Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Quito – Ecuador
_____________________________________
Correspondencia:
Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC
27018:2014.
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27018:2015, es una traducción idéntica a la
Norma Internacional ISO/IEC 27018:2014. Information technology — Security techniques — Code of
practice for protection of personally identifiable information (PII) in public clouds acting as PII
processors. El comité responsable de esta Norma Técnica Ecuatoriana y de su traducción es el
Comité Técnico de Normalización, “Tecnologías de la Información”.
Para el propósito de esta Norma Técnica Ecuatoriana, se ha hecho el siguiente cambio editorial:
a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.
Índice
Página
Prólogo…………………………………………………………………………………………………… iv
0 Introducción……………………………………………………………………………………. v
4 Descripción …………………………………………………………………………………….. 3
4.1 Estructura de esta norma…………………………...……………………..…………….. 3
4.2 Categorías de control …………………………………………………………………… 4
8 Gestión de activos……………………………………………………………………………….. 7
9 Control de acceso………………………………………………………………………………. 7
9.1 Requisitos de negocio para el control de acceso….………………….……………….. 7
9.2 Gestión de acceso del usuario………………...………………………...……………….. 7
9.3 Responsabilidades del usuario…………………………………..………...………..…… 8
9.4 Control de acceso a los sistemas y aplicaciones………………………….……….……… 8
10 Criptografía ……………………………………………………………………………………… 9
10.1 Controles criptográficos…………………………………………………………………… 9
18 Cumplimiento………………………………………………………………………………… 15
18.1 Cumplimiento de los requisitos legales y contractuales…..……..………………… 15
18.2 Revisiones de la seguridad de la información….………………………..………… 15
Bibliografía ……………………………………………………………………………………………. 26
Prólogo
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, deben tenerse en
cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos. Las
Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de
ISO/IEC, Parte 2 (ver www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO e IEC no se hacen responsables por la identificación de
cualquiera o todos los derechos de patente. Los detalles de los derechos de patente identificados
durante la elaboración del documento estarán en la introducción y/o en la lista ISO de las
declaraciones de patentes recibidas (ver www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información dada la comodidad de los
usuarios y no constituye un aval.
Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones
relacionadas con la evaluación de la conformidad, así como información sobre el cumplimiento de
ISO a los principios de la OMC en los Obstáculos Técnicos al Comercio (OTC) consulte el siguiente
URL: Foreword: Supplementary information.
0 Introducción
Los proveedores de servicios en la nube que procesan Información de Identificación Personal (PII)
bajo contrato con sus clientes tienen que operar sus servicios de manera que permitan a ambas
partes cumplir con los requisitos de la legislación y las regulaciones sobre la protección de PII
aplicables. Los requisitos y la forma en que los requisitos se dividen entre el proveedor de servicios
de nube y sus clientes varían según la jurisdicción legal, de acuerdo con los términos del contrato
entre el proveedor de servicios de nube y el cliente. La legislación que rige el cómo la PII puede ser
procesada (es decir, recogida, utilizada, transferida y eliminada) se conoce como la legislación de
protección de datos a veces; la PII se refiere a veces como datos personales o información personal.
Las obligaciones que recaen en un procesador de PII varían de una jurisdicción a otra, lo que hace
que sea difícil para las empresas que prestan servicios de computación en la nube operar en una
multinacional.
NOTA Cuando el procesador de PII de nube pública está procesando datos de cuentas de clientes de servicios de nube,
este puede estar actuando como un controlador de PII para este propósito. Esta norma nacional no cubre ese tipo de actividad.
La intención de esta norma nacional, cuando se utiliza junto con los objetivos de seguridad de la
información y los controles de ISO/IEC 27002, es la creación de un conjunto común de controles de
categorías y de seguridad que pueden ser implementados por un proveedor de servicios de
informática en la nube pública que actúe como un procesador de PII. Este tiene los siguientes
objetivos.
Ayudar al proveedor de servicios de nube pública a cumplir con las obligaciones aplicables
cuando actúa como procesador de PII, si dichas obligaciones recaen sobre el procesador de PII
directamente o a través del contrato.
Activar el procesador de PII de nube pública a ser transparente en los asuntos pertinentes para
que los clientes de servicios de nube pueden seleccionar servicios de procesamiento de PII en la
nube bien administrada.
Esta norma nacional no pretende sustituir la legislación y regulación aplicable, pero puede ayudar a
proporcionar un marco de referencia común para el cumplimiento de los proveedores de servicios de
nube pública, en particular las que operan en un mercado multinacional.
0.2 Controles de protección de PII en la nube pública para los servicios de computación
Esta norma nacional está diseñada para que las organizaciones que van a utilizarla como referencia
para la selección de los controles de protección de PII en el proceso de implementación de un
sistema de computación en la nube de gestión de seguridad de la información en la nube basado en
ISO/IEC 27001, o como un documento de guía de implementación de los controles de protección de
PII comúnmente aceptados para las organizaciones que actúan como procesadores de PII en la nube
pública. En particular, esta norma nacional se basó en ISO/IEC 27002, teniendo en cuenta el
ambiente(s) de riesgo específico (s) que surja de esos requisitos de protección de PII que podrían
aplicarse a los proveedores de servicios de computación en la nube pública que actúan como
procesadores de PII.
