Cumplimiento normativo

Eche un vistazo a nuestra completa documentación que resume la adhesión de Palo Alto Networks a los estándares de seguridad globales.

Cumplimiento normativo

Serie ISO 27000

La serie ISO 27000, que incluye las normas ISO 27001, ISO 27017, ISO 27018 e ISO 27701, proporciona un marco sólido para la implementación y la gestión de sistemas de seguridad de la información, seguridad en la nube, privacidad de los datos en la nube y sistemas de gestión de información de privacidad. Estos estándares desarrollados por la Organización Internacional de Normalización (ISO) están aceptados a nivel global, se aplican en todos los países y atañen a todo tipo de organizaciones.

Más información

SOC 2+

El Control de Organización de Servicios tipo 2 (también conocido como SOC 2) fue establecido por el Instituto Americano de Contables Públicos Certificados (AICPA). Se trata de un estándar de generación de informes líder en el sector que, además de entenderse fácilmente, se ha ganado la confianza de los clientes y sus auditores externos. Un informe SOC 2 examina la oferta de servicios en la nube de una organización para determinar qué controles incluye en relación con sus pilares principales: la seguridad, la disponibilidad, la integridad del procesamiento, la confidencialidad o la privacidad. Este marco de cumplimiento normativo puede aplicarse a nivel global y es válido para cualquier organización que almacene datos de sus clientes en la nube.

Más información

PCI-DSS

La Norma de Seguridad de Datos para el Sector de las Tarjetas de Pago (PCI-DSS) es un conjunto de políticas y procedimientos reconocido globalmente destinado a optimizar la seguridad de las transacciones realizadas con tarjetas de crédito. Esta norma se aplica a todas las organizaciones (independientemente del tamaño o el número de transacciones que procesen) que aceptan, transmiten o almacenan datos sobre los titulares de las tarjetas. El objetivo del marco es proteger la información confidencial del titular de la tarjeta durante las transacciones, así como evitar el fraude con tarjetas de crédito. En función del número de transacciones anuales que gestione el proveedor, es posible que sea necesario llevar a cabo una auditoría formal independiente. Si no es necesario hacer una auditoría formal, el proveedor puede demostrar que cumple con la normativa mediante un cuestionario de autoevaluación (SAQ). El SAQ varía en función del entorno empresarial del proveedor.

Más información

C5 (Alemania)

El Catálogo de Controles de Cumplimiento de Informática en la Nube (también conocido como C5) es un marco de cumplimiento normativo sobre ciberseguridad respaldado por el Gobierno alemán y desarrollado por la Oficina Federal para la Seguridad de la Información (BS) de Alemania. El marco C5 se centra en los proveedores de servicios en la nube, tanto si están ubicados en Alemania como en otros países, que tengan la intención de trabajar con clientes del sector público alemán. También se aplica a organizaciones alemanas que desarrollan su negocio en el sector público de Alemania. El C5 establece un modelo de referencia para los controles de seguridad que los proveedores de servicios en la nube deben cumplir, a fin de garantizar que las organizaciones alemanas que utilizan la nube obtienen un alto nivel de resiliencia y seguridad de los datos.

Más información

TISAX

El Intercambio de Evaluación de Seguridad de la Información de Confianza (TISAX) es un catálogo europeo de evaluación sobre seguridad de la información (ISA) estándar en el sector automovilístico basado en aspectos clave de la seguridad de la información, como la protección de datos y la relación con terceros. Aunque el TISAX se basa en la norma ISO 27001, se ha diseñado específicamente para el sector de la automoción y aborda servicios locales y en la nube. El TISAX es un estándar para la seguridad de la información establecido por la Asociación Alemana de la Industria Automotriz (VDA). La VDA también creó el conjunto de requisitos de seguridad del catálogo de ISA, que sienta las bases de la certificación TISAX.

Más información

FedRAMP

El Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP) es una iniciativa del Gobierno Federal de EE. UU. que proporciona una estrategia estandarizada para la evaluación de la seguridad, la autorización y la supervisión continua de los servicios y productos en la nube. Este marco se aplica a los proveedores de servicios en la nube que tengan intención de vender sus soluciones a las agencias federales de EE. UU. El objetivo del FedRAMP es garantizar una seguridad en la nube eficaz y reproducible en el Gobierno Federal. El FedRAMP establece un riguroso proceso de solicitud y unos criterios que los proveedores de servicios en la nube deben cumplir; estos abarcan desde la elaboración de una documentación exhaustiva sobre seguridad hasta la implementación de controles de seguridad robustos, la prueba de su eficacia y la supervisión constante para garantizar una seguridad continua.

