ISO/IEC 27701:2019: Administración de información de privacidad
Introducción a ISO/IEC 27701:2019
ISO/IEC 27701:2019 está diseñado para complementar los estándares ISO/IEC 27001 e ISO/IEC 27002 ampliamente utilizados para la administración de la seguridad de la información. Especifica los requisitos y proporciona instrucciones para un sistema de administración de información de privacidad (PIMS), lo que hace que la implementación de PIMS sea una adición útil de cumplimiento para muchas organizaciones que dependen de ISO/IEC 27001, así como la creación de un punto de integración sólido para alinear los controles de seguridad y privacidad. ISO/IEC 27701 logra esta integración a través de un marco para administrar los datos personales que pueden usar tanto los controladores de datos como los procesadores de datos, una distinción clave para el cumplimiento del Reglamento General de Protección de Datos (RGPD).
Además, cualquier auditoría ISO/IEC 27701 requiere que la organización declare las leyes o regulaciones aplicables en sus criterios para la auditoría, lo que significa que el estándar se puede asignar a muchos de los requisitos según el RGPD, la Ley de privacidad del consumidor de California (CCPA) u otras leyes. Una vez asignados, los profesionales de privacidad implementan los controles operativos ISO/IEC 27701. Un tercero interno o externo, que está acreditado para evaluar, evalúa el cumplimiento de la organización con los requisitos del estándar y emite un certificado en ese sentido. Este marco universal permite a las organizaciones implementar de forma eficaz el cumplimiento de los nuevos requisitos normativos. Microsoft patrocina el proyecto de asignación de protección de datos de código abierto para ofrecer una comprensión común de la relación entre ISO/IEC 27701 y varias regulaciones de protección de datos.
Servicios y plataformas en la nube dentro de Microsoft
Microsoft servicios en línea en el ámbito se muestran en el certificado ISO/IEC 27701 de Azure:
- Azure (para obtener información detallada, consulte la oferta ISO/IEC 27701 de Azure)
- Dynamics 365 (para obtener información detallada, consulte la oferta ISO/IEC 27701 de Azure)
- Microsoft Defender XDR (no está en el ámbito de Azure Government)
- Microsoft Bing para comercio (no está en el ámbito de Azure Government)
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Graph
- Microsoft Intune
- Escritorio administrado de Microsoft (no está en el ámbito de Azure Government)
- Microsoft Stream
- Expertos en amenazas de Microsoft (no está en el ámbito de Azure Government)
- Office 365, Office 365 Administración Pública para Estados Unidos y Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power BI incrustado
- Power Virtual Agents (no está en el ámbito de Azure Government)
- Impresión universal (no está en el ámbito de Azure Government)
- Windows 365
Azure, Dynamics 365 e ISO 27701
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure ISO 27701:2019.
Office 365 e ISO 27001
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Portal de clientes, Office 365 Microservicios (incluidos, entre otros, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, Project Online, Cifrado de servicio con clave de cliente de Microsoft Purview, SharePoint Online, Skype Empresarial, Stream |
| GCC | Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream |
| GCC High | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial |
| DoD | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power BI, SharePoint Online, Skype Empresarial |
Auditorías, informes y certificados de Office 365
Los servicios de soporte técnico comercial y en la nube de Microsoft se auditan una vez al año para el proceso de certificación de ISO/IEC 27701.
Preguntas más frecuentes
¿Cómo ayuda ISO/IEC 27701 a la evolución de los requisitos normativos?
ISO/IEC 27701 incluye un anexo que contiene los controles operacionales de los estándares que se asignan a los requisitos relevantes en GDPR para controladores y procesadores. Esta asignación es solo un ejemplo de cómo se pueden implementar las regulaciones de privacidad en relación con el marco ISO. A medida que haya más asignaciones disponibles y validadas por otros reglamentos, los controles operacionales del estándar se pueden transferir directamente desde la revisión reglamentaria hasta la implementación. Este marco universal permite a las organizaciones implementar de forma confiable los requisitos normativos pertinentes.
¿Cómo ayuda ISO/IEC 27701 a los costos de auditoría?
