Quito – Ecuador

NORMA NTE INEN-ISO/IEC 27018

TÉCNICA Primera edición
2016-07
ECUATORIANA

TO
TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS DE
SEGURIDAD ─ CÓDIGO DE PRÁCTICA PARA LA PROTECCIÓN DE
LA INFORMACIÓN DE IDENTIFICACIÓN PERSONAL (PII) EN NUBES
PÚBLICAS ACTUANDO COMO PROCESADORES DE PII (ISO/IEC
AC
27018:2014, IDT)
TR

INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR

PROTECTION OF PERSONALLY IDENTIFIABLE INFORMATION (PII) IN PUBLIC CLOUDS ACTING
AS PII PROCESSORS (ISO/IEC 27018:2014, IDT)
EX

_____________________________________

Correspondencia:

Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC
27018:2014.

DESCRIPTORES: Tecnologías de la información, técnicas de seguridad, código de conducta, protección, identificación 26

personal,procesadores, nubes públicas Páginas
ICS: 035.040

© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
NTE INEN-ISO 27018 2016-07

Prólogo nacional

Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27018:2015, es una traducción idéntica a la
Norma Internacional ISO/IEC 27018:2014. Information technology — Security techniques — Code of
practice for protection of personally identifiable information (PII) in public clouds acting as PII
processors. El comité responsable de esta Norma Técnica Ecuatoriana y de su traducción es el
Comité Técnico de Normalización, “Tecnologías de la Información”.

Para el propósito de esta Norma Técnica Ecuatoriana, se ha hecho el siguiente cambio editorial:

a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.

A continuación, se enlistan los documentos normativos internacionales que se referencian en la

Norma Internacional ISO/IEC 27018:2014 y los documentos normativos nacionales correspondientes:

Documento Normativo Internacional

Documento Normativo Nacional
ISO/IEC 17788|Rec. ITU-T Y. 3500, No existe documento normativo nacional
Information technology — Cloud computing
1)
— Overview and vocabulary

ISO/IEC 27000:2014, Information technology
— Security techniques — Information
security management systems — Overview
and vocabulary
AC
TO
No existe documento normativo nacional, el
INEN tiene adoptada la NTE INEN-ISO/IEC
27000:2012, Tecnologías de la información —
Técnicas de seguridad —Sistema de gestión de
seguridad de la información — Descripción
general y vocabulario.

ISO/IEC 27001:2013, Information technology No existe documento normativo nacional, el

— Security techniques — Information INEN tiene adoptada la NTE INEN-ISO/IEC
security management systems — 27001:2011, Tecnologías de la información —
Requirements Técnicas de seguridad. Sistema de gestión de la
TR

seguridad de la información — Requisitos.

ISO/IEC 27002:2013, Information technology No existe documento normativo nacional, el

— Security techniques — Code of practice INEN tiene adoptada la NTE INEN-ISO/IEC
for information security controls 27002:2009, Tecnologías de la información —
EX

Técnicas de la seguridad — Código de práctica

para la gestión de la seguridad de la
información.

ISO/IEC 29100:2011, Information technology No existe documento normativo nacional

— Security techniques — Privacy framework

© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
2016-513 i
NTE INEN-ISO 27018 2016-07

Índice
Página
Prólogo…………………………………………………………………………………………………… iv

0 Introducción……………………………………………………………………………………. v

1 Objeto y campo de aplicación ……………………………………………………………… 1

2 Referencias normativas ……………………………………………………………………… 1

3 Términos y definiciones ……………………………………………………………………… 1

4 Descripción …………………………………………………………………………………….. 3
4.1 Estructura de esta norma…………………………...……………………..…………….. 3
4.2 Categorías de control …………………………………………………………………… 4

5 Políticas de seguridad de la información …………………………………………………. 4

5.1 Dirección de la gestión de seguridad de la información ………………………………… 4

6 Organización de la seguridad de la información………………………………………….. 5

TO
6.1 Organización interna…………………………………….……………………………….… 5
6.2 Los dispositivos móviles y el teletrabajo……………………………………………….. 6

7 Seguridad en recursos humanos…………………………………………………………… 6

AC
7.1 Antes de empleo……….…………………………………………………………………… 6
7.2 Durante el empleo…………………...…………………………………………………….. 6
7.3 Terminación y cambio de empleo……….……………………………………………….. 7

8 Gestión de activos……………………………………………………………………………….. 7
TR

9 Control de acceso………………………………………………………………………………. 7
9.1 Requisitos de negocio para el control de acceso….………………….……………….. 7
9.2 Gestión de acceso del usuario………………...………………………...……………….. 7
9.3 Responsabilidades del usuario…………………………………..………...………..…… 8
9.4 Control de acceso a los sistemas y aplicaciones………………………….……….……… 8
EX

10 Criptografía ……………………………………………………………………………………… 9
10.1 Controles criptográficos…………………………………………………………………… 9

11 Seguridad física y del entorno.…….………………………………………………………… 9

11.1 Áreas seguras…………………..…………………………………………………….. 9
11.2 Equipos……………………………………………………………………………………… 9

12 Seguridad de las operaciones…………………...…………….…………………………… 10

12.1 Procedimientos y responsabilidades operacionales…………….…………………… 10
12.2 Protección contra el malware………………..……...………………………………..… 11
12.3 Copias de seguridad…………………………….….…………………………………… 11
12.4 Registro y monitoreo..…………………………..…..…………………………………… 12
12.5 Control del software operacional…………………………….……………………………… 13
12.6 Gestión de vulnerabilidades técnicas……………………………..……………..……… 13
12.7 Consideraciones sobre la auditoría de los sistemas de información …..………………… 13

13 Seguridad en las comunicaciones……….………………………………………………… 13

13.1 Gestión de la seguridad de redes ………..…………………….……………………… 13
13.2 Intercambio de información………………………………….....……………………… 13

14 Adquisición, desarrollo y mantenimiento de sistemas…………..…………………… 14

© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
2016-513 ii
NTE INEN-ISO 27018 2016-07

15 Relación con proveedores………………………………...……...……………………….… 14

16 Gestión de incidentes de seguridad de la información…….…………………………… 14

16.1 Gestión de incidentes de seguridad de la información y mejoras…..……….…… 14

17 Aspectos de seguridad de la información para la gestión de la continuidad

del negocio …………………………………………………………………………………….. 15

18 Cumplimiento………………………………………………………………………………… 15
18.1 Cumplimiento de los requisitos legales y contractuales…..……..………………… 15
18.2 Revisiones de la seguridad de la información….………………………..………… 15

Anexo A (normativo) Conjunto de controles extendidos para protección de PII en

nube pública que procesa PII ………………………………………………………………………. 17

Bibliografía ……………………………………………………………………………………………. 26

TO
AC
TR
EX

© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
2016-513 iii
NTE INEN-ISO 27018 2016-07

Prólogo

ISO (Organización Internacional de Normalización) e IEC (Comisión Internacional Electromecánica)

forma el sistema mundial especializado de normalización. Las organizaciones nacionales que son
miembros de ISO o de IEC participan en el desarrollo de las Normas Internacionales por medio de
comités técnicos establecidos por la respectiva organización para tratar campos particulares en las
actividades técnicas. Los comités técnicos de ISO/IEC colaboran en campos de mutuo interés. Otras
organizaciones internacionales, públicas y privadas, en colaboración con ISO e IEC, también
participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un
comité conjunto, ISO/IEC JTC 1.

Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, deben tenerse en
cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos. Las
Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de
ISO/IEC, Parte 2 (ver www.iso.org/directives).

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO e IEC no se hacen responsables por la identificación de
cualquiera o todos los derechos de patente. Los detalles de los derechos de patente identificados

TO
durante la elaboración del documento estarán en la introducción y/o en la lista ISO de las
declaraciones de patentes recibidas (ver www.iso.org/patents).

Cualquier nombre comercial utilizado en este documento es información dada la comodidad de los
usuarios y no constituye un aval.
AC
Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones
relacionadas con la evaluación de la conformidad, así como información sobre el cumplimiento de
ISO a los principios de la OMC en los Obstáculos Técnicos al Comercio (OTC) consulte el siguiente
URL: Foreword: Supplementary information.
TR

El comité responsable de este documento es ISO/IEC JTC 1, Tecnologías de la información,

Subcomité SC 27, Técnicas de seguridad de TI.
EX

© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
2016-513 iv
NTE INEN-ISO 27018 2016-07

0 Introducción

0.1 Antecedentes y contexto

Los proveedores de servicios en la nube que procesan Información de Identificación Personal (PII)
bajo contrato con sus clientes tienen que operar sus servicios de manera que permitan a ambas
partes cumplir con los requisitos de la legislación y las regulaciones sobre la protección de PII
aplicables. Los requisitos y la forma en que los requisitos se dividen entre el proveedor de servicios
de nube y sus clientes varían según la jurisdicción legal, de acuerdo con los términos del contrato
entre el proveedor de servicios de nube y el cliente. La legislación que rige el cómo la PII puede ser
procesada (es decir, recogida, utilizada, transferida y eliminada) se conoce como la legislación de
protección de datos a veces; la PII se refiere a veces como datos personales o información personal.
Las obligaciones que recaen en un procesador de PII varían de una jurisdicción a otra, lo que hace
que sea difícil para las empresas que prestan servicios de computación en la nube operar en una
multinacional.

Un proveedor de servicios de nube pública es un 'procesador de PII' cuando procesa la PII de

acuerdo a las instrucciones de un cliente de servicios de nube. El cliente de servicios de nube, que
tiene la relación contractual con el procesador de PII de nube pública, puede variar de una persona
natural, una 'PII principal', procesar su propia PII en la nube, a una organización, un 'controlador de

TO
PII', procesar de PII en relación con muchos principales de PII. El cliente de servicios en la nube
podría autorizar a uno o más usuarios de los servicios en la nube asociados a utilizar los servicios
puestos a su disposición en virtud de su contrato con el procesador de PII en la nube pública. Tenga
en cuenta que el cliente de servicios de nube tiene autoridad sobre el tratamiento y la utilización de
los datos. Un cliente de servicios en la nube que es también un controlador de PII puede estar sujeto
a un conjunto más amplio de las obligaciones relativas a la protección de la PII que el procesador de
AC
PII en la nube pública. El mantenimiento de la distinción entre el controlador y el procesador de PII se
basa en que el procesador de PII en la nube pública, no tiene objetivos de procesamiento de datos
distintos de los establecidos por el cliente de servicios de nube con respecto a la PII que procesa y a
las operaciones necesarias para alcanzar los objetivos del cliente de servicios de nube.
TR

NOTA Cuando el procesador de PII de nube pública está procesando datos de cuentas de clientes de servicios de nube,
este puede estar actuando como un controlador de PII para este propósito. Esta norma nacional no cubre ese tipo de actividad.

La intención de esta norma nacional, cuando se utiliza junto con los objetivos de seguridad de la
información y los controles de ISO/IEC 27002, es la creación de un conjunto común de controles de
categorías y de seguridad que pueden ser implementados por un proveedor de servicios de
EX

informática en la nube pública que actúe como un procesador de PII. Este tiene los siguientes
objetivos.

 Ayudar al proveedor de servicios de nube pública a cumplir con las obligaciones aplicables
cuando actúa como procesador de PII, si dichas obligaciones recaen sobre el procesador de PII
directamente o a través del contrato.

 Activar el procesador de PII de nube pública a ser transparente en los asuntos pertinentes para
que los clientes de servicios de nube pueden seleccionar servicios de procesamiento de PII en la
nube bien administrada.

 Ayudar al cliente de servicios en la nube y procesador de PII en la nube pública a entrar en un

acuerdo contractual.

 Proporcionar a los clientes de servicios en la nube un mecanismo para el ejercicio de auditoría y

cumplimiento de los derechos y responsabilidades en los casos donde las auditorías de los
clientes de servicios de nube individual de datos alojados en una multiparte, en el ambiente del
servidor virtualizado (nube) pueden ser poco técnicos y prácticos y podrían aumentar los
riesgos para los controles de seguridad de la red física y lógica en su lugar.

© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
2016-513 v
NTE INEN-ISO 27018 2016-07

Esta norma nacional no pretende sustituir la legislación y regulación aplicable, pero puede ayudar a
proporcionar un marco de referencia común para el cumplimiento de los proveedores de servicios de
nube pública, en particular las que operan en un mercado multinacional.

