Programiranje

Skladnost z ISO 27018: Tukaj morate vedeti

Dogovarjate se o pogodbi za storitve v oblaku. Da bi sklenil dogovor, se zastopnik ponudnika storitev v oblaku nagne čez mizo, popravi pogled in vam reče: "Mimogrede, storitev je certificirana v skladu z ISO 27018."

ISO 270-kaj? Bi se morali podpisati ali stopiti nazaj? IT-izvršitelji se bodo vedno bolj soočali s takšno izbiro, zahvaljujoč pojavu standarda ISO 27018 za zaščito osebnih podatkov (PII) v oblaku, ki ga je julija 2014 sprejela Mednarodna organizacija za standarde (ISO).

Ob kršitvah podatkov, izgubi osebnih podatkov in kraji identitete, ki se nadaljujeta brez odlašanja, so vsi ukrepi za zaustavitev plime zelo zanimivi za IT skupnost. Kljub temu sta do zdaj le Microsoft in Dropbox napovedala oblačne storitve, skladne z ISO 27018. Microsoft je svojo storitev v oblaku Azure, Dynamics CRM in ERP v oblaku ter aplikacije za poslovno storilnost v oblaku Office 365 certificiral februarja 2015. Dropbox je aprila 2015 objavil, da je Dropbox za podjetja certificiran. Glede na vesolje ponudnikov oblakov in njihovih storitev je začetek majhen, vendar večina opazovalcev verjame, da je le vprašanje časa, kdaj večina, če ne celo vsi ponudniki oblakov, objavijo skladnost s standardom.

Glej tudi: Gartner: Dolg težaven vzpon na visoko stopnjo varnosti računalništva v oblaku

Prednosti ISO 27018 se obetajo velike. Tej vključujejo:

  • Večje zaupanje strank v storitve v oblaku
  • Hitrejše omogočanje globalnih operacij
  • Poenostavljene pogodbe
  • Pravna zaščita za ponudnike in uporabnike v oblaku

Evo zakaj:

Večje zaupanje strank v storitve v oblaku. Skladnost z ISO 27018 pomeni, da je ponudnik storitev v oblaku izvedel seznam postopkov (glejte stransko vrstico) za obdelavo osebnih podatkov. Ker skladnost zahteva letno potrjevanje, bi morala strogost tega postopka - in posledično potrdilo - strankam dati novo zaupanje v svoje ponudnike.

"To dokazuje, da ima vaš ponudnik storitev v oblaku določeno stopnjo zrelosti, ki obravnava osebne podatke," pravi Christie Grabyan, vodja varnostne prakse v podjetju BishopFox, svetovalcu za varnost podatkov.

Neki odvetnik trdi, da pomen prizadevanja presega potrdilo. "Motivacija ni samo imeti papir na steni. Trudite se, da nekomu ne bi zabrisali podatkov - bistvo - gre za posel in stranke ter zaupanje," pravi Colin Zick, partner pri zakonu podjetje Foley Hoag v Bostonu.

ISO 27018 ne in ne

Dos:

  • Ugotovite, ali je skladnost z ISO27018 pomembna za vaše podjetje in njegove stranke.
  • Ugotovite, ali bodo koristi odtehtale stroške skladnosti.
  • Določite osebne podatke, ki zadevajo vas in vaše podjetje ter njegove stranke.
  • Ugotovite, ali vaš ponudnik storitev v oblaku izpolnjuje zahteve, ali zahtevajte enakovredno zaščito.
  • Zahtevajte, da vaš ponudnik storitev v oblaku upošteva. Ker se nekateri ponudniki lahko spoštujejo le, če jih stranke potisnejo, je vaš glas pomemben.

Ne sme:

  • Ne pozabite, da ostajate odgovorni za varnost osebnih podatkov, ki jih identificirate.
  • Ne odlagajte ponudnika oblaka takoj, ker že ima potrdilo o skladnosti. Ponudnik v oblaku lahko izpolni večino ali vse določbe standarda ISO 27018 v dogovoru z njimi in še ni bil formalno revidiran. Bodite obveščeni in v celoti razumejte, kaj počne vaš ponudnik.

Ponudniki v oblaku upajo, da bo sporočilo prišlo do strank. "Naše stranke morajo imeti možnost, da nam zaupajo. Ne delajo jih, če nas revidirajo posamično, zato je za nas pomembno, da imamo neodvisen certifikat," pravi Patrick Heim, vodja oddelka za varnost in varnost pri Dropboxu.

Ne glede na to, ali ponudnik storitev v oblaku pridobi formalno potrdilo, lahko ključne elemente standarda vključijo v pogodbe. "Še vedno se lahko zasebno pogajate o vseh določbah ISO 27018," pravi Richard Kemp, odvetnik in ustanovitelj britanske odvetniške pisarne KempITLaw. Ko se te določbe sprejemajo širše, bi se morale izboljšati običajne prakse za zaščito osebnih podatkov v pogodbah v oblaku. Tako bi moralo biti strankam bolj udobno.

Hitrejše omogočanje globalnih operacij. Ker ISO 27018 ponuja skupne smernice za različne države, bodo ponudniki oblakov lažje poslovali globalno - in stranke v oblaku bodo z njimi podpisale pogodbe za storitve na številnih koncih sveta. Ker je standard ISO 27018 v veliki meri temeljil na zahtevah Evropske skupnosti, bi moralo biti poslovanje za začetek veliko bolj gladko.

"Evropski zakonodajalci pravijo, da so resnično navdušeni nad standardom, ki prihaja na vrsto," pravi Neal Suggs, podpredsednik in izredni generalni svetovalec Microsofta Corp. A koristi bi morale iti še dlje. "Obstaja več kot 100 držav, ki imajo zakone, ki ščitijo podatke in zasebnost," pravi Deborah Hurley, ustanoviteljica svetovalnega podjetja Hurley in sodelavka na Inštitutu za kvantitativne družbene vede na univerzi Harvard. "Ne gre samo za evropsko stvar. Vsako podjetje bi se moralo imeti za globalno. To zelo prispeva k izpolnjevanju zahtev držav po vsem svetu," dodaja.

Z vidika ponudnika oblaka bo zmanjšal inženirska prizadevanja, potrebna za prilagoditev storitev v oblaku posebnim zakonodajam o zasebnosti. "Standard omogoča inženirjem, da lahko gradijo enkrat in delajo za mnoge. Težko se je prilagoditi lokalizirani zakonodaji, pravi Suggs. Dodaja Heim iz Dropboxa," Sedemdeset odstotkov naših strank je globalnih. "

Poenostavljene pogodbe

Kupci v oblaku ponudnike pogosto prosijo, naj izpolnijo vprašalnik o svojih praksah pri ravnanju z osebnimi podatki. Njihovo izpolnjevanje je dolgotrajno. S pridobitvijo certifikata lahko ponudniki v oblaku potrdilo predstavijo kot odgovor na večino, če ne celo na vsa ta vprašanja, s čimer zmanjšajo papirje in skrajšajo pogajalski postopek.

"Korporativna varnost upočasni številne posle. Veliko je trenj," pravi Dan Greenberg, direktor, Integrirane strategije in taktike, LLC, ki se pogaja o sporazumih v oblaku, pogosto za majhna tehnološka podjetja. "Namesto 32 vprašanj bi lahko za ta vprašanja poskrbelo potrdilo o skladnosti. To je velika stvar." Upam, da standard zmanjša trenje, "pravi.

Eden od dejavnikov, ki lahko včasih ovirajo ali ustavijo pogodbeni postopek, je kibernetsko zavarovanje, ki ga zavarovalnice napišejo za kritje stroškov kršitev podatkov in kršitev zasebnosti. "Kibernetsko zavarovanje je res drago, ker v nasprotju z vlomnim alarmom ni nobenega standarda," pravi Greenberg. "Zaradi stroškov kibernetskega zavarovanja sem se moral oddaljiti od poslov," dodaja.

Sorodno branje:

- 5 stvari, ki bi jih morali vedeti o kibernetskem zavarovanju

- kibernetsko zavarovanje: prihitijo samo norci

- kibernetsko zavarovanje: vredno, vendar pazite na izključitve

- Korporativna kultura ovira odkup kibernetskega zavarovanja

Ena izvršna direktorica zavarovalnice pravi, da je skladnost s standardom pozitiven dejavnik pogodb v oblaku. "Če je ponudnik certificiran v skladu s tem standardom, bi to najraje videli in pogoji bi to odražali," pravi Eric Cernak, vodja kibernetske prakse pri Munich Re U. S. Operations. Zaradi novosti standarda pa olajšanje visokih stopenj ne bo takoj, dodaja: "Morali bi imeti nekaj izkušenj, da bi ugotovili, ali to upravičuje nižjo premijo."

Pogodbeno in pravno varstvo. Čeprav je za vzpostavitev pravnih precedensov prezgodaj, bi moralo upoštevanje standarda ISO 27018 ponudnikom oblaka in njihovim strankam omogočiti ugoden položaj glede izpolnjevanja pogodbenih pogojev glede zasebnosti informacij.

ISO 27018 zajema široko paleto tem in zagotavlja standarde, ki preprečujejo revizije, preiskave strank in vladne preglede, ugotavlja Zick. Adherence ponudniku storitev v oblaku (CSP) omogoča, da pokaže, da so njegovi pravilniki in prakse zasebnosti razumni in v skladu z veljavnimi standardi.

"To s pravnega vidika zagotavlja varno pristanišče v primeru kršitve," pravi Zick.

Koncept varnega pristana pomeni, da ponudnik storitev v oblaku ne more biti obsojen na malomarnost ali lahkomiselnost z osebnimi podatki, ker si je prizadeval pridobiti certifikat. Podobne ugodnosti ima stranka v oblaku. "Če imate ta standard, ki ga lahko uporabite, lahko rečete, da je kriv slab človek in ne krivite mene," dodaja Zick. In skladnost mora izplačati dividende po vsem svetu. "Regulatorji so všeč, ker menijo, da je to skladnost s pravili o varstvu podatkov v njihovi državi," ugotavlja Zick.

Kaj je naslednje?

Kaj ob vseh teh prednostih ovira ponudnike oblakov? Zdi se, da sta dva glavna dejavnika: stroškovna in časovna zavezanost za pridobitev certifikata in pomanjkanje kritik uporabnikov, ki zahtevajo skladnost.

"Nismo imeli nobene stranke, ki bi to zahtevala," pravi Frank Balonis, višji direktor tehničnih služb pri Accellionu, CSP, ki se osredotoča na skupno rabo datotek, zlasti za mobilne uporabnike.

Tako Microsoft kot Dropbox sta velika ponudnika oblakov z globokim žepom in veliko koristi pri konkurenčnem razlikovanju od skladnosti. Manjši CPS so v drugem čolnu. "Najverjetneje bo to breme za manjše ponudnike oblakov," pravi Cernak. A sčasoma, pravi, morda nimajo druge izbire. "Ali bo to del cene vstopa za ponudnika storitev v oblaku?"

Balonis pravi, da Accellion pričakuje, da bo pridobil konkurenčno prednost, ko bo dokončal revizijo ISO 27018 do začetka leta 2016. "Bolnicam in pravnim podjetjem - tistim strankam, ki dajo prednost na osebnih podatkih, daje dodatno platišče."

Čeprav bodo za skladnost vedno potrebni napor in stroški, bi moralo biti po podelitvi certifikata letno certificiranje veliko lažje in cenejše, se strinjajo strokovnjaki. Večina se tudi strinja, da se bodo številni ponudniki v oblaku brez povpraševanja kupcev zadržali.

Za stranke v oblaku je prvi korak obveščanje in postavljanje vprašanj. Zick priporoča strankam, da pregledajo svoje dogovore s ponudniki storitev v oblaku, da bi ugotovili, ali imajo ponudniki načrte za uskladitev s standardom ISO 27018. Nato bi morali razmisliti o spremembah sporazumov, da bi dodali skladnost s standardom ISO 27018. "Akreditacija tretjih oseb resnično koristi, ker se nadaljuje. Nikoli se ne ustavi," pravi Zick. A ne pričakuje, da bo standard čez noč spremenil oblačno industrijo. "To je postopek, ki bo trajal leta, če ne celo desetletje."

Kaj je v standardu ISO 27018

Ker se osebno prepoznavne informacije lahko uporabljajo v poslovne namene, kot sta ciljno oglaševanje in analitika podatkov, ki vplivajo na posameznika, je razumevanje, kaj so ti podatki in kako jih lahko uporabljajo ponudniki v oblaku, pomembno za vse. Namen standarda ISO 27018 je vzpostaviti takšno razumevanje in posameznikom dati možnost, da podelijo ali prekličejo soglasje za uporabo svojih osebnih podatkov.

