ISO/IEC 27018.

ISO 27018 es la extensión de controles de privacidad de ISO 27001 para proveedores de nube que actúan como encargados del tratamiento de información de identificación personal. Conecta ISO 27001 con las obligaciones del encargado bajo GDPR. La certificación la obtienen principalmente los grandes proveedores de nube y sus clientes la utilizan como insumo en la diligencia debida de proveedores.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

La perspectiva de Cyber Academy

ISO 27018 es la extensión de controles de privacidad de ISO 27001 para proveedores de nube que actúan como encargados del tratamiento de información de identificación personal. Conecta ISO 27001 con las obligaciones del encargado bajo GDPR. La certificación la obtienen principalmente los grandes proveedores de nube y sus clientes la utilizan como insumo en la diligencia debida de proveedores.

Qué añade la norma ISO/IEC 27018 por encima de ISO 27001

ISO/IEC 27018 es un código de buenas prácticas, no un sistema de gestión autónomo. Da por supuesto que usted ya opera un sistema de gestión de la seguridad de la información certificado conforme a ISO/IEC 27001, y le acopla una capa de privacidad sobre esa base. En concreto, se dirige a un único rol: un proveedor de servicios de nube pública que actúa como encargado del tratamiento de información de identificación personal (PII) por cuenta de sus clientes. La norma toma los controles genéricos de ISO/IEC 27002 y los reinterpreta para ese contexto de encargado, y después añade un conjunto de controles de privacidad específicos de la nube que ISO 27001 por sí sola no exige.

La consecuencia práctica es que ISO 27018 no se certifica por sí sola. Un proveedor se certifica conforme a ISO 27001 con ISO 27018 como conjunto de controles aplicable dentro del alcance. Por eso la verá expresada como «certificado conforme a ISO 27001, auditado frente a ISO 27018» en lugar de como un certificado independiente. Los controles se refieren a cuestiones que un cliente de la nube no puede verificar fácilmente por sí mismo: si el proveedor utilizará la PII del cliente para su propia publicidad, si los subencargados se divulgan antes de ser contratados, cómo se tratan los datos al finalizar un contrato y qué ocurre cuando las autoridades solicitan acceso a los datos.

Dónde se sitúa entre ISO 27001, ISO 27017 y el GDPR

Tres referencias vecinas se confunden con ISO 27018, y las distinciones importan cuando se delimita una auditoría o se rellena un cuestionario de proveedor. ISO 27001 es el sistema de gestión que rige la seguridad de la información en general. ISO 27017 es el código de buenas prácticas de seguridad en la nube, más amplio que la privacidad y centrado en la seguridad de los servicios en la nube tanto para el proveedor como para el cliente. ISO 27018 es más estrecha que ambas: es privacidad, en la nube pública, únicamente para el rol de encargado del tratamiento.

ISO 27018 comparada con las normas vecinas
ReferenciaAlcanceQué regula
ISO/IEC 27001Gestión de la seguridad de la informaciónEl SGSI certificable que las demás amplían
ISO/IEC 27017Controles de seguridad en la nubeSeguridad de los servicios en la nube, proveedor y cliente
ISO/IEC 27018Privacidad en la nube para encargados del tratamientoProtección de la PII tratada por un encargado del tratamiento en la nube
GDPRDerecho de protección de datos de la UEObligaciones legales para responsables y encargados del tratamiento

ISO 27018 es un puente útil hacia las obligaciones del encargado del tratamiento bajo el GDPR porque operativiza ideas que el reglamento expresa en términos jurídicos: limitación de la finalidad, transparencia sobre la subcontratación, asistencia al responsable del tratamiento, y devolución o supresión de los datos. Pero no es un sustituto. Un certificado frente a ISO 27018 es prueba de buenas prácticas del encargado del tratamiento, no una constatación de cumplimiento legal. El GDPR asigna obligaciones mediante normas vinculantes y contratos entre responsable y encargado del tratamiento; una norma no puede hacer eso por usted.

Qué hacen realmente los profesionales con ella

Para la mayoría de las organizaciones, ISO 27018 es algo que se consume más que algo que se posee. Cuando selecciona un servicio en la nube y su evaluación de impacto relativa a la protección de datos o su proceso de riesgo de terceros pregunta «¿es de confianza este encargado del tratamiento?», la auditoría ISO 27018 del proveedor es uno de los artefactos que recopila, junto con las declaraciones de alcance de ISO 27001, los informes SOC y el acuerdo de tratamiento.

  • Confirme que el certificado está vigente y que el servicio en la nube que realmente utiliza queda dentro del alcance auditado, no solo el SGSI corporativo.
  • Léala junto con ISO 27001 e ISO 27017, ya que las tres están diseñadas para superponerse, y un proveedor que posee las tres ha cubierto la seguridad y la privacidad en la nube de forma más completa.
  • Asigne los controles de ISO 27018 a sus propias obligaciones bajo el GDPR en lugar de presuponer solapamiento, porque la norma respalda la relación de encargado del tratamiento pero no exonera al responsable del tratamiento de sus deberes legales.
  • Mantenga el contrato de tratamiento como documento vinculante. La norma señala intención; el acuerdo de tratamiento de datos es lo que usted hace cumplir.

Frequently asked questions

01¿Puede un proveedor certificarse conforme a ISO 27018 por sí sola?

No. ISO 27018 es un código de buenas prácticas aplicado dentro de un sistema de gestión ISO 27001. Un proveedor se certifica conforme a ISO 27001 y se audita frente a ISO 27018 como conjunto de controles de privacidad aplicable, en lugar de recibir un certificado ISO 27018 independiente.

02¿Hace ISO 27018 que un proveedor cumpla con el GDPR?

No. Tiende un puente hacia las obligaciones del encargado del tratamiento bajo el GDPR al operativizar prácticas como la transparencia sobre la subcontratación y la devolución o supresión de los datos, pero el cumplimiento legal procede de la ley y del contrato de tratamiento. Trate el certificado como prueba de apoyo, no como prueba de cumplimiento.

03¿Cuál es la diferencia entre ISO 27017 e ISO 27018?

ISO 27017 es el código de buenas prácticas de seguridad en la nube más amplio, que cubre tanto al proveedor como al cliente. ISO 27018 es más estrecha: aborda la protección de la información de identificación personal cuando un proveedor de nube pública actúa como encargado del tratamiento.

04¿Debería mi organización certificarse conforme a ISO 27018?

Por lo general, solo si usted mismo opera un servicio de nube pública que trata la PII de los clientes como encargado del tratamiento. Para la mayoría de las organizaciones, ISO 27018 es algo que se consulta sobre sus proveedores como insumo de diligencia debida, no algo que se posee.

05¿Quién posee realmente la certificación ISO 27018?

La poseen con mayor frecuencia los grandes proveedores de nube y los hyperscalers, ya que la norma se dirige al rol de encargado del tratamiento en la nube pública. Sus clientes utilizan después la auditoría como uno de los insumos al evaluar al proveedor.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.