0.2 Controles de protección de PII en la nube pública para los servicios de computación

Esta norma nacional está diseñada para que las organizaciones que van a utilizarla como referencia
para la selección de los controles de protección de PII en el proceso de implementación de un
sistema de computación en la nube de gestión de seguridad de la información en la nube basado en
ISO/IEC 27001, o como un documento de guía de implementación de los controles de protección de
PII comúnmente aceptados para las organizaciones que actúan como procesadores de PII en la nube
pública. En particular, esta norma nacional se basó en ISO/IEC 27002, teniendo en cuenta el
ambiente(s) de riesgo específico (s) que surja de esos requisitos de protección de PII que podrían
aplicarse a los proveedores de servicios de computación en la nube pública que actúan como
procesadores de PII.

Normalmente, una organización que implementa ISO/IEC 27001 está protegiendo sus propios activos
de información. Sin embargo, en el contexto de los requisitos de protección de PII por un proveedor
de servicios de nube pública que actúa como un procesador de PII, la organización está protegiendo
los activos de información le sean encomendados por sus clientes. La implementación de los

TO
controles de ISO/IEC 27002 por el procesador de PII en la nube pública es a la vez adecuada y
necesaria para este fin. Esta norma nacional aumenta los controles de ISO/IEC 27002 para dar
cabida a la naturaleza distribuida del riesgo y la existencia de una relación contractual entre el cliente
de servicios de nube y el procesador de PII en la nube pública. Esta norma nacional complementa a
en ISO/IEC 27002 de dos maneras:
AC
 proporciona una guía de implementación aplicable a la protección en la nube pública PII
referente a algunos de los controles de ISO/IEC 27002 existente, y

 el Anexo A proporciona un conjunto de controles adicionales y una guía asociada con la

intención de proporcionar los requisitos de protección PII de nube pública no comprendida en el
TR

conjunto de control en ISO/IEC 27002 existente.

La mayoría de los controles y la guía de esta norma nacional también serán de aplicación a un
controlador de PII. Sin embargo, el controlador de PII, en la mayoría de los casos, puede ser objeto
de obligaciones adicionales no especificadas aquí.
EX

0.3 Requisitos de protección de PII

Es esencial que una organización identifique sus requisitos para la protección de PII. Hay tres fuentes
principales de requisitos, como se indica a continuación.

a) Requisitos Legales, Estatutarios, Reglamentarios y Contractuales: Algunas de las fuentes son los
requisitos y obligaciones legales, estatutarias, reglamentarias y contractuales que una
organización, sus socios comerciales, contratistas y proveedores de servicios tienen que
satisfacer, y sus responsabilidades socio-culturales y el ambiente operativo. Cabe señalar que la
legislación, los reglamentos y compromisos contractuales realizados por el procesador de PII
podrían exigir la selección de los controles particulares y también podrían requerir criterios
específicos para la aplicación de esos controles. Estos requisitos pueden variar de una jurisdicción
a otra.

b) Riesgos: Otra fuente se deriva de la evaluación de riesgos para la organización asociada con la
PII, teniendo en cuenta la estrategia de negocios global de la organización y sus objetivos. A
través de una evaluación de riesgos, las amenazas se identifican, la vulnerabilidad y probabilidad
de ocurrencia se evalúa y el impacto potencial se estima. La ISO/IEC 27005 proporciona una guía
de la gestión de riesgos de seguridad de la información, incluido el asesoramiento sobre la
evaluación de riesgos, la aceptación de riesgos, comunicación de riesgos, monitoreo de riesgos y
evaluación de riesgos. ISO/IEC 29134 proporciona una guía sobre la evaluación del impacto sobre

© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
2016-513 vi
NTE INEN-ISO 27018 2016-07

la privacidad.

c) Políticas corporativas: Si bien muchos aspectos cubiertos por una política corporativa se derivan de
las obligaciones legales y socio-culturales, una organización también puede optar voluntariamente
a ir más allá de los criterios que se derivan de los requisitos de a).

0.4 Selección y controles de implementación en un ambiente de computación en la nube

Los controles pueden ser seleccionados de esta norma nacional (que incluye por referencia los
controles en ISO/IEC 27002, la creación de un conjunto de control de referencia combinado para el
sector o aplicación definido por el alcance). Si es necesario, los controles también se pueden
seleccionar de otros conjuntos de control, o nuevos controles pueden ser diseñados para satisfacer
las necesidades específicas según sea apropiado.