Normalmente, una organización que implementa ISO/IEC 27001 está protegiendo sus propios activos
de información. Sin embargo, en el contexto de los requisitos de protección de PII por un proveedor
de servicios de nube pública que actúa como un procesador de PII, la organización está protegiendo
los activos de información le sean encomendados por sus clientes. La implementación de los
controles de ISO/IEC 27002 por el procesador de PII en la nube pública es a la vez adecuada y
necesaria para este fin. Esta norma nacional aumenta los controles de ISO/IEC 27002 para dar
cabida a la naturaleza distribuida del riesgo y la existencia de una relación contractual entre el cliente
de servicios de nube y el procesador de PII en la nube pública. Esta norma nacional complementa a
en ISO/IEC 27002 de dos maneras:
La mayoría de los controles y la guía de esta norma nacional también serán de aplicación a un
controlador de PII. Sin embargo, el controlador de PII, en la mayoría de los casos, puede ser objeto
de obligaciones adicionales no especificadas aquí.
Es esencial que una organización identifique sus requisitos para la protección de PII. Hay tres fuentes
principales de requisitos, como se indica a continuación.
a) Requisitos Legales, Estatutarios, Reglamentarios y Contractuales: Algunas de las fuentes son los
requisitos y obligaciones legales, estatutarias, reglamentarias y contractuales que una
organización, sus socios comerciales, contratistas y proveedores de servicios tienen que
satisfacer, y sus responsabilidades socio-culturales y el ambiente operativo. Cabe señalar que la
legislación, los reglamentos y compromisos contractuales realizados por el procesador de PII
podrían exigir la selección de los controles particulares y también podrían requerir criterios
específicos para la aplicación de esos controles. Estos requisitos pueden variar de una jurisdicción
a otra.
b) Riesgos: Otra fuente se deriva de la evaluación de riesgos para la organización asociada con la
PII, teniendo en cuenta la estrategia de negocios global de la organización y sus objetivos. A
través de una evaluación de riesgos, las amenazas se identifican, la vulnerabilidad y probabilidad
de ocurrencia se evalúa y el impacto potencial se estima. La ISO/IEC 27005 proporciona una guía
de la gestión de riesgos de seguridad de la información, incluido el asesoramiento sobre la
evaluación de riesgos, la aceptación de riesgos, comunicación de riesgos, monitoreo de riesgos y
evaluación de riesgos. ISO/IEC 29134 proporciona una guía sobre la evaluación del impacto sobre
la privacidad.
c) Políticas corporativas: Si bien muchos aspectos cubiertos por una política corporativa se derivan de
las obligaciones legales y socio-culturales, una organización también puede optar voluntariamente
a ir más allá de los criterios que se derivan de los requisitos de a).
Los controles pueden ser seleccionados de esta norma nacional (que incluye por referencia los
controles en ISO/IEC 27002, la creación de un conjunto de control de referencia combinado para el
sector o aplicación definido por el alcance). Si es necesario, los controles también se pueden
seleccionar de otros conjuntos de control, o nuevos controles pueden ser diseñados para satisfacer
las necesidades específicas según sea apropiado.
NOTA Un servicio de procesamiento de PII proporcionado por un procesador de PII en la nube pública podría considerarse
como una aplicación de la informática en nube en lugar de un sector en sí mismo. Se utiliza, sin embargo, el término "sector
específico" en esta norma nacional, ya que este es el término convencional utilizado en otras normas de la serie ISO/IEC
27000.
La selección de los controles depende de decisiones de la organización sobre la base de los criterios
de aceptación del riesgo, las opciones de tratamiento del riesgo, y el enfoque general de la gestión de
riesgos aplicada a la organización y, a través de acuerdos contractuales, sus clientes y proveedores,
y también estará sujeta a todas las leyes y reglamentos nacionales e internacionales relevantes.
Cuando no se seleccionan los controles de esta norma nacional, esto debe ser documentado con
justificación de la omisión.
Además, la selección y aplicación de los controles dependen del papel real del proveedor de la nube
pública en el contexto de toda la arquitectura de referencia de la computación en la nube (ver ISO/IEC
17789). Muchas organizaciones diferentes pueden estar involucradas en la prestación de servicios de
infraestructura y aplicaciones en un ambiente de computación en la nube. En algunas circunstancias,
los controles seleccionados pueden ser únicos para una categoría de servicio particular de la
arquitectura de referencia de la computación en la nube. En otros casos, se pueden compartir los
roles en la implementación de controles de seguridad. Los acuerdos contractuales deben especificar
claramente las responsabilidades de protección PII de todas las organizaciones que participan en la
prestación o el uso de los servicios en la nube, incluyendo el procesador de PII en la nube pública,
sus subcontratistas y el cliente de servicios de nube.
Los controles de esta norma nacional pueden ser considerados como principios rectores y aplicables
para la mayoría de las organizaciones. Se explican con más detalle a continuación junto con una guía
de implementación. La implementación puede ser más sencilla si los requisitos para la protección de
PII se han considerado en el diseño del sistema de información del procesador de PII de nube
pública, en los servicios y las operaciones. Tal consideración es un elemento del concepto que a
menudo se llama "Privacidad por diseño". La bibliografía enumera los documentos pertinentes, tales
como ISO/IEC 29101.
Esta norma nacional puede considerarse como un punto de partida para el desarrollo de las
directrices de protección de PII. Es posible que no todos los controles y guía en este código de
práctica será aplicable. Además, podrían ser necesarios los controles adicionales y directrices no
incluidos en esta norma nacional. Cuando se desarrollan los documentos que contienen directrices o
controles adicionales, podría ser útil incluir referencias cruzadas a los capítulos de esta norma
nacional en su caso para facilitar la comprobación del cumplimiento de los auditores y socios de
negocios.
La PII tiene un ciclo de vida natural, desde la creación y emisión hasta su almacenamiento,
procesamiento, uso y transmisión de su eventual destrucción o deterioro. Los riesgos para la PII
pueden variar durante su vida, pero la protección de la PII sigue siendo importante hasta cierto punto
en todas las etapas.
