NTE INEN-IsOIEC 27018 Protección de Datos Personales en La Nube

Servicio Ecuatoriano de Normalización (2016).
Tecnologías de la información ─ Técnicas de seguridad ─ Código de práctica

para la protección de la información de identificación personal (PII) en nubes públicas actuando como procesadores de PII
(ISO/IEC 27018: 2014, IDT) : NTE INEN-ISO/IEC 27018 (37 p.) (1a ed) Quito : INEN . (069478)
Quito – Ecuador
NORMA NTE INEN-ISO/IEC 27018

TÉCNICA Primera edición
2016-07
ECUATORIANA
TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS DE

SEGURIDAD ─ CÓDIGO DE PRÁCTICA PARA LA PROTECCIÓN DE
LA INFORMACIÓN DE IDENTIFICACIÓN PERSONAL (PII) EN NUBES
PÚBLICAS ACTUANDO COMO PROCESADORES DE PII (ISO/IEC
27018:2014, IDT)
INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

PROTECTION OF PERSONALLY IDENTIFIABLE INFORMATION (PII) IN PUBLIC CLOUDS ACTING
AS PII PROCESSORS (ISO/IEC 27018:2014, IDT)
_____________________________________
Correspondencia:
Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC
27018:2014.
DESCRIPTORES: Tecnologías de la información, técnicas de seguridad, código de conducta, protección, identificación 26

personal,procesadores, nubes públicas Páginas
ICS: 035.040
© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
NTE INEN-ISO 27018 2016-07
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27018:2015, es una traducción idéntica a la
Norma Internacional ISO/IEC 27018:2014. Information technology — Security techniques — Code of
practice for protection of personally identifiable information (PII) in public clouds acting as PII
processors. El comité responsable de esta Norma Técnica Ecuatoriana y de su traducción es el
Comité Técnico de Normalización, “Tecnologías de la Información”.
Para el propósito de esta Norma Técnica Ecuatoriana, se ha hecho el siguiente cambio editorial:
a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.
A continuación, se enlistan los documentos normativos internacionales que se referencian en la

Norma Internacional ISO/IEC 27018:2014 y los documentos normativos nacionales correspondientes:
Documento Normativo Internacional

Documento Normativo Nacional
ISO/IEC 17788|Rec. ITU-T Y. 3500, No existe documento normativo nacional
Information technology — Cloud computing
1)
— Overview and vocabulary
ISO/IEC 27000:2014, Information technology No existe documento normativo nacional, el

— Security techniques — Information INEN tiene adoptada la NTE INEN-ISO/IEC
security management systems — Overview 27000:2012, Tecnologías de la información —
and vocabulary Técnicas de seguridad —Sistema de gestión de
seguridad de la información — Descripción
general y vocabulario.

— Security techniques — Information INEN tiene adoptada la NTE INEN-ISO/IEC
security management systems — 27001:2011, Tecnologías de la información —
Requirements Técnicas de seguridad. Sistema de gestión de la
seguridad de la información — Requisitos.

— Security techniques — Code of practice INEN tiene adoptada la NTE INEN-ISO/IEC
for information security controls 27002:2009, Tecnologías de la información —
Técnicas de la seguridad — Código de práctica
para la gestión de la seguridad de la
información.
ISO/IEC 29100:2011, Information technology No existe documento normativo nacional

— Security techniques — Privacy framework

© INEN 2016
2016-513 i
NTE INEN-ISO 27018 2016-07
Índice
Página
Prólogo…………………………………………………………………………………………………… iv
0 Introducción……………………………………………………………………………………. v
1 Objeto y campo de aplicación ……………………………………………………………… 1
2 Referencias normativas ……………………………………………………………………… 1
3 Términos y definiciones ……………………………………………………………………… 1
4 Descripción …………………………………………………………………………………….. 3
4.1 Estructura de esta norma…………………………...……………………..…………….. 3
4.2 Categorías de control …………………………………………………………………… 4
5 Políticas de seguridad de la información …………………………………………………. 4

5.1 Dirección de la gestión de seguridad de la información ………………………………… 4
6 Organización de la seguridad de la información………………………………………….. 5

6.1 Organización interna…………………………………….……………………………….… 5
6.2 Los dispositivos móviles y el teletrabajo……………………………………………….. 6
7 Seguridad en recursos humanos…………………………………………………………… 6
7.1 Antes de empleo……….…………………………………………………………………… 6

7.2 Durante el empleo…………………...…………………………………………………….. 6
7.3 Terminación y cambio de empleo……….……………………………………………….. 7
8 Gestión de activos……………………………………………………………………………….. 7
9 Control de acceso………………………………………………………………………………. 7
9.1 Requisitos de negocio para el control de acceso….………………….……………….. 7
9.2 Gestión de acceso del usuario………………...………………………...……………….. 7
9.3 Responsabilidades del usuario…………………………………..………...………..…… 8
9.4 Control de acceso a los sistemas y aplicaciones………………………….……….……… 8
10 Criptografía ……………………………………………………………………………………… 9
10.1 Controles criptográficos…………………………………………………………………… 9
11 Seguridad física y del entorno.…….………………………………………………………… 9

11.1 Áreas seguras…………………..…………………………………………………….. 9
11.2 Equipos……………………………………………………………………………………… 9
12 Seguridad de las operaciones…………………...…………….…………………………… 10

12.1 Procedimientos y responsabilidades operacionales…………….…………………… 10
12.2 Protección contra el malware………………..……...………………………………..… 11
12.3 Copias de seguridad…………………………….….…………………………………… 11
12.4 Registro y monitoreo..…………………………..…..…………………………………… 12
12.5 Control del software operacional…………………………….……………………………… 13
12.6 Gestión de vulnerabilidades técnicas……………………………..……………..……… 13
12.7 Consideraciones sobre la auditoría de los sistemas de información …..………………… 13
13 Seguridad en las comunicaciones……….………………………………………………… 13

13.1 Gestión de la seguridad de redes ………..…………………….……………………… 13
13.2 Intercambio de información………………………………….....……………………… 13
14 Adquisición, desarrollo y mantenimiento de sistemas…………..…………………… 14

© INEN 2016
2016-513 ii
NTE INEN-ISO 27018 2016-07
15 Relación con proveedores………………………………...……...……………………….… 14
16 Gestión de incidentes de seguridad de la información…….…………………………… 14

16.1 Gestión de incidentes de seguridad de la información y mejoras…..……….…… 14
17 Aspectos de seguridad de la información para la gestión de la continuidad

del negocio …………………………………………………………………………………….. 15
18 Cumplimiento………………………………………………………………………………… 15
18.1 Cumplimiento de los requisitos legales y contractuales…..……..………………… 15
18.2 Revisiones de la seguridad de la información….………………………..………… 15
Anexo A (normativo) Conjunto de controles extendidos para protección de PII en

nube pública que procesa PII ………………………………………………………………………. 17
Bibliografía ……………………………………………………………………………………………. 26

© INEN 2016
2016-513 iii
NTE INEN-ISO 27018 2016-07
Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Internacional Electromecánica)

forma el sistema mundial especializado de normalización. Las organizaciones nacionales que son
miembros de ISO o de IEC participan en el desarrollo de las Normas Internacionales por medio de
comités técnicos establecidos por la respectiva organización para tratar campos particulares en las
actividades técnicas. Los comités técnicos de ISO/IEC colaboran en campos de mutuo interés. Otras
organizaciones internacionales, públicas y privadas, en colaboración con ISO e IEC, también
participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un
comité conjunto, ISO/IEC JTC 1.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, deben tenerse en
cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos. Las
Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de
ISO/IEC, Parte 2 (ver www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO e IEC no se hacen responsables por la identificación de
cualquiera o todos los derechos de patente. Los detalles de los derechos de patente identificados
durante la elaboración del documento estarán en la introducción y/o en la lista ISO de las
declaraciones de patentes recibidas (ver www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información dada la comodidad de los
usuarios y no constituye un aval.
Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones
relacionadas con la evaluación de la conformidad, así como información sobre el cumplimiento de
ISO a los principios de la OMC en los Obstáculos Técnicos al Comercio (OTC) consulte el siguiente
URL: Foreword: Supplementary information.
El comité responsable de este documento es ISO/IEC JTC 1, Tecnologías de la información,

Subcomité SC 27, Técnicas de seguridad de TI.

© INEN 2016
2016-513 iv
NTE INEN-ISO 27018 2016-07
0 Introducción
0.1 Antecedentes y contexto
Los proveedores de servicios en la nube que procesan Información de Identificación Personal (PII)
bajo contrato con sus clientes tienen que operar sus servicios de manera que permitan a ambas
partes cumplir con los requisitos de la legislación y las regulaciones sobre la protección de PII
aplicables. Los requisitos y la forma en que los requisitos se dividen entre el proveedor de servicios
de nube y sus clientes varían según la jurisdicción legal, de acuerdo con los términos del contrato
entre el proveedor de servicios de nube y el cliente. La legislación que rige el cómo la PII puede ser
procesada (es decir, recogida, utilizada, transferida y eliminada) se conoce como la legislación de
protección de datos a veces; la PII se refiere a veces como datos personales o información personal.
Las obligaciones que recaen en un procesador de PII varían de una jurisdicción a otra, lo que hace
que sea difícil para las empresas que prestan servicios de computación en la nube operar en una
multinacional.
Un proveedor de servicios de nube pública es un 'procesador de PII' cuando procesa la PII de