NOTA Un servicio de procesamiento de PII proporcionado por un procesador de PII en la nube pública podría considerarse
como una aplicación de la informática en nube en lugar de un sector en sí mismo. Se utiliza, sin embargo, el término "sector
específico" en esta norma nacional, ya que este es el término convencional utilizado en otras normas de la serie ISO/IEC
27000.

La selección de los controles depende de decisiones de la organización sobre la base de los criterios
de aceptación del riesgo, las opciones de tratamiento del riesgo, y el enfoque general de la gestión de
riesgos aplicada a la organización y, a través de acuerdos contractuales, sus clientes y proveedores,

TO
y también estará sujeta a todas las leyes y reglamentos nacionales e internacionales relevantes.
Cuando no se seleccionan los controles de esta norma nacional, esto debe ser documentado con
justificación de la omisión.

Además, la selección y aplicación de los controles dependen del papel real del proveedor de la nube
pública en el contexto de toda la arquitectura de referencia de la computación en la nube (ver ISO/IEC
AC
17789). Muchas organizaciones diferentes pueden estar involucradas en la prestación de servicios de
infraestructura y aplicaciones en un ambiente de computación en la nube. En algunas circunstancias,
los controles seleccionados pueden ser únicos para una categoría de servicio particular de la
arquitectura de referencia de la computación en la nube. En otros casos, se pueden compartir los
roles en la implementación de controles de seguridad. Los acuerdos contractuales deben especificar
TR

claramente las responsabilidades de protección PII de todas las organizaciones que participan en la
prestación o el uso de los servicios en la nube, incluyendo el procesador de PII en la nube pública,
sus subcontratistas y el cliente de servicios de nube.

Los controles de esta norma nacional pueden ser considerados como principios rectores y aplicables
EX

para la mayoría de las organizaciones. Se explican con más detalle a continuación junto con una guía
de implementación. La implementación puede ser más sencilla si los requisitos para la protección de
PII se han considerado en el diseño del sistema de información del procesador de PII de nube
pública, en los servicios y las operaciones. Tal consideración es un elemento del concepto que a
menudo se llama "Privacidad por diseño". La bibliografía enumera los documentos pertinentes, tales
como ISO/IEC 29101.

0.5 Desarrollo de directrices adicionales

Esta norma nacional puede considerarse como un punto de partida para el desarrollo de las
directrices de protección de PII. Es posible que no todos los controles y guía en este código de
práctica será aplicable. Además, podrían ser necesarios los controles adicionales y directrices no
incluidos en esta norma nacional. Cuando se desarrollan los documentos que contienen directrices o
controles adicionales, podría ser útil incluir referencias cruzadas a los capítulos de esta norma
nacional en su caso para facilitar la comprobación del cumplimiento de los auditores y socios de
negocios.

0.6 Consideraciones de ciclo de vida

La PII tiene un ciclo de vida natural, desde la creación y emisión hasta su almacenamiento,
procesamiento, uso y transmisión de su eventual destrucción o deterioro. Los riesgos para la PII
pueden variar durante su vida, pero la protección de la PII sigue siendo importante hasta cierto punto
en todas las etapas.
© ISO/IEC 2014  Todos los derechos reservados
© INEN 2016
2016-513 vii
NTE INEN-ISO 27018 2016-07

Los requisitos de protección de PII deben tomar en cuenta los sistemas de información existentes y
nuevos gestionados a través de su ciclo de vida.

TO
AC
TR
EX

© ISO/IEC 2014  Todos los derechos reservados

© INEN 2016
2016-513 viii
NTE INEN-ISO 27018 2016-07

Tecnologías de la información ─ Técnicas de seguridad ─ Código de práctica

para la protección de la información de identificación personal (PII) en nubes
públicas actuando como procesadores de PII

1 Objeto y campo de aplicación

Esta norma nacional establece los objetivos de control, controles y directrices, comúnmente
aceptados, para implementar las medidas para proteger la información de identificación personal
(PII), de acuerdo con los principios de privacidad en ISO/IEC 29100 para los ambientes de
computación en la nube pública.

