciones de alojamiento con resiliencia geográfica? X

¿Brinda a los inquilinos capacidad de conmutación por error de servicio de


infraestructura a otros proveedores?
Para garantizar la continuidad de la eficacia, ¿los planes de continuidad empresarial X
están sujetos a pruebas cada intervalos planificados o cuando haya cambios
organizacionales o ambientales significativos?

¿Brinda a los inquilinos documentación que muestre la ruta de traslado de sus datos
entre sus sistemas?
¿Los inquilinos pueden definir cómo se trasladarán sus datos y a través de qué
jurisdicciones legales?

¿El personal autorizado puede acceder a los documentos del sistema de información X
(por ejemplo, las guías de administrador y usuario, la arquitectura y los diagramas, etc.)
para garantizar la configuración, la instalación y el funcionamiento del sistema de
información?
¿La protección física contra daños (por ejemplo, causas naturales, desastres naturales, X
ataques deliberados) está anticipada e incluye la aplicación de contramedidas?

¿Alguno de sus centros de datos está ubicado en lugares con probabilidades elevadas de
riesgos ambientales de alto impacto (inundaciones, tornados, terremotos, huracanes,
etc.)?

Si usa la infraestructura virtual, ¿su solución de nube incluye capacidades de X


restauración y recuperación de hardware independientes?

Si usa la infraestructura virtual, ¿brinda a los inquilinos la capacidad de restaurar una


máquina virtual a un estado anterior en el tiempo?

Si usa la infraestructura virtual, ¿permite que las imágenes de máquinas virtuales se


descarguen y conecten a un nuevo proveedor de la nube?

Si usa la infraestructura virtual, ¿las imágenes de las máquinas están disponibles para el
cliente de una manera que le permita replicarlas en su propia ubicación de
almacenamiento fuera del sitio?

¿Su solución de nube incluye capacidades independientes de restauración y X


recuperación de software/proveedor?
¿Se implementan mecanismos y redundancias de seguridad para proteger los equipos X
frente a las interrupciones de servicio de utilidades (por ejemplo, cortes del suministro
eléctrico, interrupciones de red, etc.)?

¿Los inquilinos pueden ver y consultar informes del desempeño operativo de los X
Acuerdos de nivel de servicio (SLA) de forma continua?

¿Las métricas de seguridad de la información basadas en estándares (CSA, CAMM, etc.) X


están disponibles para sus inquilinos?

¿Los clientes pueden ver y consultar informes del desempeño de SLA de forma X
continua?
¿Se establecieron políticas y procedimientos, y están disponibles, para que todo el X
personal pueda respaldar correctamente las funciones de operaciones de servicios?

¿Cuenta con capacidades de control técnico para aplicar las políticas de retención de X
datos del cliente?

¿Cuenta con procedimientos documentados para responder a solicitudes de datos de X


inquilinos por parte de gobiernos o terceros?

¿Implementó mecanismos de copia de seguridad o redundancia para garantizar el X


cumplimiento de los requisitos reglamentarios, estatutarios, contractuales o
empresariales?

¿Realiza pruebas de sus mecanismos de copia de seguridad o redundancia al menos una X


vez al año?
¿Existen políticas y procedimientos para administrar la autorización para el desarrollo o X
la adquisición de nuevas aplicaciones, sistemas, bases de datos, infraestructura,
servicios, operaciones e instalaciones?

¿La documentación que describe la instalación, la configuración y el uso de los X


productos, los servicios y las características está disponible?
¿Implementó controles para garantizar que se cumplan los estándares de calidad para X
todos los desarrollos de software?

¿Cuenta con controles para detectar defectos de seguridad del código fuente en las
actividades externalizadas de desarrollo de software?

¿Brinda a los inquilinos la documentación que describe su proceso de garantía de X


seguridad?

¿La documentación que describe problemas conocidos con ciertos productos o servicios X
está disponible?

¿Existen políticas y procedimientos para clasificar y reparar errores y vulnerabilidades de X


seguridad informados en los productos y servicios ofrecidos?

¿Existen mecanismos para garantizar que todos los elementos de código de depuración X
y prueba se eliminen de las versiones de software lanzadas?
¿Implementó controles para restringir y supervisar la instalación de software no X
autorizado en sus sistemas?
¿Brinda a los inquilinos la documentación que describe los procedimientos de X
administración de cambios de producción, y las funciones, los derechos y las
responsabilidades de los inquilinos?

¿Permite identificar máquinas virtuales mediante etiquetas de políticas/metadatos (por X


ejemplo, se pueden usar etiquetas para evitar que los sistemas operativos invitados
inicien/creen instancias/transporten datos en el país equivocado)?

¿Permite identificar el hardware mediante etiquetas de políticas/metadatos/etiquetas X


de hardware (por ejemplo, TXT/TPM, VN-Tag, etc.)?

¿Ofrece la capacidad de usar la ubicación geográfica del sistema como un factor de


autentificación?
¿Puede brindar la ubicación física o geográfica de almacenamiento de los datos de un X
inquilino si se lo piden?
¿Puede brindar la ubicación física o geográfica de almacenamiento de los datos de un X
inquilino con antelación?
¿Cumple con un estándar estructurado de etiquetado de datos (por ejemplo, ISO 15489, X
especificación de catálogo de Oasis XML, orientación sobre tipo de datos de CSA)?

¿Permite que los inquilinos definan ubicaciones geográficas aceptables para el


enrutamiento de datos o la creación de instancias de recursos?
¿Realiza un inventario, documenta y mantiene flujos de datos de los datos que residen X
(permanentemente o temporalmente) en las aplicaciones de servicios, y en las redes y
sistemas de infraestructura?

¿Puede garantizar que los datos no migren más allá de una residencia geográfica X
definida?

¿Ofrece metodologías de cifrado abierto (3.4ES, AES, etc.) a los inquilinos para que X
puedan proteger sus datos si deben transferirse por redes públicas (por ejemplo,
Internet)?

¿Utiliza metodologías de cifrado abierto cada vez que sus componentes de X


infraestructura necesitan comunicarse entre sí mediante redes públicas (por ejemplo,
replicación de datos de un entorno a otro basada en Internet)?

¿Estableció políticas y procedimientos para el etiquetado, el manejo y la seguridad de X


los datos y los objetos que contienen datos?

¿Se implementaron mecanismos de sucesión de etiquetas para los objetos que X


funcionan como contenedores de acumulación de datos?
¿Cuenta con procedimientos para garantizar que los datos de producción no se X
replicarán, ni serán utilizados en entornos de no producción?

¿Las responsabilidades relacionadas con la administración de los datos están definidas, X


asignadas, documentadas y fueron comunicadas?

¿Permite la eliminación segura (por ejemplo, desmagnetización o borrado criptográfico)


de los datos archivados y respaldados según lo determinado por el inquilino?

¿Puede ofrecer un procedimiento publicado para salir del acuerdo de servicio, que X
incluya garantía de saneamiento de todos los recursos informáticos de datos del
inquilino una vez que un cliente salió de su entorno o vació un recurso?
¿Mantiene un inventario completo de todos sus activos críticos que incluya a quién X
pertenece el activo?

¿Mantiene un inventario completo de todas sus relaciones con proveedores críticas? X

¿Implementó perímetros de seguridad física (por ejemplo, vallas, muros, barreras, X


guardias, portones, vigilancia electrónica, mecanismos de autentificación física,
mostradores de recepción y patrullas de seguridad)?

¿La identificación automatizada de equipos se utiliza como método para validar la


integridad de la autentificación de la conexión según la ubicación conocida del equipo?
¿Ofrece a los inquilinos documentación que describa situaciones en las que los datos X
podrían trasladarse de una ubicación física a otra? (por ejemplo, copias de seguridad
fuera del sitio, conmutación por error para la continuidad empresarial, replicación)

¿Puede ofrecer a los inquilinos evidencia que documente sus políticas y procedimientos
para la regulación de la administración de activos y la reutilización del equipo?

¿Puede brindar evidencia de que se hayan establecido políticas, estándares y X


procedimientos para mantener un entorno de trabajo seguro y protegido en oficinas,
habitaciones, instalaciones y zonas seguras?
¿Puede brindar evidencia de que su personal y los terceros implicados estén capacitados
en las políticas, los estándares y los procedimientos documentados?

¿Permite que los inquilinos especifiquen cuál de las ubicaciones geográficas pueden
usar sus datos para entrar o salir (para resolver consideraciones jurisdiccionales legales
según dónde se almacenan los datos frente a desde dónde se accede a ellos)?

Los puntos de ingreso y egreso, como las áreas de servicio y otros puntos que el X
personal no autorizado puede utilizar para entrar a las instalaciones, ¿están
monitorizados, controlados y aislados de las instalaciones de almacenamiento y
procesamiento de datos?

¿Restringe el acceso físico de los usuarios y el personal de asistencia técnica a los activos X
y las funciones de información?

¿Cuenta con políticas de administración de claves y las claves pueden vincularse a los X
propietarios?
¿Permite la creación de claves de cifrado únicas por inquilino? X

¿Puede administrar las claves en nombre de los inquilinos? X

¿Cuenta con procedimientos de administración de claves? X

¿Está documentado quién es el propietario de cada etapa del ciclo de vida de las claves X
de cifrado?
¿Utiliza marcos de terceros/código abierto/propios para administrar las claves de X
cifrado?

¿Cifra los datos del inquilino en reposo (en el disco/almacenamiento) dentro de su


entorno?

¿Aprovecha el cifrado para proteger los datos y las imágenes de máquinas virtuales X
durante el traslado entre redes e instancias de hipervisor?
¿Ofrece compatibilidad para las claves de cifrado generadas por los inquilinos o permite
que los inquilinos cifren datos a una identidad sin acceso a un certificado de clave
público (por ejemplo, cifrado basado en identidad)?

¿Tiene documentación que establezca y defina sus políticas de administración de X


cifrado, procedimientos y normas?
¿Su método de cifrado de plataformas y datos utiliza formatos abiertos/validados y X
algoritmos estándar?

¿El consumidor de la nube o un proveedor de administrador de claves de confianza se X


ocupan del mantenimiento de sus claves de cifrado?

¿Almacena claves de cifrado en la nube? X

¿La administración de claves y el uso de claves están por separado? X

¿Cuenta con referencias de seguridad de la información documentadas para cada X


componente de su infraestructura (por ejemplo, hipervisores, sistemas operativos,
enrutadores, servidores DNS, etc.)?
¿Puede supervisar de manera continua que su infraestructura cumpla con las X
referencias de seguridad de la información e informar sobre ello?

¿Permite que los clientes proporcionen su propia imagen de máquina virtual de


confianza para garantizar el cumplimiento de sus propios estándares internos?

¿Ofrece datos de estado de mantenimiento de seguridad para permitir que los inquilinos
implementen la monitorización continua estándar de la industria (que permite que el
inquilino valide de manera continua su estado de control físico y lógico)?

¿Realiza evaluaciones de riesgo asociadas con los requisitos de gobernanza de datos por X
lo menos una vez al año?
¿Sus gerentes técnicos, empresariales y ejecutivos tienen la responsabilidad de asegurar X
el conocimiento y cumplimiento de las políticas, los procedimientos y los estándares de
seguridad para ellos mismos y para sus empleados en lo referente al área de
responsabilidad del gerente y los empleados?

¿Ofrece a los inquilinos documentación que describa su programa de administración de X


seguridad de la información (ISMP)?

¿Revisa su programa de administración de seguridad de la información (ISMP) por lo X


menos una vez al año?
¿Garantiza que sus proveedores cumplan con sus políticas de seguridad y privacidad de X
la información?

¿Sus políticas de seguridad y privacidad de la información están alineadas con los X


estándares de la industria (ISO-27001, ISO-22307, CoBIT, etc.)?

¿Tiene acuerdos para garantizar que sus proveedores cumplan con sus políticas de X
seguridad y privacidad de la información?

¿Puede brindar evidencia de la asignación con diligencia debida de sus controles, X


arquitectura y procesos según las reglamentaciones y/o los estándares?

¿Ofrece información sobre los controles, los estándares y las certificaciones y/o X
reglamentaciones con las que cumple?

¿Existe una política formal disciplinaria o de sanciones para los empleados que infrinjan X
las políticas y los procedimientos de seguridad?

¿Todos los empleados conocen qué medidas podrían tomarse en caso de una infracción X
de las políticas y los procedimientos?
¿Los resultados de las evaluaciones de riesgos incluyen actualizaciones de políticas, X
procedimientos, estándares y controles de seguridad para garantizar su relevancia y
eficacia a lo largo del tiempo?

¿Notifica a sus inquilinos cuando realiza cambios significativos de sus políticas de X


seguridad y/o privacidad de la información?
¿Revisa por lo menos una vez al año sus políticas de privacidad y seguridad? X

¿Todas las evaluaciones formales de riesgos están alineadas con el marco empresarial y X
se realizan por lo menos una vez al año o cada intervalos planificados con el objetivo de
determinar la probabilidad y las consecuencias de todos los riesgos identificados
mediante métodos cuantitativos y cualitativos?

¿La probabilidad y las consecuencias de los riesgos inherentes y residuales se X


determinan independientemente, teniendo en cuenta todas las categorías de riesgos
(por ejemplo, resultados de auditoría, análisis de amenazas y vulnerabilidades y
cumplimiento reglamentario)?

¿Tiene un programa documentado para toda la organización destinado a administrar los X


riesgos?

¿Es posible acceder al programa de administración de riesgos para toda la organización? X

¿Implementó sistemas para supervisar las infracciones de seguridad y notificar X


inmediatamente a los inquilinos si un evento de privacidad afecta a sus datos?

¿Su política de privacidad está alineada con los estándares de la industria? X


De conformidad con las leyes locales, las reglamentaciones, la ética y las limitaciones X
contractuales, ¿todos los postulantes a empleo, los contratistas y los terceros están
sujetos a una verificación de antecedentes?

¿Capacita específicamente a sus empleados sobre su función en la empresa y los X


controles de seguridad de la información que deben llevar a cabo?

¿Documenta pruebas de que los empleados hayan completado la formación? X

¿Todo el personal debe firmar acuerdos de no divulgación o confidencialidad como X


condición para ser contratado a fin de proteger la información del cliente/inquilino?

¿La finalización correcta y a tiempo del programa de formación se considera un requisito X


previo para obtener acceso a sistemas confidenciales y mantenerlos?

¿El personal se capacita y cuenta con programas de concienciación al menos una vez al X
año?
¿Existen políticas, procedimientos y pautas documentados para regular los cambios en X
el empleo y/o la terminación de la relación de empleo?
¿Los procedimientos y las pautas anteriores tienen en cuenta la revocación oportuna del X
acceso y la devolución de los activos?

¿Se establecieron políticas y procedimientos, y se implementaron medidas para limitar X


rigurosamente el acceso a sus datos confidenciales y a los datos del inquilino desde
dispositivos portátiles y móviles (por ejemplo, laptops, teléfonos celulares y asistentes
digitales personales (PDAs)), que generalmente representan mayores riesgos que los
dispositivos no portátiles (por ejemplo, computadoras de escritorio en las instalaciones
de la organización del proveedor)?

¿Los requisitos de no divulgación o confidencialidad que reflejan las necesidades de la X


organización de protección de datos y detalles operativos se identifican, documentan y
revisan cada intervalos planificados?
¿Proporciona a los inquilinos un documento de definición de funciones que aclare sus X
responsabilidades administrativas respecto de las del inquilino?

¿Ofrece documentación sobre cómo acceder a los datos y metadatos del inquilino? X

¿Recopila o crea metadatos sobre los datos de uso del inquilino mediante tecnologías de X
inspección (motores de búsqueda, etc.)?

¿Permite que los clientes den de baja el acceso a sus datos o metadatos mediante
tecnologías de inspección?

¿Ofrece un programa formal de formación de seguridad basado en funciones para los X


problemas de administración de acceso y datos relacionados con la nube (por ejemplo,
multiinquilinos, nacionalidad, consecuencias de la segregación de tareas del modelo de
prestación de servicios y conflictos de interés) para todas las personas con acceso a los
datos del inquilino?

¿Los administradores y los responsables de los datos están debidamente capacitados X


sobre sus responsabilidades legales con respecto a la seguridad y la integridad de los
datos?

¿Los usuarios conocen su responsabilidad de mantener el cumplimiento de las políticas, X


los procedimientos, los estándares y los requisitos reglamentarios de seguridad
aplicables?
¿Los usuarios conocen su responsabilidad de mantener un entorno de trabajo seguro y X
protegido?
¿Los usuarios conocen su responsabilidad de dejar el equipo desatendido de manera X
segura?

¿Sus políticas y procedimientos de gestión de datos abarcan los conflictos de intereses X


de inquilinos y niveles de servicio?

¿Sus políticas y procedimientos de administración de datos incluyen una auditoría de X


alteraciones o una función de integridad de software para el acceso no autorizado a los
datos del inquilino?

¿La infraestructura de administración de máquinas virtuales incluye una auditoría de X


alteraciones o una función de integridad de software para detectar cambios en la
compilación/configuración de la máquina virtual?

¿Restringe, registra y supervisa el acceso a sus sistemas de administración de seguridad X


de la información? (por ejemplo, hipervisores, firewalls, análisis de vulnerabilidad,
detectores de redes, API, etc.)

¿Supervisa y registra el acceso privilegiado (nivel del administrador) a los sistemas de X


administración de seguridad de la información?
¿Cuenta con controles que garanticen la eliminación oportuna de los sistemas de acceso X
que ya no se requieren para fines empresariales?
¿Ofrece métricas para monitorizar la velocidad con la que puede eliminar los sistemas X
de acceso que ya no se requieren para fines empresariales?
¿Utiliza redes seguras dedicadas para brindar acceso de administración a su X
infraestructura de servicio en la nube?

¿Administra y almacena la identidad de todo el personal que tiene acceso a la X


infraestructura de TI, incluido su nivel de acceso?
¿Administra y almacena la identidad de usuario de todo el personal que tiene acceso a X
la red, incluido su nivel de acceso?
¿Proporciona a los inquilinos documentación sobre cómo mantener la segregación de X
tareas dentro de su oferta de servicios en la nube?

¿Existen controles para evitar el acceso no autorizado al código fuente de su aplicación, X


programa u objeto, y garantizar que solo esté permitido al personal autorizado?

¿Existen controles para evitar el acceso no autorizado al código fuente de la aplicación, X


el programa o el objeto del inquilino, y garantizar que solo esté permitido al personal
autorizado?
¿Ofrece capacidad de recuperación de desastres para múltiples errores? X

¿Supervisa la continuidad del servicio de los proveedores de acceso en caso de errores X


del proveedor?
¿Tiene más de un proveedor para cada uno de los servicios de los que usted depende? X

¿Ofrece acceso a resúmenes operativos de redundancia y continuidad, incluidos los X


servicios de los que usted depende?

¿Permite que los inquilinos declaren un desastre?


¿Ofrece una opción de conmutación por error activada por el inquilino?
¿Comparte sus planes de continuidad y redundancia empresarial con sus inquilinos? X
¿Documenta los métodos para otorgar y aprobar el acceso a los datos del inquilino? X

¿Ofrece un método para alinear las metodologías de clasificación de datos del X


proveedor y el inquilino con fines de control de acceso?

¿La administración se ocupa de la autorización y las restricciones de acceso de usuario X


(por ejemplo, empleados, contratistas, clientes (inquilinos), socios y/o proveedores
empresariales) antes de que accedan a los datos y las aplicaciones (físicas y virtuales)
propiedad de la empresa o administradas, los componentes de redes y sistemas de
infraestructura?

Previa solicitud, ¿los usuarios (por ejemplo, empleados, contratistas, clientes X


(inquilinos), socios y/o proveedores empresariales) pueden acceder a los datos y las
aplicaciones (físicas y virtuales) propiedad de la empresa o administradas, los
componentes de redes y sistemas de infraestructura?

¿Exige que todos los usuarios y administradores del sistema (excepto los usuarios que X
mantienen sus inquilinos) certifiquen sus derechos por lo menos una vez al año?

Si se descubre que los usuarios tienen derechos inadecuados, ¿se registran todas las X
acciones de corrección y certificación?
Si se permitió un acceso inapropiado a los datos del inquilino, ¿comparte con sus X
inquilinos los informes de corrección y certificación de derechos de los usuarios?
¿Se retira, revoca o modifica oportunamente el acceso de usuario a los sistemas de la X
organización, los activos de información y los datos en casos de cambios de estado de
los empleados, contratistas, clientes, socios comerciales o terceros implicados?

¿Los cambios de estado de acceso de usuario incluyen la terminación del empleo, el X


contrato o el acuerdo, los cambios de empleo o los traslados dentro de la organización?

¿Su servicio es compatible con el uso o la integración de soluciones existentes de inicio X


de sesión único (SSO) basadas en el cliente?

¿Usa estándares abiertos para delegar a sus inquilinos las capacidades de X


autentificación?
¿Ofrece compatibilidad con los estándares de federación de identidad (SAML, SPML, X
WS-Federation, etc.) como medio de autentificación o autorización de los usuarios?

¿Cuenta con una capacidad de punto de ejecución de políticas (por ejemplo, XACML)
para aplicar las limitaciones regionales legales y de políticas sobre el acceso de usuario?

¿Tiene un sistema de administración de identidad (que permita la clasificación de datos


de un inquilino) para otorgar derechos de los datos basados en la función y basados en
el contexto?

¿Ofrece a los inquilinos opciones de autentificación (certificados digitales, fichas, X


biometría, etc.) seguras (multifactor) para el acceso de usuario?
¿Permite que los inquilinos usen servicios de seguridad de la identidad de terceros?

¿Ofrece ejecución de políticas de contraseña (longitud mínima, antigüedad, historial, X


complejidad) y bloqueo de cuenta (umbral de bloqueo, duración de bloqueo)?

¿Permite que sus inquilinos/clientes definan las políticas de contraseña y bloqueo de


cuenta de sus cuentas?

¿Ofrece la función de exigir cambios de contraseña luego del primer inicio de sesión? X

¿Tiene mecanismos para desbloquear cuentas que fueron bloqueadas (por ejemplo, X
autoservicio mediante correo electrónico, preguntas de recuperación de contraseña,
desbloqueo manual)?

¿Las utilidades que pueden administrar significativamente particiones virtualizadas (por X


ejemplo, apagado, clonación, etc.) están debidamente restringidas y monitorizadas?

¿Tiene la capacidad de detectar ataques dirigidos directamente a la infraestructura X


virtual (por ejemplo, shimming, blue pill, hyper jumping, etc.)?

¿Los ataques dirigidos a la infraestructura virtual se evitan mediante controles técnicos? X

¿Se implementan herramientas de integridad de archivos (alojamiento) y detección de X


intrusión de red (IDS) para ayudar a la detección, la investigación por análisis de causa
raíz y la respuesta a incidentes oportunas?
¿El acceso de usuario físico y lógico a los registros de auditoría está restringido al X
personal autorizado?

¿Puede brindar evidencia que demuestre la asignación con diligencia debida de las X
reglamentaciones y los estándares de sus controles/arquitectura/procesos?

¿Todos los registros de auditoría se almacenan y conservan de manera central? X

¿Los registros de auditoría se revisan de manera frecuente para los eventos de seguridad X
(por ejemplo, con herramientas automatizadas)?
¿Registra todos los cambios en las imágenes de máquinas virtuales y eleva alertas X
independientemente de su estado de ejecución (por ejemplo, inactivo, apagado o en
ejecución)?

¿Los cambios en las máquinas virtuales, o el traslado de una imagen y la subsiguiente


validación de la integridad de la imagen están inmediatamente disponibles para los
clientes a través de métodos electrónicos (por ejemplo, portales o alertas)?

¿Usa un protocolo de servicio basado en el tiempo (por ejemplo, NTP) para garantizar X
que todos los sistemas tengan una referencia temporal en común?

¿Ofrece documentación sobre los niveles de sobresuscripción de sistema (red, X


almacenamiento, memoria, E/S, etc.) que mantiene y bajo qué circunstancias o
situaciones?

¿Restringe el uso de las capacidades de sobresuscripción de memoria presentes en el X


hipervisor?
¿Los requisitos de capacidad de su sistema tienen en cuenta las necesidades de X
capacidad actuales, proyectadas y anticipadas de todos los sistemas utilizados para
brindar servicios a los inquilinos?
¿El desempeño del sistema se monitoriza y ajusta para cumplir de manera continua con X
los requisitos reglamentarios, contractuales y empresariales de todos los sistemas
utilizados para brindar servicio a los inquilinos?

¿Las herramientas o los servicios de evaluación de vulnerabilidad de la seguridad se X


ajustan a las tecnologías de virtualización en uso (por ejemplo, apto para la
virtualización)?

Para su oferta de IaaS, ¿brinda a los clientes orientación sobre cómo crear una
equivalencia de arquitectura de seguridad en capas mediante su solución virtualizada?
¿Actualiza con frecuencia los diagramas de arquitectura de red que incluyen los flujos de X
datos entre los dominios o las zonas de seguridad?
¿Revisa con frecuencia el buen desempeño de los accesos o la conectividad permitidos X
(por ejemplo, reglas de firewall) entre los dominios o las zonas de seguridad en la red?

¿Están documentadas con justificación empresarial todas las listas de control de acceso? X

¿Los sistemas operativos están reforzados para brindar únicamente los puertos, los X
protocolos y los servicios necesarios a fin de cumplir con las necesidades empresariales
mediante controles técnicos (por ejemplo, antivirus, monitoreo de integridad de
archivos y registro), como parte de su estándar o plantilla de compilación operativa de
referencia?

Para su oferta de SaaS o PaaS, ¿brinda a los inquilinos entornos por separados para los
procesos de producción y prueba?

Para su oferta de IaaS, ¿brinda a los inquilinos orientación sobre cómo crear entornos de
producción y prueba apropiados?
¿Segrega lógicamente y físicamente los entornos de producción y no producción? X

¿Los entornos de sistema y red están protegidos por un firewall o un firewall virtual para X
garantizar el cumplimiento de los requisitos de seguridad empresarial y del cliente?

¿Los entornos de sistema y red están protegidos por un firewall o un firewall virtual para X
garantizar el cumplimiento de los requisitos legales, reglamentarios y contractuales?

¿Los entornos de sistema y red están protegidos por un firewall o un firewall virtual para X
garantizar la separación de los entornos de producción y no producción?

¿Los entornos de sistema y red están protegidos por un firewall o un firewall virtual para X
garantizar la protección y el aislamiento de los datos confidenciales?

¿Se utilizan canales de comunicación seguros y cifrados para la migración de servidores X


físicos, aplicaciones o datos a servidores virtuales?

¿Usa una red segregada de las redes de nivel de producción cuando migra servidores X
físicos, aplicaciones o datos a servidores virtuales?

¿Restringe el acceso del personal a todas las funciones de administración de hipervisor o X


las consolas administrativas para sistemas que alojan sistemas virtualizados según el
principio de menor privilegio y respaldado mediante controles técnicos (por ejemplo,
autentificación de dos factores, trazas de auditoría, filtrado de direcciones IP, firewalls y
comunicaciones encapsuladas TLS con las consolas administrativas)?
¿Se establecen políticas y procedimientos, y se configuran e implementan mecanismos, X
para proteger el perímetro del entorno de red inalámbrica y para restringir el tráfico
inalámbrico no autorizado?

¿Se establecen políticas y procedimientos y se implementan mecanismos para garantizar X


que la configuración de seguridad inalámbrica esté activada con cifrado de alta
seguridad para la autentificación y la transmisión, que reemplaza la configuración
predeterminada del proveedor (por ejemplo, claves de cifrado, contraseñas y cadenas
de comunidad SNMP)?

¿Se establecen políticas y procedimientos y se implementan mecanismos para proteger X


los entornos de red inalámbrica y para detectar la presencia de dispositivos de red no
autorizados a fin de desconectarlos oportunamente de la red?

¿Sus diagramas de arquitectura de red identifican claramente los entornos y los flujos de X
datos de riesgo elevado que pueden tener consecuencias legales de cumplimiento?

¿Implementa medidas técnicas y aplica técnicas de defensa a fondo (por ejemplo, X


análisis de paquete a fondo, limitación de tráfico y enrutamiento con reglas de filtrado)
para la detección y la respuesta oportuna a ataques basados en red asociados con
patrones anómalos de tráfico de entrada o salida (por ejemplo, suplantación de
direcciones MAC y ataques de tipo «poisoning» de ARP) y/o ataques de denegación de
servicio distribuido (DDoS)?

¿Publica una lista de todas las API disponibles en el servicio e indica cuáles son estándar X
y cuáles están personalizadas?

¿Los datos no estructurados del cliente están disponibles a pedido en un formato X


estándar de la industria (por ejemplo, .doc, .xls o .pdf)?

¿Brinda políticas y procedimientos (por ejemplo, acuerdos de nivel de servicio) que X


regulen el uso de las API para la interoperabilidad entre su servicio y las aplicaciones de
terceros?
¿Ofrece políticas y procedimientos (por ejemplo, acuerdos de nivel de servicio) que X
regulen la migración de los datos de aplicaciones hacia su servicio y desde él?

¿La importación de datos, la exportación de datos y la administración del servicio se X


pueden llevar a cabo mediante protocolos de red estandarizados aceptados en la
industria y seguros (por ejemplo, texto no cifrado y autentificado)?

¿Ofrece a los clientes (inquilinos) documentación que detalle los estándares de X


protocolo de red de interoperabilidad y portabilidad pertinentes implicados?
¿Usa una plataforma de virtualización reconocida en la industria y formatos de X
virtualización estándar (por ejemplo, OVF) para ayudar a garantizar la interoperabilidad?

¿La documentación de los cambios personalizados efectuados en el hipervisor en uso y


todas las conexiones de virtualización específicas de la solución están disponibles para la
revisión por parte del cliente?

¿Ofrece formación sobre antimalware específica para los dispositivos móviles como
parte de su formación sobre seguridad de la información?

¿Documenta y pone a disposición listas de tiendas de aplicaciones aprobadas para el X


acceso a dispositivos móviles o el almacenamiento de datos y/o sistemas de la empresa?

¿Tiene capacidades de aplicación de políticas (por ejemplo, XACML) para garantizar que X
solo las aplicaciones aprobadas y aquellas de tiendas de aplicaciones aprobadas puedan
cargarse en un dispositivo móvil?

¿Su política y formación de BYOD determinan claramente qué aplicaciones y tiendas de


aplicaciones están aprobadas para su uso en dispositivos BYOD?
¿Tiene una política para dispositivos móviles documentada en su formación para X
empleados que defina claramente a los dispositivos móviles, así como el uso aceptado y
los requisitos para dispositivos móviles?

¿Tiene una lista documentada de los servicios basados en la nube aprobados X


previamente que se pueden utilizar para el uso y el almacenamiento de datos
empresariales mediante un dispositivo móvil?

¿Tiene un proceso documentado de validación de aplicaciones para probar los X


dispositivos móviles, el sistema operativo y los problemas de compatibilidad de las
aplicaciones?

¿Tiene una política de BYOD que defina los requisitos del dispositivo y elegibilidad X
permitidos para el uso de BYOD?
¿Mantiene un inventario de todos los dispositivos móviles que almacenan y acceden a X
datos empresariales, que incluya el estado del dispositivo (niveles de sistema operativo y
parche, perdido o dado de baja, persona que tiene asignado el dispositivo)?

¿Tiene una solución de administración de dispositivos móviles centralizada


implementada en todos los dispositivos móviles que tienen permitido el
almacenamiento, la transmisión o el procesamiento de datos empresariales?

¿Su política de dispositivo móvil requiere el uso de cifrado para todo el dispositivo o X
para los datos identificados como confidenciales mediante controles de tecnología en
todos los dispositivos móviles?

¿Su política de dispositivo móvil prohíbe el incumplimiento de controles de seguridad


integrados en dispositivos móviles (por ejemplo, jailbreaking y obtención de privilegios
de usuario root)?

¿Tiene controles de detección y prevención en el dispositivo o mediante un sistema de X


administración de dispositivos centralizado que prohíba el incumplimiento de controles
de seguridad integrados?

¿Su política de BYOD define claramente las expectativas de privacidad, los requisitos
para litigios, el descubrimiento electrónico y la conservación de documentos por razones
legales?
¿Tiene controles de detección y prevención en el dispositivo o mediante un sistema de X
administración de dispositivos centralizado que prohíba el incumplimiento de controles
de seguridad integrados?

¿Exige y aplica, mediante controles técnicos, una pantalla de bloqueo automática para
los dispositivos BYOD y propiedad de la empresa?
¿Administra todos los cambios de sistema operativo de los dispositivos móviles, niveles
de parches y/o aplicaciones mediante los procesos de administración de cambios de la
empresa?

¿Tiene políticas de contraseña para dispositivos móviles otorgados por la empresa y para X
dispositivos móviles BYOD?
¿Sus políticas de contraseña se aplican mediante controles técnicos (por ejemplo, X
MDM)?

¿Sus políticas de contraseña prohíben el cambio de requisitos de autentificación (por


ejemplo, longitud de contraseña/PIN) mediante un dispositivo móvil?

¿Tiene una política que requiera que los usuarios de BYOD realicen copias de seguridad
de datos empresariales específicos?
¿Tiene una política que requiera que los usuarios de BYOD prohíban el uso de tiendas de X
aplicaciones no aprobadas?

¿Tiene una política que requiera que los usuarios de BYOD usen software antimalware
(cuando es compatible)?

¿Su departamento de TI ofrece borrado remoto o borrado de datos empresariales para X


todos los dispositivos BYOD aceptados en la empresa?
¿Su departamento de TI ofrece borrado remoto o borrado de datos empresariales para X
todos los dispositivos móviles asignados por la empresa?

¿Sus dispositivos móviles tienen los parches de seguridad disponibles más recientes X
instalados al momento del lanzamiento general por parte del fabricante o el proveedor
del dispositivo?
¿Sus dispositivos móviles permiten la validación remota para descargar los parches de X
seguridad más recientes por parte del personal de TI de la empresa?

¿Su política de BYOD aclara qué sistemas y servidores están permitidos para el uso o el
acceso en un dispositivo con BYOD activado?
¿Su política de BYOD especifica las funciones de usuario que tienen permitido el acceso
mediante un dispositivo con BYOD activado?
¿Mantiene vínculos y puntos de contacto con las autoridades locales de conformidad X
con los contratos y las reglamentaciones pertinentes?

¿Tiene un plan documentado de respuesta para incidentes de seguridad? X

¿Integra requisitos personalizados de inquilinos a sus planes de respuesta para


incidentes de seguridad?
¿Publica un documento de funciones y responsabilidades que especifique sus X
responsabilidades y las de sus inquilinos durante un incidente de seguridad?

Durante el último año, ¿probó sus planes de respuesta a incidentes de seguridad? X


¿Su sistema de seguridad de la información y administración de eventos (SIEM) fusiona X
fuentes de datos (registros de aplicaciones, de firewall, de IDS, de acceso físico, etc.)
para el análisis y la creación de alertas granulares?

¿Su marco de registro y monitorización permite el aislamiento de un incidente a X


inquilinos específicos?

¿Su plan de respuesta a incidentes cumple con los estándares de la industria para X
procesos y controles de administración de cadena de custodio legalmente admisibles?
¿Su capacidad de respuesta a incidentes incluye el uso de técnicas forenses de X
recopilación y análisis de datos legalmente admisibles?

¿Permite la conservación de documentos por razones legales (retención de datos de un X


punto en el tiempo específico) de un inquilino determinado sin retener otros datos del
cliente?

¿Aplica y autentifica la separación de datos del inquilino cuando crea datos como
respuesta a citaciones legales?
¿Monitoriza y cuantifica los tipos, los volúmenes y las consecuencias de todos los X
incidentes de seguridad de la información?
Cuando se lo piden, ¿comparte con sus inquilinos información estadística sobre los datos
de incidentes de seguridad?

¿Inspecciona y da cuenta de los errores de calidad de datos y los riesgos asociados, y X


trabaja con sus socios de cadena de suministro de la nube para corregirlos?

¿Diseña e implementa controles para mitigar y frenar los riesgos de seguridad de los X
datos mediante la separación de tareas, el acceso basado en funciones y el acceso de
menor privilegio para todo el personal en la cadena de suministro?

¿Pone a disponibilidad de todos los clientes y proveedores afectados la información X


sobre incidentes de seguridad de manera periódica y a través de métodos electrónicos
(por ejemplo, portales)?

¿Recopila datos de capacidad y uso de todos los componentes pertinentes de su oferta X


de servicio en la nube?

¿Brinda a sus inquilinos informes de planificación y uso de capacidad?


¿Lleva a cabo evaluaciones internas anuales de conformidad y eficacia de sus políticas, X
procedimientos, y medidas y métricas de respaldo?
¿Selecciona y monitoriza a los proveedores externalizados de conformidad con las leyes X
del país donde se procesan, almacenan y transmiten los datos?

¿Selecciona y monitoriza a los proveedores externalizados de conformidad con las leyes X


del país donde se originan los datos?

¿Un asesor legal revisa todos los acuerdos de terceros? X


¿Los acuerdos de terceros incluyen disposiciones sobre la seguridad y la protección de la X
información y los activos?
¿Brinda al cliente una lista y copias de todos los acuerdos de subprocesamiento y la X
mantiene actualizada?
¿Revisa los procesos de administración de riesgos y gobernanza de los socios para dar X
cuenta de los riesgos heredados de otros miembros de la cadena de suministro del
socio?

¿Se establecen políticas y procedimientos, y se implementan procesos empresariales y X


medidas técnicas, para el mantenimiento de acuerdos completos, precisos y pertinentes
(por ejemplo, SLA) entre los proveedores y los clientes (inquilinos)?

¿Puede medir y solucionar el incumplimiento de las disposiciones y/o los términos en X


toda la cadena de suministro (ascendente y descendente)?
¿Puede administrar los conflictos o las inconsistencias de nivel de servicio que resulten X
de relaciones desiguales con los proveedores?
¿Revisa todos los acuerdos, las políticas y los procedimientos por lo menos una vez al X
año?

¿Garantiza un nivel razonable de seguridad de la información a lo largo de su cadena de X


suministro de la información mediante revisiones anuales?
¿Su revisión anual incluye a todos los socios/proveedores de terceros de los que X
depende su cadena de suministro de la información?
¿Permite que los inquilinos lleven a cabo evaluaciones de vulnerabilidad X
independientes?

¿Cuenta con servicios externos de terceros que lleven a cabo análisis de X


vulnerabilidades y pruebas de penetración en sus aplicaciones y redes?

¿Tiene programas antimalware compatibles con sus ofertas de servicio de nube X


instaladas en todos sus sistemas o que puedan conectarse a ellas?

¿Garantiza que los sistemas de detección de amenazas de seguridad que usan listas de X
firmas o patrones de comportamientos se actualizan en todos los componentes de
infraestructura dentro de los marcos de tiempo aceptados en la industria?

¿Lleva a cabo análisis de vulnerabilidad de capas de red con frecuencia según lo X


indicado por las buenas prácticas de la industria?

¿Lleva a cabo análisis de vulnerabilidad de capas de aplicaciones con frecuencia según lo X


indicado por las buenas prácticas de la industria?

¿Lleva a cabo análisis de vulnerabilidad de capas de sistemas operativos locales con X


frecuencia según lo indicado por las buenas prácticas de la industria?

¿Los resultados de los análisis de vulnerabilidad están disponibles para los inquilinos si
los solicitan?
¿Tiene la capacidad de aplicar rápidamente parches para las vulnerabilidades en todos X
sus dispositivos, aplicaciones y sistemas informáticos?

¿Comunica a sus inquilinos los marcos de tiempo de parches de sistemas basados en X


riesgos si lo solicitan?

¿El código móvil se autoriza antes de su instalación y uso, y la configuración del código
se verifica, a fin de comprobar que el código móvil autorizado opere según una política
de seguridad claramente definida?

¿Se evita la ejecución de todos los códigos móviles no autorizados?


Nota de HubSpot: El documento anterior se comparte con el permiso explícito de Cloud Security All
programa de seguridad de HubSpot. Al momento de la redacción, todas las afirmaciones son correc
datos y las respuestas en este documento (incluidos los documentos adjuntos o las comunicaciones
obligación vinculante ni contractual entre las partes, ni modificar, alterar o revisar los acuerdos exis

Si tiene preguntas sobre el contenido provisto por HubSpot en este documento, comuníquese con n
https://help.hubspot.com/es
Consensus Assessment Answers Notas

AICPA TSC
2009

No Not Applicable

La arquitectura de seguridad de HubSpot está diseñada con buenas S3.10.0


prácticas de la industria para garantizar reglas de autorización de
seguridad elevada, una infraestructura de aplicaciones altamente
resistente y una experiencia del usuario positiva.

El análisis estático del código fuente se ejecuta de manera continua en


los repositorios de código, y el análisis dinámico se lleva a cabo de
manera constante en nuestras aplicaciones. Sin embargo, HubSpot no
regula compilaciones individuales para actividades específicas, excepto
para la prueba de la unidad y el control o la evaluación de calidad. Los
mecanismos de seguridad están incorporados en la plataforma, los
procesos de compilaciones, las bibliotecas compartidas, las interfaces de
API y la infraestructura con bastante anticipación de un evento «listo
para enviar». Insertamos nuevo código cientos de veces por día y
abastecemos/desabastecemos cientos de servidores por día. Nos
enfocamos en abstraer la mayor cantidad posible de desafíos
relacionados con la seguridad de los desarrolladores individuales.

Propietarios autorizados llevan a cabo la revisión del código manual


antes de cada compilación y es una parte necesaria del proceso de
aprobación.
HubSpot cuenta con un programa de administración de proveedores
para garantizar que existan controles apropiados de seguridad y
privacidad. El programa incluye la creación de inventarios, la
monitorización y la revisión de los programas de seguridad de los
proveedores que ofrecen compatibilidad con HubSpot.

Se evalúan salvaguardias apropiadas para el servicio proporcionado y el


tipo de datos intercambiados. El cumplimiento constante de las medidas
de protección esperadas se administra como parte de nuestra relación
contractual con ellos. Nuestro equipo de seguridad, el consejo general y
la unidad empresarial a la que pertenece cada contrato coordinan
consideraciones únicas para nuestros proveedores como parte de la
administración de contratos.

X El análisis estático del código fuente se ejecuta de manera continua en


los repositorios de código, y el análisis dinámico se lleva a cabo de
manera constante en nuestras aplicaciones. Sin embargo, HubSpot no
regula compilaciones individuales para actividades específicas, excepto
para la prueba de la unidad y el control o la evaluación de calidad. Los
mecanismos de seguridad están incorporados en la plataforma, los
procesos de compilaciones, las bibliotecas compartidas, las interfaces de
API y la infraestructura con bastante anticipación de un evento «listo
para enviar». Insertamos nuevo código cientos de veces por día y
abastecemos/desabastecemos cientos de servidores por día. Nos
enfocamos en abstraer la mayor cantidad posible de desafíos
relacionados con la seguridad de los desarrolladores individuales.