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 vii
NTE INEN-ISO 27018 2016-07
Los requisitos de protección de PII deben tomar en cuenta los sistemas de información existentes y
nuevos gestionados a través de su ciclo de vida.
En particular, esta norma nacional especifica directrices basadas en ISO/IEC 27002, teniendo en
cuenta los requisitos normativos para la protección de PII los cuales podrían ser aplicables en el
contexto del ambiente(s) de riesgos de seguridad de la información de un proveedor de servicios de
nube pública.
Esta norma nacional es aplicable a todos los tipos y tamaños de organizaciones, incluyendo las
empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que
proporcionan servicios de procesamiento de información como procesadores PII a través de la
computación en la nube bajo contrato con otras organizaciones.
Las directrices de esta norma nacional también podrían ser relevantes para las organizaciones que
actúan como controladores de PII; sin embargo, los controladores de PII podrían ser objeto de
legislación de protección, reglamentos y obligaciones adicionales a PII, que no se aplica a los
procesadores PII. Esta norma nacional no se destina a cubrir dichas obligaciones adicionales.
2 Referencias normativas
Los siguientes documentos, en su totalidad o en parte, están normativamente referenciados en este
documento y son indispensables para su aplicación. Para las referencias con fecha, solamente la
edición citada se aplica. Para referencias sin fecha, se aplica la última edición del documento al que
se hace referencia (incluyendo cualquier enmienda).
3 Términos y definiciones
Para los fines de este documento, los términos y definiciones proporcionados en ISO/IEC 17788,
ISO/IEC 27000 y los siguientes se aplican.
1) A ser publicada
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 1 de 26
NTE INEN-ISO 27018 2016-07
3.1
violación de datos
seguridad comprometida que lleva a la destrucción accidental o ilícita, la pérdida, alteración,
divulgación no autorizada o acceso a la protección de datos transmitidos, almacenados o procesados
de otro modo
3.2
información de identificación personal
PII
cualquier información que (a) puede ser usada para identificar la PII principal a la que se refiere la
información, o (b) es o podría ser vinculada directa o indirectamente a la PII principal
Nota 1 a la entrada: Para determinar si la PII principal es identificable, se debería tener en cuenta todos los significados los
cuales pueden ser usados razonablemente para mantener la privacidad de los datos de las partes interesadas, o por cualquier
otra parte, para identificar a esa persona natural.
Nota 2 a la entrada: Esta definición se incluye para definir el término PII como se utiliza en esta norma nacional. Un
procesador PII de nube pública normalmente no está en condiciones de conocer de forma explícita si la información que
procesa cae en cualquier categoría a menos que esto se haga transparente por parte del cliente de servicios de nube.
3.3
controlador de PII
el interesado de la privacidad (o las partes interesadas de la privacidad) que determina los fines y
medios de procesamiento la información de identificación personal (PII), que no sean personas
naturales que utilizan los datos para fines personales
Nota 1 a la entrada: Un controlador de PII a veces instruye otros (por ejemplo, procesadores de PII) para PII en su nombre
mientras que la responsabilidad derivada del procesamiento sigue siendo con el controlador de PII.
3.4
principal PII
persona física a la que se refiere la información de identificación personal (PII)
3.5
procesador de PII
partes interesadas de la privacidad que procesan la información de identificación personal (PII), en
nombre y de acuerdo con las instrucciones de un controlador de PII
3.6
procesamiento de PII
operación o conjunto de operaciones realizadas sobre la información de identificación personal (PII)
Nota 1 a la entrada: Ejemplos de las operaciones de procesamiento de PII incluyen, pero no se limitan a la recolección,
almacenamiento, modificación, extracción, consulta, divulgación, en forma anónima, seudónimos, difusión o cualquier otra
forma de comunicación, supresión o destrucción de PII.
2)
A ser publicada
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 2 de 26
NTE INEN-ISO 27018 2016-07
3.7
proveedor de servicios de nube pública
parte que hace disponibles los servicios en la nube de acuerdo al modelo de nube pública
4 Descripción
4.1 Estructura de esta norma
Esta norma nacional tiene una estructura similar a ISO/IEC 27002. En caso de que los objetivos y los
controles especificados en ISO/IEC 27002 sean aplicables sin necesidad de ninguna información
adicional, se ofrece solo una referencia en ISO/IEC 27002. Los controles adicionales y la guía de
implementación aplicable a la protección de PII para los proveedores de servicios de computación en
nube se describen en el Anexo A (normativo).
En los casos en que los controles necesiten una guía adicional aplicable a la protección de PII para
los proveedores de servicios de computación en la nube, esto se da bajo el título de Nube Pública PII
para la guía de implementación de protección. En algunos casos, existen más datos relevantes que
mejoran la guía adicional y se proporciona bajo el título de Otra información para la protección de PII
en la nube pública.
Como se muestra en la Tabla 1, dicha guía e información específica del sector están incluidas en las
categorías definidas en ISO/IEC 27002. Los numerales de los capítulos se ha alineado con los
números de capítulos de ISO/IEC 27002, como se indica en la tabla.
Tabla 1 ─ Ubicación de la guía específica del sector y otra información para la implementación
de los controles en ISO/IEC 27002
b) uno o más controles que se pueden aplicar para alcanzar el objetivo de control.
Control
Proporciona información adicional que pueda ser necesaria considerar, tales como las
consideraciones jurídicas y referencias a otras normas.
El control 5.1.1, la guía para la implementación asociada y otra información especificada en ISO/IEC
27002, son aplicables. La siguiente guía específica del sector también se aplica.