acuerdo a las instrucciones de un cliente de servicios de nube. El cliente de servicios de nube, que
tiene la relación contractual con el procesador de PII de nube pública, puede variar de una persona
natural, una 'PII principal', procesar su propia PII en la nube, a una organización, un 'controlador de
PII', procesar de PII en relación con muchos principales de PII. El cliente de servicios en la nube
podría autorizar a uno o más usuarios de los servicios en la nube asociados a utilizar los servicios
puestos a su disposición en virtud de su contrato con el procesador de PII en la nube pública. Tenga
en cuenta que el cliente de servicios de nube tiene autoridad sobre el tratamiento y la utilización de
los datos. Un cliente de servicios en la nube que es también un controlador de PII puede estar sujeto
a un conjunto más amplio de las obligaciones relativas a la protección de la PII que el procesador de
PII en la nube pública. El mantenimiento de la distinción entre el controlador y el procesador de PII se
basa en que el procesador de PII en la nube pública, no tiene objetivos de procesamiento de datos
distintos de los establecidos por el cliente de servicios de nube con respecto a la PII que procesa y a
las operaciones necesarias para alcanzar los objetivos del cliente de servicios de nube.
NOTA Cuando el procesador de PII de nube pública está procesando datos de cuentas de clientes de servicios de nube,
este puede estar actuando como un controlador de PII para este propósito. Esta norma nacional no cubre ese tipo de actividad.
La intención de esta norma nacional, cuando se utiliza junto con los objetivos de seguridad de la
información y los controles de ISO/IEC 27002, es la creación de un conjunto común de controles de
categorías y de seguridad que pueden ser implementados por un proveedor de servicios de
informática en la nube pública que actúe como un procesador de PII. Este tiene los siguientes
objetivos.
 Ayudar al proveedor de servicios de nube pública a cumplir con las obligaciones aplicables
cuando actúa como procesador de PII, si dichas obligaciones recaen sobre el procesador de PII
directamente o a través del contrato.
 Activar el procesador de PII de nube pública a ser transparente en los asuntos pertinentes para
que los clientes de servicios de nube pueden seleccionar servicios de procesamiento de PII en la
nube bien administrada.
 Ayudar al cliente de servicios en la nube y procesador de PII en la nube pública a entrar en un

acuerdo contractual.
 Proporcionar a los clientes de servicios en la nube un mecanismo para el ejercicio de auditoría y

cumplimiento de los derechos y responsabilidades en los casos donde las auditorías de los
clientes de servicios de nube individual de datos alojados en una multiparte, en el ambiente del
servidor virtualizado (nube) pueden ser poco técnicos y prácticos y podrían aumentar los
riesgos para los controles de seguridad de la red física y lógica en su lugar.

© INEN 2016
2016-513 v
NTE INEN-ISO 27018 2016-07
Esta norma nacional no pretende sustituir la legislación y regulación aplicable, pero puede ayudar a
proporcionar un marco de referencia común para el cumplimiento de los proveedores de servicios de
nube pública, en particular las que operan en un mercado multinacional.
0.2 Controles de protección de PII en la nube pública para los servicios de computación
Esta norma nacional está diseñada para que las organizaciones que van a utilizarla como referencia
para la selección de los controles de protección de PII en el proceso de implementación de un
sistema de computación en la nube de gestión de seguridad de la información en la nube basado en
ISO/IEC 27001, o como un documento de guía de implementación de los controles de protección de
PII comúnmente aceptados para las organizaciones que actúan como procesadores de PII en la nube
pública. En particular, esta norma nacional se basó en ISO/IEC 27002, teniendo en cuenta el
ambiente(s) de riesgo específico (s) que surja de esos requisitos de protección de PII que podrían
aplicarse a los proveedores de servicios de computación en la nube pública que actúan como
procesadores de PII.
Normalmente, una organización que implementa ISO/IEC 27001 está protegiendo sus propios activos
de información. Sin embargo, en el contexto de los requisitos de protección de PII por un proveedor
de servicios de nube pública que actúa como un procesador de PII, la organización está protegiendo
los activos de información le sean encomendados por sus clientes. La implementación de los
controles de ISO/IEC 27002 por el procesador de PII en la nube pública es a la vez adecuada y
necesaria para este fin. Esta norma nacional aumenta los controles de ISO/IEC 27002 para dar
cabida a la naturaleza distribuida del riesgo y la existencia de una relación contractual entre el cliente
de servicios de nube y el procesador de PII en la nube pública. Esta norma nacional complementa a
en ISO/IEC 27002 de dos maneras:
 proporciona una guía de implementación aplicable a la protección en la nube pública PII

referente a algunos de los controles de ISO/IEC 27002 existente, y
 el Anexo A proporciona un conjunto de controles adicionales y una guía asociada con la

intención de proporcionar los requisitos de protección PII de nube pública no comprendida en el
conjunto de control en ISO/IEC 27002 existente.
La mayoría de los controles y la guía de esta norma nacional también serán de aplicación a un
controlador de PII. Sin embargo, el controlador de PII, en la mayoría de los casos, puede ser objeto
de obligaciones adicionales no especificadas aquí.
0.3 Requisitos de protección de PII
Es esencial que una organización identifique sus requisitos para la protección de PII. Hay tres fuentes
principales de requisitos, como se indica a continuación.
a) Requisitos Legales, Estatutarios, Reglamentarios y Contractuales: Algunas de las fuentes son los
requisitos y obligaciones legales, estatutarias, reglamentarias y contractuales que una
organización, sus socios comerciales, contratistas y proveedores de servicios tienen que
satisfacer, y sus responsabilidades socio-culturales y el ambiente operativo. Cabe señalar que la
legislación, los reglamentos y compromisos contractuales realizados por el procesador de PII
podrían exigir la selección de los controles particulares y también podrían requerir criterios
específicos para la aplicación de esos controles. Estos requisitos pueden variar de una jurisdicción
a otra.
b) Riesgos: Otra fuente se deriva de la evaluación de riesgos para la organización asociada con la
PII, teniendo en cuenta la estrategia de negocios global de la organización y sus objetivos. A
través de una evaluación de riesgos, las amenazas se identifican, la vulnerabilidad y probabilidad
de ocurrencia se evalúa y el impacto potencial se estima. La ISO/IEC 27005 proporciona una guía
de la gestión de riesgos de seguridad de la información, incluido el asesoramiento sobre la
evaluación de riesgos, la aceptación de riesgos, comunicación de riesgos, monitoreo de riesgos y
evaluación de riesgos. ISO/IEC 29134 proporciona una guía sobre la evaluación del impacto sobre

© INEN 2016
2016-513 vi
NTE INEN-ISO 27018 2016-07
la privacidad.
c) Políticas corporativas: Si bien muchos aspectos cubiertos por una política corporativa se derivan de
las obligaciones legales y socio-culturales, una organización también puede optar voluntariamente
a ir más allá de los criterios que se derivan de los requisitos de a).
0.4 Selección y controles de implementación en un ambiente de computación en la nube
Los controles pueden ser seleccionados de esta norma nacional (que incluye por referencia los
controles en ISO/IEC 27002, la creación de un conjunto de control de referencia combinado para el
sector o aplicación definido por el alcance). Si es necesario, los controles también se pueden
seleccionar de otros conjuntos de control, o nuevos controles pueden ser diseñados para satisfacer
las necesidades específicas según sea apropiado.
NOTA Un servicio de procesamiento de PII proporcionado por un procesador de PII en la nube pública podría considerarse
como una aplicación de la informática en nube en lugar de un sector en sí mismo. Se utiliza, sin embargo, el término "sector
específico" en esta norma nacional, ya que este es el término convencional utilizado en otras normas de la serie ISO/IEC
27000.
La selección de los controles depende de decisiones de la organización sobre la base de los criterios
de aceptación del riesgo, las opciones de tratamiento del riesgo, y el enfoque general de la gestión de
riesgos aplicada a la organización y, a través de acuerdos contractuales, sus clientes y proveedores,
y también estará sujeta a todas las leyes y reglamentos nacionales e internacionales relevantes.
Cuando no se seleccionan los controles de esta norma nacional, esto debe ser documentado con
justificación de la omisión.
Además, la selección y aplicación de los controles dependen del papel real del proveedor de la nube
pública en el contexto de toda la arquitectura de referencia de la computación en la nube (ver ISO/IEC
17789). Muchas organizaciones diferentes pueden estar involucradas en la prestación de servicios de
infraestructura y aplicaciones en un ambiente de computación en la nube. En algunas circunstancias,
los controles seleccionados pueden ser únicos para una categoría de servicio particular de la
arquitectura de referencia de la computación en la nube. En otros casos, se pueden compartir los
roles en la implementación de controles de seguridad. Los acuerdos contractuales deben especificar
claramente las responsabilidades de protección PII de todas las organizaciones que participan en la
prestación o el uso de los servicios en la nube, incluyendo el procesador de PII en la nube pública,
sus subcontratistas y el cliente de servicios de nube.
Los controles de esta norma nacional pueden ser considerados como principios rectores y aplicables
para la mayoría de las organizaciones. Se explican con más detalle a continuación junto con una guía
de implementación. La implementación puede ser más sencilla si los requisitos para la protección de
PII se han considerado en el diseño del sistema de información del procesador de PII de nube
pública, en los servicios y las operaciones. Tal consideración es un elemento del concepto que a
menudo se llama "Privacidad por diseño". La bibliografía enumera los documentos pertinentes, tales
como ISO/IEC 29101.
0.5 Desarrollo de directrices adicionales
Esta norma nacional puede considerarse como un punto de partida para el desarrollo de las
directrices de protección de PII. Es posible que no todos los controles y guía en este código de
práctica será aplicable. Además, podrían ser necesarios los controles adicionales y directrices no
incluidos en esta norma nacional. Cuando se desarrollan los documentos que contienen directrices o
controles adicionales, podría ser útil incluir referencias cruzadas a los capítulos de esta norma
nacional en su caso para facilitar la comprobación del cumplimiento de los auditores y socios de
negocios.
0.6 Consideraciones de ciclo de vida
La PII tiene un ciclo de vida natural, desde la creación y emisión hasta su almacenamiento,
procesamiento, uso y transmisión de su eventual destrucción o deterioro. Los riesgos para la PII
pueden variar durante su vida, pero la protección de la PII sigue siendo importante hasta cierto punto
en todas las etapas.
© INEN 2016
2016-513 vii
NTE INEN-ISO 27018 2016-07
Los requisitos de protección de PII deben tomar en cuenta los sistemas de información existentes y
nuevos gestionados a través de su ciclo de vida.