Consulte los términos de uso de HubSpot para obtener más información. S3.2a
S3.4
HubSpot cuenta con la certificación TRUSTe de privacidad empresarial. S4.1.0
Puede ver nuestras certificaciones TRUSTe aquí
(https://privacy.truste.com/privacy-seal/HubSpot-Inc-/validation?
rid=edeef904-c1be-4bf2-9593-e668b3295b73). Nuestros productos
también fueron calificados como «listos para la empresa» por la empresa S4.2.0
de seguridad de la nube Skyhigh
(https://www.skyhighnetworks.com/press/skyhigh-cloudtrust-program-
establishes-industrys-objective-comprehensive-security-assessment-
cloud-services/). Además, alojamos nuestro servicio y los datos de
nuestros clientes en centros de datos de Amazon Web Services
(https://aws.amazon.com/compliance/)y Google Cloud Platform
(https://cloud.google.com/security/compliance) que tienen certificación
SOC 2 Tipo II e ISO 27001.
Sí, todas las certificaciones y los galardones obtenidos por HubSpot o sus S4.1.0
proveedores de centros de datos de confianza están disponibles
públicamente. HubSpot y sus productos no están directamente
certificados según los estándares de SSAE16 o ISO 27001, sino que
alojamos nuestros productos con proveedores de centros de datos de S4.2.0
confianza que poseen certificaciones SOC 2 Tipo II, ISO 27001 y muchas
otras.

Consulte los siguientes recursos:

TRUSTe (https://privacy.truste.com/privacy-seal/HubSpot-
Inc-/validation?rid=edeef904-c1be-4bf2-9593-e668b3295b73)

Skyhigh (https://www.skyhighnetworks.com/press/skyhigh-cloudtrust-
program-establishes-industrys-objective-comprehensive-security-
assessment-cloud-services/)

Amazon Web Services (https://aws.amazon.com/compliance/)

Google Cloud Platform (https://cloud.google.com/security/compliance)

HubSpot mantiene relaciones con proveedores de prueba de


penetración de terceros reconocidos en la industria para llevar a cabo
cuatro pruebas de penetración por año en la infraestructura y las
aplicaciones de HubSpot. También contamos con un programa de
recompensa por identificación de errores, en el que invitamos e
incentivamos a los investigadores de seguridad (por ejemplo,
evaluadores de penetración) a revelar de manera ética las
vulnerabilidades en nuestros productos.

HubSpot mantiene relaciones con proveedores de prueba de


penetración de terceros reconocidos en la industria para llevar a cabo
cuatro pruebas de penetración por año en la infraestructura y las
aplicaciones de HubSpot. También contamos con un programa de
recompensa por identificación de errores, en el que invitamos e
incentivamos a los investigadores de seguridad (por ejemplo,
evaluadores de penetración) a revelar de manera ética las
vulnerabilidades en nuestros productos.
X HubSpot implementó un programa de administración de
vulnerabilidades de múltiples niveles. Todos los días, ejecutamos análisis
de vulnerabilidad dinámicos de las aplicaciones en nuestras aplicaciones
web y análisis de código estáticos en nuestros repositorios de código.
Ejecutamos análisis de vulnerabilidad de la infraestructura una vez por
mes. También realizamos una auditoría anual de seguridad técnica con
Salesforce como parte de nuestra asociación con SFDC
AppExchange. Además, HubSpot mantiene relaciones con proveedores
de prueba de penetración de terceros reconocidos en la industria para
llevar a cabo pruebas de penetración semestrales de la infraestructura y
las aplicaciones de HubSpot. También contamos con un programa de
recompensa por identificación de errores, en el que invitamos e
incentivamos a los investigadores de seguridad a revelar de manera ética
las vulnerabilidades en nuestros productos.

HubSpot no divulga información sobre las vulnerabilidades posibles o


reales. El objetivo es agilizar la resolución de las vulnerabilidades
identificadas e implementar controles sostenibles para garantizar que no
ocurran en el futuro.

HubSpot lleva a cabo auditorías internas y mantiene relaciones con


proveedores reconocidos de la industria para las auditorías externas. Los
resultados de las auditorías financieras están disponibles como parte de
nuestras publicaciones de ingresos, y puede encontrar información sobre
las mismas en: (http://ir.hubspot.com/investors/investor-
overview/default.aspx
Las funciones de auditoría interna de HubSpot siempre incluyen
componentes multifuncionales que garantizan enfoques integrales para
la identificación de riesgos y la implementación de mejoras.

HubSpot ofrece una solución de SaaS multiinquilino altamente escalable.


Los clientes pueden aprovechar los conjuntos de características en
constante mejora y el enfoque en interfaces integradas e intuitivas para
administrar sus iniciativas de marketing y ventas. La principal
infraestructura de producto de HubSpot son los entornos integrados de
inquilino único o nube privada virtual (VPC). Esta arquitectura ofrece una
capa adicional de segmentación y aislamiento de otros inquilinos en los
centros de datos donde se encuentra alojada nuestra infraestructura.
Esta arquitectura es compatible con todos nuestros clientes de marketing
y CRM.

La interfaz de usuario y las API de HubSpot limitan el acceso solo al


contenido adecuado. HubSpot segmenta lógicamente los datos mediante
un ID de portal y asocia ese ID único con todos los datos y objetos
pertenecientes a un cliente específico. Las reglas de autorización se
contabilizan durante el diseño y se validan de manera continua. Además,
registramos la autentificación de aplicaciones, los cambios de permisos
horizontales y verticales, la disponibilidad de las aplicaciones y las vistas
de páginas del usuario.
Dentro de determinados parámetros, es posible recuperar datos de
clientes individuales. Las situaciones en las que se perderían los datos de
un cliente específico son pocas, y nuestras estrategias de recuperación
de desastres y protección de datos se enfocan en posibles incidentes a
mayor escala.
X

La infraestructura de producto principal de HubSpot se aloja en tres A3.1.0


zonas de disponibilidad diferentes en la región US-East-1 de AWS.
X A3.3.0

A3.4.0
La prueba de continuidad empresarial forma parte del procesamiento A3.3
normal de HubSpot. Los procesos de recuperación de HubSpot se validan
de manera continua a través de procesos normales de mantenimiento y
asistencia técnica. Empleamos principios rápidos de implementación, por
lo que creamos y destruimos muchas instancias como parte de nuestro
mantenimiento y crecimiento diario. Usamos los mismos procedimientos
en una situación de recuperación, lo que nos permite poner en práctica
nuestro proceso de recuperación todos los días.

Principalmente, HubSpot se basa en la redundancia de la infraestructura,


la replicación en tiempo real y las copias de seguridad. La prueba de
recuperación de desastres forma parte del procesamiento normal de
HubSpot. Los datos se replican y respaldan en varios almacenes de datos
durables ubicados en servicios de centros de datos. El alojamiento web y
el contenido público se distribuyen en cientos de miles de nodos
mediante nuestro proveedor de distribución de contenido y aceleración
web. Las aplicaciones con copia de seguridad operan en tres zonas de
disponibilidad de nuestro proveedor de alojamiento principal. Para la
infraestructura de producto e interna, HubSpot también aprovecha los
planes de recuperación de desastres y continuidad empresarial de los
proveedores de servicio en la nube. Nuestras instalaciones de centros de
datos externalizadas cuentan con numerosas salvaguardias contra
peligros ambientales, y sus planes de continuidad y recuperación fueron
validados independientemente como parte de las certificaciones SOC 2
Tipo II e ISO 27001 del proveedor.

X La información, como los diagramas del sistema y el flujo de datos, se A3.2.0


considera confidencial y no la publicamos.
X A3.4.0

Por lo general, la información del sistema se publica para los usuarios y S3.11.0
los ingenieros de nuestras soluciones de administración del
conocimiento. La infraestructura y la configuración de HubSpot está
completamente automatizada mediante el uso de Puppet y mecanismos A.2.1.0
de implementación automatizados relacionados. Toda la configuración
de tipos de instancias está incrustada en imágenes y archivos de
configuración de Puppet. La información de la aplicación está incluida en
repositorios de GitHub y wikis dedicadas a los proyectos relevantes.
Para la infraestructura de producto e interna, HubSpot aprovecha los A3.1.0
planes de recuperación de desastres y continuidad empresarial de los
proveedores de servicio en la nube. Nuestras instalaciones de centros de
datos externalizadas cuentan con numerosas salvaguardias contra
peligros ambientales, y sus planes de continuidad y recuperación fueron A3.2.0
validados independientemente como parte de la certificación SOC 2 del
proveedor.

X A3.1.0

A3.2.0

Mediante el uso de las infraestructuras virtualizadas de nube virtual A3.2.0


privada EC2 de Amazon o Google Cloud Platform, toda la infraestructura
de producto de HubSpot es independiente del hardware.

A4.1.0
X Los productos de HubSpot son una oferta de servicio de SaaS. Los
clientes no pueden introducir o administrar máquinas en el entorno de
producto de HubSpot ni restaurar esas imágenes de máquinas.

X Los productos de HubSpot son una oferta de servicio de SaaS. Los


clientes no pueden introducir ni administrar máquinas virtuales en el
entorno de producto de HubSpot

X Los productos de HubSpot son una oferta de servicio de SaaS. Los


clientes no pueden introducir ni administrar máquinas virtuales en el
entorno de producto de HubSpot
HubSpot externaliza el alojamiento de su infraestructura de producto con A3.2.0
centros de datos líderes con sede en Estados Unidos, como EC2 de
Amazon y Google Cloud Platform, que brindan niveles elevados de
disponibilidad física y de la red, y mantienen varios niveles de seguridad
auditada, como cumplimiento de SOC 2 Tipo II e ISO 27001. Nuestros
principales proveedores nos garantizan que el tiempo activo de las
instalaciones es entre 99,95 % y 100,00 %, y ambos proveedores
aseguran una redundancia mínima de N+1 para todos los servicios de
alimentación, red y HVAC.

HubSpot cuenta con planes de continuidad empresarial y recuperación A3.1.0


de desastres que se enfocan en evitar las interrupciones mediante la
redundancia de las telecomunicaciones, los sistemas y las operaciones
empresariales, y las estrategias de recuperación rápida en casos de A3.3.0
problemas de disponibilidad o rendimiento. Cuando ocurren situaciones
que afectan al cliente, el objetivo de HubSpot es identificar y abordar el
problema de manera rápida y transparente. Los problemas identificados A3.4.0
se publican en el sitio de estado de HubSpot
(https://status.hubspot.com) y se actualizan posteriormente hasta que se
resuelve el problema. No ofrecemos métricas de SLA, RTO o RPO con
garantía contractual.

HubSpot cuenta con planes de continuidad empresarial y recuperación


de desastres que se enfocan en evitar las interrupciones mediante la
redundancia de las telecomunicaciones, los sistemas y las operaciones
empresariales, y las estrategias de recuperación rápida en casos de
problemas de disponibilidad o rendimiento. Cuando ocurren situaciones
que afectan al cliente, el objetivo de HubSpot es identificar y abordar el
problema de manera rápida y transparente. Los problemas identificados
se publican en el sitio de estado de HubSpot
(https://status.hubspot.com) y se actualizan posteriormente hasta que se
resuelve el problema. No ofrecemos métricas de SLA, RTO o RPO con
garantía contractual.
Los controles de TI de HubSpot están estructurados para garantizar rigor S2.3.0
suficiente en la administración de acceso, la administración de cambios y
las funciones relacionadas. Las funciones y responsabilidades de las
actividades de TI, desarrollo e ingeniería se asignan y publican
explícitamente; además, todos los empleados deben entenderlas
correctamente.

HubSpot garantiza que los datos se repliquen y respalden en varios A3.3.0


almacenes de datos durables y los períodos de retención dependen de la
naturaleza de los datos. Los datos de los servicios de centros de datos se
replican para garantizar un nivel adicional de capacidades de
recuperación. No se depurarán los datos de los clientes activos y, hasta
que dejen de ser útiles, sus datos permanecerán en el sistema de A3.4.0
HubSpot indefinidamente si así lo deciden. Para la mayoría de los
conjuntos de datos, los clientes tienen la opción de eliminar los datos de
sus portales de HubSpot cuando lo decidan.
I3.20.0
Los conjuntos de datos de los clientes que abandonan el servicio se
depuran de las bases de datos activas 90 días después de terminar la
suscripción. Se podrán eliminar antes si el cliente lo solicita por escrito.
La información almacenada en réplicas, capturas de pantalla y copias de I3.21.0
seguridad no se eliminará activamente, sino que se retirará de los
repositorios de datos una vez que cumpla su ciclo de vida.

Nuestro Consejo General debe revisar las solicitudes de datos. Antes de


revelar cualquier tipo de datos, cumplimos con las leyes locales, estatales
y federales, y seguimos las pautas de notificación de dichas autoridades.

HubSpot garantiza que los datos se repliquen y respalden en varios


almacenes de datos durables. Los datos de los servicios de centros de
datos se replican para garantizar un nivel adicional de capacidades de
recuperación.

Las pruebas de redundancia y recuperación se llevan a cabo con


frecuencia como parte de las operaciones normales de HubSpot.
S3.12.0

S3.10.0

Existen pautas de configuración y materiales de compilación para la


infraestructura de producto de HubSpot. La documentación de uso para
el usuario está disponible en https://academy.hubspot.com, y el uso de S3.13.0
la infraestructura de aplicaciones está documentado como parte de los
repositorios de servicio.
Existen pautas con buenas prácticas de desarrollo, y las funciones de uso S3.10.0
compartido del conocimiento y mejora de procesos forman parte de las
actividades de ingeniería de manera estándar. Existen métricas
interoganizacionales específicas para todos los grupos de desarrollo, que
se informan de manera consistente.

S3.13
X HubSpot no externaliza las actividades de desarrollo de software. El
análisis estático del código fuente se ejecuta de manera regular en los
repositorios de código, y el análisis dinámico se lleva a cabo de manera
continua en nuestras aplicaciones.

La información relacionada con las iniciativas de software y sistema de A3.13.0


HubSpot se comparte públicamente en el sitio de producto de HubSpot C3.16.0
(https://product.hubspot.com/). Además, muchos de los proyectos I3.14.0
internos de HubSpot son de código abierto, lo que permite que cualquier S3.10.0
persona revise los detalles de nuestro enfoque de ingeniería.

S3.13
La información relacionada con el estado de los productos de HubSpot se
encuentra en https://status.hubspot.com. Además, los errores
identificados en los productos de código abierto desarrollados y
administrados por HubSpot se comparten públicamente en GitHub
(https://github.com/HubSpot).
Se documentan los estándares de medición de riesgos y prioridad de
errores, y se utilizan las métricas de prioridades para definir los plazos
esperados de clasificación y resolución.

El proceso de compilación garantiza que las configuraciones de


depuración solo estén disponibles durante la etapa adecuada de la
implementación.
El acceso a la infraestructura de producto está estrictamente controlado A3.6.0
y se evitan las desviaciones de las compilaciones esperadas.

S3.5.0

S3.13.0
La información relacionada con las iniciativas de software y sistema de A3.16.0
HubSpot se comparte públicamente en el sitio de producto de HubSpot S3.13.0
(https://product.hubspot.com/).

La publicación del código de HubSpot sigue un modelo de


implementación continuo. Los cambios de código se publican varias
veces por día mediante nuestra implementación de GitHub Enterprise
para asegurar el flujo de trabajo. Los propietarios del proyecto revisan el
código, y luego de su aprobación, se envía automáticamente a Jenkins,
donde se lleva a cabo la compilación, el empaquetado y la prueba de la
unidad. Si se aprueban todos los pasos, el código nuevo o actualizado se
implementa automáticamente en las instancias de infraestructura
mediante Fabric y otras herramientas automatizadas. Todos los códigos
crean archivos de código de grado de producción existente para casos de
errores y cuando es necesario revertir de manera oportuna. La
evaluación de calidad llevada a cabo por personas forma parte de cada
pequeño grupo de desarrollo enfocado.

Por lo general, los clientes de HubSpot reciben notificaciones de


características recién lanzadas en la app Notificaciones dentro de su
panel de contactos del portal. Los clientes pueden participar en pruebas
beta de próximas características. Consulte la página del programa beta
de HubSpot para obtener más información.

Las instancias de servidor que usan los productos de HubSpot se S3.8.0


etiquetan para responder a varias necesidades de administración de
configuración e inventario. Las instancias se etiquetan según la función
que cumplen (por ejemplo, servidor web, etc.) y la parte del producto a
la que están dedicadas, entre otros atributos. C3.14.0

La infraestructura de producto de HubSpot no incluye el hardware


administrado de HubSpot. La infraestructura física se abstrae mediante
los servicios de administración que ofrecen nuestros proveedores de
alojamiento externalizados. Las instancias de servidor se etiquetan con
una matriz de metadatos para ayudar a las necesidades de
administración de inventario y otras necesidades relacionadas. Consulte
la declaración anterior sobre etiquetado de instancias.

Los datos principales del cliente se almacenan en la región US-East-1 de


AWS.
Los datos principales del cliente se almacenan en la región US-East-1 de
AWS.
Los objetos de datos que la infraestructura de producto de HubSpot
almacena y usa se etiquetan continuamente para garantizar la
accesibilidad adecuada a los datos y para aplicar las reglas de
autorización del producto.
X

Todas las interacciones confidenciales con los productos de HubSpot (por S3.6
ejemplo, llamadas de API, inicio de sesión, sesiones autentificadas en el
portal del cliente, etc.) se cifran con TLS 1.0, 1.1 o 1.2 y claves de 2048
bits. Además, los paquetes de SSL están disponibles para los clientes
interesados, que pueden utilizarlo para cifrar sesiones entre el sitio del
cliente y sus visitantes. Los algoritmos de intercambio de claves, cifrado y I13.3.a-e
hash para los productos principales están definidos en las políticas de
seguridad predefinidas de Amazon
(http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGui
de/elb-security-policy-table.html).

I3.4.0

Por lo general, las interacciones de producto de HubSpot se hacen


mediante solicitudes de API, y las solicitudes de API de HubSpot están
cifradas (consulte la respuesta anterior).

La interfaz de usuario y la API de HubSpot limitan el acceso únicamente S3.2.a


al contenido que debe estar disponible para un cliente. HubSpot
segmenta lógicamente los datos mediante un ID de portal y asocia ese ID
único con todos los datos y objetos que pertenecen a un cliente
específico. Las reglas de autorización se contabilizan durante el diseño y
se validan de manera continua. Además, registramos la autentificación
de aplicaciones, los cambios de permisos horizontales y verticales, la
disponibilidad de las aplicaciones y las vistas de páginas del usuario.

Se implementan reglas de etiquetado y autorización para los elementos


de datos, y se imponen en todas las interfaces de aplicaciones (por
ejemplo, IU y API).
HubSpot no almacena copias de los datos de producción en nuestros C3.5.0
entornos de no producción.

S3.4.0

C3.21.0

Las responsabilidades de HubSpot y el cliente se documentan en S2.2.0


nuestros Términos de uso, nuestra Política de privacidad y la
documentación relacionada. A nivel interno, HubSpot documenta las
responsabilidades de los equipos y garantiza que se entiendan de
manera consistente. S2.3.0

S3.8.0

X El enfoque de HubSpot para eliminar datos de manera segura no es C3.5.0


personalizable. Los discos del servidor se eliminan (0 bytes escritos) al
finalizar.

Un cliente puede elegir eliminar datos de su portal o puede enviar una S3.4.0
solicitud por escrito para eliminar su portal, en cuyo caso los datos
también se sobrescriben de manera segura. Además, 90 días después de
que un cliente concluye todos los acuerdos de cliente, sus datos clave se
eliminan automáticamente. Una vez concluido el acuerdo de cliente, la
información almacenada en réplicas, capturas de pantalla y copias de
seguridad no se eliminará activamente, sino que saldrá de los
repositorios de datos una vez que cumpla su ciclo de vida.

Consulte los términos de uso de HubSpot para obtener más información.


El inventario de instancias de infraestructura de productos de HubSpot se S3.1.0
controla cuidadosamente. El sistema de inventario ofrece un panorama
accesible y en tiempo real a los ingenieros y líderes empresariales de
HubSpot que les permite entender nuestra infraestructura. Todas las
instancias se etiquetan con atributos de configuración, como el proyecto
que respalda cada una, el propósito de la instancia (por ejemplo MySQL, C3.14.0
nginx, etc.), la persona que proporcionó la instancia, las reglas de firewall
que afectan a la instancia, etc.

S1.2.b-c
Cabe destacar que HubSpot externaliza el alojamiento de su
infraestructura de producto con proveedores de alojamiento líderes con
base en Estados Unidos, principalmente Amazon Web Services, que
ofrece niveles elevados de seguridad física y de red, y mantiene varios
niveles de seguridad auditada, como cumplimiento de SOC 2 Tipo II e ISO
27001, e infraestructura robustecida. HubSpot no aloja sistemas de
software de producción en sus oficinas empresariales.

Además, el programa de administración de riesgos de seguridad de


proveedores de HubSpot hace un seguimiento de todos los proveedores
que usamos. Se implementan salvaguardias con nuestros proveedores de
servicio y se las administra como parte de nuestra relación contractual
con ellos. Nuestro equipo de seguridad y la unidad empresarial a la que
pertenece cada contrato coordinan consideraciones únicas para nuestros
proveedores antes de la entrada en vigor o renovación de los contratos.

HubSpot externaliza el alojamiento de su infraestructura de producto con A3.6.0


proveedores de alojamiento líderes con base en Estados Unidos,
principalmente Amazon Web Services, que ofrece niveles elevados de
seguridad física y de red, y mantiene varios niveles de seguridad
auditada, como cumplimiento de SOC 2 Tipo II e ISO 27001, e
infraestructura robustecida. Puede encontrar más información sobre el
programa de seguridad física de AWS en su sitio web
(https://aws.amazon.com/whitepapers/).

X Los ingenieros de HubSpot autentificados, que están autorizados para S3.2.a


acceder a dispositivos, servidores o aplicaciones específicos, están
autorizados independientemente de la ubicación. Sin embargo, existen
medidas de autentificación segura y alertas de comportamiento de
usuario para evitar a los eventos de suplantación de autentificación y
responder a ellos.
La información relacionada con las iniciativas de software y sistema de S3.2.f
HubSpot se comparte públicamente en el sitio de producto de HubSpot
(https://product.hubspot.com/).
C3.9.0
HubSpot garantiza que los datos se repliquen y respalden en varios
almacenes de datos durables y los períodos de retención dependen de la
naturaleza de los datos. Para respaldar los datos del cliente (producción)
y protegerlos inmediatamente se aprovechan varias réplicas en línea de
los datos, y también se realizan copias de un momento específico para
garantizar la continuidad empresarial y la restauración. Todas las bases
de datos de producción tienen, como mínimo, una copia principal
(maestra) y una réplica (subordinada) de los datos en línea en cualquier
momento específico. En todas las bases de datos, en la misma instalación
que para la restauración local, se mantienen las copias de seguridad
equivalentes a siete días. Las réplicas se toman por lo menos una vez al
día y, cuando es posible, se utiliza la replicación en tiempo real. Todos los
conjuntos de datos de producción se almacenan en una instalación de
almacenamiento de archivos distribuida, como S3 de Amazon.

X El inventario de instancias de infraestructura de productos de HubSpot se S3.4


controla cuidadosamente. HubSpot desarrolló una capa de abstracción
sobre la API de AWS para facilitar el seguimiento de su infraestructura de
producto. Esto ofrece un panorama accesible y en tiempo real a los
ingenieros y líderes empresariales de HubSpot que les permite entender
nuestro inventario de productos. Todas las instancias de servidor de
infraestructura clave están completamente automatizadas con Puppet, lo
que permite la administración receptiva y consistente de parches, la
administración de la configuración, la administración del inventario, y
otros objetivos. Por lo general, HubSpot no reasigna instancias de
servidor. Cuando una instancia ya no es necesaria, se retira. Los discos
del servidor se eliminan (0 bytes escritos) al finalizar. Tenga en cuenta
que para su infraestructura primaria, HubSpot se basa en las políticas de
borrado de disco de Amazon (que están bien documentadas) para
garantizar que nuestros datos no sobrevivan en una nueva tienda de
instancias.
Sin embargo, consideramos que las listas de inventarios y la información
relacionada son confidenciales y no las publicamos.

HubSpot externaliza el alojamiento de su infraestructura de producto con A3.6.0


centros de datos líderes con base en Estados Unidos, actualmente
Amazon Web Services y Google Cloud Platform, que brindan niveles
elevados de seguridad física y de la red, y mantienen varios niveles de
seguridad auditada, como cumplimiento de SOC 2 Tipo II e ISO 27001.
Consulte los informes de auditoría de nuestros proveedores para
obtener más información sobre los entornos físicos. No alojamos la
infraestructura de producto dentro de cualquier oficina empresarial.
X HubSpot ofrece capacitaciones a los nuevos empleados y formación
constante a los empleados existentes según sus funciones. Sin embargo,
generalmente no publicamos los registros de la formación de cada
empleado.
X A3.6.0

HubSpot externaliza el alojamiento de su infraestructura de producto con A3.6.0


centros de datos líderes con base en Estados Unidos, actualmente
Amazon Web Services y Google Cloud Platform, que brindan niveles
elevados de seguridad física y de la red, y mantienen varios niveles de
seguridad auditada, como cumplimiento de SOC 2 Tipo II e ISO 27001.
Consulte los informes de auditoría de nuestros proveedores para
obtener más información sobre los entornos físicos. No alojamos la
infraestructura de producto dentro de cualquier oficina empresarial.

HubSpot externaliza el alojamiento de su infraestructura de producto con A3.6.0


centros de datos líderes con base en Estados Unidos, actualmente
Amazon Web Services y Google Cloud Platform, que brindan niveles
elevados de seguridad física y de la red, y mantienen varios niveles de
seguridad auditada, como cumplimiento de SOC 2 Tipo II e ISO 27001.
Consulte los informes de auditoría de nuestros proveedores para
obtener más información sobre los entornos físicos. Ningún ingeniero ni
usuario de HubSpot tiene permitido acceder físicamente a las instancias
de servidor.

Las claves de TLS están explícitamente vinculadas a los clientes según los
dominios para los que su portal de HubSpot está configurado.
Las claves privadas de TLS se administran mediante Akamai, nuestro
socio de entrega de contenido. Para los clientes que eligen TLS, las claves
y las solicitudes de firma de certificado se administran en las soluciones
de administración de claves de Akamai. La opción de SSL incluida en su
suscripción usa SAN y presta servicio a varios clientes de HubSpot. Las
claves privadas nunca se comparten y ni siquiera el personal de HubSpot
puede acceder a ellas. Existen otras opciones, que debe discutir con su
representante de ventas, para garantizar que su certificado solo esté
disponible para sus sitios.

Las claves privadas de TLS se administran mediante Akamai, nuestro


socio de entrega de contenido. Para los clientes que eligen TLS, las claves
y las solicitudes de firma de certificado se administran en las soluciones
de administración de claves de Akamai. La opción de SSL incluida en su
suscripción de sitio web usa SAN y presta servicio a varios clientes de
HubSpot. Las claves privadas nunca se comparten y ni siquiera el
personal de HubSpot puede acceder a ellas. Existen otras opciones para
garantizar que su certificado solo esté disponible para sus sitios. Si está
interesado, comuníquese con su representante de ventas o asistencia
técnica para obtener más información.

Las claves privadas de TLS se administran mediante Akamai, nuestro


socio de entrega de contenido. Para los clientes que se suscriben a un
paquete de SSL, las claves y las solicitudes de firma de certificado se
administran en las soluciones de administración de claves de Akamai.

Los procesos internos de HubSpot se documentan, llevan a cabo y


actualizan repetidamente.
Por lo general, las claves de TLS de HubSpot y de los clientes se
administran mediante Akamai, con una combinación de tecnologías de
código abierto y propio de la empresa.

X Algunos tipos de información en los productos de HubSpot se cifran o se C3.12.0


les aplica un algoritmo hash, según la confidencialidad de la información. S3.6.0
Por ejemplo, a las contraseñas de usuario se les aplica un algoritmo hash,
y determinadas características de correo electrónico funcionan al cifrar
datos de mensajes en reposo. Otros tipos de información, como el
contenido web público o los registros de contacto, no se cifran en S3.4
reposo. HubSpot no permite la recopilación ni el almacenamiento de
información confidencial, como datos financieros o de estado mediante
su servicio, como se indica en nuestros Términos de Uso.

Controlamos la infraestructura a nivel de la máquina para que HubSpot


pueda aprovechar las robustas protecciones de imágenes de máquinas
que forman parte de procesos de alojamiento de centros de datos, como
el de Amazon
(http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/CopyingAMIs.h
tml).
X El contexto en el que existen las opciones de administración de claves de
cifrado es en el uso de certificados de TLS para el portal del cliente (que
requiere, al menos, la clave pública). Todos los sitios alojados por
HubSpot pueden configurarse con servicios de TLS. En la mayoría de los
casos, los certificados y las claves privadas se administran mediante
Akamai, nuestro socio de CDN. Consulte nuestro sitio de Academy
(http://knowledge.hubspot.com/website-user-guide/how-to-set-up-ssl-
for-a-hubspot-website) para obtener más información sobre cómo
activar TLS.

HubSpot usa los estándares de cifrado abierto.

En la mayoría de los casos, Akamai, el socio de entrega de contenido de


HubSpot, administra los certificados de TLS.

La infraestructura y la configuración de HubSpot está completamente S1.1.0


automatizada mediante el uso de Puppet y mecanismos de
implementación automatizados relacionados. Las configuraciones de
tipos de instancias están incrustadas en imágenes y archivos de
configuración de Puppet. Las configuraciones de Puppet incluyen todos S1.2.0(a-i)
los detalles sobre una categoría específica de instancia de servidor,
incluidas las buenas prácticas de configuración de seguridad que se
aplican a esa categoría de servidor (por ejemplo, MySQL, Centos Linux
OS, servidor web nginx, etc.).
La infraestructura de producto de HubSpot tiene múltiples capas de
medidas y detección de control, como WAF, alertas y monitorización, y
otras soluciones contra intrusiones. El resultado de estas soluciones de
seguridad se utiliza continuamente para detectar, prevenir y responder a
incidentes de seguridad potenciales y reales. La fuente de alertas se
monitoriza 24 horas al día, siete días a la semana.

Además, capturamos y almacenamos registros de gran tamaño que


incluyen todas las tecnologías que forman parte de nuestros productos y
que también incluyen todas las solicitudes y respuestas a los productos.
En la capa de la aplicación, también se registran todos los inicios de
sesión, las vistas de página, las modificaciones y otros accesos a los
portales de HubSpot. En el back-end de la infraestructura, registramos
intentos de autentificación, cambios de permisos horizontales y
verticales, el estado de la infraestructura y las solicitudes llevadas a cabo,
entre muchos otros comandos y transacciones.

Con respecto a otros tipos de medidas de cumplimiento de seguridad,


también implementamos soluciones de monitorización de control
automatizado que hacen un seguimiento de las asignaciones de
funciones de usuario, las reglas de acceso físico, la autorización del
sistema, las aprobaciones de autorización, y muchos otros tipos de
controles de seguridad. Estos sistemas analizan nuestra infraestructura
de producto y nuestros sistemas empresariales al menos una vez al día
para garantizar el cumplimiento de las configuraciones esperadas y
alertar al equipo de seguridad y a los administradores o propietarios del
sistema pertinentes cuando se detecta un incumplimiento.

X Los productos de HubSpot se entregan como una oferta de SaaS


multiinquilino. No ofrecemos servicios de tipo IaaS.

X Puede encontrar información sobre las interrupciones al sistema en S3.1.0


nuestro sitio público (https://status.hubspot.com). Las publicaciones se
actualizan apenas está disponible la información. Si la confidencialidad
del incidente puede verse comprometida, se contactará al cliente
directamente. Además, HubSpot comparte información pertinente sobre
los controles y los resultados auditados como parte de nuestras C3.14.0
publicaciones de relaciones con inversionistas (http://ir.hubspot.com).

S1.2.b-c
HubSpot lleva a cabo evaluaciones de riesgos empresariales,
evaluaciones de riesgos privadas y evaluaciones de riesgos de tecnología
varias veces al año. Estas evaluaciones incluyen políticas y
responsabilidades de gobernanza de datos.
S1.2.f

S2.3.0

HubSpot tiene un programa de seguridad de clase mundial enfocado en x1.2.


garantizar que los datos de nuestros clientes estén bien protegidos y que
se resuelvan las preocupaciones de privacidad. Puede encontrar
descripciones de nuestro programa de seguridad en nuestra página de
seguridad pública (http://www.hubspot.com/security), en este
documento y en nuestro resumen de seguridad.
Se implementan salvaguardias con nuestros proveedores de servicio y se S1.3.0
las administra como parte de nuestra relación contractual con ellos.
Nuestro equipo de seguridad y la unidad empresarial a la que pertenece
cada contrato coordinan consideraciones únicas para nuestros
proveedores como parte del ciclo de vida del contrato.

HubSpot aprovecha buenas prácticas y pautas de seguridad confiables de S1.1.0


una amplia variedad de fuentes. Las buenas prácticas que incorporamos
a medida que mejoramos continuamente nuestros programas de
seguridad incluyen Cloud Control Matrix de Cloud Security Alliance, ISO
27002, NIST SP 800-53, entre otras. S1.3.0

Se implementan salvaguardias con nuestros proveedores de servicio y se


las administra como parte de nuestra relación contractual con ellos. S2.3.0
Nuestro equipo de seguridad y la unidad empresarial a la que pertenece
cada contrato coordinan consideraciones únicas para nuestros
proveedores como parte del ciclo de vida del contrato.

Mantenemos mecanismos de seguimiento internos que nos ayudan a


medir nuestro programa de seguridad con marcos de buenas prácticas
(por ejemplo, CSA CCM, ISO 27001).

La información sobre el cumplimiento reglamentario está disponible en


nuestros documentos legales (http://legal.hubspot.com/legal-
stuff/translations). La información publicada sobre el cumplimiento de
control de seguridad está disponible en nuestro resumen de seguridad y
en este documento.

La Política de seguridad de la información escrita de HubSpot establece S3.9


medidas disciplinarias para los usuarios de HubSpot que infrinjan la
política.

S2.4.0
Las pautas de seguridad se revisan frecuentemente y se actualizan de
manera continua con actividades de administración de riesgos.

Las actualizaciones y las alertas se envían mediante notificaciones S1.1.0


integradas en las aplicaciones. Además, las páginas de nuestra Política de
Privacidad (http://legal.hubspot.com/es/privacy-policy) y Seguridad
(http://www.hubspot.com/security) están disponibles públicamente para
que los clientes y demás personas puedan revisarlas en cualquier
momento. También ofrecemos un resumen de seguridad, que
actualizamos frecuentemente, al que los clientes pueden acceder desde
sus portales.
Las evaluaciones formales de riesgos se llevan a cabo cada intervalos S3.1
frecuentes, y los resultados de la administración de riesgos empresariales
se presentan ante el Consejo periódicamente. Segmentos específicos
llevan a cabo evaluaciones de riesgos específicas del segmento, que
están alineadas con el marco de administración de riesgos empresariales
y lo respaldan. x3.1.0
Las evaluaciones de riesgos técnicos y empresariales llevadas a cabo por
terceros (por ejemplo, resultados de auditoría, resultados de prueba de
penetración, etc.) se desarrollan independientemente.

S4.3.0
S3.1

El propósito de este documento es abarcar exhaustivamente y compartir


públicamente los componentes relevantes de nuestro programa de x3.1.0
seguridad.
S3.4

HubSpot tiene certificación TRUSTe de privacidad empresarial y cumple


con Privacy Shield. Consulte nuestra Política de Privacidad para obtener
más información sobre nuestro compromiso con su privacidad
(http://legal.hubspot.com/es/privacy-policy).
Todos los empleados de HubSpot deben pasar por rigurosas S3.11.0
investigaciones y verificaciones de antecedentes antes de recibir una
oferta de empleo. Se llevan a cabo verificaciones de empleo, de
educación y penales de todos los empleados.

Según sus funciones, los empleados reciben varios niveles de formación S2.2.0
de seguridad. Los empleados nuevos reciben una formación general de
concienciación de seguridad que abarca todos los requisitos de
seguridad de HubSpot. Después de la formación inicial, hay disponibles
diferentes alternativas de formación basadas en la función del
empleado.
Los empleados aceptan sus responsabilidades en nuestro AUP y los
acuerdos relacionados, y se hace un seguimiento de la participación en la
formación de concienciación de seguridad.

Se deben completar los acuerdos de empleado antes de otorgar acceso.

Se crean y publican nuevos materiales de formación de seguridad para


los empleados varias veces al año.
HubSpot reglamentó y automatizó los procedimientos de autorización S3.2.d
para que los empleados accedan a nuestros productos y sistemas
empresariales. Todos los accesos críticos y confidenciales llevados a cabo
por el personal de HubSpot se informan diariamente a un repositorio de
administración de acceso centralizado. Se aplican reglas de revisión
automatizadas a todos los privilegios de acceso recientemente
detectados y actualizados, y los propietarios del sistema revisan dicho S3.8.e
acceso al momento de la detección inicial y, posteriormente, cada 6
meses. Estos controles prevén las eliminaciones de accesos
automatizadas de emergencia (instantáneas) o programadas.

Se registran todos los accesos y las aprobaciones de acceso. El acceso


anómalo está integrado en procesos automatizados con un conjunto de
rigurosos mecanismos de autorización Just-In-Time (por ejemplo,
firecall). Si un empleado cambia de funciones o sale de HubSpot, sus
solicitudes de firecall y otros accesos moderados se revisan, y se
efectúan cambios en el esquema de autorización. Por lo menos una vez
al día, los sistemas internos y de propietario revisan y revocan
automáticamente los privilegios de acceso, si es necesario, y nuestros
sistemas internos analizan la infraestructura para validar que cumpla con
las configuraciones aprobadas las 24 horas del día.
Existen muchas medidas de protección para reglamentar el acceso desde S3.4
dispositivos móviles, y para proteger a los dispositivos móviles propiedad
de HubSpot.

Los contratos de cliente de HubSpot incluyen términos de S4.1.0


confidencialidad específicos, y nuestras relaciones con proveedores
externos incluyen requisitos de confidencialidad siempre que sean
necesarios.
Publicamos volúmenes de información sobre el uso de nuestros S1.2.f
productos por parte del cliente en nuestro sitio de Academy
(https://academy.hubspot.com/). Independientemente del tema, ya sea
administración de usuarios, creación de contraseñas, asignación de
privilegios u otras características, estará cubierto por nuestro equipo de
Academy.

Consulte nuestra Política de Privacidad S1.2


(http://legal.hubspot.com/es/privacy-policy).
Nuestros servicios de enriquecimiento de datos funcionan S3.9
constantemente para ayudar a mejorar las experiencias de los clientes y
el valor de sus datos para las actividades de ventas y marketing.

Como parte de la incorporación, todos los empleados pueden acceder a S1.2.k


la formación de concientización de seguridad. Se realizarán
capacitaciones de seguridad adicionales cuando nuestras políticas sufran
cambios significativos y, según sus funciones, los empleados recibirán
múltiples niveles de formación de seguridad. Para los empleados de
asistencia técnica, finanzas, TI e ingeniería, la educación de seguridad es S2.2.0
un componente fundamental durante su paso por HubSpot. HubSpot es
un proveedor de SaaS con una estrategia que prioriza la nube; nuestro
programa de seguridad empresarial y el material de formación
relacionado están dedicados principalmente a los modelos de seguridad
en la nube.

En el caso de HubSpot, los gerentes, ingenieros y usuarios pertinentes se S2.3.0


capacitan para mantener el cumplimiento de los controles de TI
pertinentes. La validación del cumplimiento de control está ampliamente
automatizada, y las desviaciones de los procedimientos esperados
generan notificaciones y nuevas oportunidades de formación.
Como parte de la incorporación, todos los empleados pueden acceder a
la formación de concientización de seguridad. El equipo de seguridad
ayuda a brindar concientización adicional de seguridad, especialmente
para garantizar que el equipo no quede en un espacio inseguro.

Las soluciones de SaaS de HubSpot ofrecen capacidades de aceleración S3.3.0


de marketing y ventas a nuestros clientes. Los posibles conflictos de
interés se administrarían mediante acuerdos contractuales, pero los
conflictos de interés que generarían cambios en nuestras políticas de
administración de datos no son previsibles en este momento.
S3.4.0
La integridad del software se verifica y aplica en varias etapas del ciclo de
vida. La integridad de los datos se logra mediante controles de
autorización, y se verifica a través de operaciones recurrentes de estado
de la base de datos y el sistema (por ejemplo, comparación de registros
de transacción con los datos de residentes).

El acceso a la infraestructura de producto de HubSpot está limitado a un


pequeño subconjunto de empleados, y la infraestructura está diseñada
con el objetivo de permitir su rápido desaprovisionamiento y
reaprovisionamiento. La configuración de instancia de servidor se
administra mediante Puppet, y el acceso a los archivos de configuración
de Puppet está rigurosamente controlado. La respuesta a una alteración
identificada u otro problema de integridad a nivel del servidor es el
reaprovisionamiento de la máquina.

S3.2.g
La infraestructura de producto de HubSpot está diseñada para permitir el S3.2.0
desaprovisionamiento y reaprovisionamiento rápido y repetido de
manera automática. Los procedimientos de creación de instancias están
completamente automatizados y las instancias similares se configuran de
la misma manera. Cuando las instancias ya no son necesarias, o cuando
no están escaladas correctamente para la carga, se desaprovisionan
automáticamente en cuestión de minutos.

Creamos un amplio sistema de respaldo de propietario para optimizar y


automatizar nuestras actividades de administración de seguridad y
cumplimiento. Además de muchas otras funciones, el sistema analiza
nuestro producto y la infraestructura empresarial varias veces al día para
garantizar que los permisos otorgados sean correctos, para administrar
los eventos de empleado, para revocar cuentas y accesos cuando sea
necesario, para compilar registros de solicitudes de acceso y para
recopilar evidencia de cumplimiento de cada uno de nuestros controles
de seguridad de tecnología.
HubSpot mide e informa sobre su capacidad interna de adaptarse
rápidamente a funciones de empleados actualizadas o eventos de
partida de empleados. Esas métricas se consideran confidenciales y no se
publican.
En particular, en la arquitectura del producto se incorporan segmentos y S3.2.g
rutas de red específicos para brindar acceso únicamente a los ingenieros
que lo necesitan.
Los productos de HubSpot aplican reglas de autorización muy específicas S3.2.a
para los usuarios que son clientes. Los clientes pueden crear y
administrar usuarios de sus portales y asignar los privilegios que
corresponden a esos usuarios. Consulte este artículo de ayuda
(http://help.hubspot.com/articles/KCS_Article/Account/What-are-the-
HubSpot-user-roles) para obtener más información sobre las funciones
de usuarios en los productos de HubSpot.

Los controles de acceso de red, la minimización de servicios, los S3.13.0


controles de autentificación y las estrictas reglas de autorización regulan
el acceso a todas las partes de la infraestructura de producto de HubSpot
interna.
Los controles de acceso de red, la minimización de servicios, los
controles de autentificación y las estrictas reglas de autorización regulan
el acceso a todas las partes de la infraestructura de producto de HubSpot
interna.
La prueba de continuidad empresarial forma parte del procesamiento S3.1
normal de HubSpot. Los procesos de recuperación de HubSpot se validan
de manera continua a través de procedimientos normales de
mantenimiento y asistencia técnica. Empleamos principios rápidos de
implementación, por lo que creamos y destruimos muchas instancias
como parte de nuestro mantenimiento y crecimiento diario. Usamos los x3.1.0
mismos procedimientos en una situación de recuperación, lo que nos
permite poner en práctica nuestro proceso de recuperación todos los
días.

