Mi empresa es B2B, nuestros servicios incluyen alojamiento de datos sobre los usuarios de nuestros clientes.
Las leyes de protección de datos son importantes para nosotros y debemos observarlas cuidadosamente ya que nuestros clientes exigen con razón que los datos de sus usuarios se mantengan seguros.
Estamos buscando la certificación ISO 27001 por 2 razones principales:
-
Nos obligamos a seguir reglas y metodologías que nos ayuden a mantener esos datos seguros
-
Como herramienta de ventas: en teoría, si contamos con la certificación ISO 27001, los clientes potenciales confiarán en que sus datos sean más fáciles
Por lo tanto, hay 2 conjuntos de información: los datos de los usuarios de nuestros clientes, que son críticos para mantener seguros, y otros datos, como nuestra base de datos de contactos, nuestro planificador interno de tareas y proyectos, calendario, presentaciones de ventas, etc. que hasta ahora hemos creado principalmente a través de herramientas en línea como un CRM basado en la web, Google Calendar y hojas de cálculo, EverNote, etc.
Finalmente, mi pregunta: ¿Debe la ISO 27001 cubrir todos los datos y procedimientos en toda la empresa, o simplemente puede aplicarse a los datos de nuestros clientes más importantes y críticos, y todo lo demás (herramientas en línea como Google Calendar, un CRM en línea, Skype, Evernote ...) todavía podemos usar, siempre que no publiquemos ninguno de los datos principales a través de estas herramientas. No se nos ha informado más de Skype ni de hojas de cálculo en línea, el CRM debe ser alojado por nosotros, cualquier otro servicio basado en la web como Evernote o similar está prohibido. Lo que es bastante incómodo porque normalmente hay pocas opciones en cuanto a las herramientas que puede hospedarse para tener un control absoluto sobre los datos.