Programovanie

Súlad s normou ISO 27018: Tu je potrebné vedieť

Rokujete o zmluve o cloudových službách. Aby sa dohoda uzavrela, zástupkyňa poskytovateľa cloudu sa naklonila cez stôl, upriamila svoj pohľad a povedala vám: „Mimochodom, služba má certifikát ISO 27018.“

ISO 270 - čo? Mali by ste sa podpísať alebo ustúpiť? Vedúci pracovníci v oblasti IT budú čoraz viac čeliť práve takejto voľbe, a to vďaka zavedeniu normy ISO 27018 na ochranu osobne identifikovateľných informácií (PII) v cloude, ktorú prijala Medzinárodná organizácia pre normalizáciu (ISO) v júli 2014.

S pokračujúcim únikom údajov, stratou PII a krádežou identity sú akékoľvek opatrenia na zastavenie prílivu veľkým záujmom pre IT komunitu. Aj napriek tomu zatiaľ iba Microsoft a Dropbox ohlásili cloudové služby kompatibilné s ISO 27018. Spoločnosť Microsoft certifikovala svoju cloudovú službu Azure, cloudové aplikácie Dynamics CRM a ERP a cloudové aplikácie podnikovej produktivity Office 365 na cloud vo februári 2015. Dropbox v apríli 2015 oznámil, že Dropbox for Business bol certifikovaný. Ak vezmeme do úvahy vesmír poskytovateľov cloudu a ich služieb, je to malý začiatok, ale väčšina pozorovateľov sa domnieva, že je len otázkou času, kým väčšina, ak nie všetci poskytovatelia cloudu, neoznámia súlad s normou.

Pozri tiež: Gartner: Dlhé tvrdé stúpanie na vysokú úroveň zabezpečenia cloud computingu

Výhody normy ISO 27018 sú sľubné. Tie obsahujú:

  • Väčšia dôvera zákazníkov v cloudové služby
  • Rýchlejšie umožnenie globálnych operácií
  • Efektívnejšie zmluvy
  • Právna ochrana poskytovateľov a používateľov cloudu

Tu je dôvod, prečo:

Väčšia dôvera zákazníkov v cloudové služby. Zhoda s normou ISO 27018 znamená, že poskytovateľ cloudových služieb vykonal zoznam postupov (pozri bočný panel) na prácu s údajmi PII. Pretože dodržiavanie predpisov si vyžaduje ročnú certifikáciu, prísnosti tohto procesu - a výsledného certifikátu - by mali zákazníkom poskytnúť novú dôveru v ich poskytovateľov.

„Ukazuje to, že váš poskytovateľ cloudových služieb má určitú úroveň vysporiadania PII,“ hovorí Christie Grabyan, vedúca podnikovej bezpečnostnej praxe v spoločnosti BishopFox, konzultant v oblasti zabezpečenia údajov.

Jeden právnik tvrdí, že zmysel tohto úsilia presahuje rámec osvedčenia. "Motiváciou nie je len mať kúsok papiera na stene. Snažíte sa neposkrývať niečie dáta - spodné - jedná sa o podnikanie a zákazníkov a dôveru," hovorí Colin Zick, právny zástupca firma Foley Hoag v Bostone.

ISO 27018 úlohy a nedarovanie

Dos:

  • Zistite, či je pre vašu spoločnosť a jej zákazníkov dôležitý súlad s normou ISO27018.
  • Zistite, či výhody prevažujú nad nákladmi na zabezpečenie súladu.
  • Definujte PII, pokiaľ ide o vás a vaše podnikanie a jeho zákazníkov.
  • Zistite, či váš poskytovateľ cloudu dodržiava pravidlá, alebo požadujte rovnocennú ochranu.
  • Požiadajte, aby váš poskytovateľ cloudu vyhovel. Pretože niektorí poskytovatelia sa môžu riadiť súladom iba v prípade, že ich zákazníci tlačia, je dôležitý váš hlas.

Nerobiť:

  • Nezabudnite, že naďalej zodpovedáte za bezpečnosť informácií umožňujúcich identifikáciu osôb, ktoré identifikujete.
  • Nevyhadzujte svojho poskytovateľa cloudových služieb hneď kvôli tomu, že ešte má certifikát o zhode. Poskytovateľ cloudu môže splniť väčšinu alebo všetky ustanovenia normy ISO 27018, ak s nimi súhlasíte, a ešte nebol formálne skontrolovaný. Buďte informovaní a úplne pochopte, čo váš poskytovateľ robí.

Poskytovatelia cloudu zase dúfajú, že sa správa dostane k zákazníkom. "Naši zákazníci nám musia byť schopní dôverovať. Nepracuje to s nimi tak, že by nás kontrolovali individuálne, takže je dôležité, aby sme mali nezávislú certifikáciu," hovorí Patrick Heim, vedúci oddelenia dôvery a bezpečnosti spoločnosti Dropbox.