© INEN 2016
2016-513 viii
NTE INEN-ISO 27018 2016-07
Tecnologías de la información ─ Técnicas de seguridad ─ Código de práctica

para la protección de la información de identificación personal (PII) en nubes
públicas actuando como procesadores de PII
1 Objeto y campo de aplicación

Esta norma nacional establece los objetivos de control, controles y directrices, comúnmente
aceptados, para implementar las medidas para proteger la información de identificación personal
(PII), de acuerdo con los principios de privacidad en ISO/IEC 29100 para los ambientes de
computación en la nube pública.
En particular, esta norma nacional especifica directrices basadas en ISO/IEC 27002, teniendo en
cuenta los requisitos normativos para la protección de PII los cuales podrían ser aplicables en el
contexto del ambiente(s) de riesgos de seguridad de la información de un proveedor de servicios de
nube pública.
Esta norma nacional es aplicable a todos los tipos y tamaños de organizaciones, incluyendo las
empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que
proporcionan servicios de procesamiento de información como procesadores PII a través de la
computación en la nube bajo contrato con otras organizaciones.
Las directrices de esta norma nacional también podrían ser relevantes para las organizaciones que
actúan como controladores de PII; sin embargo, los controladores de PII podrían ser objeto de
legislación de protección, reglamentos y obligaciones adicionales a PII, que no se aplica a los
procesadores PII. Esta norma nacional no se destina a cubrir dichas obligaciones adicionales.
2 Referencias normativas
Los siguientes documentos, en su totalidad o en parte, están normativamente referenciados en este
documento y son indispensables para su aplicación. Para las referencias con fecha, solamente la
edición citada se aplica. Para referencias sin fecha, se aplica la última edición del documento al que
se hace referencia (incluyendo cualquier enmienda).
ISO/IEC 17788 | Rec. UIT-T Y.3500, Tecnologías de la información  Computación en la nube -

1)
Información general y vocabulario
ISO/IEC 27000:2014, Tecnologías de la información  Técnicas de seguridad  Sistemas de gestión

de seguridad de la información  Información general y vocabulario
ISO/IEC 27001:2013, Tecnologías de la información  Técnicas de seguridad  Sistemas de gestión

de seguridad de la información – Requisitos
ISO/IEC 27002:2013, Tecnologías de la información  Técnicas de seguridad  Código de conducta

para los controles de seguridad de la información
ISO/IEC 29100/:2011, Tecnologías de la información  Técnicas de seguridad – Marco de referencia

de privacidad
3 Términos y definiciones
Para los fines de este documento, los términos y definiciones proporcionados en ISO/IEC 17788,
ISO/IEC 27000 y los siguientes se aplican.
1) A ser publicada
© INEN 2016
2016-513 1 de 26
NTE INEN-ISO 27018 2016-07
3.1
violación de datos
seguridad comprometida que lleva a la destrucción accidental o ilícita, la pérdida, alteración,
divulgación no autorizada o acceso a la protección de datos transmitidos, almacenados o procesados
de otro modo
[FUENTE: ISO/IEC 27040:2), 3.7]
3.2
información de identificación personal
PII
cualquier información que (a) puede ser usada para identificar la PII principal a la que se refiere la
información, o (b) es o podría ser vinculada directa o indirectamente a la PII principal
Nota 1 a la entrada: Para determinar si la PII principal es identificable, se debería tener en cuenta todos los significados los
cuales pueden ser usados razonablemente para mantener la privacidad de los datos de las partes interesadas, o por cualquier
otra parte, para identificar a esa persona natural.
[FUENTE: ISO/IEC 29100: 2011, 2.9]
Nota 2 a la entrada: Esta definición se incluye para definir el término PII como se utiliza en esta norma nacional. Un
procesador PII de nube pública normalmente no está en condiciones de conocer de forma explícita si la información que
procesa cae en cualquier categoría a menos que esto se haga transparente por parte del cliente de servicios de nube.
3.3
controlador de PII
el interesado de la privacidad (o las partes interesadas de la privacidad) que determina los fines y
medios de procesamiento la información de identificación personal (PII), que no sean personas
naturales que utilizan los datos para fines personales
Nota 1 a la entrada: Un controlador de PII a veces instruye otros (por ejemplo, procesadores de PII) para PII en su nombre
mientras que la responsabilidad derivada del procesamiento sigue siendo con el controlador de PII.
[FUENTE: ISO/IEC 29100:2011, 2.10]
3.4
principal PII
persona física a la que se refiere la información de identificación personal (PII)
Nota 1 a la entrada: Dependiendo de la jurisdicción y de la protección y especial de PII, y el sinónimo de legislación de

privacidad "interesado" también se puede utilizar en lugar del término "principal PII".
[FUENTE: ISO/IEC 29100: 2011, 2.11]
3.5
procesador de PII
partes interesadas de la privacidad que procesan la información de identificación personal (PII), en
nombre y de acuerdo con las instrucciones de un controlador de PII
[FUENTE: ISO/IEC 29100:2011, 2.12]
3.6
procesamiento de PII
operación o conjunto de operaciones realizadas sobre la información de identificación personal (PII)
Nota 1 a la entrada: Ejemplos de las operaciones de procesamiento de PII incluyen, pero no se limitan a la recolección,
almacenamiento, modificación, extracción, consulta, divulgación, en forma anónima, seudónimos, difusión o cualquier otra
forma de comunicación, supresión o destrucción de PII.
[FUENTE: ISO/IEC 29100:2011, 2.23]
2)
A ser publicada
© INEN 2016
2016-513 2 de 26
NTE INEN-ISO 27018 2016-07
3.7
proveedor de servicios de nube pública
parte que hace disponibles los servicios en la nube de acuerdo al modelo de nube pública
4 Descripción
4.1 Estructura de esta norma
Esta norma nacional tiene una estructura similar a ISO/IEC 27002. En caso de que los objetivos y los
controles especificados en ISO/IEC 27002 sean aplicables sin necesidad de ninguna información
adicional, se ofrece solo una referencia en ISO/IEC 27002. Los controles adicionales y la guía de
implementación aplicable a la protección de PII para los proveedores de servicios de computación en
nube se describen en el Anexo A (normativo).
En los casos en que los controles necesiten una guía adicional aplicable a la protección de PII para
los proveedores de servicios de computación en la nube, esto se da bajo el título de Nube Pública PII
para la guía de implementación de protección. En algunos casos, existen más datos relevantes que
mejoran la guía adicional y se proporciona bajo el título de Otra información para la protección de PII
en la nube pública.
Como se muestra en la Tabla 1, dicha guía e información específica del sector están incluidas en las
categorías definidas en ISO/IEC 27002. Los numerales de los capítulos se ha alineado con los
números de capítulos de ISO/IEC 27002, como se indica en la tabla.
Tabla 1 ─ Ubicación de la guía específica del sector y otra información para la implementación
de los controles en ISO/IEC 27002
Número de Título Observaciones

capítulo
5 Políticas de seguridad de la Se proporciona una guía para la implementación

información específica del sector y otra información.
6 Organización de la Se proporciona una guía para la implementación
seguridad de la información específica del sector.
7 Seguridad en recursos Se proporciona una guía de implementación
humanos específica del sector y otra información.
8 Gestión de activos No se proporciona una guía adicional para la
implementación específica del sector u otra
información.
9 Control de acceso Se proporciona una guía para la
implementación específica del sector, junto
con una referencia cruzada para el(los) control
(es) en el Anexo A.
10 Criptografía Se proporciona una guía para la implementación
específica del sector.
11 Seguridad física y ambiental Se proporciona una guía para la
implementación específica del sector, junto
(es) en el Anexo A.
12 Seguridad en las Se proporciona una guía para la implementación
operaciones específica del sector.
13 Seguridad en las Se proporciona una guía para la
comunicaciones implementación específica del sector, junto
(es) en el Anexo A.
© INEN 2016
2016-513 3 de 26
NTE INEN-ISO 27018 2016-07
Número de Título Observaciones

capítulo
14 Adquisición, desarrollo y No se proporciona una guía adicional para la

mantenimiento de sistemas implementación específica del sector u otra
información.
15 Relaciones con No se proporciona una guía adicional para la
suministradores implementación específica del sector u otra
información.
16 Gestión de incidentes de Se proporciona una guía para la implementación
seguridad de la Información específica del sector.
17 Aspectos de gestión de No se proporciona una guía adicional para la
continuidad del negocios en implementación específica del sector u otra
la seguridad de la información.
información
18 Cumplimiento Se proporciona una guía para la implementación
específica del sector, junto con una referencia
cruzada para el(los) control(es) en el Anexo A.
4.2 Categorías de control
De acuerdo con ISO/IEC 27002, cada categoría de control principal contiene:
a) un objetivo de control que indica lo que será logrado; y
b) uno o más controles que se pueden aplicar para alcanzar el objetivo de control.
Las descripciones de control están estructuradas de la siguiente manera:
Control
Define la declaración específica de control para satisfacer el objetivo de control.
Guía de implementación de protección de PII en la nube pública
Proporciona información más detallada para apoyar la implementación del control y el

cumplimiento de los objetivos de control. La guía no puede ser totalmente adecuada o suficiente
en todas las situaciones, y no podrá cumplir los requisitos específicos de control de las
organizaciones. Alternativas o controles adicionales, u otras formas de tratamiento de riesgos
(evitando, transfiriendo o aceptando riesgos), por lo tanto, pueden ser apropiados.
Otros datos de protección de PII en la nube pública
Proporciona información adicional que pueda ser necesaria considerar, tales como las
consideraciones jurídicas y referencias a otras normas.
5 Políticas de seguridad de la información

5.1 Dirección de gestión de la seguridad de la información
El objetivo especificado en ISO/IEC 27002:2013, 5.1 se aplica.
5.1.1 Políticas para la seguridad de la información
El control 5.1.1, la guía para la implementación asociada y otra información especificada en ISO/IEC
27002, son aplicables. La siguiente guía específica del sector también se aplica.

