ISO IEC 27018 Code of practice for protection of PII in publics clouds

No One is Immune! Nessuno è immune! titola Thales nel suo “Global Threat Report Reveals Digital Transformation Era Is Putting Organizations’ Sensitive Data at Risk”.

Spinti dall'aumento del cyber crime e dall’evoluzione delle normative in tema di sicurezza dei dati, le aziende di tutto il mondo si trovano ad affrontare pressioni crescenti, per proteggere i propri dati e ridurre l'esposizione delle proprie organizzazioni ai rischi relativi alla data protection.

Per far fronte alle preoccupazioni relative al trattamento dei dati personali mediante il cloud computing è stato implementato lo standard ISO / IEC 27018.

La 27018 fa parte della famiglia 27000 e introduce controlli avanzati per la gestione dei PII nei servizi cloud.

I cloud services provider potranno così offrire ulteriori garanzie ai loro clienti, preoccupati dalle nuove disposizioni del GDPR e del nuovo Regolamento e-privacy.

Se sei un cloud provider e necessiti di dare maggiori garanzie ai tuoi clienti in merito alla gestione dei PII - Personally Identifiable Information (Dati relativi a persone fisiche) la 27018 ti aiuta a rispettare gli obblighi del regolamento UE 679/2016.

Più controlli nel cloud

L'allegato A della ISO 27018 prevede una serie di controlli aggiuntivi per aumentare il livello di protezione dei dati personali nel cloud:

  • Diritti dell'interessato di accedere e cancellare i dati
  • Elaborazione dei dati solo per la finalità per la quale l'interessato ha fornito tali dati
  • Non utilizzare i dati per marketing e pubblicità
  • Cancellazione di file temporanei
  • Notifica al cliente in caso di richiesta di divulgazione dei dati
  • Registrazione di tutte le divulgazioni di dati personali
  • Divulgazione delle informazioni su tutti i subappaltatori utilizzati per l'elaborazione dei dati personali
  • Notifica al cliente in caso di violazione dei dati
  • Gestione dei documenti per le politiche e le procedure cloud
  • Politica per la restituzione, il trasferimento e l'eliminazione dei dati personali
  • Accordi di riservatezza per soggetti che possono accedere ai dati personali
  • Limitazione della stampa dei dati personali
  • Procedura per il ripristino dei dati
  • Autorizzazione a portare i supporti fisici fuori sede
  • Limitazione dell'utilizzo di supporti che non dispongono di funzionalità di crittografia
  • Crittografia dei dati che vengono trasmessi su reti pubbliche
  • Distruzione di supporti stampati con dati personali
  • Utilizzo di ID univoci per i clienti cloud
  • Record di accesso degli utenti al cloud
  • Disabilitazione dell'utilizzo degli ID utente scaduti
  • Specifica dei controlli minimi di sicurezza nei contratti con clienti e subappaltatori
  • Cancellazione dei dati in archivio assegnati ad altri clienti
  • Divulgazione al cliente cloud in quali Paesi verranno archiviati i dati
  • Garantire che i dati raggiungano la destinazione

 

La nostra Filosofia
IMteam Group
Cosa facciamo
Il metodo GRC