Bez ohľadu na to, či poskytovateľ cloudu získa formálnu certifikáciu alebo nie, kľúčové prvky normy môžu byť zahrnuté v zmluvách. „Stále môžete rokovať súkromne o všetkých ustanoveniach normy ISO 27018,“ hovorí Richard Kemp, advokát a zakladateľ právnickej firmy KempITLaw vo Veľkej Británii. Čím viac sa tieto ustanovenia prijímajú, mali by sa zlepšiť spoločné postupy na ochranu PII v cloudových zmluvách. To by malo zákazníkom všeobecne pomôcť.

Rýchlejšie umožnenie globálnych operácií. Pretože ISO 27018 poskytuje spoločné pokyny v rôznych krajinách, poskytovatelia cloudových služieb budú môcť ľahšie obchodovať globálne - a cloudoví zákazníci s nimi budú môcť podpisovať zmluvy na služby v mnohých kútoch sveta. Pretože norma ISO 27018 bola z veľkej časti založená na požiadavkách Európskeho spoločenstva, malo by sa tam pre začiatočníkov podniknúť oveľa plynulejšie.

„Členovia európskych regulačných orgánov tvrdia, že sú skutočne nadšení štandardom, ktorý sa zavádza online,“ hovorí Neal Suggs, viceprezident a hlavný právny zástupca spoločnosti Microsoft Corp. Výhody by však mali ísť oveľa ďalej. „Existuje viac ako 100 krajín, ktoré majú zákony na ochranu údajov a súkromia,“ hovorí Deborah Hurley, zakladateľka konzultačnej spoločnosti Hurley a spolupracovníčka Inštitútu pre kvantitatívne sociálne vedy na Harvardovej univerzite. "Nie je to len európska záležitosť. Každý podnik by sa mal považovať za globálny. K splneniu požiadaviek krajín z celého sveta vedie dlhá cesta," dodáva.

Z pohľadu poskytovateľa cloudu zníži technické úsilie potrebné na prispôsobenie cloudových služieb konkrétnym zákonom o ochrane súkromia. "Norma umožňuje inžinierom stavať raz a pracovať pre mnohých. Je ťažké sa prispôsobiť miestnym zákonom, tvrdí Suggs. Dodáva Heim zo spoločnosti Dropbox," sedemdesiat percent našich zákazníkov je globálnych. "

Efektívnejšie zmluvy

Zákazníci v cloude často požadujú od poskytovateľov vyplnenie dotazníka týkajúceho sa ich postupov pri zaobchádzaní s PII. Ich vypĺňanie je náročné na čas. Získaním certifikácie môžu poskytovatelia cloudu predložiť certifikát ako odpoveď na väčšinu, ak nie na všetky tieto otázky, čo zníži papierovanie a skráti rokovací proces.

"Podniková bezpečnosť spomaľuje veľa obchodov. Existuje veľa trení," hovorí Dan Greenberg, riaditeľ spoločnosti Integrated Strategies & Tactics, LLC, ktorá vyjednáva cloudové dohody, často pre malé technologické spoločnosti. „Namiesto 32 otázok by sa osvedčenie o zhode mohlo postarať o 30 z týchto otázok. To je veľká vec.“ Dúfam, že norma znižuje trenie, “hovorí.

Jedným z faktorov, ktoré môžu niekedy brániť alebo zastaviť proces uzatvárania zmlúv, je kybernetické poistenie, ktoré poisťovací dopravcovia píšu na pokrytie nákladov na porušenie ochrany údajov a súkromia. „Kybernetické poistenie je skutočne nákladné, pretože na rozdiel od EZS neexistuje žiadny štandard,“ hovorí Greenberg. „Musel som odísť z obchodov kvôli nákladom na kybernetické poistenie,“ dodáva.

Súvisiace čítanie:

- 5 vecí, ktoré by ste mali vedieť o kybernetickom poistení

- Kybernetické poistenie: Vrážajú iba blázni

- Kybernetické poistenie: Stojí to za to, ale pozor na vylúčenia

- Firemná kultúra bráni vstupu do internetového poistenia

Jeden z vedúcich pracovníkov poisťovne tvrdí, že dodržiavanie normy je pozitívnym faktorom pri cloudových zmluvách. „Ak je poskytovateľ certifikovaný podľa tohto štandardu, boli by sme radšej, keby sa to stalo a podmienky by to odrážali,“ hovorí Eric Černák, vedúci kybernetickej praxe v spoločnosti Munich Re U. S. Operations. Kvôli novosti štandardu však úľava od vysokých sadzieb nebude okamžitá, dodáva: „Potrebovali by sme mať nejaké skúsenosti, aby sme zistili, či si to vyžaduje nižšiu prémiu.“

Zmluvná a právna ochrana. Aj keď je príliš skoro na vytvorenie právnych precedensov, dodržiavanie normy ISO 27018 by malo poskytovateľom cloudových služieb a ich zákazníkom poskytnúť priaznivú pozíciu, pokiaľ ide o splnenie zmluvných podmienok, pokiaľ ide o ochranu informácií.

