Referencia LFPDPPP. Referencia Reglamento. auditoría de certificación. Los responsables en el tratamiento de datos

Transcripción

1 4.4 ISO/IEC 27006:2011, Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Introducción. Este estándar establece los requerimientos y es una guía para entidas que proporcionan auditoría y certificación sistemas gestión seguridad la información. Su enfoque principal es para ayudar a la acreditación entidas certificación sistemas gestión seguridad la información. N Requerimiento normativo RESPONSABLE Establece la responsabilidad l legal y cumplimiento legal y regulatorio. regulatorio Reporte Describe los elementos que auditoría componen un reporte auditoría Los responsables en el tratamiento datos Describe las actividas 1 personales, berán observar los principios licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y Art. 6 Art Recomendación General. 9.3 Actividas supervisión. supervisión y seguimiento para el mantenimiento l sistema gestión. responsabilidad, previstos en la Ley. Describe las circunstancias y 9.4 Re condiciones para mantener la 116

2 LICITUD Y LEALTAD Los datos personales berán recabarse y tratarse manera lícita, privilegiando la protección los intereses l titular y la 2 expectativa razonable privacidad, sin importar la fuente la que se obtienen los datos. Art. 7 Art. 7 Art. 10 Art. 44 Paso 1. Alcance y Objetivos. La obtención datos personales no be hacerse a través medios engañosos o fraudulentos. El tratamiento datos personales estará sujeto al consentimiento su titular, salvo las excepciones previstas por la Ley. CONSENTIMIENTO 3 Los datos financieros o patrimoniales requerirán consentimiento expreso su titular. Art. 8 Art. 11 Art. 12 Art. 15 Paso 2. Política Gestión Datos Cuando los datos personales se obtengan personalmente o manera directa su titular, el consentimiento berá ser previo al tratamiento. 117

3 El responsable berá facilitar al titular Paso 2. Política 4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestión Datos su consentimiento expreso. Tratándose datos personales sensibles, el responsable berá obtener el consentimiento expreso y por escrito l titular para su tratamiento. Paso 2. Política 5 No podrán crearse bases datos que Art. 9 Art. 56 Gestión Datos contengan datos personales sensibles, sin que se justifique la creación las mismas para finalidas legítimas, concretas y acors con las actividas o fines explícitos que persigue el sujeto regulado. las Medidas Para efectos mostrar la obtención l 6 consentimiento, la carga la prueba recaerá, en todos los casos, en el Art. 20 Datos responsable. Cotidiano Medidas. INFORMACIÓN 7 A través l aviso privacidad, el responsable tendrá la obligación informar a los titulares, los datos que recaba, las Art. 15 Art. 14 Art. 23 Art. 112 Paso 2. Política Gestión Datos 118

4 finalidas necesarias y las que no lo son para la relación jurídica, así como las características principales su tratamiento. Cuando se traten datos personales como parte un proceso toma cisiones sin que intervenga la valoración una persona física, el responsable berá informar al titular que esta situación ocurre. Si obtiene los datos manera automática, berá informar al titular sobre el uso estas tecnologías y la forma en que podrá shabilitarlas. 8 Cuando los datos personales sean obtenidos directamente l titular, el aviso privacidad be ponerse a disposición los titulares a través formatos impresos, Art. 3, I Art. 17 Art. 27 las Medidas Datos digitales, visuales, sonoros o cualquier otra tecnología. Cotidiano Medidas. 9 El aviso privacidad be contener un mecanismo, para que el titular pueda manifestar su negativa al tratamiento sus datos personales. Cuando los datos se Art. 18 Art. 14 Art. 29 Art. 32 las Medidas 119