Las políticas de seguridad de la información deberían aumentarse mediante una declaración relativa
al apoyo y compromiso para lograr el cumplimiento de la legislación de protección PII aplicable y las
condiciones contractuales acordadas entre el procesador de PII en la nube pública y sus clientes
(clientes de servicio en la nube).
Los acuerdos contractuales deberían asignar claramente las responsabilidades entre el procesador
de PII en la nube pública, los subcontratistas y el cliente de servicios en la nube, teniendo en cuenta
el tipo de servicio en la nube en cuestión (por ejemplo, un servicio de una categoría de IaaS, PaaS o
SaaS de la arquitectura de referencia de la computación en la nube). Por ejemplo, la asignación de la
responsabilidad de los controles de nivel de aplicación puede ser diferente dependiendo de si el
procesador de PII en la nube pública está proporcionando un servicio SaaS o más bien está
proporcionando un servicio PaaS o IaaS sobre el cual el cliente de servicios en la nube puede
construir capas de sus propias aplicaciones.
Un mecanismo para asegurar al procesador de PII en la nube pública está obligado a soportar y
gestionar el cumplimiento que es proporcionado por el contrato entre el cliente de servicios en la nube
y el procesador de PII en la nube pública. El contrato podría llamar para el cumplimiento de auditorías
independientes, aceptable para el cliente de servicio en la nube, por ejemplo, a través de la aplicación
de los controles pertinentes en esta norma nacional y en ISO/IEC 27002.
El procesador de PII en la nube pública debería designar un punto de contacto para el uso por parte
del cliente de servicios de la nube sobre el tratamiento de información de identificación personal en
virtud del contrato.
Se debería implementar medidas para que el personal pertinente tome conciencia sobre las posibles
consecuencias en el procesador de PII en la nube pública (por ejemplo, consecuencias legales,
pérdida de negocio y marca, o daño a la reputación), sobre el miembro del personal (por ejemplo, las
consecuencias disciplinarias) y sobre el principal de PII (por ejemplo, consecuencias físicas,
materiales y emocionales) del incumplimiento de las normas y procedimientos de privacidad o de
seguridad, en especial los relativos a la manipulación de PII.
En algunas jurisdicciones, el procesador de PII en la nube pública puede estar sujeto a sanciones
legales, incluyendo multas sustanciales directamente de la autoridad de protección de PII local. En
otras jurisdicciones el uso de las Normas Internacionales, así como esto en el establecimiento del
contrato entre el procesador de PII en la nube pública y el cliente de servicios de nube, debería
ayudar a establecer una base para sanciones contractuales en caso de incumplimiento de las normas
y procedimientos de seguridad.
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 7.3, se aplican.
8 Gestión de activos
Los objetivos especificados en, y los contenidos de, ISO/IEC 27002: 2013, Capítulo 8, se aplican.
9 Control de acceso
9.1 Requisitos de negocio de control de acceso
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 9.1, se aplican.
El objetivo especificado en ISO/IEC 27002:2013, 9.2, se aplica. La siguiente guía específica del
sector también se aplica a la implementación de la totalidad de los controles bajo este numeral (9.2).
Los procedimientos para el registro y bloqueo de usuarios debería considerar la situación donde el
control de acceso de usuario es comprometido, así como el daño o comprometimiento de
contraseñas u otros datos de registro de usuario (por ejemplo, como resultado de la divulgación
involuntaria).
NOTA Jurisdicciones individuales pueden imponer requisitos específicos en cuanto a la frecuencia de los controles de las
credenciales de autenticación no utilizadas. Las organizaciones que operan en estas jurisdicciones deberían garantizar que
cumplen con estos requisitos.
NOTA Los controles adicionales y la guía pertinente a la restricción de acceso a la información se pueden encontrar en
A.10.13.
Cuando sea necesario, el procesador de PII en la nube pública debería proporcionar procedimientos
de inicio de sesión seguros para todas las cuentas solicitadas por el cliente de servicios en la nube
para los usuarios de servicios en la nube bajo su control.
2016-513 8 de 26
NTE INEN-ISO 27018 2016-07
10 Criptografía
10.1 Controles criptográficos
El procesador de PII en la nube pública debería proporcionar información a los clientes de servicios
de nube sobre las circunstancias en que utiliza la criptografía para proteger PII que procesa. El
procesador de PII en la nube pública debería también informar al cliente del servicio en la nube
acerca de cualquier capacidad que esta proporciona que pueden asistir a los clientes del servicio de
nube en la aplicación de su propia protección criptográfica.
NOTA En algunas jurisdicciones pueden ser obligadas a aplicar la criptografía para proteger determinados tipos de PII, como
los datos de salud con respecto a un PII principal, números de registro de residente, números de pasaporte y número de
licencia de conducir.
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 11.1, se aplican.
11.2 Equipos
Para propósitos de la eliminación segura o la reutilización, los equipos que contengan medios de
almacenamiento que puede posiblemente contener PII deben ser tratados como si lo tuviera.
NOTA Controles adicionales y orientaciones pertinentes para la eliminación segura o reutilización de equipos se pueden
encontrar en A.10.13.
Cuando el uso de PII para fines de prueba no se puede evitar, debería llevarse a cabo una evaluación
de riesgos. Las medidas técnicas y organizacionales deberían ser implementadas para minimizar los
riesgos identificados.
Las responsabilidades específicas de PII en este aspecto pueden recaer en el cliente de servicios en
la nube. Cuando el procesador de PII en la nube pública ofrece explícitamente servicios de copias de
seguridad y restauración al cliente del servicio en la nube, el procesador de PII en la nube pública
debería proporcionar información clara al cliente del servicio en la nube sobre las capacidades del
servicio en la nube con respecto a las copias de seguridad y restauración de datos del cliente de
servicios en la nube.
