Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Requisitos de Cumplimiento Normativo: Lo Que Necesitas Saber

Inicio Glosario Requisitos de Cumplimiento Normativo: Lo Que Necesitas Saber

El cumplimiento normativo es esencial para cualquier negocio y puede ser financieramente beneficioso al evitar multas y encontrar áreas vulnerables en tu empresa.

¿Qué es el Cumplimiento Normativo?

El cumplimiento normativo es el proceso de adherirse a leyes, regulaciones, estándares y otras reglas establecidas por gobiernos y otros organismos reguladores. Es un aspecto importante de hacer negocios, ya que las empresas están obligadas a seguir ciertas leyes y regulaciones para mantener sus operaciones.

El cumplimiento normativo ayuda a asegurar que las empresas no participen en prácticas poco éticas o ilegales, y puede usarse para proteger tanto a sus empleados como a sus clientes, a menudo protegiendo sus datos, es decir, información personal identificable e información de salud protegida (PII/PHI). Estos estándares de cumplimiento son específicos para industrias y ubicaciones y pueden resultar en grandes sanciones si no se siguen correctamente.

Cumplimiento Normativo

¿Qué Beneficios Pueden Obtener las Organizaciones al Asegurar el Cumplimiento Normativo?

Hay muchos beneficios para una organización al lograr o demostrar el cumplimiento normativo. Un beneficio importante es la continuidad del negocio y la mejora de la confianza en la industria y entre los clientes. Algunos otros beneficios incluyen:

  1. Mejora de la Eficiencia Operativa: Adherirse al cumplimiento normativo puede ayudar a las organizaciones a asegurar que todas las operaciones se realicen de manera eficiente y de acuerdo con las regulaciones establecidas. Esto, a su vez, ayuda a las organizaciones a optimizar procedimientos y procesos, llevando a una mejora de la eficiencia operativa y reducción de costos.
  2. Reducción de Riesgos y Responsabilidades: El cumplimiento normativo ayuda a las organizaciones a mantenerse actualizadas con las leyes y regulaciones cambiantes y a cumplirlas, reduciendo así el riesgo de sanciones, multas y otras formas de responsabilidades.
  3. Mejora de la Imagen Pública: Las organizaciones que cumplen con las regulaciones ganan una imagen pública positiva, ya que demuestran un compromiso con operaciones seguras y éticas. Esto puede llevar a una mayor confianza pública y un aumento de la confianza, lo que puede incrementar el valor de la marca.
  4. Mayor Resiliencia: Las organizaciones que cumplen son más resilientes a las regulaciones cambiantes, ya que ya tienen sistemas en su lugar para cumplir con las demandas regulatorias. Esto ayuda a las organizaciones a planificar mejor para futuros cambios, promoviendo una mayor continuidad del negocio.
  5. Aumento de la Eficiencia: Al establecer procedimientos, procesos y sistemas claros para asegurar el cumplimiento normativo, las organizaciones pueden volverse más eficientes en la forma en que operan, lo que lleva a una mejora de la productividad y ahorro de costos.

Informe 2023 Informe de Pronóstico para Gestionar el Riesgo de Exposición de Contenidos Privados

¿Cómo Funciona el Cumplimiento Normativo?

En cualquier industria, existen regulaciones, y las organizaciones que operan en esas industrias deben cumplir con estas regulaciones. El cumplimiento puede abarcar una variedad de prácticas, procesos y operaciones diferentes dentro de una organización. Una organización probablemente tendrá más de un área de cumplimiento.

Algunos de los diferentes tipos de cumplimiento incluyen los siguientes: 

  • Cumplimiento Financiero: Las organizaciones deben mantener registros financieros justos y transparentes y abstenerse de prácticas financieras poco éticas o ilegales que perjudiquen a los interesados o consumidores.

    Ejemplos de tales regulaciones son las reglas de la Corporación Federal de Seguro de Depósitos (FDIC) para la protección del consumidor y la Ley Sarbanes-Oxley (SOX) que requiere informes financieros y transparencia para las corporaciones para minimizar el fraude.

