ISO 27017 e ISO 27018: seguridad y privacidad en la nube

·

Cuando una empresa sube sus datos a la nube, firma un contrato con su proveedor y confía en que al otro lado hay algo más que buenas intenciones. Las normas ISO/IEC 27017:2015 e ISO/IEC 27018:2019 formalizan esa confianza: la primera establece controles de seguridad específicos para servicios cloud; la segunda añade una capa de protección para los datos personales que se tratan en esos entornos. Juntas cubren el perímetro que ISO 27001, por sí sola, deja abierto en contextos de nube pública o híbrida.

Nota: ISO/IEC 27018 fue revisada en 2025 (edición vigente: ISO/IEC 27018:2025, publicada en octubre de 2025, que reemplaza a la edición de 2019). El contenido de este artículo es aplicable a ambas ediciones; los principios y controles de privacidad se han mantenido alineados con ISO/IEC 27002:2022.

En Summum Marketing acompañamos a empresas desde 2007 en la implantación de sistemas de gestión de la información. Hemos visto cómo la migración masiva a la nube ha hecho que clientes que ya tenían ISO 27001 necesiten ampliar su certificación hacia estos dos estándares. Este artículo explica qué cubre cada norma, cuándo es obligatorio o conveniente certificarse, y cómo se articula el proceso cuando partes desde cero o desde una ISO 27001 existente.

Qué es ISO 27017: controles de seguridad para la nube

La ISO/IEC 27017:2015 es una guía de controles de seguridad de la información específicamente diseñada para servicios en la nube. No es una norma certificable de forma independiente: extiende el Anexo A de ISO 27001 con siete controles adicionales que no figuran en el catálogo original y matiza cómo deben aplicarse otros controles existentes cuando el entorno es cloud.

Los siete controles exclusivos que añade ISO 27017 responden a preguntas que todo directivo debería hacerse antes de firmar un contrato con un proveedor cloud:

La norma se dirige a dos actores: el proveedor de servicios cloud (CSP) —AWS, Azure, Google Cloud, un datacenter propio— y el cliente cloud (CSC) —la empresa que usa esos servicios—. Cada control especifica si la responsabilidad recae en el CSP, en el CSC o en ambos. Esto elimina la zona gris que existe en muchos contratos de servicios gestionados.

Qué es ISO 27018: privacidad de datos personales en la nube

La ISO/IEC 27018:2025 (tercera edición, publicada en octubre de 2025, que revisa y reemplaza la edición de 2019) protege la privacidad de las personas físicas cuyos datos se tratan en servicios cloud. Se aplica sobre proveedores que actúan como encargados del tratamiento en el sentido del Reglamento General de Protección de Datos (RGPD): empresas que procesan datos personales por cuenta de otra organización.

Si tu empresa subcontrata el procesamiento de nóminas a un SaaS de RRHH, o almacena fichas de clientes en un CRM en la nube, el proveedor de ese servicio debería poder acreditar ISO 27018. La norma fija principios como:

ISO 27018 no es una certificación de cumplimiento del RGPD —eso lo determina la AEPD o el organismo nacional competente—, pero sí es una evidencia técnica reconocida que facilita la acreditación de encargados del tratamiento y refuerza las garantías contractuales exigidas por el artículo 28 del RGPD.

Diferencias clave entre ISO 27017 e ISO 27018

Dimensión ISO 27017:2015 ISO 27018:2019
Objeto Seguridad de la información en servicios cloud Privacidad de datos personales en la nube
A quién va dirigida Proveedores y clientes cloud (CSP y CSC) Proveedores cloud que actúan como encargados del tratamiento
Marco de referencia Extiende el Anexo A de ISO 27001 Extiende ISO 27001 con principios de privacidad (alineada con ISO 29100)
Relación con el RGPD Indirecta: mejora la seguridad técnica que el RGPD exige Directa: cubre las garantías del encargado del tratamiento (art. 28 RGPD)
¿Es certificable? Sí, como extensión de ISO 27001 Sí, como extensión de ISO 27001
Versión vigente ISO/IEC 27017:2015 ISO/IEC 27018:2025
Tipo de datos que protege Todos los activos de información en la nube Exclusivamente datos de carácter personal (PII)

¿Son certificables? ¿Cómo funcionan con ISO 27001?

