DIA-6 - Ubicación de Información y Datos
Control de residencia de datos y cumplimiento de requisitos de localización geográfica
Definición de Control
Es necesario documentar y mantener actualizado el mapa de ubicaciones donde se almacenan y procesan los datos de la organización, identificando las restricciones de soberanía y residencia aplicables a cada tipo de dato. Es necesario implementar controles técnicos que impidan el almacenamiento en regiones no autorizadas, y evaluar, autorizar y documentar formalmente cualquier transferencia internacional de datos junto con su mecanismo legal de cumplimiento. Es necesario monitorear continuamente estas transferencias y evaluar el impacto de residencia ante nuevas ubicaciones de almacenamiento.
Requisitos
Requisito 1
Documentamos y mantenemos actualizado el mapa de ubicaciones geográficas donde se almacenan y procesan los datos de la organización.
Requisito 2
Identificamos las restricciones de soberanía y residencia de datos aplicables por regulación para cada tipo de dato.
Requisito 3
Validamos con el equipo de seguridad y compliance la selección de regiones cloud para datos con requisitos de residencia.
Requisito 4
Evaluamos y autorizamos formalmente las transferencias de datos fuera de las jurisdicciones permitidas.
Requisito 5
Documentamos el mecanismo legal de cumplimiento aplicable en cada transferencia internacional: cláusulas contractuales tipo, normas corporativas vinculantes o decisión de adecuación.
Requisito 6
Exigimos un DPA actualizado para las transferencias a terceros en el extranjero que refleje los mecanismos de cumplimiento aplicables.
Requisito 7
Implementamos controles técnicos que impidan el almacenamiento de datos en regiones no autorizadas.
Requisito 8
Monitoreamos continuamente las transferencias de datos para detectar movimientos hacia ubicaciones no autorizadas.
Requisito 9
Evaluamos el impacto de residencia de datos ante la incorporación de nuevas ubicaciones de almacenamiento.