ISO 27018, ki je bil kot standard sprejet julija 2014, je sicer sam po sebi pomemben del družine ISO 27000 in evolucijski dodatek prejšnjim standardom ISO 27001 in ISO 27002. Skladnosti s standardom ISO 27018 ni mogoče doseči brez predhodnega preseganja ovire ISO 27001 in ISO 27002 - kar so mnogi ponudniki oblakov že storili.

Družina standardov ISO 27000 obravnava vprašanja zasebnosti, zaupnosti in tehnične varnosti. Standardi opisujejo na stotine potencialnih kontrol in nadzornih mehanizmov. Na kratko:

  • ISO 27001 - Pokriva varnost v oblaku. Potrebno je letno potrdilo.
  • ISO 27002 - opisuje, kako je treba upoštevati ISO 27001.
  • ISO 27018 - Obseg 27001 dodaja osebne podatke.

ISO 27018 določa, da skladni ponudniki storitev v oblaku (CSP):

  • Podatkov o strankah ne bo uporabljal za svoje neodvisne namene, kot sta oglaševanje in trženje, brez izrecnega soglasja stranke.
  • Dogovora o uporabi storitev ne bo vezal na uporabo osebnih podatkov družbe CSP za oglaševanje in trženje.

Poleg tega ISO 27018:

  • Vzpostavlja jasne in pregledne parametre za vračanje, prenos in varno odstranjevanje osebnih podatkov.
  • Zahteva, da ponudniki ponudnikov podatkov razkrijejo identitete katerega koli podprocesorja, s katerim sodelujejo pri obdelavi podatkov, preden stranke sklenejo pogodbo.
  • Če CSP spremeni podprocesorje, mora ta takoj obvestiti stranke, da jim omogoči ugovor, da prekinejo dogovor.

ISO 27018 ni nastal v vakuumu. Sorodno je drugim standardom, kot sta HIPAA, ki zajema osebne zdravstvene podatke (PHI), pa tudi SSAE (Izjava o standardih za posvetovalne obveznosti št. 16) in ISAE (Mednarodni standardi za sodelovanje pri potrjevanju št. 3402), revizijski standardi za varnostni nadzor in učinkovitost varnostnih kontrol, ki sta jih ustanovila Ameriški inštitut pooblaščenih javnih računovodij in Odbor za mednarodne standarde revidiranja in zagotovila Mednarodne zveze računovodskih strokovnjakov.

Spoznajte svoje osebne podatke

Ura je 3:00; ali veste, kje so vaši osebni podatki?

Preden lahko odgovorite na to vprašanje, morate opredeliti, kaj je osebna identiteta, kar zadeva vaše podjetje.

Na splošno so osebne informacije vse informacije, ki jih je mogoče slediti posamezniku. V standardu ISO 27018 ISO opisuje PII kot "katero koli informacijo, ki se (a) lahko uporabi za identifikacijo glavnega osebnega podatka, na katerega se te informacije nanašajo, ali (b) je ali je lahko neposredno ali posredno povezana z glavnim osebnim imenom."

Najpogosteje je to ime osebe in drugi osebni podatki, na primer naslov ali številka socialne varnosti. Lahko pa je tudi fizična lastnost, na primer glas osebe, podoba obraza ali video signalnega gibanja, na primer hoja osebe. Poleg tega so sofisticirani algoritmi vedno bolj sposobni vezati vedno manjše delce informacij na določenega posameznika.

Za namene pogodbenih obveznosti mora stranka povedati, kaj je osebna identiteta.

Kot je razloženo v ISO-dokumentu, "javni oblačni PII procesor običajno ne more izrecno vedeti, ali informacije, ki jih obdeluje, spadajo v katero koli določeno kategorijo, razen če to stranka v oblaku ne omogoči pregledno."

Prevod: Kot stranka v oblaku morate vedeti, kaj menite, da je osebna identiteta, in o tem obvestiti ponudnika oblaka.

Ko to storite, mora certificirani ponudnik storitev v oblaku te podatke obdelati v skladu s smernicami ISO 27018.

To zgodbo "Skladnost z ISO 27018: Tukaj morate vedeti" je prvotno objavil ITworld.

$config[zx-auto] not found$config[zx-overlay] not found