Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TO
TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS DE
SEGURIDAD ─ CÓDIGO DE PRÁCTICA PARA LA PROTECCIÓN DE
LA INFORMACIÓN DE IDENTIFICACIÓN PERSONAL (PII) EN NUBES
PÚBLICAS ACTUANDO COMO PROCESADORES DE PII (ISO/IEC
AC
27018:2014, IDT)
TR
_____________________________________
Correspondencia:
Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC
27018:2014.
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27018:2015, es una traducción idéntica a la
Norma Internacional ISO/IEC 27018:2014. Information technology — Security techniques — Code of
practice for protection of personally identifiable information (PII) in public clouds acting as PII
processors. El comité responsable de esta Norma Técnica Ecuatoriana y de su traducción es el
Comité Técnico de Normalización, “Tecnologías de la Información”.
Para el propósito de esta Norma Técnica Ecuatoriana, se ha hecho el siguiente cambio editorial:
a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.
TO
ISO/IEC 27000:2014, Information technology No existe documento normativo nacional, el
— Security techniques — Information INEN tiene adoptada la NTE INEN-ISO/IEC
security management systems — Overview 27000:2012, Tecnologías de la información —
and vocabulary Técnicas de seguridad —Sistema de gestión de
seguridad de la información — Descripción
AC
general y vocabulario.
Índice
Página
Prólogo…………………………………………………………………………………………………… iv
0 Introducción……………………………………………………………………………………. v
4 Descripción …………………………………………………………………………………….. 3
4.1 Estructura de esta norma…………………………...……………………..…………….. 3
4.2 Categorías de control …………………………………………………………………… 4
TO
6.1 Organización interna…………………………………….……………………………….… 5
6.2 Los dispositivos móviles y el teletrabajo……………………………………………….. 6
8 Gestión de activos……………………………………………………………………………….. 7
TR
9 Control de acceso………………………………………………………………………………. 7
9.1 Requisitos de negocio para el control de acceso….………………….……………….. 7
9.2 Gestión de acceso del usuario………………...………………………...……………….. 7
9.3 Responsabilidades del usuario…………………………………..………...………..…… 8
9.4 Control de acceso a los sistemas y aplicaciones………………………….……….……… 8
EX
10 Criptografía ……………………………………………………………………………………… 9
10.1 Controles criptográficos…………………………………………………………………… 9
18 Cumplimiento………………………………………………………………………………… 15
18.1 Cumplimiento de los requisitos legales y contractuales…..……..………………… 15
18.2 Revisiones de la seguridad de la información….………………………..………… 15
Bibliografía ……………………………………………………………………………………………. 26
TO
AC
TR
EX
Prólogo
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, deben tenerse en
cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos. Las
Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de
ISO/IEC, Parte 2 (ver www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO e IEC no se hacen responsables por la identificación de
cualquiera o todos los derechos de patente. Los detalles de los derechos de patente identificados
TO
durante la elaboración del documento estarán en la introducción y/o en la lista ISO de las
declaraciones de patentes recibidas (ver www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información dada la comodidad de los
usuarios y no constituye un aval.
AC
Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones
relacionadas con la evaluación de la conformidad, así como información sobre el cumplimiento de
ISO a los principios de la OMC en los Obstáculos Técnicos al Comercio (OTC) consulte el siguiente
URL: Foreword: Supplementary information.
TR
0 Introducción
Los proveedores de servicios en la nube que procesan Información de Identificación Personal (PII)
bajo contrato con sus clientes tienen que operar sus servicios de manera que permitan a ambas
partes cumplir con los requisitos de la legislación y las regulaciones sobre la protección de PII
aplicables. Los requisitos y la forma en que los requisitos se dividen entre el proveedor de servicios
de nube y sus clientes varían según la jurisdicción legal, de acuerdo con los términos del contrato
entre el proveedor de servicios de nube y el cliente. La legislación que rige el cómo la PII puede ser
procesada (es decir, recogida, utilizada, transferida y eliminada) se conoce como la legislación de
protección de datos a veces; la PII se refiere a veces como datos personales o información personal.
Las obligaciones que recaen en un procesador de PII varían de una jurisdicción a otra, lo que hace
que sea difícil para las empresas que prestan servicios de computación en la nube operar en una
multinacional.
TO
PII', procesar de PII en relación con muchos principales de PII. El cliente de servicios en la nube
podría autorizar a uno o más usuarios de los servicios en la nube asociados a utilizar los servicios
puestos a su disposición en virtud de su contrato con el procesador de PII en la nube pública. Tenga
en cuenta que el cliente de servicios de nube tiene autoridad sobre el tratamiento y la utilización de
los datos. Un cliente de servicios en la nube que es también un controlador de PII puede estar sujeto
a un conjunto más amplio de las obligaciones relativas a la protección de la PII que el procesador de
AC
PII en la nube pública. El mantenimiento de la distinción entre el controlador y el procesador de PII se
basa en que el procesador de PII en la nube pública, no tiene objetivos de procesamiento de datos
distintos de los establecidos por el cliente de servicios de nube con respecto a la PII que procesa y a
las operaciones necesarias para alcanzar los objetivos del cliente de servicios de nube.