© INEN 2016
2016-513 4 de 26
NTE INEN-ISO 27018 2016-07
Las políticas de seguridad de la información deberían aumentarse mediante una declaración relativa
al apoyo y compromiso para lograr el cumplimiento de la legislación de protección PII aplicable y las
condiciones contractuales acordadas entre el procesador de PII en la nube pública y sus clientes
(clientes de servicio en la nube).
Los acuerdos contractuales deberían asignar claramente las responsabilidades entre el procesador
de PII en la nube pública, los subcontratistas y el cliente de servicios en la nube, teniendo en cuenta
el tipo de servicio en la nube en cuestión (por ejemplo, un servicio de una categoría de IaaS, PaaS o
SaaS de la arquitectura de referencia de la computación en la nube). Por ejemplo, la asignación de la
responsabilidad de los controles de nivel de aplicación puede ser diferente dependiendo de si el
procesador de PII en la nube pública está proporcionando un servicio SaaS o más bien está
proporcionando un servicio PaaS o IaaS sobre el cual el cliente de servicios en la nube puede
construir capas de sus propias aplicaciones.
Otra información para la protección de PII en la nube pública
En algunas jurisdicciones, el procesador de PII en la nube pública está directamente sujeto a la

legislación de protección de PII. Por otra parte, la legislación de protección de PII se aplica solo al
controlador de PII.
Un mecanismo para asegurar al procesador de PII en la nube pública está obligado a soportar y
gestionar el cumplimiento que es proporcionado por el contrato entre el cliente de servicios en la nube
y el procesador de PII en la nube pública. El contrato podría llamar para el cumplimiento de auditorías
independientes, aceptable para el cliente de servicio en la nube, por ejemplo, a través de la aplicación
de los controles pertinentes en esta norma nacional y en ISO/IEC 27002.
5.1.2 Revisión de las políticas para la seguridad de la información
El Control 5.1.2, la guía de implementación asociada especificada en ISO/IEC 27002 se aplica.
6 Organización de la seguridad de la información

6.1 Organización interna
6.1.1 Roles y responsabilidades de seguridad de la información
El control 6.1.1, la guía de implementación asociada y otra información especificada en ISO/IEC

27002 son aplicables. La siguiente guía específica del sector también se aplica.
El procesador de PII en la nube pública debería designar un punto de contacto para el uso por parte
del cliente de servicios de la nube sobre el tratamiento de información de identificación personal en
virtud del contrato.
6.1.2 Separación de tareas

27002, son aplicables.

© INEN 2016
2016-513 5 de 26
NTE INEN-ISO 27018 2016-07
6.1.3 Contacto con las autoridades

6.1.4 Contacto con grupos de interés especial

6.1.5 Seguridad de la información en la gestión de proyectos
El control 6.1.5 y la guía de implementación asociada especificada de ISO/IEC 27002, se aplican.
6.2 Dispositivos móviles y el teletrabajo
El objetivo especificado en, y el contenido en ISO/IEC 27002:2013, 6.2 se aplican.
7 Seguridad en recursos humanos

7.1 Antes del empleo
El objetivo especificado en, y el contenido en ISO/IEC 27002:2013, 7.1 se aplican.
7.2 Durante el empleo
7.2.1 Responsabilidades de gestión

27002, se aplican.
7.2.2 Concienciación, educación y capacitación en seguridad de la información

Se debería implementar medidas para que el personal pertinente tome conciencia sobre las posibles
consecuencias en el procesador de PII en la nube pública (por ejemplo, consecuencias legales,
pérdida de negocio y marca, o daño a la reputación), sobre el miembro del personal (por ejemplo, las
consecuencias disciplinarias) y sobre el principal de PII (por ejemplo, consecuencias físicas,
materiales y emocionales) del incumplimiento de las normas y procedimientos de privacidad o de
seguridad, en especial los relativos a la manipulación de PII.
Otra información para la protección de PII en la nube pública
En algunas jurisdicciones, el procesador de PII en la nube pública puede estar sujeto a sanciones
legales, incluyendo multas sustanciales directamente de la autoridad de protección de PII local. En
otras jurisdicciones el uso de las Normas Internacionales, así como esto en el establecimiento del
contrato entre el procesador de PII en la nube pública y el cliente de servicios de nube, debería
ayudar a establecer una base para sanciones contractuales en caso de incumplimiento de las normas
y procedimientos de seguridad.

© INEN 2016
2016-513 6 de 26
NTE INEN-ISO 27018 2016-07
7.2.3 Proceso disciplinario
El control 7.2.3, la guía de implementación asociada y otra información especificada en

ISO/IEC 27002, se aplican.
7.3 Terminación y cambio de empleo
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 7.3, se aplican.
8 Gestión de activos
Los objetivos especificados en, y los contenidos de, ISO/IEC 27002: 2013, Capítulo 8, se aplican.
9 Control de acceso
9.1 Requisitos de negocio de control de acceso
9.2 Gestión de acceso del usuario
El objetivo especificado en ISO/IEC 27002:2013, 9.2, se aplica. La siguiente guía específica del
sector también se aplica a la implementación de la totalidad de los controles bajo este numeral (9.2).
En el contexto de las categorías de servicios de la arquitectura de referencia de computación en la

nube, el cliente de servicios en la nube puede ser responsable de algunos o todos los aspectos de la
gestión de acceso para los usuarios de servicios en la nube bajo su control. En su caso, el
procesador de PII en la nube pública debería permitir al cliente de servicios en la nube gestionar el
acceso de los usuarios de servicios en la nube bajo el control del cliente de servicios en la nube, tales
como proporcionar derechos administrativos para gestionar o finalizar el acceso.
9.2.1 Registro y bloqueo de usuarios

ISO/IEC 27002, se aplican. La siguiente guía específica del sector también se aplica.
Los procedimientos para el registro y bloqueo de usuarios debería considerar la situación donde el
control de acceso de usuario es comprometido, así como el daño o comprometimiento de
contraseñas u otros datos de registro de usuario (por ejemplo, como resultado de la divulgación
involuntaria).
NOTA Jurisdicciones individuales pueden imponer requisitos específicos en cuanto a la frecuencia de los controles de las
credenciales de autenticación no utilizadas. Las organizaciones que operan en estas jurisdicciones deberían garantizar que
cumplen con estos requisitos.
9.2.2 Aprovisionamiento de acceso de usuario


© INEN 2016
2016-513 7 de 26
NTE INEN-ISO 27018 2016-07
9.2.3 Gestión de privilegios de acceso

27002, se aplican.
9.2.4 Gestión de la información secreta de autenticación de los usuarios

9.2.5 Revisión de derechos de acceso de usuario

9.2.6 Retiro o reasignación de los derechos de acceso

9.3 Responsabilidades del usuario
9.3.1 Uso de la información secreta de autenticación
El control 9.3.1 y la guía de implementación asociada especificada en ISO/IEC 27002, se aplican.
9.4 Control de acceso a los sistema y aplicación
El objetivo especificado en ISO/IEC 27002: 2013, 9.4 se aplica.
9.4.1 Restricción del acceso a la información
NOTA Los controles adicionales y la guía pertinente a la restricción de acceso a la información se pueden encontrar en
A.10.13.
9.4.2 Procedimientos seguros de inicio de sesión

Cuando sea necesario, el procesador de PII en la nube pública debería proporcionar procedimientos
de inicio de sesión seguros para todas las cuentas solicitadas por el cliente de servicios en la nube
para los usuarios de servicios en la nube bajo su control.
9.4.3 Sistema de gestión de contraseñas

9.4.4 Uso de utilidades con privilegios del sistema

2016-513 8 de 26
NTE INEN-ISO 27018 2016-07
9.4.5 Control de acceso al código fuente de los programas
El control de 9.4.5, la guía de implementación asociada y otra información especificada en

ISO/IEC 27002 se aplican.
10 Criptografía
10.1 Controles criptográficos
10.1.1 Política de uso de los controles criptográficos

ISO/IEC 27002, son aplicables. La siguiente guía específica del sector también se aplica.
El procesador de PII en la nube pública debería proporcionar información a los clientes de servicios
de nube sobre las circunstancias en que utiliza la criptografía para proteger PII que procesa. El
procesador de PII en la nube pública debería también informar al cliente del servicio en la nube
acerca de cualquier capacidad que esta proporciona que pueden asistir a los clientes del servicio de
nube en la aplicación de su propia protección criptográfica.
NOTA En algunas jurisdicciones pueden ser obligadas a aplicar la criptografía para proteger determinados tipos de PII, como
los datos de salud con respecto a un PII principal, números de registro de residente, números de pasaporte y número de
licencia de conducir.
10.1.2 Gestión de claves

27002, se aplican.
11 Seguridad física y del entorno

11.1 Áreas seguras
11.2 Equipos
11.2.1 Emplazamiento y protección de equipos
11.2.2 Instalaciones de suministro

11.2.3 Seguridad del cableado

© INEN 2016
2016-513 9 de 26
NTE INEN-ISO 27018 2016-07
11.2.4 Mantenimiento de los equipos
11.2.5 Eliminación de activos

11.2.6 Seguridad de los equipos fuera de las instalaciones

ISO/IEC 27002, se aplican .
11.2.7 Reutilización o eliminación segura de equipos

ISO/IEC 27002 son aplicables. La siguiente guía específica del sector, también se aplica.
Para propósitos de la eliminación segura o la reutilización, los equipos que contengan medios de
almacenamiento que puede posiblemente contener PII deben ser tratados como si lo tuviera.
NOTA Controles adicionales y orientaciones pertinentes para la eliminación segura o reutilización de equipos se pueden
encontrar en A.10.13.
11.2.8 Equipos de usuario desatendido
11.2.9 Política de puesto de trabajo despejado y pantalla limpia

12 Seguridad de las operaciones

12.1 Procedimientos y responsabilidades operacionales
El objetivo especificado en ISO/IEC 27002:2013,12.1 se aplica.
12.1.1 Procedimientos operativos documentados
12.1.2 Gestión de cambios

12.1.3 Gestión de capacidades

27002, se aplican.