NOTA 1 Las jurisdicciones individuales pueden imponer requisitos específicos en cuanto a la frecuencia de las copias de
seguridad. Las organizaciones que operan en estas jurisdicciones deberían garantizar que cumplen con estos requisitos.
Los procedimientos de copias de seguridad y restauración deberían ser revisados con una frecuencia
específica, y documentada.
NOTA 2 Las jurisdicciones individuales pueden imponer requisitos específicos en cuanto a la frecuencia de las revisiones de
los procedimientos de copias de seguridad y restauración. Las organizaciones que operan en estas jurisdicciones deberían
garantizar que cumplen con estos requisitos.
El uso de subcontratistas para almacenar réplicas o copias de seguridad de datos que están siendo
procesados, están cubiertos por los controles de esta norma nacional, que aplican al procesamiento
de PII subcontratado. Cuando las transferencias de medios físicos tienen lugar, estos también están
cubierto por controles de esta norma nacional.
El procesador de PII en la nube pública debe tener una política que aborde los requisitos para las
copias de seguridad de la información y todos los requisitos adicionales (por ejemplo, los requisitos
contractuales y/o legales) para la supresión de PII contenidos en la información mantenidos a efectos
de copias de seguridad.
Se debería implementar un proceso para revisar los registros de eventos con una periodicidad
documentada y especificada, para identificar las irregularidades y proponer los esfuerzos de
remediación.
Siempre que sea posible, los registros de eventos deberían registrar cuando un PII a cambiado o no
(añadido, modificado o eliminado) como resultado de un evento en sí mismo. Cuando varios
proveedores de servicio están involucrados en la prestación de servicios de diferentes categorías de
servicios de la arquitectura de referencia de la computación en la nube, puede haber variado o
compartido esta guía al implementar los roles.
El procesador de PII en la nube pública debería definir criterios con respecto a cuándo y cómo el
registro de la información puede estar disponible o utilizable por el cliente de servicios en la nube.
Estos procedimientos deberían ser puestos a disposición del cliente de servicio en la nube.
Cuando se permita a un cliente de servicios en la nube acceder a los registros de las bitácoras
controlados por el procesador de PII en la nube pública, el procesador de PII en la nube pública debe
garantizar que el cliente de servicios en la nube solo puede acceder a los registros que se relacionan
con las actividades de ese cliente de servicios en la nube, y no pueden acceder a cualquier registro
de la bitácora que se relacionan con las actividades de otros clientes de servicios en la nube.
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 12,5, se aplican.
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 12.6, se aplican.
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 12.7, se aplican.
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 13.1 se aplican.
Siempre que se utilicen medios físicos para la transferencia de información, debería ser
implementado un sistema para registrar medios físicos de entrada y salida que contiene PII,
incluyendo el tipo de medio físico, emisor/receptores autorizados, la fecha y la hora, y el número del
medio físico. Siempre que sea posible, los clientes de servicios en la nube deberían ser consultados
sobre la implementación de medidas adicionales (como el cifrado) para asegurar que los datos solo
pueden ser accedidos en el punto de destino y no en el trayecto.
NOTA Los controles adicionales y orientaciones pertinentes a los acuerdos de confidencialidad o de no divulgación pueden
ser encontrados en A.10.1.
NOTA Más información sobre la gestión de relaciones con los proveedores, se puede obtener a partir de ISO/IEC 27036-4.
El objetivo especificado en ISO/IEC 27002:2013, 16.1 aplica. La siguiente guía específica del sector
también se aplica a la implementación de la totalidad de los controles de (16.1).
Un incidente de seguridad de información debería dar lugar a una revisión por parte del procesador
de PII en la nube pública, como parte de su proceso de gestión de incidentes de seguridad de la
información, para determinar si una violación de datos que involucra PII ha tenido lugar (ver A.9.1).
18 Cumplimiento
18.1 Cumplimiento de los requisitos legales y contractuales
El objetivo especificado en, y los contenidos de, ISO/IEC 27002:2013, 18.1 se aplican.
NOTA Los controles adicionales y la guía pertinente para el cumplimiento de los requisitos legales y contractuales pueden ser
encontrados en A.11.
En los casos donde las auditorías individuales de clientes de servicios en la nube no sean prácticas o
puedan aumentar los riesgos para la seguridad (ver 0.1), el procesador de PII en la nube pública
debería tener disponible para los posibles clientes de servicios en la nube, antes y durante el
contrato, evidencia independiente de que la seguridad de la información está implementada y
operando de acuerdo con las políticas y procedimientos del procesador de PII en la nube pública. Una
auditoría relevante independiente seleccionada por el procesador de PII en la nube pública debería
ser normalmente un método aceptable para satisfacer los intereses del cliente del servicio en la nube
en la revisión de las operaciones de procesamiento del procesador de PII en la nube pública, siempre
que se proporcione la suficiente transparencia.
Anexo A
(normativo)
Estos controles adicionales se clasifican de acuerdo con los 11 principios de privacidad en ISO/IEC
29100. En muchos casos, los controles podrían clasificarse en más de uno de los principios de
privacidad. En estos casos, se clasifican bajo el principio más relevante.
A.1.1 Obligación para cooperar con respecto a los derechos principales de PII
Control
El procesador de PII en la nube pública debería proporcionar al cliente de servicio de nube los medios
necesarios para que pueda cumplir su obligación de facilitar el ejercicio de los derechos del PII
principal para acceder, corregir y/o borrar el PII que les corresponda.
