ISO 27018

Cos'è

ISO/IEC 27018 - Codice di condotta per la protezione delle PII (Personally Identifiable information) nei servizi di public cloud per i cloud provider- è una linea guida per i fornitori di servizi cloud pubblici che vogliono migliorare la gestione dei dati personali.

L’obiettivo di questo standard è quello di fornire una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.

Le contromisure specifiche introdotte dalla ISO 27018 si basano sui principi internazionali definiti  riguardo alla privacy. Questi principi dovrebbero essere utilizzati per guidare la progettazione, lo sviluppo, l'attuazione, il monitoraggio e la misurazione di politiche sulla privacy e controlli della privacy nei servizi di cloud computing.

Trattandosi di Linee guida, la norma ISO/IEC 27018 non è quindi certificabile.

Ciò nonostante, come previsto dalla circolare Accredia DC2018SSV022,  è possibile ottenere una integrazione di un certificato esistente ISO/IEC 27001 purché rilasciato da un Ente di certificazione riconosciuto.
L’integrazione con la ISO 27018 è volta a dimostrare la capacità del Provider di assicurare la protezione dei dati.

CSQA è accreditato da ACCREDIA.

 

Punti chiave

I controlli aggiuntivi proposti dalla 27018 fanno riferimenti ai principi privacy della ISO / IEC 29100:
  • consenso e scelta;
  • legittimità e specifica delle finalità;
  • limitazione della raccolta;
  • minimizzazione dei dati;
  • uso, conservazione e limiti alla comunicazione;
  • accuratezza e qualità;
  • apertura, trasparenza e informativa;
  • partecipazione e accessi da parte degli individui;
  • responsabilità;
  • sicurezza;
  • conformità.


Vantaggi

  • Aiuta i fornitori di servizi di cloud ad affrontare gli obblighi giuridici applicabili, nonché le aspettative dei clienti.
  • Facilita la definizione di contratti di servizi cloud.
  • Migliora la trasparenza e la credibilità dei servizi cloud.
  • Aumentare la fiducia da parte dei clienti.