A medida que entren en vigor más normas de privacidad en varias jurisdicciones, también aumentará la presión para que se presenten pruebas de cumplimiento. Pero los costos de las distintas certificaciones reglamentarias se vuelven prohibitivos si cada reglamentación requiere su propia auditoria única. Al describir un conjunto de controles operativos universales, ISO/IEC 27701 también describe un marco de cumplimiento universal para auditar y, potencialmente, certificar los múltiples requisitos normativos.
Es importante reconocer que el establecimiento de una certificación oficial del RGPD requiere la aprobación de los reguladores europeos. Aunque la alineación entre ISO/IEC 27701 y RGPD es evidente, una certificación ISO/IEC 27701 no debe tomarse como prueba del cumplimiento del RGPD o la certificación oficial del RGPD hasta que se completen las decisiones normativas.
¿Cómo ayuda ISO/IEC 27701 a los acuerdos comerciales relacionados con pii?
Los acuerdos comerciales que impliquen el movimiento de información personal pueden justificar la certificación del cumplimiento. Las organizaciones modernas realizan transferencias de datos complejas con una amplia red de socios comerciales, entre los que se incluyen organizaciones asociadas o co-controladores, procesadores como los proveedores de la nube y subprocesadores como los proveedores que dan soporte a estos últimos. El incumplimiento de las reglamentaciones en cualquier parte de esta red puede dar lugar a problemas de cumplimiento en serie en toda la cadena de suministro. Aquí es donde una comprobación del cumplimiento puede ser valiosa más allá de la garantía proporcionada por las condiciones contractuales entre estas organizaciones. Dado que la economía global dicta que la mayoría de estas organizaciones están distribuidas por todo el mundo, resulta práctico usar un estándar internacional de ISO para administrar el cumplimiento en toda la red.
Esta dependencia del cumplimiento normativo aumenta la importancia de la certificación en el estándar. Si bien no todas las empresas y organizaciones necesitan obtener dicha certificación, la mayoría se beneficiará de los socios y proveedores que la obtengan, especialmente cuando se trata de un procesamiento de datos delicado o de grandes volúmenes de datos.
¿Cómo se relaciona ISO/IEC 27701 con ISO/IEC 27001?
ISO/IEC 27701 se basa en ISO/IEC 27001, uno de los estándares internacionales más ampliamente adoptados para la gestión de la seguridad de la información. Si su organización ya está familiarizado con ISO/IEC 27001, es lógico y más eficaz integrar los nuevos controles de privacidad proporcionados por ISO/IEC 27701. Este enfoque significa que la implementación y la auditoría de ambos serán menos costosas y más fáciles de lograr. Puntos clave de ISO/IEC 27701 e ISO/IEC 27001:
- ISO/IEC 27001 es una de las normas ISO más utilizadas en el mundo, con muchas empresas ya certificadas para ello.
- ISO/IEC 27701 incluye nuevos controles específicos del controlador y del procesador que ayudan a salvar la brecha entre privacidad y seguridad. Proporciona un punto de integración entre lo que puede ser dos funciones independientes en las organizaciones.
- La privacidad depende de la seguridad. Del mismo modo, ISO/IEC 27701 depende de ISO/IEC 27001 para la administración de seguridad. La certificación para ISO/IEC 27701 debe obtenerse como una extensión de una certificación ISO/IEC 27001 y no se puede obtener de forma independiente.
¿Qué debe hacer su organización con ISO/IEC 27701?
Independientemente del tamaño de su organización y de si es un controlador o un procesador, su organización debe considerar la posibilidad de buscar la certificación, ya sea para su propia organización, o solicitarla a proveedores o proveedores en función de sus requisitos empresariales. Esta situación se aplica especialmente a los procesadores, subprocesadores y coadministradores que procesan volúmenes elevados o confidenciales de datos personales. Su organización debe evaluar sus necesidades empresariales para determinar si la certificación de sus propios productos y servicios es adecuada.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Recursos
- ISO/IEC 27701:2019 (disponible para su compra)
- Vídeo introductorio de ISO/IEC 27701
- Marco de cumplimiento del centro de controles comunes de Microsoft
- Directivas de acceso a datos para servicios técnicos y de nube empresarial de Microsoft
- Términos de Microsoft Online Services
- Nube de Microsoft para la Administración Pública
- Cumplimiento normativo en el Centro de confianza de Microsoft
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de