MAPEO ISO 27002 - ISO 27017 - ISO 27018 - ISO 27701

CÓDIGO DE PRÁCTICAS DE SERVICIOS INFORMACIÓN GESTIÓN DE LA PRIVACIDAD DE LA

SEGURIDAD DE LA INFORMACIÓN EN LA NUBE PERSONAL EN LA NUBE INFORMACIÓN

ISO 27002 ISO/IEC 27017 ISO/IEC 27018 ISO/IEC 27701

CLAUSU. RESUMEN CLIENTE DE SERVICIOS EN LA NUBE PROVEEDOR DE SERVICIOS EN LA NUBE PROVEEDOR SERV. NUBE RESPONSABLE ENCARGADA
5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.1 Política de seguridad de la información No hay cambios No hay cambios No hay cambios 6.2.1 No hay cambios

Orientación adicional para la aplicación de la política de Orientación adicional para la aplicación de la política de
5.1.1 Políticas de seguridad de la información Orientación adicional para la aplicación 6.2.1.1 Orientación adicional para la aplicación
seguridad de la info. con un cliente de servicios en la nube seguridad de la info. como proveedor de servicios en la nube

5.1.2 Revisión de las políticas de seguridad de la info. No hay cambios No hay cambios No hay cambios 6.2.1.1 No hay cambios

6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

6.1 Organización interna No hay cambios No hay cambios No hay cambios 6.3.1 No hay cambios
Información, funciones y responsabilidades en Orientación adicional para acordar las funciones y Orientación adicional para acordar las funciones y
6.1.1 materia de seguridad de la información Orientación adicional para la aplicación 6.3.1.1 Orientación adicional para la aplicación
responsabilidades con el proveedor de servicios en la nube responsabilidades con los clientes de servicios en la nube

6.1.2 Segregación de funciones No hay cambios No hay cambios No hay cambios 6.3.1.2 No hay cambios

Orientación de aplicación adicional para identificar a Orientación adicional para informar a los clientes de la
6.1.3 Contacto con las autoridades No hay cambios 6.3.1.3 No hay cambios
autoridades pertinentes para el cliente y para el proveedor ubicación geográfica del alojamiento de datos

6.1.4 Contacto con grupos de interés especiales No hay cambios No hay cambios No hay cambios 6.3.1.4 No hay cambios

6.1.5 Seguridad de la info. en la gestión de proyectos No hay cambios No hay cambios No hay cambios 6.3.1.5 No hay cambios

6.2 Dispositivos móviles y teletrabajo No hay cambios No hay cambios No hay cambios 6.3.2 No hay cambios

6.2.1 Política de dispositivos móviles No hay cambios No hay cambios No hay cambios 6.3.2.1 Orientación adicional para la aplicación

6.2.2 Teletrabajo No hay cambios No hay cambios No hay cambios 6.3.2.2 Orientación adicional para la aplicación

6.3 Relación entre el cliente de servicios en la nube y el proveedor de servicios en la nube

Nuevo control para garantizar que los usuarios de los servicios Nuevo control para garantizar que los clientes conozcan las
6.3.1
en la nube conozcan sus funciones y responsabilidades funciones de seguridad de la nube y su papel al utilizarlas

7 SEGURIDAD DE LOS RECURSOS HUMANOS

7.1 Antes del empleo No hay cambios No hay cambios No hay cambios 6.4.1 No hay cambios

7.1.1 Revisión No hay cambios No hay cambios No hay cambios 6.4.1.1 No hay cambios

7.1.2 Condiciones de empleo No hay cambios No hay cambios No hay cambios 6.4.1.2 No hay cambios

7.2 Durante el empleo No hay cambios No hay cambios No hay cambios 6.4.2 No hay cambios

7.2.1 Responsabilidades de gestión No hay cambios No hay cambios No hay cambios 6.4.2.1 No hay cambios

Sensibilización, educación y formación en Orientación adicional para la concienciación sobre el uso Orientaciones de aplicación adicionales para sensibilizar
7.2.2 Orientación adicional para la aplicación 6.4.2.2 No hay cambios
materia de seguridad de la información de los servicios en la nube sobre el tratamiento de los datos de los clientes