5 obtengan manera indirecta l titular, el responsable berá darle a conocer el aviso Datos privacidad y sus cambios. Cotidiano Medidas 10 Para efectos mostrar la puesta a disposición l aviso privacidad en cumplimiento l principio información, la carga la prueba recaerá, en todos los casos, en el responsable. Art. 31 las Medidas Datos Cotidiano Medidas. CALIDAD El responsable procurará que los datos 11 personales contenidos en las bases datos sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento la finalidad para la Art. 11 Art. 36 Paso 2. Política Gestión Datos cual son tratados. Cuando los datos carácter personal hayan 12 jado ser necesarios para el cumplimiento las finalidas previstas por el aviso privacidad y las disposiciones Art. 3 III Art. 11 Art. 37 Paso 2. Política Gestión Datos legales aplicables, berán ser cancelados, 120

6 previo bloqueo los mismos. El responsable la base datos estará obligado a eliminar la información relativa al incumplimiento obligaciones contractuales, una vez que transcurra un plazo setenta y dos meses, contado a partir la fecha calendario en que se presente el mencionado incumplimiento. 13 El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión los datos personales. Art. 38 Paso 2. Política Gestión Datos las Medidas Al responsable le correspon mostrar que Implementación 14 los datos personales se conservan, o en su Art. 39 Datos caso, bloquean, suprimen o cancelan. Cotidiano Medidas. FINALIDAD 121

7 El tratamiento datos personales berá limitarse al cumplimiento las finalidas previstas en el aviso privacidad. Si el responsable preten tratar los datos para un fin distinto al establecido, berá obtener nuevamente el consentimiento l Art. 40 Paso 2. Política 15 titular. Art. 12 Art. 42 Gestión Datos Art. 43 El titular podrá oponerse o revocar su consentimiento para las finalidas distintas a las que dieron origen a la relación jurídica, sin que ello tenga como consecuencia la conclusión l tratamiento. PROPORCIONALIDAD El tratamiento datos personales será el que resulte necesario, acuado y relevante 16 en relación con las finalidas previstas en el aviso privacidad. En particular para datos personales sensibles, el responsable berá Art. 13 Art. 45 Art. 46 Paso 2. Política Gestión Datos limitar el periodo tratamiento al mínimo indispensable. CONFIDENCIALIDAD El responsable o terceros que intervengan en 17 cualquier fase l tratamiento datos personales berán guardar confincialidad respecto éstos, obligación que subsistirá aun spués finalizar sus relaciones con el Art. 21 Art. 9 Paso 2. Política Gestión Datos 8.5 Confincialidad. Establece la protección registros confinciales l sistema gestión. titular o, en su caso, con el responsable. 122

8 RESPONSABILIDAD Establece la responsabilidad l legal y cumplimiento legal y regulatorio. regulatorio. 18 El responsable tiene la obligación velar y responr por el tratamiento los datos personales en su posesión, biendo adoptar las medidas necesarias. El responsable berá tomar las medidas necesarias y suficientes para garantizar que el aviso privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guar alguna relación jurídica. Art. 14 Art. 47 Paso 2. Política Gestión Datos Reporte auditoría 9.3 Actividas supervisión. 9.4 Re Describe los elementos que componen un reporte auditoría Describe las actividas supervisión y seguimiento para el mantenimiento l sistema gestión. Describe las circunstancias y condiciones para mantener la Establece la responsabilidad l Los responsables berán adoptar medidas Paso 5. Realizar el legal y cumplimiento legal y 19 para garantizar el bido tratamiento, privilegiando los intereses l titular y la expectativa razonable privacidad. Art. 14 Art. 48 Análisis Riesgo los Datos regulatorio Reporte auditoría regulatorio. Describe los elementos que componen un reporte auditoría 123

9 Describe las actividas 9.3 Actividas supervisión y seguimiento para supervisión. el mantenimiento l sistema gestión. Describe las circunstancias y 9.4 Re condiciones para mantener la Implementación Elaborar políticas y programas privacidad Paso 2. Política Implementación 20 obligatorios y exigibles al interior la Art I Gestión Datos organización. 21 Poner en práctica un programa capacitación, actualización, y concientización l personal sobre las obligaciones en materia protección datos personales. Art II Paso 9. Mejora Continua y Capacitación. Capacitación. 22 Establecer un sistema supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento Art III Paso 8. Revisiones y Auditoría Criterios auditoría Establece como criterio auditoría al utilizado en ISO

