Número de cláusula Título Observaciones Guía de implementación de la protección de la nube de la nube pública

específica del sector.

Las políticas de seguridad de la información deben complementarse con una declaración sobre el
Aspectos de seguridad de la No se proporciona orientación
información en la gestión de adicional de implementación soporte y el compromiso para lograr el cumplimiento de la legislación de protección de IIP
la continuidad del negocio específica del sector u otra aplicable y los términos contractuales acordados entre el procesador de IIP de nube pública y sus
17 información. clientes (clientes del servicio de nube).
Conformidad Se proporciona una guía de
Los acuerdos contractuales deben asignar claramente responsabilidades entre el procesador de IIP
implementación específica
de la nube pública, sus subcontratistas y el cliente del servicio en la nube, teniendo en cuenta el
para cada sector, junto con
una referencia cruzada a los tipo de servicio en la nube en cuestión (p. Ej., Un servicio de una categoría IaaS, PaaS o SaaS de la
18 controles en el Anexo A. referencia de computación en la nube). arquitectura). Por ejemplo, la asignación de
responsabilidad para los controles de la capa de aplicación puede diferir dependiendo de si el
procesador IIP de la nube pública está proporcionando un servicio SaaS o, más bien, está
4.2 Categorías de control proporcionando un servicio PaaS o IaaS en el que el cliente del servicio en la nube puede crear o
En línea con ISO / IEC 27002, cada categoría de control principal contiene: crear sus propias aplicaciones.

a) un objetivo de control que indica lo que se debe lograr; y Otra información para la protección de la nube pública IIP

b) uno o más controles que pueden aplicarse para lograr el objetivo de control. En algunas jurisdicciones, el procesador de IIP de nube pública está sujeto directamente a la
legislación de protección de IIP. En otros, la legislación de protección de IIP puede aplicarse solo al
Las descripciones de los controles se estructuran de la siguiente manera: controlador de IIP.
Control El contrato entre el cliente del servicio en la nube y el procesador de la IIP en la nube pública
proporciona un mecanismo para garantizar que el procesador de la IIP de la nube pública esté
Define la declaración de control específica para satisfacer el objetivo de control.
obligado a admitir y administrar el cumplimiento. El contrato puede exigir el cumplimiento
Guía de implementación de la protección de la nube de la nube pública auditado de forma independiente, aceptable para el cliente del servicio en la nube, por ejemplo. a
través de la implementación de los controles relevantes en este documento y en ISO / IEC 27002.
Proporciona información más detallada para respaldar la implementación del control y cumplir
con los objetivos de control. La guía puede no ser del todo adecuada o suficiente en todas las 5.1.2 Revisión de las políticas de seguridad de la información.
situaciones, y puede no cumplir con los requisitos de control específicos de la organización. Por lo
Se aplican el control 5.1.2 y la guía de implementación asociada especificada en ISO / IEC 27002.
tanto, pueden ser apropiados controles alternativos o adicionales, u otras formas de tratamiento
de riesgo (evitar, transferir o aceptar riesgos). 6 Organización de la seguridad de la información
Otra información para la protección de la nube pública IIP 6.1 Organización interna
Proporciona información adicional que puede ser necesaria, como consideraciones legales y Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 6.1.
referencias a otras normas.
6.1.1 Funciones y responsabilidades de seguridad de la información
5 Políticas de seguridad de la información.
Se aplican el control 6.1.1 y la guía de implementación asociada y otra información especificada en
5.1 Dirección de gestión para la seguridad de la información. ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 5.1. Guía de implementación de la protección de la nube de la nube pública
5.1.1 Políticas para la seguridad de la información. El procesador de IIP de la nube pública debe designar un punto de contacto para que lo utilice el
cliente del servicio en la nube con respecto al procesamiento de la IIP en virtud del contrato.
Se aplican el control 5.1.1 y la guía de implementación asociada y otra información especificada en
ISO / IEC 27002. La siguiente guía específica para el sector también se aplica. 6.1.2 Segregación de deberes

Se aplican el control 6.1.2 y la guía de implementación asociada y otra información especificada en

ISO / IEC 27002.

contrato entre el procesador de IIP de la nube pública y el cliente del servicio en la nube debería
ayudar a establecer una base para las sanciones contractuales por el incumplimiento de las
6.1.3 Contacto con las autoridades
normas y procedimientos de seguridad.
Se aplican el control 6.1.3 y la guía de implementación asociada y otra información especificada en
7.2.3 Proceso disciplinario
ISO / IEC 27002.
Se aplican el control 7.2.3 y la guía de implementación asociada y otra información especificada en
6.1.4 Contacto con grupos de interés especial
ISO / IEC 27002.
Se aplican el Control 6.1.4 y la guía de implementación asociada y otra información especificada en
7.3 Terminación y cambio de empleo
ISO / IEC 27002
Se aplican el objetivo especificado en, y los contenidos de, ISO / IEC 27002: 2013, 7.3.
6.1.5 Seguridad de la información en la gestión de proyectos
8 Gestión de activos
Se aplican el control 6.1.5 y la guía de implementación asociada especificada en ISO / IEC 27002.
Se aplican los objetivos especificados en, y el contenido de, ISO / IEC 27002: 2013, Cláusula 8.
6.2 Dispositivos móviles y teletrabajo
9 control de acceso
Se aplican el objetivo especificado en, y los contenidos de, ISO / IEC 27002: 2013, 6.2.
9.1 Requisitos comerciales de control de acceso
7 Seguridad de los recursos humanos
Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 9.1.
7.1 Antes del empleo
9.2 Gestión de acceso de usuarios
Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 7.1.
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 9.2. La siguiente guía específica del
7.2 Durante el empleo
sector también se aplica a la implementación de todos los controles en esta subcláusula.
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 7.2.
Guía de implementación de la protección de la nube de la nube pública
7.2.1 Responsabilidades de gestión
En el contexto de las categorías de servicio de la arquitectura de referencia de la computación en
Se aplican el control 7.2.1 y la guía de implementación asociada y otra información especificada en la nube, el cliente del servicio en la nube puede ser responsable de algunos o todos los aspectos
ISO / IEC 27002. de la administración de acceso para los usuarios del servicio en la nube bajo su control. Cuando
sea apropiado, el procesador de IIP de la nube pública debe permitir que el cliente del servicio de
7.2.2 Sensibilización, educación y formación en seguridad de la información la nube administre el acceso de los usuarios del servicio de la nube bajo el control del cliente del
Se aplican el control 7.2.2 y la guía de implementación asociada y otra información especificada en servicio de la nube, por ejemplo, al otorgar derechos administrativos para administrar o cancelar
ISO / IEC 27002. La siguiente guía específica para el sector también se aplica. el acceso.

