SPET: Certificación de Servicios
Prestados por un Encargado de Tratamiento

ISMS Forum

¡Certifica tu servicio de encargo de tratamiento!

SERVICIOS PROFESIONALES
SERVICIOS CLOUD
SERVICIOS ON PREMISE

ISMS Forum, Entidad de Certificación para la certificación oficial SPET

ISMS Forum, en su compromiso con la comunidad de expertos en protección de datos, se constituye como Entidad de Certificación en virtud del Esquema de Certificación de Servicios Prestados por un Encargado de Tratamiento de datos de carácter personal (Esquema SPET), siguiendo el procedimiento de acreditación de ENAC, ISO/IEC 17065/2012.

El Esquema SPET es un marco de referencia oficial para la certificación de servicios de encargo de tratamiento, proporcionando a los Encargados de Tratamiento una ventaja competitiva en su servicio ofertado, y a los Responsables de Tratamiento, una garantía y seguridad en la calidad y conformidad de dichos servicios.

La conformidad con los requisitos de la certificación SPET determina el reconocimiento de un tratamiento adecuado de la información personal. Esto implica elevados niveles de confianza en las relaciones con terceros.

¿Cómo puedes certificar tu servicio de encargo de tratamiento?

Para obtener la certificación SPET es necesario iniciar el proceso de solicitud y presentar los formularios correspondientes. Una vez completada la revisión, será necesario superar la auditoría de certificación del servicio candidato.

  1. Cumplimentación de formularios:
    • Formulario I01: Inicial de precertificación. Debe ser enviado a la Entidad de Certificación para iniciar el proceso de solicitud de certificación del servicio de interés.
    • Tras la confirmación de la Entidad de Certificación, se debe enviar el Formulario I02: Solicitud de certificación.
  2. Revisión inicial:
    • Una vez recibida la solicitud de certificación, y dentro de un plazo de 30 días hábiles, el revisor asignado verificará la correctitud de la información expuesta y evaluará si el servicio es certificable. Se determinará también la categoría que corresponde al servicio.
    • Si el servicio no es certificable, el solicitante será notificado, y el proceso finalizará.
    • Si el servicio es certificable, el revisor trasladará al auditor la solicitud de certificación del servicio candidato para que determine los controles a implementar y la documentación necesaria a preparar por parte del solicitante para la auditoría del servicio.
  3. Verificación de la documentación:
    • Tras recibir toda la documentación, se verificará que esté completa y cumpla con los requisitos exigidos.
    • Si faltan documentos o no se cumplen los requisitos, se notificará al candidato por escrito, otorgándole un plazo de 10 días hábiles para subsanar las deficiencias.
    • Si no se subsanan las deficiencias dentro del plazo, la solicitud se declarará no admitida y se cerrará el expediente, ofreciendo la posibilidad de presentar alegaciones.
  4. Evaluación:
    • Si la solicitud es aceptada, el candidato será informado por escrito, y el revisor remitirá la documentación al auditor, quien llevará a cabo el proceso de evaluación del servicio.


A través de la solicitud, el candidato a la certificación del servicio declara conocer el proceso de certificación descrito en el documento DC01: Información al candidato, y acepta someter el servicio candidato a las pruebas de evaluación. 

Toda la documentación deberá ser remitida en formato digital a la dirección spet@ismsforum.es. Una vez presentada la solicitud, ISMS Forum procederá a su evaluación para comprobar que toda la información está completa.

El proceso de evaluación de los servicios para la certificación SPET requiere de una auditoría del servicio candidato llevada a cabo por el auditor designado.

  1. Dominios de control:
    • El proceso de auditoría se lleva a cabo siguiendo los dominios de control aplicables. Cada servicio puede estar compuesto por uno o varios de estos dominios de control, dependiendo del alcance del servicio.

    • Los dominios de control determinan la legislación a cumplir, y, por lo tanto, los controles específicos que se evaluarán durante el proceso de auditoría. Estos controles aseguran que el servicio cumpla con los requisitos establecidos por el RGPD y la LOPDGDD, según el tipo de tratamiento de datos que se realiza.

    • Los dominios de control establecidos en el esquema SPET son los siguientes:

      • Registro de Actividades de Tratamiento de Encargado: revisión del cumplimiento del registro de actividades de tratamiento según los Art. 30 RGPD y Art. 31 LOPDGDD.
      • Delegado de Protección de Datos (DPO): evaluación del cumplimiento de la función del DPO conforme a los Art. 37 RGPD y Art. 34 LOPDGDD.
      • Responsable en la Unión Europea: para entidades fuera de la UE/EEE sujetas al RGPD (Art. 27 RGPD y Art. 30 LOPDGDD).
      • (Sub)Encargo del Tratamiento: evaluación de la selección de subencargados y regularización de estas relaciones (Art. 5.2 RGPD).
      • Transferencias Internacionales de Datos: revisión del cumplimiento de las transferencias internacionales (Art. 44-49 RGPD).
      • Medidas de Seguridad: evaluación de las medidas de seguridad implementadas (Art. 32 RGPD).
      • Notificación de Brechas de Seguridad de Datos: cumplimiento de la gestión de violaciones de seguridad (Art. 33-34 RGPD).
      • Obligaciones Contractuales: verificación de la regularización contractual con los responsables del tratamiento (Art. 28 RGPD y Art. 33 LOPDGDD).

  2. Decisión de certificación:
    • Una vez realizada la auditoría, ISMS Forum comprobará su desarrollo y resultados para tomar la decisión sobre la certificación.

    • Para que el servicio candidato sea certificado, no debe presentar ninguna No Conformidad. Si se detecta algún motivo para denegar la certificación, se notificará al candidato por escrito con las razones detalladas.

    • Si el servicio no supera la auditoría, se informará por escrito al ET, otorgándole un plazo de quince días para subsanar las No Conformidades. Si transcurrido ese plazo no se aportan las correcciones necesarias, la EC tomará la decisión final de no renovar el servicio.

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Sobre ISMS Forum
Vídeo corporativo