© INEN 2016
2016-513 10 de 26
NTE INEN-ISO 27018 2016-07
12.1.4 Separación de recursos de desarrollo, pruebas y operación

Cuando el uso de PII para fines de prueba no se puede evitar, debería llevarse a cabo una evaluación
de riesgos. Las medidas técnicas y organizacionales deberían ser implementadas para minimizar los
riesgos identificados.
12.2 Protección contra el malware
El objetivo especificado, y el contenido en ISO/IEC 27002:2013, 12.2, se aplican.
12.3 Copias de seguridad
El objetivo especificado en ISO/IEC 27002:2013, 12.3, se aplica.
12.3.1 Copias de seguridad de la información
El control 12.3.1 y la guía de implementación asociada especificada en ISO/IEC 27002, se aplican. La

siguiente guía específica del sector también se aplica.
Los sistemas de procesamiento de información basados en el modelo de computación en la nube

introducen mecanismos adicionales o alternativas de copias de seguridad fuera del sitio para proteger
contra la pérdida de datos, asegurar la continuidad de las operaciones de procesamiento de datos, y
proporciona la capacidad de restaurar las operaciones de procesamiento de datos después de un
evento disruptivo. Varias copias de datos en diversas ubicaciones físicas y/o lógicamente (que puede
estar dentro del sistema de procesamiento de la información en sí) deberían ser creadas o
mantenidas a efectos de copias de seguridad y/o restauración.
Las responsabilidades específicas de PII en este aspecto pueden recaer en el cliente de servicios en
la nube. Cuando el procesador de PII en la nube pública ofrece explícitamente servicios de copias de
seguridad y restauración al cliente del servicio en la nube, el procesador de PII en la nube pública
debería proporcionar información clara al cliente del servicio en la nube sobre las capacidades del
servicio en la nube con respecto a las copias de seguridad y restauración de datos del cliente de
servicios en la nube.
NOTA 1 Las jurisdicciones individuales pueden imponer requisitos específicos en cuanto a la frecuencia de las copias de
seguridad. Las organizaciones que operan en estas jurisdicciones deberían garantizar que cumplen con estos requisitos.
Se deberían implementar procedimientos que permitan la restauración de las operaciones de

procesamiento de datos en un período documentado especificado después de un evento disruptivo.
Los procedimientos de copias de seguridad y restauración deberían ser revisados con una frecuencia
específica, y documentada.
NOTA 2 Las jurisdicciones individuales pueden imponer requisitos específicos en cuanto a la frecuencia de las revisiones de
los procedimientos de copias de seguridad y restauración. Las organizaciones que operan en estas jurisdicciones deberían
garantizar que cumplen con estos requisitos.
El uso de subcontratistas para almacenar réplicas o copias de seguridad de datos que están siendo
procesados, están cubiertos por los controles de esta norma nacional, que aplican al procesamiento
de PII subcontratado. Cuando las transferencias de medios físicos tienen lugar, estos también están
cubierto por controles de esta norma nacional.

© INEN 2016
2016-513 11 de 26
NTE INEN-ISO 27018 2016-07
El procesador de PII en la nube pública debe tener una política que aborde los requisitos para las
copias de seguridad de la información y todos los requisitos adicionales (por ejemplo, los requisitos
contractuales y/o legales) para la supresión de PII contenidos en la información mantenidos a efectos
de copias de seguridad.
12.4 Registro y monitoreo
El objetivo especificado en ISO/IEC 27002: 2013, 12.4 se aplica.
12.4.1 Registro de eventos

27002 se aplican. La siguiente guía específica del sector también se aplica.
Se debería implementar un proceso para revisar los registros de eventos con una periodicidad
documentada y especificada, para identificar las irregularidades y proponer los esfuerzos de
remediación.
Siempre que sea posible, los registros de eventos deberían registrar cuando un PII a cambiado o no
(añadido, modificado o eliminado) como resultado de un evento en sí mismo. Cuando varios
proveedores de servicio están involucrados en la prestación de servicios de diferentes categorías de
servicios de la arquitectura de referencia de la computación en la nube, puede haber variado o
compartido esta guía al implementar los roles.
El procesador de PII en la nube pública debería definir criterios con respecto a cuándo y cómo el
registro de la información puede estar disponible o utilizable por el cliente de servicios en la nube.
Estos procedimientos deberían ser puestos a disposición del cliente de servicio en la nube.
Cuando se permita a un cliente de servicios en la nube acceder a los registros de las bitácoras
controlados por el procesador de PII en la nube pública, el procesador de PII en la nube pública debe
garantizar que el cliente de servicios en la nube solo puede acceder a los registros que se relacionan
con las actividades de ese cliente de servicios en la nube, y no pueden acceder a cualquier registro
de la bitácora que se relacionan con las actividades de otros clientes de servicios en la nube.
12.4.2 Registro de protección de la información

ISO/IEC 27002 se aplican. La siguiente guía de específica del sector, también se aplica.
Guía de implementación específica para protección de PII en la nube pública
La información de la bitácora registrada para propósitos tales como el monitoreo de seguridad y

diagnóstico de funcionamiento pueden contener PII. Las medidas, tales como, control de acceso (ver
9.2.3), deberían ser implementadas para garantizar que la información registrada sea utilizada
únicamente para los fines previstos.
Un procedimiento, de preferencia automático, debería ser implementado para asegurar que la

información registrada sea eliminada dentro de un periodo específico y documentado.
12.4.3 Registros de administración y operación


© INEN 2016
2016-513 12 de 26
NTE INEN-ISO 27018 2016-07
12.4.4 Sincronización del reloj

12.5 Control del software operacional
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 12,5, se aplican.
12.6 Gestión de vulnerabilidades técnicas
12.7 Consideraciones sobre la auditoría de los sistemas de información
13 Seguridad en las comunicaciones

13.1 Gestión de la seguridad de redes
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 13.1 se aplican.
13.2 Intercambio de información
13.2.1 Políticas y procedimientos de intercambio de información

Siempre que se utilicen medios físicos para la transferencia de información, debería ser
implementado un sistema para registrar medios físicos de entrada y salida que contiene PII,
incluyendo el tipo de medio físico, emisor/receptores autorizados, la fecha y la hora, y el número del
medio físico. Siempre que sea posible, los clientes de servicios en la nube deberían ser consultados
sobre la implementación de medidas adicionales (como el cifrado) para asegurar que los datos solo
pueden ser accedidos en el punto de destino y no en el trayecto.
13.2.2 Acuerdos de intercambio de información

ISO/IEC 27002 se aplican.
13.2.3 Mensajería electrónica

27002, se aplican.
13.2.4 Acuerdos de confidencialidad o no revelación

NOTA Los controles adicionales y orientaciones pertinentes a los acuerdos de confidencialidad o de no divulgación pueden
ser encontrados en A.10.1.

© INEN 2016
2016-513 13 de 26
NTE INEN-ISO 27018 2016-07
14 Adquisición, desarrollo y mantenimiento de los sistemas

Los objetivos especificados en, y los contenidos de, ISO/IEC 27002:2013, capítulo 14 se aplican.
15 Relaciones con proveedores

Los objetivos especificados, y los contenidos de, ISO/IEC 27002:2013, Capítulo 15, se aplican.
NOTA Más información sobre la gestión de relaciones con los proveedores, se puede obtener a partir de ISO/IEC 27036-4.
16 Gestión de incidentes de seguridad de la información

16.1 Gestión de incidentes de seguridad de la información y mejoras
El objetivo especificado en ISO/IEC 27002:2013, 16.1 aplica. La siguiente guía específica del sector
también se aplica a la implementación de la totalidad de los controles de (16.1).
En el contexto de toda la arquitectura de referencia de la computación en la nube, puede existir roles

compartidos en la gestión de incidentes de seguridad de la información y realizar mejoras. Puede
haber una necesidad el procesador de PII en la nube pública de cooperar con el cliente de servicios
de nube en la aplicación de los controles en este subcapítulo.
16.1.1 Responsabilidades y procedimientos
El control de 16.1.1, la guía de implementación asociada y otra información especificada en ISO/IEC

27002, se aplican. La siguiente guía específica del sector también se aplica.
Un incidente de seguridad de información debería dar lugar a una revisión por parte del procesador
de PII en la nube pública, como parte de su proceso de gestión de incidentes de seguridad de la
información, para determinar si una violación de datos que involucra PII ha tenido lugar (ver A.9.1).
Un evento de seguridad de la información no necesariamente debería desencadenar dicha revisión.

Un evento de seguridad de la información es aquel que no resulte real, o la probabilidad significativa
de, el acceso no autorizado a PII o para cualquiera de los equipos o las instalaciones del procesador
de PII en la nube pública para almacenar PII, y puede incluir, sin limitación, pings y otros ataques de
broadcast en los firewalls o en servidores de borde, escaneo de puertos, intentos de acceso no
autorizado, ataques de denegación de servicio y sniffing de paquetes.
16.1.2 Informes de eventos de seguridad de la información

16.1.3 Notificación de puntos débiles de la seguridad de la información

ISO/IEC 27002, es aplicable.
16.1.4 Evaluación y decisión de los eventos de seguridad de la información

© INEN 2016
2016-513 14 de 26
NTE INEN-ISO 27018 2016-07
16.1.5 Respuesta a incidentes de seguridad de la información

16.1.6 Aprendizaje de los incidentes de seguridad de la información

16.1.7 Recopilación de evidencias
El control de 16.1.7, la guía de implementación asociada y otra información especificada en ISO/IEC

27002, se aplican.
17 Aspectos de seguridad de la información para la gestión de la continuidad

del negocio
Los objetivos especificados en, y los contenidos de, ISO/IEC 27002:2013, Capítulo 17, se aplican.
18 Cumplimiento
18.1 Cumplimiento de los requisitos legales y contractuales
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 18.1 se aplican.
NOTA Los controles adicionales y la guía pertinente para el cumplimiento de los requisitos legales y contractuales pueden ser
encontrados en A.11.
18.2 Revisiones de seguridad de la información
18.2.1 Revisión independiente de seguridad de la información
El control 18.2.1, la guía de implementación asociada y otra información especificada en la

En los casos donde las auditorías individuales de clientes de servicios en la nube no sean prácticas o
puedan aumentar los riesgos para la seguridad (ver 0.1), el procesador de PII en la nube pública
debería tener disponible para los posibles clientes de servicios en la nube, antes y durante el
contrato, evidencia independiente de que la seguridad de la información está implementada y
operando de acuerdo con las políticas y procedimientos del procesador de PII en la nube pública. Una
auditoría relevante independiente seleccionada por el procesador de PII en la nube pública debería
ser normalmente un método aceptable para satisfacer los intereses del cliente del servicio en la nube
en la revisión de las operaciones de procesamiento del procesador de PII en la nube pública, siempre
que se proporcione la suficiente transparencia.
18.2.2 Cumplimiento de las políticas y normas de seguridad


© INEN 2016
2016-513 15 de 26
NTE INEN-ISO 27018 2016-07
18.2.3 Comprobación del cumplimiento técnico

27002, se aplican.