ISO 27018 pokrýva široké spektrum predmetov a poskytuje štandardy, ktoré bránia auditom, požiadavkám zákazníkov a vládnym kontrolám, poznamenáva Zick. Dodržiavanie umožňuje poskytovateľovi cloudových služieb (CSP) preukázať, že jeho zásady a postupy ochrany súkromia sú primerané a v súlade s platnými normami.

„Toto poskytuje bezpečný prístav z právneho hľadiska v prípade porušenia,“ hovorí Zick.

Koncept bezpečného prístavu znamená, že poskytovateľa cloudu nemožno pri PII považovať za nedbanlivosť alebo ľahkomyseľnosť, pretože si vyžiadal certifikáciu. Podobnú výhodu získava cloudový zákazník. „Ak máte tento štandard, na ktorý sa môžete spoľahnúť, môžete povedať, že je to chyba zlého človeka, a neobviňujte ma,“ dodáva Zick. A dodržiavanie by malo platiť dividendy globálne. „Regulačné orgány sa im páčia, pretože to považujú za záruku dodržiavania pravidiel ochrany údajov v ich vlastnej krajine,“ poznamenáva Zick.

Čo bude ďalej?

Čo so všetkými týmito výhodami drží poskytovateľov cloudu späť? Zdá sa, že existujú dva hlavné faktory: nákladová a časová náročnosť získania certifikácie a nedostatok užívateľských protestov vyžadujúcich zhodu.

„Nemali sme žiadneho zákazníka, ktorý by to vyžadoval,“ hovorí Frank Balonis, senior riaditeľ technických služieb v spoločnosti Accellion, CSP zameraného na zdieľanie súborov, najmä pre mobilných používateľov.

Microsoft aj Dropbox sú veľkými poskytovateľmi cloudových služieb s hlbokými vreckami a majú veľa na zisku v konkurenčnej diferenciácii od dodržiavania predpisov. Menšie CPS sú na inej lodi. „S najväčšou pravdepodobnosťou to bude záťaž pre menších poskytovateľov cloudových služieb,“ tvrdí Černák. Podľa neho však časom nemusí mať na výber. „Bude to súčasť ceny vstupného za poskytovateľa cloudu?“

Balonis hovorí, že spoločnosť Accellion očakáva, že získa konkurenčnú výhodu, keď dokončí audit ISO 27018 začiatkom roku 2016. „Poskytuje ďalšiu úroveň záruky nemocniciam a právnickým firmám - tým zákazníkom, ktorí kladú dôraz na PII,“ hovorí.

Aj keď si dodržiavanie bude vždy vyžadovať úsilie a náklady, po udelení certifikátu by mala byť ročná certifikácia oveľa ľahšia a menej nákladná, zhodujú sa odborníci. Väčšina tiež súhlasí s tým, že bez požiadaviek zákazníkov na dodržiavanie predpisov sa veľa poskytovateľov cloudových služieb udrží.

Pre zákazníkov cloudu je prvým krokom informovanie a kladenie otázok. Zick odporúča zákazníkom, aby si preštudovali svoje dohody s poskytovateľmi cloudových služieb a zistili, či majú poskytovatelia plány na zosúladenie s normou ISO 27018. Potom by mali zvážiť dodatky k dohodám s cieľom pridať zhodu s normou ISO 27018. "Akreditácia tretích strán má skutočne hodnotu, najmä preto, že pokračuje. Nikdy sa nezastaví," hovorí Zick. Neočakáva však, že štandard zmení cloudové odvetvie zo dňa na deň. „Toto je proces, ktorého zavedenie bude trvať roky, ak nie desaťročie.“

Čo je v norme ISO 27018

Pretože informácie umožňujúce osobnú identifikáciu (PII) je možné použiť na obchodné účely, ako je cielená reklama a analýza údajov, ktoré majú vplyv na jednotlivca, je pre každého dôležité pochopiť, o aké údaje ide a ako ich môžu používať poskytovatelia cloudu. Účelom normy ISO 27018 je ustanoviť také porozumenie a dať jednotlivcom možnosť udeliť alebo odvolať súhlas s používaním ich PII.

Norma ISO 27018, ktorá bola prijatá ako štandard v júli 2014, je sama o sebe významná, je súčasťou rodiny ISO 27000 a predstavuje evolučný doplnok k predchádzajúcim normám ISO 27001 a ISO 27002. Nie je možné dosiahnuť súlad s normou ISO 27018 bez predchádzajúceho prekonania prekážky ISO 27001 a ISO 27002 - čo už mnohí poskytovatelia cloudových služieb urobili.

Rodina noriem ISO 27000 sa zameriava na otázky ochrany súkromia, dôvernosti a technického zabezpečenia. Normy načrtávajú stovky potenciálnych kontrol a kontrolných mechanizmov. V skratke:

  • ISO 27001 - Pokrýva bezpečnosť v cloude. Vyžaduje sa ročná certifikácia.
  • ISO 27002 - Vysvetľuje, ako dosiahnuť súlad s normou ISO 27001.
  • ISO 27018 - Pridáva informácie umožňujúce identifikáciu osôb do rozsahu pôsobnosti normy 27001.

ISO 27018 vyžaduje, aby poskytovatelia cloudových služieb (CSP) vyhovujúci týmto predpisom:

  • Bez výslovného súhlasu zákazníka nepoužije údaje o zákazníkoch na svoje vlastné nezávislé účely, ako je reklama a marketing.
  • Neviaže sa na dohodu o použití služieb s používaním osobných údajov CSP na reklamu a marketing.

Okrem toho ISO 27018:

  • Stanovuje jasné a transparentné parametre pre návrat, prenos a bezpečné zneškodnenie osobných údajov.
  • Vyžaduje sa od poskytovateľov CSP, aby zverejnili totožnosť všetkých čiastkových procesorov, ktorých zapojili do pomoci so spracovaním údajov, skôr ako zákazníci uzatvoria zmluvu.
  • Ak CSP zmení čiastkové procesory, je potrebné, aby CSP bezodkladne informoval zákazníkov, aby im dal príležitosť namietať proti ukončeniu ich dohody.

ISO 27018 nevznikla vo vákuu. Podobá sa na ďalšie štandardy, ako napríklad HIPAA, ktorý sa týka osobných informácií o zdraví (PHI), ako aj SSAE (Vyhlásenie o štandardoch pre osvedčovacie práce č. 16) a ISAE (Medzinárodné štandardy pre osvedčovacie práce č. 3402), ktoré sú audítorské štandardy pre bezpečnostné kontroly a účinnosť bezpečnostných kontrol stanovené Americkým inštitútom certifikovaných verejných účtovníkov a Radou pre medzinárodné audítorské a zabezpečovacie štandardy Medzinárodnej federácie účtovníkov.

Poznajte svoje PII

Sú 3:00; viete, kde sú vaše osobné identifikačné údaje (PII)?

Skôr ako odpoviete na túto otázku, musíte si zadefinovať, čo sú PII, pokiaľ ide o vaše podnikanie.

Všeobecne možno povedať, že PII sú všetky informácie, ktoré sú vysledovateľné k jednotlivcovi. V norme ISO 27018 ISO popisuje PII ako „akékoľvek informácie, ktoré (a) môžu byť použité na identifikáciu principála PII, ktorého sa tieto informácie týkajú, alebo (b) sú alebo by mohli byť priamo alebo nepriamo spojené s principom PII.“ “

Najčastejšie ide o meno osoby a ďalšie osobné informácie, napríklad adresu alebo rodné číslo. Môže to však byť aj fyzická charakteristika, ako napríklad hlas osoby, obraz tváre alebo videozáznam oznamovacieho pohybu, napríklad chôdza človeka. Ďalej sú sofistikované algoritmy čoraz viac schopné viazať na konkrétneho jednotlivca čoraz menšie kúsky informácií.

Na účely zmluvných záväzkov je na zákazníkovi, aby povedal, čo je PII.

Ako dokument ISO vysvetľuje: „Verejný cloudový procesor PII zvyčajne nie je v pozícii, aby vedel explicitne vedieť, či informácie, ktoré spracúva, spadajú do určenej kategórie, pokiaľ to zákazník cloudových služieb nestanoví transparentne.“

Preklad: Ako zákazník cloudu musíte vedieť, čo považujete za PII, a musíte o tom informovať poskytovateľa cloudu.

Keď to urobíte, certifikovaný poskytovateľ cloudu potom musí s týmito informáciami zaobchádzať v súlade s pokynmi ISO 27018.

Tento príbeh, „Súlad s normou ISO 27018: Tu je to, čo potrebujete vedieť“, pôvodne publikoval ITworld.

mohlo by sa vám páčiť

$config[zx-auto] not found$config[zx-overlay] not found