Principalmente, HubSpot se basa en la redundancia de la infraestructura,


la replicación en tiempo real y las copias de seguridad. La prueba de
recuperación de desastres forma parte del procesamiento normal de
HubSpot. Los datos se replican y respaldan en varias tiendas de datos
durables en los proveedores de centros de datos a fin de incorporar un
nivel adicional de protección fuera del sitio y geográficamente dispersa.
El alojamiento web y el contenido público se distribuyen en cientos de
miles de nodos mediante nuestro proveedor de distribución de
contenido y aceleración web. Las aplicaciones con copia de seguridad
operan en tres zonas de disponibilidad de nuestro proveedor de
alojamiento principal. Para la infraestructura de producto e interna,
HubSpot también aprovecha los planes de recuperación de desastres y
continuidad empresarial de los diversos proveedores de servicio en la
nube. Nuestras instalaciones de centros de datos externalizadas cuentan
con numerosas salvaguardias contra peligros ambientales, y sus planes
de continuidad y recuperación se validaron independientemente como
parte de las certificaciones SOC 2 Tipo II e ISO 27001 del proveedor.

La continuidad crítica del servicio de proveedor forma parte de las


operaciones de desastres, recuperación, alertas y continuidad.
Los operadores de centros de datos y los proveedores de servicio de
Internet, particularmente, son redundantes. Además, la infraestructura
de HubSpot está desarrollada con componentes heterogéneos para
evitar las interrupciones generalizadas en componentes de software
similares.
HubSpot ofrece información sobre la continuidad del sistema mediante
nuestro sitio dedicado al estado (https://status.hubspot.com). Las
publicaciones se actualizan tan pronto como está disponible la
información.
X
X N/D
Las descripciones de los programas de continuidad empresarial y
redundancia están incluidas en este documento y en nuestro resumen de
seguridad.
Un número limitado de empleados de HubSpot, solo en casos S3.2.0
estrictamente imprescindibles, puede acceder al portal de un cliente
como parte de la asistencia técnica y el servicio que brindamos a
nuestros clientes. Este acceso está limitado a accesos Just-In-Time al
portal de un cliente en particular durante un período de 24 horas. Se
registran las solicitudes de los usuarios de HubSpot para obtener acceso
temporal, así como sus acciones en los portales del cliente, y el acceso
de los empleados de HubSpot a los productos también requiere una
autentificación multifactor.
S4.3.0
Los Términos de Uso de HubSpot (http://legal.hubspot.com/es/terms-of-
service) identifican los tipos de datos que los productos de HubSpot no
están diseñados para procesar. Nuestros productos se utilizan para
procesar datos de automatización de marketing y respaldo de ventas. Los
datos incluyen publicaciones en blog, información de contacto de
oportunidades de ventas, diseño gráfico y contenido del sitio web, datos
de campaña de marketing e información similar. Nuestros Términos de
uso prohíben que nuestros clientes recopilen o capturen datos
confidenciales en los productos de HubSpot, lo que incluye datos
financieros, información de estado protegida e información confidencial
similar. Consulte también nuestros Términos de Uso
(http://legal.hubspot.com/es/terms-of-service) para obtener más
información sobre los tipos de datos que están prohibidos.

Los controles de acceso se aplican y aprovisionan estrictamente como S3.2.0


parte de una función de usuario o mediante rigurosas solicitudes de
acceso Just-In-Time. Los empleados de HubSpot pueden acceder al
producto, la infraestructura y otros recursos empresariales de HubSpot
según la asignación de su equipo y unidad empresarial, que se valida por
lo menos una vez al día. La autentificación de los empleados de HubSpot
para acceder a los recursos empresariales, incluidos los productos de
HubSpot, requiere de una autentificación multifactor.

Se aprovisiona a los usuarios de HubSpot cuando crean un portal de


HubSpot u otra cuenta, o bien cuando un administrador de portal los
invita a un portal existente El acceso a los datos se otorga como una
característica de la función asignada del usuario.

Los propietarios del sistema verifican los derechos de acceso la primera S3.2.0
vez que se otorgan y, posteriormente, de manera semestral.

Cuando sea necesario, los problemas de seguridad se comunicarán a los


clientes de conformidad con los métodos de confidencialidad
pertinentes.
Los sistemas de cumplimiento internos de HubSpot analizan nuestra S3.2.0
infraestructura de producto y empresarial varias veces al día para
garantizar que los permisos otorgados sean adecuados para la función de
un usuario, para administrar los eventos de cambio de acceso (por
ejemplo, transferencia o terminación) y para revocar las cuentas y el
acceso cuando sea necesario.

Actualmente, HubSpot permite el inicio de sesión único para los usuarios S3.2.b
del portal mediante su integración con Google Identity Platform. Los
usuarios de Google Apps pueden acceder a sus portales mediante el
botón «Acceder con Google» en la pantalla de inicio de sesión. Además,
otros proveedores, como Bitium y OneLogin, desarrollaron integraciones
con SSO que funcionan con la plataforma de HubSpot.

Actualmente, HubSpot permite el inicio de sesión único para los usuarios


del portal mediante su integración con Google Identity Platform, basada
en OpenID Connect y Oauth. Además, la autorización a las API de
HubSpot se aprovisiona mediante una implementación de Oauth que
cumple con los estándares.

X Los productos de HubSpot usan los servicios de administración central de


identidades, autentificación y aplicación de autorización. Los usuarios de
cliente están autorizados según asignaciones de función muy
específicas. Consulte nuestros artículos informativos sobre la creación de
usuarios y la asignación de funciones
(https://knowledge.hubspot.com/articles/kcs_article/account/how-do-i-
add-a-user-to-my-account) dentro de los productos.

Actualmente, HubSpot permite que la autentificación en dos fases esté


disponible para los usuarios del portal mediante su integración con
Google Identity Platform. Las personas y las organizaciones que usen la
autentificación de Google, pueden habilitar la verificación en dos pasos
(https://www.google.com/es/landing/2step/) dentro de la configuración
de Google. Los empleados de HubSpot deben usar la autentificación
multifactor cuando acceden a los productos de HubSpot, la
infraestructura de productos y los recursos empresariales.
X

Las contraseñas de usuario deben tener un mínimo de ocho caracteres e


incluir mayúsculas, minúsculas, números, espacios en blanco y/o
caracteres especiales. No se aplica el historial de contraseñas. Hay límites
de frecuencia para los intentos de inicio de sesión, y una respuesta
graduada cuando se superan los intentos de inicio de sesión no válidos
que limita los tipos de riesgos a los que responden los bloqueos de
cuenta sin interferir con la productividad de un usuario válido.

Todos los usuarios deben ingresar una contraseña cuando acceden al


producto por primera vez.

Los administradores del portal de cliente pueden responder por sí


mismos todas las necesidades de administración de usuarios.

S3.2.g

HubSpot externaliza el alojamiento de su infraestructura de producto con


centros de base de datos líderes con base en Estados Unidos, como
Amazon Web Services y Google Cloud Platform, que ofrecen tecnología
de virtualización y capas de abstracción que protegen frente a una gran
variedad de posibles ataques de bajo nivel.

HubSpot externaliza el alojamiento de su infraestructura de producto con


centros de base de datos líderes con base en Estados Unidos, como
Amazon Web Services y Google Cloud Platform, que ofrecen tecnología
de virtualización y capas de abstracción que protegen frente a una gran
variedad de posibles ataques de bajo nivel.

La infraestructura de producto de HubSpot tiene varias capas de S3.7


seguridad, como varios WAF, IDS, firewall y otras soluciones de
monitorización de intrusiones e integridad. El resultado de estas
soluciones de seguridad se utiliza continuamente para detectar, prevenir
y responder a incidentes de seguridad potenciales y reales. Las alertas
alimentan nuestro programa de respuesta rápida a incidentes, que está
integrado y monitorizado dentro de nuestra herramienta de respuesta a
incidentes automatizada.
HubSpot externaliza el alojamiento de su infraestructura de producto con
centros de datos líderes con base en Estados Unidos, como Amazon Web
Services y Google Cloud Platform, que brindan niveles elevados de
seguridad física y de la red, y mantienen varios niveles de seguridad
auditada, como cumplimiento de SOC 2 Tipo II e ISO 27001, además de
otras protecciones de seguridad física. Además, el acceso de escritura al
servicio de almacenamiento donde se guardan los registros está
estrictamente limitado a un pequeño subconjunto de ingenieros que
requieren el acceso.

HubSpot publica grandes cantidades de información sobre su enfoque


respecto de las necesidades reglamentarias y los estándares de la
industria.

Las imágenes del servidor están protegidas frente al acceso no


autorizado y se registran los cambios.

X Los clientes de HubSpot no interactúan con nuestros productos en la


infraestructura de hipervisor o servidor.

S3.7

Las instancias de servidor de HubSpot no se sobrescriben. A3.2.0

A4.1.0
Las instancias de servidor de HubSpot no se sobrescriben.

El escalamiento del servicio se lleva a cabo, en gran medida, de manera


automatizada. Los requisitos de capacidad a futuro tienen en cuenta el
crecimiento del cliente, el modelado de requisitos y los avances de
eficiencia cada vez mayores.
Las herramientas de análisis de vulnerabilidad de la infraestructura de
HubSpot hacen un inventario de las instancias de servidor y las etiquetan
según sus identificadores de hardware, y ayudan a identificar
consideraciones únicas en las tecnologías de virtualización utilizadas.

X N/D S3.4

HubSpot mantiene información detallada sobre la topografía de su red.

Cada lista de control de acceso está registrada con información sobre su


propósito y necesidad.
Las instancias del servidor están configuradas para llevar a cabo una
función específica (por ejemplo, servidor web, base de datos, etc.). La
configuración para la función prevista se reduce al mínimo. Además,
todas las instancias de servidor de infraestructura clave están
completamente automatizadas con Puppet, lo que estandariza la
configuración del servidor entre funciones similares.

X Existen entornos de prueba y evaluación de calidad por separado. Por lo S3.4


general, no están disponibles para los clientes. HubSpot utiliza, en gran
medida, la canalización de software y la administración de tráfico para
controlar características basadas en las preferencias del cliente (beta
privado, beta público, lanzamiento completo). Los cambios significativos
de características, aunque el código se haya publicado de manera
progresiva, se comunican mediante mensajes integrados en las
aplicaciones con enlaces a nuestra información (o videos) sobre el
producto en línea o, si lo justifica, mediante publicaciones en blog o
notificaciones por correo electrónico (opcional).

X N/D
El entorno de evaluación de calidad (QA) existe en una nube privada
virtual (VPC) específica en hardware separado físicamente y servidores
virtualizados. Los controles de acceso a la red restringen el tráfico entre
los entornos de evaluación de calidad y producción, además de otros
segmentos de red.

En la capa de red, la segmentación se implementa mediante VLAN S3.4


tradicionales y ACL de red, grupos de seguridad de Amazon y separación
de nube privada virtual (VPC). En las redes de producción, la VLAN y la
segmentación de grupo de seguridad protegen los niveles de
infraestructura únicos (por ejemplo, base de datos, aplicación,
presentación, etc.).
En la capa de red, la segmentación se implementa mediante VLAN
tradicionales y ACL de red, grupos de seguridad de Amazon y separación
de nube privada virtual (VPC). En las redes de producción, la VLAN y la
segmentación de grupo de seguridad protegen los niveles de
infraestructura únicos (por ejemplo, base de datos, aplicación,
presentación, etc.).
El entorno de evaluación de calidad (QA) existe en una nube privada
virtual (VPC) específica en hardware separado físicamente y servidores
virtualizados. Los controles de acceso a la red restringen el tráfico entre
los entornos de evaluación de calidad y producción, además de otros
segmentos de red.
En la capa de red, la segmentación se implementa mediante VLAN
tradicionales y ACL de red, grupos de seguridad de Amazon y separación
de nube privada virtual (VPC). En las redes de producción, la VLAN y la
segmentación de grupo de seguridad protegen los niveles de
infraestructura únicos (por ejemplo, base de datos, aplicación,
presentación, etc.).
Las compilaciones y transferencias de instancia de servidor se llevan a
cabo mediante el cifrado en tránsito.

Las herramientas que permiten la compilación de instancias de servidor


(por ejemplo, servidores virtualizados) están completamente separadas
del entorno de producción de HubSpot.

El acceso a funciones similares a un hipervisor está limitado a un número


muy pequeño de ingenieros cuyas funciones requieren el acceso, y los
permisos de usuario están limitados al conjunto de permisos mínimo
necesario. Además, se exigen token de autentificación en dos factores y
contraseñas complejas a cualquier persona que intente autentificarse en
esa infraestructura.
La infraestructura de producto de HubSpot no incluye redes S3.4
inalámbricas. En las redes inalámbricas empresariales de HubSpot, el
perímetro de red está configurado para permitir el acceso únicamente a
las personas y las máquinas autorizadas.

Las configuraciones a nivel del sistema operativo y el dispositivo no


incluyen valores predeterminados del proveedor, sino que requieren la
creación de una configuración segura de cifrado y autentificación al
momento de la compilación.

Sin embargo, el entorno de producto de HubSpot no incluye redes


inalámbricas. En las redes inalámbricas empresariales de HubSpot, todas
las conexiones a la red empresarial deben estar autentificadas y
autorizadas correctamente Además, las soluciones de NAC garantizan
que los dispositivos conectados cumplan con las políticas de
autentificación y configuración.

Los componentes de los productos de HubSpot con consecuencias S3.4


reglamentarias o de cumplimiento están bien diseñados, documentados
y protegidos.

Existen muchas medidas de protección automatizadas que detectan


amenazas identificadas y responden automáticamente a ellas, como
ataques de red o aplicaciones, DDoS y otras actividades
malintencionadas.

Consulte https://developers.hubspot.com.

Obtenga más información sobre la compilación de integraciones y el


consumo de API de HubSpot en https://developers.hubspot.com.
Encontrará información sobre la importación y la exportación de datos
en HubSpot Academy en sitios como los siguientes:
https://knowledge.hubspot.com/es/contacts-user-guide-v2/how-to-add-
contacts-into-hubspot
https://knowledge.hubspot.com/es/lists-user-guide/how-to-export-a-list-
of-contacts

Todas las interacciones confidenciales con los productos de HubSpot (por


ejemplo, llamadas de API, inicio de sesión, sesiones autentificadas en el
portal del cliente, etc.) se cifran en tránsito.

Obtenga más información sobre la compilación de integraciones y el


consumo de API de HubSpot en https://developers.hubspot.com.
A nivel interno, HubSpot utiliza formatos estándar de imagen para las
instancias de servidor; sin embargo, la plataforma de HubSpot está
diseñada para permitir que los clientes transfieran sus datos hacia
adentro y hacia afuera, sin requerir interacciones con la infraestructura
de nivel de servidor.
X Los clientes de HubSpot no interactúan con nuestros productos en la
infraestructura de hipervisor o servidor.

Las aplicaciones de HubSpot utilizadas para los productos o para el


acceso móvil empresarial se documentan y están disponibles en tiendas
de aplicaciones específicamente designadas.

En el caso de los dispositivos móviles propiedad de HubSpot, existen


controles y procesos técnicos para garantizar que solo se utilicen las
aplicaciones adecuadas.

X
Las políticas de HubSpot, las pautas relacionadas y la formación de
concientización definen el uso aceptable y cómo evitar errores.

HubSpot identifica y define los productos de SaaS apropiados para su uso


en la red empresarial. Según sea necesario, se agregan nuevos servicios a
la lista para cumplir con las necesidades empresariales.

La prueba de compatibilidad es una parte importante de compilar y


lanzar nuevas funciones de front-end. La lista de navegadores y
dispositivos compatibles con los productos de HubSpot está disponible
en:
https://knowledge.hubspot.com/es/articles/kcs_article/resources/which
-browsers-are-supported-by-hubspot

HubSpot permite que los dispositivos propiedad del empleado accedan a


algunos tipos de recursos empresariales mediante un mecanismo de SSO
controlado.
Nuestra solución de NAC se encarga del mantenimiento de la
información de activos, incluidos los dispositivos móviles, conectados a
cualquiera de las redes de HubSpot. La solución también hace un
seguimiento de la información de genealogía y cumplimiento de
políticas.

X La gran mayoría de dispositivos móviles en las redes de HubSpot se


administran mediante la solución de MDM de HubSpot.

Por política, los dispositivos propiedad de HubSpot están configurados


para mantener el cifrado de todo el disco y deben hacerlo. Se analiza el
cumplimiento en todos los dispositivos varias veces al día.

X Los dispositivos propiedad de HubSpot aplican políticas de bloqueo de


pantalla. Existen circunstancias limitadas en las que un dispositivo
propiedad de un empleado puede no bloquear la pantalla
automáticamente.
X

X
Consulte la sección de cumplimiento de las leyes en nuestros Términos
de Uso (http://legal.hubspot.com/es/terms-of-service).

El programa de respuesta rápida a incidentes de HubSpot está integrado IS3.7.0


y monitorizado dentro de un motor de workflow automatizado de
procesamiento de respuestas a incidentes. Se crean tipos de incidentes
predefinidos, basados en tendencias históricas, para facilitar el
seguimiento de incidentes, la asignación de tareas y la escalación
oportunos. Muchos procesos automatizados ingresan en el proceso de
respuesta a incidentes, como las alertas de infraestructura, las alertas de S3.9.0
proveedor, las solicitudes de clientes, las solicitudes de derechos de
autor/DCMA, entre muchos otros.

Cuando se identifica un incidente de seguridad, el equipo de seguridad


de HubSpot y otros equipos comienzan a investigar inmediatamente para
identificar, hacer un seguimiento, comunicar y resolver la causa raíz y los
síntomas del incidente. Por lo general, no es necesaria la participación
del cliente. Los problemas de seguridad se comunican de conformidad
con los métodos de confidencialidad apropiados, generalmente
mediante su administrador del éxito del cliente.

HubSpot utiliza registros, análisis y alertas en tiempo real específicos de A2.3.0


las aplicaciones y un avanzado Web Application Firewall. Las alertas de C2.3.0
posibles amenazas se remiten a los equipos de Operaciones técnicas y I2.3.0
Seguridad de HubSpot, y se implementan automáticamente mitigaciones S2.3.0
para el tráfico identificado como potencialmente malintencionado. Se
controlan los servidores web para identificar alzas de tráfico, escaneo de
puertos y otras actividades sospechosas. Los servidores de bases de S2.4
datos registran todos los intentos de inicio de sesión no válidos. Estos
tipos de eventos, y otros, están integrados en nuestras soluciones de
SIEM y agregación de registros.
C3.6.0

Todos los objetos de datos están etiquetados con identificadores


específicos del cliente. Si es necesario, las solicitudes se pueden rastrear
a portales específicos, usuarios de clientes específicos y conjuntos de
datos específicos.

El programa de respuesta a incidentes de seguridad de HubSpot se S2.4.0


practica y es repetible. Si es necesario, nuestras iniciativas de
investigación garantizan que se tomen las medidas correspondientes.

C3.15.0
S2.4.0

El proceso formal de respuesta a incidentes de HubSpot, y su


documentación, incluyen los procesos necesarios para permitir la
interacción entre el análisis forense y el cumplimiento de la ley. Seguimos C3.15.0
las buenas prácticas de la industria para la creación de imágenes y la
evaluación inicial de errores que requieren la participación de las
autoridades de cumplimiento de la ley u otro tipo de investigación
civil/penal.

Los productos clave de HubSpot tienen una arquitectura que permite


aprovechar varias réplicas de datos en línea para la protección inmediata
de los datos, y se requieren copias de un momento específico, previo a
los errores o la alteración de los datos, para asegurar la continuidad
X empresarial
HubSpot y laproducto
es un restauración.
multiinquilino puro y los datos se consolidan y
separan mediante claves de datos únicas.
S3.9.0

X Ofrecemos actualizaciones para cualquier situación no confidencial y que


afecte al cliente mediante nuestro sitio de estado público C4.1.0
(https://status.hubspot.com/) hasta que se resuelva el problema. La
información sobre los problemas de seguridad se comunica de
conformidad con los métodos de confidencialidad pertinentes.

Existen muchas protecciones de integridad y calidad de datos; sin


embargo, HubSpot no analiza reiteradamente el contenido del cliente en
busca de posibles preocupaciones de calidad de datos en los datos
proporcionados por el cliente.

Los controles de acceso se aplican y aprovisionan estrictamente como


parte de una función de usuario o mediante rigurosas solicitudes de
acceso Just-In-Time.

Ofrecemos actualizaciones para cualquier situación no confidencial y que


afecte al cliente mediante nuestro sitio de estado público
(https://status.hubspot.com/) hasta que se resuelva el problema. La
información sobre los problemas de seguridad se comunica de
conformidad con los métodos de confidencialidad pertinentes; por lo
general, mediante correo electrónico o notificaciones integradas en el
producto.

HubSpot desarrolló múltiples sistemas que se utilizan para garantizar que C2.2.0
la capacidad a nivel del sistema y a nivel de la red cumpla con las
expectativas. Nuestras actividades de planificación de capacidad también
están diseñadas para ocuparse de múltiplos de la carga actual.

X
HubSpot lleva a cabo evaluaciones de riesgos empresariales,
evaluaciones de riesgos privadas y evaluaciones de riesgos de tecnología
varias veces al año. Estas evaluaciones incluyen políticas y
responsabilidades de gobernanza de datos.
S2.2.0

HubSpot cuenta con un programa de administración de proveedores


para garantizar que existan controles apropiados. Se implementan A3.6.0
salvaguardias con nuestros proveedores de servicio y se las administra
como parte de nuestra relación contractual con ellos. Nuestro equipo de
seguridad, el consejo general y la unidad empresarial a la que pertenece
cada contrato coordinan consideraciones únicas para nuestros
proveedores antes de la entrada en vigor o la renovación de los C3.6.0
contratos.

HubSpot cuenta con un programa de administración de proveedores


para garantizar que existan controles apropiados de seguridad y
privacidad. El programa incluye la creación de inventarios, la
monitorización y la revisión de los programas de seguridad de los
proveedores que ofrecen compatibilidad con HubSpot.

Se evalúan salvaguardias apropiadas para el servicio proporcionado y el


tipo de datos intercambiados. El cumplimiento constante de las medidas
de protección esperadas se administra como parte de nuestra relación
contractual con ellos. Nuestro equipo de seguridad, el consejo general y
la unidad empresarial a la que pertenece cada contrato coordinan
consideraciones únicas para nuestros proveedores como parte de la
administración de contratos.
La información sobre los subprocesadores de HubSpot está disponible en
nuestro Acuerdo de Procesamiento de Datos público
(https://legal.hubspot.com/dpa).
HubSpot mantiene medidas de resiliencia que se centran en evitar las
interrupciones mediante la redundancia de las telecomunicaciones, los
sistemas y las operaciones empresariales, y las estrategias de
recuperación rápida en casos de problemas de disponibilidad o
rendimiento. Cuando ocurren situaciones que afectan al cliente, el
objetivo de HubSpot es identificar y abordar el problema de manera
rápida y transparente. Los problemas identificados se publican en el sitio
de estado de HubSpot (https://status.hubspot.com) y se actualizan
posteriormente hasta que se resuelve el problema. No ofrecemos
métricas de SLA, RTO o RPO con garantía contractual.

HubSpot garantiza que su cadena de suministro está regulada por


acuerdos que implementan controles apropiados con cada socio.

Los acuerdos y sus correspondientes contratos se revisan por lo menos


con la frecuencia que exigen sus términos. Por lo general, los contratos
de HubSpot se acuerdan y revisan una vez al año.

Los acuerdos y sus correspondientes contratos se revisan por lo menos


con la frecuencia que exigen sus términos. Por lo general, los contratos
de HubSpot se acuerdan y revisan una vez al año.
Los acuerdos y sus correspondientes contratos se revisan por lo menos S3.1.0
con la frecuencia que exigen sus términos. Por lo general, los contratos
de HubSpot se acuerdan y revisan una vez al año.
x3.1.0
Los acuerdos y sus correspondientes contratos se revisan por lo menos
con la frecuencia que exigen sus términos. Por lo general, los contratos
de HubSpot se acuerdan y revisan una vez al año.

Los puntos de conexión Mac y Windows de HubSpot, además de los S3.5.0


servidores Windows, ejecutan antimalware Sophos. Todo se mantiene e
instala previamente mediante nuestra consola de administración
centralizada de Sophos. Todas las actualizaciones y las firmas de Sophos
se instalan automáticamente a diario.

Por ejemplo, las firmas y las reglas de los componentes de Web


Application Firewall y el sistema de detección de intrusiones se aplican
automáticamente a medida que se publican.

HubSpot implementó un programa de administración de S3.10.0


vulnerabilidades de múltiples niveles. Todos los días, ejecutamos análisis
de vulnerabilidad dinámicos de las aplicaciones en nuestras aplicaciones
web y análisis de código estáticos en nuestros repositorios de código. El
análisis de vulnerabilidad de la infraestructura se lleva a cabo cada mes.
Además, HubSpot mantiene relaciones con proveedores de prueba de
penetración de terceros reconocidos en la industria para llevar a cabo
pruebas de penetración trimestrales de la infraestructura y las
aplicaciones de HubSpot.

HubSpot implementó un programa de administración de


vulnerabilidades de múltiples niveles. Todos los días, ejecutamos análisis
de vulnerabilidad dinámicos de las aplicaciones en nuestras aplicaciones
web y análisis de código estáticos en nuestros repositorios de código. El
análisis de vulnerabilidad de la infraestructura se lleva a cabo cada mes.
Además, HubSpot mantiene relaciones con proveedores de prueba de
penetración de terceros reconocidos en la industria para llevar a cabo
pruebas de penetración trimestrales de la infraestructura y las
aplicaciones de HubSpot.

Nuestro análisis de vulnerabilidades de la infraestructura está destinado


a los servicios y las configuraciones de los sistemas operativos, los
dispositivos de red y componentes similares en la infraestructura.

X No divulgamos información detallada sobre las vulnerabilidades reales o


potenciales a los clientes actuales o posibles. El objetivo de nuestra
prueba de penetración, la evaluación de vulnerabilidades y el programa
de recompensa por identificación de errores es agilizar la resolución de
las vulnerabilidades identificadas e implementar controles sostenibles
para garantizar que no ocurran en el futuro.
HubSpot implementó una rigurosa agenda de administración de parches
con un entorno completamente automatizado en el que se actualizan el
software y todas las políticas. Los equipos de Seguridad e Ingeniería
siguen varios canales de novedades de seguridad para identificar nuevas
amenazas, y se aplican actualizaciones o soluciones alternativas cuando
se las necesita.

Los servidores están completamente automatizados con Puppet, de


manera que la administración de parches se lleva a cabo mediante la
implementación de nuevos servidores con los niveles de parches
adecuados y el traslado automático de software de aplicaciones frente a
la aplicación de parches tradicional. Los parches se aplican
continuamente a medida que se crean instancias de nuevos
servidores. En algunos sistemas (principalmente en MySQL donde las
reconstrucciones tardan demasiado tiempo), realizamos los intercambios
correspondientes de maestro/subordinado y aplicamos el parche
manualmente. Tenemos un conjunto de herramientas propias que hacen
un seguimiento de los parches y las actualizaciones en la instancia de
servidor y el nivel de paquete para cumplir con nuestras medidas de
cumplimiento interno.

Los parches se aplican a los servidores en la infraestructura de producto


de manera continua (casi diariamente). Cuando las situaciones de
seguridad pueden tener consecuencias en el cliente (por ejemplo,
divulgación pública de vulnerabilidades en el servicio que afectan
directamente la experiencia del cliente, etc.), notificamos a los clientes
mediante nuestro Blog de producto (http://product.hubspot.com/blog),
notificaciones integradas en la aplicación y comunicación directa.

X El código móvil, definido como JavaScript, Flash, subprogramas Java del S3.4.0
cliente, VBScript y procesos similares del lado cliente, no se ejecutan
dentro de la infraestructura de producto de HubSpot.
S3.10.0

X Los clientes pueden establecer y aplicar las reglas de autorización de


código móvil que consideren más apropiadas.
xplícito de Cloud Security Alliance con fines de publicación de información sobre el
las afirmaciones son correctas a nuestro leal saber. Sin embargo, la información, los
juntos o las comunicaciones relacionadas) no tienen como objetivo crear una
r o revisar los acuerdos existentes entre las partes.

umento, comuníquese con nuestro equipo de Asistencia Técnica en


BITS Shared BITS Shared
AICPA AICPA
Assessments Assessments
Trust Service Criteria (SOC 2SM Report) TSC 2014
AUP v5.0 SIG v6.0

(S3.10.0) Design, acquisition, implementation, CC7.1 I.4 G.16.3, I.3


configuration, modification, and management of
infrastructure and software are consistent with
defined system security policies to enable
authorized access and to prevent unauthorized
access.

(S3.10.0) Design, acquisition, implementation,


configuration, modification, and management of
infrastructure and software are consistent with
defined processing integrity and related security
policies.
(S3.2.a) a. Logical access security measures to CC5.1 C.2.1, C.2.3,
restrict access to information resources not C.2.4, C.2.6.1,
deemed to be public. H.1
(I3.2.0) The procedures related to completeness, PI1.2 I.4 G.16.3, I.3
accuracy, timeliness, and authorization of inputs PI1.3
are consistent with the documented system PI1.5
processing integrity policies.

(I3.3.0) The procedures related to completeness,


accuracy, timeliness, and authorization of system
processing, including error correction and
database management, are consistent with
documented system processing integrity policies.

(I3.4.0) The procedures related to completeness,


accuracy, timeliness, and authorization of outputs
are consistent with the documented system
processing integrity policies.

(I3.5.0) There are procedures to enable tracing of


information inputs from their source to their final
disposition and vice versa.

(S3.4) Procedures exist to protect against CC5.6 B.1 G.8.2.0.2,


unauthorized access to system resources. G.8.2.0.3,
G.12.1, G.12.4,
G.12.9, G.12.10,
G.16.2, G.19.2.1,
G.19.3.2, G.9.4,
G.17.2, G.17.3,
G.17.4, G.20.1
(S4.1.0) The entity’s system security is periodically CC4.1 L.1, L.2, L.7, L.9,
reviewed and compared with the defined system L.11
security policies.

(S4.2.0) There is a process to identify and address


potential impairments to the entity’s ongoing
ability to achieve its objectives in accordance with
its defined system security policies.
(S4.1.0) The entity’s system security is periodically CC4.1 L.2, L.4, L.7, L.9,
reviewed and compared with the defined system L.11
security policies.

(S4.2.0) There is a process to identify and address


potential impairments to the entity’s ongoing
ability to achieve its objectives in accordance with
its defined system security policies.
CC3.1
(A3.1.0) Procedures exist to (1) identify potential CC3.1 K.1.2.3. K.1.2.4,
threats of disruptions to systems operation that K.1.2.5, K.1.2.6,
would impair system availability commitments A1.2 K.1.2.7, K.1.2.11,
and (2) assess the risks associated with the K.1.2.13,
identified threats. A1.3 K.1.2.15

(A3.3.0) Procedures exist to provide for backup,


offsite storage, restoration, and disaster recovery
consistent with the entity’s defined system
availability and related security policies.

(A3.4.0) Procedures exist to provide for the


integrity of backup data and systems maintained
to support the entity’s defined system availability
(A3.3) Procedures exist to provide for backup, A1.2 K.1.3, K.1.4.3,
offsite storage, restoration, and disaster recovery K.1.4.6, K.1.4.7,
consistent with the entity’s defined system K.1.4.8, K.1.4.9,
availability and related security policies. K.1.4.10,
K.1.4.11,
K.1.4.12

(A3.2.0) Measures to prevent or mitigate threats A1.1 F.1 F.1.6, F.1.6.1,


have been implemented consistent with the risk A1.2 F.1.6.2, F.1.9.2,
assessment when commercially practicable. F.2.10, F.2.11,
A1.3 F.2.12
(A3.4.0) Procedures exist to protect against
unauthorized access to system resource.

(S3.11.0) Procedures exist to provide that CC1.3 G.1.1


personnel responsible for the design, CC1.4
development, implementation, and operation of
systems affecting security have the qualifications CC2.1
and resources to fulfill their responsibilities.

(A.2.1.0) The entity has prepared an objective


description of the system and its boundaries and
communicated such description to authorized
users.
(A3.1.0) Procedures exist to (1) identify potential CC3.1 F.1 F.2.9, F.1.2.21,
threats of disruptions to systems operation that F.5.1, F.1.5.2,
would impair system availability commitments A1.1 F.2.1, F.2.7, F.2.8
and (2) assess the risks associated with the A1.2
identified threats.

(A3.2.0) Measures to prevent or mitigate threats


have been implemented consistent with the risk
assessment when commercially practicable.

(A3.1.0) Procedures exist to (1) identify potential CC3.1 F.1 F.2.9, F.1.2.21,
threats of disruptions to systems operation that F.5.1, F.1.5.2,
would impair system availability commitments A1.1 F.2.1, F.2.7, F.2.8
and (2) assess the risks associated with the A1.2
identified threats.

(A3.2.0) Measures to prevent or mitigate threats


have been implemented consistent with the risk
assessment when commercially practicable.

(A3.2.0) Measures to prevent or mitigate threats A1.1 F.2.19


have been implemented consistent with the risk A1.2
assessment when commercially practicable.
CC4.1
(A4.1.0) The entity’s system availability and
security performance is periodically reviewed and
compared with the defined system availability and
related security policies.
(A3.2.0) Measures to prevent or mitigate threats A1.1 F.1 F.1.6, F.1.6.1,
have been implemented consistent with the risk A1.2 F.1.6.2, F.1.9.2,
assessment when commercially practicable. F.2.10, F.2.11,
F.2.12

(A3.1.0) Procedures exist to (1) identify potential CC3.1 K.2


threats of disruptions to systems operation that
would impair system availability commitments A1.2
and (2) assess the risks associated with the
identified threats. A1.3

(A3.3.0) Procedures exist to provide for backup,


offsite storage, restoration, and disaster recovery
consistent with the entity’s defined system
availability and related security policies.

(A3.4.0) Procedures exist to provide for the


integrity of backup data and systems maintained
to support the entity’s defined system availability
and related security policies.
(S2.3.0) Responsibility and accountability for the CC3.2 G.1.1
entity’s system availability, confidentiality of data,
processing integrity, system security and related
security policies and changes and updates to
those policies are communicated to entity
personnel responsible for implementing them.

(A3.3.0) Procedures exist to provide for backup, A1.2 D.2.2.9


offsite storage, restoration, and disaster recovery
consistent with the entity’s defined system A1.3
availability and related security policies.

(A3.4.0) Procedures exist to provide for the


integrity of backup data and systems maintained I3.21
to support the entity’s defined system availability
and related security policies.

(I3.20.0) Procedures exist to provide for


restoration and disaster recovery consistent with
the entity’s defined processing integrity policies.

(I3.21.0) Procedures exist to provide for the


completeness, accuracy, and timeliness of backup
data and systems.

(S3.12.0) Procedures exist to maintain system CC7.2 I.2 I.1.1, I.1.2, I.2.
components, including configurations consistent 7.2, I.2.8, I.2.9,
with the defined system security policies. CC7.1 I.2.10, I.2.13,
I.2.14, I.2.15,
(S3.10.0) Design, acquisition, implementation, CC7.4 I.2.18, I.2.22.6,
configuration, modification, and management of L.5
infrastructure and software are consistent with
defined system security policies.

(S3.13.0) Procedures exist to provide that only


authorized, tested, and documented changes are
made to the system.
(S3.10.0) Design, acquisition, implementation, CC7.1 C.2 C.2.4, G.4, G6,
configuration, modification, and management of I.1 I.1, I.4.4, I.4.5,
infrastructure and software are consistent with CC7.4 I.2 I.2.7.2, I.2.8,
defined system availability, confidentiality of data, I.4 I.2.9, I.2.15,
processing integrity, systems security and related I.2.18, I.2.22.6,
security policies. I.2.7.1, I.2.13,
I.2.14, I.2.17,
(S3.13) Procedures exist to provide that only I.2.20, I.2.22.2,
authorized, tested, and documented changes are I.2.22.4, I.2.22.7,
made to the system. I.2.22.8, I.2.22.9,
I.2.22.10,
I.2.22.11,
(A3.13.0, C3.16.0, I3.14.0, S3.10.0) Design, CC7.1 I.2.22.12,
C.1.7, G.1, G.6,
acquisition, implementation, configuration, CC7.1 I.1, I.4.5, I.2.18,
modification, and management of infrastructure CC7.1 I.22.1, I.22.3,
and software are consistent with defined system CC7.1 I.22.6, I.2.23,
availability, confidentiality of data, processing I.2.22.2, I.2.22.4,
integrity, systems security and related security CC7.4 I.2.22.7. I.2.22.8,
policies. I.2.22.9,
I.2.22.10,
(S3.13) Procedures exist to provide that only I.2.22.11,
authorized, tested, and documented changes are I.2.22.12,
made to the system. I.2.22.13,
I.2.22.14,I.2.20,
I.2.17, I.2.7.1,
I.3, J.2.10, L.9
(A3.6.0) Procedures exist to restrict physical CC5.5 G.1 G.2.13,
access to the defined system including, but not I.2 G.20.2,G.20.4,
limited to, facilities, backup media, and other CC5.8 G.20.5, G.7,
system components such as firewalls, routers, and G.7.1, G.12.11,
servers. CC7.4 H.2.16, I.2.22.1,
I.2.22.3,
(S3.5.0) Procedures exist to protect against I.2.22.6, I.2.23
infection by computer viruses, malicious code,
and unauthorized software.

(S3.13.0) Procedures exist to provide that only


authorized, tested, and documented changes are
made to the system.
(A3.16.0, S3.13.0) Procedures exist to provide that CC7.4 I.2.17, I.2.20,
only authorized, tested, and documented changes CC7.4 I.2.22
are made to the system.

(S3.8.0) Procedures exist to classify data in CC3.1 D.1.3, D.2.2


accordance with classification policies and
periodically monitor and update such CC3.1
classifications as necessary.
(C3.14.0) Procedures exist to provide that system
data are classified in accordance with the defined
confidentiality and related security policies.
(S3.6) Encryption or other equivalent security CC5.7 G.4 G.19.1.1,
techniques are used to protect transmissions of G.11 G.19.1.2,
user authentication and other confidential G.16 G.19.1.3, G.10.8,
information passed over the Internet or other G.18 G.9.11, G.14,
public networks. PI1.5 I.3 G.15.1
I.4
(I13.3.a-e) The procedures related to
completeness, accuracy, timeliness, and
authorization of system processing, including
error correction and database management, are
consistent with documented system processing
integrity policies.

(I3.4.0) The procedures related to completeness,


accuracy, timeliness, and authorization of outputs
are consistent with the documented system
processing integrity policies.
(S3.2.a) a. Logical access security measures to CC5.1 G.13 D.2.2
restrict access to information resources not
deemed to be public.
(C3.5.0) The system procedures provide that C1.3 I.2.18
confidential information is disclosed to parties
only in accordance with the entity’s defined CC5.6
confidentiality and related security policies.
C1.1
(S3.4.0) Procedures exist to protect against
unauthorized access to system resources.

(C3.21.0) Procedures exist to provide that


confidential information is protected during the
system development, testing, and change
processes in accordance with defined system
confidentiality and related security policies.

(S2.2.0) The security obligations of users and the CC2.3 C.2.5.1, C.2.5.2,
entity’s security commitments to users are D.1.3, L.7
communicated to authorized users. CC3.1

(S2.3.0) Responsibility and accountability for the


entity’s system security policies and changes and
updates to those policies are communicated to
entity personnel responsible for implementing
them.

(S3.8.0) Procedures exist to classify data in


accordance with classification policies and
periodically monitor and update such
classifications as necessary

(C3.5.0) The system procedures provide that C1.3 D.2.2.10,


confidential information is disclosed to parties D.2.2.11,
only in accordance with the entity’s defined CC5.6 D.2.2.14,
confidentiality and related security policies.

(S3.4.0) Procedures exist to protect against


unauthorized access to system resources.
(S3.1.0) Procedures exist to (1) identify potential CC3.1
threats of disruption to systems operation that
would impair system security commitments and CC3.1
(2) assess the risks associated with the identified
threats.

(C3.14.0) Procedures exist to provide that system


data are classified in accordance with the defined
confidentiality and related security policies.

(S1.2.b-c) b. Classifying data based on its criticality


and sensitivity and that classification is used to
define protection requirements, access rights and
access restrictions, and retention and destruction
policies.
c. Assessing risks on a periodic basis.

(A3.6.0) Procedures exist to restrict physical CC5.5 F.2 F.1.2.3, F.1.2.4,


access to the defined system including, but not F.1.2.5, F.1.2.6,
limited to, facilities, backup media, and other F.1.2.8, F.1.2. 9,
system components such as firewalls, routers, and F.1.2.10,
servers. F.1.2.11,
F.1.2.12,
F.1.2.13,
F.1.2.14,
F.1.2.15,
F.1.2.24, F.1.3,
F.1.4.2, F1.4.6,
F.1.4.7, F.1.6,
F.1.7,F.1.8,
F.2.13, F.2.14,
F.2.15, F.2.16,
F.2.17, F.2.18

(S3.2.a) a. Logical access security measures to CC5.1 D.1 D.1.1, D.1.3


restrict access to information resources not
deemed to be public.
(S3.2.f) f. Restriction of access to offline storage, CC5.1 F.2.18, F.2.19,
backup data, systems, and media.
CC5.5
(C3.9.0) Procedures exist to restrict physical
access to the defined system including, but not
limited to: facilities, backup media, and other
system components such as firewalls, routers, and
servers.

(S3.4) Procedures exist to protect against CC5.6 D.1 D.1.1, D.2.1.


unauthorized access to system resources. D.2.2,

(A3.6.0) Procedures exist to restrict physical CC5.5 H.6 F.1.2.3, F.1.2.4,


access to the defined system including, but not F.1.2.5, F.1.2.6,
limited to, facilities, backup media, and other F.1.2.8, F.1.2. 9,
system components such as firewalls, routers, and F.1.2.10,
servers. F.1.2.11,
F.1.2.12,
F.1.2.13,
F.1.2.14,
F.1.2.15,
F.1.2.24, F.1.4.2,
F1.4.6, F.1.4.7,
F.1.7, F.1.8,
F.2.13, F.2.14,
F.2.15, F.2.16,
F.2.17, F.2.18
F.1.2.13,
F.1.2.14,
F.1.2.15,
F.1.2.24, F.1.4.2,
F1.4.6, F.1.4.7,
F.1.7, F.1.8,
F.2.13, F.2.14,
F.2.15, F.2.16,
F.2.17, F.2.18
(A3.6.0) Procedures exist to restrict physical CC5.5 F.2 F.1.2.3, F.1.2.4,
access to the defined system including, but not F.1.2.5, F.1.2.6,
limited to, facilities, backup media, and other F.1.2.8, F.1.2. 9,
system components such as firewalls, routers, and F.1.2.10,
servers. F.1.2.11,
F.1.2.12,
F.1.2.13,
F.1.2.14,
F.1.2.15,
F.1.2.24, F.1.3,
F.1.4.2, F1.4.6,
F.1.4.7, F.1.6,
F.1.7,F.1.8,
F.2.13, F.2.14,
F.2.15, F.2.16,
F.2.17, F.2.18

(A3.6.0) Procedures exist to restrict physical CC5.5 G.21 F.2.18


access to the defined system including, but not
limited to, facilities, backup media, and other
system components such as firewalls, routers, and
servers.

