• info@ursperu.com

ISO/IEC 27018:2019 -Tecnologías de la información - Técnicas de seguridad - Código de prácticas para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII

Certificación ISO-IEC 27018 Perú -Tecnologías de la información - Técnicas de seguridad - Código de prácticas para la protección de información de identificación personal

Introducción

Esta norma establece principios para la protección de la información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII.

¿Qué es la norma ISO 27018?

La norma ISO 27018 proporciona objetivos, controles y directrices para implementar medidas que protejan la información de identificación personal (PII) en un entorno de computación en la nube pública. Además, la norma también especifica directrices basadas en la norma ISO/IEC 27002.

Una vez certificadas, las organizaciones pueden promocionarse con orgullo como titulares de la certificación en sus materiales promocionales e incluir el logotipo de certificación URS de forma gratuita.

¿Quién necesita una certificación ISO 27018?

La certificación ISO 27018 es obligatoria para las organizaciones que actúan como proveedores de servicios en la nube y gestionan datos confidenciales de clientes en un entorno de nube. Algunos ejemplos de sectores relevantes son:

  • proveedores de atención médica
  • Organizaciones financieras
  • Plataformas de comercio electrónico

¿Cómo puede la ISO 27018 beneficiar a su negocio?

Obtener la certificación ISO 27018 puede aportar una amplia gama de beneficios a su organización, entre ellos:

  • Reducir los riesgos de vulneración de datos
  • Simplificando el cumplimiento
  • Aumentar la confianza de sus clientes en su organización
  • Mejore sus procesos de seguridad

¿Cómo puedes prepararte para una certificación ISO 27018?

Si bien la idea de iniciar el proceso de certificación puede parecer desalentadora, hay una variedad de pasos que puede seguir para que el proceso de certificación sea mucho más ágil:

  • Familiarícese con la norma ISO 27018
  • Desarrollar un plan de cumplimiento para garantizar que los controles de seguridad se implementen de manera eficiente
  • Cree documentación para todos sus procesos, políticas y procedimientos
  • Monitoree su entorno de nube para detectar riesgos de seguridad y violaciones de datos y tome medidas para corregir estos problemas.
  • Realizar auditorías internas periódicas para destacar áreas de mejora.

¿Cuáles son los requisitos clave ISO 27018?

Al trabajar para obtener la certificación ISO 27018, la auditoría se centrará en diversas áreas. Estas áreas incluyen:

  • Protección de información personal identificable (PII)
  • Cifrado de datos
  • Acuerdos de servicios en la nube
  • Transparencia y rendición de cuentas

¿Qué cláusulas componen la estructura de la norma ISO 27018?

Cláusulas 1-3 - Cláusulas introductorias:

Las tres primeras cláusulas de la norma ISO 27018 presentan el alcance y la aplicación de la norma e identifican el tipo de organización que se beneficiaría de esta certificación. Estas secciones también incluyen los nombres de otras normas aplicables a las que se hace referencia a lo largo de la norma, así como una lista de términos y definiciones que se mencionan en diversas partes de esta norma.

Cláusula 4 – Contexto de la organización:

La cláusula 4 describe la estructura de la norma y proporciona una tabla que destaca las cláusulas que contienen directrices específicas para cada sector. Además, esta sección también abarca las categorías de control y las estructuras de descripción.

Cláusula 5 – Políticas de seguridad de la información:

La cláusula 5 amplía las políticas relacionadas con la seguridad de la información y proporciona orientación de implementación específica del sector para la protección de PPI.

Cláusula 6 – Organización de la seguridad de la información:

Aunque la mayoría de las subcláusulas de la cláusula 6 hacen referencia directa a la norma ISO 27002, las funciones y responsabilidades de seguridad de la información se han ampliado para incluir orientación específica del sector.

Cláusula 7 – Seguridad de los recursos humanos:

La cláusula 7 introduce una guía específica del sector relacionada con la concientización, educación y capacitación en seguridad de la información que cubre la protección de PII en la nube pública y orientación para otras jurisdicciones.