10 las políticas privacidad. Define el alcance con el cual se Alcance la realizará la auditoría para la organización incluyendo sus riesgos Metodología auditoría. Requiere el uso procedimientos para ejecutar la auditoría Reporte Describe los elementos que auditoría componen un reporte auditoría Auditoría Revisión l diseño l sistema Etapa 1. gestión Auditoría Define la auditoría en sitio l Etapa 2. sistema gestión. Describe las actividas 9.3 Actividas supervisión y seguimiento para supervisión. el mantenimiento l sistema gestión Auditorías supervisión. Define las auditorías supervisión y mantenimiento l sistema gestión. 125

11 Describe las circunstancias y 9.4 Re condiciones para mantener la Auditorías Condiciones para responr a re las no conformidas. 9.5 Auditorías especiales. Describe las circunstancias y condiciones para una auditoría especial. Define a los cambios mayores Casos en el sistema gestión para especiales. llevar a cabo una auditoría especial. Paso 3. Establecer 23 Destinar recursos para la instrumentación los programas y políticas privacidad. Art IV Funciones y Obligaciones Quienes Traten Datos 24 Instrumentar un procedimiento para que se atienda el riesgo para la protección datos personales por la implementación nuevos productos, servicios, tecnologías y molos negocios, así como para mitigarlos. Art V Paso 5. Realizar el Análisis Riesgo los Datos Análisis competencias y revisión contractual. Establece el proceso revisión la organización cliente en cuanto a sus riesgos y su competencia en seguridad la información. 126

12 Criterios Establece como criterio auditoría auditoría al utilizado en ISO Define el alcance con el cual se Alcance la realizará la auditoría para la organización incluyendo sus riesgos Metodología auditoría. Requiere el uso procedimientos para ejecutar la auditoría. 25 Revisar periódicamente las políticas y programas seguridad para terminar las modificaciones que se requieran. Art VI Paso 8. Revisiones y Auditoría Reporte auditoría Describe los elementos que componen un reporte auditoría Auditoría Revisión l diseño l sistema Etapa 1. gestión Auditoría Define la auditoría en sitio l Etapa 2. sistema gestión. Describe las actividas 9.3 Actividas supervisión y seguimiento para supervisión. el mantenimiento l sistema gestión. 127

13 9.3.1 Auditorías supervisión. Define las auditorías supervisión y mantenimiento l sistema gestión. Describe las circunstancias y 9.4 Re condiciones para mantener la Auditorías Condiciones para responr a re las no conformidas. 9.5 Auditorías especiales. Describe las circunstancias y condiciones para una auditoría especial. Define a los cambios mayores Casos en el sistema gestión para especiales. llevar a cabo una auditoría especial. las Medidas 26 Establecer procedimientos para recibir y responr dudas y quejas los titulares los datos personales. Art VII Datos Cotidiano Medidas. 128

14 27 Disponer mecanismos para el cumplimiento las políticas y programas privacidad, así como sanciones por su incumplimiento. Art VIII Paso 3. Funciones y Obligaciones Quienes Traten Datos 28 Establecer medidas para el aseguramiento los datos personales, es cir, un conjunto acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento los principios y obligaciones que establece la Ley y su. Art IX Paso 6. Intificación las medidas seguridad y Análisis Brecha. Establecer medidas para la trazabilidad los Paso 6. datos personales, es cir acciones, medidas Intificación las Implementación 29 y procedimientos técnicos que permiten Art X medidas rastrear a los datos personales durante su seguridad y Análisis tratamiento. Brecha. 30 Todo responsable berá signar a una persona, o partamento datos personales, quien dará trámite a las solicitus los titulares, para el ejercicio los rechos a que se refiere la Ley. Asimismo fomentará la protección datos personales al interior la organización. Art. 30 las Medidas Datos Cotidiano Medidas. SEGURIDAD 129

