Seguridad en la nube

ISO 27017 · ISO 27018

Cada vez que tu empresa usa Microsoft 365, AWS o cualquier nube pública, los datos de tus clientes y empleados están en manos de un tercero. ISO 27017 e ISO 27018 son los estándares internacionales que definen cómo protegerlos y demostrar ese compromiso ante clientes, auditores y reguladores.

NormasISO/IEC 27017:2015 · ISO/IEC 27018:2025
Duración estimada4-6 meses (sobre ISO 27001 existente)
ÁmbitoEmpresas con servicios o datos en la nube pública

La nube ha cambiado dónde viven los datos, pero no ha cambiado quién responde ante la AEPD o ante un cliente cuando se produce una brecha. ISO 27017 añade 37 controles adaptados al entorno cloud (más 7 exclusivos de la nube) sobre los requisitos base de ISO 27001: define qué responsabilidades son del proveedor y cuáles del cliente, cómo endurecer las máquinas virtuales, cómo garantizar la segregación entre entornos y cómo monitorizar lo que ocurre dentro del servicio. El resultado es un mapa claro de seguridad para cualquier empresa que use infraestructura como servicio (IaaS), plataforma (PaaS) o software (SaaS).

ISO 27018, en su edición más reciente (2025), va un paso más allá y se centra en los datos personales: establece un conjunto de controles orientados a garantizar el consentimiento informado, limitar el uso de la información a los fines contratados, facilitar la eliminación segura al finalizar el servicio y mantener transparencia sobre los subprocesadores utilizados. Sus principios son complementarios al RGPD y a la normativa española de protección de datos, de modo que la implantación de ISO 27018 refuerza directamente el cumplimiento regulatorio ya exigible. La edición de agosto de 2025 incorpora además guías específicas para contenedores y microservicios, alineadas con las arquitecturas cloud actuales.

Ninguna de las dos normas es certificable de forma independiente: se auditan como extensiones del Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001. Esto significa que, si tu empresa ya tiene —o está implantando— ISO 27001, añadir el alcance de ISO 27017 e ISO 27018 no supone comenzar desde cero: es ampliar el SGSI con los controles específicos de la nube y someter ese alcance ampliado a la auditoría de un tercero acreditado (AENOR, Bureau Veritas, SGS u otro). El certificado emitido por ese tercero es el que acredita la conformidad; Summum Calidad te acompaña en todo el proceso de preparación.

El proceso de ISO 27017.

El proceso · cuatro tiempos
01

Diagnóstico de madurez cloud

Mapeamos todos los servicios en la nube que usa tu empresa (SaaS, IaaS, PaaS), identificamos qué datos personales o críticos residen en ellos y evaluamos el nivel de control actual frente a los requisitos de ISO 27017 e ISO 27018. El resultado es un informe de brechas con priorización por riesgo.

02

Diseño e implantación de controles

Desarrollamos o adaptamos las políticas, procedimientos y medidas técnicas necesarias: cláusulas de responsabilidad compartida con proveedores cloud, endurecimiento de entornos virtuales, cifrado de datos en tránsito y en reposo, gestión de subprocesadores, procedimientos de baja y eliminación segura de datos, y mecanismos de respuesta ante incidentes en la nube.

03

Integración en el SGSI

Ampliamos el alcance del SGSI ISO 27001 (existente o en implantación) para incluir los controles de ISO 27017 e ISO 27018. Actualizamos la declaración de aplicabilidad, la evaluación de riesgos y la documentación del sistema para que todo quede trazado y auditado.

04

Auditoría y acompañamiento a certificación

Realizamos una preauditoría interna para detectar no conformidades antes de que lo haga el organismo de certificación. Te acompañamos durante la auditoría de tercera parte —respondemos preguntas técnicas, aportamos evidencias, coordinamos con el equipo— hasta que el certificado esté emitido.

Qué incluye

Qué incluye ISO 27017.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Inventario y clasificación de servicios cloud

    Catálogo completo de proveedores, contratos y datos tratados en la nube, con responsabilidades asignadas según el modelo de responsabilidad compartida.

  • Políticas de seguridad cloud

    Documentación de controles específicos para IaaS, PaaS y SaaS: acceso privilegiado, segmentación de redes virtuales, hardening de imágenes de máquinas virtuales.

  • Marco de privacidad en la nube (ISO 27018)

    Procedimientos de consentimiento, retención, portabilidad y eliminación de datos personales alojados en nubes públicas, alineados con el RGPD y la LOPDGDD.

  • Gestión de subprocesadores

    Registro actualizado de subprocesadores de los proveedores cloud, evaluación de su nivel de seguridad y cláusulas contractuales obligatorias.

  • Plan de respuesta a incidentes cloud

    Procedimiento específico para brechas de seguridad en entornos cloud: contención, notificación a la AEPD en plazo legal (72 horas), comunicación a afectados y recuperación.

  • Auditoría interna y preauditoría de certificación

    Revisión independiente del sistema antes de la auditoría externa, con informe de hallazgos y plan de acciones correctivas para llegar sin sorpresas al certificado.

Cluster Summum

Cómo se cruza con las hermanas.

La seguridad en la nube se cruza con la estrategia de ciberseguridad gestionada de Summum Sistemas (SOC y cloud) y con el cumplimiento normativo de Summum Consultoría (NIS2, RGPD, DPO externo): cuando el proyecto lo requiere, los tres equipos trabajan de forma coordinada sin que el cliente tenga que gestionar tres proveedores distintos.

Preguntas frecuentes sobre ISO 27017.

¿Puedo certificarme en ISO 27017 o ISO 27018 de forma independiente?

No. Ninguna de las dos normas es certificable de forma autónoma. La certificación se obtiene ampliando el alcance de un SGSI basado en ISO 27001: el organismo de certificación acreditado audita el sistema en su conjunto e incluye en el certificado la cobertura de ISO 27017 e ISO 27018. Summum Calidad te acompaña desde el diagnóstico hasta la emisión del certificado, pero quien certifica es siempre un tercero acreditado (AENOR, Bureau Veritas, SGS, etc.).

¿Qué diferencia hay entre ISO 27017 e ISO 27018?

ISO 27017 se ocupa de la seguridad técnica y organizativa en la nube: define controles para proveedores y clientes cloud sobre hardening, segregación, monitorización y responsabilidades compartidas. ISO 27018 se centra específicamente en los datos personales (PII) que se tratan en nubes públicas cuando el proveedor actúa como encargado del tratamiento: consentimiento, limitación de uso, eliminación segura y transparencia ante los interesados. Son complementarias y habitualmente se implantan juntas.

¿ISO 27018 sustituye o duplica el RGPD?

No sustituye al RGPD: la norma no tiene fuerza de ley. Lo que hace es proporcionar un marco técnico y documental que facilita el cumplimiento del RGPD en el entorno cloud, cubriendo los vacíos que el reglamento no detalla a nivel de control específico. Tener ISO 27018 implantada y auditada refuerza la posición de tu empresa ante una inspección de la AEPD y ante clientes que exigen garantías sobre el tratamiento de sus datos en la nube.

¿A qué tipo de empresa le conviene implantar estas normas?

A cualquier empresa que use servicios en la nube pública para tratar datos de clientes, pacientes, empleados o cualquier persona identificable. El beneficio es especialmente claro para: empresas que proveen servicios a otras empresas (B2B) y reciben auditorías de seguridad de sus clientes; organizaciones en sectores regulados como salud, finanzas o logística; y aquellas que, tras la entrada en vigor de NIS2, quedan clasificadas como entidades esenciales o importantes.

¿Cuánto tiempo lleva implantar ISO 27017 e ISO 27018 sobre una ISO 27001 existente?

Si la empresa ya tiene un SGSI certificado en ISO 27001 operativo, el proceso de ampliación de alcance para incluir ISO 27017 e ISO 27018 puede completarse en cuatro a seis meses, dependiendo de la complejidad de los servicios cloud utilizados y el número de proveedores implicados. Si el punto de partida es cero (sin ISO 27001), el plazo se extiende porque hay que construir primero el SGSI base.