This post is also available in: Português
A ISO 27018 é um conjunto à ISO 27002 e o primeiro código de conduta internacional com o intuito de garantir e controlar a privacidade em serviços de cloud.
Esta norma, utilizada em conjunto com os objetivos e controles de segurança descritos na ABNT NBR ISO 27002, tem o intuito de criar um conjunto comum de categorias e controles de segurança que possam ser implementados por um provedor de serviços de computação em nuvem publica que atua como um processador de informações de identificação pessoal (PII).
A segurança dos dados na nuvem é fundamental, não somente para os provedores de serviço, mas para os clientes que os utilizam. Por isso, a certificação ISO 27018 é tão importante para empresas que fornecem esses serviços.
Continue sua leitura para saber mais sobre essa norma e sua importância para provedores de serviços em nuvem e demais empresas que fazem uso desta estrutura.
O que é ISO 27018?
A ISO 27018 determina novas diretrizes de segurança direcionadas a proteção de dados pessoais em nuvem. Esta norma tem os seguintes objetivos:
– Auxiliar o provedor de serviços em nuvem pública a atender às obrigações aplicáveis ao atuar como um processador de PII, se estas obrigações incidirem sobre o processador de PII diretamente ou por contrato;
– Permitir que o processador de PII em nuvem pública seja transparente em assuntos relevantes, de modo que os clientes que utilizam serviços em nuvem possam selecionar serviços de processamento de PII bem controlados com base na nuvem;
– Auxiliar o cliente que utiliza os serviços em nuvem e o processador de PII em nuvem publica a realizar um acordo contratual;
– Prover aos clientes que utilizam serviços em nuvem um mecanismo para o exercício de direitos e responsabilidades de auditoria e conformidade os casos em que auditorias individuais do cliente que utiliza serviços em nuvem de dados hospedados em um ambiente de servidor virtualizado (nuvem) com várias partes possam ser impraticáveis tecnicamente e possam aumentar os riscos a estes controles de segurança de rede física e lógica no local.
Além disso, a ISO 27018 fornece um conjunto de controles adicionais e orientações destinadas a abordar os requisitos de proteção de PII, de acordo com os princípios de privacidade, para o ambiente de nuvem pública não abordados pelo conjunto de controle existente da ISO 27002.
A norma auxilia provedores de serviço de nuvem pública a estarem de acordo com as obrigações regulatórias enquanto controladores e processadores de PIIs, possibilitando maior transparência nos processos dessas empresas.
Os clientes das empresas certificadas em ISO 27018 podem contar com mecanismos para exercício de direitos e responsabilidades de auditoria e conformidade em casos específicos nos quais as auditorias individuais de clientes de serviços de nuvem pública não possam ser realizadas por serem tecnicamente impraticáveis ou por provocarem o aumento de riscos para os controles de segurança da rede.
A ISO 27018 se aplica a organizações de todos os tamanhos e segmentos dos setores público e privados, entidades governamentais e ONGs que forneçam serviços de processamento de PIIs através de nuvem pública.
Se você ainda não possui certificação ISO ou possui alguma dúvida, converse com especialistas da nossa empresa parceira Dédalo.
This post is also available in: Português