    Además, el cumplimiento de Service Organization Control 2 (SOC 2) es una atestación para inversores y aseguradores sobre la seguridad de los sistemas que contienen datos de clientes. Es administrado por el Instituto Americano de Contadores Públicos Certificados.

  • Cumplimiento Normativo: Esta forma única de cumplimiento enfatiza las obligaciones legales que enfrenta una organización como parte de su operación. Las regulaciones son una forma legal de gobernanza que se basa en la legislación y la supervisión, típicamente de un organismo gubernamental o regulador adyacente.

    Esta forma de regulación puede a menudo superponerse con las demás. El cumplimiento generalmente incluye requisitos financieros, de TI, de informes y de registro de auditoría en muchos casos.

Debido a que hay superposiciones significativas entre diferentes tipos de regulaciones, es esencial entender de dónde provienen tales leyes. Por ejemplo, HIPAA es un requisito regulatorio para todos los proveedores de atención médica, compañías de seguros y proveedores asociados instituidos y administrados por gobiernos federales y locales. Sin embargo, HIPAA contiene varias disposiciones para la ciberseguridad y la protección financiera.

Por el contrario, SOC 2, aunque contiene varias disposiciones que rigen la gestión de datos, la seguridad y la privacidad, no es un requisito regulatorio. No está gobernado por la ley y no se requiere como parte de ningún estándar de la industria.

¿Cuáles Son Algunas Regulaciones de Cumplimiento Normativo?

Diferentes industrias generalmente incluirán regulaciones únicas. Algunas regulaciones trascenderán la industria y se aplicarán a una amplia gama de tipos organizacionales comunes.

Algunas de las regulaciones comunes incluyen:

 

Organizaciones a las que se Aplica

Organización Gobernada Por

Áreas de Cobertura

Requisitos

Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA)

Entidades cubiertas (hospitales, médicos, compañías de seguros) y sus asociados comerciales

Departamento de Salud y Servicios Humanos (HHS)

Protección de Información de Salud Privada (PHI) contra divulgación no autorizada

Controles de ciberseguridad; controles de privacidad físicos y administrativos

Ley Sarbanes-Oxley (SOX)

Corporaciones que cotizan en bolsa

Comisión de Bolsa y Valores de EE. UU. (SEC)

Requiere transparencia en los informes financieros corporativos

Las corporaciones deben implementar seguridad, transparencia y responsabilidad en los informes financieros a los interesados y al gobierno

Reglamento General de Protección de Datos (GDPR)

Todas las empresas que recopilan datos de consumidores en la Unión Europea

Oficina del Comisionado de Información de la UE (ICO)

Protección de la información del consumidor en jurisdicciones de la UE

Las empresas deben implementar controles de privacidad, seguridad y consentimiento para proteger los datos del consumidor de la divulgación o el abuso

Ley de Privacidad del Consumidor de California (CCPA)*

Empresas medianas y grandes en California

Agencia de Protección de la Privacidad de California (CPPA)

Protección de la información del consumidor en jurisdicciones de California

Las empresas deben implementar controles de privacidad, seguridad y consentimiento para proteger los datos del consumidor de la divulgación o el abuso

Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP)

Proveedores de servicios en la nube que trabajan con agencias federales

La Junta de Autorización Conjunta (JAB) y la Oficina de Gestión de Programas (PMO)

Seguridad de sistemas en la nube utilizados por agencias federales a través de proveedores externos

Los CSP deben implementar NIST 800-53 y otros controles para cumplir con los estándares mínimos

Certificación del Modelo de Madurez de Ciberseguridad (CMMC)

Contratistas digitales que trabajan con agencias del Departamento de Defensa

El Departamento de Defensa

Seguridad de sistemas de TI relacionados con la defensa en la cadena de suministro del DoD

Los contratistas deben implementar controles NIST 900-171 y NIST 800-172 para trabajar en la cadena de suministro

* A partir del 1 de enero de 2023, la CCPA fue enmendada en la Ley de Derechos de Privacidad de California (CPRA) con regulaciones y controles ampliados.