Guía de implementación de la protección de la nube de la nube pública 9.2.1 Registro de usuario y anulación de registro

Deben establecerse medidas para que el personal relevante esté al tanto de las posibles Se aplican el control 9.2.1 y la guía de implementación asociada y otra información especificada en
consecuencias en el procesador de la IIP de la nube pública (por ejemplo, consecuencias legales, ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.
pérdida de negocios y daños a la marca o la reputación), al miembro del personal (por ejemplo, las Guía de implementación de la protección de la nube de la nube pública
consecuencias disciplinarias) y al director de la IIP. (por ejemplo, consecuencias físicas, materiales
y emocionales) de violar las reglas y procedimientos de privacidad o seguridad, especialmente Los procedimientos para el registro y la cancelación del registro del usuario deben abordar la
aquellos que abordan el manejo de la IIP. situación en la que el control de acceso del usuario se ve comprometido, como la corrupción o el
compromiso de las contraseñas u otros datos de registro del usuario (por ejemplo, como resultado
Otra información para la protección de la nube pública IIP de una divulgación inadvertida).
En algunas jurisdicciones, el procesador de IIP de nube pública puede estar sujeto a sanciones NOTA Las jurisdicciones individuales pueden imponer requisitos específicos con respecto a la
legales, incluidas multas importantes directamente de la autoridad de protección de IIP local. En frecuencia de las comprobaciones para las credenciales de autenticación no utilizadas. Es
otras jurisdicciones, el uso de estándares internacionales como este documento para establecer el
responsabilidad de las organizaciones que operan en estas jurisdicciones garantizar que cumplan Cuando sea necesario, el procesador de IIP de la nube pública debe proporcionar procedimientos
con estos requisitos. de inicio de sesión seguros para cualquier

9.2.2 Aprovisionamiento de acceso de usuario Cuentas solicitadas por el cliente del servicio en la nube para los usuarios del servicio en la nube
bajo su control.
Se aplican el control 9.2.2 y la guía de implementación asociada y otra información especificada en
ISO / IEC 27002. 9.4.3 Sistema de gestión de contraseñas

9.2.3 Gestión de derechos de acceso privilegiados Se aplican el control 9.4.3 y la guía de implementación asociada y otra información especificada en
ISO / IEC 27002.
Se aplican el control 9.2.3 y la guía de implementación asociada y otra información especificada en
ISO / IEC 27002. 9.4.4 Uso de programas de utilidad privilegiados

9.2.4 Gestión de la información de autenticación secreta de los usuarios Control 9.4.4 and the associated implementation guidance and other information specified in ISO/
IEC 27002 apply
Se aplican el control 9.2.4 y la guía de implementación asociada y otra información especificada en
ISO / IEC 27002. 9.4.5 Control de acceso al código fuente del programa

9.2.5 Revisión de los derechos de acceso de los usuarios. Se aplican el control 9.4.5 y la guía de implementación asociada y otra información especificada en
ISO / IEC 27002.
Se aplican el control 9.2.5 y la guía de implementación asociada y otra información especificada en
ISO / IEC 27002. 10 Criptografía

9.2.6 Eliminación o ajuste de los derechos de acceso 10.1 Controles criptográficos

Se aplican el control 9.2.6 y la guía de implementación asociada y otra información especificada en Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 10.1.
ISO / IEC 27002.
10.1.1 Política sobre el uso de controles criptográficos
9.3 Responsabilidades del usuario
Se aplican el control 10.1.1 y la guía de implementación asociada y otra información especificada
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 9.3 en ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.

9.3.1 Uso de información de autenticación secreta Guía de implementación de la protección de la nube de la nube pública

Se aplican el control 9.3.1 y la guía de implementación asociada especificada en ISO / IEC 27002. El procesador de IIP de la nube pública debe proporcionar información al cliente del servicio en la
nube con respecto a las circunstancias en las que utiliza la criptografía para proteger la IIP que
9.4 Control de acceso a la aplicación y al sistema.
procesa. El procesador de IIP de la nube pública también debe proporcionar información al cliente
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 9.4. del servicio en la nube sobre cualquier capacidad que proporcione que pueda ayudar al cliente del
servicio en la nube a aplicar su propia protección criptográfica.
9.4.1 Restricción de acceso a la información
NOTA En algunas jurisdicciones, se puede requerir que aplique la criptografía para proteger tipos
Se aplican el control 9.4.1 y la guía de implementación asociada especificada en ISO / IEC 27002. particulares de IIP, como los datos de salud relativos al director de IIP, los números de registro de
residentes, los números de pasaporte y los números de licencia de conducir.
NOTA Los controles y guías adicionales relevantes para la restricción de acceso a la información se
pueden encontrar en A.10.13. 10.1.2 Gestión de claves
9.4.2 Procedimientos seguros de inicio de sesión Se aplican el control 10.1.2 y la guía de implementación asociada y otra información especificada
en ISO / IEC 27002.
Se aplican el control 9.4.2 y la guía de implementación asociada y otra información especificada en
ISO / IEC 27002. La siguiente guía específica para el sector también se aplica. 11 Seguridad física y ambiental
Guía de implementación de la protección de la nube de la nube pública 11.1 Áreas seguras

Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 11.1.