15 31 Todo responsable que lleve a cabo tratamiento datos personales berá establecer y mantener medidas seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, strucción o el uso, acceso o tratamiento no autorizado. No adoptarán medidas seguridad menores a aquellas que mantengan para el manejo su información. Art. 19 Art. 4 Art. 9 Art. 57 Paso 6. Intificación las medidas seguridad y Análisis Brecha legal y regulatorio Reporte auditoría 9.3 Actividas supervisión. 9.4 Re Establece la responsabilidad l cumplimiento legal y regulatorio. Describe los elementos que componen un reporte auditoría Describe las actividas supervisión y seguimiento para el mantenimiento l sistema gestión. Describe las circunstancias y condiciones para mantener la Cuando el encargado se encuentre ubicado en territorio mexicano, le serán aplicables las disposiciones relativas a las medidas seguridad contenidas en el Capítulo III. El responsable terminará las medidas seguridad aplicables a los datos personales 32 que trate, consirando el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad los datos y el sarrollo tecnológico. De manera adicional, el responsable Art. 19 Art. 60 Paso 5. Realizar el Análisis Riesgo los Datos procurará tomar en cuenta los siguientes elementos: 130

16 I. El número titulares; II. Las vulnerabilidas previas ocurridas en los sistemas tratamiento; III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y IV. Demás factores que puedan incidir en el nivel riesgo o que resulten otras leyes o regulación aplicable al responsable. 33 Elaborar un inventario datos personales y los sistemas tratamiento. Art I Paso 4. Elaborar un Inventario Datos Paso 3. Establecer 34 Determinar las funciones y obligaciones las personas que traten datos personales. Art II Funciones y Obligaciones Quienes Traten Datos 35 Contar con un análisis riesgos datos personales que consiste en intificar peligros y estimar los riesgos a los datos personales. Art III Paso 5. Realizar el Análisis Riesgo los Datos 131

17 Paso 6. Establecer las medidas seguridad Intificación las Implementación 36 aplicables a los datos personales e intificar Art IV medidas aquéllas implementadas manera efectiva. seguridad y Análisis Brecha. Realizar el análisis brecha que consiste en Paso 6. la diferencia las medidas seguridad Intificación las Implementación 37 existentes y aquéllas faltantes que resultan Art V medidas necesarias para la protección los datos seguridad y Análisis personales. Brecha. las Medidas Elaborar un plan trabajo para la Implementación 38 implementación las medidas seguridad Art VI Datos faltantes, rivadas l análisis brecha. Plan Trabajo para la las Medidas Faltantes Criterios Establece como criterio auditoría auditoría al utilizado en ISO 39 Llevar a cabo revisiones o auditorías. Art VII Paso 8. Revisiones y Auditoría Alcance la Define el alcance con el cual se realizará la auditoría para la organización incluyendo sus riesgos. 132

18 9.1.5 Metodología auditoría. Requiere el uso procedimientos para ejecutar la auditoría Reporte Describe los elementos que auditoría componen un reporte auditoría Auditoría Revisión l diseño l sistema Etapa 1. gestión Auditoría Define la auditoría en sitio l Etapa 2. sistema gestión. Describe las actividas 9.3 Actividas supervisión y seguimiento para supervisión. el mantenimiento l sistema gestión Auditorías supervisión. Define las auditorías supervisión y mantenimiento l sistema gestión. Describe las circunstancias y 9.4 Re condiciones para mantener la Auditorías Condiciones para responr a re las no conformidas. 9.5 Auditorías especiales. Describe las circunstancias y condiciones para una auditoría especial Casos especiales. Define a los cambios mayores en el sistema gestión para llevar a cabo una auditoría 133

19 especial. 40 Capacitar al personal que efectúe el tratamiento datos personales. Art VIII Paso 9. Mejora Continua y Capacitación. Capacitación. Paso 5. Realizar el 41 Realizar un registro los medios almacenamiento los datos personales. Art IX Análisis Riesgo los Datos 3. Acciones a 42 Contar con una relación las medidas seguridad. Art. 61 implementar para la seguridad los datos personales documentadas. Actualizar las medidas seguridad cuando: I. Se modifiquen las medidas o procesos 43 seguridad para su mejora continua, rivado las revisiones a la política seguridad l responsable. II. Se produzcan modificaciones sustanciales en el tratamiento que riven en un cambio l nivel riesgo. Art. 62 Paso 8. Revisiones y Auditoría. III. Se vulneren los sistemas tratamiento, conformidad con lo dispuesto en el artículo 20 la Ley y 63 su. 134

20 IV. Exista una afectación a los datos personales distinta a las anteriores. En el caso datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año. VULNERACIONES A LA SEGURIDAD Las vulneraciones seguridad ocurridas en 44 cualquier fase l tratamiento que afecten forma significativa los rechos patrimoniales o morales los titulares, serán informadas forma inmediata por el responsable al titular, a fin que este último pueda tomar las medidas correspondientes a la fensa Art. 20 Art. 63 Art. 64 Paso 8. Revisiones y Auditoría. Vulneraciones a la la Información. sus rechos. En caso que ocurra una vulneración a la seguridad los datos personales, el responsable berá informar al titular al menos lo siguiente: Paso 8. Revisiones y I. La naturaleza l incinte. Auditoría. 45 II. Los datos personales comprometidos. Art. 65 Vulneraciones a la III. Las recomendaciones al titular acerca la las medidas que éste pueda adoptar para Información. proteger sus intereses. IV. Las acciones correctivas realizadas forma inmediata. V. Los medios don pue obtener más 135

21 información al respecto. En caso que ocurra una vulneración a los datos personales, el responsable berá Paso 8. Revisiones y analizar las causas por las cuales se presentó Auditoría. 46 e implementar las acciones correctivas, Art. 66 Vulneraciones a la preventivas y mejora para acuar las la medidas seguridad correspondientes, a Información. efecto evitar que la vulneración se repita. ENCARGADO El encargado tendrá las siguientes obligaciones respecto l tratamiento que realice por cuenta l responsable: 47 I. Tratar únicamente los datos personales conforme a las instrucciones l responsable. II. Abstenerse tratar los datos personales Art Recomendación General. 8.5 Confincialidad. Establece la protección registros confinciales l sistema gestión. para finalidas distintas a las instruidas por el responsable. III. Implementar las medidas seguridad 136

22 conforme a la Ley, su y las más disposiciones aplicables. IV. Guardar confincialidad respecto los datos personales tratados. V. Suprimir los datos personales objeto tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones l responsable, siempre y cuando no exista una previsión legal que exija la conservación los datos personales. VI. Abstenerse transferir los datos personales salvo en el caso que el responsable así lo termine, la comunicación rive una subcontratación, o cuando así lo requiera la autoridad competente. SUBCONTRATACIONES La relación entre el responsable y el las Medidas 48 encargado berá estar establecida mediante cláusulas contractuales u otro instrumento jurídico que cida el responsable, que permita acreditar su existencia, alcance y Art. 51 Datos 8.5 Confincialidad. Establece la protección registros confinciales l sistema gestión. contenido. Cotidiano Medidas. 137