(A3.6.0) Procedures exist to restrict physical CC5.5 F.2 F.1.2.3, F.1.2.4,


access to the defined system including, but not F.1.2.5, F.1.2.6,
limited to, facilities, backup media, and other F.1.2.8, F.1.2. 9,
system components such as firewalls, routers, and F.1.2.10,
servers. F.1.2.11,
F.1.2.12,
F.1.2.13,
F.1.2.14,
F.1.2.15,
F.1.2.24, F.1.3,
F.1.4.2, F1.4.6,
F.1.4.7, F.1.6,
F.1.7,F.1.8,
F.2.13, F.2.14,
F.2.15, F.2.16,
F.2.17, F.2.18
(S3.6.0) Encryption or other equivalent security CC5.7 L.6
techniques are used to protect transmissions of
user authentication and other confidential CC5.6
information passed over the Internet or other
public networks.

(S3.4) Procedures exist to protect against


unauthorized access to system resources.

(C3.12.0, S3.6.0) Encryption or other equivalent CC5.7 G.4 G.10.4, G.11.1,


security techniques are used to protect G.15 G.11.2, G.12.1,
transmissions of user authentication and other CC5.6 I.3 G.12.2, G.12.4,
confidential information passed over the Internet G.12.10,
or other public networks. G.14.18,
G.14.19, G.16.2,
(S3.4) Procedures exist to protect against G.16.18,
unauthorized access to system resources. G.16.19,
G.17.16,
G.17.17,
G.18.13,
G.18.14,
G.19.1.1,
G.20.14
G.19.1.1,
G.20.14

(S1.1.0) The entity’s security policies are CC3.2 L.2 L.2, L.5, L.7 L.8,
established and periodically reviewed and L.9, L.10
approved by a designated individual or group.

(S1.2.0(a-i)) The entity's security policies include,


but may not be limited to, the following matters:
(S3.1.0) Procedures exist to (1) identify potential CC3.1 L.4, L.5, L.6, L.7
threats of disruption to systems operation that
would impair system security commitments and CC3.1
(2) assess the risks associated with the identified
threats.
(C3.14.0) Procedures exist to provide that system
data are classified in accordance with the defined
confidentiality and related security policies.

(S1.2.b-c) b. Classifying data based on its criticality


and sensitivity and that classification is used to
define protection requirements, access rights and
access restrictions, and retention and destruction
policies.
c. Assessing risks on a periodic basis.
(S1.2.f) f. Assigning responsibility and E.1 E.4
accountability for system availability,
confidentiality, processing integrity and related CC3.2
security.

(S2.3.0) Responsibility and accountability for the


entity’s system security policies and changes and
updates to those policies are communicated to
entity personnel responsible for implementing
them.
(x1.2.) The entity’s system [availability, processing A.1, B.1
integrity, confidentiality and related] security
policies include, but may not be limited to, the
following matters:
(S1.3.0) Responsibility and accountability for CC1.2 C.1
developing and maintaining the entity’s system
security policies, and changes and updates to
those policies, are assigned.

The entity has prepared an objective description


of the system and its boundaries and
communicated such description to authorized
users

The security obligations of users and the entity’s


security commitments to users are communicated
to authorized users.

(S1.1.0) The entity's security policies are CC3.2 B.1


established and periodically reviewed and
approved by a designated individual or group. CC1.2

(S1.3.0) Responsibility and accountability for CC2.3


developing and maintaining the entity’s system
security policies, and changes and updates to
those policies, are assigned.

(S2.3.0) Responsibility and accountability for the


entity's system security policies and changes and
updates to those policies are communicated to
entity personnel responsible for implementing
them.

(S3.9) Procedures exist to provide that issues of CC6.2 B.1.5


noncompliance with security policies are
promptly addressed and that corrective measures CC2.5
are taken on a timely basis.

(S2.4.0) The security obligations of users and the


entity’s security commitments to users are
communicated to authorized users.
B.2 B.1.1, B.1.2,
G.21 B.1.6, B.1.7.2,
L.2 G.2, L.9, L.10

(S1.1.0) The entity’s security policies are CC3.2 B.2 B.1.33. B.1.34,
established and periodically reviewed and
approved by a designated individual or group.
(S3.1) Procedures exist to (1) identify potential CC3.1 I.1 C.2.1, I.4.1, I.5,
threats of disruption to systems operation that I.4 G.15.1.3, I.3
would impair system security commitments and
(2) assess the risks associated with the identified
threats. CC3.3

(x3.1.0) Procedures exist to (1) identify potential


threats of disruptions to systems operation that
would impair system [availability, processing
integrity, confidentiality] commitments and (2)
assess the risks associated with the identified
threats.
(S3.1) Procedures exist to (1) identify potential CC3.1 L.2 A.1, L.1
(S4.3.0) Environmental,
threats of regulatory,
disruption to systems and that
operation
technological changessecurity
would impair system are monitored, and their
commitments and
effect on system availability, confidentiality of
(2) assess the risks associated with the identified
data, processing integrity, and system security is
threats.
assessed on a timely basis; policies are updated
for that assessment.
(x3.1.0) Procedures exist to (1) identify potential
(S3.4)
threatsProcedures existtotosystems
of disruptions protectoperation
against that CC5.6 D.1 E.6.4
unauthorized access to
would impair system system resources.
[availability, processing
integrity, confidentiality] commitments and (2)
assess the risks associated with the identified
threats.
(S3.11.0) Procedures exist to help ensure that CC1.3 E.2 E.2
personnel responsible for the design, CC1.4
development, implementation, and operation of
systems affecting confidentiality and security have
the qualifications and resources to fulfill their
responsibilities.
(S2.2.0) The security obligations of users and the CC2.2 C.1 E.3.5
entity's security commitments to users are CC2.3
communicated to authorized users

(S3.2.d) Procedures exist to restrict logical access CC5.4 E.6


to the system and information resources
maintained in the system including, but not
limited to, the following matters:
d. The process to make changes and updates to
user profiles

(S3.8.e) e. Procedures to prevent customers,


groups of individuals, or other entities from
accessing confidential information other than
their own
(S3.4) Procedures exist to protect against CC5.6 G.11, G12,
unauthorized access to system resources. G.20.13, G.20.14

(S4.1.0) The entity’s system availability, CC4.1 C.2.5


confidentiality, processing integrity and security
performance is periodically reviewed and
compared with the defined system availability and
related security policies.
(S1.2.f) f. Assigning responsibility and B.1 B.1.5,
accountability for system availability, D.1.1,D.1.3.3,
confidentiality, processing integrity and related E.1, F.1.1, H.1.1,
security. K.1.2

(S1.2) The entity’s security policies include, but CC3.2 B.3 B.1.7, D.1.3.3,
may not be limited to, the following matters: E.3.2, E.3.5.1,
CC6.2 E.3.5.2
(S3.9) Procedures exist to provide that issues of
noncompliance with security policies are
promptly addressed and that corrective measures
are taken on a timely basis.

(S1.2.k) The entity's security policies include, but E.1 E.4


may not be limited to, the following matters:
k. Providing for training and other resources to CC2.2
support its system security policies CC2.3

(S2.2.0) The security obligations of users and the


entity’s security commitments to users are
communicated to authorized users.

(S2.3.0) Responsibility and accountability for the CC3.2 E.1 E.4


entity’s system availability, confidentiality,
processing integrity and security policies and
changes and updates to those policies are
communicated to entity personnel responsible for
implementing them.
processing integrity and security policies and
changes and updates to those policies are
communicated to entity personnel responsible for
implementing them.

(S3.3.0) Procedures exist to restrict physical access CC5.5 E.1 E.4


to the defined system including, but not limited
to, facilities, backup media, and other system CC5.6
components such as firewalls, routers, and
servers.

(S3.4.0) Procedures exist to protect against


unauthorized access to system resources.

(S3.2.g) g. Restriction of access to system CC5.1


configurations, superuser functionality, master
passwords, powerful utilities, and security devices
(for example, firewalls).
(S3.2.0) Procedures exist to restrict logical access B.1 B.1.8, B.1.21,
to the defined system including, but not limited B.1.28, E.6.2,
to, the following matters: H.1.1, K.1.4.5,
c. Registration and authorization of new users.
d. The process to make changes to user profiles.
g. Restriction of access to system configurations,
superuser functionality, master passwords,
powerful utilities, and security devices (for
example, firewalls).
(S3.2.g) g. Restriction of access to system CC5.1 H1.1, H1.2,
configurations, superuser functionality, master G.9.15
passwords, powerful utilities, and security devices
(for example, firewalls).
(S3.2.a) a. Logical access security measures to CC5.1
restrict access to information resources not
deemed to be public.

(S3.13.0) Procedures exist to provide that only CC7.4 I.2.7.2, I.2.9,


authorized, tested, and documented changes are I.2.10, I.2.15
made to the system.
(S3.1) Procedures exist to (1) identify potential CC3.1 B.1 B.1.1, B.1.2,
threats of disruption to systems operation that H.2 D.1.1, E.1, F.1.1,
would impair system security commitments and H.1.1, K.1.1,
(2) assess the risks associated with the identified E.6.2, E.6.3
threats.

(x3.1.0) Procedures exist to (1) identify potential


threats of disruptions to systems operation that
would impair system [availability, processing
integrity, confidentiality] commitments and (2)
assess the risks associated with the identified
threats.
(S3.2.0) Procedures exist to restrict logical access
to the defined system including, but not limited
to, the following matters: CC3.3
c. Registration and authorization of new users.
d. The process to make changes to user profiles.
g. Restriction of access to system configurations,
superuser functionality, master passwords,
powerful utilities, and security devices (for
example, firewalls).

(S4.3.0) Environmental, regulatory, and


technological changes are monitored, and their
effect on system availability, confidentiality,
processing integrity and security is assessed on a
timely basis; policies are updated for that
assessment.

(S3.2.0) Procedures exist to restrict logical access H.2.4, H.2.5,


to the defined system including, but not limited
to, the following matters:
c. Registration and authorization of new users.
d. The process to make changes to user profiles.
g. Restriction of access to system configurations,
superuser functionality, master passwords,
powerful utilities, and security devices (for
example, firewalls).

(S3.2.0) Procedures exist to restrict logical access H.2.6, H.2.7,


to the defined system including, but not limited H.2.9,
to, the following matters:
d. The process to make changes to user profiles.
g. Restriction of access to system configurations,
superuser functionality, master passwords,
powerful utilities, and security devices (for
example, firewalls).
(S3.2.0) Procedures exist to restrict logical access H.2 E.6.2, E.6.3
to the defined system including, but not limited
to, the following matters:
d. The process to make changes to user profiles.
g. Restriction of access to system configurations,
superuser functionality, master passwords,
powerful utilities, and security devices (for
example, firewalls).

(S3.2.b) b. Identification and authentication of CC5.3 B.1 E.6.2, E.6.3,


users. H.5 H.1.1, H.1.2, H.2,
H.3.2, H.4, H.4.1,
H.4.5, H.4.8
(S3.2.g) g. Restriction of access to system CC5.1 H.2.16
configurations, superuser functionality, master
passwords, powerful utilities, and security devices
(for example, firewalls).

(S3.7) Procedures exist to identify, report, and act CC6.2 G.7 G.14.7, G.14.8,
upon system security breaches and other G.8 G.14.9,
incidents. G.9 G.14.10,G.14.11,
J.1 G.14.12, G.15.5,
L.2 G.15.7, G.15.8,
G.16.8, G.16.9,
G.16.10, G.15.9,
G.17.5, G.17.7,
G.17.8, G.17.6,
G.17.9, G.18.2,
G.18.3, G.18.5,
G.18.6, G.19.2.6,
G.19.3.1,
G.9.6.2, G.9.6.3,
G.9.6.4, G.9.19,
H.2.16, H.3.3,
J.1, J.2, L.5, L.9,
L.10
L.2 G.15.7, G.15.8,
G.16.8, G.16.9,
G.16.10, G.15.9,
G.17.5, G.17.7,
G.17.8, G.17.6,
G.17.9, G.18.2,
G.18.3, G.18.5,
G.18.6, G.19.2.6,
G.19.3.1,
G.9.6.2, G.9.6.3,
G.9.6.4, G.9.19,
H.2.16, H.3.3,
J.1, J.2, L.5, L.9,
L.10

(S3.7) Procedures exist to identify, report, and act CC6.2 G.7 G.13, G.14.8,
upon system security breaches and other G.8 G.15.5, G.16.8,
incidents. G.17.6, G.18.3,
G.19.2.6,
G.19.3.1

(A3.2.0) Measures to prevent or mitigate threats A1.1 G.5


have been implemented consistent with the risk A1.2
assessment when commercially practicable.
CC4.1
(A4.1.0) The entity’s system availability and
security performance is periodically reviewed and
compared with the defined system availability and
related security policies.
(S3.4) Procedures exist to protect against CC5.6 G.2 G.9.17, G.9.7,
unauthorized access to system resources. G.4 G.10, G.9.11,
G.15 G.14.1, G.15.1,
G.16 G.9.2, G.9.3,
G.17 G.9.13
G.18
I.3

(S3.4) Procedures exist to protect against CC5.6 B.1 I.2.7.1, I.2.20,


unauthorized access to system resources. I.2.17, I.2.22.2,
I.2.22.4,
I.2.22.10-14,
H.1.1
(S3.4) Procedures exist to protect against CC5.6 G.17 G.9.2, G.9.3,
unauthorized access to system resources. G.9.13
(S3.4) Procedures exist to protect against CC5.6 D.1 E.3.1, F.1.2.4,
unauthorized access to system resources. B.3 F.1.2.5, F.1.2.6,
F.1 F.1.2.8, F.1.2. 9,
G.4 F.1.2.10,
G.15 F.1.2.11,
G.17 F.1.2.12,
G.18 F.1.2.13,
F.1.2.14,
F.1.2.15,
F.1.2.24, F.1.3,
F.1.4.2, F1.4.6,
F.1.4.7, F.1.6,
F.1.7,F.1.8,
F.2.13, F.2.14,
F.2.15, F.2.16,
F.2.17, F.2.18
G.9.17, G.9.7,
G.10, G.9.11,
G.14.1, G.15.1,
G.9.2, G.9.3,
G.9.13
(S3.4) Procedures exist to protect against CC5.6 G.2 G.9.17, G.9.7,
unauthorized access to system resources. G.4 G.10, G.9.11,
G.15 G.14.1, G.15.1,
G.16 G.9.2, G.9.3,
G.17 G.9.13
G.18
I.3
CC3.3

(IS3.7.0) Procedures exist to identify, report, and CC5.5 J.1 J.1.1, J.1.2
act upon system security breaches and other
incidents. CC6.2

(S3.9.0) Procedures exist to provide that issues of


noncompliance with system availability,
confidentiality of data, processing integrity and
related security policies are promptly addressed
and that corrective measures are taken on a
timely basis.

(A2.3.0, C2.3.0, I2.3.0, S2.3.0) Responsibility and CC2.3 J.1 J.1.1, E.4
accountability for the entity’s system availability, E.1
confidentiality of data, processing integrity and CC2.5
related security policies and changes and updates
to those policies are communicated to entity C1.4
personnel responsible for implementing them. C1.5

(S2.4) The process for informing the entity about


breaches of the system security and for
submitting complaints is communicated to
authorized users.

(C3.6.0) The entity has procedures to obtain


assurance or representation that the
confidentiality policies of third parties to whom
information is transferred and upon which the
entity relies are in conformity with the entity’s
defined system confidentiality and related security
policies
(S2.4.0) and
The that the for
process third party is in
informing thecompliance
entity CC2.5 J.1 J.1.1, J.1.2, E.4
about system availability issues, confidentiality E.1
issues, processing integrity issues, security issues CC6.2
and breaches of the system security and for
submitting complaints is communicated to
authorized users.

(C3.15.0) Procedures exist to provide that issues


of noncompliance with defined confidentiality
and related security policies are promptly
addressed and that corrective measures are taken
on a timely basis.
(S2.4.0) The process for informing the entity CC2.5 J.1 J.1.1, J.1.2, E.4
about system availability issues, confidentiality E.1
issues, processing integrity issues, security issues CC6.2
and breaches of the system security and for
submitting complaints is communicated to
authorized users.

(C3.15.0) Procedures exist to provide that issues


of noncompliance with defined confidentiality
and related security policies are promptly
addressed and that corrective measures are taken
on a timely basis.

(S3.9.0) Procedures exist to provide that issues of CC6.2 J.1.2


noncompliance with security policies are
promptly addressed and that corrective measures CC4.1
are taken on a timely basis.

(C4.1.0) The entity’s system security, availability,


system integrity, and confidentiality is periodically
reviewed and compared with the defined system
security, availability, system integrity, and
confidentiality policies.

(C2.2.0) The system security, availability, system CC2.2 C.2 C.2.6, G.9.9
integrity, and confidentiality and related security CC2.3
obligations of users and the entity’s system
security, availability, system integrity, and
confidentiality and related security commitments
to users are communicated to authorized users.
(S2.2.0) The availability, confidentiality of data, CC2.2 C.2 C.2.4, C.2.6,
processing integrity, system security and related CC2.3 G.4.1, G.16.3
security obligations of users and the entity’s
availability and related security commitments to CC5.5
users are communicated to authorized users.
C1.4
(A3.6.0) Procedures exist to restrict physical C1.5
access to the defined system including, but not
limited to, facilities, backup media, and other
system components such as firewalls, routers, and
servers.

(C3.6.0) The entity has procedures to obtain


assurance or representation that the
confidentiality policies of third parties to whom
information is transferred and upon which the
entity relies are in conformity with the entity’s
defined system confidentiality and related security
policies and that the third party is in compliance
with its policies.
(S3.1.0) Procedures exist to (1) identify potential CC2.2 L.1, L.2, L.4, L.7,
threats of disruption to systems operation that CC2.3 L.9
would impair system security commitments and
(2) assess the risks associated with the identified C1.4
threats. C1.5

(x3.1.0) Procedures exist to (1) identify potential


threats of disruptions to systems operations that
would impair system [availability, processing
integrity, confidentiality] commitments and (2)
(S3.5.0) Procedures exist to protect against CC5.8 G.7
infection by computer viruses, malicious codes,
and unauthorized software.

(S3.10.0) Design, acquisition, implementation, CC7.1 I.4 G.15.2, I.3


configuration, modification, and management of
infrastructure and software are consistent with
defined system security policies to enable
authorized access and to prevent unauthorized
access.
(S3.4.0) Procedures exist to protect against CC5.6 G.20.12, I.2.5
infection by computer viruses, malicious code,
and unauthorized software. CC7.1

(S3.10.0) Design, acquisition, implementation,


configuration, modification, and management of
infrastructure and software are consistent with
defined system security policies to enable
authorized access and to prevent unauthorized
access.
BSI
Canada PIPEDA CCM V1.X COBIT 4.1 COBIT 5.0 COPPA
Germany

Schedule 1 (Section SA-04 COBIT 4.1 AI2.4 APO09.03 312.8 and 312.10
5), 4.7 - Safeguards, APO13.01
Subsec. 4.7.3 BAI03.01
BAI03.02
BAI03.03
BAI03.05
MEA03.01
MEA03.02
10 (B) Schedule 1 (Section SA-01 APO09.01 312.3, 312.8 and
11 (A+) 5) 4.1 APO09.02 312.10
Accountability, APO09.03
Subs. 4.1.3 APO13.01
BAI02
DSS05
Schedule 1 (Section SA-05 DSS06.02 312.8 and 312.10
5), 4.7 - Safeguards, DSS06.04
Subsec. 4.7.3

6 (B) Schedule 1 (Section SA-03 COBIT 4.1 DS5.11 APO09.01 312.8 and 312.10
26 (A+) 5), 4.7 - Safeguards, APO09.02
Subsec. 4.7.3 APO09.03
APO13.01
DSS05.02
DSS06.06
MEA03.01
MEA03.02
58 (B) CO-01 COBIT 4.1 ME 2.1, APO12.04 Title 16 Part 312
ME 2.2 PO 9.5 PO APO12.05
9.6 APO12.06
MEA02.01
MEA02.02
58 (B) CO-02 COBIT 4.1 DS5.5, APO12.04 Title 16 Part 312
59 (B) ME2.5, ME 3.1 PO APO12.05
61 (C+, A+) 9.6 DSS05.07
76 (B) MEA02.06
77 (B) MEA02.07
MEA02.08
MEA03.01
COBIT 4.1 ME 3.1 APO12.01 312.4
APO12.02
APO12.03
MEA03.01
RS-03 DSS04.01
DSS04.02
DSS04.03
DSS04.05
52 (B) RS-04 DSS04.04
55 (A+)

9 (B) Schedule 1 (Section RS-08 DSS01.03 312.8 and 312.10


10 (B) 5), 4.7 - Safeguards, DSS01.04
Subsec. 4.7.3 DSS01.05
DSS04.03

56 (B) Schedule 1 (Section OP-02 COBIT 4.1 DS 9, DS BAI08 312.8 and 312.10
57 (B) 5), 4.7 - Safeguards, 13.1 BAI10
Subsec. 4.7.3 DSS01.01
Schedule 1 (Section RS-05 DSS01.03
5), 4.7 - Safeguards, DSS01.04
Subsec. 4.7.3 DSS01.05

53 (A+) Schedule 1 (Section RS-06 DSS01.04 312.8 and 312.10


75 (C+, A+) 5), 4.7 - Safeguards, DSS01.05
Subsec. 4.7.3

1 (B) OP-04 COBIT 4.1 A13.3 BAI03.10


BAI04.03
BAI04.04
DSS03.05
54 (A+) Schedule 1 (Section RS-07 DSS01.04 312.8 and 312.10
5), 4.7 - Safeguards, DSS01.05
Subsec. 4.7.3 DSS04.01
DSS04.02
DSS04.03

RS-02 BAI06.01
BAI10.01
BAI10.02
BAI10.03
DSS04.01
DSS04.02
45 (B) OP-01 COBIT 4.1 DS13.1 APO01
APO07.01
APO07.03
APO09.03
DSS01.01

36 (B) Schedule 1 (Section DG-04 COBIT 4.1 DS 4.1, BAI09.01 312.3


5) 4.5 - Limiting DS 4.2, DS 4.5, DS BAI09.02
Use, Disclosure and 4.9, DS 11.6 BAI09.03
Retention, Subsec. DSS04.01
4.5.2 DSS04.02
DSS04.03
DSS04.04
DSS04.07
MEA03.01

Schedule 1 (Section RM-01 COBIT 4.1 A12, A APO01.02


5), 4.7 - Safeguards, 16.1 APO01.06
Subsec. 4.7.3 BAI02.04
BAI06.01
27 (B) Schedule 1 (Section RM-04 APO07.06
5), 4.7 - Safeguards, APO09.03
Subsec. 4.7.3 APO09.04
APO10.01
APO10.04
APO10.05
APO11.01
APO11.02
APO11.04
APO11.05

Schedule 1 (Section RM-03 COBIT 4.1 PO 8.1 APO11.01


5), 4.7 - Safeguards, APO11.02
Subsec. 4.7.3 APO11.04
APO11.05
BAI02.04
BAI03.06
BAI03.08
BAI07.03
BAI07.05
Schedule 1 (Section RM-05 APO13.01 312.8 and 312.10
5), 4.7 - Safeguards, BAI06.01
Subsec. 4.7.3 BAI10
DSS05.03
DSS05.04
DSS05.05
DSS05.07
DSS06.03
Schedule 1 (Section RM-02 COBIT 4.1 A16.1, BAI06.01
5), 4.7 - Safeguards, A17.6 BAI06.02
Subsec. 4.7.3 BAI06.03
BAI06.04
BAI07.01
BAI07.03
BAI07.04
BAI07.05
BAI07.06

DG-02 COBIT 4.1 PO 2.3, APO01.06 312.3


DS 11.6 APO03.02
APO08.01
APO09.03
APO13.01
BAI09.01
BAI09.02
BAI09.03
DSS04.07
DSS05.04
DSS05.05
DSS06.06
APO01.06
APO03.01
APO03.02
APO09.01
APO09.01
BAI06.03
BAI09.01
BAI10.01
BAI10.02
BAI10.03
BAI10.04
BAI10.05

Schedule 1 (Section IS-28 COBIT 4.1 DS 5.10 APO01.06 312.8 and 312.10
5), 4.7 - Safeguards, 5.11 APO03.02
Subsec. 4.7.3 APO08.01
APO13.01
APO13.02
DSS05
DSS06

DG-03 COBIT 4.1 PO 2.3, APO01.06 312.2


DS 11.6 APO03.02
APO08.01
APO09.03
APO13.01
BAI09.01
BAI09.02
BAI09.03
DSS04.07
DSS05.04
DSS05.05
DSS06.06
DG-06 APO01.06
BAI01.01
BAI03.07
BAI07.04

Schedule 1 (Section DG-01 COBIT 4.1 DS5.1, APO01.06 312.4


5) 4.5 - Limiting PO 2.3 APO03.02
Use, Disclosure and APO13.01
Retention, Subsec. APO13.03
4.1.3

37 (B) Schedule 1 (Section DG-05 COBIT 4.1 DS 11.4 APO01.06 312.3


5) 4.5 - Limiting APO13.01
Use, Disclosure and BAI09.03
Retention, Subsec. DSS01.01
4.7.5 and 4.5.3
Schedule 1 (Section FS-08 APO01.06
5), 4.7 Safeguards, APO03.02
Subsec. 4.7.3 APO08.01
APO09.03
BAI09.01
BAI09.02
BAI09.03
DSS04.07
DSS05.04
DSS05.05
DSS06.06

7 (B) Schedule 1 (Section FS-03 COBIT 4.1 DS 12.3 APO13.01 312.8 and 312.10
5), 4.7 Safeguards, DSS01.01
Subsec. 4.7.3 DSS01.05
DSS05.05
DSS06.03
DSS06.06

Schedule 1 (Section SA-13 COBIT 4.1 DS5.7 APO13.01 312.3, 312.8 and
5), 4.7 - Safeguards, DSS05.02 312.10
Subsec. 4.7.3 DSS05.03
Schedule 1 (Section FS-06 EDM05.02 312.8 and 312.10
5), 4.7 Safeguards, APO01.02
Subsec. 4.7.5 APO03.02
BAI02.03
BAI02.04
BAI03.09
BAI06.01

Schedule 1 (Section FS-07 APO09.03 312.8 and 312.10


5), 4.7 Safeguards, APO10.04
Subsec. 4.7.5 APO10.05
APO13.01
DSS01.02

7 (B) Schedule 1 (Section FS-01 COBIT 4.1 DS5.7, APO13.01


5), 4.7 Safeguards, DS 12.1, DS 12.4 DSS01.04
Subsec. 4.7.3 DS 4.9 DSS01.05
DSS04.01
DSS04.03
7 (B) Schedule 1 (Section FS-04 DS 12.2, DS 12.3 APO13.01 312.8 and 312.10
5), 4.7 Safeguards, APO13.02
Subsec. 4.7.3 DSS05.05

Schedule 1 (Section FS-05 COBIT 4.1 DS 12.3 APO13.01 312.8 and 312.10
5), 4.7 Safeguards, APO13.02
Subsec. 4.7.3 DSS05.05
DSS06.03

7 (B) Schedule 1 (Section FS-02 APO13.01 312.8 and 312.10


10 (B) 5), 4.7 Safeguards, APO13.02
Subsec. 4.7.3 DSS05.04
DSS05.05
DSS06.03

APO01.06
APO13.01
DSS05.04
DSS05.06
DSS06.03
DSS06.06
38 (B) IS-19 COBIT 4.1 DS5.8 APO13.01 312.8 and 312.10
39 (C+) APO13.02
APO09.03
BAI06.01
BAI09.01
BAI09.02
BAI09.03

23 (B) Schedule 1 (Section IS-18 COBIT 4.1 DS5.8 APO13.01 312.8 and 312.10
24 (B) 5), 4.7 - Safeguards, COBIT 4.1 DS5.10 DSS05.02
25 (B) Subsec. 4.7.3 COBIT 4.1 DS5.11 DSS05.03
DSS06.06
APO01.06
BAI09.02
BAI09.03

12 (B) Schedule 1 (Section IS-04 COBIT 4.1 AI2.1 APO01.06 312.8 and 312.10
14 (B) 5), 4.7 - Safeguards COBIT 4.1 AI2.2 APO03.02
13 (B) COBIT 4.1 AI3.3 APO13.01
15 (B) COBIT 4.1 DS2.3 APO13.02
16 (C+, A+) COBIT 4.1 DS11.6 BAI02.01
21 (B) BAI02.03
BAI02.04
BAI06.01
BAI10.01
BAI10.02
MEA02.01
BAI02.04
BAI06.01
BAI10.01
BAI10.02
MEA02.01

34 (B) Schedule 1 (Section DG-08 COBIT 4.1 PO 9.1, EDM03.02 312.1


5), 4.7 - Safeguards PO 9.2, PO 9.4, DS APO01.03
5.7 APO12.01
APO12.02
APO12.03
APO12.04
BAI09.01
5 (B) Schedule 1 (Section IS-14 COBIT 4.1 DS5.3 APO01.03 312.8 and 312.10
65 (B) 5) 4.1 COBIT 4.1 DS5.4 APO01.04
Accountability; 4.7 COBIT 4.1 DS5.5 APO01.08
Safeguards, Sub DSS01.01
4.7.4

2 (B) Schedule 1 (Section IS-01 COBIT 4.1 R2 APO13.01 312.8 and 312.10
3 (B) 5), 4.1 - DS5.2 APO13.02
5 (B) Accountability; 4.7 COBIT 4.1 R2 APO13.03
Safeguards DS5.5
5 (B) Schedule 1 (Section IS-02 COBIT 4.1 DS5.1 APO01.02 312.8 and 312.10
5), 4.1 Safeguards, APO01.03
Subsec. 4.1.1 APO01.04
APO01.08
APO13.01
APO13.02
APO13.03

Schedule 1 (Section IS-03 COBIT 4.1 DS5.2 APO01.03 312.8 and 312.10
5) 4.1 APO01.04
Accountability, APO13.01
Subsec 4.1.4 APO13.02

Schedule 1 (Section IS-06 COBIT 4.1 PO 7.7 APO01.03 312.8 and 312.10
5) 4.1 APO01.08
Accountability, APO07.04
Subs. 4.1.4
Schedule 1 (Section RI-04 COBIT 4.1 PO 9.6 APO12 312.8 and 312.10
5), 4.7 - Safeguards APO13.01
APO13.03

IS-05 COBIT 4.1 DS 5.2 APO12 312.8 and 312.10


DS 5.4 APO13.01
APO13.03
MEA03.01
MEA03.02
MEA03.02

46 (B) Schedule 1 (Section RI-02 COBIT 4.1 PO 9.4 APO12 312.8 and 312.10
74 (B) 5), 4.7 - Safeguards

Schedule 1 (Section RI-01 COBIT 4.1 PO 9.1 EDM03.02 312.8 and 312.10
5), 4.7 - Safeguards APO01.03
APO12

Schedule 1 (Section IS-27 APO01.08 312.3, 312.8 and


5) 4.5 Limiting Use, APO07.06 312.10
Disclosure and APO13.01
Retention; 4.7 BAI09.03
Safeguards, Subs.
4.7.5
63 (B) Schedule 1 (Section COBIT 4.1 PO 7.6 APO07.01 312.8 and 312.10
HR-01 5), 4.7 Safeguards, APO07.05
Subsec. 4.7.3 APO07.06

66 (B) Schedule 1 (Section HR-02 COBIT DS 2.1 APO01.03 312.3, 312.8 and
5) 4.7 Safeguards, APO13.01 312.10
Subsec. 4.7.4 APO07.06
APO09.03
APO10.01

HR-03 COBIT 4.1 PO 7.8 APO01.02 312.8 and 312.10


APO07.05
APO07.06
Schedule 1 (Section IS-32 COBIT 4.1 DS5.11 APO01.08 312.8 and 312.10
5), 4.7 - Safeguards, COBIT 4.1 DS5.5 APO13.01
Subsec. 4.7.3 APO13.02
DSS05.01
DSS05.02
DSS05.03
DSS05.07
DSS06.03
DSS06.06

Schedule 1 (Section LG-01 APO01.02 312.8 and 312.10


5), 4.7 - Safeguards APO01.03
APO01.08
APO07.06
APO09.03
APO10.04
APO13.01
APO13.03
5 (B) Schedule 1 (Section IS-13 COBIT 4.1 DS5.1 APO01.02 312.3, 312.8 and
5) 4.1 APO01.03 312.10
Accountability APO01.08
APO07.06
APO09.03
APO10.04
APO13.01
APO13.03

Schedule 1 (Section IS-26 COBIT 4.1 DS 5.3 APO01.03 312.4, 312.8 and
5) 4.1 APO01.08 312.10
Accountability, APO13.01
Subs. 4.1.4 APO13.02
DSS05.04
DSS06.06

65 (B) Schedule 1 (Section IS-11 COBIT 4.1 PO 7.4 APO01.03 312.8 and 312.10
5) 4.1 APO01.08
Accountability, APO07.03
Subs. 4.1.4; 4.7 APO07.06
Safeguards, Subs. APO13.01
4.7.4 APO13.03

65 (B) Schedule 1 (Section IS-16 COBIT 4.1 PO 4.6 APO01.02 312.8 and 312.10
66 (B) 5), 4.7 - Safeguards, APO01.03
Subsec. 4.7.4 APO01.08
APO07.03
APO07.06
APO13.01
APO13.03
Subsec. 4.7.4 APO01.08
APO07.03
APO07.06
APO13.01
APO13.03

Schedule 1 (Section IS-17 APO01.02 312.8 and 312.10


5), 4.7 - Safeguards, APO01.03
Subsec. 4.7.3 APO01.08
APO07.03
APO07.06
APO13.01
APO13.03
DSS05.03
DSS06.06

Schedule 1 (Section IS-29 COBIT 4.1 DS 5.7 APO01.03 312.8 and 312.10
5), 4.7 - Safeguards, APO01.08
Subsec. 4.7.3 APO13.01
APO13.02
DSS05.03
DSS05.05
8 (B) Schedule 1 (Section IS-07 COBIT 4.1 DS 5.4 APO01.02 312.8 and 312.10
40 (B) 5) 4.1 APO01.03
41 (B) Accountability, APO01.08
42 (B) Subs. 4.1.4; 4.7 APO13.01
43 (B) Safeguards, Subs. APO13.02
44 (C+) 4.7.4 DSS05.04
DSS05.05
DSS05.06
DSS06.03
DSS06.06
Schedule 1 (Section IS-30 COBIT 4.1 DS5.7 APO13.01 312.8 and 312.10
5), 4.7 - Safeguards, DSS05.02
Subsec. 4.7.3 DSS05.03
DSS05.05
DSS06.06

APO01.03
APO01.08
APO13.01
APO13.02
DSS05.02
DSS05.04
Schedule 1 (Section IS-15 COBIT 4.1 DS 5.4 APO01.03 312.8 and 312.10
5) 4.7 Safeguards, APO01.08
Subs. 4.7.3(b) APO13.02
DSS05.04
DSS06.03

Schedule 1 (Section IS-33 APO01.03


5), 4.7 - Safeguards, APO01.08
Subsec. 4.7.3 APO13.02
DSS05.04
DSS06.03
Schedule 1 (Section RI-05 COBIT 4.1 DS 2.3 APO01.03 312.8 and 312.10
5), 4.7 - Safeguards APO01.08
APO07.06
APO10.04
APO13.02
DSS05.04
DSS05.07
DSS06.03
DSS06.06
IS-08 COBIT 4.1 DS5.4 APO01.03 312.8 and 312.10
IS-12 APO01.08
APO10.04
APO13.02
DSS05.04
DSS06.03
DSS06.06

35 (B) Schedule 1 (Section IS-08 DS5.4 APO01.03 312.8 and 312.10


40 (B) 5) Safeguards, Subs. APO01.08
41 (B) 4.7.2 and 4.7.3 APO07.06
42 (B) APO10.04
44 (C+) APO13.02
DSS05.04
DSS06.03
DSS06.06

41 (B) Schedule 1 (Section IS-10 COBIT 4.1 DS5.3 APO01.03 312.8 and 312.10
5), 4.7 - Safeguards COBIT 4.1 DS5.4 APO01.08
APO13.02
DSS05.04
DSS06.03
DSS06.06
MEA01.03
Schedule 1 (Section IS-09 COBIT 4.1 DS 5.4 APO01.03 312.8 and 312.10
5), 4.7 - Safeguards APO01.08
APO13.02
DSS05.04
DSS06.03
DSS06.06
MEA01.03

6 (B) Schedule 1 (Section SA-02 COBIT 4.1 DS5.3 APO01.03 312.8 and 312.10
5), 4.7 - Safeguards, COBIT 4.1 DS5.4 APO01.08
Subsec. 4.7.3 APO13.02
DSS05.04
DSS06.03
DSS06.06
MEA01.03
Schedule 1 (Section IS-34 COBIT 4.1 DS5.7 APO13.01 312.8 and 312.10
5), 4.7 - Safeguards, APO13.02
Subsec. 4.7.3 DSS05.05

Schedule 1 (Section SA-14 COBIT 4.1 DS5.5 APO13.01 312.3, 312.8 and
5), 4.7 - Safeguards, COBIT 4.1 DS5.6 APO13.02 312.10
Subsec. 4.7.3 COBIT 4.1 DS9.2 BAI10.01
BAI10.02
BAI10.03
DSS01.03
DSS02.01
DSS05.07
DSS06.05
BAI10.03
DSS01.03
DSS02.01
DSS05.07
DSS06.05

APO08.04
APO13.01
BAI06.01
BAI06.02
BAI10.03
BAI10.04

20 (B) Schedule 1 (Section SA-12 COBIT 4.1 DS5.7 APO01.08 312.8 and 312.10
28 (B) 5), 4.7 - Safeguards, APO13.01
30 (B) Subsec. 4.7.3 APO13.02
35 (B) BAI03.05
DSS01.01

OP-03 COBIT 4.1 DS 3 APO01.03 312.8 and 312.10


APO01.08
BAI04.01
BAI04.04
BAI04.05
BAI10.01
BAI10.02
APO01.08
APO04.02
APO04.03
APO04.04
DSS05.03
DSS06.06

Schedule 1 (Section SA-08 APO03.01 312.8 and 312.10


5), 4.7 - Safeguards, APO03.02
Subsec. 4.7.3 APO13.01
APO13.02
BAI02.01
BAI03.02
BAI03.03
BAI03.04
BAI03.05
DSS05.02
DSS06.06

APO13.01
APO13.02
BAI02.01
BAI03.02
BAI03.03
BAI03.04
BAI03.05
DSS05.01
DSS05.03
DSS06.06

22 (B) Schedule 1 (Section SA-06 COBIT 4.1 DS5.7 APO03.01 312.8 and 312.10
5), 4.7 - Safeguards, APO03.02
Subsec. 4.7.3 APO13.01
APO13.02
DSS05.02
DSS05.05
DSS06.06
Schedule 1 (Section SA-09 COBIT 4.1 DS5.10 APO03.01 312.8 and 312.10
5), 4.7 - Safeguards, APO03.02
Subsec. 4.7.3 APO13.01
APO13.02
DSS05.02
DSS05.05
DSS06.06

APO03.01
APO03.02
APO03.04
APO13.01
APO13.02
DSS05.02
DSS05.05
DSS06.06

APO13.01
APO13.02
DSS05.02
DSS05.04
DSS06.03
DSS06.06
40 (B) Schedule 1 (Section SA-10 COBIT 4.1 DS5.5 APO01.08 312.8 and 312.10
44 (C+) 5), 4.7 - Safeguards, COBIT 4.1 DS5.7 APO13.01
Subsec. 4.7.3 COBIT 4.1 DS5.8 APO13.02
COBIT 4.1 DS5.10 DSS02.02
DSS05.02
DSS05.03
DSS05.04
DSS05.05
DSS05.07
DSS06.03
DSS06.06

Schedule 1 (Section SA-08 APO03.01 312.8 and 312.10


5), 4.7 - Safeguards, APO03.02
Subsec. 4.7.3 APO13.01
APO13.02
BAI02.01
BAI03.02
BAI03.03
BAI03.04
BAI03.05
DSS05.02
DSS06.06

- BAI02.04
BAI03.01
BAI03.02
BAI03.03
BAI03.04
BAI03.05
- APO01.03
APO01.06
APO03.01
APO08.01
APO09.03
DSS04.07

- APO01.08
APO02.05
APO03.01
APO03.02
APO04.02
BAI02.01
BAI02.04
APO09.03
- APO01.08
APO02.05
APO03.01
APO03.02
APO04.02
BAI02.01
BAI02.04
APO09.03

- APO01.08
APO02.05
APO03.01
APO03.02
APO04.02
BAI02.01
BAI02.04
- APO01.08
APO02.05
APO03.01
APO03.02
APO04.02
BAI02.01
BAI02.04
APO09.03

- APO01.03
APO13.01
APO07.03
APO07.06
APO09.03
APO10.04
- APO01.04
APO01.08
APO04.02
APO13.01
APO13.02
APO13.03

- APO01.03
APO01.08
APO13.01
APO13.02
APO13.03

- APO01.03
APO01.08
APO13.01
APO13.02
APO13.03
- APO01.03
APO01.08
APO13.01
APO13.02
APO13.03

- APO01.03
APO01.08
APO13.01
APO13.02
APO13.03

- APO01.03
APO01.08
APO13.01
APO13.02
BAI03.07
BAI03.08

- APO01.03
APO01.08
APO13.01
APO13.02
BAI02.01
BAI02.04
- BAI06.01
BAI06.02
BAI06.04
BAI10.01
BAI10.02
BAI10.03

- APO03.01
APO03.02
APO04.02
APO13.01
APO13.02
BAI02.01
BAI03.03
- APO01.03
BAI03.04
APO13.01
BAI03.10
APO13.02
DSS05.03
DSS05.05
DSS06.06

- APO01.03
APO13.01
APO13.02
DSS05.03

- APO01.03
APO13.01
APO13.02

- DSS05.03
DSS05.05
- APO01.03
APO13.01
APO13.02
BAI06

- APO01.03
APO13.01
APO13.02
DSS05.03

- APO01.03
APO13.01
APO13.02
DSS05.01
DSS05.03

APO01.03
APO13.01
APO13.02
DSS05.03
DSS05.05
DSS05.06

APO01.03
APO13.01
APO13.02
DSS05.03
DSS05.05
DSS05.06

APO01.03
APO13.01
APO13.02
APO01.01 312.4
APO01.02
APO01.03
APO01.08
MEA03.01
MEA03.02
MEA03.03

46 (B) Schedule 1 (Section IS-22 COBIT 4.1 DS5.6 APO01.03 312.8 and 312.10
5) 4.1 APO13.01
Accountability, APO13.02
Subs. 4.1.4; 4.8 DSS01.03
Openness, Subs. DSS02.01
4.8.2 DSS02.02
DSS02.04
DSS02.05
DSS02.06

5 (B) Schedule 1 (Section IS-23 COBIT 4.1 DS5.6 APO01.03 312.3, 312.8 and
46 (B) 5) 4.1 APO07.06 312.10
48 (A+) Accountability, APO07.03
49 (B) Subs. 4.1.3 APO13.01
50 (B) APO13.02
DSS02.01