© INEN 2016
2016-513 16 de 26
NTE INEN-ISO 27018 2016-07
Anexo A
(normativo)
Conjunto de controles extendidos para protección de PII

en la nube pública que procesa PII
En este anexo se especifica nuevos controles y la guía de implementación asociada que, en

combinación con los controles aumentada y la guía en ISO/IEC 27002 (ver el Capítulo 5 al 18),
conforman un control extendido establecido para cumplir con los requisitos de protección PII que se
aplican a los proveedores de servicios de la nube pública que actúan como procesadores de PII.
Estos controles adicionales se clasifican de acuerdo con los 11 principios de privacidad en ISO/IEC
29100. En muchos casos, los controles podrían clasificarse en más de uno de los principios de
privacidad. En estos casos, se clasifican bajo el principio más relevante.
A.1 Aceptación y elección
A.1.1 Obligación para cooperar con respecto a los derechos principales de PII
Control
El procesador de PII en la nube pública debería proporcionar al cliente de servicio de nube los medios
necesarios para que pueda cumplir su obligación de facilitar el ejercicio de los derechos del PII
principal para acceder, corregir y/o borrar el PII que les corresponda.
Las obligaciones del controlador de PII en este sentido pueden ser definidos por la ley, regulaciones o
por contrato. Estas obligaciones pueden incluir materias en las que el cliente de servicio en la nube
utiliza los servicios del procesador de PII en la nube pública para la implementación. Por ejemplo,
esto podría incluir la corrección o supresión de PII en el momento oportuno.
Cuando el controlador de PII depende del procesador de PII en la nube pública para la información o
medidas técnicas para facilitar el ejercicio de los derechos de PII principal, la información relevante o
medidas técnicas deben ser especificadas en el contrato.
A.2 Legitimidad y especificación del propósito
A.2.1 Finalidad de control del procesador de PII en la nube pública
Control
La PII a ser procesada mediante un contrato no debería ser procesado por cualquier motivo
independiente al de las instrucciones del cliente de servicios en la nube.
Las instrucciones pueden estar contenidas en el contrato entre el procesador de PII en la nube
pública y el cliente del servicio en la nube, incluyendo, por ejemplo, el objetivo y el intervalo de tiempo
para ser alcanzados por el servicio.
Con el fin de lograr el propósito del cliente de servicios en la nube, puede haber razones técnicas por
lo que es apropiado para un procesador de PII en la nube pública determinar el método para
procesar PII, de acuerdo con las instrucciones generales del cliente del servicio en la nube, pero sin
la indicación expresa del cliente de servicios en la nube. Por ejemplo, con el fin de utilizar
eficientemente la red o capacidad de procesamiento puede ser necesario asignar los recursos de
© INEN 2016
2016-513 17 de 26
NTE INEN-ISO 27018 2016-07
procesamiento específicas en función de ciertas características del PII Principal. En circunstancias

donde la determinación del público de nube PII del procesamiento del método consiste en la
recopilación y uso de PII, el procesador de PII en la nube pública debe adherirse a los principios de
privacidad pertinentes establecidas en ISO/IEC 29100.
El procesador de PII en la nube pública debe proporcionar al cliente del servicio en la nube toda la
información pertinente, en el momento oportuno, para permitir al cliente del servicio en la nube
garantizar el cumplimiento de los principios de especificación del propósito y limitación por parte del
procesador de PII en la nube pública y garantizar que ninguna PII sea procesada por el procesador
de PII en la nube pública o cualquiera de sus subcontratistas para otros fines independientes al de las
instrucciones del cliente del servicio en la nube.
A.2.2 Uso comercial del procesador de PII en la nube pública
Control
La PII procesado bajo un contrato no debería ser utilizado por el procesador de PII en la nube pública
a los fines de marketing y publicidad sin aceptación expresa. Dicha aceptación no debería ser una
condición para recibir el servicio.
NOTA Este control es una adición al control más general en A.2.1 y no lo sustituye o caso contrario lo reemplaza.
A.3 Limitación de la colección
No hay controles adicionales que sean relevantes a este principio de privacidad.
A.4 Minimización de los datos
A.4.1 Eliminación segura de archivos temporales
Control
Archivos y documentos temporales deberían ser eliminados o destruidos en un periodo determinado y

documentado.
La guía de implementación sobre la eliminación de PII se proporciona en A.10.11.
Los sistemas de información pueden crear archivos temporales en el curso normal de su ejercicio.
Estos archivos son específicos del sistema o aplicación, pero pueden incluir diarios de revisión de
archivos de sistemas, y archivos temporales asociados a la actualización de las bases de datos y el
funcionamiento de otras aplicaciones de software. Los archivos temporales no son necesarios
después de que la tarea de procesamiento ha sido completada, pero hay circunstancias en las que no
se pueden eliminar. El periodo de tiempo durante el cual estos archivos permanecen en uso no
siempre es determinante, sino un procedimiento de "recolección de basura" que debe identificar los
archivos pertinentes y determinar cuánto tiempo ha pasado desde su último uso.
Los sistemas de procesamiento de la información de PII deberían implementar un control periódico

que elimine los archivos temporales no utilizados mayores a un cierto tiempo determinado.
A.5 Uso, retención y limitación de la divulgación
A.5.1 Notificación divulgación de PII
Control
El contrato entre el procesador de PII en la nube pública y el cliente del servicio en la nube debería
exigir que el procesador de PII en la nube pública notifique al cliente del servicio en la nube, de

© INEN 2016
2016-513 18 de 26
NTE INEN-ISO 27018 2016-07
acuerdo con cualquier procedimiento y los plazos acordados en el contrato, de cualquier solicitud
jurídicamente vinculante de divulgar de PII por una autoridad en la aplicación de la ley, a menos que
dicha divulgación esté prohibida.
El procesador de PII en la nube pública debería proporcionar garantías contractuales que rechacen
cualquier solicitud de divulgación de PII que no sean jurídicamente vinculantes, consultar al
correspondiente cliente del servicio en la nube, donde la legislación lo admita antes de hacer
cualquier divulgación de PII y aceptar todas las solicitudes acordadas por contrato para las
divulgaciones de PII que estén autorizadas por el correspondiente cliente de servicios de nube.
Un ejemplo de una posible prohibición de divulgación sería una prohibición en la ley penal para
preservar la confidencialidad de una investigación policial.
A.5.2 Registro de divulgaciones de PII
Control
Las divulgaciones de PII a terceros deben ser registradas, incluyendo PII revelada, a quién y en qué
momento.
La PII puede ser divulgada durante el curso de operaciones normales. Estas divulgaciones deberían
ser registradas (ver en 12.4.1). Cualquier información adicional a terceros, tales como las derivadas
de las investigaciones legales o auditorías externas, también deberían ser registradas. Los registros
deberían incluir la fuente de la divulgación y de la fuente de la autoridad para hacer la divulgación.
A.6 Precisión y calidad
No hay controles adicionales que sean relevantes a este principio de privacidad.
A.7 Apertura, transparencia y notificación
A.7.1 Divulgación de procesamiento de subcontratación de PII
Control
El uso de subcontratistas por el procesador de PII en la nube pública para procesar PII debería ser
revelada a los clientes de servicios de nube pertinentes antes de su uso.
Las disposiciones para el uso de subcontratistas para procesar PII deberían ser transparentes en el
contrato entre el procesador de PII en la nube pública y el cliente de servicios de nube. El contrato
debería especificar que los subcontratistas solo podrán ser comisionados sobre la base de una
aceptación que generalmente se puede dar por el cliente de servicios de nube al comienzo del
servicio. El procesador de PII en la nube pública debería informar al cliente del servicio en la nube de
manera oportuna de cualquier cambio previsto en este sentido para que el cliente de servicios en la
nube tenga la capacidad de oponerse a tales cambios o dar por terminado el contrato.
La información divulgada debería cubrir el hecho de que se utiliza la subcontratación y los nombres
de los subcontratistas correspondientes, pero no los detalles específicos del negocio. La información
divulgada debería incluir también a los países en los que los subcontratistas pueden procesar los
datos (ver A.11.1) y los medios por los que los subcontratistas están obligados a cumplir o exceder
las obligaciones del procesador de PII en la nube pública (ver A.10.12).
Cuando la divulgación pública de la información del subcontratista es evaluada para incrementar los
© INEN 2016
2016-513 19 de 26
NTE INEN-ISO 27018 2016-07
riesgos de seguridad más allá de los límites aceptables, se debería divulgar en virtud de un acuerdo
de no divulgación y/o en la petición del cliente de servicios de nube. El cliente del servicio en la nube
debería ser consciente de que la información está disponible.
A.8 Participación individual y acceso
No hay controles adicionales que son relevantes a este principio de privacidad.
A.9 Responsabilidad
A.9.1 Notificación de una violación de datos que involucra a la PII
Control
El procesador de PII en la nube pública debería notificar de inmediato al usuario de servicios de nube
relevante en el caso de cualquier acceso no autorizado a PII o el acceso no autorizado a los equipos
de procesamiento o instalaciones como consecuencia de la pérdida, divulgación o alteración de la PII.
Las disposiciones relativas a la notificación de una violación de datos que involucra a la PII deberían
formar parte del contrato entre el procesador de PII en la nube pública y el cliente del servicio en la
nube. El contrato debería especificar cómo el procesador de PII en la nube pública proporcionará la
información necesaria para el servicio al cliente en la nube para cumplir con su obligación de notificar
a las autoridades pertinentes. Esta obligación de notificación no se extiende a una violación de datos
causada por el cliente de servicios de nube o PII Principal o dentro de los componentes del sistema
de las que son responsables. El contrato también debería definir el retardo máximo en la notificación
de una violación de datos que involucra a PII.
En el caso de que se haya producido una violación de datos que involucra PII, un registro debe
mantenerse con una descripción del incidente, el período de tiempo, las consecuencias del incidente,
el nombre de quién reporta, a quién se le informó del incidente, las medidas adoptadas para resolver
el incidente (incluyendo a la persona a cargo y los datos recuperados) y el hecho de que el incidente
resultó en pérdida, divulgación o alteración de PII
En el caso de que se ha producido una violación de datos que involucra PII, el registro también
debería incluir una descripción de los datos comprometidos, si se conoce; y si se llevaron a cabo las
notificaciones, las medidas adoptadas para notificar al cliente de servicios de nube y/o agencias
reguladoras.
En algunas jurisdicciones, la legislación o los reglamentos relevantes pueden requerir que el