7.2.3 Proceso disciplinario No hay cambios No hay cambios No hay cambios 6.4.2.3 No hay cambios

7.3 Cese y cambio de empleo No hay cambios No hay cambios No hay cambios 6.4.3 No hay cambios

Cese o cambio de responsabilidades

7.3.1 No hay cambios No hay cambios No hay cambios 6.4.3.1 No hay cambios
laborales

8 GESTIÓN DE ACTIVOS
8.1 Responsabilidad de los activos No hay cambios No hay cambios No hay cambios 6.5.1 No hay cambios

Orientación adicional para la identificación de datos de

8.1.1 Inventario de activos Orientación para implementación de activos de datos en la nube No hay cambios 6.5.1.2 No hay cambios
clientes y datos derivados de la nube

8.1.2 Propiedad de los activos No hay cambios No hay cambios No hay cambios 6.5.1.3 No hay cambios

8.1.3 Uso aceptable de los activos No hay cambios No hay cambios No hay cambios 6.5.1.4 No hay cambios

8.1.4 Devolución de activos No hay cambios No hay cambios No hay cambios 6.5.1.5 No hay cambios

Nuevo control para solicitar información documentada Nuevo control sobre la devolución y retirada de los
sobre el cese de los servicios bienes al finalizar el servicio

8.2 Clasificación de la información No hay cambios No hay cambios No hay cambios 6.5.2 No hay cambios

8.2.1 Directrices de clasificación No hay cambios No hay cambios No hay cambios 6.5.2.1 Orientación adicional para la aplicación

Orientación adicional para el etiquetado de activos en Orientaciones de aplicación adicionales para poner a
8.2.2 Etiquetado de la información No hay cambios 6.5.2.2 Orientación adicional para la aplicación
ubicaciones en la nube disposición de los clientes la función de etiquetado

8.2.3 Manejo de activos No hay cambios No hay cambios No hay cambios 6.5.2.3 No hay cambios

8.3 Manejo de los medios No hay cambios No hay cambios No hay cambios 6.5.3 No hay cambios

8.3.1 Gestión de soportes extraíbles No hay cambios No hay cambios No hay cambios 6.5.3.1 Orientación adicional para la aplicación

8.3.2 Eliminación de medios No hay cambios No hay cambios No hay cambios 6.5.3.2 Orientación adicional para la aplicación

8.3.3 Transferencia de medios físicos No hay cambios No hay cambios No hay cambios 6.5.3.3 Orientación adicional para la aplicación

9 CONTROL DE ACCESO
9.1 Necesidad empresarial de control de accesol No hay cambios No hay cambios No hay cambios 6.6.1 No hay cambios

9.1.1 Política de control de acceso No hay cambios No hay cambios No hay cambios 6.6.1.1 No hay cambios

9.1.2 Acceso a redes y servicios de red Orientación para la aplicación de la política de control de acceso No hay cambios No hay cambios 6.6.1.2 No hay cambios

9.2 Gestión del acceso de los usuarios No hay cambios No hay cambios Orientación adicional para la aplicación 6.6.2 No hay cambios

Orientación adicional para la prestación de servicios de

9.2.1 Registro y baja de usuarios No hay cambios Orientación adicional para la aplicación 6.6.2.1 Orientación adicional para la aplicación
registro y baja de usuarios

9.2.2 Provisión de acceso a los usuarios No hay cambios Orientación para la gestión de derechos de acceso de clientes No hay cambios 6.6.2.2 Orientación adicional para la aplicación

9.2.3 Guía de implementación adicional para la autenticación de los Orientación adicional para la aplicación que proporciona una 6.6.2.3
Gestión de los derechos de acceso privilegiados No hay cambios No hay cambios
administradores en los servicios en la nube autenticación adicional de los administradores de los clientes