Más información

IRAP

El Programa de Evaluadores Registrados de la Seguridad de la Información (IRAP) es una iniciativa de la Dirección Australiana de Señales (ASD) para proporcionar servicios de asesoramiento de calidad sobre seguridad de las tecnologías de la información y la comunicación (TIC) al gobierno y la industria. Mediante el IRAP, la ASD avala a profesionales de la ciberseguridad con la experiencia y las cualificaciones necesarias para llevar a cabo auditorías detalladas, cuyo objetivo es mejorar la seguridad de la información y los sistemas asociados de la industria y el gobierno en general. El IRAP proporciona un proceso exhaustivo para evaluar la seguridad de un sistema de manera independiente en base a las directrices y las políticas del Gobierno australiano que incluyen, entre otras, el Manual de Seguridad de la Información (ISM). El objetivo del IRAP es mejorar la seguridad de los sistemas del Gobierno australiano. Para ello, se centra en la infraestructura de TIC que almacena, procesa y transmite los datos del gobierno federal, estatal y local.

Más información

ISMAP

El Programa de Administración y Evaluación de la Seguridad de los Sistemas de Información (ISMAP) es un sistema de evaluación de la administración pública japonesa que ofrece a los proveedores de servicios en la nube un conjunto común de medidas de seguridad que deben cumplir para poder participar en el programa de adquisición de servicios en la nube del Gobierno de Japón. El ISMAP exige que todos los proveedores de servicios en la nube se sometan a una rigurosa auditoría externa a cargo de un asesor aprobado por el ISMAP.

Más información

Criterios Comunes

Los Criterios Comunes para la Evaluación de la Seguridad de las Tecnologías de la Información (denominados Criterios Comunes o CC) son una norma internacional (ISO-IEC 15408) para evaluar sistemas y productos de TI. Este marco de certificación garantiza que el proceso de especificación, implementación y evaluación de las medidas de seguridad se ha realizado de manera rigurosa, estandarizada y reproducible. La Asociación Nacional de Garantía de la Información (NIAP) es el representante estadounidense en el Acuerdo de Reconocimiento de Criterios Comunes (CCRA), que ha sido reconocido por más de 30 países.

Más información

FIPS 140-2

El Estándar Federal de Procesamiento de la Información (FIPS) 140-2 es una norma del Gobierno de EE. UU. que define los requisitos de seguridad que deben cumplir los módulos criptográficos para garantizar la protección de información confidencial. Este estándar para módulos criptográficos se aplica a los sistemas que se venden al Gobierno Federal de EE. UU. y a determinados sectores regulados (como el sanitario y el financiero) que procesan información confidencial. El FIPS 140-2 cuenta con cuatro niveles de seguridad, siendo el nivel 1 el grado más bajo de garantía de seguridad y el nivel 4 el más alto. El cumplimiento normativo del FIPS 140-2 está reconocido mundialmente como punto de referencia para la seguridad de los módulos criptográficos del sector público y privado.

Más información

Código de buenas prácticas de la Ley de Seguridad de las Telecomunicaciones

El código de buenas prácticas de la Ley de Seguridad de las Telecomunicaciones (Telecom Security Act) es un marco de cumplimiento normativo desarrollado por el Gobierno del Reino Unido para reforzar la seguridad de las redes y los servicios de telecomunicaciones del país. Esta legislación se aplica a todas las redes y servicios públicos de comunicación electrónica del Reino Unido. El código de buenas prácticas establece los requisitos de seguridad que deben cumplir los operadores de telecomunicaciones y sus proveedores de servicios.

Más información

Principios de seguridad en la nube del NCSC

El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) establece un conjunto de 14 principios de seguridad en la nube diseñados para garantizar el uso seguro de los servicios en la nube. Se aplican a todas las organizaciones del Reino Unido que quieran adoptar servicios en la nube. Los principios abarcan una amplia variedad de aspectos relacionados con la seguridad en la nube, entre los que se incluyen la protección de los datos, el control de identidades y accesos, el uso seguro y la seguridad operativa.

Más información

Cyber Essentials Plus

Cyber Essentials Plus es un plan establecido por el Gobierno del Reino Unido y respaldado por la industria para ayudar a las organizaciones a protegerse de las amenazas en línea más comunes. Este marco es aplicable a organizaciones de cualquier tamaño y sector que desarrollen su actividad empresarial en el Reino Unido. Contempla cinco controles clave: configuración segura, cortafuegos en los extremos y puertas de enlace de internet, control del acceso y gestión de privilegios administrativos, gestión de actualizaciones y protección antimalware. Si un proveedor quiere vender sus productos y servicios al sector público británico o presentarse a una licitación de contratos del Gobierno central, deberá contar con una certificación Cyber Essentials. Esta certificación garantiza que se han tomado precauciones esenciales contra las ciberamenazas, lo que incluye los cortafuegos, una configuración segura, el control del acceso de usuarios, la protección antimalware y la gestión de actualizaciones. La certificación tiene dos niveles: Cyber Essentials y Cyber Essentials Plus. Cyber Essentials Plus es más exigente y requiere llevar a cabo pruebas de vulnerabilidad como parte de la certificación.

Más información

Certificación CSPN de la ANSSI

La Certificación de Seguridad de Primer Nivel (CSPN) de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) es una certificación del Gobierno de Francia dirigida a los productos de seguridad de la información. La certificación está reconocida por la administración francesa y por operadores de gran importancia. Se aplica a productos y sistemas comercializados en Francia y tiene como objeto demostrar un alto nivel de seguridad.

Más información

DODIN APL

La Lista de Productos Aprobados por la Red de Información del Departamento de Defensa (DODIN APLs) es un marco de cumplimiento normativo de las fuerzas armadas de EE. UU. Incluye una lista de productos que cumplen determinados requisitos de ciberseguridad e interoperabilidad. Este marco se aplica a proveedores que tengan intención de vender sus productos de tecnologías de la información al Departamento de Defensa estadounidense.

Más información

CSfC

El Programa de Soluciones Comerciales de Uso Clasificado (CSfC) es una iniciativa de la Agencia de Seguridad Nacional de EE. UU. (NSA). Permite a las organizaciones transmitir información clasificada con tecnología disponible en el mercado, incluidos los sistemas móviles y en la nube. El programa está destinado principalmente a proveedores y departamentos del Gobierno estadounidense que trabajan con información clasificada.

Más información

USGv6

El IPv6 del Gobierno de EE. UU. (también conocido como USGv6) es un perfil de estándares técnicos de IPv6 para la adquisición y la implementación de productos y servicios compatibles con IPv6 dentro del Gobierno Federal estadounidense. Este perfil incluye estándares técnicos, pruebas y requisitos de compra para facilitar y agilizar la implementación del IPv6 en los servicios y la infraestructura del Gobierno Federal. El objetivo de este marco es impulsar la adopción del protocolo IPv6 en los sistemas gubernamentales y garantizar su correcta integración.

Más información

NEBS

El Sistema de Construcción de Equipos de Red (NEBS) es un conjunto de especificaciones relativas al diseño de la seguridad, el espacio y el entorno que se aplican a los equipos de telecomunicaciones con el objetivo de garantizar la fiabilidad y la compatibilidad con las redes de los operadores. El NEBS establece tres niveles de cumplimiento normativo, siendo el nivel 1 el grado más bajo de garantía y el nivel 3 el más alto.

Más información

Ley CLOUD de EE. UU.

La Ley Aclaratoria del Uso Legal de Datos en el Extranjero (CLOUD Act) es una ley promulgada en Estados Unidos que otorga al Gobierno autoridad para acceder a los datos electrónicos almacenados por empresas tecnológicas con sede en EE. UU., incluso si los datos se almacenan en servidores ubicados fuera de dicho país. Básicamente, permite que las fuerzas y cuerpos de seguridad de EE. UU. soliciten a las empresas los datos que almacenan en sus sistemas, independientemente de la ubicación física en la que se encuentren, lo cual tiene consecuencias sobre la privacidad y la protección de los datos a escala global.

Más información

VPAT de la Sección 508 de EE. UU.

La Plantilla Voluntaria de Accesibilidad de los Productos (VPAT) de la Sección 508 de EE. UU. es un documento que describe el modo en que los productos de TIC (software, hardware y contenido electrónico) cumplen con los estándares de la Sección 508 de EE. UU. La Sección 508 es una ley federal que obliga a cumplir ciertos requisitos de accesibilidad para las personas con discapacidad.

Más información