TR
NOTA Cuando el procesador de PII de nube pública está procesando datos de cuentas de clientes de servicios de nube,
este puede estar actuando como un controlador de PII para este propósito. Esta norma nacional no cubre ese tipo de actividad.
La intención de esta norma nacional, cuando se utiliza junto con los objetivos de seguridad de la
información y los controles de ISO/IEC 27002, es la creación de un conjunto común de controles de
categorías y de seguridad que pueden ser implementados por un proveedor de servicios de
EX
informática en la nube pública que actúe como un procesador de PII. Este tiene los siguientes
objetivos.
Ayudar al proveedor de servicios de nube pública a cumplir con las obligaciones aplicables
cuando actúa como procesador de PII, si dichas obligaciones recaen sobre el procesador de PII
directamente o a través del contrato.
Activar el procesador de PII de nube pública a ser transparente en los asuntos pertinentes para
que los clientes de servicios de nube pueden seleccionar servicios de procesamiento de PII en la
nube bien administrada.
Esta norma nacional no pretende sustituir la legislación y regulación aplicable, pero puede ayudar a
proporcionar un marco de referencia común para el cumplimiento de los proveedores de servicios de
nube pública, en particular las que operan en un mercado multinacional.
0.2 Controles de protección de PII en la nube pública para los servicios de computación
Esta norma nacional está diseñada para que las organizaciones que van a utilizarla como referencia
para la selección de los controles de protección de PII en el proceso de implementación de un
sistema de computación en la nube de gestión de seguridad de la información en la nube basado en
ISO/IEC 27001, o como un documento de guía de implementación de los controles de protección de
PII comúnmente aceptados para las organizaciones que actúan como procesadores de PII en la nube
pública. En particular, esta norma nacional se basó en ISO/IEC 27002, teniendo en cuenta el
ambiente(s) de riesgo específico (s) que surja de esos requisitos de protección de PII que podrían
aplicarse a los proveedores de servicios de computación en la nube pública que actúan como
procesadores de PII.
Normalmente, una organización que implementa ISO/IEC 27001 está protegiendo sus propios activos
de información. Sin embargo, en el contexto de los requisitos de protección de PII por un proveedor
de servicios de nube pública que actúa como un procesador de PII, la organización está protegiendo
los activos de información le sean encomendados por sus clientes. La implementación de los
TO
controles de ISO/IEC 27002 por el procesador de PII en la nube pública es a la vez adecuada y
necesaria para este fin. Esta norma nacional aumenta los controles de ISO/IEC 27002 para dar
cabida a la naturaleza distribuida del riesgo y la existencia de una relación contractual entre el cliente
de servicios de nube y el procesador de PII en la nube pública. Esta norma nacional complementa a
en ISO/IEC 27002 de dos maneras:
AC
proporciona una guía de implementación aplicable a la protección en la nube pública PII
referente a algunos de los controles de ISO/IEC 27002 existente, y
La mayoría de los controles y la guía de esta norma nacional también serán de aplicación a un
controlador de PII. Sin embargo, el controlador de PII, en la mayoría de los casos, puede ser objeto
de obligaciones adicionales no especificadas aquí.
EX
Es esencial que una organización identifique sus requisitos para la protección de PII. Hay tres fuentes
principales de requisitos, como se indica a continuación.
a) Requisitos Legales, Estatutarios, Reglamentarios y Contractuales: Algunas de las fuentes son los
requisitos y obligaciones legales, estatutarias, reglamentarias y contractuales que una
organización, sus socios comerciales, contratistas y proveedores de servicios tienen que
satisfacer, y sus responsabilidades socio-culturales y el ambiente operativo. Cabe señalar que la
legislación, los reglamentos y compromisos contractuales realizados por el procesador de PII
podrían exigir la selección de los controles particulares y también podrían requerir criterios
específicos para la aplicación de esos controles. Estos requisitos pueden variar de una jurisdicción
a otra.
b) Riesgos: Otra fuente se deriva de la evaluación de riesgos para la organización asociada con la
PII, teniendo en cuenta la estrategia de negocios global de la organización y sus objetivos. A
través de una evaluación de riesgos, las amenazas se identifican, la vulnerabilidad y probabilidad
de ocurrencia se evalúa y el impacto potencial se estima. La ISO/IEC 27005 proporciona una guía
de la gestión de riesgos de seguridad de la información, incluido el asesoramiento sobre la
evaluación de riesgos, la aceptación de riesgos, comunicación de riesgos, monitoreo de riesgos y
evaluación de riesgos. ISO/IEC 29134 proporciona una guía sobre la evaluación del impacto sobre
la privacidad.
c) Políticas corporativas: Si bien muchos aspectos cubiertos por una política corporativa se derivan de
las obligaciones legales y socio-culturales, una organización también puede optar voluntariamente
a ir más allá de los criterios que se derivan de los requisitos de a).
Los controles pueden ser seleccionados de esta norma nacional (que incluye por referencia los
controles en ISO/IEC 27002, la creación de un conjunto de control de referencia combinado para el
sector o aplicación definido por el alcance). Si es necesario, los controles también se pueden
seleccionar de otros conjuntos de control, o nuevos controles pueden ser diseñados para satisfacer
las necesidades específicas según sea apropiado.