Webinar Desbloquea el Poder del Verdadero Zero Trust a Través de Políticas de Riesgo Basadas en Contenido

Además, varios estándares no son requeridos ni gobernados por la ley, pero se aplican específicamente a prácticas de la industria o adopción opcional por parte de una empresa:

 

Organizaciones a las que se Aplica

Organización Gobernada Por

Áreas de Cobertura

Requisitos

Control de Organización de Servicios (SOC) 2

Cualquiera que adopte el estándar

Instituto Americano de Contadores Públicos Certificados (AICPA)

Seguridad de datos, privacidad, confidencialidad e integridad

Las organizaciones deben cumplir con estándares mínimos de seguridad y privacidad y someterse a auditorías regulares

Organización Internacional de Normalización (ISO) Serie 27000

Cualquiera que adopte el estándar

Organización Internacional de Normalización (ISO)

Seguridad de datos e infraestructura de TI

Las organizaciones diseñan, desarrollan, implementan y mantienen Sistemas de Gestión de Seguridad de la Información (ISMS)

Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)

Minoristas y comerciantes que aceptan pagos con tarjeta de crédito

Industria de Tarjetas de Pago (incluyendo compañías de tarjetas de crédito como Visa, Mastercard, American Express, etc.)

Información de tarjetas de crédito y pagos

Los procesadores de pagos y comerciantes deben implementar prácticas de seguridad para proteger la información de pago del robo

Tabla de Cumplimiento y Certificación

Kiteworks presume de una larga lista de logros en cumplimiento y certificación.

Regulaciones y Cumplimiento Normativo Fuera de EE. UU.

Las regulaciones y el cumplimiento normativo varían significativamente de nación a nación. La mayoría de las naciones fuera de EE. UU. han establecido leyes, regulaciones y directrices para actividades empresariales, incluidas leyes y regulaciones ambientales, de salud y seguridad. Las naciones también pueden tener leyes y regulaciones que impactan las prácticas laborales y de empleo de las empresas. Esto incluye leyes de privacidad de datos como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) de Canadá, la Ley de Protección de Datos de 2018 del Reino Unido, el Programa de Evaluadores Registrados de Seguridad de la Información (IRAP) de Australia, y muchos más. Las empresas que hacen negocios en diferentes países pueden tener que cumplir con otras regulaciones, como leyes contra el soborno, leyes de control de exportaciones y restricciones sobre la inversión extranjera.

Las leyes y regulaciones de un país en particular dependerán de sus propias leyes y de los tratados y convenciones globales que haya firmado. Es importante que las empresas comprendan las leyes, regulaciones y estándares de un país en el que están operando o al que están exportando. Las empresas también deben comprender sus obligaciones cuando se trata de cumplimiento normativo y cómo estas obligaciones pueden diferir en diferentes países.

Además de comprender las leyes y regulaciones de una nación en particular, las empresas también deben ser conscientes de las capacidades de aplicación de las autoridades reguladoras de la nación. Las empresas deben cumplir con las leyes y regulaciones de la nación y pueden enfrentar inspecciones, multas y otras sanciones si no lo hacen. También es importante que las empresas comprendan cómo las leyes y regulaciones de una nación pueden cambiar con el tiempo y las implicaciones de esos cambios en sus operaciones.

Las empresas también deben ser conscientes de cómo las leyes de una nación en particular pueden interactuar con las leyes y regulaciones de otras naciones. Por ejemplo, una empresa que opera en varios países puede estar sujeta tanto a las regulaciones de su país de origen como a las de los países en los que está operando. Es importante comprender las implicaciones de cualquier conflicto entre estas regulaciones y cómo cumplir con todas las regulaciones aplicables.

¿Qué es Gobierno, Riesgo y Cumplimiento?

Las regulaciones a menudo caen bajo un paraguas más amplio de estrategias y prácticas que las empresas siguen, generalmente conocidas como gobierno, riesgo y cumplimiento.