"Gestión de la información secreta de

Orientación adicional para garantizar que el proveedor Orientaciones de aplicación adicionales para proporcionar
9.2.4 autentificación de los usuarios" No hay cambios 6.6.2.4 No hay cambios
cumpla los requisitos del cliente información sobre la autenticación secreta a los clientes

9.2.5 Revisión de los derechos de acceso de usuarios No hay cambios No hay cambios No hay cambios 6.6.2.5 No hay cambios

"Retirada o ajuste de los derechos de

9.2.6 No hay cambios No hay cambios No hay cambios 6.6.2.6 No hay cambios
acceso

9.3 Responsabilidades del usuario No hay cambios No hay cambios No hay cambios 6.6.3 No hay cambios

"Uso de información secreta

9.3.1 No hay cambios No hay cambios No hay cambios 6.6.3.1 No hay cambios
de autenticación"

9.4 Control de acceso al sistema y a aplicaciones No hay cambios No hay cambios No hay cambios 6.6.4 No hay cambios

Orientación adicional para garantizar el acceso a la Orientación adicional para proporcionar controles de
9.4.1 Restricción del acceso a la información No hay cambios 6.6.4.1 No hay cambios
información en la nube acceso a los clientes

9.4.2 Procedimientos seguros de inicio de sesión No hay cambios No hay cambios Orientación adicional para la aplicación 6.6.4.2 Orientación adicional para la aplicación

9.4.3 Sistema de gestión de contraseñas No hay cambios No hay cambios No hay cambios 6.6.4.3 No hay cambios

Orientaciones de implementación para garantizar que los Orientación adicional para controlar el uso de programas de
9.4.4 Uso de programas de utilidad privilegiados programas de las empresas de servicios públicos no interfieran servicios públicos No hay cambios 6.6.4.4 No hay cambios
con los controles del proveedor de servicios en la nube

9.4.5 Control de acceso al código fuente del programa No hay cambios No hay cambios No hay cambios 6.6.4.5 No hay cambios

Control de acceso a los datos de los clientes de servicios

9.5
en la nube en un entorno virtual compartido

Nuevo control para imponer la segregación lógica

9.5.1 No control
en entornos de nube

9.5.2 Nuevo control para garantizar el endurecimiento de los servicios Nuevo control para garantizar el endurecimiento de los servicios

10 CRIPTOGRAFÍA
10.1 Controles criptográficos No hay cambios No hay cambios No hay cambios 6.7.1 No hay cambios

Orientación adicional para la implementación de controles

10.1.1 Política de uso de controles criptográficos No hay cambios Orientación adicional para la aplicación 6.7.1.1 Orientación adicional para la aplicación
criptográficos en el entorno de la nube

Orientación adicional para la gestión de claves en

10.1.2 Gestión de claves No hay cambios No hay cambios 6.7.1.2 No hay cambios
entornos de nube

11 SEGURIDAD FÍSICA Y MEDIOAMBIENTAL

11.1 Zonas seguras No hay cambios No hay cambios No hay cambios 6.8.1 No hay cambios

11.1.1 Perímetro de seguridad física No hay cambios No hay cambios No hay cambios 6.8.1.1 No hay cambios

11.1.2 Controles físicos de entrada No hay cambios No hay cambios No hay cambios 6.8.1.2 No hay cambios

11.1.3 Asegurar las oficinas, salas e instalaciones No hay cambios No hay cambios No hay cambios 6.8.1.3 No hay cambios

Protección contra las amenazas externas y

11.1.4 No hay cambios No hay cambios No hay cambios 6.8.1.4 No hay cambios
medioambientales

11.1.5 Trabajar en zonas seguras No hay cambios No hay cambios No hay cambios 6.8.1.5 No hay cambios

11.1.6 Zonas de entrega y carga No hay cambios No hay cambios No hay cambios 6.8.1.6 No hay cambios

11.2 Seguridad de los equipos No hay cambios No hay cambios No hay cambios 6.8.2 No hay cambios

11.2.1 Ubicación y protección de los equipos No hay cambios No hay cambios No hay cambios 6.8.2.1 No hay cambios

11.2.2 Servicios públicos de apoyo No hay cambios No hay cambios No hay cambios 6.8.2.2 No hay cambios

11.2.3 Seguridad del cableado No hay cambios No hay cambios No hay cambios 6.8.2.3 No hay cambios

11.2.4 Mantenimiento de los equipos No hay cambios No hay cambios No hay cambios 6.8.2.4 No hay cambios

11.2.5 Retirada de activos No hay cambios No hay cambios No hay cambios 6.8.2.5 No hay cambios

11.2.6 Seguridad de equipos fuera de las instalaciones No hay cambios No hay cambios No hay cambios 6.8.2.6 No hay cambios

11.2.7 Orientación para garantizar que el proveedor de servicios en la

Eliminación segura o reutilización de los equipos Orientación de aplicación para la eliminación oportuna Orientación adicional para la aplicación 6.8.2.7 Orientación adicional para la aplicación
nube disponga de procedimientos de distribución

11.2.8 Equipo de usuario desatendido No hay cambios No hay cambios No hay cambios 6.8.2.8 No hay cambios

11.2.9 Política de mesas y pantallas despejadas No hay cambios No hay cambios No hay cambios 6.8.2.9 Orientación adicional para la aplicación

12 SEGURIDAD DE LAS OPERACIONES

12.1 Procedimientos operativos y responsabilidades No hay cambios No hay cambios No hay cambios 6.9.1 No hay cambios

12.1.1 Procedimientos operativos documentados No hay cambios No hay cambios No hay cambios 6.9.1.1 No hay cambios

Orientación adicional para incluir los servicios en la nube en Orientaciones adicionales para la aplicación de
12.1.2 Gestión del cambio No hay cambios 6.9.1.2 No hay cambios
la gestión del cambio las notificaciones de cambios a los clientes

Orientación adicional sobre la aplicación para incluir la Aplicación adicional para incluir la supervisión de la
12.1.3 Planificación de la capacidad No hay cambios 6.9.1.3 No hay cambios
gestión de la capacidad de los servicios en la nube capacidad para prevenir incidentes de seguridad

Separación de los entornos de desarrollo y

12.1.4 No hay cambios No hay cambios Orientación adicional para la aplicación 6.9.1.4 No hay cambios
operativos
Nuevo requisito para documentar los procedimientos Nueva obligación de proporcionar información sobre
en caso de fallos críticos las operaciones críticas a los clientes

12.2 Protección contra el malware No hay cambios No hay cambios No hay cambios 6.9.2 No hay cambios

12.2.1 Controles contra el malware No hay cambios No hay cambios No hay cambios 6.9.2.1 No hay cambios

12.3 Copia de seguridad No hay cambios No hay cambios No hay cambios 6.9.3 No hay cambios

Orientación adicional para la realización de copias de Orientación adicional para proporcionar especificaciones
12.3.1 Información de respaldo Orientación adicional para la aplicación 6.9.3.1 Orientación adicional para la aplicación
seguridad en los servicios en la nube de respaldo a los clientes

12.4 Registro y control No hay cambios No hay cambios No hay cambios 6.9.4 No hay cambios

Orientación adicional para la definición de los requisitos Orientación adicional Orientación adicional
12.4.1 Registro de eventos Orientación para la provisión de capacidades de registro Orientación adicional para la aplicación 6.9.4.1
de registro para la aplicación para encargados

12.4.2 Protección de la información de los registros No hay cambios No hay cambios Orientación adicional para la aplicación 6.9.4.2 Orientación adicional para la aplicación

Orientación adicional para la aplicación de las capacidades de

12.4.3 Registros del administrador y del operador No hay cambios No hay cambios 6.9.4.3 No hay cambios
registro y la obtención de garantías por parte del proveedor