procesador de PII en la nube pública notifique directamente a las autoridades reguladoras apropiadas
(por ejemplo, una autoridad de protección PII) de una violación de datos que involucra PII.
NOTA Pueden existir otras infracciones que requieran notificación que no están cubiertas aquí, por ejemplo, colección sin
aceptación o autorización de otro tipo, el uso para fines no autorizados, etc.
A.9.2 Período de retención para las políticas y directrices de seguridad administrativa
Control
Las copias de las políticas de seguridad y procedimientos de operación deberían ser conservados
para un período documentado, especificado en reemplazo (incluida la actualización).
La revisión de las políticas y procedimientos actuales e históricos pueden ser requeridos, por ejemplo,
en los casos de resolución de disputas del cliente y la investigación por una autoridad de protección
de PII. Se recomienda un periodo de retención mínimo de cinco años en ausencia de un requisito
legal o contractual específico.
© INEN 2016
2016-513 20 de 26
NTE INEN-ISO 27018 2016-07
A.9.3 Retorno de PII, transferencia y eliminación
Control
El procesador de PII en la nube pública debería tener una política en materia de retorno, transferencia
y/o eliminación de PII y deberían hacer esta política disponible al cliente del servicio en la nube.
En algún punto en el tiempo, PII puede necesitar estar disponible de alguna manera. Esto puede
implicar la devolución del PII al cliente del servicio en la nube, transferirla a otro procesador de PII en
la nube pública o a un controlador de PII (por ejemplo, como resultado de una fusión), garantiza
borrar o no destruirla, anonimizar o archivarla.
El procesador de PII en la nube pública debería proporcionar la información necesaria para permitir
que el cliente de servicios de nube pueda asegurar que PII procesada bajo un contrato sea borrada
(por el procesador de PII en la nube pública y cualquiera de sus subcontratistas) desde donde se
almacenan, incluso para los efectos de copia de seguridad y la continuidad del negocio, tan pronto
como dejen de ser necesarios para los fines específicos de los clientes de servicios de nube. La
naturaleza de los mecanismos de disposición (desvinculación, sobreescritura, desmagnetización,
destrucción u otras formas de borrado) y/o las normas comerciales aplicables deberían preverse
contractualmente.
El procesador de PII en la nube pública debería desarrollar e implementar una política en relación con
la disposición del PII y debería hacer esta política disponible a los clientes de servicios en la nube.
La política debería cubrir el período de retención de PII antes de su destrucción después de la

terminación de un contrato, para proteger al cliente de servicios de nube de la pérdida de PII a través
de un lapso accidental del contrato.
NOTA Este control y guía son también relevantes bajo el elemento de retención del principio "El uso, la retención y la
limitación de la divulgación" (ver A.5).
A.10 Seguridad de la información
A.10.1 Acuerdos de confidencialidad o de no divulgación
Control
Las personas bajo el control del procesador de PII en la nube pública con acceso a la PII deberían
estar sujetos a una obligación de confidencialidad.
Un acuerdo de confidencialidad, en cualquier forma, entre el procesador de PII en la nube pública,

sus empleados y sus agentes debe asegurar que los empleados y agentes no divulguen el PII para
fines independientes de las instrucciones del cliente de servicios en la nube (ver A.2.1). Las
obligaciones del acuerdo de confidencialidad deberían sobrevivir a la terminación de cualquier
contrato relevante.
A.10.2 Restricción de la creación de material impreso
Control
La creación de material impreso que muestra PII debería ser restringida.
El material impreso incluye material creado por la impresión.

© INEN 2016
2016-513 21 de 26
NTE INEN-ISO 27018 2016-07
A.10.3 Control y registro de restauración de datos
Control
Debe haber un procedimiento, y un registro de los esfuerzos de restauración de datos.
NOTA El control anterior hace que el siguiente requisito genérico se aplique en ciertas jurisdicciones. El registro de los
esfuerzos de restauración de datos debería contener: la persona responsable, una descripción de los datos restaurados, y los
datos que se restauró de forma manual.
A.10.4 Protección de datos en medios de almacenamiento al salir de las instalaciones

Control
La PII en medios que salen de las instalaciones de la organización deberían estar sujetas a un
procedimiento de autorización y no debería ser accesible a cualquier persona que no sea personal
autorizado (por ejemplo, mediante el cifrado de los datos de que se trate).
A.10.5 El uso de medios de almacenamiento portátiles y dispositivos sin cifrar
Control
Medios físicos portátiles y dispositivos portátiles que no permiten el cifrado no deberían utilizarse
excepto donde sea inevitable, y cualquier uso de tales medios portátiles y dispositivos deberían ser
documentados.
A.10.6 Cifrado de PII transmitido a través de las redes públicas de transmisión de datos
Control
La PII que se transmite a través de redes públicas de transmisión de datos deberían cifrarse antes de
la transmisión.
En algunos casos, por ejemplo, el intercambio de correo electrónico, las características inherentes a
los sistemas de redes públicas de transmisión de datos podría requerir que algunos datos de
cabecera o el tráfico estén expuestos para la transmisión efectiva.
Cuando varios proveedores de servicio están involucrados en la prestación de servicios de diferentes

categorías de servicios de la arquitectura de referencia de la computación en la nube, puede haber
variado o compartido esta guía al implementar los roles.
A.10.7 Eliminación segura de los materiales de copias físicas
Control
Cuando se destruyen los materiales de copias físicas, deberían ser destruidos de forma segura
utilizando mecanismos como corte transversal, trituración, incineración, destrucción, etc.
A.10.8 Uso único de los ID de usuario
Control
Si más de una persona tiene acceso a la PII almacenada, entonces debería tener cada uno un ID de
usuario distinto para fines de identificación, autenticación y autorización.

© INEN 2016
2016-513 22 de 26
NTE INEN-ISO 27018 2016-07
A.10.9 Registros de usuarios autorizados
Control
Un registro actualizado de los usuarios o perfiles de usuarios que tengan acceso autorizado al
sistema de información debería mantenerse.
Un perfil de usuario debería mantenerse para todos los usuarios cuyo acceso esté autorizado por el
procesador de PII en la nube pública. El perfil de un usuario comprende el conjunto de datos sobre
ese usuario, incluida la identificación de usuario, necesarias para aplicar los controles técnicos que
proporcionan acceso autorizado al sistema de información.
A.10.10 Gestión de ID del usuario
Control
La ID del usuario desactivada o caducada no debería concederse a otros individuos.
En el contexto de toda la arquitectura de referencia de la computación en la nube, el cliente de

servicios de nube puede ser responsable de algunos o todos los aspectos de la gestión de ID de
usuario para los usuarios de servicios de nube bajo su control.
A.10.11 Medidas de contrato
Control
Los contratos entre el cliente de servicios de nube y el procesador de PII en la nube pública debería
especificar las medidas técnicas y organizativas mínimas encaminadas a garantizar que las medidas
de seguridad contratadas están implementadas y que los datos no se procesan para cualquier
propósito independiente de las instrucciones del controlador. Estas medidas no deberían ser objeto
de reducción unilateral por el procesador de PII en la nube pública.
Las obligaciones de seguridad de la información y de protección de PII en la nube pública pertinentes

al procesador de PII pueden surgir directamente de la aplicación de la ley. Cuando esto no sea el
caso, las obligaciones de protección de PII pertinentes al procesador de PII en la nube pública
deberían ser cubiertas en el contrato.
Los controles de esta norma nacional, junto con los controles de ISO/IEC 27002, pretenden ser un
catálogo de referencia de medidas para ayudar en la celebración de un contrato de procesamiento de
la información en materia de PII. El procesador de PII en la nube pública debería informar a un cliente
potencial del servicio en la nube, antes de firmar un contrato, sobre los aspectos de su material de
servicios a la protección de PII.
El procesador de PII en la nube pública debería ser transparente sobre sus capacidades durante el
proceso de celebración de un contrato. Sin embargo, es en última instancia la responsabilidad del
cliente de servicio en la nube asegurarse de que las medidas aplicadas por el procesador de PII en la
nube pública responda a sus obligaciones.

© INEN 2016
2016-513 23 de 26
NTE INEN-ISO 27018 2016-07
A.10.12 Procesamiento subcontratado de PII
Control
Los contratos entre el procesador de PII en la nube pública y cualquier subcontratista que procesan
PII deberían especificar las medidas técnicas y organizativas mínimos que cumplan las obligaciones
de seguridad de la información y de protección PII del procesador de PII en la nube pública. Estas
medidas no deben ser objeto de reducción unilateral por el subcontratista.
El uso de subcontratistas para almacenar copias de seguridad está cubierta por este control (ver
A.7.1).
A.10.13 Acceso a los datos en el espacio de almacenamiento de datos previamente usados
Control
El procesador de PII en la nube pública debería asegurar que cada vez que se asigna el espacio de
almacenamiento de datos a un cliente de servicios de nube, los datos que residan previamente en
ese espacio de almacenamiento no sean visibles para los clientes de servicios en la nube.
Tras la eliminación por un usuario de servicios de nube de datos contenidos en un sistema de

información, problemas de desempeño pueden significar que el borrado explícito de esos datos no es
práctico. Esto crea el riesgo de que otro usuario pueda ser capaz de leer los datos. Ese riesgo
debería evitarse con medidas técnicas específicas.
Ninguna guía específica es especialmente adecuada para tratar todos los casos en la aplicación de
este control. Sin embargo, como ejemplo, algunas nubes de infraestructura, plataformas o
aplicaciones retornarán ceros si un usuario de servicios de nube intenta leer el espacio de
almacenamiento que no ha sido sobrescrito por datos propios de ese usuario.
A.11 Cumplimiento de privacidad
A.11.1 Localización geográfica de PII
Control
El procesador de PII en la nube pública debería especificar y documentar los países en los que PII
podría posiblemente ser almacenado.
Las identidades de los países en los que, posiblemente, podría ser almacenado PII deberían ser
disponibles a los clientes de servicios en la nube. Las identidades de los países derivados de la
utilización de procesamiento de subcontratación PII deberían ser incluidos. Cuando los acuerdos
contractuales especificados se aplican a la transferencia internacional de datos, como los capítulos de
modelo de contratos, normas corporativas vinculantes o Reglas de Privacidad de cruce de borde, los
acuerdos y los países o las circunstancias en que tales acuerdos se aplican también deberían ser
identificados. El procesador de PII en la nube pública debería informar al cliente el servicio en la nube
de manera oportuna de cualquier cambio previsto en este sentido para que el cliente de servicios de
nube tenga la capacidad de oponerse a tales cambios o dar por terminado el contrato.