Las obligaciones del controlador de PII en este sentido pueden ser definidos por la ley, regulaciones o
por contrato. Estas obligaciones pueden incluir materias en las que el cliente de servicio en la nube
utiliza los servicios del procesador de PII en la nube pública para la implementación. Por ejemplo,
esto podría incluir la corrección o supresión de PII en el momento oportuno.
Cuando el controlador de PII depende del procesador de PII en la nube pública para la información o
medidas técnicas para facilitar el ejercicio de los derechos de PII principal, la información relevante o
medidas técnicas deben ser especificadas en el contrato.
Control
La PII a ser procesada mediante un contrato no debería ser procesado por cualquier motivo
independiente al de las instrucciones del cliente de servicios en la nube.
Las instrucciones pueden estar contenidas en el contrato entre el procesador de PII en la nube
pública y el cliente del servicio en la nube, incluyendo, por ejemplo, el objetivo y el intervalo de tiempo
para ser alcanzados por el servicio.
Con el fin de lograr el propósito del cliente de servicios en la nube, puede haber razones técnicas por
lo que es apropiado para un procesador de PII en la nube pública determinar el método para
procesar PII, de acuerdo con las instrucciones generales del cliente del servicio en la nube, pero sin
la indicación expresa del cliente de servicios en la nube. Por ejemplo, con el fin de utilizar
eficientemente la red o capacidad de procesamiento puede ser necesario asignar los recursos de
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 17 de 26
NTE INEN-ISO 27018 2016-07
El procesador de PII en la nube pública debe proporcionar al cliente del servicio en la nube toda la
información pertinente, en el momento oportuno, para permitir al cliente del servicio en la nube
garantizar el cumplimiento de los principios de especificación del propósito y limitación por parte del
procesador de PII en la nube pública y garantizar que ninguna PII sea procesada por el procesador
de PII en la nube pública o cualquiera de sus subcontratistas para otros fines independientes al de las
instrucciones del cliente del servicio en la nube.
Control
La PII procesado bajo un contrato no debería ser utilizado por el procesador de PII en la nube pública
a los fines de marketing y publicidad sin aceptación expresa. Dicha aceptación no debería ser una
condición para recibir el servicio.
NOTA Este control es una adición al control más general en A.2.1 y no lo sustituye o caso contrario lo reemplaza.
Control
Los sistemas de información pueden crear archivos temporales en el curso normal de su ejercicio.
Estos archivos son específicos del sistema o aplicación, pero pueden incluir diarios de revisión de
archivos de sistemas, y archivos temporales asociados a la actualización de las bases de datos y el
funcionamiento de otras aplicaciones de software. Los archivos temporales no son necesarios
después de que la tarea de procesamiento ha sido completada, pero hay circunstancias en las que no
se pueden eliminar. El periodo de tiempo durante el cual estos archivos permanecen en uso no
siempre es determinante, sino un procedimiento de "recolección de basura" que debe identificar los
archivos pertinentes y determinar cuánto tiempo ha pasado desde su último uso.
Control
El contrato entre el procesador de PII en la nube pública y el cliente del servicio en la nube debería
exigir que el procesador de PII en la nube pública notifique al cliente del servicio en la nube, de
acuerdo con cualquier procedimiento y los plazos acordados en el contrato, de cualquier solicitud
jurídicamente vinculante de divulgar de PII por una autoridad en la aplicación de la ley, a menos que
dicha divulgación esté prohibida.
El procesador de PII en la nube pública debería proporcionar garantías contractuales que rechacen
cualquier solicitud de divulgación de PII que no sean jurídicamente vinculantes, consultar al
correspondiente cliente del servicio en la nube, donde la legislación lo admita antes de hacer
cualquier divulgación de PII y aceptar todas las solicitudes acordadas por contrato para las
divulgaciones de PII que estén autorizadas por el correspondiente cliente de servicios de nube.
Un ejemplo de una posible prohibición de divulgación sería una prohibición en la ley penal para
preservar la confidencialidad de una investigación policial.
Control
Las divulgaciones de PII a terceros deben ser registradas, incluyendo PII revelada, a quién y en qué
momento.
La PII puede ser divulgada durante el curso de operaciones normales. Estas divulgaciones deberían
ser registradas (ver en 12.4.1). Cualquier información adicional a terceros, tales como las derivadas
de las investigaciones legales o auditorías externas, también deberían ser registradas. Los registros
deberían incluir la fuente de la divulgación y de la fuente de la autoridad para hacer la divulgación.
Control
El uso de subcontratistas por el procesador de PII en la nube pública para procesar PII debería ser
revelada a los clientes de servicios de nube pertinentes antes de su uso.
Las disposiciones para el uso de subcontratistas para procesar PII deberían ser transparentes en el
contrato entre el procesador de PII en la nube pública y el cliente de servicios de nube. El contrato
debería especificar que los subcontratistas solo podrán ser comisionados sobre la base de una
aceptación que generalmente se puede dar por el cliente de servicios de nube al comienzo del
servicio. El procesador de PII en la nube pública debería informar al cliente del servicio en la nube de
manera oportuna de cualquier cambio previsto en este sentido para que el cliente de servicios en la
nube tenga la capacidad de oponerse a tales cambios o dar por terminado el contrato.
La información divulgada debería cubrir el hecho de que se utiliza la subcontratación y los nombres
de los subcontratistas correspondientes, pero no los detalles específicos del negocio. La información
divulgada debería incluir también a los países en los que los subcontratistas pueden procesar los
datos (ver A.11.1) y los medios por los que los subcontratistas están obligados a cumplir o exceder
las obligaciones del procesador de PII en la nube pública (ver A.10.12).
