O que é a ISO/IEC 27018?

Tempo de leitura: 3 minutos

A segurança dos dados no ambiente da nuvem é uma preocupação fundamental tanto dos provedores de serviço, quanto dos clientes que os utilizam. Por isso estar em compliance com as normas e legislações que tratam deste tema é fundamental. 

Uma certificação muito importante para empresas que fornecem serviços de cloud é a ISO/IEC 27018. No ano de 2014, a ISO (Organização Internacional de Normalização) criou a ISO/IEC 27018:2014, um adendo à ISO/IEC 27002 e o primeiro código de conduta internacional com o objetivo de garantir e controlar a privacidade em serviços de cloud. Posteriormente, em 2019 este código foi revisado e agora é nomeado ISO/IEC 27018:2019. 

Conheça mais sobre essa nova norma e porque ela é importante para as empresas provedoras de nuvem pública. 

O que é?

A ISO/IEC 27018 é um código de práticas para proteção de informações de identificação pessoal (PII) em nuvens públicas que fornece orientações específicas para CSPs (Cloud Services Provider, ou, provedores de serviços de nuvem) que atuam no processamento de PII, bem como avaliam os riscos e implementam controles avançados para a proteção das informações nesses ambientes.

As Informações de Identificação Pessoal ou PIIs são definidas como qualquer informação que seja utilizada para identificar um usuário específico de forma direta ou indireta. 

Sabendo disso, pode-se considerar que a ISO/IEC 27018 trata de um dos fatores mais críticos na tecnologia cloud: a privacidade. E, faz isso através de controles existentes na ISO 27002 com itens específicos para a questão da privacidade de nuvem e fornece novos controles de segurança para dados pessoais e sensíveis. 

Para quem é?

Esta norma serve para organizações de todos os tamanhos e segmentos, dos setores público e privado, bem como entidades governamentais e ONGs que forneçam serviços de processamento de PIIs através de nuvem pública, além de se aplicar às controladoras de PII, que são pessoas ou empresas que determinam os propósitos para a coleta e processamento de dados pessoais. 

As controladoras de PII, no entanto, podem estar sujeitas a legislações, obrigações e regulamentações de proteção de dados adicionais a que empresas atuantes como apenas processadoras de PII não estão sujeitas. 

Grandes empresas que oferecem serviços de nuvem pública, como o Google Cloud Platform e o G Suite,  a Microsoft Azure, IBM, Dropbox e Amazon Web Services possuem certificado da ISO/IEC 27018.

Quais os objetivos?

O objetivo da ISO/IEC 27018 é servir como referência para selecionar controles de proteção de PII durante o processo de implementação de um sistema de gerenciamento da segurança das informações de cloud computing, bem como um documento de diretrizes para organizações que utilizem nuvem pública implementarem seus controles de proteção de PII. Além disso, a norma objetiva ajudar provedores de serviço de nuvem pública a estarem em compliance com  as obrigações regulatórias enquanto processadores de PIIs, bem como possibilita maior transparência nos processos dessas empresas. 

Para os clientes dessas empresas, a ISO/IEC 27018 fornece mecanismos para exercício de direitos e responsabilidades de auditoria e conformidade em casos específicos nos quais as auditorias individuais de clientes de serviços de nuvem pública não possam ser realizadas por serem tecnicamente impraticáveis ou por provocarem o aumento de riscos para os controles de segurança da rede.

O seu serviço de nuvem é certificado com a ISO/IEC 27018? A Introduce é parceira da Google Cloud no Brasil. Conecte-se com a gente e trabalhe com uma solução de nuvem  certificada.

Acompanhe também a relação entre as normas ISO para proteção de dados e a Lei Geral de Proteção de Dados (LGPD) na “Cartilha Lei Geral de Proteção de Dados” da Anahp – Associação Nacional de Hospitais Privados.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.