IS-24 COBIT 4.1 DS5.6 APO01.03 312.8 and 312.10


APO13.01
APO13.02
DSS01.03
DSS02.01
DSS02.02
DSS02.04
DSS02.05
DSS02.06
IS-24 COBIT 4.1 DS5.6 APO01.03 312.8 and 312.10
APO13.01
APO13.02
DSS01.03
DSS02.01
DSS02.02
DSS02.04
DSS02.05
DSS02.06

47 (B) IS-25 COBIT 4.1 DS 4.9 DSS04.07 312.8 and 312.10

APO10
APO11
DSS05.04
DSS06.03
DSS06.06

APO09.03
APO09.04
APO10.04
APO10.05
DSS02.07

45 (B) Schedule 1 (Section IS-31 COBIT 4.1 DS5.10 APO01.03 312.8 and 312.10
74 (B) 5), 4.7 - Safeguards, APO03.01
Subsec. 4.7.3 APO03.02
APO09.03
BAI02.01
BAI02.04
BAI07.05
MEA01
MEA02
74 (B) Schedule 1 (Section LG-02 COBIT 4.1 DS5.11 APO09.03 312.3, 312.8 and
75 (C+, A+) 5) 4.1 APO09.05 312.10
45 (B) Accountability,
75 (C+, A+) Subs. 4.1.3
79 (B)
4 (C+, A+)
APO10.04
APO10.05
MEA01

51 (B) APO01.03
APO09.03
APO09.04
APO09.05
APO10.01
APO10.03
APO10.04

APO09.03
MEA01
MEA02
MEA01
MEA02

76 (B) CO-05 COBIT 4.1 ME 2.6, APO01.08 312.2(a) and 312.3


77 (B) DS 2.1, DS 2.4 APO10.05 (Prohibition on
78 (B) MEA02.01 Disclosure)
83 (B)
84 (B)
85 (B)

17 (B) Schedule 1 (Section IS-21 COBIT 4.1 DS5.9 APO01.03 312.8 and 312.10
5), 4.7 - Safeguards, APO13.01
Subsec. 4.7.3 APO13.02
DSS05.01

32 (B) Schedule 1 (Section IS-20 COBIT 4.1 AI6.1 APO01.03 312.8 and 312.10
33 (B) 5), 4.7 - Safeguards, COBIT 4.1 AI3.3 APO13.01
Subsec. 4.7.3 COBIT 4.1 DS5.9 APO13.02
BAI06.01
BAI06.02
BAI06.03
BAI06.04
DSS01.01
DSS01.02
DSS01.03
DSS03.05
DSS05.01
DSS05.03
DSS05.07
SA-15 APO01.03 312.8 and 312.10
APO13.01
APO13.02
DSS05.01
DSS05.02
DSS05.03
DSS05.04
CSA
CSA Enterprise Architecture (formerly the Trusted
Guidance ENISA IAF
Cloud Initiative)
V3.0

Domain > Container >


Public Private
Capability
Application shared x Domain 10 6.03.01. (c)
Services >
Development
Process > Software
Quality Assurance
BOSS > Legal shared x Domain 10
Services >
Contracts
Application shared x Domain 10
Services >
Programming
Interfaces > Input
Validation

BOSS > Data shared x Domain 10 6.02. (b)


Governance > 6.04.03. (a)
Rules for
Information
Leakage
Prevention
BOSS > shared x Domain 2, 4 6.01. (d)
Compliance >
Audit Planning
BOSS > shared x Domain 2, 4 6.03. (e)
Compliance > 6.07.01. (m)
Independent 6.07.01. (n)
Audits
BOSS > shared x Domain 2, 4
Compliance >
Information
System Regulatory
Mapping
BOSS > provider x Domain 7, 8 6.07. (a)
Operational Risk 6.07. (b)
Management > 6.07. (c)
Business
Continuity
BOSS > provider x Domain 7, 8 6.07.01. (b)
Operational Risk 6.07.01. (j)
Management > 6.07.01. (l)
Business
Continuity

Infra Services > provider x Domain 7, 8 6.08. (a)


Facility Security > 6.09. (c)
Environmental Risk 6.09. (f)
Management 6.09. (g)

SRM > Policies and shared x Domain 7, 8


Standards > Job
Aid Guidelines
Infra Services > provider x Domain 7, 8 6.07. (d)
Facility Security > 6.08. (a)
Environmental Risk 6.09. (a)
Management 6.09. (b)
6.09. (d)

Infra Services > provider x Domain 7, 8 6.07. (d)


Facility Security > 6.08. (a)
Environmental Risk 6.09. (a)
Management 6.09. (b)
6.09. (d)

Infra Services > provider x Domain 7, 8 6.09. (h)


Equipment
Maintenance >
Infra Services > provider x Domain 7, 8 6.08. (a)
Facility Security > 6.09. (e)
Environmental Risk 6.09. (f)
Management

ITOS > Service provider x Domain 7, 8 6.02. (a)


Delivery > 6.03.03. (c)
Information 6.07. (a)
Technology 6.07. (b)
Resiliency - 6.07. (c)
Resiliency Analysis
SRM > Policies and shared x Domain 7, 8 6.03. (c)
Standards >
Operational
Security Baselines

BOSS > Data shared x Domain 5 6.03. (h)


Governance > Data 6.07.01. (c)
Retention Rules

ITOS > IT shared x None 6.03. (a)


Operation >
Architecture
Governance
ITOS > IT shared x None
Operation >
Architecture
Governance

ITOS > Service shared x None 6.03.01. (b)


Support > Release 6.03.01. (d)
Management
ITOS > Service shared x None
Support >
Configuration
Management ->
Software
Management
ITOS > Service shared x None 6.03. (a)
Support > Release
Management

BOSS > Data shared x Domain 5 6.04.03. (a)


Governance > Data
Classification
BOSS > Data Domain 5
Governance >
Handling /
Labeling / Security
Policy

SRM > shared x Domain 2


Cryptographic
Services > Data in
Transit Encryption

BOSS > Data shared x Domain 5 6.03.05. (b)


Governance >
Handling /
Labeling / Security
Policy
SRM > Policies and shared x Domain 5 6.03. (d)
Standards >
Technical Standard
(Data
Management
Security Standard)

BOSS > Data shared x Domain 5


Governance > Data
Ownership /
Stewardship

BOSS > Data shared x Domain 5 6.03. (h)


Governance >
Secure Disposal of
Data
ITOS > Service provider x Domain 8
Support >
Configuration
Management -
Physical Inventory

Infra Services > provider x Domain 8 6.08. (a)


Facility Security > 6.09. (i)
Controlled Physical
Access

>> Domain 8 6.05. (a)


SRM > Facility provider x Domain 8 6.08. (a)
Security > Asset 6.09. (j)
Handling

BOSS > Data provider x Domain 8 6.05. (a)


Governance > 6.05. (b)
Secure Disposal of 6.05. (c)
Data

SRM > Policies and provider x Domain 8 6.08. (a)


Standards > 6.09. (i)
Information
Security Policies
(Facility Security
Policy)
SRM > Policies and provider x Domain 8 6.08. (a)
Standards > 6.09. (i)
Information
Security Policy
(Facility Security
Policy)

SRM > Policies and provider x Domain 8 6.08. (a)


Standards > 6.09. (j)
Information
Security Policy
(Facility Security
Policy)

Infra Services > Domain 8 6.08. (a)


Facility Security > 6.09. (i)

SRM >
Cryptographic
Services > Key
Management
SRM > shared x Domain 2 6.04.04. (a)
Cryptographic 6.04.04. (b)
Services > Key 6.04.04. (c)
Management 6.04.04. (d)
6.04.04. (e)
6.04.05. (d)
6.04.05. (e)
6.04.08.02. (b)

SRM > Data shared x Domain 2 6.04.05. (a)


Protection > 6.04.05. (c)
Cryptographic
Services - Data-At-
Rest Encryption,
Cryptographic
Services - Data-in-
Transit Encryption
SRM > shared x Domain 11
Cryptographic
Services > Key
Management

SRM > Governance shared x Domain 2 6.03.01. (a)


Risk & Compliance 6.03.04. (a)
> Technical 6.03.04. (b)
Standards 6.03.04. (c)
6.03.04. (e)
6.07.01. (o)
BOSS > shared x Domain 5 6.01. (d)
Operational Risk 6.04.03. (a)
Management >
Independent Risk
Management
BOSS > Human shared x Domain 3, 9
Resources Security
> Roles and
Responsibilities

SRM > InfoSec shared x Domain 2


Management >
Capability
Mapping
SRM > Governance shared x Domain 2
Risk & Compliance
> Compliance
Management

SRM > Policies and shared x Domain 2 6.02. (e)


Standards >
Information
Security Policies

SRM > Governance shared x Domain 2


Risk & Compliance
>
BOSS > shared x Domain 2, 4 6.03. (a)
Operational Risk
Management >
Risk Management
Framework

SRM > Governance shared x Domain 2


Risk & Compliance
> Policy
Management
BOSS > shared x Domain 2, 4 6.03. (a)
Operational Risk 6.08. (a)
Management >
Risk Management
Framework

BOSS > shared x Domain 2, 4


Operational Risk
Management >
Risk Management
Framework

BOSS > Human provider x Domain 2


Resources Security
> Employee
Termination
BOSS > Human shared x None 6.01. (a)
Resources Security
> Background
Screening

BOSS > Human shared x None


Resources Security
> Employee Code
of Conduct

BOSS > Human shared x None


Resources Security
> Roles and
Responsibilities
Presentation shared x Domain 2
Services >
Presentation
Platform >
Endpoints - Mobile
Devices - Mobile
Device
Management

BOSS > shared x Domain 3


Compliance >
Intellectual
Property
Protection
BOSS > Human shared x Domain 2
Resources Security
> Roles and
Responsibilities

SRM > Policies and shared x Domain 2


Standards >
Information
Security Policies

SRM > GRC > shared x Domain 2 6.01. (c)


6.02. (e)

BOSS > Human shared x Domain 2


Resources Security
> Employee
Awareness
> Employee
Awareness

BOSS > Data shared x Domain 2


Governance >
Clear Desk Policy

SRM > Privilege shared x Domain 2 6.03. (i)


Management 6.03. (j)
Infrastructure >
Privilege Usage
Management
SRM > Policies and shared x Domain 2 6.01. (b)
Standards > 6.01. (d)
6.02. (e)
6.03. (b)
6.03.04. (b)
6.03.04. (c)
6.03.05. (b)
6.03.05. (d)
6.03.06. (b)
6.04.01. (c)
6.04.01. (f)
6.04.02. (a)
6.04.02. (b)
6.04.02. (c)
6.04.03. (b)
6.04.06. (a)
6.04.08. (a)
6.04.08. (b)
6.04.08. (c)
6.04.08.03. (a)
6.04.08.03. (b)
SRM > Privilege provider x Domain 2
Management
Infrastructure >
Privilege Usage
Management -
Resource
Protection

SRM > Policies and Domain 12


Standards >
Information
Security Policies
ITOS > Resource shared x Domain 2 6.04.01. (d)
Management > 6.04.08.02. (a)
Segregation of
Duties

ITOS > Service shared x Domain 2


Support > Release
Management -
Source Code
Management
SRM > Governance shared x Domain 2, 4 6.02. (a)
Risk & Compliance 6.02. (b)
> Vendor 6.03. (a)
Management
Information shared x Domain 12
Services > User
Directory Services
> Active Directory
Services,
LDAP Repositories,
X.500 Repositories,
DBMS
Repositories,
Meta Directory
Services,
Virtual Directory
Services

SRM > Privilege shared x Domain 2 6.03.04. (b)


Management 6.03.04. (c)
Infrastructure > 6.03.05. (d)
Identity 6.03.06. (a)
Management - 6.03.06. (b)
Identity 6.04.01. (a)
Provisioning 6.04.01. (b)
6.04.01. (d)
6.04.01. (e)
6.04.01. (g)
6.04.03. (c)
6.04.08.02. (a)

SRM > Privilege shared x Domain 2


Management
Infrastructure >
Authorization
Services -
Entitlement
Review
SRM > Privilege shared x Domain 2 6.03.04. (b)
Management 6.03.04. (c)
Infrastructure > 6.03.05. (d)
Identity 6.03.06. (a)
Management - 6.04.02. (b)
Identity
Provisioning

SRM > Policies and shared x Domain 10 6.03.04. (b)


Standards > 6.03.04. (c)
Technical Security 6.03.05. (d)
Standards 6.04.05. (b)
SRM > Privilege shared x Domain 2
Management
Infrastructure >
Privilege Usage
Management -
Resource
Protection

BOSS > Security shared x Domain 10 6.03. (i)


Monitoring 6.03. (j)
Services > SIEM 6.03.03. (a)
6.03.03. (d)
6.03.04. (e)
6.04.07. (a)
6.07.01. (a)
6.07.01. (c)
6.03.04. (e)
6.04.07. (a)
6.07.01. (a)
6.07.01. (c)

SRM > Privilege


Management
Infrastructure >
Privileged Usage
Management ->
Hypervisor
Governance and
Compliance

Infra Services > provider x Domain 10 6.03. (k)


Network Services >
Authoritative Time
Source

ITOS > Service provider x Domain 7, 8 6.03.07. (a)


Delivery > 6.03.07. (b)
Information 6.03.07. (c)
Technology 6.03.07. (d)
Resiliency -
Capacity Planning
SRM > Threat and provider x Domain 1,
Vulnerability 13
Management >
Vulnerability
Management

SRM > provider x Domain 10 6.03.03. (a)


Infrastructure 6.03.03. (d)
Protection Services 6.03.04. (d)
> Network 6.04.07. (a)
6.07.01. (c)

SRM > Policies and shared x


Standards >
Operational
Security Baselines

Information shared x Domain 10 6.03. (d)


Services > Data
Governance > Data
Segregation
SRM > provider x Domain 10 6.03.03. (b)
Infrastructure 6.03.05. (a)
Protection Services 6.03.05. (b)
> Network - 6.04.01. (a)
Firewall 6.04.01. (g)
6.04.03. (c)
6.04.08.02. (a)
6.04.08.02. (b)
6.05. (c)

SRM > provider X Domain 1,


Cryptographic 13
Services > Data-in-
transit Encryption

SRM > Privilege provider X Domain 1,


Management 13
Infrastructure >
Privilege Use
Management -
Hypervisor
Governance and
Compliance
SRM > provider X Domain 10
Infrastructure
Protection Services
> Network -
Wireless
Protection

SRM > provider x Domain 10 6.03.03. (a)


Infrastructure 6.03.03. (d)
Protection Services 6.03.04. (d)
> Network 6.04.07. (a)
6.07.01. ©

Application provider X Domain 6


Services >
Programming
Interfaces >

Information provider Domain 6


Services >
Reporting Services
>

Information provider Domain 3 6.04.03. (b)


Technology 6.04.08. (a)
Operation Services 6.04.08. (b)
> Service Delivery 6.06. (a)
> Service Level 6.06. (b)
Management - 6.06. (c)
External SLA's 6.06. (d)
6.06. (e)
6.06. (f)
Information provider Domain 3 6.04.03. (b)
Technology 6.04.08. (a)
Operation Services 6.04.08. (b)
> Service Delivery 6.06. (a)
> Service Level 6.06. (b)
Management - 6.06. (c)
External SLA's 6.06. (d)
6.06. (e)
6.06. (f)

SRM > Data provider x Domain 6


Protection >
Cryptographic
Services - Data-In-
Transit Encryption

Infrastructure provider X Domain 6


Services > Virtual
Infrastructure >
Server
Virtualization

SRM > Governance provider X None


Risk & Compliance (Mobile
> Technical Guidance)
Awareness and
Training

SRM > Policies and provider X None


Standards > (Mobile
Technical Security Guidance)
Standards

ITOS > Service provider X None


Support > (Mobile
Configuration Guidance)
Management -
Software
Management

SRM > Policies and provider X None


Standards > (Mobile
Technical Security Guidance)
Standards
SRM > Policies and provider X None
Standards > (Mobile
Technical Security Guidance)
Standards

SRM > Governance provider X None


Risk & Compliance (Mobile
> Vendor Guidance)
Management

ITOS > Service provider X None


Support > (Mobile
Configuration Guidance)
Management -
Software
Management

SRM > Policies and provider X None


Standards > (Mobile
Information Guidance)
Security Policies
SRM > provider X None
Infrastructure (Mobile
Protection Services Guidance)
> End Point -
Inventory Control

Presentation provider X None


Services > (Mobile
Presentation Guidance)
Platform > End-
Points-Mobile
Devices-Mobile
Device
SRM > Data
Management provider X None
Protection > (Mobile
Cryptographic Guidance)
Services - Data-At-
Rest Encryption

Presentation provider X None


Services > (Mobile
Presentation Guidance)
Platform > End-
Points-Mobile
Devices-Mobile
Device
Management

SRM > Policies and shared X None


Standards > (Mobile
Information Guidance)
Security Services

Presentation shared X None


Services > (Mobile
Presentation Guidance)
Platform > End-
Points-Mobile
Devices-Mobile
Device
Management
ITOS > Service shared X None
Support -Change (Mobile
Management > Guidance)
Planned Changes

Presentation shared X None


Services > (Mobile
Presentation Guidance)
Platform > End-
Points-Mobile
Devices-Mobile
Device
Management

SRM > Policies and shared X None


Standards > (Mobile
Technical Security Guidance)
Standards

BOSS > Data shared X None


Governance > (Mobile
Secure Disposal of Guidance)
Data

SRM > shared X None


Infrastructure (Mobile
Protection Guidance)
Services->Network
> Link Layer
Network Security

SRM > Policies and shared X None


Standards > (Mobile
Technical Security Guidance)
Standards
BOSS > shared x
Compliance >
Contact/Authority
Maintenance

ITOS > Service shared x Domain 2 6.04.07. (b)


Support > Security 6.07.01. (a)
Incident 6.07.01. (d)
Management 6.07.01. (e)
6.07.01. (f)
6.07.01. (g)
6.07.01. (h)

BOSS > Human shared x Domain 2 6.07.01. (a)


Resources Security
> Employee
Awareness

BOSS > Legal shared x Domain 2 6.04.07. (b)


Services > Incident 6.07.01. (f)
Response Legal 6.07.01. (h)
Preparation
BOSS > Legal shared x Domain 2 6.04.07. (b)
Services > Incident 6.07.01. (f)
Response Legal 6.07.01. (h)
Preparation

BOSS > shared x Domain 2 6.07.01. (a)


Operational Risk 6.07.01. (i)
Management >
Key Risk Indicators

SRM > Governance provider X Domain 2


Risk & Compliance
> Vendor
Management

ITOS > Service provider Domain 2


Support ->
Incident
Management >
Cross Cloud
Incident Response

ITOS > Service provider x Domain 2 6.02. (c)


Delivery > Service 6.03.07. (a)
Level Management 6.03.07. (b)
6.03.07. (c)
6.03.07. (d)

SRM > Governance provider x Domain 2


Risk & Compliance
> Vendor
Management
BOSS > Legal shared x Domain 3 6.02. (e)
Services > 6.10. (h)
Contracts 6.10. (i)
SRM > Governance provider x
Risk & Compliance
> Vendor
Management

ITOS > Service provider x Domain 3 6.02. (c)


Delivery > Service 6.02. (d)
Level Management 6.07.01. (k)
- Vendor
Management

SRM > Governance provider x Domain 2


Risk & Compliance
> Vendor
Management
Risk & Compliance
> Vendor
Management

BOSS > shared x Domain 2, 4 6.10. (a)


Compliance > 6.10. (b)
Third-Party Audits 6.10. (c)
6.10. (d)
6.10. (e)
6.10. (f)
6.10. (g)
6.10. (h)
6.10. (i)
SRM > shared x Domain 2 6.03. (f)
Infrastructure
Protection Services
> Anti-Virus

SRM > Threat and shared x Domain 2 6.03.02. (a)


Vulnerability 6.03.02. (b)
Management > 6.03.05. (c)
Vulnerability 6.07.01. (o)
Management
SRM > shared x Domain 10 6.03. (g)
Infrastructure
Protection Services
> End Point -
White Listing
CCM v3.0.1 Compliance Mapping

FedRAMP Security
FedRAMP Security Controls
95/46/EC - European Union Controls
(Final Release, Jan 2012)
Data Protection Directive (Final Release, Jan 2012)
--MODERATE IMPACT LEVEL--
--LOW IMPACT LEVEL--

Article: 27 (3) NIST SP 800-53 R3 SC-5 NIST SP 800-53 R3 SA-8


NIST SP 800-53 R3 SC-6 NIST SP 800-53 R3 SC-2
NIST SP 800-53 R3 SC-7 NIST SP 800-53 R3 SC-4
NIST SP 800-53 R3 SC-12 NIST SP 800-53 R3 SC-5
NIST SP 800-53 R3 SC-13 NIST SP 800-53 R3 SC-6
NIST SP 800-53 R3 SC-14 NIST SP 800-53 R3 SC-7
NIST SP 800-53 R3 SC-7 (1)
NIST SP 800-53 R3 SC-7 (2)
NIST SP 800-53 R3 SC-7 (3)
NIST SP 800-53 R3 SC-7 (4)
NIST SP 800-53 R3 SC-7 (5)
NIST SP 800-53 R3 SC-7 (7)
NIST SP 800-53 R3 SC-7 (8)
NIST SP 800-53 R3 SC-7 (12)
NIST SP 800-53 R3 SC-7 (13)
NIST SP 800-53 R3 SC-7 (18)
NIST SP 800-53 R3 SC-8
NIST SP 800-53 R3 SC-8 (1)
NIST SP 800-53 R3 SC-9
NIST SP 800-53 R3 SC-9 (1)
NIST SP 800-53 R3 SC-10
NIST SP 800-53 R3 SC-11
NIST SP 800-53 R3 SC-12
NIST SP 800-53 R3 SC-12 (2)
NIST SP 800-53 R3 SC-12 (5)
NIST SP 800-53 R3 SC-13
NIST SP 800-53 R3 SC-13 (1)
NIST SP 800-53 R3 SC-14
NIST SP 800-53 R3 SC-17
NIST SP 800-53 R3 SC-18
NIST SP 800-53 R3 SC-9 (1)
NIST SP 800-53 R3 SC-10
NIST SP 800-53 R3 SC-11
NIST SP 800-53 R3 SC-12
NIST SP 800-53 R3 SC-12 (2)
NIST SP 800-53 R3 SC-12 (5)
NIST SP 800-53 R3 SC-13
NIST SP 800-53 R3 SC-13 (1)
NIST SP 800-53 R3 SC-14
NIST SP 800-53 R3 SC-17
NIST SP 800-53 R3 SC-18

Article 17 (1), (2) NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1


NIST SP 800-53 R3 CA-2 NIST SP 800-53 R3 CA-2
NIST SP 800-53 R3 CA-2 (1) NIST SP 800-53 R3 CA-2 (1)
NIST SP 800-53 R3 CA-5 NIST SP 800-53 R3 CA-5
NIST SP 800-53 R3 CA-6 NIST SP 800-53 R3 CA-6
NIST SP 800-53 R3 SI-2 NIST SP 800-53 R3 SI-2
NIST SP 800-53 R3 SI-3 NIST SP 800-53 R3 SI-2 (2)
NIST SP 800-53 R3 SI-3
NIST SP 800-53 R3 SI-3 (1)
NIST SP 800-53 R3 SI-3 (2)
NIST SP 800-53 R3 SI-3 (3)
NIST SP 800-53 R3 SI-4
NIST SP 800-53 R3 SI-4 (2)
NIST SP 800-53 R3 SI-4 (4)
NIST SP 800-53 R3 SI-4 (5)
NIST SP 800-53 R3 SI-4 (6)
NIST SP 800-53 R3 SI-6
NIST SP 800-53 R3 SI-7
NIST SP 800-53 R3 SI-7 (1)
NIST SP 800-53 R3 SI-9
NIST SP 800-53 R3 SI-10
NIST SP 800-53 R3 SI-11

Article 17 (1), (2),(3), (4) NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1
NIST SP 800-53 R3 SC-1 NIST SP 800-53 R3 AC-4
NIST SP 800-53 R3 SC-13 NIST SP 800-53 R3 SC-1
NIST SP 800-53 R3 SC-8
NIST SP 800-53 R3 CA-2 NIST SP 800-53 R3 CA-2
NIST SP 800-53 R3 CA-2 (1) NIST SP 800-53 R3 CA-2 (1)
NIST SP 800-53 R3 CA-7 NIST SP 800-53 R3 CA-7
NIST SP 800-53 R3 CA-7 (2)
NIST SP 800-53 R3 PL-6
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CA-2 NIST SP 800-53 R3 CA-2
NIST SP 800-53 R3 CA-2 (1) NIST SP 800-53 R3 CA-2 (1)
NIST SP 800-53 R3 CA-6 NIST SP 800-53 R3 CA-6
NIST SP 800-53 R3 RA-5 NIST SP 800-53 R3 RA-5
NIST SP 800-53 R3 RA-5 (1)
NIST SP 800-53 R3 RA-5 (2)
NIST SP 800-53 R3 RA-5 (3)
NIST SP 800-53 R3 RA-5 (6)
NIST SP 800-53 R3 RA-5 (9)
Article 17 (1), (2) NIST SP800-53 R3 CP-1 NIST SP800-53 R3 CP-1
NIST SP800-53 R3 CP-2 NIST SP800-53 R3 CP-2
NIST SP800-53 R3 CP-3 NIST SP800-53 R3 CP-2 (1)
NIST SP800-53 R3 CP-4 NIST SP800-53 R3 CP-2 (2)
NIST SP800-53 R3 CP-9 NIST SP800-53 R3 CP-3
NIST SP800-53 R3 CP-10 NIST SP800-53 R3 CP-4
NIST SP800-53 R3 CP-4 (1)
NIST SP800-53 R3 CP-6
NIST SP800-53 R3 CP-6 (1)
NIST SP800-53 R3 CP-6 (3)
NIST SP800-53 R3 CP-7
NIST SP800-53 R3 CP-7 (1)
NIST SP800-53 R3 CP-7 (2)
NIST SP800-53 R3 CP-7 (3)
NIST SP800-53 R3 CP-2 NIST SP800-53 R3 CP-2
NIST SP800-53 R3 CP-3 NIST SP800-53 R3 CP-2 (1)
NIST SP800-53 R3 CP-4 NIST SP800-53 R3 CP-2 (2)
NIST SP800-53 R3 CP-3
NIST SP800-53 R3 CP-4
NIST SP800-53 R3 CP-4 (1)

Article 17 (1), (2) NIST SP800-53 R3 PE-1 NIST SP800-53 R3 PE-1


NIST SP800-53 R3 PE-13 NIST SP800-53 R3 PE-4
NIST SP800-53 R3 PE-13 NIST SP800-53 R3 PE-13
(1) NIST SP800-53 R3 PE-13 (1)
NIST SP800-53 R3 PE-13 NIST SP800-53 R3 PE-13 (2)
(2) NIST SP800-53 R3 PE-13 (3)
NIST SP800-53 R3 PE-13
(3)

Article 17 NIST SP 800-53 R3 CP-9 NIST SP 800-53 R3 CP-9


NIST SP 800-53 R3 CP-10 NIST SP 800-53 R3 CP-9 (1)
NIST SP 800-53 R3 SA-5 NIST SP 800-53 R3 CP-9 (3)
NIST SP 800-53 R3 CP-10
NIST SP 800-53 R3 CP-10 (2)
NIST SP 800-53 R3 CP-10 (3)
NIST SP 800-53 R3 SA-5
NIST SP 800-53 R3 SA-5 (1)
NIST SP 800-53 R3 SA-5 (3)
NIST SP 800-53 R3 SA-10
NIST SP 800-53 R3 SA-11
NIST SP 800-53 R3 SA-11 (1)
Article 17 (1), (2) NIST SP800-53 R3 PE-1 NIST SP800-53 R3 PE-1
NIST SP800-53 R3 PE-13 NIST SP800-53 R3 PE-13
NIST SP800-53 R3 PE-14 NIST SP800-53 R3 PE-13 (1)
NIST SP800-53 R3 PE-15 NIST SP800-53 R3 PE-13 (2)
NIST SP800-53 R3 PE-13 (3)
NIST SP800-53 R3 PE-14
NIST SP800-53 R3 PE-15
NIST SP800-53 R3 PE-18

Article 17 (1), (2) NIST SP800-53 R3 PE-1 NIST SP800-53 R3 PE-1


NIST SP800-53 R3 PE-14 NIST SP800-53 R3 PE-5
NIST SP800-53 R3 PE-15 NIST SP800-53 R3 PE-14
NIST SP800-53 R3 PE-15
NIST SP800-53 R3 PE-18

Article 17 (1) NIST SP 800-53 R3 MA-2 NIST SP 800-53 R3 MA-2


NIST SP 800-53 R3 MA-4 NIST SP 800-53 R3 MA-2 (1)
NIST SP 800-53 R3 MA-5 NIST SP 800-53 R3 MA-3
NIST SP 800-53 R3 MA-3 (1)
NIST SP 800-53 R3 MA-3 (2)
NIST SP 800-53 R3 MA-3 (3)
NIST SP 800-53 R3 MA-4
NIST SP 800-53 R3 MA-4 (1)
NIST SP 800-53 R3 MA-4 (2)
NIST SP 800-53 R3 MA-5
NIST SP 800-53 R3 MA-6
Article 17 (1), (2) NIST SP800-53 R3 PE-1 NIST SP800-53 R3 CP-8
NIST SP800-53 R3 PE-12 NIST SP800-53 R3 CP-8 (1)
NIST SP800-53 R3 PE-13 NIST SP800-53 R3 CP-8 (2)
NIST SP800-53 R3 PE-14 NIST SP800-53 R3 PE-1
NIST SP800-53 R3 PE-9
NIST SP800-53 R3 PE-10
NIST SP800-53 R3 PE-11
NIST SP800-53 R3 PE-12
NIST SP800-53 R3 PE-13
NIST SP800-53 R3 PE-13 (1)
NIST SP800-53 R3 PE-13 (2)
NIST SP800-53 R3 PE-13 (3)
NIST SP800-53 R3 PE-14

Article 17 (1), (2) NIST SP 800-53 R3 CP-1 NIST SP 800-53 R3 CP-1


NIST SP 800-53 R3 CP-2 NIST SP 800-53 R3 CP-2
NIST SP 800-53 R3 RA-3 NIST SP 800-53 R3 RA-3
NIST SP 800-53 R3 CM-2 NIST SP 800-53 R3 CM-2
NIST SP 800-53 R3 CM-4 NIST SP 800-53 R3 CM-2 (1)
NIST SP 800-53 R3 CM-6 NIST SP 800-53 R3 CM-2 (3)
NIST SP 800-53 R3 MA-4 NIST SP 800-53 R3 CM-2 (5)
NIST SP 800-53 R3 SA-3 NIST SP 800-53 R3 CM-3
NIST SP 800-53 R3 SA-4 NIST SP 800-53 R3 CM-3 (2)
NIST SP 800-53 R3 SA-5 NIST SP 800-53 R3 CM-4
NIST SP 800-53 R3 CM-5
NIST SP 800-53 R3 CM-6
NIST SP 800-53 R3 CM-6 (1)
NIST SP 800-53 R3 CM-6 (3)
NIST SP 800-53 R3 CM-9
NIST SP 800-53 R3 MA-4
NIST SP 800-53 R3 MA-4 (1)
Article 6(1) e NIST SP 800-53 R3 CP-2 NIST
NIST SP
SP 800-53
800-53 R3
R3 MA-4
CP-2 (2)
NIST SP 800-53 R3 CP-9 NIST
NIST SP 800-53 R3 SA-3
SP 800-53 R3 CP-2 (1)
NIST
NIST SP
SP 800-53
800-53 R3
R3 SA-4
CP-2 (2)
NIST
NIST SP
SP 800-53
800-53 R3
R3 SA-4
CP-6 (1)
NIST
NIST SP 800-53 R3 SA-4
SP 800-53 R3 (4)
CP-6 (1)
NIST SP 800-53 R3 SA-4 (7)
NIST SP 800-53 R3 CP-6 (3)
NIST
NIST SP
SP 800-53
800-53 R3
R3 SA-5
CP-7
NIST
NIST SP
SP 800-53
800-53 R3
R3 SA-5 (1)
CP-7 (1)
NIST SP 800-53 R3 SA-5 (3)
NIST SP 800-53 R3 CP-7 (2)
NIST SP 800-53 R3 SA-8
NIST SP 800-53 R3 CP-7 (3)
NIST
NIST SP
SP 800-53
800-53 R3
R3 SA-10
CP-7 (5)
NIST
NIST SP 800-53 R3
SP 800-53 R3 SA-11
CP-8
NIST
NIST SP
SP 800-53
800-53 R3
R3 SA-11 (1)
CP-8 (1)
NIST SP 800-53 R3 SA-12
NIST SP 800-53 R3 CP-8 (2)
NIST SP 800-53 R3 CP-9
NIST SP 800-53 R3 CP-9 (1)
NIST SP 800-53 R3 CP-9 (3)

NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1


NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1
NIST SP 800-53 R3 PL-1 NIST SP 800-53 R3 CM-9
NIST SP 800-53 R3 PL-2 NIST SP 800-53 R3 PL-1
NIST SP 800-53 R3 SA-1 NIST SP 800-53 R3 PL-2
NIST SP 800-53 R3 SA-3 NIST SP 800-53 R3 SA-1
NIST SP 800-53 R3 SA-4 NIST SP 800-53 R3 SA-3
NIST SP 800-53 R3 SA-4
NIST SP 800-53 R3 SA-4 (1)
NIST SP 800-53 R3 SA-4 (4)
NIST SP 800-53 R3 SA-4 (7)
NIST SP 800-53 R3 SA-4 NIST SP 800-53 R3 SA-4
NIST SP 800-53 R3 SA-5 NIST SP 800-53 R3 SA-4 (1)
NIST SP 800-53 R3 SA-9 NIST SP 800-53 R3 SA-4 (4)
NIST SP 800-53 R3 SA-4 (7)
NIST SP 800-53 R3 SA-5
NIST SP 800-53 R3 SA-5 (1)
NIST SP 800-53 R3 SA-5 (3)
NIST SP 800-53 R3 SA-8
NIST SP 800-53 R3 SA-9
NIST SP 800-53 R3 SA-9 (1)
NIST SP 800-53 R3 SA-10
NIST SP 800-53 R3 SA-11
NIST SP 800-53 R3 CM-1 NIST
NIST SP
SP 800-53
800-53 R3
R3 SA-11
CM-1 (1)
NIST SP 800-53 R3 CM-2 NIST SP 800-53 R3 CM-2
NIST SP 800-53 R3 SA-3 NIST SP 800-53 R3 CM-2 (1)
NIST SP 800-53 R3 SA-4 NIST SP 800-53 R3 CM-2 (3)
NIST SP 800-53 R3 SA-5 NIST SP 800-53 R3 CM-2 (5)
NIST SP 800-53 R3 SA-3
NIST SP 800-53 R3 SA-4
NIST SP 800-53 R3 SA-4 (1)
NIST SP 800-53 R3 SA-4 (4)
NIST SP 800-53 R3 SA-4 (7)
NIST SP 800-53 R3 SA-5
NIST SP 800-53 R3 SA-5 (1)
NIST SP 800-53 R3 SA-5 (3)
NIST SP 800-53 R3 SA-8
NIST SP 800-53 R3 SA-10
NIST SP 800-53 R3 SA-11
NIST SP 800-53 R3 SA-11 (1)
NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1
NIST SP 800-53 R3 CM-2 NIST SP 800-53 R3 CM-2
NIST SP 800-53 R3 CM-7 NIST SP 800-53 R3 CM-2 (1)
NIST SP 800-53 R3 CM-8 NIST SP 800-53 R3 CM-2 (3)
NIST SP 800-53 R3 SA-6 NIST SP 800-53 R3 CM-2 (5)
NIST SP 800-53 R3 SA-7 NIST SP 800-53 R3 CM-3
NIST SP 800-53 R3 SI-1 NIST SP 800-53 R3 CM-3 (2)
NIST SP 800-53 R3 SI-3 NIST SP 800-53 R3 CM-5
NIST SP 800-53 R3 CM-5 (1)
NIST SP 800-53 R3 CM-5 (5)
NIST SP 800-53 R3 CM-7
NIST SP 800-53 R3 CM-7 (1)
NIST SP 800-53 R3 CM-8
NIST SP 800-53 R3 CM-8 (1)
NIST SP 800-53 R3 CM-8 (3)
NIST SP 800-53 R3 CM-8 (5)
NIST SP 800-53 R3 CM-9
NIST SP 800-53 R3 SA-6
NIST SP 800-53 R3 SA-7
NIST SP 800-53 R3 SI-1
NIST SP 800-53 R3 SI-3
NIST SP 800-53 R3 SI-3 (1)
NIST SP 800-53 R3 SI-3 (2)
NIST SP 800-53 R3 SI-3 (3)
NIST SP 800-53 R3 SI-4
NIST SP 800-53 R3 SI-4 (2)
NIST SP 800-53 R3 SI-4 (4)
NIST SP 800-53 R3 SI-4 (5)
NIST SP 800-53 R3 SI-4 (6)
NIST SP 800-53 R3 SI-7
NIST SP 800-53 R3 SI-7 (1)
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CA-6 NIST SP 800-53 R3 CA-6
NIST SP 800-53 R3 CA-7 NIST SP 800-53 R3 CA-7
NIST SP 800-53 R3 CM-2 NIST SP 800-53 R3 CA-7 (2)
NIST SP 800-53 R3 CM-6 NIST SP 800-53 R3 CM-2
NIST SP 800-53 R3 PL-2 NIST SP 800-53 R3 CM-2 (1)
NIST SP 800-53 R3 PL-5 NIST SP 800-53 R3 CM-2 (3)
NIST SP 800-53 R3 SI-2 NIST SP 800-53 R3 CM-2 (5)
NIST SP 800-53 R3 CM-3
NIST SP 800-53 R3 CM-3 (2)
NIST SP 800-53 R3 CM-5
NIST SP 800-53 R3 CM-5 (1)
NIST SP 800-53 R3 CM-5 (5)
NIST SP 800-53 R3 CM-6
NIST SP 800-53 R3 CM-6 (1)
NIST SP 800-53 R3 CM-6 (3)
NIST SP 800-53 R3 CM-9
NIST SP 800-53 R3 PL-2
NIST SP 800-53 R3 PL-5
NIST SP 800-53 R3 SI-2
NIST SP 800-53 R3 SI-2 (2)
NIST SP 800-53 R3 SI-6
NIST SP 800-53 R3 SI-7
NIST SP 800-53 R3 SI-7 (1)

Article 4 (1), NIST SP 800-53 R3 RA-2 NIST SP 800-53 R3 RA-2


Article 12, Article 17 NIST SP 800-53 R3 AC-4
Article 17 NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-22
NIST SP 800-53 R3 AC-2 NIST SP 800-53 R3 AU-10
NIST SP 800-53 R3 AC-22 NIST SP 800-53 R3 AU-10 (5)
NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 SC-8
NIST SP 800-53 R3 SC-8 (1)
NIST SP 800-53 R3 SC-9
NIST SP 800-53 R3 SC-9 (1)

Article 22 NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1


Article 23 NIST SP 800-53 R3 MP-1 NIST SP 800-53 R3 AC-16
NIST SP 800-53 R3 PE-1 NIST SP 800-53 R3 MP-1
NIST SP 800-53 R3 PE-16 NIST SP 800-53 R3 MP-3
NIST SP 800-53 R3 SI-1 NIST SP 800-53 R3 PE-16
NIST SP 800-53 R3 SI-12 NIST SP 800-53 R3 SC-9
NIST SP 800-53 R3 SC-9 (1)
NIST SP 800-53 R3 SI-1
NIST SP 800-53 R3 SI-12
NIST SP 800-53 R3 SA-11
NIST SP 800-53 R3 SA-11 (1)

Article 4 NIST SP 800-53 R3 CA-2 NIST SP 800-53 R3 CA-2


NIST SP 800-53 R3 CA-2 (1) NIST SP 800-53 R3 CA-2 (1)
NIST SP 800-53 R3 PS-2 NIST SP 800-53 R3 PS-2
NIST SP 800-53 R3 RA-2 NIST SP 800-53 R3 RA-2
NIST SP 800-53 R3 SA-2 NIST SP 800-53 R3 SA-2

Article 16 NIST SP 800-53 R3 MP-6 NIST SP 800-53 R3 MP-6


Article 17 NIST SP 800-53 R3 PE-1 NIST SP 800-53 R3 MP-6 (4)
NIST SP 800-53 R3 PE-1
Article 17

Article 17 NIST SP 800-53 R3 PE-2 NIST SP 800-53 R3 PE-2


NIST SP 800-53 R3 PE-3 NIST SP 800-53 R3 PE-3
NIST SP 800-53 R3 PE-6 NIST SP 800-53 R3 PE-6
NIST SP 800-53 R3 PE-7 NIST SP 800-53 R3 PE-6 (1)
NIST SP 800-53 R3 PE-8 NIST SP 800-53 R3 PE-7
NIST SP 800-53 R3 PE-7 (1)
NIST SP 800-53 R3 PE-8
NIST SP 800-53 R3 PE-18

NIST SP 800-53 R3 IA-4 NIST SP 800-53 R3 IA-3


NIST SP 800-53 R3 IA-4
NIST SP 800-53 R3 IA-4 (4)
Article 17 NIST SP 800-53 R3 AC-17 NIST SP 800-53 R3 AC-17
NIST SP 800-53 R3 MA-1 NIST SP 800-53 R3 AC-17 (1)
NIST SP 800-53 R3 PE-1 NIST SP 800-53 R3 AC-17 (2)
NIST SP 800-53 R3 PE-16 NIST SP 800-53 R3 AC-17 (3)
NIST SP 800-53 R3 AC-17 (4)
NIST SP 800-53 R3 AC-17 (5)
NIST SP 800-53 R3 AC-17 (7)
NIST SP 800-53 R3 AC-17 (8)
NIST SP 800-53 R3 MA-1
NIST SP 800-53 R3 PE-1
NIST SP 800-53 R3 PE-16
NIST SP 800-53 R3 PE-17

Article 17 NIST SP 800-53 R3 CM-8 NIST SP 800-53 R3 CM-8


NIST SP 800-53 R3 CM-8 (1)
NIST SP 800-53 R3 CM-8 (3)
NIST SP 800-53 R3 CM-8 (5)
NIST SP 800-53 R3 SC-30

Article 17 NIST SP 800-53 R3 PE-2 NIST SP 800-53 R3 PE-2


NIST SP 800-53 R3 PE-3 NIST SP 800-53 R3 PE-3
NIST SP 800-53 R3 PE-6 NIST SP 800-53 R3 PE-4
NIST SP 800-53 R3 PE-5
NIST SP 800-53 R3 PE-6
NIST SP 800-53 R3 PE-6 (1)
Article 17 NIST SP 800-53 R3 PE-7 NIST SP 800-53 R3 PE-7
NIST SP 800-53 R3 PE-16 NIST SP 800-53 R3 PE-7 (1)
NIST SP 800-53 R3 PE-16
NIST SP 800-53 R3 PE-18

