DECLARATORIA de vigencia de la Norma Mexicana NMX-I-27018-NYCE-2016

DECLARATORIA de vigencia de la Norma Mexicana NMX-I-27018-NYCE-2016.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de Economía.- Subsecretaría de Competitividad y Normatividad.- Dirección General de Normas.

DECLARATORIA DE VIGENCIA DE LA NORMA MEXICANA NMX-I-27018-NYCE-2016, TECNOLOGAS DE LA INFORMACIN-TCNICAS DE SEGURIDAD-CDIGO DE PRÁCTICA PARA LA PROTECCIN DE DATOS PERSONALES (DP) PARA PROVEEDORES DE SERVICIOS DE NUBES PBLICAS.

La Secretaría de Economía, por conducto de la Dirección General de Normas, con fundamento en lo dispuesto por los artículos 34 fracciones II, XIII y XXXIII de la Ley Orgánica de la Administración Pública Federal; 3 fracción X, 51-A, 54 y 66 fracción V de la Ley Federal sobre Metrología y Normalización, 45 y 46 del Reglamento de la Ley Federal sobre Metrología y Normalización y 21 fracciones I, IX, XI y XXI del Reglamento Interior de esta Secretaría y habiéndose satisfecho el procedimiento previsto por la ley de la materia para estos efectos, expide la Declaratoria de Vigencia de la Norma Mexicana que se enlista a continuación, misma que ha sido elaborada, aprobada y publicada como Proyecto de Norma Mexicana bajo la responsabilidad del Organismo Nacional de Normalización denominado "Normalización y Certificación Electrónica, S.C. (NYCE)" lo que se hace del conocimiento de los productores, distribuidores, consumidores y del público en general. El texto completo de la Norma que se indica puede ser adquirido en la sede de dicho organismo ubicado en Avenida Lomas de Sotelo número 1097, colonia Lomas de Sotelo, Delegación Miguel Hidalgo, código postal 11200, Ciudad de México, teléfono 5395-0777, Fax 5395-0700 y/o al correo electrónico: nyce@nyce.org.mx, o consultarlo gratuitamente en la biblioteca de la Dirección General de Normas de esta Secretaría, ubicada en Puente de Tecamachalco número 6, colonia Lomas de Tecamachalco, Sección Fuentes, Naucalpan de Juárez, Código Postal 53950, Estado de México.

La Norma Mexicana NMX-I-27018-NYCE-2016, entrará en vigor 60 días naturales después de la publicación de esta Declaratoria de Vigencia en el Diario Oficial de la Federación. SINEC- 20160802133752567

CLAVE O CDIGO	TTULO DE LA NORMA
NMX-I-27018-NYCE-2016	Tecnologías de la información-Técnicas de seguridad-Código de práctica para la protección de datos personales (DP) para proveedores de servicios de nubes públicas
Objetivo y campo de aplicación Esta Norma Mexicana establece objetivos de control y lineamientos comúnmente aceptados para implementar medidas de protección para los datos personales en conformidad con los principios de privacidad de la norma que se indica en el inciso B.4 del apéndice "B" para ambientes públicos de cómputo en la nube. Esta Norma Mexicana específica en particular los lineamientos basados en la NMX-I-27002-NYCE-2015, tomando en cuenta los requisitos normativos para la protección de los DP que se aplican dentro del contexto del (de los) ambiente(s) de riesgo de la seguridad de la información de un prestador de servicios de nubes públicas. Esta Norma Mexicana aplica a todos los tipos y tamaños de organizaciones, incluyendo las empresas públicas y privadas, entidades gubernamentales y organizaciones sin ánimo de lucro, que proveen servicios de procesamiento de información como procesadores de DP por medio del cómputo en la nube bajo contrato para otras organizaciones. Los lineamientos en esta Norma Mexicana también pueden resultar relevantes para las organizaciones que actúan como responsables de DP; no obstante, los responsables de DP pueden estar sujetos a legislación, normatividad y obligaciones de protección adicionales, que no apliquen a los proveedores de servicios de nubes públicas. El fin de esta Norma Mexicana no es cubrir tales obligaciones adicionales.
Concordancia con Normas Internacionales Esta norma coincide totalmente (IDT) con la Norma Internacional "ISO/IEC 27018:2014, Information technology-Security techniques-Code of practice for protection of personally identifiable information (IIP) in public clouds acting as IIP processors, ed (2014-07)".

Bibliografía

BS 10012:2009, Data protection. Specification for a personal information management system (BSI), mayo 2009.

ENISA. Report on Cloud Computing: Benefits, risks and recommendations for information security [en línea]. November 2009 [consulta: 05 de Julio de 2016]. Disponible en: https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment

European Union, Article 29 Working Party, Opinion 05/2012 on Cloud Computing [en línea]. July 2012 [consulta: 05 de Julio de 2016]. Disponible en: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

ISO/IEC 17789:2014, Information technology-Cloud computing-Reference Architecture, octubre 2014.

ISO/IEC 27005:2011, Information technology-Security techniques-Information security risk management, mayo 2011.

ISO/IEC 27018:2014, Information technology-Security techniques-Code of practice for protection of personally identifiable information (IIP) in public clouds acting as IIP processors, Julio 2014.

ISO/IEC 27035:2011, Information technology-Security techniques-Information security incident management, agosto 2011.

ISO/IEC 27040:2015, Information technology-Security techniques-Storage security, enero 2015.

ISO/IEC 29100:2011, Information technology-Security techniques-Privacy framework, diciembre 2012.

ISO/IEC 29101:2013, Information technology-Security techniques-Privacy architecture framework, octubre 2013.

ISO/IEC 29191:2012, Information technology-Security techniques-Requirements for partially anonymous, partially unlinkable authentication, diciembre 2012.

ISO/IEC JTC 1/SC 27 WG 5, Standing Document 2-Part 1: Privacy References List-2013.

JIS Q 15001:2006, Personal information protection management systems-Requirements, mayo 2006.

NIST SP 800-53 rev4, Security and Privacy Controls for Federal Information Systems and Organizations, April 2013.

NIST SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (IIP). April 2010.

NIST SP 800-144. Guidelines on Security and Privacy in Public Cloud Computing. December 2011.

Ciudad de México, a 2 de agosto de 2016.- El Director General de Normas y Secretariado Técnico de la Comisión Nacional de Normalización, Alberto Ulises Esteban Marina.- Rúbrica.