Cuando la divulgación pública de la información del subcontratista es evaluada para incrementar los
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 19 de 26
NTE INEN-ISO 27018 2016-07
riesgos de seguridad más allá de los límites aceptables, se debería divulgar en virtud de un acuerdo
de no divulgación y/o en la petición del cliente de servicios de nube. El cliente del servicio en la nube
debería ser consciente de que la información está disponible.
A.9 Responsabilidad
Control
El procesador de PII en la nube pública debería notificar de inmediato al usuario de servicios de nube
relevante en el caso de cualquier acceso no autorizado a PII o el acceso no autorizado a los equipos
de procesamiento o instalaciones como consecuencia de la pérdida, divulgación o alteración de la PII.
Las disposiciones relativas a la notificación de una violación de datos que involucra a la PII deberían
formar parte del contrato entre el procesador de PII en la nube pública y el cliente del servicio en la
nube. El contrato debería especificar cómo el procesador de PII en la nube pública proporcionará la
información necesaria para el servicio al cliente en la nube para cumplir con su obligación de notificar
a las autoridades pertinentes. Esta obligación de notificación no se extiende a una violación de datos
causada por el cliente de servicios de nube o PII Principal o dentro de los componentes del sistema
de las que son responsables. El contrato también debería definir el retardo máximo en la notificación
de una violación de datos que involucra a PII.
En el caso de que se haya producido una violación de datos que involucra PII, un registro debe
mantenerse con una descripción del incidente, el período de tiempo, las consecuencias del incidente,
el nombre de quién reporta, a quién se le informó del incidente, las medidas adoptadas para resolver
el incidente (incluyendo a la persona a cargo y los datos recuperados) y el hecho de que el incidente
resultó en pérdida, divulgación o alteración de PII
En el caso de que se ha producido una violación de datos que involucra PII, el registro también
debería incluir una descripción de los datos comprometidos, si se conoce; y si se llevaron a cabo las
notificaciones, las medidas adoptadas para notificar al cliente de servicios de nube y/o agencias
reguladoras.
NOTA Pueden existir otras infracciones que requieran notificación que no están cubiertas aquí, por ejemplo, colección sin
aceptación o autorización de otro tipo, el uso para fines no autorizados, etc.
Control
Las copias de las políticas de seguridad y procedimientos de operación deberían ser conservados
para un período documentado, especificado en reemplazo (incluida la actualización).
La revisión de las políticas y procedimientos actuales e históricos pueden ser requeridos, por ejemplo,
en los casos de resolución de disputas del cliente y la investigación por una autoridad de protección
de PII. Se recomienda un periodo de retención mínimo de cinco años en ausencia de un requisito
legal o contractual específico.
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 20 de 26
NTE INEN-ISO 27018 2016-07
Control
El procesador de PII en la nube pública debería tener una política en materia de retorno, transferencia
y/o eliminación de PII y deberían hacer esta política disponible al cliente del servicio en la nube.
En algún punto en el tiempo, PII puede necesitar estar disponible de alguna manera. Esto puede
implicar la devolución del PII al cliente del servicio en la nube, transferirla a otro procesador de PII en
la nube pública o a un controlador de PII (por ejemplo, como resultado de una fusión), garantiza
borrar o no destruirla, anonimizar o archivarla.
El procesador de PII en la nube pública debería proporcionar la información necesaria para permitir
que el cliente de servicios de nube pueda asegurar que PII procesada bajo un contrato sea borrada
(por el procesador de PII en la nube pública y cualquiera de sus subcontratistas) desde donde se
almacenan, incluso para los efectos de copia de seguridad y la continuidad del negocio, tan pronto
como dejen de ser necesarios para los fines específicos de los clientes de servicios de nube. La
naturaleza de los mecanismos de disposición (desvinculación, sobreescritura, desmagnetización,
destrucción u otras formas de borrado) y/o las normas comerciales aplicables deberían preverse
contractualmente.
El procesador de PII en la nube pública debería desarrollar e implementar una política en relación con
la disposición del PII y debería hacer esta política disponible a los clientes de servicios en la nube.
NOTA Este control y guía son también relevantes bajo el elemento de retención del principio "El uso, la retención y la
limitación de la divulgación" (ver A.5).
Control
Las personas bajo el control del procesador de PII en la nube pública con acceso a la PII deberían
estar sujetos a una obligación de confidencialidad.
Control
Control
NOTA El control anterior hace que el siguiente requisito genérico se aplique en ciertas jurisdicciones. El registro de los
esfuerzos de restauración de datos debería contener: la persona responsable, una descripción de los datos restaurados, y los
datos que se restauró de forma manual.
La PII en medios que salen de las instalaciones de la organización deberían estar sujetas a un
procedimiento de autorización y no debería ser accesible a cualquier persona que no sea personal
autorizado (por ejemplo, mediante el cifrado de los datos de que se trate).
Control
Medios físicos portátiles y dispositivos portátiles que no permiten el cifrado no deberían utilizarse
excepto donde sea inevitable, y cualquier uso de tales medios portátiles y dispositivos deberían ser
documentados.
A.10.6 Cifrado de PII transmitido a través de las redes públicas de transmisión de datos
Control
La PII que se transmite a través de redes públicas de transmisión de datos deberían cifrarse antes de
la transmisión.
En algunos casos, por ejemplo, el intercambio de correo electrónico, las características inherentes a
los sistemas de redes públicas de transmisión de datos podría requerir que algunos datos de
cabecera o el tráfico estén expuestos para la transmisión efectiva.