11.2 Equipamiento 12 operaciones de seguridad

Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 11.2. 12.1 Procedimientos operacionales y responsabilidades

11.2.1 Ubicación y protección del equipo Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 12.1.

Se aplican el control 11.2.1 y la guía de implementación asociada especificada en ISO / IEC 27002. 12.1.1 Procedimientos operativos documentados

11.2.2 Utilidades de apoyo Se aplican el control 12.1.1 y la guía de implementación asociada especificada en ISO / IEC 27002.

Se aplican el control 11.2.2 y la guía de implementación asociada y otra información especificada 12.1.2 Gestión del cambio
en ISO / IEC 27002.
Se aplican el control 12.1.2 y la guía de implementación asociada y otra información especificada
11.2.3 Seguridad de cableado en ISO / IEC 27002.

Se aplican el control 11.2.3 y la guía de implementación asociada especificada en ISO / IEC 27002. 12.1.3 Gestión de capacidad

11.2.4 Mantenimiento de equipo Se aplican el control 12.1.3 y la guía de implementación asociada y otra información especificada
en ISO / IEC 27002.
Se aplican el control 11.2.4 y la guía de implementación asociada especificada en ISO / IEC 27002.
12.1.4 Separación de entornos de desarrollo, pruebas y operacionales.
11.2.5 Retiro de activos
Se aplican el control 12.1.4 y la guía de implementación asociada y otra información especificada
Se aplican el control 11.2.5 y la guía de implementación asociada y otra información especificada
en ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.
en ISO / IEC 27002.
Guía de implementación de la protección de la nube de la nube pública
11.2.6 Seguridad de equipos y activos fuera de las instalaciones
Cuando no se pueda evitar el uso de la IIP con fines de prueba, se debe realizar una evaluación de
Se aplican el control 11.2.6 y la guía de implementación asociada y otra información especificada
riesgos. Se deben implementar medidas técnicas y organizativas para minimizar los riesgos
en ISO / IEC 27002.
identificados.
11.2.7 Desecho seguro o reutilización de equipos
12.2 Protección contra malware
Se aplican el control 11.2.7 y la guía de implementación asociada y otra información especificada
Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 12.2.
en ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.
12.3 Copia de seguridad
Guía de implementación de la protección de la nube de la nube pública
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 12.3.
Para fines de eliminación segura o reutilización, el equipo que contenga medios de
almacenamiento que posiblemente contengan IIP debe tratarse como si lo hiciera. 12.3.1 Copia de seguridad de la información
NOTA En la sección A.10.13 se encuentran controles y guías adicionales relevantes para la eliminación Se aplican el control 12.3.1 y la guía de implementación asociada especificada en ISO / IEC 27002.
segura o la reutilización del equipo. La siguiente guía específica para el sector también se aplica.
11.2.8 Equipo de usuario desatendido Guía de implementación de la protección de la nube de la nube pública
Se aplican el control 11.2.8 y la guía de implementación asociada especificada en ISO / IEC 27002. Los sistemas de procesamiento de información basados en el modelo de computación en la nube
11.2.9 Limpia el escritorio y limpia la política de pantalla introducen mecanismos adicionales o alternativos a las copias de seguridad fuera del sitio para
proteger contra la pérdida de datos, garantizar la continuidad de las operaciones de
Se aplican el control 11.2.9 y la guía de implementación asociada y otra información especificada procesamiento de datos y brindar la capacidad de restaurar las operaciones de procesamiento de
en ISO / IEC 27002. datos después de un evento perturbador. Se deben crear o mantener múltiples copias de datos en
ubicaciones físicas y / o lógicamente diversas (que pueden estar dentro del propio sistema de
procesamiento de información) para fines de copia de seguridad y / o recuperación.
Las responsabilidades específicas de IIP a este respecto pueden recaer en el cliente del servicio en Donde sea posible, los registros de eventos deben registrar si la IIP ha sido modificada (agregada,
la nube. Cuando el procesador de IIP de la nube pública proporciona explícitamente servicios de modificada o eliminada) como resultado de un evento y por quién. Cuando varios proveedores de
copia de seguridad y restauración al cliente del servicio en la nube, el procesador de la IIP de la servicios participan en la provisión de servicios desde diferentes categorías de servicios de la
nube pública debe proporcionar información clara al cliente del servicio en la nube sobre las arquitectura de referencia de la computación en la nube, puede haber roles variados o
capacidades del servicio en la nube con respecto a la copia de seguridad y la restauración del compartidos en la implementación de esta guía.
cliente del servicio en la nube. datos.
El procesador de IIP de la nube pública debe definir los criterios con respecto a si el cliente del
NOTA 1: Algunas jurisdicciones pueden imponer requisitos específicos con respecto a la frecuencia de las servicio en la nube puede hacer disponible o utilizable la información de registro. Estos
copias de seguridad. Es responsabilidad de las organizaciones que operan en estas jurisdicciones garantizar procedimientos deben estar disponibles para el cliente del servicio en la nube.
que cumplan con estos requisitos.
Cuando a un cliente del servicio en la nube se le permite acceder a los registros de registro
Se deben establecer procedimientos para permitir la restauración de las operaciones de controlados por el procesador de IIP de la nube pública, el procesador de la IIP de la nube pública
procesamiento de datos dentro de un período específico y documentado después de un evento debe garantizar que el cliente del servicio en la nube solo puede acceder a los registros
perturbador. relacionados con las actividades de ese cliente de la nube y no puede acceder a ningún registro.
Los procedimientos de respaldo y recuperación deben revisarse a una frecuencia específica y que se relacionan con las actividades de otros clientes del servicio en la nube.
documentada. 12.4.2 Protección de la información de registro
NOTA 2: Algunas jurisdicciones pueden imponer requisitos específicos con respecto a la frecuencia de las Se aplican el control 12.4.2 y la guía de implementación asociada y otra información especificada
revisiones de los procedimientos de respaldo y recuperación. Es responsabilidad de las organizaciones que
en ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.
operan en estas jurisdicciones garantizar que cumplan con estos requisitos.
Guía de implementación específica de la protección de la nube pública IIP
El uso de subcontratistas para almacenar copias replicadas o de copia de seguridad de los datos
que se procesan está cubierto por los controles en este documento que se aplican al La información de registro registrada para fines como el monitoreo de seguridad y los diagnósticos
procesamiento de IIP subcontratados. Cuando se realizan transferencias de medios físicos, esto operativos puede contener IIP. Deben establecerse medidas, como controlar el acceso (ver 9.2.3),
también está cubierto por los controles en este documento. para garantizar que la información registrada solo se use para los fines previstos.
El uso de subcontratistas para almacenar copias replicadas o de copia de seguridad de los datos Debe establecerse un procedimiento, preferiblemente automático, para garantizar que la
que se procesan está cubierto por los controles en este documento que se aplican al información registrada se elimine dentro de un período especificado y documentado.
procesamiento de IIP subcontratados. Cuando se realizan transferencias de medios físicos, esto
también está cubierto por los controles en este documento. 12.4.3 Registros de administrador y operador

