ISO/IEC_27018 Knowpia

ISO/IEC 27018 es un estándar de seguridad que forma parte de la familia de estándares ISO/IEC 27000 . Fue el primer estándar internacional sobre la privacidad en los servicios de computación en la nube que fue promovido por la industria. Fue creado en 2014 como una adición a ISO/IEC 27001, el primer código internacional de prácticas para la privacidad en la nube. Ayuda a los proveedores de servicios en la nube que procesan (PII) a evaluar el riesgo e implementar controles para proteger la PII.PII incluye cualquier tipo de información que pueda identificar a un usuario específico. Los ejemplos más obvios son los nombres y datos de contacto. Pero también se puede pensar fácilmente en registros médicos, las direcciones IP y los estados bancarios.^[1] Fue publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) bajo el subcomité conjunto de ISO e IEC, ISO/IEC JTC 1/SC 27 .

Versiones estándar

Ese estándar tiene dos versiones,la primera publicada en 2014 y la segunda en 2019:

ISO/CEI 27018:2014^[2]
ISO/CEI 27018:2019^[3]

Estructura de la norma

El título oficial de la norma es "Tecnología de la información - Técnicas de seguridad - Código de práctica para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII". ISO/IEC 27018 contiene,además de un anexo extenso, dieciocho secciones que cubren los siguientes temas:

Ámbito de aplicación
Referencias normativas
Términos y definiciones
Visión general
Políticas de seguridad de la información
Organización de la seguridad de la información
Seguridad de los recursos humanos
Gestión de activos
Control de acceso
Criptografía
Seguridad física y medioambiental
Seguridad de las operaciones
Seguridad de las comunicaciones
Adquisición, desarrollo y mantenimiento de sistemas
Relaciones con los proveedores
Gestión de incidentes de seguridad de la información
Aspectos de seguridad de la información en la gestión de la continuidad de la actividad
Cumplimiento

Objetivos

El objetivo de este documento, cuando es usado conjuntamente con ISO/IEC 27002, es que los proveedores de servicios cloud puedan garantizar a sus clientes actuales y potenciales que sus datos están garantizados y que no serán usados para ningún propósito para el cual no se dé expresamente su consentimiento. Esto se consigue con los siguientes puntos:

Ayudar al proveedor de servicios de nube pública a cumplir con las obligaciones aplicables cuando actúe como procesador de PII, ya sea que dichas obligaciones recaigan sobre el procesador de PII directamente o por contrato.
Permita que el procesador de PII de la nube pública sea transparente en asuntos relevantes para que los clientes de servicios en la nube puedan seleccionar servicios de procesamiento de PII basados en la nube y bien administrados.
Ayudar al cliente del servicio en la nube y al procesador de PII de la nube pública a celebrar un acuerdo contractual.
Proporcionar a los clientes de servicios en la nube un mecanismo para ejercer los derechos y responsabilidades de auditoría y cumplimiento en los casos en que las auditorías de los datos alojados en un entorno de servidor virtualizado (nube) de varias partes pueden ser técnicamente poco prácticas y pueden aumentar los riesgos para esas redes físicas y lógicas. controles de seguridad establecidos.

Ventajas

El uso de este estándar tiene las siguientes ventajas:

Proporciona una mayor seguridad a los datos e información de los clientes.
Hace que la plataforma sea más confiable para el cliente, logrando un nivel superior a la competencia.
Habilitación más rápida de las operaciones globales.
Contratos simplificados.
Proporciona protecciones legales para proveedores y usuarios de la nube.

Referencias

↑ «ISO/IEC 27018 Code of Practice for Protecting Personal Data in the Cloud». docs.microsoft.com. Consultado el 27 de marzo de 2020.
↑ «ISO/IEC 27018:2014 [ISO/IEC 27018:2014] Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors». www.iso.org. International Organization for Standardization. Consultado el 28 de marzo de 2020.
↑ «ISO/IEC 27018:2019 [ISO/IEC 27018:2019] Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors». www.iso.org. International Organization for Standardization. Consultado el 28 de marzo de 2020.

Enlaces externos

Sitio web de ISO

Datos: Q89190554

[1] «ISO/IEC 27018 Code of Practice for Protecting Personal Data in the Cloud». docs.microsoft.com. Consultado el 27 de marzo de 2020.

[2] «ISO/IEC 27018:2014 [ISO/IEC 27018:2014] Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors». www.iso.org. International Organization for Standardization. Consultado el 28 de marzo de 2020.

[3] «ISO/IEC 27018:2019 [ISO/IEC 27018:2019] Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors». www.iso.org. International Organization for Standardization. Consultado el 28 de marzo de 2020.

[1]

[2]

[3]