Article 17 NIST SP 800-53 R3 MA-1 NIST SP 800-53 R3 MA-1


NIST SP 800-53 R3 MA-2 NIST SP 800-53 R3 MA-2
NIST SP 800-53 R3 PE-16 NIST SP 800-53 R3 MA-2 (1)
NIST SP 800-53 R3 PE-16

Article 17 NIST SP 800-53 R3 PE-2 NIST SP 800-53 R3 PE-2


NIST SP 800-53 R3 PE-3 NIST SP 800-53 R3 PE-3
NIST SP 800-53 R3 PE-6 NIST SP 800-53 R3 PE-6
NIST SP 800-53 R3 PE-6 (1)
NIST SP 800-53 R3 PE-18
Article 17 NIST SP 800-53 R3 SC-12 NIST SP 800-53 R3 SC-12
NIST SP 800-53 R3 SC-13 NIST SP 800-53 R3 SC-12 (2)
NIST SP 800-53 R3 SC-12 (5)
NIST SP 800-53 R3 SC-13
NIST SP 800-53 R3 SC-13 (1)
NIST SP 800-53 R3 SC-17

Article 17 NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-18


NIST SP 800-53 R3 AC-18 NIST SP 800-53 R3 AC-18 (1)
NIST SP 800-53 R3 IA-7 NIST SP 800-53 R3 AC-18 (2)
NIST SP 800-53 R3 SC-1 NIST SP 800-53 R3 IA-7
NIST SP 800-53 R3 SC-7 NIST SP 800-53 R3 SC-7
NIST SP 800-53 R3 SC-13 NIST SP 800-53 R3 SC-7 (4)
NIST SP 800-53 R3 SC-8
NIST SP 800-53 R3 SC-8 (1)
NIST SP 800-53 R3 SC-9
NIST SP 800-53 R3 SC-9 (1)
NIST SP 800-53 R3 SC-13
NIST SP 800-53 R3 SC-13 (1)
NIST SP 800-53 R3 SC-23
NIST SP 800-53 R3 SC-28
NIST SP 800-53 R3 SI-8
NIST SP 800-53 R3 SC-23
NIST SP 800-53 R3 SC-28
NIST SP 800-53 R3 SI-8

Article 17 NIST SP 800-53 R3 CM-2 NIST SP 800-53 R3 CM-2


NIST SP 800-53 R3 SA-2 NIST SP 800-53 R3 CM-2 (1)
NIST SP 800-53 R3 SA-4 NIST SP 800-53 R3 CM-2 (3)
NIST SP 800-53 R3 CM-2 (5)
NIST SP 800-53 R3 SA-2
NIST SP 800-53 R3 SA-4
NIST SP 800-53 R3 SA-4 (1)
NIST SP 800-53 R3 SA-4 (4)
NIST SP 800-53 R3 SA-4 (7)
NIST SP 800-53 R3 SC-30
NIST SP 800-53 R3 SA-4 (1)
NIST SP 800-53 R3 SA-4 (4)
NIST SP 800-53 R3 SA-4 (7)
NIST SP 800-53 R3 SC-30

Article 6, Article 8, Article 17 NIST SP 800-53 R3 CA-3 NIST SP 800-53 R3 CA-3


(1) NIST SP 800-53 R3 RA-2 NIST SP 800-53 R3 RA-2
NIST SP 800-53 R3 RA-3 NIST SP 800-53 R3 RA-3
NIST SP 800-53 R3 SI-12 NIST SP 800-53 R3 SI-12
NIST SP 800-53 R3 AT-2 NIST SP 800-53 R3 AT-2
NIST SP 800-53 R3 AT-3 NIST SP 800-53 R3 AT-3
NIST SP 800-53 R3 AT-4 NIST SP 800-53 R3 AT-4
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CA-5 NIST SP 800-53 R3 CA-5
NIST SP 800-53 R3 CA-6 NIST SP 800-53 R3 CA-6
NIST SP 800-53 R3 CA-7 NIST SP 800-53 R3 CA-7
NIST SP 800-53 R3 CA-7 (2)

Article 17
Article 17 NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1

Article 17 NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1


NIST SP 800-53 R3 AT-1 NIST SP 800-53 R3 AT-1
NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AU-1
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1
NIST SP 800-53 R3 IA-1 NIST SP 800-53 R3 IA-1
NIST SP 800-53 R3 IR-1 NIST SP 800-53 R3 IR-1
NIST SP 800-53 R3 MA-1 NIST SP 800-53 R3 MA-1
NIST SP 800-53 R3 MP-1 NIST SP 800-53 R3 MP-1
NIST SP 800-53 R3 PE-1 NIST SP 800-53 R3 PE-1
NIST SP 800-53 R3 PL-1 NIST SP 800-53 R3 PL-1
NIST SP 800-53 R3 PS-1 NIST SP 800-53 R3 PS-1
NIST SP 800-53 R3 SA-1 NIST SP 800-53 R3 SA-1
NIST SP 800-53 R3 SC-1 NIST SP 800-53 R3 SC-1
NIST SP 800-53 R3 SI-1 NIST SP 800-53 R3 SI-1

Article 17 NIST SP 800-53 R3 PL-4 NIST SP 800-53 R3 PL-4


NIST SP 800-53 R3 PS-1 NIST SP 800-53 R3 PS-1
NIST SP 800-53 R3 PS-8 NIST SP 800-53 R3 PS-8
Article 17 (1), (2) NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1
NIST SP 800-53 R3 AT-1 NIST SP 800-53 R3 AT-1
NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AU-1
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1
NIST SP 800-53 R3 CP-1 NIST SP 800-53 R3 CP-1
NIST SP 800-53 R3 IA-1 NIST SP 800-53 R3 IA-1
NIST SP 800-53 R3 IR-1 NIST SP 800-53 R3 IR-1
NIST SP 800-53 R3 MA-1 NIST SP 800-53 R3 MA-1
NIST SP 800-53 R3 MP-1 NIST SP 800-53 R3 MP-1
NIST SP 800-53 R3 PE-1 NIST SP 800-53 R3 PE-1
NIST SP 800-53 R3 PL-1 NIST SP 800-53 R3 PL-1
NIST SP 800-53 R3 PS-1 NIST SP 800-53 R3 PS-1
NIST SP 800-53 R3 RA-1 NIST SP 800-53 R3 RA-1
NIST SP 800-53 R3 RA-3 NIST SP 800-53 R3 RA-3
NIST SP 800-53 R3 SC-1 NIST SP 800-53 R3 SC-1
NIST SP 800-53 R3 SI-1 NIST SP 800-53 R3 SI-1

Article 17 NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1


NIST SP 800-53 R3 AT-1 NIST SP 800-53 R3 AT-1
NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AU-1
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1
NIST SP 800-53 R3 CP-1 NIST SP 800-53 R3 CP-1
NIST SP 800-53 R3 IA-1 NIST SP 800-53 R3 IA-1
NIST SP 800-53 R3 IA-5 NIST SP 800-53 R3 IA-5
NIST SP 800-53 R3 IA-5 (1) NIST SP 800-53 R3 IA-5 (1)
NIST SP 800-53 R3 IR-1 NIST SP 800-53 R3 IA-5 (2)
NIST SP 800-53 R3 MA-1 NIST SP 800-53 R3 IA-5 (3)
NIST SP 800-53 R3 MP-1 NIST SP 800-53 R3 IA-5 (6)
NIST SP 800-53 R3 PE-1 NIST SP 800-53 R3 IA-5 (7)
NIST SP 800-53 R3 PL-1 NIST SP 800-53 R3 IR-1
NIST SP 800-53 R3 PS-1 NIST SP 800-53 R3 MA-1
NIST SP 800-53 R3 RA-1 NIST SP 800-53 R3 MP-1
NIST SP 800-53 R3 SA-1 NIST SP 800-53 R3 PE-1
NIST SP 800-53 R3 SC-1 NIST SP 800-53 R3 PL-1
NIST SP 800-53 R3 SI-1 NIST SP 800-53 R3 PS-1
NIST SP 800-53 R3 RA-1
NIST SP 800-53 R3 SA-1
NIST SP 800-53 R3 SC-1
NIST SP 800-53 R3 SI-1
NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1
NIST SP 800-53 R3 CP-1 NIST SP 800-53 R3 CP-1
NIST SP 800-53 R3 IA-1 NIST SP 800-53 R3 IA-1
NIST SP 800-53 R3 IA-5 NIST SP 800-53 R3 IA-5
NIST SP 800-53 R3 IA-5 (1) NIST SP 800-53 R3 IA-5 (1)
NIST SP 800-53 R3 IR-1 NIST SP 800-53 R3 IA-5 (2)
NIST SP 800-53 R3 MA-1 NIST SP 800-53 R3 IA-5 (3)
NIST SP 800-53 R3 MP-1 NIST SP 800-53 R3 IA-5 (6)
NIST SP 800-53 R3 PE-1 NIST SP 800-53 R3 IA-5 (7)
NIST SP 800-53 R3 PL-1 NIST SP 800-53 R3 IR-1
NIST SP 800-53 R3 PS-1 NIST SP 800-53 R3 MA-1
NIST SP 800-53 R3 RA-1 NIST SP 800-53 R3 MP-1
NIST SP 800-53 R3 SA-1 NIST SP 800-53 R3 PE-1
NIST SP 800-53 R3 SC-1 NIST SP 800-53 R3 PL-1
NIST SP 800-53 R3 SI-1 NIST SP 800-53 R3 PS-1
NIST SP 800-53 R3 RA-1
NIST SP 800-53 R3 SA-1
NIST SP 800-53 R3 SC-1
NIST SP 800-53 R3 SI-1

Article 17 (1), (2) NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 RA-1


NIST SP 800-53 R3 RA-1 NIST SP 800-53 R3 RA-2
NIST SP 800-53 R3 RA-2 NIST SP 800-53 R3 RA-3
NIST SP 800-53 R3 RA-3 NIST SP 800-53 R3 SC-30

Article 17 (1), (2) NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1


NIST SP 800-53 R3 AT-1 NIST SP 800-53 R3 AT-1
NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AU-1
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CA-6 NIST SP 800-53 R3 CA-6
NIST SP 800-53 R3 CA-7 NIST SP 800-53 R3 CA-7
NIST SP 800-53 R3 PL-1 NIST SP 800-53 R3 PL-1
Article 17 PS-4
NIST SP 800-53 R3 RA-1 PS-4
NIST SP 800-53 R3 RA-1
NIST SP 800-53 R3 RA-2 NIST SP 800-53 R3 RA-2
NIST SP 800-53 R3 RA-3 NIST SP 800-53 R3 RA-3
NIST SP 800-53 R3 SA-9 (1)
NIST SP 800-53 R3 SC-30
NIST SP 800-53 R3 SI-4
NIST SP 800-53 R3 SI-4 (2)
NIST SP 800-53 R3 SI-4 (4)
NIST SP 800-53 R3 SI-4 (5)
NIST SP 800-53 R3 SI-4 (6)
NIST SP 800-53 R3 CM-1
Article 17 NIST SP 800-53 R3 PS-2 NIST SP 800-53 R3 PS-2
NIST SP 800-53 R3 PS-3 NIST SP 800-53 R3 PS-3

Article 17 NIST SP 800-53 R3 PS-1 NIST SP 800-53 R3 PS-1


NIST SP 800-53 R3 PS-2 NIST SP 800-53 R3 PS-2
NIST SP 800-53 R3 PS-6 NIST SP 800-53 R3 PS-6
NIST SP 800-53 R3 PS-7 NIST SP 800-53 R3 PS-7

Article 17 NIST SP 800-53 R3 PS-2 NIST SP 800-53 R3 PS-2


NIST SP 800-53 R3 PS-4 NIST SP 800-53 R3 PS-4
NIST SP 800-53 R3 PS-5 NIST SP 800-53 R3 PS-5
NIST SP 800-53 R3 PS-6 NIST SP 800-53 R3 PS-6
NIST SP 800-53 R3 PS-8 NIST SP 800-53 R3 PS-8
Article 17 NIST SP 800-53 R3 AC-17 NIST SP 800-53 R3 AC-17
NIST SP 800-53 R3 AC-18 NIST SP 800-53 R3 AC-17 (1)
NIST SP 800-53 R3 AC-19 NIST SP 800-53 R3 AC-17 (2)
NIST SP 800-53 R3 MP-2 NIST SP 800-53 R3 AC-17 (3)
NIST SP 800-53 R3 MP-6 NIST SP 800-53 R3 AC-17 (4)
NIST SP 800-53 R3 AC-17 (5)
NIST SP 800-53 R3 AC-17 (7)
NIST SP 800-53 R3 AC-17 (8)
NIST SP 800-53 R3 AC-18
NIST SP 800-53 R3 AC-18 (1)
NIST SP 800-53 R3 AC-18 (2)
NIST SP 800-53 R3 AC-19
NIST SP 800-53 R3 AC-19 (1)
NIST SP 800-53 R3 AC-19 (2)
NIST SP 800-53 R3 AC-19 (3)
NIST SP 800-53 R3 MP-2
NIST SP 800-53 R3 MP-2 (1)
NIST SP 800-53 R3 MP-4
NIST SP 800-53 R3 MP-4 (1)
NIST SP 800-53 R3 MP-6
NIST SP 800-53 R3 MP-6 (4)

Article 16 NIST SP 800-53 R3 PL-4 NIST SP 800-53 R3 PL-4


NIST SP 800-53 R3 PS-6 NIST SP 800-53 R3 PS-6
NIST SP 800-53 R3 SA-9 NIST SP 800-53 R3 SA-9
NIST SP 800-53 R3 SA-9 (1)
Article 17 NIST SP 800-53 R3 PL-4 NIST SP 800-53 R3 PL-4
NIST SP 800-53 R3 PS-1 NIST SP 800-53 R3 PS-1
NIST SP 800-53 R3 PS-2 NIST SP 800-53 R3 PS-2
NIST SP 800-53 R3 PS-6 NIST SP 800-53 R3 PS-6
NIST SP 800-53 R3 PS-7 NIST SP 800-53 R3 PS-7

Article 5, Article 6 NIST SP 800-53 R3 AC-2 NIST SP 800-53 R3 AC-8


Article 7 NIST SP 800-53 R3 AC-8 NIST SP 800-53 R3 AC-20
NIST SP 800-53 R3 AC-20 NIST SP 800-53 R3 AC-20 (1)
NIST SP 800-53 R3 PL-4 NIST SP 800-53 R3 AC-20 (2)
NIST SP 800-53 R3 PL-4

NIST SP 800-53 R3 AT-1 NIST SP 800-53 R3 AT-1


NIST SP 800-53 R3 AT-2 NIST SP 800-53 R3 AT-2
NIST SP 800-53 R3 AT-3 NIST SP 800-53 R3 AT-3
NIST SP 800-53 R3 AT-4 NIST SP 800-53 R3 AT-4

Article 17 NIST SP 800-53 R3 AT-2 NIST SP 800-53 R3 AT-2


NIST SP 800-53 R3 AT-3 NIST SP 800-53 R3 AT-3
NIST SP 800-53 R3 AT-4 NIST SP 800-53 R3 AT-4
NIST SP 800-53 R3 PL-4 NIST SP 800-53 R3 PL-4
NIST SP 800-53 R3 AT-4 NIST SP 800-53 R3 AT-4
NIST SP 800-53 R3 PL-4 NIST SP 800-53 R3 PL-4

NIST SP 800-53 R3 MP-1 NIST SP 800-53 R3 AC-11


NIST SP 800-53 R3 MP-2 NIST SP 800-53 R3 MP-1
NIST SP 800-53 R3 MP-2
NIST SP 800-53 R3 MP-2 (1)
NIST SP 800-53 R3 MP-3
NIST SP 800-53 R3 MP-4
NIST SP 800-53 R3 MP-4 (1)

NIST SP 800-53 R3 AU-9 NIST SP 800-53 R3 AU-9


NIST SP 800-53 R3 AU-9 (2)
Article 17 NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1
NIST SP 800-53 R3 AC-7 NIST SP 800-53 R3 AC-7
NIST SP 800-53 R3 AC-14 NIST SP 800-53 R3 AC-10
NIST SP 800-53 R3 IA-1 NIST SP 800-53 R3 AC-14
NIST SP 800-53 R3 IA-1
NIST SP 800-53 R3 CM-7 NIST SP 800-53 R3 AC-1
NIST SP 800-53 R3 MA-4 NIST SP 800-53 R3 AC-2
NIST SP 800-53 R3 MA-5 NIST SP 800-53 R3 AC-2 (1)
NIST SP 800-53 R3 AC-2 (2)
NIST SP 800-53 R3 AC-2 (3)
NIST SP 800-53 R3 AC-2 (4)
NIST SP 800-53 R3 AC-2 (7)
NIST SP 800-53 R3 AC-5
NIST SP 800-53 R3 AC-6
NIST SP 800-53 R3 AC-6 (1)
NIST SP 800-53 R3 AC-6 (2)
NIST SP 800-53 R3 AU-1
NIST SP 800-53 R3 AU-2
NIST SP 800-53 R3 AU-6
NIST SP 800-53 R3 AU-6 (1)
NIST SP 800-53 R3 AU-6 (3)
NIST SP 800-53 R3 SI-4
NIST SP 800-53 R3 SI-4 (2)
NIST SP 800-53 R3 SI-4 (4)
NIST SP 800-53 R3 SI-4 (5)
NIST SP 800-53 R3 SI-4 (6)
Article 17 NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1
NIST SP 800-53 R3 AC-2 NIST SP 800-53 R3 AC-2
NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AC-2 (1)
NIST SP 800-53 R3 AU-2 NIST SP 800-53 R3 AC-2 (2)
NIST SP 800-53 R3 AU-6 NIST SP 800-53 R3 AC-2 (3)
NIST SP 800-53 R3 AC-2 (4)
NIST SP 800-53 R3 AC-2 (7)
NIST SP 800-53 R3 AC-5
NIST SP 800-53 R3 AC-6
NIST SP 800-53 R3 AC-6 (1)
NIST SP 800-53 R3 AC-6 (2)
NIST SP 800-53 R3 AU-1
NIST SP 800-53 R3 AU-2
NIST SP 800-53 R3 AU-6
NIST SP 800-53 R3 AU-6 (1)
NIST SP 800-53 R3 AU-6 (3)
NIST SP 800-53 R3 SI-4
NIST SP 800-53 R3 SI-4 (2)
NIST SP 800-53 R3 SI-4 (4)
NIST SP 800-53 R3 SI-4 (5)
NIST SP 800-53 R3 SI-4 (6)

Article 17 NIST SP 800-53 R3 CM-5


NIST SP 800-53 R3 CM-5 (1)
NIST SP 800-53 R3 CM-5 (5)
Article 17 (1), (2) NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1
NIST SP 800-53 R3 AT-1 NIST SP 800-53 R3 AT-1
NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AU-1
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1
NIST SP 800-53 R3 CP-1 NIST SP 800-53 R3 CP-1
NIST SP 800-53 R3 IA-1 NIST SP 800-53 R3 IA-1
NIST SP 800-53 R3 IA-5 NIST SP 800-53 R3 IA-4
NIST SP 800-53 R3 IA-5 (1) NIST SP 800-53 R3 IA-5
NIST SP 800-53 R3 IR-1 NIST SP 800-53 R3 IA-5 (1)
NIST SP 800-53 R3 MA-1 NIST SP 800-53 R3 IA-5 (2)
NIST SP 800-53 R3 MP-1 NIST SP 800-53 R3 IA-5 (3)
NIST SP 800-53 R3 PE-1 NIST SP 800-53 R3 IA-5 (6)
NIST SP 800-53 R3 PL-1 NIST SP 800-53 R3 IA-5 (7)
NIST SP 800-53 R3 PS-1 NIST SP 800-53 R3 IA-8
NIST SP 800-53 R3 RA-1 NIST SP 800-53 R3 IR-1
NIST SP 800-53 R3 SA-1 NIST SP 800-53 R3 MA-1
NIST SP 800-53 R3 SC-1 NIST SP 800-53 R3 MP-1
NIST SP 800-53 R3 SI-1 NIST SP 800-53 R3 PE-1
NIST SP 800-53 R3 PL-1
NIST SP 800-53 R3 PS-1
NIST SP 800-53 R3 RA-1
NIST SP 800-53 R3 SA-1
NIST SP 800-53 R3 SC-1
NIST SP 800-53 R3 SI-1
Article 17 NIST SP 800-53 R3 AC-3 NIST SP 800-53 R3 AC-3
NIST SP 800-53 R3 IA-2 NIST SP 800-53 R3 AC-3 (3)
NIST SP 800-53 R3 IA-2 (1) NIST SP 800-53 R3 AC-5
NIST SP 800-53 R3 IA-4 NIST SP 800-53 R3 AC-6
NIST SP 800-53 R3 IA-5 NIST SP 800-53 R3 AC-6 (1)
NIST SP 800-53 R3 IA-5 (1) NIST SP 800-53 R3 AC-6 (2)
NIST SP 800-53 R3 IA-8 NIST SP 800-53 R3 IA-2
NIST SP 800-53 R3 MA-5 NIST SP 800-53 R3 IA-2 (1)
NIST SP 800-53 R3 PS-6 NIST SP 800-53 R3 IA-2 (2)
NIST SP 800-53 R3 SA-7 NIST SP 800-53 R3 IA-2 (3)
NIST SP 800-53 R3 IA-2 (8)
NIST SP 800-53 R3 IA-4
NIST SP 800-53 R3 IA-4 (4)
NIST SP 800-53 R3 IA-5
NIST SP 800-53 R3 IA-5 (1)
NIST SP 800-53 R3 IA-5 (2)
NIST SP 800-53 R3 IA-5 (3)
Article 17 NIST SP 800-53 R3 AC-2 NIST
NIST SP
SP 800-53
800-53 R3
R3 IA-5
AC-2(6)
NIST SP 800-53 R3 AU-6 NIST SP 800-53 R3 AC-2 (1)
NIST SP 800-53 R3 PS-6 NIST SP 800-53 R3 AC-2 (2)
NIST SP 800-53 R3 PS-7 NIST SP 800-53 R3 AC-2 (3)
NIST SP 800-53 R3 AC-2 (4)
NIST SP 800-53 R3 AC-2 (7)
NIST SP 800-53 R3 AU-6
NIST SP 800-53 R3 AU-6 (1)
NIST SP 800-53 R3 AU-6 (3)
NIST SP 800-53 R3 PS-6
NIST SP 800-53 R3 PS-7
Article 17 NIST SP 800-53 R3 AC-2 NIST SP 800-53 R3 AC-2
NIST SP 800-53 R3 PS-4 NIST SP 800-53 R3 AC-2 (1)
NIST SP 800-53 R3 PS-5 NIST SP 800-53 R3 AC-2 (2)
NIST SP 800-53 R3 AC-2 (3)
NIST SP 800-53 R3 AC-2 (4)
NIST SP 800-53 R3 AC-2 (7)
NIST SP 800-53 R3 PS-4
NIST SP 800-53 R3 PS-5
NIST SP 800-53 R3 SC-30

Article 17 (1), (2) NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1


NIST SP 800-53 R3 AC-2 NIST SP 800-53 R3 AC-2
NIST SP 800-53 R3 AC-3 NIST SP 800-53 R3 AC-3
NIST SP 800-53 R3 AU-2 NIST SP 800-53 R3 AC-11
NIST SP 800-53 R3 AU-11 NIST SP 800-53 R3 AC-11 (1)
NIST SP 800-53 R3 IA-1 NIST SP 800-53 R3 AU-2
NIST SP 800-53 R3 IA-2 NIST SP 800-53 R3 AU-2 (3)
NIST SP 800-53 R3 IA-2 (1) NIST SP 800-53 R3 AU-2 (4)
NIST SP 800-53 R3 IA-5 NIST SP 800-53 R3 AU-11
NIST SP 800-53 R3 IA-5 (1) NIST SP 800-53 R3 IA-1
NIST SP 800-53 R3 IA-6 NIST SP 800-53 R3 IA-2
NIST SP 800-53 R3 IA-8 NIST SP 800-53 R3 IA-2 (1)
NIST SP 800-53 R3 IA-2 (2)
NIST SP 800-53 R3 IA-2 (3)
NIST SP 800-53 R3 IA-2 (8)
NIST SP 800-53 R3 IA-5
NIST SP 800-53 R3 IA-5 (1)
NIST SP 800-53 R3 IA-5 (2)
NIST SP 800-53 R3 IA-5 (3)
NIST SP 800-53 R3 IA-5 (6)
NIST SP 800-53 R3 IA-5 (7)
NIST SP 800-53 R3 IA-6
NIST SP 800-53 R3 IA-8
NIST SP 800-53 R3 SC-10
NIST SP 800-53 R3 CM-7 NIST SP 800-53 R3 AC-6
NIST SP 800-53 R3 AC-6 (1)
NIST SP 800-53 R3 AC-6 (2)
NIST SP 800-53 R3 CM-7
NIST SP 800-53 R3 CM-7 (1)

Article 17 NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AU-1


NIST SP 800-53 R3 AU-2 NIST SP 800-53 R3 AU-8
NIST SP 800-53 R3 AU-3 NIST SP 800-53 R3 AU-8 (1)
NIST SP 800-53 R3 AU-4
NIST SP 800-53 R3 AU-5
NIST SP 800-53 R3 AU-6
NIST SP 800-53 R3 AU-9
NIST SP 800-53 R3 AU-11
NIST SP 800-53 R3 AU-12
NIST SP 800-53 R3 PE-2
NIST SP 800-53 R3 PE-3
NIST SP 800-53 R3 AU-5
NIST SP 800-53 R3 AU-6
NIST SP 800-53 R3 AU-9
NIST SP 800-53 R3 AU-11
NIST SP 800-53 R3 AU-12
NIST SP 800-53 R3 PE-2
NIST SP 800-53 R3 PE-3

NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AU-1


NIST SP 800-53 R3 AU-8 NIST SP 800-53 R3 AU-8
NIST SP 800-53 R3 AU-8 (1)

Article 17 (1) NIST SP 800-53 R3 SA-4 NIST SP 800-53 R3 SA-4


NIST SP 800-53 R3 SA-4 (1)
NIST SP 800-53 R3 SA-4 (4)
NIST SP 800-53 R3 SA-4 (7)
Article 17 NIST SP 800-53 R3 CM-7 NIST SP 800-53 R3 CM-7
NIST SP 800-53 R3 SC-7 NIST SP 800-53 R3 CM-7 (1)
NIST SP 800-53 R3 SC-20 NIST SP 800-53 R3 SC-7
(1) NIST SP 800-53 R3 SC-7 (1)
NIST SP 800-53 R3 SC-7 (2)
NIST SP 800-53 R3 SC-7 (3)
NIST SP 800-53 R3 SC-7 (4)
NIST SP 800-53 R3 SC-7 (5)
NIST SP 800-53 R3 SC-7 (7)
NIST SP 800-53 R3 SC-7 (8)
NIST SP 800-53 R3 SC-7 (12)
NIST SP 800-53 R3 SC-7 (13)
NIST SP 800-53 R3 SC-7 (18)

NIST SP 800-53 R3 SC-2


Article 17 NIST SP 800-53 R3 SC-7 NIST SP 800-53 R3 AC-4
NIST SP 800-53 R3 SC-2
NIST SP 800-53 R3 SC-7
NIST SP 800-53 R3 SC-7 (1)
NIST SP 800-53 R3 SC-7 (2)
NIST SP 800-53 R3 SC-7 (3)
NIST SP 800-53 R3 SC-7 (4)
NIST SP 800-53 R3 SC-7 (5)
NIST SP 800-53 R3 SC-7 (7)
NIST SP 800-53 R3 SC-7 (8)
NIST SP 800-53 R3 SC-7 (12)
NIST SP 800-53 R3 SC-7 (13)
NIST SP 800-53 R3 SC-7 (18)
Article 17 NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1
NIST SP 800-53 R3 AC-18 NIST SP 800-53 R3 AC-18
NIST SP 800-53 R3 CM-6 NIST SP 800-53 R3 AC-18 (1)
NIST SP 800-53 R3 SC-7 NIST SP 800-53 R3 AC-18 (2)
NIST SP 800-53 R3 CM-6
NIST SP 800-53 R3 CM-6 (1)
NIST SP 800-53 R3 CM-6 (3)
NIST SP 800-53 R3 PE-4
NIST SP 800-53 R3 SC-7
NIST SP 800-53 R3 SC-7 (1)
NIST SP 800-53 R3 SC-7 (2)
NIST SP 800-53 R3 SC-7 (3)
NIST SP 800-53 R3 SC-7 (4)
NIST SP 800-53 R3 SC-7 (5)
NIST SP 800-53 R3 SC-7 (7)
NIST SP 800-53 R3 SC-7 (8)
NIST SP 800-53 R3 SC-7 (12)
NIST SP 800-53 R3 SC-7 (13)
NIST SP 800-53 R3 SC-7 (18)

Article 17 NIST SP 800-53 R3 CM-7 NIST SP 800-53 R3 CM-7


NIST SP 800-53 R3 SC-7 NIST SP 800-53 R3 CM-7 (1)
NIST SP 800-53 R3 SC-20 NIST SP 800-53 R3 SC-7
(1) NIST SP 800-53 R3 SC-7 (1)
NIST SP 800-53 R3 SC-7 (2)
NIST SP 800-53 R3 SC-7 (3)
NIST SP 800-53 R3 SC-7 (4)
NIST SP 800-53 R3 SC-7 (5)
NIST SP 800-53 R3 SC-7 (7)
NIST SP 800-53 R3 SC-7 (8)
NIST SP 800-53 R3 SC-7 (12)
NIST SP 800-53 R3 SC-7 (13)
NIST SP 800-53 R3 SC-7 (18)
NIST SP 800-53 R3 SC-20 (1)
NIST SP 800-53 R3 SC-21
Article 17 NIST SP 800-53 R3 IR-1 NIST SP 800-53 R3 IR-1
NIST SP 800-53 R3 IR-2 NIST SP 800-53 R3 IR-2
NIST SP 800-53 R3 IR-4 NIST SP 800-53 R3 IR-3
NIST SP 800-53 R3 IR-5 NIST SP 800-53 R3 IR-4
NIST SP 800-53 R3 IR-6 NIST SP 800-53 R3 IR-4 (1)
NIST SP 800-53 R3 IR-7 NIST SP 800-53 R3 IR-5
NIST SP 800-53 R3 IR-7
NIST SP 800-53 R3 IR-7 (1)
NIST SP 800-53 R3 IR-7 (2)
NIST SP 800-53 R3 IR-8

Article 17 NIST SP 800-53 R3 IR-2 NIST SP 800-53 R3 IR-2


NIST SP 800-53 R3 IR-6 NIST SP 800-53 R3 IR-6
NIST SP 800-53 R3 IR-7 NIST SP 800-53 R3 IR-6 (1)
NIST SP 800-53 R3 SI-5 NIST SP 800-53 R3 IR-7
NIST SP 800-53 R3 IR-7 (1)
NIST SP 800-53 R3 IR-7 (2)
NIST SP 800-53 R3 SI-4
NIST SP 800-53 R3 SI-4 (2)
NIST SP 800-53 R3 SI-4 (4)
NIST SP 800-53 R3 SI-4 (5)
NIST SP 800-53 R3 SI-4 (6)
NIST SP 800-53 R3 SI-5

NIST SP 800-53 R3 AU-6 NIST SP 800-53 R3 AU-6


NIST SP 800-53 R3 AU-9 NIST SP 800-53 R3 AU-6 (1)
NIST SP 800-53 R3 AU-11 NIST SP 800-53 R3 AU-6 (3)
NIST SP 800-53 R3 IR-5 NIST SP 800-53 R3 AU-7
NIST SP 800-53 R3 IR-7 NIST SP 800-53 R3 AU-7 (1)
NIST SP 800-53 R3 IR-8 NIST SP 800-53 R3 AU-9
NIST SP 800-53 R3 AU-9 (2)
NIST SP 800-53 R3 AU-10
NIST SP 800-53 R3 AU-10 (5)
NIST SP 800-53 R3 AU-11
NIST SP 800-53 R3 IR-5
NIST SP 800-53 R3 IR-7
NIST SP 800-53 R3 AU-6 NIST SP 800-53 R3 AU-6
NIST SP 800-53 R3 AU-9 NIST SP 800-53 R3 AU-6 (1)
NIST SP 800-53 R3 AU-11 NIST SP 800-53 R3 AU-6 (3)
NIST SP 800-53 R3 IR-5 NIST SP 800-53 R3 AU-7
NIST SP 800-53 R3 IR-7 NIST SP 800-53 R3 AU-7 (1)
NIST SP 800-53 R3 IR-8 NIST SP 800-53 R3 AU-9
NIST SP 800-53 R3 AU-9 (2)
NIST SP 800-53 R3 AU-10
NIST SP 800-53 R3 AU-10 (5)
NIST SP 800-53 R3 AU-11
NIST SP 800-53 R3 IR-5
NIST SP 800-53 R3 IR-7
NIST SP 800-53 R3 IR-7 (1)
NIST SP 800-53 R3 IR-7 (2)
NIST SP 800-53 R3 IR-8
NIST SP 800-53 R3 MP-5
NIST SP 800-53 R3 MP-5 (2)
NIST SP 800-53 R3 MP-5 (4)

NIST SP 800-53 R3 IR-4 NIST SP 800-53 R3 IR-4


NIST SP 800-53 R3 IR-5 NIST SP 800-53 R3 IR-4 (1)
NIST SP 800-53 R3 IR-8 NIST SP 800-53 R3 IR-5
NIST SP 800-53 R3 IR-8

Article 17 NIST SP 800-53 R3 CA-3 NIST SP 800-53 R3 CA-3


NIST SP 800-53 R3 SA-9 NIST SP 800-53 R3 CP-6
NIST SP 800-53 R3 CP-6 (1)
NIST SP 800-53 R3 CP-6 (3)
NIST SP 800-53 R3 CP-7
NIST SP 800-53 R3 CP-7 (1)
NIST SP 800-53 R3 CP-7 (2)
Article 17 (3) NIST SP 800-53 R3 CA-3 NIST SP 800-53 R3 CA-3
NIST SP 800-53 R3 PS-7 NIST SP 800-53 R3 MP-5
NIST SP 800-53 R3 SA-6 NIST SP 800-53 R3 MP-5 (2)
NIST SP 800-53 R3 SA-7 NIST SP 800-53 R3 MP-5 (4)
NIST SP 800-53 R3 SA-9 NIST SP 800-53 R3 PS-7
NIST SP 800-53 R3 SA-6
NIST SP 800-53 R3 SA-7
NIST SP 800-53 R3 SA-9
NIST SP 800-53 R3 SA-9 (1)
NIST SP 800-53 R3 AC-1 NIST SP 800-53 R3 AC-1
NIST SP 800-53 R3 AT-1 NIST SP 800-53 R3 AT-1
NIST SP 800-53 R3 AU-1 NIST SP 800-53 R3 AU-1
NIST SP 800-53 R3 CA-1 NIST SP 800-53 R3 CA-1
NIST SP 800-53 R3 CM-1 NIST SP 800-53 R3 CM-1
NIST SP 800-53 R3 CP-1 NIST SP 800-53 R3 CP-1
NIST SP 800-53 R3 IA-1 NIST SP 800-53 R3 IA-1
NIST SP 800-53 R3 IA-7 NIST SP 800-53 R3 IA-7
NIST SP 800-53 R3 IR-1 NIST SP 800-53 R3 IR-1
NIST SP 800-53 R3 MA-1 NIST SP 800-53 R3 MA-1
Article 17 NIST SP 800-53 R3 SC-5 NIST SP 800-53 R3 SC-5
NIST SP 800-53 R3 SI-3 NIST SP 800-53 R3 SI-3
NIST SP 800-53 R3 SI-5 NIST SP 800-53 R3 SI-3 (1)
NIST SP 800-53 R3 SI-3 (2)
NIST SP 800-53 R3 SI-3 (3)
NIST SP 800-53 R3 SI-5
NIST SP 800-53 R3 SI-7
NIST SP 800-53 R3 SI-7 (1)
NIST SP 800-53 R3 SI-8

Article 17 NIST SP 800-53 R3 CM-4 NIST SP 800-53 R3 CM-3


NIST SP 800-53 R3 RA-5 NIST SP 800-53 R3 CM-3 (2)
NIST SP 800-53 R3 SI-1 NIST SP 800-53 R3 CM-4
NIST SP 800-53 R3 SI-2 NIST SP 800-53 R3 RA-5
NIST SP 800-53 R3 SI-5 NIST SP 800-53 R3 RA-5 (1)
NIST SP 800-53 R3 RA-5 (2)
NIST SP 800-53 R3 RA-5 (3)
NIST SP 800-53 R3 RA-5 (6)
NIST SP 800-53 R3 RA-5 (9)
NIST SP 800-53 R3 SC-30
NIST SP 800-53 R3 SI-1
NIST SP 800-53 R3 SI-2
NIST SP 800-53 R3 SI-2 (2)
NIST SP 800-53 R3 SI-4
NIST SP 800-53 R3 SI-5
Article 17
ping

GAPP HIPAA/HITECH ISO/IEC ISO/IEC


FERPA ITAR
(Aug 2009) (Omnibus Rule) 27001:2005 27001:2013

1.2.6 45 CFR A.11.5.6 A9.4.2


164.312(e)(2)(i) A.11.6.1 A9.4.1,
A.12.2.1 8.1*Partial,
A.12.2.2 A14.2.3,
A.12.2.3 8.1*partial,
A.12.2.4 A.14.2.7
A.12.5.2 A12.6.1,
A.12.5.4 A18.2.2
A.12.5.5
A.12.6.1
A.15.2.1
1.2.2 A.6.2.1 A9.1.1.
1.2.6 A.6.2.2
6.2.1 A.11.1.1
6.2.2
1.2.6 45 CFR 164.312 A.10.9.2 A13.2.1,
(c)(1) (New) A.10.9.3 A13.2.2,
45 CFR 164.312 A.12.2.1 A9.1.1,
(c)(2)(New) A.12.2.2 A9.4.1,
45 CFR A.12.2.3 A10.1.1
164.312(e)(2)(i) A.12.2.4 A18.1.4
(New) A.12.6.1
A.15.2.1

1.1.0 A.10.8.1 A13.2.1,


1.2.2 A.10.8.2 A13.2.2,
1.2.6 A.11.1.1 A9.1.1,
4.2.3 A.11.6.1 A9.4.1,
5.2.1 A.11.4.6 A10.1.1
7.1.2 A.12.3.1 A18.1.4
7.2.1 A.12.5.4
7.2.2 A.15.1.4
7.2.3
7.2.4
8.2.1
8.2.2
8.2.3
8.2.5
9.2.1
10.2.5 45 CFR Clause 4.2.3 e) Clauses
164.312(b) Clause 4.2.3b 4.3(a),
Clause 5.1 g 4.3(b),
Clause 6 5.1(e),
A.15.3.1 5.1(f),
6.2(e),
9.1,
9.1(e),
9.2,
9.3(f),
A12.7.1
1.2.5 45 CFR 164.308 Clause 4.2.3e Clauses
1.2.7 (a)(8) Clause 5.1 g 4.3(a),
4.2.1 45 CFR Clause 5.2.1 d) 4.3(b),
8.2.7 164.308(a)(1)(ii) Clause 6 5.1(e),
10.2.3 (D) A.6.1.8 5.1(f),
10.2.5 9.1,
9.2,
9.3(f),
A18.2.1
ISO/IEC Clauses
27001:2005 4.2(b),
Clause 4.2.1 b) 2) 4.4,
Clause 4.2.1 c) 1) 5.2(c),
Clause 4.2.1 g) 5.3(ab),
Clause 4.2.3 d) 6) 6.1.2,
Clause 4.3.3 6.1.3,
Clause 5.2.1 a - f 6.1.3(b),
Clause 7.3 c) 4) 7.5.3(b),
A.7.2.1 7.5.3(d),
A.15.1.1 8.1,
A.15.1.3 8.3
A.15.1.4 9.2(g),
A.15.1.6 9.3,
9.3(b),
9.3(f),
10.2,
A.8.2.1,
A.18.1.1,
A.18.1.3,
A.18.1.4,
A.18.1.5
A.18.1.1,
A.18.1.3,
A.18.1.4,
A.18.1.5

45 CFR 164.308 Clause 5.1 Clause 5.1(h)


(a)(7)(i) A.6.1.2 A.17.1.2
45 CFR 164.308 A.14.1.3 A.17.1.2
(a)(7)(ii)(B) A.14.1.4
45 CFR 164.308
(a)(7)(ii)(C)
45 CFR 164.308
(a)(7)(ii)(E)
45 CFR 164.310
(a)(2)(i)
45 CFR 164.312
(a)(2)(ii)
45 CFR 164.308 A.14.1.5 A17.3.1
(a)(7)(ii)(D)

A.9.2.2 A11.2.2,
A.9.2.3 A11.2.3

1.2.6 Clause 4.3.3 Clause 9.2(g)


A.10.7.4
8.2.4 45 CFR 164.308 A.9.1.4 A11.1.4,
(a)(7)(i) A.9.2.1 A11.2.1
45 CFR
164.310(a)(2)(ii)
(New)

45 CFR 164.310 A.9.2.1 A11.2.1


(c)

5.2.3 45 CFR 164.310 A.9.2.4 A11.2.4


8.2.2 (a)(2)(iv)
8.2.3
8.2.4
8.2.5
8.2.6
8.2.7
A.9.2.2 A.11.2.2,
A.9.2.3 A.11.2.3,
A 9.2.4 A.11.2.4

45 CFR 164.308 ISO/IEC A.17.1.1


(a)(7)(ii)(E) 27001:2005 A.17.1.2
A.14.1.2
A 14.1.4
8.2.1 Clause 5.1 Clause 5.1(h)
A 8.1.1 A.6.1.1
A.8.2.1 A.7.2.1
A 8.2.2 A.7.2.2
A.10.1.1 A.12.1.1

5.1.0 45 CFR 164.308 Clause 4.3.3 Clauses EAR 15 §


5.1.1 (a)(7)(ii)(A) A.10.5.1 9.2(g) 762.6
5.2.2 45 CFR 164.310 A.10.7.3 7.5.3(b) Period of
8.2.6 (d)(2)(iv) 5.2 (c) Retention
45 CFR 7.5.3(d) EAR 15 CFR
164.308(a)(7)(ii) 5.3(a) § 786.2
(D) (New) 5.3(b) Recordkeep
45 CFR 8.1 ing
164.316(b)(2)(i) 8.3
(New) A.12.3.1
A.8.2.3

1.2.6 A.6.1.4 A.14.1.1


A.6.2.1 A.12.5.1
A.12.1.1 A.14.3.1
A.12.4.1 A.9.4.5
A.12.4.2 8.1* (partial)
A.12.4.3 A.14.2.7
A.12.5.5 A.18.1.3
A.15.1.3 A.18.1.4
A.15.1.4
A.6.1.8 A18.2.1
A.6.2.1 A.15.1.2
A.6.2.3 A.12.1.4
A.10.1.4 8.1* (partial)
A.10.2.1 8.1* (partial)
A.10.2.2 A.15.2.1
A.10.2.3 8.1* (partial)
A.10.3.2 A.15.2.2
A.12.1.1 A.14.2.9
A.12.2.1 A.14.1.1
A.12.2.2 A.12.5.1
A.12.2.3 A.14.3.1
9.1.0 A.12.2.4
A.6.1.3 A.9.4.5
A.6.1.1
9.1.1 A.10.1.1 A.12.1.1
9.2.1 A.10.1.4 A.12.1.4
9.2.2 A.10.3.2 A.14.2.9
A.12.1.1 A.14.1.1
A.12.2.1 A.12.5.1
A.12.2.2 A.14.3.1
A.12.2.3 A.9.4.5
A.12.2.4 8.1* partial
A.12.4.1 A.14.2.2
A.12.4.2 8.1* partial
A.12.4.3 A.14.2.3
A.12.5.1 8.1* partial
A.12.5.2 A.14.2.4
A.12.5.3 A.12.6.1
A.12.6.1 A.16.1.3
A.13.1.2 A.18.2.2
A.15.2.1 A.18.2.3
A.15.2.2
3.2.4 A.10.1.3 A.6.1.2
8.2.2 A.10.4.1 A.12.2.1
A.11.5.4 A.9.4.4
A.11.6.1 A.9.4.1
A.12.4.1 A.12.5.1
A.12.5.3 8.1* (partial)
A.14.2.4
1.2.6 45 CFR 164.308 A.10.1.4 A.12.1.4
(a)(5)(ii)(C) A.12.5.1 8.1* (partial)
45 CFR 164.312 A.12.5.2 A.14.2.2
(b) 8.1* (partial)
A.14.2.3

1.2.3 A.7.2.1 A.8.2.1


1.2.6
4.1.2
8.2.1
8.2.5
8.2.6
Clause
4.2
5.2,
7.5,
8.1

3.2.4 45 CFR A.7.2.1 A.8.2.1


4.2.3 164.312(e)(1) A.10.6.1 A.13.1.1
7.1.2 45 CFR A.10.6.2 A.13.1.2
7.2.1 164.312(e)(2)(i) A.10.9.1 A.14.1.2
7.2.2 A.10.9.2 A.14.1.3
8.2.1 A.15.1.4 A.18.1.4
8.2.5

99.31.(a)(1)(ii) 1.1.2 A.7.2.2 A.8.2.2


5.1.0 A.10.7.1 A.8.3.1
7.1.2 A.10.7.3 A.8.2.3
8.1.0 A.10.8.1 A.13.2.1
8.2.5
8.2.6
1.2.6 45 CFR A.7.1.3 A.8.1.3
164.308(a)(4)(ii) A.10.1.4 A.12.1.4
(B) A.12.4.2 A.14.3.1
A.12.5.1 8.1* (partial)
A.14.2.2.