NOTA Un servicio de procesamiento de PII proporcionado por un procesador de PII en la nube pública podría considerarse
como una aplicación de la informática en nube en lugar de un sector en sí mismo. Se utiliza, sin embargo, el término "sector
específico" en esta norma nacional, ya que este es el término convencional utilizado en otras normas de la serie ISO/IEC
27000.
La selección de los controles depende de decisiones de la organización sobre la base de los criterios
de aceptación del riesgo, las opciones de tratamiento del riesgo, y el enfoque general de la gestión de
riesgos aplicada a la organización y, a través de acuerdos contractuales, sus clientes y proveedores,
TO
y también estará sujeta a todas las leyes y reglamentos nacionales e internacionales relevantes.
Cuando no se seleccionan los controles de esta norma nacional, esto debe ser documentado con
justificación de la omisión.
Además, la selección y aplicación de los controles dependen del papel real del proveedor de la nube
pública en el contexto de toda la arquitectura de referencia de la computación en la nube (ver ISO/IEC
AC
17789). Muchas organizaciones diferentes pueden estar involucradas en la prestación de servicios de
infraestructura y aplicaciones en un ambiente de computación en la nube. En algunas circunstancias,
los controles seleccionados pueden ser únicos para una categoría de servicio particular de la
arquitectura de referencia de la computación en la nube. En otros casos, se pueden compartir los
roles en la implementación de controles de seguridad. Los acuerdos contractuales deben especificar
TR
claramente las responsabilidades de protección PII de todas las organizaciones que participan en la
prestación o el uso de los servicios en la nube, incluyendo el procesador de PII en la nube pública,
sus subcontratistas y el cliente de servicios de nube.
Los controles de esta norma nacional pueden ser considerados como principios rectores y aplicables
EX
para la mayoría de las organizaciones. Se explican con más detalle a continuación junto con una guía
de implementación. La implementación puede ser más sencilla si los requisitos para la protección de
PII se han considerado en el diseño del sistema de información del procesador de PII de nube
pública, en los servicios y las operaciones. Tal consideración es un elemento del concepto que a
menudo se llama "Privacidad por diseño". La bibliografía enumera los documentos pertinentes, tales
como ISO/IEC 29101.
Esta norma nacional puede considerarse como un punto de partida para el desarrollo de las
directrices de protección de PII. Es posible que no todos los controles y guía en este código de
práctica será aplicable. Además, podrían ser necesarios los controles adicionales y directrices no
incluidos en esta norma nacional. Cuando se desarrollan los documentos que contienen directrices o
controles adicionales, podría ser útil incluir referencias cruzadas a los capítulos de esta norma
nacional en su caso para facilitar la comprobación del cumplimiento de los auditores y socios de
negocios.
La PII tiene un ciclo de vida natural, desde la creación y emisión hasta su almacenamiento,
procesamiento, uso y transmisión de su eventual destrucción o deterioro. Los riesgos para la PII
pueden variar durante su vida, pero la protección de la PII sigue siendo importante hasta cierto punto
en todas las etapas.
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 vii
NTE INEN-ISO 27018 2016-07
Los requisitos de protección de PII deben tomar en cuenta los sistemas de información existentes y
nuevos gestionados a través de su ciclo de vida.
TO
AC
TR
EX
En particular, esta norma nacional especifica directrices basadas en ISO/IEC 27002, teniendo en
cuenta los requisitos normativos para la protección de PII los cuales podrían ser aplicables en el
contexto del ambiente(s) de riesgos de seguridad de la información de un proveedor de servicios de
nube pública.
Esta norma nacional es aplicable a todos los tipos y tamaños de organizaciones, incluyendo las
empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que
proporcionan servicios de procesamiento de información como procesadores PII a través de la
TO
computación en la nube bajo contrato con otras organizaciones.
Las directrices de esta norma nacional también podrían ser relevantes para las organizaciones que
actúan como controladores de PII; sin embargo, los controladores de PII podrían ser objeto de
legislación de protección, reglamentos y obligaciones adicionales a PII, que no se aplica a los
procesadores PII. Esta norma nacional no se destina a cubrir dichas obligaciones adicionales.
AC
2 Referencias normativas
Los siguientes documentos, en su totalidad o en parte, están normativamente referenciados en este
TR
documento y son indispensables para su aplicación. Para las referencias con fecha, solamente la
edición citada se aplica. Para referencias sin fecha, se aplica la última edición del documento al que
se hace referencia (incluyendo cualquier enmienda).
1)
Información general y vocabulario
3 Términos y definiciones
Para los fines de este documento, los términos y definiciones proporcionados en ISO/IEC 17788,
ISO/IEC 27000 y los siguientes se aplican.
1) A ser publicada
© ISO/IEC 2014 Todos los derechos reservados
© INEN 2016
2016-513 1 de 26
INFORMACIÓN COMPLEMENTARIA
TO
NOMBRES: INSTITUCIÓN REPRESENTADA:
Otros trámites: