Consulenza ISO 27018: protezione dati personali nel Cloud

Consulenza ISO 27018: protezione dati personali nel Cloud

Il nostro Studio di Consulenza aiuterà il cliente a prepararsi per la certificazione ISO/IEC 27001, supportandolo nell’implementazione delle linee guida aggiuntive della ISO 27018.

Consulenza ISO/IEC 27018:

Utilizzato insieme a ISO/IEC 27001, lo standard ISO/IEC 27018 consente ai cloud service provider con infrastruttura certificata di dimostrare che i dati degli utenti sono sicuri e non vengono utilizzati per scopi diversi da quelli per i quali è stato rilasciato il consenso.

Il cloud offre alle Aziende e ai loro utenti numerosi benefici: risparmio in termini di costi, flessibilità e accesso alle informazioni ovunque e in qualsiasi momento. Dall’altro lato solleva preoccupazioni in merito alla privacy e alla protezione dei dati, in particolar modo delle informazioni personali sensibili (personally identifiable information – PII).

Le PII includono qualunque tipo di informazione che può identificare uno specifico utente, dalle informazioni personali di contatto fino a informazioni più complesse, come registrazioni mediche, indirizzi IP e informazioni bancarie.

Come estensione della ISO 27001, la ISO 27018 fornisce una guida su 16 controlli ISO 27002, oltre a fornire 25 nuovi controlli di privacy e sicurezza:

• L’obbligo di collaborare con i responsabili del trattamento delle PII
• Il mantenimento dei diritti dei titolari PII
• Conformità ai requisiti fondamentali della privacy, come la minimizzazione e l’accuratezza dei dati
• I principi di trasparenza e responsabilità
• Ulteriori controlli di sicurezza
• Requisiti per l’elaborazione in subappalto

L’allegato A della ISO 27018 prevede una serie di controlli aggiuntivi per aumentare il livello di protezione dei dati personali nel cloud:

• Diritti dell’interessato di accedere e cancellare i dati
• Elaborazione dei dati solo per la finalità per la quale l’interessato ha fornito tali dati
• Non utilizzare i dati per marketing e pubblicità
• Cancellazione di file temporanei
• Notifica al cliente in caso di richiesta di divulgazione dei dati
• Registrazione di tutte le divulgazioni di dati personali
• Divulgazione delle informazioni su tutti i subappaltatori utilizzati per l’elaborazione dei dati personali
• Notifica al cliente in caso di violazione dei dati
• Gestione dei documenti per le politiche e le procedure cloud
• Politica per la restituzione, il trasferimento e l’eliminazione dei dati personali
• Accordi di riservatezza per soggetti che possono accedere ai dati personali
• Limitazione della stampa dei dati personali
• Procedura per il ripristino dei dati
• Autorizzazione a portare i supporti fisici fuori sede
• Limitazione dell’utilizzo di supporti che non dispongono di funzionalità di crittografia
• Crittografia dei dati che vengono trasmessi su reti pubbliche
• Distruzione di supporti stampati con dati personali
• Utilizzo di ID univoci per i clienti cloud
• Record di accesso degli utenti al cloud
• Disabilitazione dell’utilizzo degli ID utente scaduti
• Specifica dei controlli minimi di sicurezza nei contratti con clienti e subappaltatori
• Cancellazione dei dati in archivio assegnati ad altri clienti
• Divulgazione al cliente cloud in quali Paesi verranno archiviati i dati
• Garantire che i dati raggiungano la destinazione

Si parla di estensione alla ISO 27018 in quanto la Norma ISO 27018 non è una norma certificabile, ma è una estensione della Norma ISO 27001. Chi volesse certificarsi secondo la ISO 27018 dovrà richiedere la certificazione IS O27001 con estensione alla ISO 27018.