Alcance
Esta norma establece los objetivos de control comúnmente aceptables, controles y directrices para implementar medidas para proteger la Información Personal de Identificación (PII) de acuerdo con los principios de privacidad que se encuentran en ISO/IEC 29100 para el entorno de computación en nubes públicas.En particular, esta norma especifica las directrices basándose en ISO/IEC 27002, tomando en consideración los requerimientos reglamentarios para la protección de la PII que pueden ser aplicables dentro del contexto de entorno(s) de riesgo(s) de seguridad de la información de un prestador de servicios de nubes públicas.Esta norma es aplicable a organizaciones de todos los tipos y tamaños, incluyendo compañías públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que proporcionen servicios de procesamiento de información como procesadores de PII por medio de la computación en la nube bajo contrato con otras organizaciones.Las directrices en esta norma también pueden ser relevantes para organizaciones que funcionen como controladores de PII; sin embargo, los controladores de PII pueden estar sujetos a legislaciones, reglamentos, y obligaciones de protección de PII adicionales, que no se aplican a los procesadores de PII. Esta norma no está destinada a cubrir esas obligaciones adicionales.