© INEN 2016
2016-513 24 de 26
NTE INEN-ISO 27018 2016-07
A.11.2 Destino previsto de PII
Control
PII transmite utilizando una red de transmisión de datos que deberían estar sujetos a controles
apropiados, diseñados para asegurar que los datos lleguen a su destino previsto.

© INEN 2016
2016-513 25 de 26
NTE INEN-ISO 27018 2016-07
Bibliografía
[1] BS 10012:2009, Data protection. Specification for a personal information management system
[2] ENISA. Report on Cloud Computing: Benefits, risks and recommendations for
information security, November 2009 (http://www.enisa.europa.eu/activities/risk-
management/files/ deliverables/cloud-computing-risk-assessment/at_download/fullReport)
[3] European Union, Article 29 Working Party, Opinion 05/2012 on Cloud Computing,
adopted July 2012: (http://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommendation/files/2012/wp196_en.pdf )
[4] ISO/IEC 17789, Information technology — Cloud computing — Reference Architecture

3)
[5] ISO/IEC 27005, Information technology — Security techniques — Information security

risk management
[6] ISO/IEC 27035, Information technology — Security techniques — Information security

incident management
[7] ISO/IEC 27036-4, Information technology — Information security for supplier relationships —
Part 4: Guidelines for security of Cloud services
—4)
[8] ISO/IEC 27040, Information technology — Security techniques — Storage security
[9] ISO/IEC 29101, Information technology — Security techniques — Privacy architecture

framework
[10] ISO/IEC 29134, Information technology — Security techniques — Privacy impact assessment
— Methodology
[11] ISO/IEC 29191, Information technology — Security techniques — Requirements for partially
anonymous, partially unlinkable authentication
[12] ISO/IEC JTC 1/SC 27, WG 5 Standing Document 2 — Part 1: Privacy References List. Latest
version available at: http://www.jtc1sc27.din.de/sbe/wg5sd2
[13] JIS Q 15001:2006, Personal information protection management systems — Requirements
[14] NIST SP 800-53 rev4, Security and Privacy Controls for Federal Information
Systems and Organizations, April 2013
(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800- 53r4.pdf )
[15] NIST SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information
(PII), April 2010 (http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf )
[16] NIST SP 800-144, Guidelines on Security and Privacy in Public Cloud Computing, December
2011 (http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf )
3)
A ser publicada
4)
A ser publicada
© INEN 2016
2016-513 26 de 26
INFORMACIÓN COMPLEMENTARIA
Documento: TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS Código ICS:

NTE INEN- DE SEGURIDAD ─ CÓDIGO DE PRACTICA PARA LA 035.040
ISO/IEC 27018 PROTECCIÓN DE LA INFORMACIÓN DE IDENTIFICACIÓN
PERSONAL (PII) EN NUBES PÚBLICAS ACTUANDO COMO
PROCESADORES DE PII (ISO/IEC 27018:2014, IDT)
ORIGINAL: REVISIÓN:
Fecha de iniciación del estudio: La Subsecretaría de la Calidad del Ministerio de Industrias
2015-03-10 y Productividad aprobó este proyecto de norma
Oficialización con el Carácter de
por Resolución No.
publicado en el Registro Oficial No.
Fecha de iniciación del estudio:
Fechas de consulta pública: 2015-11-11 hasta 2015-11-25
Comité Técnico de: Tecnologías de la información

Fecha de iniciación: 2016-02-17 Fecha de aprobación: 2016-03-16
Integrantes del Comité:
NOMBRES: INSTITUCIÓN REPRESENTADA:
Ing. Oswaldo Rivera (Presidente) MINTEL

Ing. Diego Uribe Nogales ARCOTEL
Ing. Alejandro Cevallos CNT E.P.
Sr. Juan Pablo Aliaga ISACA
Ing. Fernanda Betancourt DINARDAP
Ing. Andrés Ochoa S.R.I
Ing. Giovanni Moreno YACHAY E.P
Ing. Fernando Arias SERCOP
Ing. Christian Sangucho SERCOP
Sr. Edgar Valenzuela INEN-METROLOGÍA
Ing. Bolívar Jácome U.T.E
Ing. Judith Quinatoa (Secretaria técnica) INEN DIRECCIÓN DE NORMALIZACIÓN
Otros trámites:
La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de

norma
Oficializada como: Voluntaria Por Resolución No. 16234 de 2016-06-16

Registro Oficial No. 798 de 2016-07-15
Servicio Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre
Casilla 17-01-3999  Telfs: (593 2)3 825960 al 3 825999
Dirección Ejecutiva: direccion@normalizacion.gob.ec
Dirección de Normalización: consultanormalizacion@normalizacion.gob.ec
Centro de Información: centrodeinformacion@normalizacion.gob.ec
URL:www.normalizacion.gob.ec

NTE INEN-IsOIEC 27018 Protección de Datos Personales en La Nube

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NTE INEN-IsOIEC 27018 Protección de Datos Personales en La Nube

Cargado por

Copyright:

Formatos disponibles

Servicio Ecuatoriano de Normalización (2016).

Tecnologías de la información ─ Técnicas de seguridad ─ Código de práctica

NORMA NTE INEN-ISO/IEC 27018

TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS DE

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

DESCRIPTORES: Tecnologías de la información, técnicas de seguridad, código de conducta, protección, identificación 26

© ISO/IEC 2014  Todos los derechos reservados

A continuación, se enlistan los documentos normativos internacionales que se referencian en la

Documento Normativo Internacional

ISO/IEC 27000:2014, Information technology No existe documento normativo nacional, el

ISO/IEC 27001:2013, Information technology No existe documento normativo nacional, el

ISO/IEC 27002:2013, Information technology No existe documento normativo nacional, el

ISO/IEC 29100:2011, Information technology No existe documento normativo nacional

© ISO/IEC 2014  Todos los derechos reservados

1 Objeto y campo de aplicación ……………………………………………………………… 1

2 Referencias normativas ……………………………………………………………………… 1

3 Términos y definiciones ……………………………………………………………………… 1

5 Políticas de seguridad de la información …………………………………………………. 4

6 Organización de la seguridad de la información………………………………………….. 5

7 Seguridad en recursos humanos…………………………………………………………… 6

7.1 Antes de empleo……….…………………………………………………………………… 6

11 Seguridad física y del entorno.…….………………………………………………………… 9

12 Seguridad de las operaciones…………………...…………….…………………………… 10

13 Seguridad en las comunicaciones……….………………………………………………… 13

14 Adquisición, desarrollo y mantenimiento de sistemas…………..…………………… 14

© ISO/IEC 2014  Todos los derechos reservados

15 Relación con proveedores………………………………...……...……………………….… 14

16 Gestión de incidentes de seguridad de la información…….…………………………… 14

17 Aspectos de seguridad de la información para la gestión de la continuidad

Anexo A (normativo) Conjunto de controles extendidos para protección de PII en

© ISO/IEC 2014  Todos los derechos reservados

ISO (Organización Internacional de Normalización) e IEC (Comisión Internacional Electromecánica)

El comité responsable de este documento es ISO/IEC JTC 1, Tecnologías de la información,

© ISO/IEC 2014  Todos los derechos reservados

0.1 Antecedentes y contexto

Un proveedor de servicios de nube pública es un 'procesador de PII' cuando procesa la PII de

 Ayudar al cliente de servicios en la nube y procesador de PII en la nube pública a entrar en un

 Proporcionar a los clientes de servicios en la nube un mecanismo para el ejercicio de auditoría y

© ISO/IEC 2014  Todos los derechos reservados

 proporciona una guía de implementación aplicable a la protección en la nube pública PII

 el Anexo A proporciona un conjunto de controles adicionales y una guía asociada con la

0.3 Requisitos de protección de PII

© ISO/IEC 2014  Todos los derechos reservados

0.4 Selección y controles de implementación en un ambiente de computación en la nube

0.5 Desarrollo de directrices adicionales

0.6 Consideraciones de ciclo de vida

© ISO/IEC 2014  Todos los derechos reservados

Tecnologías de la información ─ Técnicas de seguridad ─ Código de práctica

1 Objeto y campo de aplicación

ISO/IEC 17788 | Rec. UIT-T Y.3500, Tecnologías de la información  Computación en la nube -

ISO/IEC 27000:2014, Tecnologías de la información  Técnicas de seguridad  Sistemas de gestión

ISO/IEC 27001:2013, Tecnologías de la información  Técnicas de seguridad  Sistemas de gestión

ISO/IEC 27002:2013, Tecnologías de la información  Técnicas de seguridad  Código de conducta

ISO/IEC 29100/:2011, Tecnologías de la información  Técnicas de seguridad – Marco de referencia

[FUENTE: ISO/IEC 27040:2), 3.7]

[FUENTE: ISO/IEC 29100: 2011, 2.9]

[FUENTE: ISO/IEC 29100:2011, 2.10]

Nota 1 a la entrada: Dependiendo de la jurisdicción y de la protección y especial de PII, y el sinónimo de legislación de

[FUENTE: ISO/IEC 29100: 2011, 2.11]

[FUENTE: ISO/IEC 29100:2011, 2.12]

[FUENTE: ISO/IEC 29100:2011, 2.23]

Número de Título Observaciones

5 Políticas de seguridad de la Se proporciona una guía para la implementación

Número de Título Observaciones