El procesador de IIP de la nube pública debe tener una política que aborde los requisitos para la Se aplican el control 12.4.3 y la guía de implementación asociada y otra información especificada
copia de seguridad de la información y cualquier otro requisito (por ejemplo, requisitos en ISO / IEC 27002.
contractuales y / o legales) para el borrado de la información de carácter personal contenida en la 12.4.4 Sincronización de reloj
información guardada con fines de copia de seguridad.
Se aplican el control 12.4.4 y la guía de implementación asociada y otra información especificada
12.4 Registro y seguimiento en ISO / IEC 27002.
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 12.4. 12.5 Control de software operativo
12.4.1 Registro de eventos Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 12.5.
Se aplican el control 12.4.1 y la guía de implementación asociada y otra información especificada 12.6 Gestión de vulnerabilidad técnica
en ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.
Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 12.6.
Guía de implementación de la protección de la nube de la nube pública
12.7 Consideraciones de auditoría de sistemas de información
Se debe establecer un proceso para revisar los registros de eventos con una periodicidad
específica y documentada, para identificar irregularidades y proponer esfuerzos de remediación. Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 12.7.

13 Seguridad de las comunicaciones 16 Gestión de incidentes de seguridad de la información

13.1 Gestión de seguridad de red 16.1 Gestión de incidencias y mejoras de seguridad de la información.

Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 13.1. Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 16.1. La siguiente guía específica del
sector también se aplica a la implementación de todos los controles en esta subcláusula.
13.2 Transferencia de información
Guía de implementación de la protección de la nube de la nube pública
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 13.2.
En el contexto de toda la arquitectura de referencia de la computación en la nube, puede haber
13.2.1 Políticas y procedimientos de transferencia de información
roles compartidos en la administración de incidentes de seguridad de la información y realizar
Se aplican el control 13.2.1 y la guía de implementación asociada y otra información especificada mejoras. Puede ser necesario que el procesador de IIP de la nube pública coopere con el cliente
en ISO / IEC 27002. La siguiente guía específica para el sector también se aplica. del servicio en la nube para implementar los controles en esta subcláusula.

Guía de implementación de la protección de la nube de la nube pública 16.1.1 Responsabilidades y procedimientos

Siempre que se utilicen medios físicos para la transferencia de información, se debe establecer un Se aplican el control 16.1.1 y la guía de implementación asociada y otra información especificada
sistema para registrar medios físicos entrantes y salientes que contengan IIP, incluido el tipo de en ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.
medio físico, el remitente / destinatario autorizado, la fecha y la hora, y la cantidad de medios
Guía de implementación de la protección de la nube de la nube pública
físicos. . Cuando sea posible, se debe pedir a los clientes del servicio en la nube que implementen
medidas adicionales (como el cifrado) para garantizar que solo se pueda acceder a los datos en el Un incidente de seguridad de la información debe desencadenar una revisión por parte del
punto de destino y no en ruta. procesador de IIP de la nube pública, como parte de su proceso de gestión de incidentes de
seguridad de la información, para determinar si se ha producido una violación de datos
13.2.2 Acuerdos de transferencia de información
relacionada con la IIP (ver A.9.1).
Se aplican el control 13.2.2 y la guía de implementación asociada y otra información especificada
Un evento de seguridad de la información no necesariamente debe desencadenar tal revisión. Un
en ISO / IEC 27002.
evento de seguridad de la información es uno que no da como resultado una probabilidad real o
13.2.3 Mensajería electrónica no autorizada de acceso no autorizado a la IIP o a cualquiera de los equipos o instalaciones del
procesador de IIP de la nube pública que almacenan la IIP, y puede incluir, sin limitación, pings y
Se aplican el control 13.2.3 y la guía de implementación asociada y otra información especificada otros ataques de difusión. en cortafuegos o servidores de borde, escaneos de puertos, intentos
en ISO / IEC 27002. fallidos de inicio de sesión, ataques de denegación de servicio y detección de paquetes.
13.2.4 Confidencialidad o acuerdos de no divulgación 16.1.2 Informe de eventos de seguridad de la información
Se aplican el control 13.2.4 y la guía de implementación asociada y otra información especificada Se aplican el control 16.1.2 y la guía de implementación asociada y otra información especificada
en ISO / IEC 27002. en ISO / IEC 27002.
NOTA Los controles y guías adicionales relevantes para los acuerdos de confidencialidad o no divulgación
16.1.3 Informe de debilidades de seguridad de la información
pueden encontrarse en A.10.1.
Se aplican el control 16.1.3 y la guía de implementación asociada y otra información especificada
14 Adquisición, desarrollo y mantenimiento de sistemas
en ISO / IEC 27002.
Se aplican los objetivos especificados en, y el contenido de, ISO / IEC 27002: 2013, Cláusula 14.
16.1.4 Evaluación y decisión sobre eventos de seguridad de la información
15 relaciones con proveedores
Se aplican el control 16.1.4 y la guía de implementación asociada especificada en ISO / IEC 27002.
Se aplican los objetivos especificados en, y el contenido de, ISO / IEC 27002: 2013, Cláusula 15.
16.1.5 Respuesta a incidentes de seguridad de la información
NOTA En ISO / IEC 27036-4 se proporciona información adicional sobre la gestión de la relación con el
proveedor. Se aplican el control 16.1.5 y la guía de implementación asociada y otra información especificada
en ISO / IEC 27002.
16.1.6 Aprender de incidentes de seguridad de la información Anexo A

