Contenido ocultar
1 Introducción a la ISO 27018
2 Beneficios de la ISO 27018
3 Comparativa respecto a la ISO 27001

ISO 27018. Protección de datos personales en la nube pública

Introducción a la ISO 27018

La norma “ISO/IEC 27018:2019. Tecnología de la información – Técnicas de seguridad – Código de práctica para la protección de información personal identificable (PII) en nubes públicas que actúan como procesadores de PII” se establecen los objetivos de control comúnmente aceptados, controles y directrices para la aplicación de las medidas de protección de los datos de carácter personal (Personally Identifiable Information – PII), de conformidad con los principios de privacidad de la norma ISO 29100 para el entorno de computación pública en la nube.

En particular, en este documento se especifican las directrices basadas en la norma ISO 27002, teniendo en cuenta los requisitos reglamentarios para la protección de los datos personales que pueden ser aplicables en el contexto del entorno o entornos de riesgo para la seguridad de la información de un proveedor de servicios públicos en la nube.

Este documento es aplicable a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, las Administraciones Públicas y las organizaciones sin fines de lucro, que prestan servicios de procesamiento de información como procesadores de datos personales mediante la computación en la nube bajo contrato con otras organizaciones.

Las directrices del presente documento también pueden ser pertinentes para las organizaciones que actúan como responsables del tratamiento de datos de carácter personal. Sin embargo, estos responsables pueden estar sujetos a la normativa vigente en la materia (RGPD, LOPDGDD) este documento no tiene por objeto abarcar esas obligaciones adicionales.

Beneficios de la ISO 27018

La ISO 27018:

  • Inspira confianza en el negocio. Proporciona una mayor seguridad a los clientes e interesados de que los datos personales están protegidos.
  • Ventaja competitiva. La organización se destaca de sus competidores al proteger los datos personales al más alto nivel.
  • Protege la protección de la marca. Reduce el riesgo de publicidad adversa debido a violaciones de datos.
  • Reduce los riesgos. Garantiza que los riesgos se identifican y que se establecen controles para gestionarlos o reducirlos.
  • Protege contra las multas. Asegura que se cumpla la normativa vigente en materia de protección de datos personales, reduciendo el riesgo de multas por violaciones de datos.
  • Ayuda a hacer crecer el negocio. Proporciona directrices comunes en diferentes países, facilitando la realización de negocios a nivel mundial y el acceso como proveedor preferente.

Comparativa respecto a la ISO 27001

Además de las modificaciones en los controles de la ISO 27001, en el anexo A de la norma ISO 27018 se incluyen los siguientes controles adicionales que deberían aplicarse para aumentar el nivel de protección de los datos personales en la nube:

  • Derechos de acceso y eliminación de los datos
  • Procesamiento de los datos sólo para el propósito para el cual el cliente los ha proporcionado
  • No utilizar los datos para fines comerciales ni publicidad
  • Eliminación de los archivos temporales
  • Notificación al cliente en caso de una petición de comunicación de datos
  • Registro de todas las comunicaciones de datos personales
  • Revelar la información sobre todos los subcontratistas utilizados para el tratamiento de los datos personales
  • Notificación al cliente en caso de violación de datos
  • Gestión de documentos las para políticas y procedimientos en la nube
  • Política de devolución, transferencia y eliminación de datos personales
  • Acuerdos de confidencialidad para las personas que pueden acceder a datos personales
  • Restricción de la impresión de los datos personales
  • Procedimiento de restauración de datos
  • Autorización para sacar el medio físico fuera del sitio
  • Restricción del uso de medios que no tienen capacidad de cifrado
  • Cifrar los datos que se transmiten por las redes públicas
  • Destrucción de los medios de comunicación impresos con datos personales
  • Uso de identificaciones únicas para los clientes de la nube
  • Registros de acceso de los usuarios a la nube
  • Desactivar el uso de los ID de usuario caducados
  • Especificar los controles de seguridad mínimos en los contratos con los clientes y subcontratistas
  • Eliminación de los datos almacenados asignados a otros clientes
  • Revelar al cliente de la nube en qué países se almacenarán los datos
  • Asegurarse de que los datos lleguen a su destino

Haga click, si desea conocer nuestros servicios de ciberseguridad o seguridad de la información.