Orientación adicional para solicitar información Additional impementation guidance about provding clock
12.4.4 Sincronización de relojes No hay cambios 6.9.4.4 No hay cambios
sobre el reloj al proveedor information to customers

Nuevo control para solicitar información de seguimiento Nuevo control para proporcionar capacidades para
del servicio al proveedor supervisar los aspectos del servicio

12.5 Control del software operativo No hay cambios No hay cambios No hay cambios 6.9.5 No hay cambios

12.5.1 Control del software operativo No hay cambios No hay cambios No hay cambios 6.9.5.1 No hay cambios

12.6 Gestión de la vulnerabilidad técnica No hay cambios No hay cambios No hay cambios 6.9.6 No hay cambios

Orientaciones adicionales de aplicación en relación con el

Orientación adicional sobre la obtención de información sobre
12.6.1 Control de las vulnerabilidades técnicas suministro de información sobre la gestión de la No hay cambios 6.9.6.1 No hay cambios
la gestión de la vulnerabilidad técnica de los proveedores
vulnerabilidad técnica a los clientes

12.6.2 Restricciones a la instalación de software No hay cambios No hay cambios No hay cambios 6.9.6.2 No hay cambios
Consideraciones sobre la auditoría de los
12.7 No hay cambios No hay cambios No hay cambios 6.9.7 No hay cambios
sistemas de información
12.7.1 Controles de auditoría de los sistemas de info. No hay cambios No hay cambios No hay cambios 6.9.7.1 No hay cambios

13 SEGURIDAD DE LAS COMUNICACIONES

13.1 Gestión de la seguridad de la red No hay cambios No hay cambios No hay cambios 6.10.1 No hay cambios

13.1.1 Controles de red No hay cambios No hay cambios No hay cambios 6.10.1.1 No hay cambios

13.1.2 Seguridad de los servicios de red No hay cambios No hay cambios No hay cambios 6.10.1.2 No hay cambios

Orientaciones de aplicación adicionales para la Orientaciones adicionales para la aplicación de

13.1.3 Segregación en las redes No hay cambios 6.10.1.3 No hay cambios
definición de los requisitos de segregación la segregación

Ningún control nuevo Nuevo control para una política de configuración de la red virtual

13.2 Intercambio de información No hay cambios No hay cambios No hay cambios 6.10.2 No hay cambios

13.2.1 Políticas y procedimientos de intercambio de info. No hay cambios No hay cambios Orientación adicional para la aplicación 6.10.2.1 Orientación adicional para la aplicación

13.2.2 Acuerdo sobre la transferencia de información No hay cambios No hay cambios No hay cambios 6.10.2.2 No hay cambios

13.2.3 Mensajería electrónica No hay cambios No hay cambios No hay cambios 6.10.2.3 No hay cambios

"Acuerdos de confidencialidad o
13.2.4 No hay cambios No hay cambios No hay cambios 6.10.2.4 Orientación adicional para la aplicación
no divulgación"

14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

14.1 Requisitos de seguridad de sistemas de info. No hay cambios No hay cambios No hay cambios 6.11.1 No hay cambios

Orientación adicional para el análisis de los requisitos Orientación adicional sobre la información que debe
14.1.1 Análisis y especificación de requisitos de seguridad No hay cambios 6.11.1.1 No hay cambios
de seguridad de la nube proporcionarse a clientes sobre capacidades de seguridad
Seguridad de los servicios de aplicaciones
14.1.2 en las redes públicas No hay cambios No hay cambios No hay cambios 6.11.1.2 Orientación adicional para la aplicación

14.1.3 Protección de transacciones de serv. de aplicación No hay cambios No hay cambios No hay cambios 6.11.1.3 No hay cambios

Seguridad en los procesos de

14.2 No hay cambios No hay cambios No hay cambios 6.11.2 No hay cambios
desarrollo y apoyo

Orientación adicional sobre cómo proporcionar a los

Orientación adicional para solicitar información sobre las
14.2.1 Política de desarrollo segura clientes información sobre prácticas de desarrollo No hay cambios 6.11.2.1 Orientación adicional para la aplicación
prácticas de desarrollo seguras de los proveedores
seguras

14.2.2 Procedimientos de control de cambios del sistema No hay cambios No hay cambios No hay cambios 6.11.2.2 No hay cambios

Revisión técnica de las aplicaciones tras los

14.2.3 No hay cambios No hay cambios No hay cambios 6.11.2.3 No hay cambios
cambios de plataforma operativa

14.2.4 Restricciones a los cambios en los paquetes No hay cambios No hay cambios No hay cambios 6.11.2.4 No hay cambios
de software
14.2.5 "Principios de ingeniería de sistemas seguros" No hay cambios No hay cambios No hay cambios 6.11.2.5 Orientación adicional para la aplicación

14.2.6 Entorno de desarrollo seguro No hay cambios No hay cambios No hay cambios 6.11.2.6 No hay cambios

14.2.7 Desarrollo de software subcontratado No hay cambios No hay cambios No hay cambios 6.11.2.7 Orientación adicional para la aplicación

14.2.8 Pruebas de seguridad del sistema No hay cambios No hay cambios No hay cambios 6.11.2.8 No hay cambios

14.2.9 Pruebas de aceptación del sistema No hay cambios No hay cambios No hay cambios 6.11.2.9 No hay cambios

14.3 Datos de la prueba No hay cambios No hay cambios No hay cambios 6.11.3 No hay cambios

14.3.1 Protección de los datos de prueba del sistema No hay cambios No hay cambios No hay cambios 6.11.3.1 Orientación adicional para la aplicación

15 RELACIONES CON LOS PROVEEDORES

15.1 Seguridad de la información en las relaciones No hay cambios No hay cambios No hay cambios 6.12.1 No hay cambios
con los proveedores
Política de seguridad de la información para las Orientaciones de aplicación adicionales para incluir al
15.1.1 No hay cambios No hay cambios 6.12.1.1 No hay cambios
relaciones con los proveedores proveedor en la lista de proveedores

"Abordar la seguridad en los acuerdos con los Orientación adicional para la aplicación del acuerdo de Orientación de aplicación adicional para especificar las Orientación adicional Orientación adicional
15.1.2 No hay cambios 6.12.1.2
proveedores" servicios de seguridad medidas de seguridad proporcionadas en el servicio para la aplicación para encargados

Cadena de suministro de tecnologías de la Orientación adicional de aplicación cuando el proveedor

15.1.3 No hay cambios No hay cambios 6.12.1.3 No hay cambios
información y la comunicación es un par o un usuario de otros proveedores

15.2 Gestión de prestación de servicios de proveed. No hay cambios No hay cambios No hay cambios 6.12.2 No hay cambios

15.2.1 Seguimiento y revisión del servicio de los proveed. No hay cambios No hay cambios No hay cambios 6.12.2.1 No hay cambios

15.2.2 Gestión de cambios en los servicios de proveed. No hay cambios No hay cambios No hay cambios 6.12.2.2 No hay cambios

16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Gestión de incidentes y mejoras en la
16.1 No hay cambios No hay cambios Orientación adicional para la aplicación 6.13.1 No hay cambios
seguridad de la información

Orientación adicional de implementación para la información

Orientación adicional para garantizar que el proveedor
16.1.1 Responsabilidades y procedimientos que debe proporcionarse a los clientes en relación con la Orientación adicional para la aplicación 6.13.1.1 Orientación adicional para la aplicación
asigne las responsabilidades de gestión de incidentes
gestión de incidentes de seguridad de la información

Orientación adicional sobre los flujos de información Orientación adicional sobre la presentación de
16.1.2 Notificación de eventos de seguridad de la info. No hay cambios 6.13.1.2 No hay cambios
entre el cliente y el proveedor y viceversa informes a los clientes

16.1.3 Informar sobre puntos débiles de la seguridad No hay cambios No hay cambios No hay cambios 6.13.1.3 No hay cambios

Evaluación y decisión sobre eventos de

16.1.4 No hay cambios No hay cambios No hay cambios 6.13.1.4 No hay cambios
seguridad de la información

Orientación adicional Orientación adicional

16.1.5 Respuesta a los incidentes de seguridad de la info No hay cambios No hay cambios No hay cambios 6.13.1.5
para la aplicación para encargados

16.1.6 Aprender de los incidentes de seguridad de la info No hay cambios No hay cambios No hay cambios 6.13.1.6 No hay cambios

Orientaciones de aplicación adicionales sobre el Orientaciones de aplicación adicionales sobre el

16.1.7 Recogida de pruebas No hay cambios 6.13.1.7 No hay cambios
intercambio de pruebas intercambio de pruebas

17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DE LA ACTIVIDAD

17.1 Continuidad de la seguridad de la información No hay cambios No hay cambios No hay cambios 6.14.1 No hay cambios
Planificación de la continuidad de la seguridad
17.1.1 No hay cambios No hay cambios No hay cambios 6.14.1.1 No hay cambios
de la información

17.1.2 "Implementación de la continuidad de la 6.14.1.2

No hay cambios No hay cambios No hay cambios No hay cambios
seguridad de la información

Verificar, revisar y evaluar la continuidad de la

17.1.3 No hay cambios No hay cambios No hay cambios 6.14.1.3 No hay cambios
seguridad de la información

17.2 Redundacias No hay cambios No hay cambios No hay cambios 6.14.2 No hay cambios
Disponibilidad de instalaciones para el
17.2.1 tratamiento de la información No hay cambios No hay cambios No hay cambios 6.14.2.1 No hay cambios

18 CUMPLIMIENTO

18.1 Cumplimiento de los requisitos legales y 6.15.1

No hay cambios No hay cambios No hay cambios No hay cambios
contractuales

Identificación de la legislación aplicable Orientación adicional para la identificación de la legislación Orientaciones de aplicación adicionales para informar a los
18.1.1 No hay cambios 6.15.1.1 Orientación adicional para la aplicación
y de los requisitos contractuales aplicable al lugar donde se conservan los datos clientes de las jurisdicciones legales

Orientaciones de aplicación adicionales para responder a

18.1.2 Derechos de propiedad intelectual Orientación adicional para la aplicación de licencias de software No hay cambios 6.15.1.2 No hay cambios
las reclamaciones de derechos de propiedad intelectual

Orientación adicional para solicitar información sobre la Orientaciones de aplicación adicionales para proporcionar a
18.1.3 Protección de los registros No hay cambios 6.15.1.3 Orientación adicional para la aplicación
protección de los registros los clientes información sobre la protección de los registros

Privacidad y protección de la información

18.1.4 No hay cambios No hay cambios No hay cambios 6.15.1.4 No hay cambios
personal identificable

Orientación adicional para garantizar el cumplimiento de la Orientación adicional sobre cómo proporcionar a
18.1.5 Regulación de los controles criptográficos criptografía No hay cambios 6.15.1.5 No hay cambios
los clientes una garantía criptográfica

18.2 Revisiones de la seguridad de la información No hay cambios No hay cambios No hay cambios 6.15.2 No hay cambios
Orientaciones de aplicación adicionales para solicitar a los Orientación adicional sobre la aplicación para ofrecer a
18.2.1 Revisión independiente de la seguridad de info. proveedores información sobre revisiones de seguridad Orientación adicional para la aplicación 6.15.2.1 Orientación adicional para la aplicación
los clientes la garantía de los controles de seguridad
independientes
18.2.2 Cumplimiento de políticas y normas de seguridad No hay cambios No hay cambios No hay cambios 6.15.2.2 No hay cambios

18.2.3 Revisión de la conformidad técnica No hay cambios No hay cambios No hay cambios 6.15.2.3 No hay cambios

NQA Certificación, S.L. Calle Mayor 73, 3º. 34001 Palencia, España. T: 979 701 912 E: info@nqa.es @nqaglobal www.nqa.com