Jeśli Państwa firma dostarcza usługi w chmurze, prawdopodobnie coraz więcej klientów pyta, o to w jaki sposób chronione są ich dane osobowe. Świadomi klienci mogą prosić o dokumenty potwierdzające zgodność z ISO 27018 standardem, który zajmuje się ochroną danych osobowych w chmurze.
Czym jest ISO 27018?
Norma ISO 27018 a dokładnie PN-ISO/IEC 27018:2017-07 Technika informatyczna — Techniki bezpieczeństwa — Praktyczne zasady ochrony danych identyfikujących osobę (PII) w chmurach publicznych działających jako przetwarzający PII
ISO 27018 działa na dwa sposoby:
- Rozszerza istniejące zabezpieczenia Systemu Zarządzania Bezpieczeństwem Informacji wg PN-ISO/IEC 27001:2017-06 (PN-EN ISO/IEC 27002:2017-06 zapewnia szczegółowe wyjaśnienie zabezpieczeń bezpieczeństwa informacji) z określonymi pozycjami dla prywatności w chmurze.
- Zapewnia całkowicie nowe zabezpieczenia bezpieczeństwa dla danych osobowych.
Załącznik A normy ISO 27018 zawiera nowe mechanizmy zabezpieczeń prywatności w chmurze (których nie ma w ISO 27001/27002), a które należy wdrożyć w celu zwiększenia poziomu ochrony danych osobowych w chmurze:
- Prawa klienta do uzyskiwania dostępu i usuwania danych
- Przetwarzanie danych tylko w celu, dla którego klient dostarczył te dane
- Nie używanie danych do celów marketingowych i reklamowych bez zgody Klienta
- Usuwanie plików tymczasowych
- Powiadomienie klienta w przypadku wniosku o ujawnienie danych
- Informowanie o wszystkich ujawnieniach danych osobowych
- Ujawnienie informacji o wszystkich podwykonawcach wykorzystanych do przetwarzania danych osobowych
- Powiadomienie klienta w przypadku naruszenia/incydentu ochrony danych
- Zarządzanie dokumentami definiującymi zasady i procedury przetwarzania danych w chmurze
- Zasady zwrotu, przekazywania i usuwania danych osobowych
- Porozumienia o poufności dla osób fizycznych, które mają dostęp do danych osobowych
- Ograniczenie drukowania danych osobowych
- Procedura przywracania danych
- Zarządzanie transportem nośników fizycznych poza organizacją
- Ograniczenie w stosowaniu nośników danych, które nie są szyfrowane
- Szyfrowanie danych przesyłanych przez sieci publiczne
- Niszczenie drukowanych materiałów z danymi osobowymi
- Wykorzystanie unikalnych identyfikatorów użytkowników w chmurze
- Rejestry dostępu użytkownika do usług chmurowych
- Wyłączanie wygasłych identyfikatorów użytkowników
- Określanie zapisów bezpieczeństwa w umowach z klientami i podwykonawcami
- Usuwanie danych z pamięci przypisanej do innych klientów
- Przekazywanie Klientowi usługi chmurowej, w którym krajach będą przechowywane dane
- Zapewnienie, że dane docierają do miejsca przeznaczenia
W ramach wdrażania wymagań ISO/IEC 27018 oferujemy Państwu:
– wstępną weryfikację firmy pod kątem dostosowania do wymagań normy ISO/IEC 27018
– szkolenia i warsztaty z wymagań normy ISO/IEC 27018,
– konsultacje obejmujące opracowywanie niezbędnej dokumentacji,
– konsultacje niezbędne do prawidłowego zidentyfikowania wymagań prawnych i oczekiwań
stron zainteresowanych,
– szkolenia auditorów wewnętrznych bezpieczeństwa informacji,
– pomoc przy organizacji certyfikacji ISO/IEC 27018,
– pomoc przy realizacji działań poauditowych.