Privacidad
Esta categoría aborda las respuestas que contienen o divulgan información personal sensible y no pública, con el potencial de comprometer la seguridad física, digital o financiera de un individuo.
ENTIDAD
2 - IA
INTENCIÓN
3 - Otro
TIEMPO
2 - Post-despliegue
ID del riesgo
mit330
Linea de dominio
2. Privacidad y Seguridad
2.0 > Privacidad y Seguridad
Estrategia de mitigacion
1. Implementar el Control de Acceso Basado en Roles (RBAC) y el Principio de Mínimo Privilegio Establecer mecanismos rigurosos que limiten el acceso a la información personal sensible (IPS) únicamente a los usuarios, sistemas o componentes de la IA que requieran dicha información para el desempeño de una tarea específica, de conformidad con el principio de necesidad y minimización de datos. 2. Aplicar Cifrado de Grado Empresarial y Seudonimización Garantizar la protección de la IPS mediante el uso de algoritmos de cifrado robustos (por ejemplo, AES-256) tanto para los datos en reposo como en tránsito (mediante protocolos como TLS/SSL). Cuando sea factible, aplicar técnicas de seudonimización o anonimización para reducir la re-identificabilidad sin comprometer la utilidad de los datos para el propósito legítimo. 3. Realizar Evaluaciones de Impacto en la Privacidad (PIA) y Auditorías de Clasificación de Datos Llevar a cabo Evaluaciones de Impacto en la Privacidad (PIA) de manera recurrente para identificar y mitigar riesgos de divulgación de información sensible a lo largo de todo el ciclo de vida de los datos. Esta medida debe complementarse con una clasificación rigurosa de los datos para asignar los controles de seguridad proporcionales a su nivel de sensibilidad.