ISO 27018

Zaščita osebnih podatkov v javnih oblakih

Obseg informacij, ki se upravljajo v oblaku, še naprej narašča, in ko se pojavljajo javne kršitve in se uvaja nova zakonodaja, se zavedanje potrošnikov osredotoča na tveganja zlorabe njihovih osebnih podatkov. 

Svojim strankam za storitve v oblaku transparentno pokažite, kako upravljate z informacijami, ki vključujejo osebne podatke.

KAJ JE ISO 27018?

ISO 27018 je mednarodni kodeks ravnanja z zaščito osebnih podatkov (PII) v javnih oblakih, ki deluje kot procesor PII, temelji na najboljših praksah, ki so določene v standardu ISO 27002, in vzpostavlja nekatere nove kontrole za zasebnost podatkov v oblaku. Te vključujejo ločevanje razvojnih, preizkusnih in operativnih okolij, ko se osebni podatki uporabljajo za testiranje, upravljanje z varnostnimi kopijami podatkov, ko obstaja več kopij podatkov, njegovo obnovitev in izbris ter posredovanje informacij o teh strankah, beleženje dogodkov, njihove povratne informacije, zapisovanje, beleženje sprememb v zasebnosti informacij in razkritje podatkov o strankah.

Nadaljnje smernice vključujejo: pravice do dostopa do strank, ustrezno uporabo podatkov, izbris začasnih podatkov, uporabo podizvajalcev in sporazume o zaupnosti za tiste, ki izvajajo obdelavo osebnih podatkov, upravljanje dokumentov, politiko za vračanje, prenos, obnavljanje in odstranjevanje osebnih podatkov, fizično gibanje medijev. avtorizacija, omejitev uporabe neprilagojenih medijev in obvezno šifriranje pri uporabi javnih omrežij, uničenje natisnjene osebne izkaznice, uporaba edinstvenih ID-jev za uporabnike v oblaku, beleženje dostopa uporabnika, onemogočanje izteklih uporabniških ID-jev, pogodbeno kritje minimalnih varnostnih kontrol s strankami podizvajalci, razkritje držav, v katerih se bo PII hranil, in zagotavljanje, da PII doseže svoj cilj.

KOMU JE ISO 27018 NAMENJEN?

Vsi ponudnik storitev v oblaku, ki obdelujejo znatne količine zavarovanja poklicne odgovornosti, bodo lahko zaprosili za certifikate ISO 27001, ISO 27017 in ISO 27018 ali kombinacijo teh standardov, da bodo svojim strankam zagotovili preglednost glede odgovornega upravljanja občutljivih osebnih podatkov svojih strank.