23 Toda subcontratación servicios por parte l encargado que implique el tratamiento datos personales berá ser autorizada por el responsable, y se realizará en 49 y por cuenta este último. Una vez obtenida la autorización, el encargado berá formalizar la relación con el subcontratado a través cláusulas contractuales u otro instrumento jurídico que permita acreditar su existencia, alcance y contenido. En caso que la subcontratación no haya sido prevista en cláusulas contractuales, el encargado berá obtener la autorización correspondiente l responsable Art. 54 Art. 55 las Medidas Datos Cotidiano Medidas. 8.6 Intercambio información entre el ente certificador y sus clientes. Consiraciones para proteger la información que se intercambia entre el ente certificador y la organización cliente. previamente. La obligación acreditar que la subcontratación se realizó con autorización l responsable corresponrá al encargado. CÓMPUTO EN LA NUBE Para el tratamiento datos personales en servicios, aplicaciones e infraestructura en el Implementación 50 nominado cómputo en la nube, en los que Art I las Medidas el responsable se adhiera a los mismos mediante condiciones o cláusulas generales 138

24 contratación, sólo podrá utilizar aquellos Datos servicios en los que el proveedor cumpla, al menos, con lo siguiente: Cotidiano Medidas a) Tener y aplicar políticas protección. datos personales afines a los principios y beres aplicables que establece la Ley y su ; b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio; 8.5 Confincialidad. Establece la protección registros confinciales l sistema gestión. c) Abstenerse incluir condiciones en la prestación l servicio que le autoricen o permitan asumir la titularidad o propiedad la información sobre la que presta el servicio, y d) Guardar confincialidad respecto los datos personales sobre los que se preste el servicio. Para el tratamiento datos personales en 51 servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales Art II las Medidas contratación, sólo podrá utilizar aquellos Datos 139

25 servicios en los que el proveedor cuente con mecanismos, al menos, para: Cotidiano Medidas a) Dar a conocer cambios en sus políticas. privacidad o condiciones l servicio que presta; b) Permitir al responsable limitar el tipo tratamiento los datos personales sobre los que se presta el servicio; c) Establecer y mantener medidas seguridad acuadas para la protección los datos personales sobre los que se preste el servicio; d) Garantizar la supresión los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios acceso, o bien en caso que sea a solicitud fundada y motivada autoridad competente, informar ese hecho al responsable. TRANSFERENCIAS 140

26 Cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos l encargado, berá comunicar a éstos el aviso privacidad y las 52 finalidas a las que el titular sujetó su tratamiento. El tratamiento los datos se hará conforme a lo convenido en el aviso privacidad, el cual contendrá una cláusula en la que se indique si el titular acepta o no la Art. 36 Art. 68 Art. 71 Art. 72 Art. 74 las Medidas Datos Cotidiano 8.6 Intercambio información entre el ente certificador y sus clientes. Consiraciones para proteger la información que se intercambia entre el ente certificador y la organización cliente. transferencia sus datos, igual manera, Medidas el tercero receptor, asumirá las mismas. obligaciones que correspondan al responsable que transfirió los datos. 53 Para efectos mostrar que la transferencia, sea ésta nacional o internacional, se realiza conforme a lo que establece la Ley y su, la carga la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor los datos personales. Art. 69 las Medidas Datos Cotidiano Medidas 8.6 Intercambio información entre el ente certificador y sus clientes. Consiraciones para proteger la información que se intercambia entre el ente certificador y la organización cliente.. 141

27 En el caso transferencias datos personales entre sociedas controladoras, subsidiarias o afiliadas bajo el control común l mismo grupo l responsable, o a una sociedad matriz o a cualquier sociedad l mismo grupo l responsable, el mecanismo 54 para garantizar que el receptor los datos personales cumplirá con las disposiciones previstas en la Ley, su y más Art Recomendación General normativa aplicable, podrá ser la existencia normas internas protección datos personales cuya observancia sea vinculante, siempre y cuando éstas cumplan con lo establecido en la Ley, su y más normativa aplicable. 55 La transferencia berá formalizarse mediante algún mecanismo que permita mostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento sus datos personales. Art. 73 Art. 75 las Medidas Datos Cotidiano 8.6 Intercambio información entre el ente certificador y sus clientes. Consiraciones para proteger la información que se intercambia entre el ente certificador y la organización cliente. Medidas. 142