ISO 27018

Protezione delle Informazioni di Identificazione Personale

ISO/IEC 27018:2019 è un codice di condotta per la sicurezza delle informazioni per i fornitori di servizi cloud che elaborano le informazioni di identificazione personale per i propri clienti. È un’estensione della ISO 27001 e della ISO 27002 e fornisce controlli di sicurezza aggiuntivi. Descrive in dettaglio i requisiti di privacy e i miglioramenti del controllo di sicurezza per la privacy che devono essere implementati dai fornitori di servizi cloud.

È complementare alla ISO 27017, Controlli di Sicuerezza pr i Servizi Cloud, e alla ISO 27701, Gestione delle Informazioni sulla Privacy, che sono aloro volta legate alla ISO 27001.

Come estensione della ISO 27001, la ISO 27018 fornisce una guida su 16 controlli ISO 27002, oltre a fornire 25 nuovi controlli di privacy e sicurezza:

L’obbligo di collaborare con i responsabili del trattamento delle PII
Il mantenimento dei diritti dei titolari PII
Conformità ai requisiti fondamentali della privacy, come la minimizzazione e l’accuratezza dei dati
I principi di trasparenza e responsabilità
Ulteriori controlli di sicurezza
Requisiti per l’elaborazione in subappalto

Perché certificarsi alla ISO 27018?

Business continuity

Evita i tempi di inattività con la gestione del rischio, la conformità legale e la vigilanza di problemi e preoccupazioni di sicurezza futuri.

Comprovate credenziali aziendali

La verifica indipendente secondo uno standard internazionalmente riconosciuto ti rende maggiormente credibile.

Conformità legale

Scopri in che modo i requisiti normativi influiscono sulla tua organizzazione e sui clienti, riducendo il rischio di subire procedimenti giudiziari e sanzioni.

Vantaggio competitivo

Molte aziende cercano fornitori di servizi cloud che rispettino rigorose misure di protezione dei dati, la certificazione è un fattore differenziante.

Migliore gestione dei rischi

Garantisci che i registri dei clienti, le informazioni finanziarie e la proprietà intellettuale siano protetti da perdite, furti e danni.

Miglioramento dei processi interni

L'adozione di procedure specifiche per la gestione dei dati personali nei servizi cloud porta a un miglioramento generale dei processi interni.

UNI EN ISO 27018:2019 – Più controlli nel Cloud

L’allegato A della ISO 27018 prevede una serie di controlli aggiuntivi per aumentare il livello di protezione dei dati personali nel cloud:

Diritti dell’interessato di accedere e cancellare i dati
Elaborazione dei dati solo per la finalità per la quale l’interessato ha fornito tali dati
Non utilizzare i dati per marketing e pubblicità
Cancellazione di file temporanei
Notifica al cliente in caso di richiesta di divulgazione dei dati
Registrazione di tutte le divulgazioni di dati personali
Divulgazione delle informazioni su tutti i subappaltatori utilizzati per l’elaborazione dei dati personali
Notifica al cliente in caso di violazione dei dati
Gestione dei documenti per le politiche e le procedure cloud
Politica per la restituzione, il trasferimento e l’eliminazione dei dati personali
Accordi di riservatezza per soggetti che possono accedere ai dati personali
Limitazione della stampa dei dati personali
Procedura per il ripristino dei dati
Autorizzazione a portare i supporti fisici fuori sede
Limitazione dell’utilizzo di supporti che non dispongono di funzionalità di crittografia
Crittografia dei dati che vengono trasmessi su reti pubbliche
Distruzione di supporti stampati con dati personali
Utilizzo di ID univoci per i clienti cloud
Record di accesso degli utenti al cloud
Disabilitazione dell’utilizzo degli ID utente scaduti
Specifica dei controlli minimi di sicurezza nei contratti con clienti e subappaltatori
Cancellazione dei dati in archivio assegnati ad altri clienti
Divulgazione al cliente cloud in quali Paesi verranno archiviati i dati
Garantire che i dati raggiungano la destinazione

ISO 27018 – Protezione delle Informazioni di Identificazione Personale