Se aplican el control 16.1.6 y la guía de implementación asociada y otra información especificada (normativo)
en ISO / IEC 27002.
Conjunto de control extendido del procesador IIP de nube pública para la protección IIP
16.1.7 Recolección de evidencia
A.1 General
Se aplican el control 16.1.7 y la guía de implementación asociada y otra información especificada
Este anexo especifica los nuevos controles y la guía de implementación asociada que, en
en ISO / IEC 27002.
combinación con los controles aumentados y la guía en ISO / IEC 27002 (ver Cláusulas 5 a 18),
17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio conforman un conjunto de control extendido para cumplir con los requisitos de protección IIP que
se aplican a la nube pública Proveedores de servicios que actúan como procesadores de
Se aplican los objetivos especificados en, y el contenido de, ISO / IEC 27002: 2013, Cláusula 17.
información personal.
18 Cumplimiento
Estos controles adicionales se clasifican de acuerdo con los 11 principios de privacidad de ISO / IEC
18.1 Cumplimiento de los requisitos legales y contractuales 29100. En muchos casos, los controles se pueden clasificar bajo más de uno de los principios de
privacidad. En tales casos, se clasifican bajo el principio más relevante.
Se aplican el objetivo especificado en, y el contenido de, ISO / IEC 27002: 2013, 18.1.
A.2 Consentimiento y elección
NOTA Los controles y guías adicionales relevantes para el cumplimiento de los requisitos legales y
contractuales se pueden encontrar en A.11. A.2.1 Obligación de cooperar con respecto a los derechos de los directores de IIP
18.2 Revisiones de seguridad de la información Control
Se aplica el objetivo especificado en ISO / IEC 27002: 2013, 18.2. El procesador público de IIP en la nube debe proporcionar al cliente del servicio en la nube los
medios para que pueda cumplir con su obligación de facilitar el ejercicio de los derechos de los
18.2.1 Revisión independiente de la seguridad de la información
principales de IIP a acceder, corregir y / o borrar la IIP que les pertenece.
Se aplican el Control 18.2.1 y la guía de implementación asociada y otra información especificada
Guía de implementación de la protección de la nube de la nube pública
en ISO / IEC 27002. La siguiente guía específica para el sector también se aplica.
Las obligaciones del controlador de la IIP a este respecto pueden definirse por ley, por reglamento
Guía de implementación de la protección de la nube de la nube pública
o por contrato. Estas obligaciones pueden incluir asuntos en los que el cliente del servicio en la
En los casos en que las auditorías individuales de los clientes del servicio en la nube no sean nube utiliza los servicios del procesador de IIP de la nube pública para la implementación. Por
prácticas o puedan aumentar los riesgos para la seguridad (ver 0.1), el procesador público de la IIP ejemplo, esto puede incluir la corrección o eliminación de IIP de manera oportuna.
de la nube debe poner a disposición de los clientes potenciales del servicio en la nube, antes de
Cuando el controlador de IIP dependa del procesador de IIP de la nube pública para obtener
celebrar un contrato, y por la duración de este, independiente evidencia de que la seguridad de la
información o medidas técnicas que faciliten el ejercicio de los derechos de los directores de IIP, la
información se implementa y opera de acuerdo con las políticas y procedimientos del procesador
información relevante o las medidas técnicas deben especificarse en el contrato.
de IIP de la nube pública. Una auditoría independiente relevante, seleccionada por el procesador
de IIP de la nube pública, normalmente debería ser un método aceptable para satisfacer el interés A.3 Finalidad de legitimidad y especificación
del cliente del servicio en la nube de revisar las operaciones de procesamiento del procesador de
la IIP de la nube pública, siempre que se proporcione suficiente transparencia. A.3.1 Propósito del procesador de IIP de nube pública

18.2.2 Cumplimiento de las políticas y estándares de seguridad. Control

Se aplican el Control 18.2.2 y la guía de implementación asociada y otra información especificada La IIP que debe procesarse en virtud de un contrato no debe procesarse con ningún fin,
en ISO / IEC 27002. independientemente de las instrucciones del cliente del servicio en la nube.

18.2.3 Revisión de cumplimiento técnico Guía de implementación de la protección de la nube de la nube pública

Se aplican el Control 18.2.3 y la guía de implementación asociada y otra información especificada Las instrucciones pueden estar contenidas en el contrato entre el procesador de IIP de la nube
en ISO / IEC 27002. pública y el cliente del servicio en la nube, por ejemplo, El objetivo y el marco temporal que debe
alcanzar el servicio.

Para lograr el propósito del cliente del servicio en la nube, puede haber razones técnicas por las cual estos archivos permanecen en uso no siempre es determinista, pero un procedimiento de
que es apropiado que un procesador público de IIP en la nube determine el método para procesar "recolección de basura" debe identificar los archivos relevantes y determinar cuánto tiempo ha
la IIP, de acuerdo con las instrucciones generales del cliente del servicio en la nube pero sin el pasado desde que se usaron por última vez.
servicio expreso del cliente en la nube. instrucción. Por ejemplo, para utilizar eficientemente la red
Los sistemas de información de procesamiento de IIP deben implementar una verificación
o la capacidad de procesamiento, puede ser necesario asignar recursos de procesamiento
periódica de que los archivos temporales no utilizados por encima de una antigüedad específica se
específicos en función de ciertas características del principal de la IIP. En las circunstancias en las
eliminan.
que la determinación del método de procesamiento del IIP de la nube pública implica la
recopilación y el uso de la IIP, el procesador de la IIP de la nube pública debe respetar los A.6 Limitación de uso, retención y divulgación
principios de privacidad relevantes establecidos en ISO / IEC 29100.
A.6.1 Notificación de divulgación de IIP
El procesador de la IIP de la nube pública debe proporcionar al cliente del servicio de la nube toda
la información relevante, de manera oportuna, para permitirle al cliente del servicio de la nube Control
garantizar que el procesador de la IIP de la nube pública cumpla con los principios de limitación y El contrato entre el procesador de la IIP de la nube pública y el cliente del servicio en la nube debe
especificación del propósito y garantizar que no se procesa la IIP Procesador IIP de la nube pública exigir que el procesador de la IIP de la nube pública notifique al cliente del servicio de la nube, de
o cualquiera de sus subcontratistas para otros fines, independientemente de las instrucciones del acuerdo con cualquier procedimiento y período de tiempo acordado en el contrato, cualquier
cliente del servicio en la nube. solicitud legalmente vinculante de divulgación de la IIP realizada por una autoridad de aplicación
A.3.2 Uso comercial de la nube pública Procesador IIP de la ley, a menos que tal divulgación esté prohibida de otra manera.

Control Guía de implementación de la protección de la nube de la nube pública

La IIP procesada bajo un contrato no debe ser utilizada por el procesador de IIP de la nube pública El procesador de IIP de nube pública debe proporcionar garantías contractuales de que:
para fines de marketing y publicidad sin el consentimiento expreso. Dicho consentimiento no debe - rechazar cualquier solicitud de divulgación de IIP que no sea legalmente vinculante;
ser una condición para recibir el servicio. - consulte con el cliente del servicio en la nube correspondiente cuando esté legalmente
NOTA Este control es una adición al control más general en A.3.1 y no lo reemplaza ni lo permitido antes de hacer cualquier divulgación de IIP; y
reemplaza. - acepte cualquier solicitud acordada por el contrato para las revelaciones de IIP autorizadas
por el cliente del servicio en la nube correspondiente.
A.4 Limitación de cobro
EJEMPLO Una posible prohibición de divulgación sería una prohibición en virtud del derecho penal
Ningún control adicional es relevante para este principio de privacidad. para preservar la confidencialidad de una investigación policial.
A.5 Minimización de datos A.6.2 Grabación de revelaciones de IIP
A.5.1 Borrado seguro de archivos temporales Control
Control Se deben registrar las divulgaciones de IIP a terceros, incluida la IIP que se ha divulgado, a quién y
en qué momento.
Los archivos y documentos temporales deben borrarse o destruirse dentro de un período
especificado y documentado. Guía de implementación de la protección de la nube de la nube pública
Guía de implementación de la protección de la nube de la nube pública La IIP puede ser revelada durante el curso de las operaciones normales. Estas revelaciones deben
ser registradas (ver 12.4.1). También se debe registrar cualquier divulgación adicional a terceros,
La guía de implementación sobre el borrado de IIP se proporciona en A.10.3.
como las derivadas de investigaciones legales o auditorías externas. Los registros deben incluir la
Los sistemas de información pueden crear archivos temporales en el curso normal de su fuente de la divulgación y la fuente de la autoridad para hacer la divulgación.
operación. Dichos archivos son específicos del sistema o la aplicación, pero pueden incluir diarios
A.7 precisión y calidad
de recuperación del sistema de archivos y archivos temporales asociados con la actualización de
las bases de datos y el funcionamiento de otro software de aplicación. Los archivos temporales no Ningún control adicional es relevante para este principio de privacidad.
son necesarios después de que la tarea de procesamiento de información relacionada se haya
completado, pero existen circunstancias en las que no se pueden eliminar. El tiempo durante el A.8 Apertura, transparencia y aviso
A.8.1 Divulgación del procesamiento de IIP subcontratado componentes del sistema de los que son responsables. El contrato también debe definir el retraso
máximo en la notificación de una violación de datos relacionada con la IIP.
Control
En el caso de que se haya producido una violación de datos relacionada con la IIP, se debe
El uso de subcontratistas por parte del procesador de IIP de la nube pública para procesar la IIP se
mantener un registro con una descripción del incidente, el período de tiempo, las consecuencias
debe divulgar a los clientes relevantes del servicio en la nube antes de su uso.
del incidente, el nombre del informador a quien se informó el incidente, los pasos tomados. para
Guía de implementación de la protección de la nube de la nube pública resolver el incidente (incluida la persona a cargo y los datos recuperados) y el hecho de que el
incidente resultó en la pérdida, divulgación o alteración de la IIP.
Las disposiciones para el uso de subcontratistas para procesar IIP deben ser transparentes en el
contrato entre el procesador de IIP de nube pública y el cliente del servicio de nube. El contrato En el caso de que haya ocurrido una violación de datos que involucre IIP, el registro también debe
debe especificar que los subcontratistas solo pueden ser comisionados sobre la base de un incluir una descripción de los datos comprometidos, si se conoce; y si se realizaron notificaciones,
consentimiento que generalmente puede ser dado por el cliente del servicio en la nube al los pasos tomados para notificar al cliente del servicio en la nube y / o las agencias reguladoras.
comienzo del servicio. El procesador de IIP de la nube pública debe informar al cliente del servicio
En algunas jurisdicciones, la legislación o las regulaciones relevantes pueden exigir que el
en la nube de manera oportuna sobre cualquier cambio que se intente a este respecto, de modo
procesador de IIP de la nube pública notifique directamente a las autoridades reguladoras
que el cliente del servicio en la nube pueda objetar dichos cambios o rescindir el contrato.
apropiadas (por ejemplo, una autoridad de protección de IIP) de una violación de datos
La información divulgada debe cubrir el hecho de que se utiliza la subcontratación y los nombres relacionada con IIP.
de los subcontratistas relevantes, pero no los detalles específicos de la empresa. La información
NOTA Puede haber otras infracciones que requieran notificación que no estén cubiertas aquí, por ejemplo:
divulgada también debe incluir los países en los que los subcontratistas pueden procesar datos recolección sin consentimiento u otra autorización, uso para fines no autorizados, etc.
(ver A.12.1) y los medios por los cuales los subcontratistas están obligados a cumplir o superar las
obligaciones del procesador de IIP de nube pública (ver A.11.12). A.10.2 Período de retención para políticas y pautas de seguridad administrativa