GRC incluye las siguientes prácticas:

  • Gobierno: Estrategias y capacidades integradas en torno a la gobernanza de prácticas empresariales, gestión de datos y seguridad. El gobierno incluye la planificación y ejecución de alto nivel de procesos y objetivos empresariales.
  • Riesgo: La evaluación y gestión de riesgos es la práctica de medir riesgos financieros, vulnerabilidades de seguridad u otros peligros potenciales y usar esa información para tomar decisiones sobre ciberseguridad, infraestructura de TI, administración y otras decisiones empresariales.
  • Cumplimiento: Las prácticas de gobierno y riesgo deben usarse para impulsar el cumplimiento ahora y en el futuro.

¿Por Qué es Importante Tener una Política de Cumplimiento Normativo?

Tener una política de cumplimiento normativo es importante para asegurar que un negocio esté operando de acuerdo con todas las leyes y regulaciones aplicables. Una política de cumplimiento normativo describe qué regulaciones específicas debe cumplir el negocio, así como los pasos que necesita tomar para seguir cumpliendo. Tener una política de cumplimiento normativo también ayuda a proteger al negocio de responsabilidades y proporciona seguridad a los clientes y partes interesadas de que el negocio está operando dentro de la ley.

¿Cuáles Son Algunas de las Sanciones por Incumplimiento?

El cumplimiento, a menudo gobernado por la ley, puede conllevar sanciones significativas. Incluso los marcos gobernados en el sector privado pueden afectar cómo una empresa hace negocios.

Algunas sanciones potenciales incluyen las siguientes: 

  • Sanciones Financieras: Las sanciones financieras van desde tarifas más pequeñas hasta multas paralizantes. Los requisitos de cumplimiento de HIPAA, por ejemplo, escalan las sanciones financieras según la gravedad de la brecha. GDPR, por otro lado, solo permite dos niveles diferentes de sanciones, cada uno con obligaciones financieras significativas por parte de la organización no conforme.
  • Pérdida de Licencias o Autorización: Algunos marcos, como FedRAMP o CMMC, vienen con una pérdida base de certificación por incumplimiento grave. Aquí, las organizaciones ya no pueden operar en su industria.
  • Responsabilidad Legal: Si el incumplimiento lleva a un daño grave a una organización o individuos, las organizaciones pueden encontrarse legalmente responsables. HIPAA contiene varios niveles de sanciones legales, incluyendo tiempo en prisión, por brechas graves o en casos de fraude.
  • Impacto en las Operaciones Comerciales: Algunas regulaciones no gubernamentales, como PCI DSS, funcionan porque el organismo de gobierno puede controlar cómo las empresas funcionan en un mercado empresarial.

    Por ejemplo, si un comerciante no cumple con PCI DSS, no hay una repercusión legal predeterminada. En cambio, el PCI (compuesto por todos los principales proveedores de tarjetas de crédito como Visa, Discover, American Express, Mastercard, etc.) puede imponer multas por el uso continuo de las redes de pago con tarjeta de crédito.

    El incumplimiento continuo puede obligar al PCI a etiquetar a los comerciantes con una calificación negativa, incluyendo tarifas más altas y capacidades limitadas de procesamiento de pagos.

    Finalmente, el PCI puede simplemente cerrar la cuenta de un comerciante y hacer imposible el procesamiento de pagos.

Operacionalizar el Cumplimiento Normativo

El cumplimiento normativo es una parte significativa de cualquier negocio y debe desempeñar un papel en la estrategia empresarial y la infraestructura de TI. Cualquier empresa que opere en industrias reguladas con estándares debe usar tecnología para apoyar las regulaciones.

Las comunicaciones de contenido sensible están involucradas en prácticamente todas las regulaciones de cumplimiento, y las organizaciones deben asegurarse de tener los controles de políticas y procesos de seguridad adecuados en su lugar. Aprende cómo Kiteworks unifica, rastrea, controla y asegura datos críticos a medida que se mueven dentro, dentro y fuera de una organización para el cumplimiento a través de una multitud de regulaciones, como HIPAA, PCI DSS, FedRAMP, y otras, programando una demostración personalizada.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks