ISO/IEC 27018

Jeśli Państwa firma dostarcza usługi w chmurze, prawdopodobnie coraz więcej klientów pyta, o to w jaki sposób chronione są ich dane osobowe.  Świadomi klienci mogą prosić o dokumenty potwierdzające zgodność z ISO 27018 standardem, który zajmuje się ochroną danych osobowych w chmurze.

Czym jest ISO 27018?

Norma ISO 27018 a dokładnie  PN-ISO/IEC 27018:2017-07 Technika informatyczna — Techniki bezpieczeństwa — Praktyczne zasady ochrony danych identyfikujących osobę (PII) w chmurach publicznych działających jako przetwarzający PII

ISO 27018 działa na dwa sposoby:

  • Rozszerza istniejące zabezpieczenia Systemu Zarządzania Bezpieczeństwem Informacji wg PN-ISO/IEC 27001:2017-06 (PN-EN ISO/IEC 27002:2017-06 zapewnia szczegółowe wyjaśnienie zabezpieczeń bezpieczeństwa informacji) z określonymi pozycjami dla prywatności w chmurze.
  • Zapewnia całkowicie nowe zabezpieczenia bezpieczeństwa dla danych osobowych.

Załącznik A normy ISO 27018 zawiera nowe mechanizmy zabezpieczeń prywatności w chmurze (których nie ma w ISO 27001/27002), a które należy wdrożyć w celu zwiększenia poziomu ochrony danych osobowych w chmurze:

  • Prawa klienta do uzyskiwania dostępu i usuwania danych
  • Przetwarzanie danych tylko w celu, dla którego klient dostarczył te dane
  • Nie używanie danych do celów marketingowych i reklamowych bez zgody Klienta
  • Usuwanie plików tymczasowych
  • Powiadomienie klienta w przypadku wniosku o ujawnienie danych
  • Informowanie o wszystkich ujawnieniach danych osobowych
  • Ujawnienie informacji o wszystkich podwykonawcach wykorzystanych do przetwarzania danych osobowych
  • Powiadomienie klienta w przypadku naruszenia/incydentu ochrony danych
  • Zarządzanie dokumentami definiującymi zasady i procedury przetwarzania danych w chmurze
  • Zasady zwrotu, przekazywania i usuwania danych osobowych
  • Porozumienia o poufności dla osób fizycznych, które mają dostęp do danych osobowych
  • Ograniczenie drukowania danych osobowych
  • Procedura przywracania danych
  • Zarządzanie transportem nośników fizycznych poza organizacją
  • Ograniczenie w stosowaniu  nośników danych, które nie są szyfrowane
  • Szyfrowanie danych przesyłanych przez sieci publiczne
  • Niszczenie drukowanych materiałów z danymi osobowymi
  • Wykorzystanie unikalnych identyfikatorów użytkowników w chmurze
  • Rejestry dostępu użytkownika do usług chmurowych
  • Wyłączanie wygasłych identyfikatorów użytkowników
  • Określanie zapisów bezpieczeństwa w umowach z klientami i podwykonawcami
  • Usuwanie danych z pamięci przypisanej do innych klientów
  • Przekazywanie Klientowi usługi chmurowej, w którym krajach będą przechowywane dane
  • Zapewnienie, że dane docierają do miejsca przeznaczenia

W ramach wdrażania wymagań ISO/IEC 27018 oferujemy Państwu:

– wstępną weryfikację firmy pod kątem dostosowania do wymagań normy ISO/IEC 27018

– szkolenia i warsztaty z wymagań normy ISO/IEC 27018,

– konsultacje obejmujące opracowywanie niezbędnej dokumentacji,

– konsultacje niezbędne do prawidłowego zidentyfikowania wymagań prawnych i oczekiwań

stron zainteresowanych,

– szkolenia auditorów wewnętrznych bezpieczeństwa informacji,

– pomoc przy organizacji certyfikacji ISO/IEC 27018,

– pomoc przy realizacji działań poauditowych.