Cláusula 8 – Gestión de activos:

La cláusula 8 no proporciona ninguna orientación sectorial adicional y simplemente hace referencia a los requisitos descritos en la norma ISO 27002.

Cláusula 9 – Control de acceso:

En la cláusula 9, la guía adicional específica del sector se centra en la gestión del acceso de usuarios y los procedimientos de inicio de sesión seguro. El resto de esta sección hace referencia directa a la norma ISO 27002.

Cláusula 10 – Criptografía:

En esta breve sección, la cláusula 10 aplica una guía específica del sector a las políticas sobre el uso de controles criptográficos únicamente para la protección de PII de la nube pública.

Cláusula 11 – Seguridad física y ambiental:

La cláusula 11 amplía las directrices sobre seguridad física y ambiental al incluir detalles sectoriales para la eliminación o reutilización segura de equipos.

Cláusula 12 - Seguridad de las operaciones:

La Cláusula 12 proporciona una amplia gama de directrices específicas para cada sector sobre la separación de los entornos de desarrollo y prueba, las copias de seguridad de la información y el registro de eventos. Todas ellas se centran exclusivamente en la protección de la información personal identificable (PII) en la nube pública.

Cláusula 13 – Seguridad de las comunicaciones:

La cláusula 13 proporciona un enfoque específico del sector sobre políticas y procedimientos de transferencia de información, mientras que el resto de las subcláusulas hacen referencia a la norma ISO 27002 original.

Cláusula 14 – Adquisición, desarrollo y mantenimiento del sistema:

La cláusula 14 no proporciona ninguna orientación sectorial adicional y simplemente hace referencia a los requisitos descritos en la norma ISO 27002.

Cláusula 15 – Relaciones con los proveedores:

La cláusula 15 no proporciona ninguna orientación sectorial adicional y simplemente hace referencia a los requisitos descritos en la norma ISO 27002.

Cláusula 16 – Gestión de incidentes de seguridad de la información:

La cláusula 16 incluye la adición de orientación específica del sector a las subcláusulas sobre responsabilidades y procedimientos, y la gestión de incidentes y mejoras de seguridad de la información.

Cláusula 17 – Aspectos de seguridad de la información en la gestión de la continuidad del negocio:

La cláusula 17 no proporciona ninguna orientación sectorial adicional y simplemente hace referencia a los requisitos descritos en la norma ISO 27002.

Cláusula 18 – Cumplimiento:

En la cláusula final de esta norma, se proporciona orientación específica del sector sobre la revisión independiente de la seguridad de la información para la protección de PII en la nube pública.

¿Cuánto tiempo será válido su certificado ISO 27018?

Su certificado ISO 27018 será válido por al menos tres años, dependiendo del tipo de sitio que se esté certificando.

¿Listo para empezar? Solicite su cotización
usando el enlace a continuación.

VERIFICACIÓN DE CERTIFICADO
ESTOY INTERESADO EN
FORMULARIO DE SOLICITUD DE COTIZACIÓN

Contáctenos...

URS PERÚ

United Register of Systems of Perú (URS PERÚ) es una Casa Certificadora ISO e IATF que ofrece Certificación, Capacitación de Personas, Ensayos, Inspecciones y Certificación de Productos, pertenece al prestigioso grupo de United Registrar of Systems Limited (URS) que opera en más de 50 países con más de 75 mil contratos alrededor del mundo, dentro de la Multinacional URS Holdings.

CERTIFICACIÓN ISO PERÚ

UBÍCANOS EN:

SÍGUENOS EN:

Facebook Instagram Linkedin
Logo URS Perú Assuring Confidence

Boletines

Copyright 2025 © URS Perú. Todos los derechos reservados.

Scroll to Top
URS Perú Certificadora ISO
Iniciar chat
Hola 👋
Estamos a su disposición para cualquier consulta.