CERTIFICAZIONE ISO/ IEC 27018 – COME GARANTIRE LA PRIVACY NEL CLOUD
L’impiego di servizi di cloud è divenuto un irrinunciabile driver di efficienza per molte aziende pubbliche e private.A fronte della diffusione di questo modello, da qualche anno le autorità garanti dei dati personali hanno messo in guardia i titolari del trattamento di dati personali contro i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, nonché di perdita di controllo sui dati personali inviati nella “nuvola”.
QUALI SONO I RISCHI?
L’insieme dei rischi specifici connessi all’adozione di soluzioni cloud riguarda pertanto sia la sicurezza dei dati e dei processi aziendali, sia la sicurezza dei dati tutelati dalle normative di cui sopra (nel caso di questo documento limitati ai dati personali trattati dall’azienda in quanto Titolare dei trattamenti), sia la corretta applicazione di tali normative nel loro complesso e non solo sotto il profilo della sicurezza.Facendo riferimento al Codice della Privacy, l’ambito corretto in cui collocare l’analisi anche di questi nuovi rischi e l’individuazione delle adeguate contromisure è certamente il processo di identificazione delle misure idonee e preventive di cui all’art. 31 del D. Lgs 196/03, finalizzato a ridurre i rischi di contenziosi in sede civile.
Tutti questi aspetti richiedono di essere indirizzati nella definizione del contratto che dovrà regolare la fornitura dei servizi di cloud computing. La stipula di tale contratto è uno dei cardini della strategia di gestione dei rischi specifici relativi al cloud computing, per la conformità alla normativa e più in generale per la sicurezza dei dati aziendali.
ISO/ IEC 27018
ISO/IEC 27018 il primo ed unico standard internazionale, che definisce obiettivi di controllo, controlli e linee guida basate su ISO / IEC 27001 per garantire il rispetto dei dati personali, in conformità con le direttive vigenti e la norma ISO / IEC 29100, da parte dei providers di public cloud che se ne dotano.L’obiettivo di questo standard è quello di fornire una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.
Le contromisure specifiche introdotte dalla ISO 27018 si basano sui principi internazionali definiti riguardo alla privacy. Questi principi dovrebbero essere utilizzati per guidare la progettazione, lo sviluppo, l'attuazione, il monitoraggio e la misurazione di politiche sulla privacy e controlli della privacy nei servizi di cloud computing.
LA NOSTRA PROPOSTA
CSQA propone un assessment esteso con controlli sulla protezione dei dati personali da ISO / IEC 27018, per le aziende già in possesso della certificazione ISO 27001, con rilascio di un certificato ISO 27018.
L’attività si pone i seguenti obiettivi:
- Aiutare i fornitori di servizi di cloud affrontare gli obblighi giuridici applicabili, nonché le aspettative dei clienti
- Facilitare la definizione di contratti di servizi cloud
- Migliorare la trasparenza e la credibilità dei servizi cloud
- Aumentare la fiducia da parte dei clienti