No One is Immune! Nessuno è immune! titola Thales nel suo “Global Threat Report Reveals Digital Transformation Era Is Putting Organizations’ Sensitive Data at Risk”.
Spinti dall'aumento del cyber crime e dall’evoluzione delle normative in tema di sicurezza dei dati, le aziende di tutto il mondo si trovano ad affrontare pressioni crescenti, per proteggere i propri dati e ridurre l'esposizione delle proprie organizzazioni ai rischi relativi alla data protection.
Per far fronte alle preoccupazioni relative al trattamento dei dati personali mediante il cloud computing è stato implementato lo standard ISO / IEC 27018.
La 27018 fa parte della famiglia 27000 e introduce controlli avanzati per la gestione dei PII nei servizi cloud.
I cloud services provider potranno così offrire ulteriori garanzie ai loro clienti, preoccupati dalle nuove disposizioni del GDPR e del nuovo Regolamento e-privacy.
Se sei un cloud provider e necessiti di dare maggiori garanzie ai tuoi clienti in merito alla gestione dei PII - Personally Identifiable Information (Dati relativi a persone fisiche) la 27018 ti aiuta a rispettare gli obblighi del regolamento UE 679/2016.
Più controlli nel cloud
L'allegato A della ISO 27018 prevede una serie di controlli aggiuntivi per aumentare il livello di protezione dei dati personali nel cloud:
- Diritti dell'interessato di accedere e cancellare i dati
- Elaborazione dei dati solo per la finalità per la quale l'interessato ha fornito tali dati
- Non utilizzare i dati per marketing e pubblicità
- Cancellazione di file temporanei
- Notifica al cliente in caso di richiesta di divulgazione dei dati
- Registrazione di tutte le divulgazioni di dati personali
- Divulgazione delle informazioni su tutti i subappaltatori utilizzati per l'elaborazione dei dati personali
- Notifica al cliente in caso di violazione dei dati
- Gestione dei documenti per le politiche e le procedure cloud
- Politica per la restituzione, il trasferimento e l'eliminazione dei dati personali
- Accordi di riservatezza per soggetti che possono accedere ai dati personali
- Limitazione della stampa dei dati personali
- Procedura per il ripristino dei dati
- Autorizzazione a portare i supporti fisici fuori sede
- Limitazione dell'utilizzo di supporti che non dispongono di funzionalità di crittografia
- Crittografia dei dati che vengono trasmessi su reti pubbliche
- Distruzione di supporti stampati con dati personali
- Utilizzo di ID univoci per i clienti cloud
- Record di accesso degli utenti al cloud
- Disabilitazione dell'utilizzo degli ID utente scaduti
- Specifica dei controlli minimi di sicurezza nei contratti con clienti e subappaltatori
- Cancellazione dei dati in archivio assegnati ad altri clienti
- Divulgazione al cliente cloud in quali Paesi verranno archiviati i dati
- Garantire che i dati raggiungano la destinazione