Control
Cuando se destruyen los materiales de copias físicas, deberían ser destruidos de forma segura
utilizando mecanismos como corte transversal, trituración, incineración, destrucción, etc.
Control
Si más de una persona tiene acceso a la PII almacenada, entonces debería tener cada uno un ID de
usuario distinto para fines de identificación, autenticación y autorización.
Control
Un registro actualizado de los usuarios o perfiles de usuarios que tengan acceso autorizado al
sistema de información debería mantenerse.
Un perfil de usuario debería mantenerse para todos los usuarios cuyo acceso esté autorizado por el
procesador de PII en la nube pública. El perfil de un usuario comprende el conjunto de datos sobre
ese usuario, incluida la identificación de usuario, necesarias para aplicar los controles técnicos que
proporcionan acceso autorizado al sistema de información.
Control
Control
Los contratos entre el cliente de servicios de nube y el procesador de PII en la nube pública debería
especificar las medidas técnicas y organizativas mínimas encaminadas a garantizar que las medidas
de seguridad contratadas están implementadas y que los datos no se procesan para cualquier
propósito independiente de las instrucciones del controlador. Estas medidas no deberían ser objeto
de reducción unilateral por el procesador de PII en la nube pública.
Los controles de esta norma nacional, junto con los controles de ISO/IEC 27002, pretenden ser un
catálogo de referencia de medidas para ayudar en la celebración de un contrato de procesamiento de
la información en materia de PII. El procesador de PII en la nube pública debería informar a un cliente
potencial del servicio en la nube, antes de firmar un contrato, sobre los aspectos de su material de
servicios a la protección de PII.
El procesador de PII en la nube pública debería ser transparente sobre sus capacidades durante el
proceso de celebración de un contrato. Sin embargo, es en última instancia la responsabilidad del
cliente de servicio en la nube asegurarse de que las medidas aplicadas por el procesador de PII en la
nube pública responda a sus obligaciones.
Control
Los contratos entre el procesador de PII en la nube pública y cualquier subcontratista que procesan
PII deberían especificar las medidas técnicas y organizativas mínimos que cumplan las obligaciones
de seguridad de la información y de protección PII del procesador de PII en la nube pública. Estas
medidas no deben ser objeto de reducción unilateral por el subcontratista.
El uso de subcontratistas para almacenar copias de seguridad está cubierta por este control (ver
A.7.1).
Control
El procesador de PII en la nube pública debería asegurar que cada vez que se asigna el espacio de
almacenamiento de datos a un cliente de servicios de nube, los datos que residan previamente en
ese espacio de almacenamiento no sean visibles para los clientes de servicios en la nube.
Ninguna guía específica es especialmente adecuada para tratar todos los casos en la aplicación de
este control. Sin embargo, como ejemplo, algunas nubes de infraestructura, plataformas o
aplicaciones retornarán ceros si un usuario de servicios de nube intenta leer el espacio de
almacenamiento que no ha sido sobrescrito por datos propios de ese usuario.
Control
El procesador de PII en la nube pública debería especificar y documentar los países en los que PII
podría posiblemente ser almacenado.
Las identidades de los países en los que, posiblemente, podría ser almacenado PII deberían ser
disponibles a los clientes de servicios en la nube. Las identidades de los países derivados de la
utilización de procesamiento de subcontratación PII deberían ser incluidos. Cuando los acuerdos
contractuales especificados se aplican a la transferencia internacional de datos, como los capítulos de
modelo de contratos, normas corporativas vinculantes o Reglas de Privacidad de cruce de borde, los
acuerdos y los países o las circunstancias en que tales acuerdos se aplican también deberían ser
identificados. El procesador de PII en la nube pública debería informar al cliente el servicio en la nube
de manera oportuna de cualquier cambio previsto en este sentido para que el cliente de servicios de
nube tenga la capacidad de oponerse a tales cambios o dar por terminado el contrato.
Control
PII transmite utilizando una red de transmisión de datos que deberían estar sujetos a controles
apropiados, diseñados para asegurar que los datos lleguen a su destino previsto.
Bibliografía
[1] BS 10012:2009, Data protection. Specification for a personal information management system
[2] ENISA. Report on Cloud Computing: Benefits, risks and recommendations for
information security, November 2009 (http://www.enisa.europa.eu/activities/risk-
management/files/ deliverables/cloud-computing-risk-assessment/at_download/fullReport)
[3] European Union, Article 29 Working Party, Opinion 05/2012 on Cloud Computing,
adopted July 2012: (http://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommendation/files/2012/wp196_en.pdf )
[7] ISO/IEC 27036-4, Information technology — Information security for supplier relationships —
Part 4: Guidelines for security of Cloud services
—4)
[8] ISO/IEC 27040, Information technology — Security techniques — Storage security
[10] ISO/IEC 29134, Information technology — Security techniques — Privacy impact assessment
— Methodology
[11] ISO/IEC 29191, Information technology — Security techniques — Requirements for partially
anonymous, partially unlinkable authentication
[12] ISO/IEC JTC 1/SC 27, WG 5 Standing Document 2 — Part 1: Privacy References List. Latest
version available at: http://www.jtc1sc27.din.de/sbe/wg5sd2
[14] NIST SP 800-53 rev4, Security and Privacy Controls for Federal Information
Systems and Organizations, April 2013
(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800- 53r4.pdf )
[15] NIST SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information
(PII), April 2010 (http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf )
[16] NIST SP 800-144, Guidelines on Security and Privacy in Public Cloud Computing, December
2011 (http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf )
3)
A ser publicada
4)
A ser publicada
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 26 de 26
INFORMACIÓN COMPLEMENTARIA
Otros trámites: