4 7 Iso20000-1

4.
7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service

management system requirements.
Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos para la gestión de
servicios de TI y con ello prevenir los riesgos tecnológicos dentro de la operación de una organización. La gestión de los
servicios de tecnología informática es un enfoque integrado basado en procesos que alinea la prestación de servicios de
TI con las necesidades de la organización que los presta.
Identificador y
Referencia Referencia Referencia
N° Requerimiento normativo nombre Descripción
LFPDPPP Reglamento Recomendaciones
Objetivo de Control
RESPONSABLE
La gerencia debe proporcionar
evidencia de su compromiso
con la planificación, establecer,
4.1 Responsabilidad
implementar, operar,
de la Gerencia.
monitorear, revisar, mantener y
Los responsables en el tratamiento de datos mejorar el sistema de gestión
personales, deberán observar los principios de servicios.
1. Recomendación
1 de licitud, consentimiento, información, Art. 6 Art. 9 El proveedor del servicio
General.
calidad, finalidad, lealtad, proporcionalidad y deberá demostrar la
4.2 Gobierno de
responsabilidad, previstos en la Ley. gobernabilidad de los procesos
procesos operados
gestionados por un grupo
por otras partes.
interno, un cliente o un
proveedor.
4.3 Gestión de El proveedor del servicio debe
documentación. establecer y mantener los
201
Identificador y
Objetivo de Control
documentos, incluyendo los
registros, para asegurar la
eficaz planificación, operación y
control del sistema de gestión
de servicios.
El proveedor de servicios debe
determinar y proporcionar los
4.4 Gestión de
recursos humanos, técnicos,
Recursos.
informativos y financieros
necesarios.
4.5 Establecer y definir e incluir el alcance del
mejorar el Sistema de sistema de gestión de servicios
Gestión de Servicios. en el plan de gestión de
servicios.
El proveedor de servicios
deberá utilizar este proceso
5 Diseño y transición para todos los nuevos servicios
de servicios nuevos y y cambios a los servicios con el
cambiados. potencial de tener un impacto
importante en los servicios o la
atención al cliente.
6 Procesos de deberá estar de acuerdo a los
Entrega de Servicios. servicios que se entregarán con
el cliente.
7 Procesos de El proveedor de servicios
Relacionamiento. deberá identificar y documentar
202
Identificador y
Objetivo de Control
los clientes, usuarios y partes
interesadas de los servicios.
Habrá un procedimiento
8 Procesos de
documentado para todas las
Resolución.
incidencias.
Habrá una definición
documentada de cada tipo de
9 Procesos de elemento de configuración. La
Control. información registrada para
cada elemento de configuración
garantizará el control.
LICITUD Y LEALTAD
Los datos personales deberán recabarse y
tratarse de manera lícita, privilegiando la
protección de los intereses del titular y la
expectativa razonable de privacidad, sin
Art. 7 5 Diseño y transición para todos los nuevos servicios
importar la fuente de la que se obtienen los Paso 1. Alcance y
2 Art. 7 Art. 10 de servicios nuevos y y cambios a los servicios con el
datos. Objetivos.
Art. 44 cambiados. potencial de tener un impacto
La obtención de datos personales no debe
hacerse a través de medios engañosos o
fraudulentos.
CONSENTIMIENTO
El tratamiento de datos personales estará El proveedor de servicios
Art. 11
sujeto al consentimiento de su titular, salvo Paso 2. Política de 5 Diseño y transición deberá utilizar este proceso
Art. 12
3 las excepciones previstas por la Ley. Art. 8 Gestión de Datos de servicios nuevos y para todos los nuevos servicios
Art. 15
Personales. cambiados. y cambios a los servicios con el
Los datos financieros o patrimoniales potencial de tener un impacto
203
Identificador y
Objetivo de Control
requerirán consentimiento expreso de su importante en los servicios o la
titular. atención al cliente.
Cuando los datos personales se obtengan

personalmente o de manera directa de su
titular, el consentimiento deberá ser previo al
tratamiento.
El responsable deberá facilitar al titular Paso 2. Política de 5 Diseño y transición para todos los nuevos servicios
4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestión de Datos de servicios nuevos y y cambios a los servicios con el
su consentimiento expreso. Personales. cambiados. potencial de tener un impacto
Tratándose de datos personales sensibles, el
responsable deberá obtener el
consentimiento expreso y por escrito del Gestión con apropiada
titular para su tratamiento. autoridad aprobará una política
Paso 2. Política de 6.6.1 Política de de seguridad de la información,
5 No podrán crearse bases de datos que Art. 9 Art. 56 Gestión de Datos Seguridad de la teniendo en cuenta los
contengan datos personales sensibles, sin Personales. Información. requisitos de servicio requisitos
que se justifique la creación de las mismas legales y reglamentarios y las
para finalidades legítimas, concretas y obligaciones contractuales.
acordes con las actividades o fines explícitos
que persigue el sujeto regulado.
Para efectos de demostrar la obtención del Paso 7. Se deberán mantener registros
4.3.3 Control de
6 consentimiento, la carga de la prueba Art. 20 Implementación de para demostrar la conformidad
registros.
recaerá, en todos los casos, en el las Medidas de con los requisitos así como el
204
Identificador y
Objetivo de Control
responsable. Seguridad buen funcionamiento del
Aplicables a los sistema de gestión de servicios.
Datos Personales.
Cumplimiento
Cotidiano de
Medidas de
Seguridad.
INFORMACIÓN
A través del aviso de privacidad, el
responsable tendrá la obligación de informar
a los titulares, los datos que recaba, las
finalidades necesarias y las que no lo son
para la relación jurídica, así como las
características principales de su tratamiento.
Cuando se traten datos personales como Art. 14 Paso 2. Política de El proveedor de servicios
7.1 Gestión de las
parte de un proceso de toma de decisiones Art. 23 Gestión de Datos deberá identificar y documentar
7 Art. 15 relaciones de
sin que intervenga la valoración de una Art. 112 Personales. los clientes, usuarios y partes
negocio.
persona física, el responsable deberá interesadas de los servicios.
informar al titular que esta situación ocurre.
Si obtiene los datos de manera automática,

deberá informar al titular sobre el uso de
estas tecnologías y la forma en que podrá
deshabilitarlas.
205
Identificador y
Objetivo de Control
Paso 7.
Implementación de
las Medidas de
Cuando los datos personales sean obtenidos
Seguridad
directamente del titular, el aviso de El proveedor de servicios
7.1 Gestión de las
privacidad debe ponerse a disposición de los Art. 3, I Aplicables a los deberá identificar y documentar
titulares a través de formatos impresos, Art. 17 Datos Personales. los clientes, usuarios y partes
negocio.
digitales, visuales, sonoros o cualquier otra Cumplimiento interesadas de los servicios.
tecnología.
Cotidiano de
Medidas de
Seguridad.
Paso 7.
Implementación de
El aviso de privacidad debe contener un
las Medidas de
mecanismo, para que el titular pueda
Seguridad El proveedor de servicios
manifestar su negativa al tratamiento de sus Art. 14 7.1 Gestión de las
Aplicables a los deberá identificar y documentar
9 datos personales. Cuando los datos se Art. 18 Art. 29 relaciones de
Datos Personales. los clientes, usuarios y partes
obtengan de manera indirecta del titular, el Art. 32 negocio.
Cumplimiento interesadas de los servicios.
responsable deberá darle a conocer el aviso
Cotidiano de
de privacidad y sus cambios.
Medidas de
Seguridad
Paso 7.
Para efectos de demostrar la puesta a Implementación de Se deberán mantener registros
disposición del aviso de privacidad en las Medidas de para demostrar la conformidad
4.3.3 Control de
10 cumplimiento del principio de información, la Art. 31 Seguridad con los requisitos así como el
registros.
carga de la prueba recaerá, en todos los Aplicables a los buen funcionamiento del
casos, en el responsable. Datos Personales. sistema de gestión de servicios.
Cumplimiento
206
Identificador y
Objetivo de Control
Cotidiano de
Medidas de
Seguridad.
CALIDAD
El responsable procurará que los datos Habrá una definición

personales contenidos en las bases de datos documentada de cada tipo de
Paso 2. Política de
sean exactos, completos, pertinentes, 9.1 Gestión de la elemento de configuración. La
11 Art. 11 Art. 36 Gestión de Datos
correctos y actualizados según se requiera Configuración. información registrada para
Personales.
para el cumplimiento de la finalidad para la cada elemento de configuración
cual son tratados. garantizará el control.
Cuando los datos de carácter personal hayan
dejado de ser necesarios para el
cumplimiento de las finalidades previstas por
el aviso de privacidad y las disposiciones
legales aplicables, deberán ser cancelados,
previo bloqueo de los mismos.
Paso 2. Política de 5 Diseño y transición para todos los nuevos servicios
Art. 3 III
12 Art. 37 Gestión de Datos de servicios nuevos y y cambios a los servicios con el
El responsable de la base de datos estará Art. 11
Personales. cambiados. potencial de tener un impacto
obligado a eliminar la información relativa al
incumplimiento de obligaciones
contractuales, una vez que transcurra un
plazo de setenta y dos meses, contado a
partir de la fecha calendario en que se
presente el mencionado incumplimiento.
207
Identificador y
Objetivo de Control
El responsable establecerá y documentará
Paso 2. Política de 5 Diseño y transición para todos los nuevos servicios
procedimientos para la conservación y, en su
13 Art. 38 Gestión de Datos de servicios nuevos y y cambios a los servicios con el
caso, bloqueo y supresión de los datos
Personales. cambiados. potencial de tener un impacto
personales.
Paso 7.
Implementación de
las Medidas de
Seguridad
Al responsable le corresponde demostrar que 5 Diseño y transición para todos los nuevos servicios
Aplicables a los
14 los datos personales se conservan, o en su Art. 39 de servicios nuevos y y cambios a los servicios con el
Datos Personales.
caso, bloquean, suprimen o cancelan. cambiados. potencial de tener un impacto
Cumplimiento
Cotidiano de
Medidas de
Seguridad.
FINALIDAD
El tratamiento de datos personales deberá
limitarse al cumplimiento de las finalidades
previstas en el aviso de privacidad.
Si el responsable pretende tratar los datos La alta dirección debe
Art. 40 Paso 2. Política de
para un fin distinto al establecido, deberá 4.1.2 Política de asegurarse de que la política de
15 Art. 12 Art. 42 Gestión de Datos
obtener nuevamente el consentimiento del Gestión del Servicio. gestión del servicio es
Art. 43 Personales.
titular. apropiada.
El titular podrá oponerse o revocar su

consentimiento para las finalidades distintas
208
Identificador y
Objetivo de Control
a las que dieron origen a la relación jurídica,
sin que ello tenga como consecuencia la
conclusión del tratamiento.
PROPORCIONALIDAD
El tratamiento de datos personales será el
que resulte necesario, adecuado y relevante
La alta dirección debe
en relación con las finalidades previstas en el Paso 2. Política de
Art. 45 4.1.2 Política de asegurarse de que la política de
16 aviso de privacidad. En particular para datos Art. 13 Gestión de Datos
Art. 46 Gestión del Servicio. gestión del servicio es
personales sensibles, el responsable deberá Personales.
apropiado.
limitar el periodo de tratamiento al mínimo
indispensable.
CONFIDENCIALIDAD
6.6.2 Controles de deberá implementar y operar
Seguridad de la los controles de seguridad de
Información. información físicos,
administrativos y técnicos.
El responsable o terceros que intervengan en
El proveedor del servicio
cualquier fase del tratamiento de datos
Paso 2. Política de deberá demostrar la
personales deberán guardar confidencialidad 4.2 Gobierno de
17 Art. 21 Art. 9 Gestión de Datos gobernabilidad de los procesos
respecto de éstos, obligación que subsistirá procesos operados
Personales. gestionados por un grupo
aun después de finalizar sus relaciones con el por otras partes.
titular o, en su caso, con el responsable.
proveedor.
Para cada proveedor, el
7.2 Gestión de proveedor de servicios deberá
proveedores. tener una persona designada
que es responsable de la
209
Identificador y
Objetivo de Control
gestión de la relación, el
contrato y el rendimiento del
proveedor.
RESPONSABILIDAD
4.1 Responsabilidad
implementar, operar,
de la Gerencia.
mejorar el sistema de gestión
de servicios.
El responsable tiene la obligación de velar y
responder por el tratamiento de los datos
deberá demostrar la
personales en su posesión, debiendo adoptar 4.2 Gobierno de
gobernabilidad de los procesos
las medidas necesarias. procesos operados
Paso 2. Política de por otras partes.
18 El responsable deberá tomar las medidas Art. 14 Art. 47 Gestión de Datos
proveedor.
necesarias y suficientes para garantizar que el Personales.
El proveedor del servicio debe
aviso de privacidad dado a conocer al titular,
establecer y mantener los
sea respetado en todo momento por él o
documentos, incluyendo los
por terceros con los que guarde alguna 4.3 Gestión de
registros, para asegurar la
relación jurídica. documentación.
eficaz planificación, operación y
control del sistema de gestión
de servicios.
4.4 Gestión de determinar y proporcionar los
Recursos. recursos humanos, técnicos,
informativos y financieros
210
Identificador y
Objetivo de Control
necesarios.

4.5 Establecer y definir e incluir el alcance del
mejorar el Sistema de sistema de gestión de servicios
Gestión de Servicios. en el plan de gestión de
servicios.
6 Procesos de deberá estar de acuerdo a los
Entrega de Servicios. servicios que se entregarán con
el cliente.
7 Procesos de deberá identificar y documentar
Relacionamiento. los clientes, usuarios y partes
8 Procesos de
documentado para todas las
Resolución.
incidencias.
9 Procesos de
Control.
elemento de configuración. La
211
Identificador y
Objetivo de Control
información registrada para
Incidentes de seguridad de la
información, serán
Los responsables deberán adoptar medidas Paso 5. Realizar el 6.6.3 Cambios e
administrados mediante los
para garantizar el debido tratamiento, Análisis de Riesgo incidentes de
19 Art. 14 Art. 48 procedimientos de gestión de
privilegiando los intereses del titular y la de los Datos Seguridad de la
incidentes, con una apropiada
expectativa razonable de privacidad. Personales. Información.
prioridad a los riesgos de
seguridad de la información.
Gestión con apropiada
autoridad aprobará una política
Elaborar políticas y programas de privacidad Paso 2. Política de 6.6.1 Política de de seguridad de la información,
20 obligatorios y exigibles al interior de la Art. 48 - I Gestión de Datos Seguridad de la teniendo en cuenta los
organización. Personales. Información. requisitos de servicio requisitos
legales y reglamentarios y las
obligaciones contractuales.
El personal del proveedor de
servicios que realice trabajos
que afecten la conformidad con
4.4.2 Recursos
los requisitos de servicio debe
Poner en práctica un programa de Paso 9. Mejora Humanos.
ser competente con base en la
capacitación, actualización, y concientización Continua y
21 Art. 48 - II educación, formación,
del personal sobre las obligaciones en Capacitación.
habilidades y experiencia.
materia de protección de datos personales. Capacitación.
6.6.1 Política de
Seguridad de la
de seguridad de la información,
Información.
teniendo en cuenta los
212
Identificador y
Objetivo de Control
requisitos de servicio requisitos
Establecer un sistema de supervisión y
vigilancia interna, verificaciones o auditorías Paso 8. Revisiones y
22 Art. 48 - III El proveedor de servicios
externas para comprobar el cumplimiento de Auditoría.
4.5.4 Monitoreo y deberá utilizar métodos
las políticas de privacidad.
revisión del Sistema adecuados para el seguimiento
de Gestión de y la medición del sistema de
Servicios. gestión de servicios y los
servicios.
determinar y proporcionar los
Paso 3. Establecer 4.4.1 Provisión de
recursos humanos, técnicos,
Funciones y Recursos.
Destinar recursos para la instrumentación de informativos y financieros
23 Art. 48 - IV Obligaciones de
los programas y políticas de privacidad. necesarios.
Quienes Traten
6.6.1 Política de Gestión con apropiada
Datos Personales.
Seguridad de la autoridad aprobará una política
Información. de seguridad de la información,
213
Identificador y
Objetivo de Control
Instrumentar un procedimiento para que se
Paso 5. Realizar el importante en los servicios o la
atienda el riesgo para la protección de datos
Análisis de Riesgo atención al cliente.
24 personales por la implementación de nuevos Art. 48 - V
de los Datos Incidentes de seguridad de la
productos, servicios, tecnologías y modelos
Personales. información, serán
de negocios, así como para mitigarlos. 6.6.3 Cambios e
incidentes de
procedimientos de gestión de
Seguridad de la
Información.
Revisar periódicamente las políticas y
Paso 8. Revisiones y administrativos y técnicos.
25 programas de seguridad para determinar las Art. 48 - VI
Auditoría. Incidentes de seguridad de la
modificaciones que se requieran. 6.6.3 Cambios e
incidentes de
Seguridad de la
Información.
214
Identificador y
Objetivo de Control
Paso 7.
Implementación de
las Medidas de
Establecer procedimientos para recibir y 7.1 Gestión de las
Aplicables a los deberá identificar y documentar
26 responder dudas y quejas de los titulares de Art. 48 - VII relaciones de
Datos Personales. los clientes, usuarios y partes
los datos personales. negocio.
Cumplimiento interesadas de los servicios.
Cotidiano de
Medidas de
Seguridad.
8.1 Gestión de documentado para todas las
peticiones de incidencias y para la gestión del
incidentes y servicios. cumplimiento de las solicitudes
de servicio.
Disponer de mecanismos para el Paso 3. Funciones y
cumplimiento de las políticas y programas de Obligaciones de 4.1 Responsabilidad
27 Art. 48 - VIII implementar, operar,
privacidad, así como de sanciones por su Quienes Traten de la Gerencia.
incumplimiento. Datos Personales.
mejorar el sistema de gestión
de servicios.
215
Identificador y
Objetivo de Control
6.6.3 Cambios e
incidentes de
Seguridad de la
Información.
Establecer medidas para el aseguramiento de
Paso 6. El proveedor de servicios
los datos personales, es decir, un conjunto
Identificación de las 6.6.2 Controles de deberá implementar y operar
de acciones técnicas y administrativas que
28 Art. 48 - IX medidas de Seguridad de la los controles de seguridad de
permitan garantizar al responsable el
seguridad y Análisis Información. información físicos,
cumplimiento de los principios y obligaciones
de Brecha. administrativos y técnicos.
que establece la Ley y su Reglamento.
Establecer medidas para la trazabilidad de los Paso 6.
datos personales, es decir acciones, medidas Identificación de las
29 y procedimientos técnicos que permiten Art. 48 - X medidas de
rastrear a los datos personales durante su seguridad y Análisis
tratamiento. de Brecha. 9.1 Gestión de la
elemento de configuración. La
Configuración.
información registrada para
216
Identificador y
Objetivo de Control
La gerencia debe designar un

Paso 7. miembro de la gerencia del
Implementación de proveedor de servicios que, con
Todo responsable deberá designar a una
las Medidas de 4.1.4 Representante independencia de otras
persona, o departamento de datos
Seguridad de la Gerencia. responsabilidades, tiene las
personales, quien dará trámite a las
Aplicables a los facultades y responsabilidades
30 solicitudes de los titulares, para el ejercicio Art. 30
Datos Personales. que incluyen los procesos del
de los derechos a que se refiere la Ley.
Cumplimiento sistema de gestión de servicios.
Asimismo fomentará la protección de datos
Cotidiano de El proveedor de servicios
personales al interior de la organización. 7.1 Gestión de las
Medidas de deberá identificar y documentar
relaciones de
Seguridad. los clientes, usuarios y partes
negocio.
SEGURIDAD
Todo responsable que lleve a cabo Gestión con apropiada
tratamiento de datos personales deberá autoridad aprobará una política
establecer y mantener medidas de seguridad 6.6.1 Política de de seguridad de la información,
administrativas, técnicas y físicas que Seguridad de la teniendo en cuenta los
Paso 6.
permitan proteger los datos personales Información. requisitos de servicio requisitos
Art. 4 Identificación de las
contra daño, pérdida, alteración, destrucción legales y reglamentarios y las
31 Art. 19 Art. 9 medidas de
o el uso, acceso o tratamiento no autorizado. obligaciones contractuales.
Art. 57 seguridad y Análisis
de Brecha.
No adoptarán medidas de seguridad 6.6.2 Controles de deberá implementar y operar
menores a aquellas que mantengan para el Seguridad de la los controles de seguridad de
manejo de su información. Información. información físicos,
217
Identificador y
Objetivo de Control
Cuando el encargado se encuentre ubicado
en territorio mexicano, le serán aplicables las
disposiciones relativas a las medidas de
seguridad contenidas en el Capítulo III de
Reglamento.
El responsable determinará las medidas de El proveedor de servicios
seguridad aplicables a los datos personales deberá utilizar este proceso
que trate, considerando el riesgo existente, 5 Diseño y transición para todos los nuevos servicios
las posibles consecuencias para los titulares, de servicios nuevos y y cambios a los servicios con el
la sensibilidad de los datos y el desarrollo cambiados. potencial de tener un impacto
tecnológico. importante en los servicios o la
De manera adicional, el responsable
procurará tomar en cuenta los siguientes
Paso 5. Realizar el
elementos:
Análisis de Riesgo
32 I. El número de titulares; Art. 19 Art. 60
de los Datos Incidentes de seguridad de la
II. Las vulnerabilidades previas ocurridas en
Personales. información, serán
los sistemas de tratamiento; 6.6.3 Cambios e
III. El riesgo por el valor potencial incidentes de
cuantitativo o cualitativo que pudieran tener Seguridad de la
los datos personales tratados para una Información.
tercera persona no autorizada para su
posesión, y
IV. Demás factores que puedan incidir en el
nivel de riesgo o que resulten de otras leyes
o regulación aplicable al responsable.
218
Identificador y
Objetivo de Control
Paso 4. Elaborar un
Elaborar un inventario de datos personales y 9.1 Gestión de la elemento de configuración. La
33 Art. 61 - I Inventario de Datos
de los sistemas de tratamiento. Configuración. información registrada para
Personales.
4.1.2 Política de asegurarse de que la política de
Gestión del Servicio. gestión del servicio es
apropiada.
Paso 3. Establecer 4.4.2 Recursos
los requisitos de servicio debe
Funciones y Humanos.
Determinar las funciones y obligaciones de ser competente con base en la
34 Art. 61 - II Obligaciones de
las personas que traten datos personales. educación, formación,
Quienes Traten
habilidades y experiencia.
Datos Personales.
6.6.1 Política de de seguridad de la información,
Seguridad de la teniendo en cuenta los
Información. requisitos de servicio requisitos
Contar con un análisis de riesgos de datos Paso 5. Realizar el Gestión con apropiada
6.6.1 Política de
personales que consiste en identificar Análisis de Riesgo autoridad aprobará una política
35 Art. 61 - III Seguridad de la
peligros y estimar los riesgos a los datos de los Datos de seguridad de la información,
Información.
personales. Personales. teniendo en cuenta los
219
Identificador y
Objetivo de Control
6.6.3 Cambios e
incidentes de
Seguridad de la
Información.
Paso 6. de Gestión del y la medición del sistema de
Establecer las medidas de seguridad Identificación de las Servicio. gestión de servicios y los
36 aplicables a los datos personales e identificar Art. 61 - IV medidas de servicios.
aquéllas implementadas de manera efectiva. seguridad y Análisis El proveedor de servicios
de Brecha. 6.6.2 Controles de deberá implementar y operar
220
Identificador y
Objetivo de Control
6.6.3 Cambios e
incidentes de
Seguridad de la
Información.
Realizar el análisis de brecha que consiste en Paso 6. El proveedor de servicios
la diferencia de las medidas de seguridad Identificación de las 6.6.2 Controles de deberá implementar y operar
37 existentes y aquéllas faltantes que resultan Art. 61 - V medidas de Seguridad de la los controles de seguridad de
necesarias para la protección de los datos seguridad y Análisis Información. información físicos,
personales. de Brecha. administrativos y técnicos.
6.6.3 Cambios e
incidentes de
Seguridad de la
Información.
221
Identificador y
Objetivo de Control
Paso 7. Información. requisitos de servicio requisitos
Implementación de legales y reglamentarios y las
las Medidas de obligaciones contractuales.
Elaborar un plan de trabajo para la Aplicables a los 6.6.2 Controles de deberá implementar y operar
38 implementación de las medidas de seguridad Art. 61 - VI Datos Personales. Seguridad de la los controles de seguridad de
faltantes, derivadas del análisis de brecha. Plan de Trabajo Información. información físicos,
para la administrativos y técnicos.
Implementación de Incidentes de seguridad de la
las Medidas de información, serán
6.6.3 Cambios e
Seguridad Faltantes. administrados mediante los
incidentes de
Seguridad de la
Información.
de Gestión del y la medición del sistema de
Paso 8. Revisiones y
39 Llevar a cabo revisiones o auditorías. Art. 61 - VII Servicio. gestión de servicios y los
Auditoría.
servicios.
6.6.1 Política de Gestión con apropiada
Seguridad de la autoridad aprobará una política
Información. de seguridad de la información,
222
Identificador y
Objetivo de Control
4.1.2 Política de asegurarse de que la política de
Gestión del Servicio. gestión del servicio es
apropiada.
4.4.2 Recursos
Paso 9. Mejora los requisitos de servicio debe
Humanos.
Capacitar al personal que efectúe el Continua y ser competente con base en la
40 Art. 61 - VIII
tratamiento de datos personales. Capacitación. educación, formación,
Capacitación. habilidades y experiencia.
223
Identificador y
Objetivo de Control
Paso 5. Realizar el
Análisis de Riesgo
Realizar un registro de los medios de 9.1 Gestión de la elemento de configuración. La
41 Art. 61 - IX de los Datos
almacenamiento de los datos personales. Configuración. información registrada para
Personales.
3. Acciones a El proveedor de servicios
implementar para la 6.6.2 Controles de deberá implementar y operar
Contar con una relación de las medidas de
42 Art. 61 seguridad de los Seguridad de la los controles de seguridad de
seguridad.
datos personales Información. información físicos,
documentadas. administrativos y técnicos.
Actualizar las medidas de seguridad cuando: El proveedor de servicios
I. Se modifiquen las medidas o procesos de revisión del Sistema adecuados para el seguimiento
seguridad para su mejora continua, derivado de Gestión del y la medición del sistema de
de las revisiones a la política de seguridad Servicio. gestión de servicios y los
del responsable. servicios.
II. Se produzcan modificaciones sustanciales Gestión con apropiada
en el tratamiento que deriven en un cambio autoridad aprobará una política
43 del nivel de riesgo. Art. 62 6.6.1 Política de de seguridad de la información,
Auditoría.
III. Se vulneren los sistemas de tratamiento, Seguridad de la teniendo en cuenta los
de conformidad con lo dispuesto en el Información. requisitos de servicio requisitos
artículo 20 de la Ley y 63 de su Reglamento. legales y reglamentarios y las
IV. Exista una afectación a los datos obligaciones contractuales.
personales distinta a las anteriores. El proveedor de servicios
6.6.2 Controles de
En el caso de datos personales sensibles, los deberá implementar y operar
Seguridad de la
responsables procurarán revisar y, en su caso, los controles de seguridad de
Información.
actualizar las relaciones correspondientes una información físicos,
224
Identificador y
Objetivo de Control
vez al año. administrativos y técnicos.
6.6.3 Cambios e
incidentes de
Seguridad de la
Información.
VULNERACIONES A LA SEGURIDAD
7.1 Gestión de las
deberá identificar y documentar
Las vulneraciones de seguridad ocurridas en relaciones de
cualquier fase del tratamiento que afecten de negocio.
Paso 8. Revisiones y interesadas de los servicios.
forma significativa los derechos patrimoniales
Auditoría.
o morales de los titulares, serán informadas Art. 63
44 Art. 20 Vulneraciones a la Incidentes de seguridad de la
de forma inmediata por el responsable al Art. 64
Seguridad de la información, serán
titular, a fin de que este último pueda tomar 6.6.3 Cambios e
Información. administrados mediante los
las medidas correspondientes a la defensa de incidentes de
sus derechos. Seguridad de la
Información.
225
Identificador y
Objetivo de Control
8.1 Gestión de documentado para todas las
peticiones de incidencias y para la gestión del
incidentes y servicios. cumplimiento de las solicitudes
de servicio.
En caso de que ocurra una vulneración a la

seguridad de los datos personales, el
responsable deberá informar al titular al 7.1 Gestión de las
deberá identificar y documentar
menos lo siguiente: relaciones de
negocio.
Paso 8. Revisiones y interesadas de los servicios.
I. La naturaleza del incidente.
Auditoría.
II. Los datos personales comprometidos.
45 Art. 65 Vulneraciones a la
III. Las recomendaciones al titular acerca de
Seguridad de la
las medidas que éste pueda adoptar para Incidentes de seguridad de la
Información.
proteger sus intereses. información, serán
6.6.3 Cambios e
IV. Las acciones correctivas realizadas de administrados mediante los
incidentes de
forma inmediata. procedimientos de gestión de
Seguridad de la
V. Los medios donde puede obtener más incidentes, con una apropiada
Información.
información al respecto. prioridad a los riesgos de
En caso de que ocurra una vulneración a los Incidentes de seguridad de la

datos personales, el responsable deberá 6.6.3 Cambios e información, serán
Auditoría.
analizar las causas por las cuales se presentó incidentes de administrados mediante los
46 Art. 66 Vulneraciones a la
e implementar las acciones correctivas, Seguridad de la procedimientos de gestión de
Seguridad de la
preventivas y de mejora para adecuar las Información. incidentes, con una apropiada
Información.
medidas de seguridad correspondientes, a prioridad a los riesgos de
226
Identificador y
Objetivo de Control
efecto de evitar que la vulneración se repita. seguridad de la información.
documentado para identificar
8.2 Gestión de
los problemas y minimizar o
Problemas.
evitar el impacto de los
incidentes y problemas.
ENCARGADO
El encargado tendrá las siguientes El proveedor del servicio
obligaciones respecto del tratamiento que deberá demostrar la
4.2 Gobierno de
realice por cuenta del responsable: gobernabilidad de los procesos
procesos operados
por otras partes.
I. Tratar únicamente los datos personales interno, un cliente o un
conforme a las instrucciones del responsable. proveedor.
II. Abstenerse de tratar los datos personales Para cada proveedor, el
para finalidades distintas a las instruidas por proveedor de servicios deberá
el responsable. tener una persona designada
7.2 Gestión de
III. Implementar las medidas de seguridad 1. Recomendación que es responsable de la
47 Art. 50 proveedores.
conforme a la Ley, su Reglamento y las General. gestión de la relación, el
demás disposiciones aplicables. contrato y el rendimiento del
IV. Guardar confidencialidad respecto de los proveedor.
datos personales tratados. Gestión con apropiada
V. Suprimir los datos personales objeto de autoridad aprobará una política
tratamiento una vez cumplida la relación 6.6.1 Política de de seguridad de la información,
jurídica con el responsable o por Seguridad de la teniendo en cuenta los
instrucciones del responsable, siempre y Información. requisitos de servicio requisitos
cuando no exista una previsión legal que legales y reglamentarios y las
exija la conservación de los datos personales. obligaciones contractuales.
227
Identificador y
Objetivo de Control
VI. Abstenerse de transferir los datos
personales salvo en el caso de que el
responsable así lo determine, la
comunicación derive de una subcontratación,
o cuando así lo requiera la autoridad
competente.
SUBCONTRATACIONES
deberá demostrar la
Paso 7. 4.2 Gobierno de
gobernabilidad de los procesos
Implementación de procesos operados
La relación entre el responsable y el las Medidas de por otras partes.
encargado deberá estar establecida mediante Seguridad
proveedor.
cláusulas contractuales u otro instrumento Aplicables a los
48 Art. 51 Para cada proveedor, el
jurídico que decida el responsable, que Datos Personales.
proveedor de servicios deberá
permita acreditar su existencia, alcance y Cumplimiento
tener una persona designada
contenido. Cotidiano de 7.2 Gestión de
Medidas de proveedores.
Seguridad.
proveedor.
Toda subcontratación de servicios por parte Paso 7. El proveedor del servicio
del encargado que implique el tratamiento Implementación de deberá demostrar la
4.2 Gobierno de
de datos personales deberá ser autorizada Art. 54 las Medidas de gobernabilidad de los procesos
49 procesos operados
por el responsable, y se realizará en nombre Art. 55 Seguridad gestionados por un grupo
por otras partes.
y por cuenta de este último. Aplicables a los interno, un cliente o un
Una vez obtenida la autorización, el Datos Personales. proveedor.
228
Identificador y
Objetivo de Control
encargado deberá formalizar la relación con Cumplimiento
el subcontratado a través de cláusulas Cotidiano de
contractuales u otro instrumento jurídico que Medidas de
permita acreditar su existencia, alcance y Seguridad. Para cada proveedor, el
contenido. proveedor de servicios deberá
En caso de que la subcontratación no haya tener una persona designada
7.2 Gestión de
sido prevista en cláusulas contractuales, el que es responsable de la
proveedores.
encargado deberá obtener la autorización gestión de la relación, el
correspondiente del responsable contrato y el rendimiento del
previamente. proveedor.
La obligación de acreditar que la
subcontratación se realizó con autorización
del responsable corresponderá al encargado.
CÓMPUTO EN LA NUBE
Para el tratamiento de datos personales en El proveedor del servicio
servicios, aplicaciones e infraestructura en el deberá demostrar la
Paso 7. 4.2 Gobierno de
denominado cómputo en la nube, en los que gobernabilidad de los procesos
Implementación de procesos operados
el responsable se adhiera a los mismos gestionados por un grupo
las Medidas de por otras partes.
mediante condiciones o cláusulas generales interno, un cliente o un
Seguridad
de contratación, sólo podrá utilizar aquellos proveedor.
Aplicables a los
50 servicios en los que el proveedor cumpla, al Art. 52 - I Para cada proveedor, el
Datos Personales.
menos, con lo siguiente: proveedor de servicios deberá
Cumplimiento
Cotidiano de 7.2 Gestión de
a) Tener y aplicar políticas de protección de que es responsable de la
Medidas de proveedores.
datos personales afines a los principios y gestión de la relación, el
Seguridad.
deberes aplicables que establece la Ley y su contrato y el rendimiento del
Reglamento; proveedor.
229
Identificador y
Objetivo de Control
b) Transparentar las subcontrataciones que autoridad aprobará una política
involucren la información sobre la que se 6.6.1 Política de de seguridad de la información,
presta el servicio; Seguridad de la teniendo en cuenta los
c) Abstenerse de incluir condiciones en la legales y reglamentarios y las
prestación del servicio que le autoricen o obligaciones contractuales.
permitan asumir la titularidad o propiedad de
la información sobre la que presta el servicio, El proveedor de servicios
y 6.6.2 Controles de deberá implementar y operar
d) Guardar confidencialidad respecto de los Información. información físicos,
datos personales sobre los que se preste el administrativos y técnicos.
servicio.
Para el tratamiento de datos personales en Paso 7. El proveedor del servicio
servicios, aplicaciones e infraestructura en el Implementación de deberá demostrar la
4.2 Gobierno de
denominado cómputo en la nube, en los que las Medidas de gobernabilidad de los procesos
51 Art. 52 - II procesos operados
el responsable se adhiera a los mismos Seguridad gestionados por un grupo
por otras partes.
mediante condiciones o cláusulas generales Aplicables a los interno, un cliente o un
de contratación, sólo podrá utilizar aquellos Datos Personales. proveedor.
230
Identificador y
Objetivo de Control
servicios en los que el proveedor cuente con Cumplimiento
mecanismos, al menos, para: Cotidiano de Para cada proveedor, el
Medidas de proveedor de servicios deberá
a) Dar a conocer cambios en sus políticas de Seguridad. tener una persona designada
7.2 Gestión de
privacidad o condiciones del servicio que que es responsable de la
proveedores.
presta; gestión de la relación, el
b) Permitir al responsable limitar el tipo de proveedor.
tratamiento de los datos personales sobre los
que se presta el servicio; Gestión con apropiada
c) Establecer y mantener medidas de 6.6.1 Política de de seguridad de la información,
seguridad adecuadas para la protección de Seguridad de la teniendo en cuenta los
los datos personales sobre los que se preste Información. requisitos de servicio requisitos
el servicio; legales y reglamentarios y las
d) Garantizar la supresión de los datos
personales una vez que haya concluido el
servicio prestado al responsable, y que este
último haya podido recuperarlos, y El proveedor de servicios
e) Impedir el acceso a los datos personales a Seguridad de la los controles de seguridad de
personas que no cuenten con privilegios de Información. información físicos,
acceso, o bien en caso de que sea a solicitud administrativos y técnicos.
fundada y motivada de autoridad
competente, informar de ese hecho al
responsable.
TRANSFERENCIAS
231
Identificador y
Objetivo de Control
Cuando el responsable pretenda transferir los
datos personales a terceros nacionales o
extranjeros, distintos del encargado, deberá Paso 7.
comunicar a éstos el aviso de privacidad y las Implementación de
finalidades a las que el titular sujetó su las Medidas de
tratamiento. Art. 68 Seguridad El proveedor de servicios
7.1 Gestión de las
El tratamiento de los datos se hará conforme Art. 71 Aplicables a los deberá identificar y documentar
a lo convenido en el aviso de privacidad, el Art. 72 Datos Personales. los clientes, usuarios y partes
negocio.
cual contendrá una cláusula en la que se Art. 74 Cumplimiento interesadas de los servicios.
indique si el titular acepta o no la Cotidiano de
transferencia de sus datos, de igual manera, Medidas de
el tercero receptor, asumirá las mismas Seguridad.
obligaciones que correspondan al
responsable que transfirió los datos.
Paso 7. deberá demostrar la
4.2 Gobierno de
Implementación de gobernabilidad de los procesos
Para efectos de demostrar que la procesos operados
las Medidas de gestionados por un grupo
transferencia, sea ésta nacional o por otras partes.
Seguridad interno, un cliente o un
internacional, se realiza conforme a lo que
Aplicables a los proveedor.
53 establece la Ley y su Reglamento, la carga de Art. 69
Datos Personales.
la prueba recaerá, en todos los casos, en el Se deberán mantener registros
Cumplimiento
responsable que transfiere y en el receptor para demostrar la conformidad
Cotidiano de 4.3.3 Control de
de los datos personales. con los requisitos así como el
Medidas de registros.
buen funcionamiento del
Seguridad.
sistema de gestión de servicios.
232
Identificador y
Objetivo de Control
Para cada proveedor, el
proveedor de servicios deberá
7.2 Gestión de
proveedores.
proveedor.
En el caso de transferencias de datos
personales entre sociedades controladoras, Gestión con apropiada
subsidiarias o afiliadas bajo el control común autoridad aprobará una política
del mismo grupo del responsable, o a una 6.6.1 Política de de seguridad de la información,
sociedad matriz o a cualquier sociedad del Seguridad de la teniendo en cuenta los
mismo grupo del responsable, el mecanismo Información. requisitos de servicio requisitos
para garantizar que el receptor de los datos legales y reglamentarios y las
1. Recomendación
54 personales cumplirá con las disposiciones Art. 70 obligaciones contractuales.
General
previstas en la Ley, su Reglamento y demás
normativa aplicable, podrá ser la existencia
de normas internas de protección de datos El proveedor de servicios
personales cuya observancia sea vinculante, 6.6.2 Controles de deberá implementar y operar
siempre y cuando éstas cumplan con lo Seguridad de la los controles de seguridad de
establecido en la Ley, su Reglamento y Información. información físicos,
demás normativa aplicable. administrativos y técnicos.
La transferencia deberá formalizarse Paso 7. El proveedor del servicio

mediante algún mecanismo que permita Implementación de deberá demostrar la
4.2 Gobierno de
demostrar que el responsable transferente Art. 73 las Medidas de gobernabilidad de los procesos
55 procesos operados
comunicó al responsable receptor las Art. 75 Seguridad gestionados por un grupo
por otras partes.
condiciones en las que el titular consintió el Aplicables a los interno, un cliente o un
tratamiento de sus datos personales. Datos Personales. proveedor.
233
Identificador y
Objetivo de Control
Cumplimiento Para cada proveedor, el
Cotidiano de proveedor de servicios deberá
Medidas de tener una persona designada
7.2 Gestión de
Seguridad. que es responsable de la
proveedores.
proveedor.
234

4 7 Iso20000-1

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

4 7 Iso20000-1

Cargado por

Copyright:

Formatos disponibles

4.

7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service

Cuando los datos personales se obtengan

Si obtiene los datos de manera automática,

El responsable procurará que los datos Habrá una definición

El titular podrá oponerse o revocar su

El proveedor de servicios debe

La gerencia debe designar un

En caso de que ocurra una vulneración a la

En caso de que ocurra una vulneración a los Incidentes de seguridad de la

siempre y cuando éstas cumplan con lo Seguridad de la los controles de seguridad de

establecido en la Ley, su Reglamento y Información. información físicos,

demás normativa aplicable. administrativos y técnicos.

La transferencia deberá formalizarse Paso 7. El proveedor del servicio

También podría gustarte