6.2.1 45 CFR 164.308 A.6.1.3 A.6.1.1


(a)(2) A.7.1.2 A.8.1.2
A.15.1.4 A.18.1.4

5.1.0 45 CFR 164.310 A.9.2.6 A.11.2.7


5.2.3 (d)(2)(i) A.10.7.2 A.8.3.2
45 CFR 164.310
(d)(2)(ii)
45 CFR 164.310 A.7.1.1 Annex A.8
(d)(2)(iii) A.7.1.2

99.31.a.1.ii 8.2.3 A.9.1.1 A.11.1.1


A.11.1.2

A.11.4.3
45 CFR 164.310 A.9.2.7 A.11.2.6
(d)(1) (New) A.10.1.2 A.11.2.7

45 CFR 164.310 A.9.2.5 A.8.1.1


(c ) A.9.2.6 A.8.1.2
45 CFR 164.310
(d)(1) (New)
45 CFR 164.310
(d)(2)(i) (New)

99.31.a.1.ii 8.2.1 45 CFR 164.310 A.5.1.1 A.11.1.1


8.2.2 (a)(1) A.9.1.3 A.11.1.2
8.2.3 45 CFR 164.310 A.9.1.5
(a)(2)(ii)
45 CFR
164.308(a)(3)(ii)
(A) (New)
45 CFR 164.310
(a)(2)(iii) (New)
(A) (New)
45 CFR 164.310
(a)(2)(iii) (New)

99.31.a.1.ii 8.2.3 A.9.1.1 A.11.1.6


A.9.1.2

99.31.a.1.ii 8.2.5 A.9.1.6 A.11.2.5


8.2.6 8.1* (partial)
A.12.1.2

99.31.a.1.ii 8.2.3 45 CFR A.9.1.1 A.11.1.1


164.310(a)(1) A.9.1.2
(New)
45 CFR
164.310(a)(2)(ii)
(New)
45 CFR
164.310(b) (New)
45 CFR 164.310
( c) (New)

Annex
A.10.1
A.10.1.1
A.10.1.2
8.1.1 45 CFR 164.312 Clause 4.3.3 Clauses
8.2.1 (a)(2)(iv) A.10.7.3 5.2(c)
8.2.5 45 CFR A.12.3.2 5.3(a)
164.312(e)(1) A.15.1.6 5.3(b)
(New) 7.5.3(b)
7.5.3(d)
8.1
8.3
9.2(g)
A.8.2.3
A.10.1.2
A.18.1.5

8.1.1 45 CFR 164.312 A.10.6.1 A.13.1.1


8.2.1 (a)(2)(iv) A.10.8.3 A.8.3.3
8.2.5 45 CFR 164.312 A.10.8.4 A.13.2.3
(e)(1) A.10.9.2 A.14.1.3
45 CFR 164.312 A.10.9.3 A.14.1.2
(e)(2)(ii) A.12.3.1 A.10.1.1
A.15.1.3 A.18.1.3
A.15.1.4 A.18.1.4
Annex
A.10.1
A.10.1.1
A.10.1.2

1.2.6 A.12.1.1 A.14.1.1


8.2.1 A.15.2.2 A.18.2.3
8.2.7
1.2.4 45 CFR Clause 4.2.1 c) & Clauses EAR 15 CFR
8.2.1 164.308(a)(1)(ii) g) 5.2(c) §736.2 (b)
(A) (New) Clause 4.2.3 d) 5.3(a)
45 CFR Clause 4.3.1 & 5.3(b)
164.308(a)(8) 4.3.3 6.1.2
(New) Clause 7.2 & 7.3 6.1.2(a)(2)
A.7.2 6.1.3(b)
A.15.1.1 7.5.3(b)
A.15.1.3 7.5.3(d)
A.15.1.4 8.1
8.2
8.3
9.2(g)
A.18.1.1
A.18.1.3
A.18.1.4
A.8.2.2
1.1.2 Clause 5.2.2 Clause 7.2(a,b)
8.2.1 A.8.2.1 A.7.2.1
A.8.2.2 A.7.2.2
A 11.2.4 A.9.2.5
A.15.2.1 A.18.2.2

99.31.(a)(1)(ii) 8.2.1 45 CFR Clause 4.2 All in sections 4,


164.308(a)(1)(i) Clause 5 5, 6, 7, 8, 9, 10.
45 CFR A.6.1.1 A.6.1.1
164.308(a)(1)(ii) A.6.1.2 A.13.2.4
(B) A.6.1.3 A.6.1.3
45 CFR A.6.1.4 A.6.1.4
164.316(b)(1)(i) A.6.1.5 A.18.2.1
45 CFR A.6.1.6
164.308(a)(3)(i) A.6.1.7
(New) A.6.1.8
45 CFR
164.306(a)
(New)
8.2.1 45 CFR 164.316 Clause 5 All in section 5
(b)(2)(ii) A.6.1.1 plus clauses
45 CFR 164.316 4.4
(b)(2)(iii) 4.2(b)
6.1.2(a)(1)
6.2
6.2(a)
6.2(d)
7.1
7.4
9.3
10.2
7.2(a)
7.2(b)
7.2(c)
7.2(d)
7.3(b)
7.3(c)

8.1.0 45 CFR 164.316 Clause 4.2.1 Clause 4.3


8.1.1 (a) Clause 5 Clause 5
45 CFR 164.316 A.5.1.1 4.4
(b)(1)(i) A.8.2.2 4.2(b)
45 CFR 164.316 6.1.2(a)(1)
(b)(2)(ii) 6.2
45 CFR 6.2(a)
164.308(a)(2) 6.2(d)
(New) 7.1
7.4
9.3
10.2
7.2(a)
7.2(b)
7.2(c)
7.2(d)
7.3(b)
7.3(c)
A5.1.1
A.7.2.2

99.31(a)(i)(ii) 10.2.4 45 CFR 164.308 A.8.2.3 A7.2.3


(a)(1)(ii)(C)
Clause 4.2.3 Clause
Clause 4.2.4 4.2.1 a,
Clause 4.3.1 4.2(b)
Clause 5 4.3 c,
Clause 7 4.3(a&b)
A.5.1.2 4.4
A.10.1.2 5.1(c)
A.10.2.3 5.1(d)
A.14.1.2 5.1(e)
A.15.2.1 5.1(f)
A.15.2.2 5.1(g)
5.1(h)
5.2
5.2 e,
5.2(f)
5.3
6.1.1(e)(2),
6.1.2(a)(1)
6.2
6.2(a)
6.2(d)
6.2 e,
6.12 (a) (2),
7.1
7.2(a),
7.2(b)
7.2(c)
7.2(d)
7.3(b),
7.3(c)
7.4
7.5.1 (a)
8.1*, partial
8.2
9.1
9.1 e,
9.2,
1.2.1 45 CFR 164.316 Clause 4.2.3 f) 9.3
Clause 8.1
8.2.7 (b)(2)(iii) A.5.1.2 A.5.1.2
10.2.3 45 CFE
164.306(e) (New)
1.2.4 45 CFR 164.308 Clause 4.2.1 c) Clause
1.2.5 (a)(1)(ii)(A) through g) 4.2(b),
Clause 4.2.3 d) 6.1.1,
Clause 5.1 f) 6.1.1(e)(2)
Clause 7.2 & 7.3 6.1.2
A.6.2.1 6.1.2(a)(1)
A.12.5.2 6.1.2(a)(2),
A.12.6.1 6.1.2(b)
A.14.1.2 6.1.2 (c)
A.15.1.1 6.1.2(c)(1),
A.15.2.1 6.1.2(c)(2)
A.15.2.2 6.1.2(d)
1.2.4 45 CFR 164.308 Clause 4.2.1 c) 6.1.2(d)(1)
Clause
(a)(8) through g) 6.1.2(d)(2)
6.1.1,
45 CFR Clause 4.2.2 b) 6.1.2(d)(3)
6.1.1(e)(2)
164.308(a)(1)(ii) Clause 5.1 f) 6.1.2(e)
6.1.2
(B) (New) Clause 7.2 & 7.3 6.1.2(e)(1)
6.1.2(a)(1)
A.6.2.1 6.1.2(e)(2)
6.1.2(a)(2),
A.12.6.1 6.1.3,
6.1.2(b)
5.2.3 45 CFR 164.308 A.7.1.1
A.14.1.2 6.1.3(a)
A.8.1.1
6.1.2 (c)
7.2.2 (a)(3)(ii)(C) A.7.1.2
A.15.2.1 6.1.3(b)
A.8.1.2
6.1.2(c)(1),
8.2.1 A.8.3.2
A.15.2.2 8.1
A.8.1.4
6.1.2(c)(2)
8.2.6 9.3(a),
6.1.2(d)
9.3(b)
6.1.2(d)(1)
9.3(b)(f)
6.1.2(d)(2)
9.3(c)
6.1.2(d)(3)
9.3(c)(1)
6.1.2(e)
9.3(c)(2)
6.1.2(e)(1)
9.3(c)(3)
6.1.2(e)(2)
9.3(d)
6.1.3,
9.3(e)
6.1.3(a)
9.3(f)
6.1.3(b)
A.14.2.3
8.3
A.12.6.1
9.3(a),
A.17.1.1
9.3(b)
A.18.1.1
9.3(b)(f)
A.18.2.2
1.2.9 A.8.1.2 A.7.1.1 ITAR 22 CFR
§ 120.17
EAR 15 CFR
§736.2 (b)

1.2.9 45 CFR A.6.1.5 A.13.2.4 ITAR 22 CFR


8.2.6 164.310(a)(1) A.8.1.3 A.7.1.2 § 120.17
(New) EAR 15 CFR
45 CFR §736.2 (b)
164.308(a)(4)(i)
(New)

8.2.2 45 CFR 164.308 A.8.3.1 A.7.3.1


10.2.5 (a)(3)(ii)(C)
1.2.6 45 CFR 164.310 A.7.2.1 A.8.2.1 ITAR 22 CFR
3.2.4 (d)(1) A.10.7.1 A.8.3.1 § 120.17
8.2.6 A.10.7.2 A.8.3.2 EAR 15 CFR
A.10.8.3 A.8.3.3 §736.2 (b)
A.11.7.1 A.6.2.1
A.11.7.2 A.6.2.2
A.15.1.4 A.18.1.4

1.2.5 ISO/IEC A.13.2.4 ITAR 22 CFR


27001:2005 § 120.17
Annex A.6.1.5 EAR 15 CFR
§736.2 (b)
99.31(a)(1)(ii) 1.2.9 Clause 5.1 c) Clause 5.3
8.2.1 A.6.1.2 A.6.1.1
A.6.1.3 A.6.1.1
A.8.1.1

8.1.0 45 CFR 164.310 A.7.1.3 A.8.1.3


(b)

99.31(a)(1)(ii) 1.2.10 45 CFR 164.308 Clause 5.2.2 Clause 7.2(a),


8.2.1 (a)(5)(i) A.8.2.2 7.2(b)
45 CFR 164.308 A.7.2.2
(a)(5)(ii)(A)

1.2.10 45 CFR 164.308 Clause 5.2.2 Clause 7.2(a),


8.2.1 (a)(5)(ii)(D) A.8.2.2 7.2(b)
A.11.3.1 A.7.2.2
A.11.3.2 A.9.3.1
A.11.2.8
A.11.3.1 A.7.2.2
A.11.3.2 A.9.3.1
A.11.2.8

8.2.3 Clause 5.2.2 Clause 7.2(a), ITAR 22 CFR


A.8.2.2 7.2(b) § 120.17
A.9.1.5 A.7.2.2 EAR 15 CFR
A.11.3.1 A.11.1.5 §736.2 (b)
A.11.3.2 A.9.3.1
A.11.3.3 A.11.2.8
A.11.2.9

8.2.1 A.15.3.2
8.1.0 45 CFR 164.308 A.11.1.1 A.9.1.1 S3.2.g
(a)(3)(i) A.11.2.1 A.9.2.1,
45 CFR 164.312 A.11.2.4 A.9.2.2
(a)(1) A.11.4.1 A.9.2.5
45 CFR 164.312 A.11.5.2 A.9.1.2
(a)(2)(ii) A.11.6.1 A.9.4.1
45 CFR
164.308(a)(4)(ii)
(B) (New)
45 CFR
164.308(a)(4)(ii)
(c ) (New)
8.2.2 A.10.6.1 A.13.1.1
A.11.1.1 A.9.1.1
A.11.4.4 A.9.4.4
A.11.5.4

Annex
A.9.2
A.9.2.1
A.9.2.2
A.9.2.3,
A.9.2.4,
99.31(a)(1)(ii) 8.2.2 45 CFR 164.308 A.10.1.3 A.6.1.2
(a)(1)(ii)(D)
45 CFR 164.308
(a)(3)(ii)(A)
45 CFR
164.308(a)(4)(ii)
(A) (New)
45 CFR 164.308
(a)(5)(ii)(C)
45 CFR 164.312
(b)

1.2.6 Clause 4.3.3 Clause ITAR 22 CFR


6.2.1 A.12.4.3 5.2(c) § 120.17
A.15.1.3 5.3(a), EAR 15 CFR
5.3(b), §736.2 (b)
7.5.3(b)
7.5.3(d)
8.1,
8.3
9.2(g)
7.1.1 A.6.2.1 A.9.2.6
7.1.2 A.8.3.3 A.9.1.1
7.2.1 A.11.1.1 A.9.2.1, A.9.2.2
7.2.2 A.11.2.1 A.9.2.5
7.2.3 A.11.2.4
7.2.4
45 CFR 164.308 A.11.2.1 Annex
(a)(3)(i) A.11.2.2 A.9.2,
45 CFR 164.308 A.11.4.1 A.9.2.1,
(a)(3)(ii)(A) A 11.4.2 A.9.2.2,
45 CFR 164.308 A.11.6.1 A.9.2.3,
(a)(4)(i) A.9.2.4,
45 CFR 164.308 A.9.2.5,
(a)(4)(ii)(B) A.9.2.6,
45 CFR 164.308 A.9.3.1,
(a)(4)(ii)(C) A.9.4.1,
45 CFR 164.312 A.9.4.2,
(a)(1) A.9.4.3,
A.9.4.5

8.2.2 45 CFR 164.308 A.11.2.1 A.9.2.1, A.9.2.2


(a)(3)(i) A.11.2.2 A.9.2.3
45 CFR 164.308 A.11.4.1 A.9.1.2
(a)(3)(ii)(A) A 11.4.2 A.9.4.1
45 CFR 164.308 A.11.6.1
(a)(4)(i)
45 CFR 164.308
(a)(4)(ii)(B)
45 CFR 164.308
(a)(4)(ii)(C)
45 CFR 164.312
(a)(1)

99.31(a)(1)(ii) 8.2.1 45 CFR 164.308 A.11.2.4 A.9.2.5 ITAR 22 CFR


8.2.7 (a)(3)(ii)(B) § 120.17
45 CFR 164.308 EAR 15 CFR
(a)(4)(ii)(C) §736.2 (b)
99.31(a)(1)(ii) 8.2.1 45 CFR ISO/IEC Annex A ITAR 22 CFR
164.308(a)(3)(ii) 27001:2005 A.9.2.6 § 120.17
(C) A.8.3.3 A.9.1.1 EAR 15 CFR
A.11.1.1 A.9.2.1, A.9.2.2 §736.2 (b)
A.11.2.1 A.9.2.3
A.11.2.2

99.3 45 CFR A.8.3.3 A.9.2.6


99.31(a)(1)(ii) 164.308(a)(5)(ii) A.11.1.1 A.9.1.1
(c) (New) A.11.2.1 A.9.2.1, A.9.2.2
45 CFR 164.308 A.11.2.3 A.9.2.4
(a)(5)(ii)(D) A.11.2.4 A.9.2.5
45 CFR 164.312 A.11.5.5 A.9.4.2
(a)(2)(i)
45 CFR 164.312
(a)(2)(iii)
45 CFR 164.312
(d)
A.11.4.1 A.9.1.2
A 11.4.4 Deleted
A.11.5.4
A.9.4.4

8.2.1 45 CFR 164.308 A.10.10.1 A.12.4.1


8.2.2 (a)(1)(ii)(D) A.10.10.2 A.12.4.1
45 CFR 164.312 A.10.10.3 A.12.4.2, A.12.4.3
(b) A.10.10.4 A.12.4.3
45 CFR A.10.10.5 A.12.4.1
164.308(a)(5)(ii) A.11.2.2 A.9.2.3
(c) (New) A.11.5.4 A.9.4.4
A.11.6.1 A.9.4.1
A.13.1.1 A.16.1.2
A.13.2.3 A.16.1.7
A.15.2.2 A.18.2.3
A.15.1.3 A.18.1.3
45 CFR A.10.10.5 A.12.4.1
164.308(a)(5)(ii) A.11.2.2 A.9.2.3
(c) (New) A.11.5.4 A.9.4.4
A.11.6.1 A.9.4.1
A.13.1.1 A.16.1.2
A.13.2.3 A.16.1.7
A.15.2.2 A.18.2.3
A.15.1.3 A.18.1.3

Annex
A.12.1.2
A.12.4,
A.12.4.1,
A.12.4.2,
A.12.4.3,
A.12.6.1,
A.12.6.2,
A.16.1.1,
A.16.1.2,
A.16.1.3,
A.16.1.4,
A.10.10.1 A.16.1.5,
A.12.4.1
A.10.10.6 A.12.4.4

1.2.4 A.10.3.1 A.12.1.3


Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
8.2.5 A.10.6.1 A.13.1.1
6.1.2(c)(2)
A.10.6.2 A.13.1.2
6.1.2(d)
A.10.9.1 A.14.1.2
6.1.2(d)(1)
A.10.10.2 A.12.4.1
6.1.2(d)(2)
A.11.4.1 A.9.1.2
6.1.2(d)(3)
A.11.4.5 A.13.1.3
6.1.2(e)
A.11.4.6 A.18.1.4
6.1.2(e)(1)
A.11.4.7 6.1.2(e)(2)
A.15.1.4 6.1.3,
6.1.3(a)
6.1.3(b)
8.1
8.3
Annex
9.3(a),
A.12.1.4
9.3(b)
A.12.2.1
9.3(b)(f)
A.12.4.1
9.3(c)
A.12.6.1
9.3(c)(1)
9.3(c)(2)
9.3(c)(3)
9.3(d)
9.3(e)
9.3(f)

1.2.6 A.10.1.4 A.12.1.4


A.10.3.2 A.14.2.9
A.11.1.1 A.9.1.1
A.12.5.1 8.1,partial,
A.12.5.2 A.14.2.2
A.12.5.3 8.1,partial,
A.14.2.3
8.1,partial,
A.14.2.4
45 CFR 164.308 A.11.4.5 A.13.1.3
(a)(4)(ii)(A) A.11.6.1 A.9.4.1
A.11.6.2 A.18.1.4
A.15.1.4

Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
6.1.2(d)(2)
Clause
6.1.2(d)(3)
6.1.1,
6.1.2(e)
6.1.1(e)(2)
6.1.2(e)(1)
6.1.2
6.1.2(e)(2)
6.1.2(a)(1)
6.1.3,
6.1.2(a)(2),
6.1.3(a)
6.1.2(b)
6.1.3(b)
6.1.2 (c)
8.1
6.1.2(c)(1),
8.3
6.1.2(c)(2)
9.3(a),
6.1.2(d)
9.3(b)
6.1.2(d)(1)
9.3(b)(f)
6.1.2(d)(2)
9.3(c)
6.1.2(d)(3)
9.3(c)(1)
6.1.2(e)
9.3(c)(2)
6.1.2(e)(1)
9.3(c)(3)
6.1.2(e)(2)
9.3(d)
6.1.3,
9.3(e)
6.1.3(a)
9.3(f)
6.1.3(b)
A.14.2.3
8.1
8.2.5 45 CFR 164.312 A.7.1.1 A.8.1.1
(e)(1)(2)(ii) A.7.1.2 A.8.1.2
45 CFR A.7.1.3 A.8.1.3
164.308(a)(5)(ii) A.9.2.1 A.11.2.1
(D) (New) A.9.2.4 A.11.2.4
45 CFR A.10.6.1 A.13.1.1
164.312(e)(1) A.10.6.2 A.13.1.2
(New) A.10.8.1 A.13.2.1
45 CFR A.10.8.3 A.8.3.3
164.312(e)(2)(ii) A.10.8.5 A.12.4.1
(New) A.10.10.2 A.9.2.1, A.9.2.2
A.11.2.1 A.13.1.3
A.11.4.3 A.10.1.1
A.11.4.5 A.10.1.2
A.11.4.6
A.11.4.7
A.12.3.1
A.12.3.2

8.2.5 A.10.6.1 A.13.1.1


A.10.6.2 A.13.1.2
A.10.9.1 A.14.1.2
A.10.10.2 A.12.4.1
A.11.4.1 A.9.1.2
A.11.4.5 A.13.1.3
A.11.4.6 A.18.1.4
A.11.4.7
A.15.1.4

Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
Clause
6.1.2 (c)
6.1.1,
6.1.2(c)(1),
6.1.1(e)(2)
6.1.2(c)(2)
6.1.2
6.1.2(d)
6.1.2(a)(1)
6.1.2(d)(1)
6.1.2(a)(2),
6.1.2(d)(2)
6.1.2(b)
6.1.2(d)(3)
6.1.2 (c)
6.1.2(e)
6.1.2(c)(1),
6.1.2(e)(1)
6.1.2(c)(2)
6.1.2(e)(2)
Clause
6.1.2(d)
6.1.3,
6.1.1,
6.1.2(d)(1)
6.1.3(a)
6.1.1(e)(2)
6.1.2(d)(2)
6.1.3(b)
6.1.2(d)(3)
8.1
6.1.2(e)
8.3
6.1.2(e)(1)
9.3(a),
6.1.2(e)(2)
9.3(b)
6.1.3,
9.3(b)(f)
6.1.3(a)
9.3(c)
6.1.3(b)
9.3(c)(1)
8.1
9.3(c)(2)
8.3
9.3(c)(3)
9.3(a),
9.3(d)
9.3(b)
9.3(e)
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
6.1.2(d)(2)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
Clause
6.1.2 (c)
6.1.1,
6.1.2(c)(1),
6.1.1(e)(2)
6.1.2(c)(2)
6.1.2
6.1.2(d)
6.1.2(a)(1)
6.1.2(d)(1)
6.1.2(a)(2),
6.1.2(d)(2)
6.1.2(b)
6.1.2(d)(3)
6.1.2
Clause(c)
6.1.2(e)
6.1.2(c)(1),
6.1.1,
6.1.2(e)(1)
6.1.2(c)(2)
6.1.1(e)(2)
6.1.2(e)(2)
6.1.2(d)
6.1.2
6.1.3,
6.1.2(d)(1)
6.1.2(a)(1)
6.1.3(a)
6.1.2(d)(2)
6.1.2(a)(2),
6.1.3(b)
6.1.2(d)(3)
6.1.2(b)
8.1
6.1.2(e)
6.1.2
Clause(c)
8.3
6.1.2(e)(1)
6.1.2(c)(1),
6.1.1,
9.3(a),
6.1.2(e)(2)
6.1.2(c)(2)
6.1.1(e)(2)
9.3(b)
6.1.3,
6.1.2(d)
6.1.2
9.3(b)(f)
6.1.3(a)
6.1.2(d)(1)
6.1.2(a)(1)
9.3(c)
6.1.3(b)
6.1.2(d)(2)
6.1.2(a)(2),
9.3(c)(1)
8.1
6.1.2(d)(3)
6.1.2(b)
9.3(c)(2)
8.3
6.1.2(e)
6.1.2 (c)
9.3(c)(3)
9.3(a),
6.1.2(e)(1)
6.1.2(c)(1),
9.3(d)
9.3(b)
6.1.2(e)(2)
6.1.2(c)(2)
9.3(e)
9.3(b)(f)
6.1.3,
6.1.2(d)
9.3(f)
9.3(c)
6.1.3(a)
6.1.2(d)(1)
A.14.2.3
9.3(c)(1)
6.1.3(b)
6.1.2(d)(2)
A.12.6.1
9.3(c)(2)
8.1
6.1.2(d)(3)
A.18.1.1
9.3(c)(3)
8.3
6.1.2(e)
A.18.2.2
9.3(d)
9.3(a),
6.1.2(e)(1)
A.18.2.3
9.3(e)
9.3(b)
6.1.2(e)(2)
9.3(f)
9.3(b)(f)
6.1.3,
A.14.2.3
9.3(c)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
Clause
6.1.2(d)(2)
6.1.1,
6.1.2(d)(3)
6.1.1(e)(2)
6.1.2(e)
6.1.2
6.1.2(e)(1)
6.1.2(a)(1)
6.1.2(e)(2)
6.1.2(a)(2),
6.1.3,
6.1.2(b)
6.1.3(a)
6.1.2
Clause (c)
6.1.3(b)
6.1.2(c)(1),
6.1.1,
8.1
6.1.2(c)(2)
6.1.1(e)(2)
8.3
6.1.2(d)
6.1.2
9.3(a),
6.1.2(d)(1)
6.1.2(a)(1)
9.3(b)
6.1.2(d)(2)
6.1.2(a)(2),
9.3(b)(f)
6.1.2(d)(3)
6.1.2(b)
9.3(c)
6.1.2(e)
6.1.2 (c)
9.3(c)(1)
6.1.2(e)(1)
6.1.2(c)(1),
9.3(c)(2)
6.1.2(e)(2)
6.1.2(c)(2)
9.3(c)(3)
6.1.3,
6.1.2(d)
9.3(d)
6.1.3(a)
6.1.2(d)(1)
9.3(e)
6.1.3(b)
6.1.2(d)(2)
9.3(f)
8.1
6.1.2(d)(3)
A.14.2.3
8.3
6.1.2(e)
A.12.6.1
9.3(a),
6.1.2(e)(1)
A.18.1.1
9.3(b)
6.1.2(e)(2)
A.18.2.2
9.3(b)(f)
6.1.3,
A.18.2.3
9.3(c)
6.1.3(a)
9.3(c)(1)
6.1.3(b)
9.3(c)(2)
8.1
9.3(c)(3)
8.3
9.3(d)
9.3(a),
9.3(e)
9.3(b)
9.3(f)
9.3(b)(f)
A.14.2.3
9.3(c)
A.12.6.1
9.3(c)(1)
A.18.1.1
9.3(c)(2)
A.18.2.2
9.3(c)(3)
A.18.2.3
9.3(d)
9.3(e)
9.3(f)
A.14.2.3
A.12.6.1
A.18.1.1
A.18.2.2
A.18.2.3
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
6.1.2(d)(2)
Clause
6.1.2(d)(3)
6.1.1,
6.1.2(e)
6.1.1(e)(2)
6.1.2(e)(1)
6.1.2
6.1.2(e)(2)
6.1.2(a)(1)
6.1.3,
6.1.2(a)(2),
6.1.3(a)
6.1.2(b)
6.1.3(b)
Clause
6.1.2 (c)
8.1
6.1.1,
6.1.2(c)(1),
8.3
6.1.1(e)(2)
6.1.2(c)(2)
9.3(a),
6.1.2
6.1.2(d)
9.3(b)
6.1.2(a)(1)
6.1.2(d)(1)
9.3(b)(f)
6.1.2(a)(2),
6.1.2(d)(2)
9.3(c)
6.1.2(b)
6.1.2(d)(3)
9.3(c)(1)
6.1.2 (c)
6.1.2(e)
9.3(c)(2)
Clause
6.1.2(c)(1),
6.1.2(e)(1)
9.3(c)(3)
6.1.1,
6.1.2(c)(2)
6.1.2(e)(2)
9.3(d)
6.1.1(e)(2)
6.1.2(d)
6.1.3,
9.3(e)
6.1.2
6.1.2(d)(1)
6.1.3(a)
9.3(f)
6.1.2(a)(1)
6.1.2(d)(2)
6.1.3(b)
A.14.2.3
6.1.2(a)(2),
6.1.2(d)(3)
8.1
A.12.6.1
6.1.2(b)
6.1.2(e)
8.3
A.18.1.1
6.1.2
9.3(a),(c)
6.1.2(e)(1)
A.18.2.2
6.1.2(c)(1),
6.1.2(e)(2)
9.3(b)
A.18.2.3
6.1.2(c)(2)
6.1.3,
9.3(b)(f)
6.1.2(d)
6.1.3(a)
9.3(c)
6.1.2(d)(1)
6.1.3(b)
9.3(c)(1)
6.1.2(d)(2)
8.1
9.3(c)(2)
6.1.2(d)(3)
8.3
9.3(c)(3)
Clause
9.3(a),
9.3(d)
6.1.1,
9.3(b)
9.3(e)
6.1.1(e)(2)
9.3(b)(f)
9.3(f)
6.1.2
9.3(c)
A.14.2.3
6.1.2(a)(1)
9.3(c)(1)
A.12.6.1
6.1.2(a)(2),
9.3(c)(2)
A.18.1.1
6.1.2(b)
9.3(c)(3)
A.18.2.2
6.1.2 (c)
9.3(d)
A.18.2.3
6.1.2(c)(1),
9.3(e)
6.1.2(c)(2)
9.3(f)
Clause
A.14.2.3
6.1.1,
A.12.6.1
6.1.1(e)(2)
A.18.1.1
6.1.2
A.18.2.2
6.1.2(a)(1)
A.18.2.3
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
6.1.2(d)(2)
6.1.2(d)(3)
6.1.2(e)
6.1.2(e)(1)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
Clause
6.1.2(c)(1),
6.1.1,
6.1.2(c)(2)
6.1.1(e)(2)
6.1.2(d)
6.1.2
6.1.2(d)(1)
6.1.2(a)(1)
6.1.2(d)(2)
6.1.2(a)(2),
6.1.2(d)(3)
6.1.2(b)
6.1.2(e)
6.1.2 (c)
6.1.2(e)(1)
6.1.2(c)(1),
6.1.2(e)(2)
6.1.2(c)(2)
6.1.3,
6.1.2(d)
6.1.3(a)
6.1.2(d)(1)
6.1.3(b)
Clause
8.1
6.1.1,
8.3
6.1.1(e)(2)
9.3(a),
6.1.2
9.3(b)
6.1.2(a)(1)
9.3(b)(f)
6.1.2(a)(2),
9.3(c)
6.1.2(b)
9.3(c)(1)
6.1.2 (c)
9.3(c)(2)
6.1.2(c)(1),
9.3(c)(3)
6.1.2(c)(2)
Clause
9.3(d)
6.1.1,
9.3(e)
6.1.1(e)(2)
9.3(f)
6.1.2
A.14.2.3
6.1.2(a)(1)
A.12.6.1
6.1.2(a)(2),
A.18.1.1
6.1.2(b)
A.18.2.2
6.1.2 (c)
A.18.2.3
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
6.1.2(d)(2)
6.1.2(d)(3)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
A.6.1.6 A.6.1.3
A.6.1.4
A.6.1.7

1.2.4 45 CFR 164.308 Clause 4.3.3 Clause ITAR 22 CFR


1.2.7 (a)(1)(i) A.13.1.1 5.3 (a), § 127.12
7.1.2 45 CFR 164.308 A.13.2.1 5.3 (b),
7.2.2 (a)(6)(i) 7.5.3(b),
7.2.4 5.2 (c),
10.2.1 7.5.3(d),
10.2.4 8.1,
8.3,
9.2(g),
Annex
A.16.1.1
A.16.1.2

99.31(a)(1)(i) 1.2.7 45 CFR 164.312 Clause 4.3.3 Clause ITAR 22 CFR


34 CFR 99.32(a) 1.2.10 (a)(6)(ii) Clause 5.2.2 5.2 (c), § 127.12
7.1.2 16 CFR 318.3 (a) A.6.1.3 5.3 (a),
7.2.2 (New) A.8.2.1 5.3 (b),
7.2.4 16 CFR 318.5 (a) A.8.2.2 7.2(a),
10.2.4 (New) A.13.1.1 7.2(b),
45 CFR 160.410 A.13.1.2 7.2(c),
(a)(1) (New) A.13.2.1 7.2(d),
7.3(b),
7.3(c)
7.5.3(b),
7.5.3(d),
8.1,
8.3,
9.2(g)
Annex
A.6.1.1
A.7.2.1,
1.2.7 45 CFR 164.308 Clause 4.3.3 A.7.2.2,
Clause
(a)(6)(ii) Clause 5.2.2 5.2 (c),
A.8.2.2 5.3 (a),
A.8.2.3 5.3 (b),
A.13.2.3 7.2(a),
A.15.1.3 7.2(b),
7.2(c),
7.2(d),
7.3(b),
7.3(c)
7.5.3(b),
7.5.3(d),
1.2.7 45 CFR 164.308 Clause 4.3.3 Clause
(a)(6)(ii) Clause 5.2.2 5.2 (c),
A.8.2.2 5.3 (a),
A.8.2.3 5.3 (b),
A.13.2.3 7.2(a),
A.15.1.3 7.2(b),
7.2(c),
7.2(d),
7.3(b),
7.3(c)
7.5.3(b),
7.5.3(d),
8.1,
8.3,
9.2(g)
Annex
A.7.2.2,
A.7.2.3,
A.16.1.7,
1.2.7 45 CFR 164.308 A.13.2.2 A.18.1.3
A.16.1.6
1.2.10 (a)(1)(ii)(D)

Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
Clause
6.1.2(d)(2)
6.1.1,
6.1.2(d)(3)
6.1.1(e)(2)
6.1.2(e)
6.1.2
6.1.2(e)(1)
6.1.2(a)(1)
6.1.2(e)(2)
6.1.2(a)(2),
6.1.3,
6.1.2(b)
6.1.3(a)
6.1.2 (c)
6.1.3(b)
8.2.2 A.6.2.3 6.1.2(c)(1),
8.1
A.15.1.2
8.2.5 A.10.6.2 6.1.2(c)(2)
8.3
A.13.1.2
6.1.2(d)
9.3(a),
6.1.2(d)(1)
9.3(b)
6.1.2(d)(2)
9.3(b)(f)
6.1.2(d)(3)
9.3(c)
6.1.2(e)
9.3(c)(1)
6.1.2(e)(1)
Clause
9.3(c)(2)
6.1.2(e)(2)
6.1.1,
9.3(c)(3)
6.1.3,
6.1.1(e)(2)
9.3(d)
6.1.3(a)
6.1.2
9.3(e)
6.1.3(b)
6.1.2(a)(1)
9.3(f)
8.1
6.1.2(a)(2),
A.14.2.3
8.3
6.1.2(b)
A.12.6.1
9.3(a),
6.1.2 (c)
A.18.1.1
9.3(b)
6.1.2(c)(1),
A.18.2.2
9.3(b)(f)
6.1.2(c)(2)
A.18.2.3
9.3(c)
6.1.2(d)
9.3(c)(1)
6.1.2(d)(1)
9.3(c)(2)
6.1.2(d)(2)
9.3(c)(3)
6.1.2(d)(3)
9.3(d)
6.1.2(e)
1.2.5 A.6.2.3 A.15.1.2, ITAR 22 CFR
A10.2.1 8.1* partial, § 120.17
A.10.8.2 A.13.2.2, EAR 15 CFR
A.11.4.6 A.9.4.1 §736.2 (b)
A.11.6.1 A.10.1.1
A.12.3.1
A.12.5.4
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
6.1.2(d)(2)
6.1.2(d)(3)
6.1.2(e)
6.1.2(e)(1)
6.1.2(e)(2)
6.1.3,
6.1.3(a)
6.1.3(b)
8.1
8.3
9.3(a),
9.3(b)
9.3(b)(f)
9.3(c)
9.3(c)(1)
9.3(c)(2)
9.3(c)(3)
9.3(d)
9.3(e)
9.3(f)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
6.1.2(d)(2)
6.1.2(d)(3)
6.1.2(e)
6.1.2(e)(1)
6.1.2(e)(2)
6.1.3,
6.1.3(a)
6.1.3(b)
8.1
8.3
9.3(a),
9.3(b)
Clause
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
6.1.2(c)(2)
6.1.2(d)
6.1.2(d)(1)
6.1.1,
6.1.1(e)(2)
6.1.2
6.1.2(a)(1)
6.1.2(a)(2),
6.1.2(b)
6.1.2 (c)
6.1.2(c)(1),
1.2.2 45 CFR A.6.2.3 6.1.2(c)(2)
A.15.1.2
1.2.4 164.308(b)(1) A.10.2.1 6.1.2(d)
8.1* partial,
1.2.6 (New) A.10.2.2 6.1.2(d)(1)
8.1* partial,
1.2.11 A.10.6.2 6.1.2(d)(2)
A.15.2.1
3.2.4 45 CFR 164.308 6.1.2(d)(3)
A.13.1.2
5.2.1 (b)(4) 6.1.2(e)
6.1.2(e)(1)
6.1.2(e)(2)
6.1.3,
6.1.3(a)
8.2.2 45 CFR 164.308 A.10.4.1 A.12.2.1
6.1.3(b)
(a)(5)(ii)(B) 8.1
8.3
9.3(a),
9.3(b)
9.3(b)(f)
9.3(c)
9.3(c)(1)
9.3(c)(2)
9.3(c)(3)
9.3(d)
1.2.6 45 CFR 164.308 A.12.5.1 8.1*partial,
9.3(e)
8.2.7 (a)(1)(i)(ii)(A) A.12.5.2 A.14.2.2,
9.3(f)
45 CFR 164.308 A.12.6.1 8.1*partial,
(a)(1)(i)(ii)(B) A.14.2.3
45 CFR 164.308 A.12.6.1
(a)(5)(i)(ii)(B)
A.10.4.2 A.12.2.1
A.12.2.2
Mexico - Federal Law on
Jericho Forum Protection of Personal Data NERC CIP NIST SP800-53 R3
Held by Private Parties

Commandment #1 CIP-007-3 - SC-2


Commandment #2 R5.1 SC-3
Commandment #4 SC-4
Commandment #5 SC-5
Commandment #11 SC-6
SC-7
SC-8
SC-9
SC-10
SC-11
SC-12
SC-13
SC-14
SC-17
SC-18
SC-20
SC-21
SC-22
SC-23
Commandment #6 CA-1
Commandment #7 CA-2
Commandment #8 CA-5
CA-6
Commandment #1 CIP-003-3 - SI-10
Commandment #9 R4.2 SI-11
Commandment #11 SI-2
SI-3
SI-4
SI-6
SI-7
SI-9

All AC-1
AC-4
SC-1
SC-16
Commandment #1 CA-2
Commandment #2 CA-7
Commandment #3 PL-6
Commandment #1 Chapter VI, Section 1 CIP-003-3 - CA-1
Commandment #2 Article 39, I. and VIII. R1.3 - R4.3 CA-2
Commandment #3 CIP-004-3 CA-6
Chapter 8 R4 - R4.2 RA-5
Article 59 CIP-005-3a
- R1 - R1.1 -
R1.2
Commandment #1 CP-1
Commandment #2 CP-2
Commandment #3 CP-3
CP-4
CP-6
CP-7
CP-8
CP-9
CP-10
PE-17
Commandment #1 CP-2
Commandment #2 CP-3
Commandment #3 CP-4

Commandment #1 PE-1
Commandment #2 PE-4
Commandment #3 PE-13
Commandment #4
Commandment #9
Commandment #11

Commandment #1 CIP-005-3a CP-9


Commandment #2 - R1.3 CP-10
Commandment #4 CIP-007-3 - SA-5
Commandment #5 R9 SA-10
Commandment #11 SA-11
Commandment #1 CIP-004-3 PE-1
Commandment #2 R3.2 PE-13
Commandment #3 PE-14
PE-15
PE-18

Commandment #1 PE-1
Commandment #2 PE-5
Commandment #3 PE-14
PE-15
PE-18

Commandment #2 CIP-007-3 - MA-2


Commandment #5 R6.1 - R6.2 MA-3
Commandment #11 - R6.3 - MA-4
R6.4 MA-5
MA-6
Commandment #1 CP-8
Commandment #2 PE-1
Commandment #3 PE-9
PE-10
PE-11
PE-12
PE-13
PE-14

Commandment #1 CIP-007-3 - RA-3


Commandment #2 R8 - R8.1 -
Commandment #3 R8.2 - R8.3
Commandment #1 CM-2
Commandment #2 CM-3
Commandment #3 CM-4
Commandment #6 CM-5
Commandment #7 CM-6
CM-9
MA-4
SA-3
SA-4
SA-5
SA-8
SA-10
SA-11
SA-12
Commandment #11 Chapter II CIP-003-3 - CP-2
Article 11, 13 R4.1 CP-6
CP-7
CP-8
CP-9
SI-12
AU-11

Commandment #1 CA-1
Commandment #2 CM-1
Commandment #3 CM-9
PL-1
PL-2
SA-1
SA-3
SA-4
Commandment #1 SA-4
Commandment #2 SA-5
Commandment #3 SA-8
SA-9
SA-10
SA-11
SA-12
SA-13

Commandment #1 CM-1
Commandment #2 CM-2
Commandment #3 SA-3
SA-4
SA-5
SA-8
SA-10
SA-11
SA-13
Commandment #1 CM-1
Commandment #2 CM-2
Commandment #3 CM-3
Commandment #5 CM-5
Commandment #11 CM-7
CM-8
CM-9
SA-6
SA-7
SI-1
SI-3
SI-4
SI-7
Commandment #1 CIP-003-3 - CA-1
Commandment #2 R6 CA-6
Commandment #3 CA-7
Commandment #11 CM-2
CM-3
CM-5
CM-6
CM-9
PL-2
PL-5
SI-2
SI-6
SI-7

Commandment #9 General Provisions, Article 3, V. CIP-003-3 - RA-2


and VI. R4 - R5 AC-4
Commandment #4 AC-14
Commandment #5 AC-21
Commandment #9 AC-22
Commandment #10 IA-8
Commandment #11 AU-10
SC-4
SC-8
SC-9

Commandment #8 Chapter II CIP-003-3 - AC-16


Commandment #9 Article 8, 9, 11, 12, 14, 18, 19, R4 - R4.1 MP-1
Commandment #10 20, 21 MP-3
PE-16
SI-12
SC-9
Commandment #9 CIP-003-3 - SA-11
Commandment #10 R6 CM-04
Commandment #11

Commandment #6 Chapter IV CIP-007-3 - CA-2


Commandment #10 Article 30 R1.1 - R1.2 PM-5
PS-2
RA-2
SA-2

Commandment #11 CIP-007-3 - MP-6


R7 - R7.1 - PE-1
R7.2 R7.3
NIST SP800-53 R3 CM-8

Commandment #1 CIP-006-3c PE-2


Commandment #2 R1.2 - R1.3 PE-3
Commandment #3 - R1.4 - PE-6
Commandment #5 R1.6 - PE-7
R1.6.1 - R2 PE-8
- R2.2 PE-18

Commandment #1 IA-3
Commandment #2 IA-4
Commandment #3
Commandment #5
Commandment #8
Commandment #4 AC-17
Commandment #5 MA-1
Commandment #11 PE-1
PE-16
PE-17

Commandment #6 CM-8
Commandment #7
Commandment #8

Commandment #1 CIP-006-3c PE-2


Commandment #2 R1.2 - R1.3 PE-3
Commandment #3 - R1.4 -R2 - PE-4
Commandment #5 R2.2 PE-5
PE-6
Commandment #1 CIP-006-3c PE-7
Commandment #2 R1.2 - R1.3 PE-16
Commandment #3 - R1.4 PE-18
Commandment #5

Commandment #6 MA-1
Commandment #7 MA-2
PE-16

Commandment #1 Chapter II, CIP-006-3c PE-2


Commandment #2 R1.2 - R1.3 PE-3
Commandment #3 Article 19 - R1.4 - PE-6
Commandment #5 R1.6 - PE-18
R1.6.1 - R2
- R2.2
Commandment #9 SC-12
Commandment #10 SC-13
Commandment #11 SC-17
SC-28

Commandment #4 CIP-003-3 - AC-18


Commandment #5 R4.2 IA-3
Commandment #9 IA-7
Commandment #10 SC-7
Commandment #11 SC-8
SC-9
SC-13
SC-16
SC-23
SI-8
Commandment #2 Chapter II, Article 19 and CM-2
Commandment #4 Chapter VI, Section I, Article 39 SA-2
Commandment #5 SA-4
Commandment #11
Commandment #1 CA-3
Commandment #2 RA-2
Commandment #3 RA-3
Commandment #6 MP-8
Commandment #7 PM-9
Commandment #9 SI-12
Commandment #10
Commandment #11
Commandment #6 AT-2
Commandment #7 AT-3
Commandment #8 CA-1
CA-5
CA-6
CA-7
PM-10

Commandment #1 Chapter II, Article 19 CIP-001-1a PM-1


Commandment #2 - R1 - R2 PM-2
CIP-003-3 - PM-3
R1 - R1.1 - PM-4
R4 PM-5
CIP-006-3c PM-6
R1 PM-7
PM-8
PM-9
PM-10
PM-11
Commandment #3 Chapter VI, Section I, Article 39 CIP-003-3 - CM-1
Commandment #6 R1 - R1.1 PM-1
PM-11

Commandment #1 Chapter VI, Section I, Article 39 CIP-003-3 - AC-1


Commandment #2 R1 -R1.1 - AT-1
Commandment #3 R1.2 - R2 - AU-1
R2.1 - R2.2 CA-1
- R2.3 CM-1
IA-1
IR-1
MA-1
MP-1
MP-1
PE-1
PL-1
PS-1
SA-1
SC-1
SI-1

Commandment #6 Chapter X, Article 64 PL-4


Commandment #7 PS-1
PS-8
CIP-009-3 - CP-2
R2 RA-2
RA-3

Commandment #1 CIP-003-3 - AC-1


Commandment #2 R3.2 - R3.3 AT-1
Commandment #3 - R1.3 AU-1
R3 - R3.1 - CA-1
R3.2 - R3.3 CM-1
CP-1
IA-1
IA-5
IR-1
MA-1
MP-1
PE-1
PL-1
PM-1
PS-1
RA-1
SA-1
SC-1
SI-1
R3.2 - R3.3 CM-1
CP-1
IA-1
IA-5
IR-1
MA-1
MP-1
PE-1
PL-1
PM-1
PS-1
RA-1
SA-1
SC-1
SI-1

CIP-002-3 - PL-5
R1.1 - R1.2 RA-2
CIP-005-3a RA-3
- R1 - R1.2
CIP-009-3 -
R.1.1

Chapter II CIP-009-3 - AC-4


Article 19 R4 CA-2
CA-6
PM-9
RA-1

PS-4
Commandment #2 CIP-004-3 - PS-2
Commandment #3 R2.2 PS-3
Commandment #6
Commandment #9

Commandment #6 PL-4
Commandment #7 PS-6
PS-7

Commandment #6 PS-4
Commandment #7 PS-5
All CIP-007-3 - AC-17
R7.1 AC-18
AC-19
MP-2
MP-4
MP-6

Commandment #6 PL-4
Commandment #7 PS-6
Commandment #8 SA-9
Commandment #9
Commandment #6 AT-3
Commandment #7 PL-4
Commandment #8 PM-10
PS-1
PS-6
PS-7

Commandment #1 AC-8
Commandment #2 AC-20
Commandment #3 PL-4

Commandment #3 Chapter VI, Section I, Article 39 CIP-004-3 - AT-1


Commandment #6 and Chapter VI, Section II, R1 - R2 - AT-2
Article 41 R2.1 AT-3
AT-4

Commandment #5 Chapter VI, Section I, Article 39 AT-2


Commandment #6 and Chapter VI, Section II, AT-3
Commandment #7 Article 41 AT-4
PL-4
Commandment #7 Article 41 AT-4
PL-4

Commandment #5 AC-11
Commandment #6 MP-2
Commandment #7 MP-3
Commandment #11 MP-4

Commandment #2 CIP-003-3 - AU-9


Commandment #5 R5.2 AU-11
Commandment #11 AU-14
Commandment #6 CIP-007-3 - AC-1
Commandment #7 R5.1 - IA-1
Commandment #8 R5.1.2
Commandment #3 CIP-007-3 - CM-7
Commandment #4 R2 MA-3
Commandment #5 MA-4
Commandment #6 MA-5
Commandment #7
Commandment #8
Commandment #6 CIP-007-3 AC-1
Commandment #7 R5.1.1 AC-2
Commandment #8 AC-5
Commandment #10 AC-6
AU-1
AU-6
SI-1
SI-4

Commandment #6 CM-5
Commandment #7 CM-6
Commandment #9
Commandment #10
CA-3
MA-4
RA-3
NIST SP800-53 R3 AC-3
NIST SP800-53 R3 AC-5
NIST SP800-53 R3 AC-6
NIST SP800-53 R3 IA-2
NIST SP800-53 R3 IA-4
NIST SP800-53 R3 IA-5
NIST SP800-53 R3 IA-8
NIST SP800-53 R3 MA-5
NIST SP800-53 R3 PS-6
NIST SP800-53 R3 SA-7
NIST SP800-53 R3 SI-9

CIP-003-3 - AC-3
R5.1.1 - AC-5
R5.3 AC-6
CIP-004-3 IA-2
R2.3 IA-4
CIP-007-3 IA-5
R5.1 - IA-8
R5.1.2 MA-5
PS-6
SA-7
SI-9

Commandment #6 CIP-004-3 AC-2


Commandment #7 R2.2.2 AU-6
Commandment #8 CIP-007-3 - PM-10
Commandment #10 R5 - R.1.3 PS-6
PS-7
Commandment #6 CIP-004-3 AC-2
Commandment #7 R2.2.3 PS-4
Commandment #8 CIP-007-3 - PS-5
R5.1.3
-R5.2.1 -
R5.2.3

Commandment #6 CIP-004-3 AC-1


Commandment #7 R2.2.3 AC-2
Commandment #8 CIP-007-3 - AC-3
Commandment #9 R5.2 - AC-11
R5.3.1 - AU-2
R5.3.2 - AU-11
R5.3.3 IA-1
IA-2
IA-5
IA-6
IA-8
SC-10
Commandment #1 CIP-007-3 - AC-5
Commandment #5 R2.1 - R2.2 AC-6
Commandment #6 - R2.3 CM-7
Commandment #7 SC-3
SC-19

Commandment #6 CIP-007-3 - AU-1


Commandment #7 R6.5 AU-2
Commandment #11 AU-3
AU-4
AU-5
AU-6
AU-7
AU-9
AU-11
AU-12
AU-14
SI-4
AU-5
AU-6
AU-7
AU-9
AU-11
AU-12
AU-14
SI-4

AU-1
AU-8

Commandment #1 SA-4
Commandment #2
Commandment #3
Commandment #1 CIP-004-3 SC-7
Commandment #2 R2.2.4
Commandment #3
Commandment #9
Commandment #10
Commandment #11

Commandment #1 SC-2
Commandment #10
Commandment #11
Commandment #1 CIP-004-3 AC-4
Commandment #2 R3 SC-2
Commandment #3 SC-3
Commandment #9 SC-7
Commandment #10
Commandment #11
Commandment #1 CIP-004-3 AC-1
Commandment #2 R3 AC-18
Commandment #3 CIP-007-3 - CM-6
Commandment #4 R6.1 PE-4
Commandment #5 SC-3
Commandment #9 SC-7
Commandment #10
Commandment #11

Commandment #1 CIP-004-3
Commandment #2 R2.2.4
Commandment #3
Commandment #9
Commandment #10
Commandment #11
Chapter VI,

Article 44.

Chapter II,

Article 16, part I

Commandment #2 Chapter II, Article 20 CIP-007-3 - IR-1


Commandment #6 R6.1 IR-2
Commandment #8 CIP-008-3 - IR-3
R1 IR-4
IR-5
IR-7
IR-8

Commandment #2 Chapter II, Article 20 CIP-003-3 - IR-2


Commandment #6 R4.1 IR-6
Commandment #8 CIP-004-3 IR-7
R3.3 SI-4
SI-5

CIP-004-3 AU-6
R3.3 AU-7
AU-9
AU-11
IR-5
IR-7
IR-8
CIP-004-3 AU-6
R3.3 AU-7
AU-9
AU-11
IR-5
IR-7
IR-8

CIP-008-3 - IR-4
R1.1 IR-5
IR-8

Commandment #6 SC-20
Commandment #7 SC-21
Commandment #8 SC-22
SC-23
SC-24
Commandment #1 Chapter II CA-3
Commandment #4 Article 14. MP-5
Commandment #5 PS-7
Commandment #6 SA-6
Commandment #7 SA-7
Commandment #8 SA-9
Commandment #1 Chapter II AC-1
Commandment #2 AT-1
Commandment #3 Article 14, 21 AU-1
CA-1
CM-1
CP-1
Chapter III IA-1
IA-7
Article 25 IR-1
MA-1
Commandment #4 CIP-007-3 - SA-7
Commandment #5 R4 - R4.1 - SC-5
R4.2 SI-3
SI-5
SI-7
SI-8

Commandment #4 CIP-004-3 CM-3


Commandment #5 R4 - 4.1 - CM-4
4.2 CP-10
CIP-005-3a RA-5
- R1 - R1.1 SA-7
CIP-007-3 - SI-1
R3 - R3.1 - SI-2
R8.4 SI-5
Commandment #1 SC-18
Commandment #2
Commandment #3
Commandment #5
Commandment #11
NIST SP800-53 R4
NZISM ODCA UM: PA R2.0
Appendix J

PA ID PA level

AR-7 The organization 14.5 PA17 SGP


designs information 14.6 PA31 BSGP
systems to support privacy
by automating privacy
controls.
AP-1 The organization 9.2
determines and
documents the legal
authority that permits the
collection, use,
maintenance, and sharing
of personally identifiable
information (PII), either
generally or in support of
a specific program or
AR-7 The organization 14.5 PA25 GP
designs information 14.6
systems to support privacy
by automating privacy
controls.

AR-7 The organization 16.5 PA20 GP


designs information 16.8 PA25 P
systems to support privacy 17.4 PA29 SGP
by automating privacy
controls.
AR-4 Privacy Auditing and 5.1, 5.3, 5.4 PA15 SGP
Monitoring. To promote
accountability,
organizations identify and
address gaps in privacy
compliance, management,
operational, and technical
controls by conducting
regular assessments (e.g.,
internal risk assessments).
Audit for effective
implementation of all
privacy controls identified
in this appendix,
organizations assess
whether they: (i)
implement a process to
embed privacy
considerations into the life
cycle of personally
identifiable information
(PII), programs,
information systems,
mission/business
processes, and
technology; (ii) monitor
for changes to applicable
privacy laws, regulations,
and policies; (iii) track
programs, information
systems, and applications
that collect and maintain
PII to ensure compliance;
(iv) ensure that access to
PII is only on a need-to-
know basis; and (v) ensure
that PII is being
maintained and used only
AR-4. Privacy Auditing and 6.1 PA18 GP
Monitoring. These
assessments can be self-
assessments or third party
audits that result in
reports on compliance
gaps identified in
programs, projects, and
information systems.
1.2
2.2
3.3
5.2
UL-2 INFORMATION 6.4
SHARING WITH THIRD
PARTIES - a. Shares
personally identifiable
information (PII)
externally, only for the
authorized purposes
identified in the Privacy
Act and/or described in its
notice(s) or for a purpose
that is compatible with
those purposes; b. Where
appropriate, enters into
Memoranda of
4.4 PA15 SGP
5.2(time limit)
6.3(whenever change
occurs)

10.1 PA15 SGP


10.2
10.3
10.4
10.5
10.6

10.5
13.5
17.1
8.1 PA15 SGP
8.4

8.1 PA15 SGP

3.3 PA8 BSGP


12.1 PA15 SGP
12.5
14.5 (software)
8.1 PA15 SGP
8.2
8.3
8.4

6.4 PA8 BSGP


PA15 SGP
FTC Fair Information 6.4 PA10 BSGP
Principles 13.1 PA29 SGP

Integrity/Security

Security involves both


managerial and technical
measures to protect
against loss and the
unauthorized access,
destruction, use, or
disclosure of the data.(49)
Managerial measures
include internal
organizational measures
that limit access to data
and ensure that those
individuals with access do
not utilize the data for
unauthorized purposes.
Technical security
measures to prevent
unauthorized access
include encryption in the
transmission and storage
of data; limits on access
through use of passwords;
and the storage of data on
secure servers or
computers . -
http://www.ftc.gov/report
s/privacy3/fairinfo.shtm
12.1
2.2 PA17 SGP
4.1

12.1
14.1
14.2
FTC Fair Information 14.1
Principles

Involves both managerial


and technical measures to
protect against loss and
the unauthorized access,
destruction, use, or
disclosure of the data.(49)
Managerial measures
include internal
organizational measures
that limit access to data
and ensure that those
individuals with access do
not utilize the data for
unauthorized purposes.
Technical security
measures to prevent
unauthorized access
include encryption in the
transmission and storage
of data; limits on access
through use of passwords;
and the storage of data on
secure servers or
computers . -
http://www.ftc.gov/report
s/privacy3/fairinfo.shtm
AR- 4. Privacy Monitoring 12.1 PA14 SGP
and Auditing. 12.4
Organizations also: (i)
implement technology to
audit for the security,
appropriate use, and loss
of PII; (ii) perform reviews
to ensure physical security
of documents containing
PII; (iii) assess contractor
compliance with privacy
requirements; and (iv)
ensure that corrective
actions identified as part
of the assessment process
are tracked and monitored
until audit findings are
corrected. The
organization Senior
Agency Official for Privacy
(SAOP)/Chief Privacy
Officer (CPO) coordinates
monitoring and auditing
efforts with information
security officials and
ensures that the results
are provided to senior
managers and oversight
officials.

DM-1 Minimization of
Personally Identifiable PA10 SGP
Information. DM-2 Data
Retention & Disposal. DM-
3 Minimization of PII used
in Testing, Training, and
Research.
TR-2 SYSTEM OF RECORDS
NOTICES AND PRIVACY
ACT STATEMENTS

TR-2 SYSTEM OF RECORDS PA25 GP


NOTICES AND PRIVACY PA21 GP
ACT STATEMENTS PA5 BSGP

DM-1 Minimization of 13.1


Personally Identifiable
Information. DM-2 Data
Retention & Disposal. DM-
3 Minimization of PII used
in Testing, Training, and
Research. SE-1
INVENTORY OF
PERSONALLY
IDENTIFIABLE
INFORMATION
DM-1 Minimization of 17.8
Personally Identifiable
Information. DM-2 Data
Retention & Disposal. DM-
3 Minimization of PII used
in Testing, Training, and
Research. SE-1
INVENTORY OF
PERSONALLY
IDENTIFIABLE
INFORMATION

AP-1 AUTHORITY TO 3.4


COLLECT. AP-2 PURPOSE
SPECIFICATION.

DM-2 DATA RETENTION 13.4 PA10 BSGP


AND DISPOSAL 13.5 PA39 SGP
PA34 SGP
PA40 SGP
12.3 PA4 BSGP
PA8 BSGP
PA37 SGP
PA38 SGP

8.1 PA4 BSGP


8.2

PA22 GP
PA33 SGP
12.5 PA4 BSGP
19.1

12.6 PA4 BSGP

4.2 PA4 BSGP


8.1
8.2 PA4 BSGP
8.1

8.1 PA4 BSGP


8.2
8.3
8.4

8.1 PA4 BSGP


8.2 PA13 SGP
PA24 P

PA36
16.2 PA36

16.1 PA25 GP
AR-1 Governance and 4.4
Privacy Program. TR-1 5.1
PRIVACY NOTICE. TR-3
DISSEMINATION OF
PRIVACY PROGRAM
INFORMATION
AR-2 Privacy Impact and 3.3 PA10 BSGP
Risk Assessment 4.3 PA18 GP
8.4
AR-1 Governance and 3.2
Privacy Program

AR-1 Governance and 4.1 PA8 BSGP


Privacy Program
4.1

4.2 PA30 BSGP


4.3
4.4
4.5
AR-2 Privacy Impact and 4.3
Risk Assessment

4.1
6.1
1.1 PA2 BSGP
3.3 PA15 SGP
5.1
5.2
5.3
5.4
7.1
12.2
17.7
18.1
18.3

AR-2 Privacy Impact and 3.2 (responsibility)


Risk Assessment 3.3
3.4
4.1
4.3
5.2 (residual Risk)
2.2
9.29 PA27 BSGP

9.2 PA27 BSGP

PA27 BSGP
19.1 PA33 SGP
19.2 PA34 SGP
19.3

DI-2 DATA INTEGRITY AND PA7 BSGP


DATA INTEGRITY BOARD
a. Documents processes
to ensure the integrity of
personally identifiable
information (PII) through
existing security controls;
and
b. Establishes a Data
Integrity Board when
appropriate to oversee
organizational Computer
Matching Agreements123
and to ensure that those
agreements comply with
the computer matching
provisions of the Privacy
Act.

IP-1 CONSENT
a. Provides means, where
feasible and appropriate,
for individuals to
authorize the collection,
use, maintaining, and
sharing of personally
identifiable information
(PII) prior to its collection;
AR-1 GOVERNANCE AND 2.2 PA9 BSGP
PRIVACY PROGRAM PA24
Control: The organization:
Supplemental Guidance:
The development and
implementation of a
comprehensive
governance and privacy
program demonstrates
organizational
accountability for and
commitment to the
protection of individual
privacy. Accountability
begins with the
appointment of an
SAOP/CPO with the 2.2
authority, mission, 5.2
resources, and
responsibility to develop 4.2
and implement a
multifaceted privacy
program. The SAOP/CPO,
in consultation with legal
counsel, information
security officials, and
others as appropriate: (i)
ensures the development,
implementation, and
enforcement of privacy
policies and procedures;
(ii) defines roles and
responsibilities for
AR-5 PRIVACY
protecting PII; (iii) 9.1 PA28 BSGP
AWARENESS
determines the AND level of
TRAINING
information sensitivity
Control:
with regard Thetoorganization:
PII
a. Develops,
holdings; (iv)implements,
identifies the
and
laws,updates a
regulations, and
comprehensive
internal policiestraining
that apply
and
to theawareness strategy
PII; (v) monitors
aimed
privacyatbestensuring
practices;thatand
personnel understand
(vi) monitors/audits
privacy
complianceresponsibilities
with identified
and procedures;
privacy controls.
b. Administers basic
privacy training
AR-3 PRIVACY
[Assignment:
REQUIREMENTS organization-
FOR
defined
CONTRACTORSfrequency,ANDat least
annually] and targeted,
SERVICE PROVIDERS
role-based
Control: Theprivacy training
organization:
for personnel privacy
a. Establishes having
responsibility for
roles, responsibilities, and
personally identifiablefor
access requirements
information
contractors and (PII)service
or for
UL-1 INTERNAL
providers; and USE 9.1
Control:
b. Includes Theprivacy
organization
uses personally
requirements in contracts
identifiable information
and other acquisition-
(PII) internally
related documents.only for the
authorized purpose(s)
identified in the Privacy
Act and/or in public
notices.
uses personally
identifiable information
(PII) internally only for the
authorized purpose(s)
identified in the Privacy
Act and/or in public
notices.

8.1

15.4
15.1
15.2
15.4
3.0 PA24 P
3.1
3.2
3.3
3.4
3.5

9.4
14.1
14.2
19.1
"FTC Fair Information 2.2
Principles 4.3
Integrity/Security
Security involves both
managerial and technical
measures to protect
against loss and the
unauthorized access,
destruction, use, or
disclosure of the data.(49)
Managerial measures
include internal
organizational measures
that limit access to data
and ensure that those
individuals with access do
not utilize the data for
unauthorized purposes.
Technical security
measures to prevent
unauthorized access
include encryption in the
transmission and storage
of data; limits on access
through use of passwords;
and the storage of data on
secure servers or
computers . -
http://www.ftc.gov/report
s/privacy3/fairinfo.shtm".
UL-2 INFORMATION
SHARING WITH THIRD
PARTIES
"FTC Fair Information 3.2
Principles 9.2
Integrity/Security 15.2
Security involves both
managerial and technical
measures to protect
against loss and the
unauthorized access,
destruction, use, or
disclosure of the data.(49)
Managerial measures
include internal
organizational measures
that limit access to data
and ensure that those
individuals with access do
not utilize the data for
unauthorized purposes.
Technical security
measures to prevent
unauthorized access
include encryption in the
transmission and storage
of data; limits on access
through use of passwords;
and the storage of data on
secure servers or
computers
AP-1 .-
The organization 9.2 PA24 GP
determines and 15.2
documents the legal
authority that permits the
collection, use,
maintenance, and sharing
of personally identifiable
information (PII), either
generally or in support of
a specific program or
information system need.

9.2
"FTC Fair Information 9.2
Principles
Integrity/Security
Security involves both
managerial and technical
measures to protect
against loss and the
unauthorized access,
destruction, use, or
disclosure of the data.(49)
Managerial measures
include internal
organizational measures
that limit access to data
and ensure that those
individuals with access do
"FTC Fair Information 15.1 PA9 BSGP
Principles 15.2 PA6 BSGP
Integrity/Security PA24 P
Security involves both PA22 GP
managerial and technical
measures to protect
against loss and the
unauthorized access,
destruction, use, or
disclosure of the data.(49)
Managerial measures
include internal
organizational measures
that limit access to data
and ensure that those
individuals with access do
not utilize the data for
unauthorized purposes.
Technical security
measures to prevent
unauthorized access
include encryption in the
transmission and storage
of data; limits on access
through use of passwords;
and the storage of data on
secure servers or
computers . -
http://www.ftc.gov/report
s/privacy3/fairinfo.shtm"
12.2
14.2

17.6 PA11 BSGP


PA12 SGP
PA13 SGP
PA24 P
PA35 GP

3.3 PA16 SGP


PA36

17.1 PA3 BSGP


17.2 PA5 BSGP
PA16 SGP
PA19 GP
PA18 SGP

14.5 PA3 BSGP


17.6 PA3 BSGP
18.1 PA5 BSGP
18.4 PA16 SGP
PA20 GP
11.1 PA3 BSGP
17.3 PA6 BSGP
PA16 SGP
PA20 GP
PA25 P
PA32 BSGP
PA33 SGP

17.1 PA3 BSGP


17.2 PA5 BSGP
PA16 SGP
PA19 GP
PA18 SGP
PA32 BSGP
PA34 SGP
3.2

IP-4 COMPLAINT 4.1 PA8 BSGP


MANAGEMENT. SE-2 4.2 PA11
PRIVACY INCIDENT 4.6
RESPONSE 7.1

IP-4 COMPLAINT 7.2 PA8 BSGP


MANAGEMENT. SE-2
PRIVACY INCIDENT
RESPONSE

7.3 PA11 BSGP


7.3 PA11 BSGP

7.2 PA11 BSGP


7.3

17.1 PA3 BSGP


PA8 BSGP
PA16 SGP
5.2
2.2
5.4

14.1 PA1 BSGP


17.6

12.4 PA2 BSGP


14.1 PA8
3
3.1
3.2
3.3
3.4
3.5
PCI DSS v2.0 PCI DSS v3.0

PCI DSS v2.0 6.5 6, 6.5


4.1.1, 4.2, 4.3
PCI DSS v2.0 6.3.1
6.3.1 6.3.2
PCI DSS v2.0
6.3.2

PCI DSS v2.0 2.3 2.3


PCI DSS v2.0 3.4.1
3.4.1, 4.1
PCI DSS v2.0 4.1 4.1.1
PCI DSS v2.0 6.1
4.1.1 6.3.2a
PCI DSS v2.0 6.1 6.5c, 7.1, 7.2, 7.3,
PCI DSS v2.0 8.1, 8.2, 8.3, 8.4,
6.3.2a 8.5, 8.6, 8.7, 8.8
PCI DSS v2.0 6.5c 10.5.5, 10.8
PCI DSS v2.0 8.3 11.5, 11.6
PCI DSS v2.0
10.5.5
PCI DSS v2.0
11.5
PCI DSS v2.0
2.1.2.b
PCI DSS v2.0 11.2
11.2 11.3
PCI DSS v2.0 6.3.2, 6.6
11.3 11.2.1, 11.2.2,
PCI DSS v2.0 6.6 11.2.3, 11.3.1,
PCI DSS v2.0 11.3.2, 12.1.2.b,
12.1.2.b 12.8.4
PCI DSS v2.0 3.1
3.1.1
PCI DSS v2.0 3.1
PCI DSS v2.0 12.9.1
12.9.1 12.9.3
PCI DSS v2.0 12.9.4
12.9.3 12.9.6
PCI DSS v2.0
12.9.4
PCI DSS v2.0
12.9.6
PCI DSS v2.0 12.9.2, 12.10.2
12.9.2

4.1, 4.1.1, 9.1, 9.2

PCI DSS v2.0 1.1.2, 1.1.3, 2.2,


12.1 12.3
PCI DSS v2.0 12.6
12.2
PCI DSS v2.0
12.3
PCI DSS v2.0
12.4
3.5.2, 3.6.3, 3.7,
5.1, 5.2, 5.3,
6.1, 6.2,
7.1, 7.2,
9.1, 9.2, 9.3, 9.4,
9.5, 9.6,
9.7, 9.8, 9.9,
12.2

PCI DSS v2.0 9.1.3


9.1.3 9.5
PCI DSS v2.0 9.5 9.6
PCI DSS v2.0 9.6 9.9
PCI DSS v2.0 9.9 9.9.1, 12.2
PCI DSS v2.0
9.9.1

10.8, 11.6
PCI DSS v2.0 4.3, 10.8,
12.1 11.1.2,
PCI DSS v2.0 12.1
12.2 12.2
PCI DSS v2.0 12.3
12.3 12.4
PCI DSS v2.0 12.5, 12.5.3,
12.4 12.6, 12.6.2,
12.10

PCI DSS v2.0 3.1 3.1


PCI DSS v2.0 3.1.a
3.1.1 3.2
PCI DSS v2.0 3.2 9.9.1
PCI DSS v2.0 9.5. 9.5.1
9.9.1 9.6. 9.7, 9.8
PCI DSS v2.0 9.5 10.7, 12.10.1
PCI DSS v2.0 9.6
PCI DSS v2.0
10.7

PCI DSS v2.0 6.3.2, 12.3.4


6.3.2
PCI DSS v2.0 2.1, 2.2.4, 2.3, 2.5
3.6.7 3.3, 3.4, 3.6
PCI DSS v2.0 4.1, 4.2
6.4.5.2 6.3.1, 6.3.2, 6.4.2,
PCI DSS v2.0 6.4.3, 6.4.4, 6.4.5.2
7.1.3 6.7
PCI DSS v2.0 7.1, 7.1.3, 7.1.4
8.5.1 8.3, 8.5.1, 8.7
PCI DSS v2.0 9.1 9.1
PCI DSS v2.0 9.1.2
9.1.2 9.2
PCI DSS v2.0 10.5
9.2b
PCI DSS v2.0 11.5
6.1
1.1.1 6.2
PCI DSS v2.0 6.1 6.3
PCI DSS v2.0 6.4 6.4
6.5
6.6
6.7
1.3.3
2.1, 2.2.2
3.6
4.1
5.1, 5.2, 5.3, 5.4
6.2
7.1
9.1
9.1.1
9.1.2
9.1.3
9.2
9.3
9.4
9.4.1
9.4.2
9.4.3
10.1, 10.2, 10.3,
10.4, 10.5, 10.6,
10.7
11.1, 11.4, 11.5
12.3
PCI DSS v2.0 1.1.1
1.1.1 6.3.2
PCI DSS v2.0 6.4.5
6.3.2
PCI DSS v2.0 6.4
PCI DSS v2.0 6.1

PCI DSS v2.0 3.1


9.7.1 9.6.1, 9.7.1
PCI DSS v2.0 9.10
9.10 12.3
PCI DSS v2.0
12.3
1.1.3
12.3.3

PCI-DSS v2.0 2.1.1


2.1.1 3.1
PCI-DSS v2.0 4.1 4.1
PCI-DSS v2.0 4.1.1
4.1.1 4.2
PCI DSS v2.0 4.2

PCI DSS v2.0 9.5 9.5, 9.5.1


PCI DSS v2.0 9.6 9.6
PCI DSS v2.0 9.7
9.7.1 9.8
PCI DSS v2.0 9.9
9.7.2
PCI DSS v2.0
9.10
PCI DSS v2.0 6.4.3
6.4.3

3.7
12.5.5
12.10.4

PCI DSS v2.0 3.1.1


3.1.1 9.8, 9.8.1, 9.8.2, 3.1
PCI DSS v2.0
9.10
PCI DSS v2.0
9.10.1
PCI DSS v2.0
9.10.2
PCI DSS v2.0 3.1
PCI DSS v2.0 9.7.1
9.9.1 9.9
PCI DSS v2.0 9.9.1
12.3.3
PCI DSS v2.0
12.3.4

PCI DSS v2.0 9.1 9.1


9.1.1
9.1.2, 9.1.3
9.2, 9.3, 9.4, 9.4.1,
9.4.2, 9.4.3, 9.4.4
PCI DSS v2.0 9.8 9.6.3
PCI DSS v2.0 9.9

PCI DSS v2.0 9.8 9.8, 9.8.1, 9.8.2


PCI DSS v2.0 9.9 12.3
PCI DSS v2.0
9.10

PCI DSS v2.0 9.1 9.1


PCI DSS v2.0 9.2 9.1.1
PCI DSS v2.0 9.3 9.1.2
PCI DSS v2.0 9.4 9.2
9.3
9.4
9.4.1
9.4.2
9.4.3
9.4.4
9.4.1
9.4.2
9.4.3
9.4.4

PCI DSS v2.0 9.1 9.1


PCI DSS v2.0 9.1.1
9.1.1 9.1.3
PCI DSS v2.0
9.1.2
PCI DSS v2.0
9.1.3
PCI DSS v2.0 9.2

9.1
9.1.1
9.1.2
9.2
9.3
9.4
9.4.1
9.4.2
9.4.3
9.4.4
9.5
PCI DSS v2.0 9.1 9.5.1
9.1
9.1.1
9.1.2
9.2
9.3
9.4
9.4.1
9.4.2
9.4.3
9.4.4
9.5
9.5.1

3.5, 7.1.3
8.1
8.1.1
8.2.2
8.5
8.5.1
PCI-DSS v2.0 3.4.1
3.4.1 3.5
PCI-DSS v2.0 3.5 3.5.1
PCI-DSS v2.0 3.5.2
3.5.1 3.6
PCI-DSS v2.0 3.6.1
3.5.2 3.6.2
PCI-DSS v2.0 3.6 3.6.3
PCI-DSS v2.0 3.6.4
3.6.1 3.6.5
PCI-DSS v2.0 3.6.6
3.6.2 3.6.7
PCI-DSS v2.0 3.6.8,
3.6.3 4.1
PCI-DSS v2.0 6.5.3
3.6.4 8.2.1
PCI-DSS v2.0 8.2.2
3.6.5
PCI-DSS v2.0
3.6.6
PCI-DSS v2.0
3.6.7
PCI-DSS v2.0
3.6.8

PCI-DSS v2.0 2.1.1


2.1.1 2.3
PCI-DSS v2.0 3.4 3.3
PCI-DSS v2.0 3.4
3.4.1 3.4.1
PCI-DSS v2.0 4.1 4.1
PCI-DSS v2.0 4.1.1
4.1.1 4.2
PCI DSS v2.0 4.2 4.3
6.5.3
6.5.4
8.2.1
3.5.2, 3.5.3
3.6.1, 3.6.3

PCI DSS v1.2 1.1 1.1


PCI DSS v1.2 1.1.1
1.1.1 1.1.2
PCI DSS v1.2 1.1.3
1.1.2 1.1.4
PCI DSS v1.2 1.1.5
1.1.3 1.1.6
PCI DSS v1.2 2.2
1.1.4 2.2.1
PCI DSS v1.2 2.2.2
1.1.5 2.2.3
PCI DSS v1.2 2.2.4
1.1.6
PCI DSS v1.2 2.2
PCI DSS v1.2
2.2.1
PCI DSS v1.2
2.2.2
PCI DSS v1.2
2.2.3
PCI DSS v1.2
2.2.4
1.1.3 1.1.6
PCI DSS v1.2 2.2
1.1.4 2.2.1
PCI DSS v1.2 2.2.2
1.1.5 2.2.3
PCI DSS v1.2 2.2.4
1.1.6
PCI DSS v1.2 2.2
PCI DSS v1.2
2.2.1
PCI DSS v1.2
2.2.2
PCI DSS v1.2
2.2.3
PCI DSS v1.2
2.2.4

PCI DSS v2.0 12.2


12.1
PCI DSS v2.0
12.1.2
PCI DSS v2.0 12.6, 7.3, 8.8, 9.10
12.6.1
PCI DSS v2.0
12.6.2

PCI DSS v2.0 12.1


12.1 12.2
PCI DSS v2.0
12.2
PCI DSS v2.0 12.4
12.5

PCI DSS v2.0 7.3, 8.8, 9.10, 12.1


12.1 12.2
PCI DSS v2.0
12.2
PCI DSS v2.0 12.2
12.1.3

PCI DSS v2.0 12.1.1


12.1.3
PCI DSS v2.0 12.2
12.1.2

PCI DSS v2.0 12.2


12.1.2

9.3
PCI DSS v2.0 12.7
12.7 12.8.3
PCI DSS v2.0
12.8.3

PCI DSS v2.0


12.4
PCI DSS v2.0
12.8.2
PCI DSS v2.0 9.7 11.1
PCI DSS v2.0 12.3
9.7.2
PCI DSS v2.0 9.8
PCI DSS v2.0 9.9
PCI DSS v2.0
11.1
PCI DSS v2.0
12.3

PCI DSS v2.0


12.8.2
PCI DSS v2.0
12.8.3
PCI DSS v2.0
12.8.4
12.8.5

PCI-DSS v2.0 12.3


12.3.5

PCI DSS v2.0 12.6


12.6
PCI DSS v2.0
12.6.1
PCI DSS v2.0
12.6.2

PCI DSS v2.0 12.4


8.5.7
PCI DSS v2.0
12.6.1
PCI DSS v2.0
12.6.1

8.1.8

PCI DSS v2.0 10.5


10.5.5 7.1.2
7.1.4
7.2
8.1
8.1.5
8.5
PCI DSS v2.0 3.5.1, 7.0
3.5.1 8.0
PCI DSS v2.0 12.5.4
8.5.1
PCI DSS v2.0
12.5.4
PCI-DSS v2.0 1.2.2
9.1.2 7.1
7.1.2
7.1.3
7.2
7.2.3
9.1.2
9.1.3

7.3
8.8
9.10
PCI DSS v2.0 6.4.2, 7.3
6.4.2 8.8
9.10

PCI-DSS v2.0 6.4.1


6.4.1 6.4.2, 7.1
PCI-DSS v2.0 7.1.1
6.4.2 7.1.2
7.1.3
7.1.4
7.2
7.2.2
7.3
PCI DSS v2.0 12.8
12.8.1 12.2
PCI DSS v2.0
12.8.2
PCI DSS v2.0
12.8.3
PCI DSS v2.0
12.8.4
PCI DSS v2.0 7.1 7.1
PCI DSS v2.0 7.1.1
7.1.1 7.1.2
PCI DSS v2.0 7.1.3
7.1.2 7.1.4
PCI DSS v2.0 7.2
7.1.3
PCI DSS v2.0
7.2.1
PCI DSS v2.0
7.2.2
PCI DSS v2.0
8.5.1
PCI DSS v2.0
12.5.4

7.1 7.1
7.1.1 7.1.1
7.1.2 7.1.2
7.1.3 7.1.3
7.2.1 7.1.4
7.2.2 12.5.4
8.5.1
12.5.4

8.1.4
PCI DSS v2.0 8.1.3
8.5.4 8.1.4
PCI DSS v2.0 8.1.5, 12.5.4
8.5.5

PCI DSS v2.0 8.1 8.0


PCI DSS v2.0 8.2, 10.1,
PCI DSS v2.0 8.3 12.3
PCI DSS v2.0 8.4
PCI DSS v2.0 8.5
PCI DSS v2.0
10.1,
PCI DSS v2.0
12.2,
PCI DSS v2.0
12.3.8
PCI DSS v2.0 5.0
7.1.2 7.1
7.1.2
7.2

PCI DSS v2.0 10.1


10.1 PCI DSS 10.2
v2.0 10.2 10.3
PCI DSS v2.010.3 10.4
PCI DSS v2.0 10.5
10.5 10.6
PCI DSS v2.010.6 10.7, 10.8
PCI DSS v2.0 11.4, 11.5, 11.6
10.7 12.5.2
PCI DSS v2.0
11.4
PCI DSS v2.0
12.5.2 PCI DSS
v2.0 12.9.5
PCI DSS v2.0 10.5
10.5 10.6
PCI DSS v2.010.6 10.7, 10.8
PCI DSS v2.0 11.4, 11.5, 11.6
10.7 12.5.2
PCI DSS v2.0
11.4
PCI DSS v2.0
12.5.2 PCI DSS
v2.0 12.9.5

10.5.5, 12.10.5

PCI DSS v2.0 10.4


10.4
6.1

PCI DSS v2.0 1.1 1.1


PCI DSS v2.0 1.1.2
1.1.2 1.1.3
PCI DSS v2.0 1.1.5
1.1.3 1.1.6
PCI DSS v2.0 1.2
1.1.5 1.2.1
PCI DSS v2.0 1.2.2
1.1.6 1.2.3
PCI DSS v2.0 1.2 1.3
PCI DSS v2.0 2.2.2
1.2.1 2.2.3
PCI DSS v2.0 2.2.4
2.1
2.2
2.5
5.1

PCI DSS v2.0 6.4.1


6.4.1 6.4.2
PCI DSS v2.0
6.4.2
PCI DSS v2.0 1.1 1.1
PCI DSS v2.0 1.2 1.2
PCI DSS v2.0 1.2.1
1.2.1 1.2.3
PCI DSS v2.0 1.3 1.3
PCI DSS v2.0 1.4 1.4
2.1.1
2.2.3
2.2.4
2.3

4.1

3.5.1, 3.6.6
PCI DSS v2.0 1.2.3
1.2.3 2.1.1
PCI DSS v2.0 4.1
2.1.1 4.1.1
PCI DSS v2.0 4.1 11.1, 11.1.a, 11.1.b,
PCI DSS v2.0 11.1.c, 11.1.d,
4.1.1 11.1.1, 11.1.2
PCI DSS v2.011.1 9.1.3
PCI DSS v2.0
9.1.3

1.1 1.1
1.1.2 1.1.2
1.1.3 1.1.3
1.1.5 1.1.5
1.1.6 1.1.6
1.2 1.2
1.2.1 1.2.1
2.2.2 1.2.2
2.2.3 1.2.3
1.3
2.2.2
2.2.3
2.2.4
2.5
4.1
4.1

4.1.1
4.3
4.1
12.5.3
12.10.1

PCI-DSS v2.0 12.1


12.9
PCI-DSS v2.0
12.9.1
PCI-DSS v2.0
12.9.2
PCI-DSS v2.0
12.9.3
PCI-DSS v2.0
12.9.4
PCI-DSS v2.0
12.9.5
PCI-DSS v2.0
12.9.6

PCI-DSS v2.0 12.10.1


12.5.2
PCI-DSS v2.0
12.5.3
PCI DSS v2.0
12.9.6

12.1.1
PCI DSS v2.0 2.4 2.4
PCI DSS v2.0 12.8.2
12.8.2
12.8.4
PCI DSS v2.0 2.4 2.4
PCI DSS v2.0 12.8.2
12.8.2 12.8.3
PCI DSS v2.0 12.8.4
12.8.3 Appendix A
PCI DSS v2.0
12.8.4
Appendix A

PCI-DSS v2.0 5.1 1.4, 5.0


PCI-DSS v2.0
5.1.1
PCI-DSS v2.0 5.2

PCI-DSS v2.0 2.2 2.2


PCI-DSS v2.0 6.1 6.1
PCI-DSS v2.0 6.2 6.2
PCI-DSS v2.0 6.3.2
6.3.2 6.4.5
PCI-DSS v2.0 6.5
6.4.5 6.6
PCI-DSS v2.0 11.2
6.5.X 11.2.1
PCI-DSS v2.0 6.6 11.2.2
PCI-DSS v2.0 11.2.3
11.2
PCI-DSS v2.0
11.2.1
PCI-DSS v2.0
11.2.2
PCI-DSS v2.0
11.2.3