¿Conoces la diferencia entre certificación acreditada y no acreditada?
Esta es un cuestión que suelo explicar a los alumnos, especialmente en el curso de Implementador Líder ISO 27701, ya que se trata de una norma que nació para dar respuesta a las necesidades que recoge el RGPD en sus art. 24, es decir, poder contar con un mecanismo de certificación aprobado a tenor del art. 42.
Por ejemplo, en el ecosistema cloud solemos buscar proveedores cloud que nos aporten, no solo el servicio que necesitamos, sino también las garantías exigidas en el art. 28 del RGPD. Por ello, buscamos a proveedores cloud que cuenten con criterios implementados que puedan ser verificados por terceros. Es el caso de la norma ISO 27001, norma certificable y acreditable, para definir el sistema de gestión de seguridad de la información que cubre el alcance definido y solicitado por el cliente. Por tanto, cuando el proveedor nos presenta su certificado con su alcance y fecha de validez, vendrá estampado con el sello de la entidad que nos ha evaluado y el sello de la entidad que acredita, es decir, viene acompañado de dos sellos o ‘firmas’.
En cambio, cuando nos encontramos con certificados como ISO 27017 (Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube) o ISO 27018 (Código de prácticas para la protección de la información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII), veremos que solo aparecen un solo sello o firma, es decir, de la entidad que nos ha evaluado contra su criterio pero no viene acompañado del sello de la entidad que acredita que el mismo es conforme al esquema de certificación.
ISO NO CERTIFICA NADA.
Las certificaciones ISO no existen como tal. Las certificaciones son de una empresa certificadora que emite en su nombre esa certificación. En su nombre declara conformidad con esa norma. Para que esa empresa pueda emitir esas conformidades/certificaciones, tiene que cumplir con un esquema de acreditación ante el órgano nacional de acreditación. Esos órganos nacionales están alineados con el IAF, que es el órgano internacional de acreditación. En España, el órgano de acreditación es ENAC, en Reino Unida UKAS, por ejemplo.
Para ayudar a entender las ventajas de la certificación y sus casuísticas comparto este documento técnico emitido por ENAC donde se da respuesta a esta gran cuestión. El mismo viene a dar respuesta a cuestiones como:
– ¿En qué consiste la certificación y qué requisitos debe cumplir una entidad para ofrecer ese servicio?
– ¿Cómo puedo saber qué entidades de certificación están acreditadas?
– ¿Las entidades de certificación se acreditan para todos las actividades de certificación que ofertan?
– ¿Ofrece ENAC acreditación para todos los sistemas de gestión?
– ¿Cómo reconoceré si un certificado está cubierto por la acreditación de ENAC?
– ¿Puede una entidad de certificación emitir certificados sin marca en actividades que sí tiene acreditadas?
Confío en que este pequeño post te sea de utilidad.