Aquí viene la pregunta más frecuente: ninguna de las dos normas se puede certificar de forma autónoma. Ambas operan como extensiones de ISO 27001. El proceso habitual es:

  1. La organización implanta ISO 27001 como base (Sistema de Gestión de Seguridad de la Información, SGSI).
  2. Sobre ese SGSI, se añaden los controles adicionales de ISO 27017, ISO 27018 o ambas.
  3. El organismo de certificación acreditado (AENOR, Bureau Veritas, SGS, BSI u otros acreditados por ENAC) emite un certificado ISO 27001 que en su alcance hace mención explícita a las extensiones cloud aplicadas.

Algunos organismos emiten certificados combinados del tipo «ISO 27001:2022 + ISO 27017:2015 + ISO 27018:2019». Esto es especialmente habitual en proveedores SaaS o en empresas que quieren diferenciarse ante clientes del sector público, financiero o sanitario.

Si tu empresa ya tiene ISO 27001 vigente, la extensión a ISO 27017 e ISO 27018 no exige repetir todo el proceso desde cero. Se trata de un análisis de brechas (gap analysis) sobre los controles actuales, la incorporación de los controles cloud que falten y una auditoría de extensión. El esfuerzo es significativamente menor que una primera certificación.

Si todavía no tienes ISO 27001, en nuestro servicio de implantación ISO 27001 encontrarás el punto de partida natural: lo construimos desde el inicio teniendo en cuenta los requisitos cloud para que la extensión a ISO 27017 e ISO 27018 sea un paso sencillo y no un proyecto aparte.

Quién debería certificar ISO 27017 e ISO 27018

No todas las organizaciones necesitan estas certificaciones, pero hay perfiles para los que son casi imprescindibles:

Proveedores de servicios SaaS, IaaS o PaaS

Si tu negocio es proporcionar infraestructura o software como servicio, ISO 27017 es la prueba que tus clientes corporativos te van a pedir antes de firmar un contrato. Las grandes cuentas —administraciones públicas, banca, sanidad, industria regulada— incluyen ya en sus pliegos la certificación ISO 27017 como requisito o como criterio de puntuación.

Empresas que subcontratan el tratamiento de datos personales

Si tu CRM, tu plataforma de e-mail marketing, tu ERP o tu sistema de gestión de RRHH viven en la nube y procesan datos de personas físicas (empleados, clientes, pacientes), ISO 27018 en el proveedor es la garantía técnica que el RGPD te obliga a verificar. No es suficiente con la firma de un acuerdo de encargo del tratamiento: necesitas evidencia de que los controles se aplican de verdad.

Empresas con clientes en sectores regulados

Sanidad (LOPD-GDD, NIS2), servicios financieros (DORA, PSD2), sector público (ENS) y defensa exigen niveles de aseguramiento que van más allá de ISO 27001 base. ISO 27017 e ISO 27018 cubren buena parte de ese delta y facilitan el cumplimiento cruzado.

Empresas que quieren diferenciarse comercialmente

La certificación es visible. Publicarla en tu web, en tus propuestas y en tus contratos reduce la fricción de ventas con compradores que tienen checklist de seguridad. En sectores donde varios proveedores tienen ISO 27001, el que suma 27017 y 27018 parte con ventaja.

Cómo es el proceso de implantación: etapas prácticas

El camino desde la decisión hasta el certificado tiene fases bien definidas. En Summum acompañamos todo el recorrido, sin delegar en el cliente la parte técnica ni la documental:

1. Diagnóstico de partida (gap analysis cloud)

Mapeamos el inventario de servicios cloud que usa la organización (IaaS, PaaS, SaaS), identificamos los flujos de datos personales que pasan por esos servicios y comparamos los controles actuales con los exigidos por ISO 27017 e ISO 27018. El resultado es un plan de acción priorizado por riesgo.

2. Diseño del alcance y política de seguridad cloud

Definimos qué servicios cloud entran en el alcance de la certificación, documentamos las responsabilidades compartidas con cada proveedor y actualizamos la política de seguridad para reflejar el entorno híbrido o multicloud real.

3. Implantación de controles

Aplicamos los siete controles exclusivos de ISO 27017 y los procedimientos de privacidad de ISO 27018: procedimiento de eliminación segura de datos al finalizar contratos, protocolo de notificación de brechas, gestión de accesos privilegiados en entornos virtualizados, segmentación de redes cloud y registros de actividad consolidados entre proveedor y cliente.

4. Auditoría interna y revisión de dirección

Verificamos internamente que los controles funcionan antes de exponer el sistema a la auditoría externa. Identificamos y cerramos desviaciones menores. La dirección revisa y aprueba el sistema ampliado.

5. Auditoría de certificación

El organismo acreditado realiza la auditoría de etapa 1 (revisión documental) y etapa 2 (verificación en campo). Si no hay no conformidades mayores, emite el certificado con el alcance cloud definido.

Si ya tienes ISO 27001, el proceso se condensa: el gap analysis es más ágil, la documentación base ya existe y la auditoría externa puede plantearse como una auditoría de extensión de alcance. En muchos casos, el tiempo total desde el inicio hasta el certificado se sitúa entre tres y seis meses.

Puedes ampliar la información sobre nuestro servicio específico en la página de implantación y certificación ISO 27017 e ISO 27018, donde detallamos el alcance, las fases y los perfiles de empresas a los que más les conviene.

ISO 27017 e ISO 27018 en el contexto regulatorio de 2025-2026

El entorno normativo ha cambiado de forma notable en los últimos dos años y refuerza la relevancia de estas normas:

El panorama es claro: si tu empresa opera en la nube y sirve a clientes regulados o a la administración pública, ISO 27017 e ISO 27018 dejan de ser opcionales y pasan a ser condición de acceso al mercado.

Preguntas frecuentes

¿Puedo certificar ISO 27017 o ISO 27018 sin tener ISO 27001?

No. Ambas normas son extensiones de ISO 27001 y requieren que el Sistema de Gestión de Seguridad de la Información (SGSI) base esté implantado y certificado. ISO 27001 establece el marco de gestión, los controles, las auditorías internas y las revisiones de dirección sobre los que se apoyan los controles adicionales cloud. Sin esa base, no hay certificación posible. Si tu punto de partida es cero, el proyecto comienza por ISO 27001 e integra desde el inicio los requisitos cloud para que la extensión a 27017 y 27018 sea parte del mismo esfuerzo, no un proyecto posterior.

¿ISO 27018 equivale al cumplimiento del RGPD?

No equivale, pero complementa. ISO 27018 no es una certificación de cumplimiento normativo en el sentido del RGPD; la AEPD no la homologa como sustituta de las obligaciones legales. Lo que sí hace es proporcionar evidencia técnica auditada de que el proveedor cloud aplica controles de privacidad alineados con los principios del RGPD (minimización, limitación del propósito, derecho de supresión, notificación de brechas). Esa evidencia facilita enormemente la diligencia debida exigida por el artículo 28 del RGPD cuando el cliente debe acreditar que ha elegido un encargado del tratamiento con garantías suficientes.

¿Cuánto tarda el proceso si ya tenemos ISO 27001?

Depende del número de servicios cloud en alcance y del grado de madurez de los controles actuales, pero el rango habitual oscila entre tres y seis meses. El gap analysis inicial suele durar dos a cuatro semanas; la implantación de controles adicionales, entre seis y diez semanas; y la auditoría externa se programa una vez el sistema está estabilizado. El factor que más acorta el plazo es tener bien documentada la arquitectura cloud y los contratos con proveedores. Si esa documentación no existe, generar el inventario de servicios y las matrices de responsabilidades compartidas consume tiempo antes de poder hablar de controles.

¿Los grandes proveedores cloud como Azure o AWS ya tienen estas certificaciones? ¿Me beneficio automáticamente?

Microsoft Azure, Amazon Web Services y Google Cloud tienen certificaciones ISO 27017 e ISO 27018 sobre su infraestructura. Sin embargo, eso solo cubre la responsabilidad del proveedor según el modelo de responsabilidad compartida. La capa de aplicación, la configuración de accesos, la gestión de identidades, las copias de seguridad y el tratamiento de datos personales que hace tu organización sobre esa infraestructura siguen siendo responsabilidad tuya. Usar Azure con ISO 27017 no te convierte automáticamente en una organización con ISO 27017: necesitas demostrar que tú también aplicas los controles que te corresponden como cliente cloud (CSC). Es exactamente en esa brecha donde trabaja Summum.