Cuando se evalúa la divulgación pública de la información del subcontratista para aumentar el Control
riesgo de seguridad más allá de los límites aceptables, la divulgación debe realizarse en virtud de Las copias de las políticas de seguridad y los procedimientos operativos deben conservarse
un acuerdo de no divulgación y / o a petición del cliente del servicio en la nube. El cliente del durante un período específico y documentado de reemplazo (incluida la actualización).
servicio en la nube debe saber que la información está disponible.
Guía de implementación de la protección de la nube de la nube pública
A.9 Participación individual y acceso
Se puede requerir una revisión de las políticas y procedimientos actuales e históricos, por ejemplo,
Ningún control adicional es relevante para este principio de privacidad. en los casos de resolución de conflictos de clientes e investigación por una autoridad de
A.10 Responsabilidad protección de IIP. Se recomienda un período de retención mínimo de cinco años en ausencia de un
requisito legal o contractual específico.
A.10.1 Notificación de una violación de datos relacionada con IIP
A.10.3 Devolución, transferencia y disposición de la información de identificación personal
Control
Control
El procesador de IIP de la nube pública debe notificar de inmediato al cliente del servicio en la
nube relevante en caso de que se produzca un acceso no autorizado a la IIP o un acceso no El procesador de IIP de la nube pública debe tener una política con respecto a la devolución,
autorizado al equipo de procesamiento o a las instalaciones que provoque la pérdida, divulgación transferencia y / o eliminación de la IIP y debe poner esta política a disposición del cliente del
o alteración de la IIP. servicio en la nube.

Guía de implementación de la protección de la nube de la nube pública Guía de implementación de la protección de la nube de la nube pública

Las disposiciones que cubren la notificación de una violación de datos relacionada con la IIP deben En algún momento, la IIP puede necesitar ser eliminada de alguna manera. Esto puede implicar
formar parte del contrato entre el procesador de IIP de la nube pública y el cliente del servicio en devolver la IIP al cliente del servicio en la nube, transferirla a otro procesador de la IIP de la nube
la nube. El contrato debe especificar cómo el procesador de IIP de la nube pública proporcionará la pública o a un controlador de la IIP (por ejemplo, como resultado de una fusión), eliminarla o
información necesaria para que el cliente del servicio en la nube cumpla con su obligación de destruirla de forma segura, anonimándola o archivándola.
notificar a las autoridades relevantes. Esta obligación de notificación no se extiende a una
violación de datos causada por el cliente del servicio en la nube o el principal de IIP o dentro de los

El procesador de IIP de la nube pública debe proporcionar la información necesaria para permitir NOTA El control anterior hace genérico el siguiente requisito que se aplica en ciertas jurisdicciones legales.
que el cliente del servicio en la nube se asegure de que la IIP procesada en virtud de un contrato
El registro de los esfuerzos de restauración de datos debe contener: la persona responsable, una descripción
sea borrada (por el procesador de la IIP de la nube pública y cualquiera de sus subcontratistas) de de los datos restaurados y los datos que se restauraron manualmente
donde sea que estén almacenados, incluso para el fines de copia de seguridad y continuidad del
negocio, tan pronto como ya no sean necesarios para los fines específicos del cliente del servicio A.11.4 Protección de datos en medios de almacenamiento que salen de las instalaciones
en la nube. La naturaleza de los mecanismos de disposición (desvinculación, sobrescritura,
Control
desmagnetización, destrucción u otras formas de borrado) y / o las normas comerciales aplicables
deben proporcionarse por contrato. La IIP en los medios que abandonan las instalaciones de la organización debe estar sujeta a un
procedimiento de autorización y no debe ser accesible a nadie más que al personal autorizado
El procesador de IIP de la nube pública debe desarrollar e implementar una política con respecto a
(por ejemplo, cifrando los datos en cuestión).
la disposición de la IIP y debe poner esta política a disposición del cliente del servicio en la nube.
A.11.5 Uso de medios y dispositivos de almacenamiento portátiles sin cifrar
La política debe cubrir el período de retención de la IIP antes de su destrucción después de la
terminación de un contrato, para proteger al cliente del servicio en la nube de la pérdida de la IIP a Control
través de un lapso accidental del contrato.
Los medios físicos portátiles y los dispositivos portátiles que no permiten el cifrado no se deben
NOTA Este control y guía también son relevantes bajo el elemento de retención del principio de "Limitación usar, excepto cuando sea inevitable, y se debe documentar cualquier uso de dichos medios y
de uso, retención y divulgación" (ver A.6). dispositivos portátiles.
A.11 Seguridad de la información A.11.6 Cifrado de IIP transmitido a través de redes públicas de transmisión de datos
A.11.1 Confidencialidad o acuerdos de no divulgación Control
Control La IIP que se transmite a través de redes públicas de transmisión de datos debe cifrarse antes de la
transmisión.
Las personas bajo el control del procesador de IIP de la nube pública con acceso a la IIP deben
estar sujetos a una obligación de confidencialidad. Guía de implementación de la protección de la nube de la nube pública
Guía de implementación de la protección de la nube de la nube pública En algunos casos, por ej. Para el intercambio de correo electrónico, las características inherentes
de los sistemas de redes públicas de transmisión de datos pueden requerir que algunos datos de
Un acuerdo de confidencialidad, en cualquier forma, entre el procesador de IIP de la nube pública,
cabecera o de tráfico estén expuestos para una transmisión efectiva.
sus empleados y sus agentes debe garantizar que los empleados y los agentes no revelen la IIP con
fines independientes de las instrucciones del cliente del servicio en la nube (consulte A.3.1). Las Cuando varios proveedores de servicios participan en la provisión de servicios desde diferentes
obligaciones del acuerdo de confidencialidad deben sobrevivir a la terminación de cualquier categorías de servicios de la arquitectura de referencia de la computación en la nube, puede haber
contrato relevante. roles variados o compartidos en la implementación de esta guía.
A.11.2 Restricción de la creación de material impreso A.11.7 Eliminación segura de materiales impresos (Secure disposal of hardcopy materials)
Control Control
La creación de material impreso que muestre IIP debe estar restringida. Donde se destruyen los materiales impresos, deben destruirse de manera segura utilizando
mecanismos tales como corte transversal, trituración, incineración, despulpado, etc.
Guía de implementación de la protección de la nube de la nube pública
A.11.8 Uso único de ID de usuario
El material impreso (Hardcopy material) incluye material creado por impresión.
Control
A.11.3 Control y registro de restauración de datos
Si más de un individuo tiene acceso a la IIP almacenada, cada uno debe tener una identificación de
Control
usuario distinta para fines de identificación, autenticación y autorización.
Debe haber un procedimiento y un registro de los esfuerzos de restauración de datos.
A.11.9 Registros de usuarios autorizados
Guía de implementación de la protección de la nube de la nube pública
Control A.11.12 Procesamiento IIP subcontratado

Se debe mantener un registro actualizado de los usuarios o perfiles de usuarios que tienen acceso Control
autorizado al sistema de información.
Los contratos entre el procesador de IIP de la nube pública y cualquier subcontratista que procese
Guía de implementación de la protección de la nube de la nube pública la IIP deben especificar medidas técnicas y organizativas mínimas que cumplan con las
obligaciones de seguridad de la información y protección de la IIP del procesador de la IIP de la
Se debe mantener un perfil de usuario para todos los usuarios cuyo acceso esté autorizado por el
nube pública. Tales medidas no deben estar sujetas a una reducción unilateral por parte del
procesador de IIP de nube pública. El perfil de un usuario comprende el conjunto de datos sobre
subcontratista.
ese usuario, incluida la identificación del usuario, necesarios para implementar los controles
técnicos que proporcionan acceso autorizado al sistema de información. Guía de implementación de la protección de la nube de la nube pública

A.11.10 Gestión de ID de usuario El uso de subcontratistas para almacenar copias de respaldo está cubierto por este control (ver
A.8.1).
Control
A.11.13 Acceso a los datos en el espacio de almacenamiento de datos pre-utilizado
Los ID de usuario desactivados o vencidos no se deben otorgar a otras personas.
Control
Guía de implementación de la protección de la nube de la nube pública
El procesador de IIP de la nube pública debe garantizar que cada vez que el espacio de
En el contexto de toda la arquitectura de referencia de la computación en la nube, el cliente del
almacenamiento de datos se asigna a un cliente del servicio en la nube, cualquier información que
servicio en la nube puede ser responsable de algunos o todos los aspectos de la administración de
residía anteriormente en ese espacio de almacenamiento no es visible para ese cliente de servicio
ID de usuario para los usuarios del servicio en la nube bajo su control.
en la nube.
A.11.11 Medidas contractuales
Guía de implementación de la protección de la nube de la nube pública
Control
Al ser eliminado por un usuario del servicio en la nube de datos almacenados en un sistema de
Los contratos entre el cliente del servicio en la nube y el procesador de IIP de la nube pública información, los problemas de rendimiento pueden significar que el borrado explícito de esos
deben especificar medidas técnicas y organizativas mínimas para garantizar que los acuerdos de datos no es práctico. Esto crea el riesgo de que otro usuario pueda leer los datos. Tal riesgo debe
seguridad contratados estén vigentes y que los datos no se procesen para ningún propósito, ser evitado por medidas técnicas específicas.
independientemente de las instrucciones del controlador. Dichas medidas no deben estar sujetas
Ninguna guía específica es especialmente apropiada para tratar todos los casos en la
a una reducción unilateral por parte del procesador de IIP de nube pública.
implementación de este control. Sin embargo, como ejemplo, algunas infraestructuras,
Guía de implementación de la protección de la nube de la nube pública plataformas o aplicaciones en la nube devolverán ceros si un usuario del servicio en la nube
intenta leer el espacio de almacenamiento que no ha sido sobrescrito por los datos propios de ese
La seguridad de la información y las obligaciones de protección de IIP relevantes para el usuario.
procesador de IIP de nube pública pueden surgir directamente de la ley aplicable. Cuando este no
sea el caso, las obligaciones de protección de IIP relevantes para el procesador de IIP de nube A.12 Cumplimiento de la privacidad
pública deben estar cubiertas en el contrato.
A.12.1 Ubicación geográfica de la IIP
Los controles en este documento, junto con los controles en ISO / IEC 27002, están diseñados
Control
como un catálogo de referencia de medidas para ayudar a celebrar un contrato de procesamiento
de información con respecto a la IIP. El procesador público de IIP en la nube debe informar a un El procesador de IIP de la nube pública debe especificar y documentar los países en los que
posible cliente del servicio en la nube, antes de celebrar un contrato, sobre los aspectos de su posiblemente se pueda almacenar la IIP.
material de servicios para la protección de la IIP.
Guía de implementación de la protección de la nube de la nube pública
El procesador de IIP de la nube pública debe ser transparente sobre sus capacidades durante el
Las identidades de los países donde posiblemente se pueda almacenar la información personal
proceso de celebración de un contrato. Sin embargo, en última instancia, es responsabilidad del
identificable deberían estar disponibles para los clientes del servicio en la nube. Se deben incluir
cliente del servicio en la nube garantizar que las medidas implementadas por el procesador
las identidades de los países que surgen del uso del procesamiento de la IIP subcontratada.
público de la IIP de la nube cumplan con sus obligaciones.
También deben identificarse los acuerdos contractuales específicos que se aplican a la

transferencia internacional de datos, como las cláusulas modelo de contrato, las normas
corporativas vinculantes o las reglas de privacidad transfronterizas, los acuerdos y los países o
circunstancias en que se aplican dichos acuerdos. El procesador de IIP de la nube pública debe
informar al cliente del servicio en la nube de manera oportuna sobre cualquier cambio que se
intente a este respecto, de modo que el cliente del servicio en la nube pueda objetar dichos
cambios o rescindir el contrato.

A.12.2 Destino previsto de la IIP

Control

La IIP transmitida mediante una red de transmisión de datos debe estar sujeta a los controles
apropiados diseñados para garantizar que los datos lleguen a su destino previsto.