Cada Marco que Cubrimos con Usted.
Resumen de marcos de cumplimiento
Un programa unificado de cumplimiento a nivel federal de EE. UU., estatal, UE/Reino Unido y América Latina — más los estándares de la industria que sus clientes empresariales requieren y los controles que las aseguradoras de ciber-seguro exigen. Cada marco a continuación se conecta con el servicio que lo gestiona.
GDPR y UK GDPR
El régimen de privacidad más prescriptivo del mundo — y el que sus clientes y socios europeos exigirán que cumpla independientemente de dónde tenga su sede.
GDPR — Reglamento General de Protección de Datos de la UE
Cumplimiento de los Artículos 5, 25, 30, 33 y 35 — mapeo de base legal, minimización de datos, privacidad desde el diseño, RoPA, preparación para notificación de brechas, DPIA. Cumplimiento de transferencias internacionales (SCCs, adecuación, TIAs). Alineación con UK GDPR y Data Protection Act 2018.
Ver servicio GDPR →Federal y Regulaciones Sectoriales
Obligaciones federales y sectoriales que aplican a salud, servicios financieros, contratistas federales y cualquier organización que elija un marco de ciberseguridad reconocido como su línea base.
HIPAA — Health Insurance Portability & Accountability Act
Salvaguardas técnicas y administrativas del Security Rule, Privacy Rule, Breach Notification Rule. Revisión de BAA, análisis de riesgo (45 CFR 164.308), inventario de PHI, postura de cifrado, política de sanciones, capacitación del personal.
Ver servicio HIPAA →GLBA — Gramm-Leach-Bliley Act
Cumplimiento del Safeguards Rule para servicios financieros. Programa de seguridad de la información, políticas escritas, evaluación de riesgo, enmiendas FTC GLBA (cifrado, MFA, controles de acceso, supervisión de proveedores, gestión del cambio).
Ver servicio GLBA →NIST CSF 2.0
Alineación con el NIST Cybersecurity Framework — funciones Gobernar, Identificar, Proteger, Detectar, Responder, Recuperar. Perfil actual, perfil objetivo, análisis de brechas, hoja de ruta de implementación, reportes ejecutivos.
Ver servicio NIST CSF →NIST AI RMF
Marco de Gestión de Riesgo de IA — funciones Gobernar, Mapear, Medir, Gestionar. Inventario de IA, clasificación de riesgos, documentación de modelos, evaluación de sesgo y equidad, gobierno de proveedores de IA de terceros.
Ver servicio NIST AI RMF →CIS Controls v8
Controles de los Grupos de Implementación 1, 2 y 3. Línea base de controles prácticos y priorizados — particularmente eficaz para organizaciones SMB y de mercado medio que necesitan un programa de seguridad defendible sin una implementación completa de NIST o ISO.
Ver servicio CIS Controls →Leyes Estatales de Privacidad y Protección al Consumidor
Más de veinte regímenes estatales de privacidad y creciendo — la mayoría se pueden operacionalizar bajo un solo programa si se dimensionan correctamente desde el inicio.
CCPA / CPRA — California
Operacionalización de derechos del consumidor (DSAR, derecho de eliminación, opt-out de venta/compartición), aviso en la recolección, manejo de información personal sensible, divulgaciones de decisiones automatizadas, traslado contractual a proveedores de servicios.
Ver servicio CCPA →Leyes Estatales de Privacidad — VA, CO, CT, UT, TX, OR + emergentes
Virginia VCDPA, Colorado CPA, Connecticut CTDPA, Utah UCPA, Texas TDPSA, Oregon OCPA — más el seguimiento de regímenes estatales emergentes (Florida FDBR, Tennessee TIPA, Indiana ICDPA, entre otros). Alineación operacional multi-estado bajo un solo programa.
Ver servicio privacidad estatal →Regímenes LATAM de Protección de Datos
Sitoo Advisory opera a través del panorama de protección de datos en LATAM, con particular profundidad en los regímenes brasileño y mexicano — los dos mercados latinoamericanos más grandes y los marcos regulatorios más operacionalizados de la región.
LGPD — Brasil
Lei Geral de Proteção de Dados. Mapeo de base legal (Artículo 7), derechos del titular, designación del DPO (encarregado), notificación de brechas a la ANPD, transferencias internacionales, RIPD (relatório de impacto à proteção de dados).
Ver servicio LGPD →LFPDPPP — México
Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Aviso de privacidad, derechos ARCO (Acceso, Rectificación, Cancelación, Oposición), gestión del consentimiento, notificación de brechas al INAI, intercambio de datos con terceros.
Ver servicio LFPDPPP →Programas de Cumplimiento Listos para Auditoría
Los estándares voluntarios que sus clientes empresariales le requerirán demostrar — y las atestaciones que su aseguradora de ciber-seguro exigirá en la renovación.
SOC 2 Tipos I y II
AICPA Trust Services Criteria — Seguridad, Disponibilidad, Integridad de Procesamiento, Confidencialidad, Privacidad. Scoping del marco, implementación de controles, biblioteca de evidencia, coordinación con auditor, gestión del período de observación.
Ver servicio SOC 2 →ISO 27001 / 27002
Certificación del Sistema de Gestión de Seguridad de la Información. Definición de alcance del SGSI, implementación de controles del Anexo A, plan de tratamiento de riesgos, auditoría interna, revisión por la dirección, selección del organismo de certificación.
Ver servicio ISO 27001 →PCI DSS v4.0
Payment Card Industry Data Security Standard. Scoping de SAQ, validación de segmentación, línea base de controles (12 requisitos), recolección de evidencia, coordinación con QSA para organizaciones Nivel 1.
Ver servicio PCI DSS →Ciber-Seguro — Atestación de Aseguradora
Controles requeridos por aseguradoras (MFA, EDR, respaldos inmutables, plan de respuesta a incidentes, capacitación del personal, gestión de riesgos de terceros). Preparación de la aplicación, atestación de controles, remediación de brechas, preparación para renovación.
Ver servicio ciber-seguro →¿Cuál Marco Aplica a Usted?
Muchas organizaciones enfrentan obligaciones superpuestas — GDPR más SOC 2 más privacidad estatal más atestación de ciber-seguro. Mapeamos las superposiciones, dimensionamos el trabajo y ejecutamos un programa unificado. Confirmamos el ajuste antes de iniciar cualquier trabajo.