En particular, esta norma nacional especifica directrices basadas en ISO/IEC 27002, teniendo en
cuenta los requisitos normativos para la protección de PII los cuales podrían ser aplicables en el
contexto del ambiente(s) de riesgos de seguridad de la información de un proveedor de servicios de
nube pública.

Esta norma nacional es aplicable a todos los tipos y tamaños de organizaciones, incluyendo las
empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que
proporcionan servicios de procesamiento de información como procesadores PII a través de la

TO
computación en la nube bajo contrato con otras organizaciones.

Las directrices de esta norma nacional también podrían ser relevantes para las organizaciones que
actúan como controladores de PII; sin embargo, los controladores de PII podrían ser objeto de
legislación de protección, reglamentos y obligaciones adicionales a PII, que no se aplica a los
procesadores PII. Esta norma nacional no se destina a cubrir dichas obligaciones adicionales.
AC
2 Referencias normativas
Los siguientes documentos, en su totalidad o en parte, están normativamente referenciados en este
TR

documento y son indispensables para su aplicación. Para las referencias con fecha, solamente la
edición citada se aplica. Para referencias sin fecha, se aplica la última edición del documento al que
se hace referencia (incluyendo cualquier enmienda).

ISO/IEC 17788 | Rec. UIT-T Y.3500, Tecnologías de la información  Computación en la nube -

EX

1)
Información general y vocabulario

ISO/IEC 27000:2014, Tecnologías de la información  Técnicas de seguridad  Sistemas de gestión

de seguridad de la información  Información general y vocabulario

ISO/IEC 27001:2013, Tecnologías de la información  Técnicas de seguridad  Sistemas de gestión

de seguridad de la información – Requisitos

ISO/IEC 27002:2013, Tecnologías de la información  Técnicas de seguridad  Código de conducta

para los controles de seguridad de la información

ISO/IEC 29100/:2011, Tecnologías de la información  Técnicas de seguridad – Marco de referencia

de privacidad

3 Términos y definiciones
Para los fines de este documento, los términos y definiciones proporcionados en ISO/IEC 17788,
ISO/IEC 27000 y los siguientes se aplican.

1) A ser publicada
© ISO/IEC 2014  Todos los derechos reservados
© INEN 2016
2016-513 1 de 26
 INFORMACIÓN COMPLEMENTARIA

Documento: TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS Código ICS:

NTE INEN- DE SEGURIDAD ─ CÓDIGO DE PRACTICA PARA LA 035.040
ISO/IEC 27018 PROTECCIÓN DE LA INFORMACIÓN DE IDENTIFICACIÓN
PERSONAL (PII) EN NUBES PÚBLICAS ACTUANDO COMO
PROCESADORES DE PII (ISO/IEC 27018:2014, IDT)
ORIGINAL: REVISIÓN:
Fecha de iniciación del estudio: La Subsecretaría de la Calidad del Ministerio de Industrias
2015-03-10 y Productividad aprobó este proyecto de norma
Oficialización con el Carácter de
por Resolución No.
publicado en el Registro Oficial No.

Fecha de iniciación del estudio:

Fechas de consulta pública: 2015-11-11 hasta 2015-11-25

Comité Técnico de: Tecnologías de la información

Fecha de iniciación: 2016-02-17 Fecha de aprobación: 2016-03-16
Integrantes del Comité:

TO
NOMBRES: INSTITUCIÓN REPRESENTADA:

Ing. Oswaldo Rivera (Presidente) MINTEL

Ing. Diego Uribe Nogales ARCOTEL
AC
Ing. Alejandro Cevallos CNT E.P.
Sr. Juan Pablo Aliaga ISACA
Ing. Fernanda Betancourt DINARDAP
Ing. Andrés Ochoa S.R.I
Ing. Giovanni Moreno YACHAY E.P
TR

Ing. Fernando Arias SERCOP

Ing. Christian Sangucho SERCOP
Sr. Edgar Valenzuela INEN-METROLOGÍA
Ing. Bolívar Jácome U.T.E
EX

Ing. Judith Quinatoa (Secretaria técnica) INEN DIRECCIÓN DE NORMALIZACIÓN

Otros trámites:

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de

norma

Oficializada como: Voluntaria Por Resolución No. 16234 de 2016-06-16

Registro Oficial No. 798 de 2016-07-15