Sukladnost s ISO 27018: Evo što trebate znati

Pregovarate o ugovoru za usluge u oblaku. Da bi zaključio posao, predstavnik davatelja usluga u oblaku naginje se preko stola, fiksira pogled i kaže vam: "Inače, usluga je certificirana u skladu s ISO 27018."

ISO 270-što? Trebate li se potpisati ili odstupiti? IT izvršitelji će se sve više suočavati s upravo takvim izborom, zahvaljujući pojavi ISO 27018 standarda za zaštitu osobnih podataka (PII) u oblaku, koji je u srpnju 2014. godine usvojila Međunarodna organizacija za standarde (ISO).

S probijanjem podataka, gubitkom osobnih podataka i krađom identiteta koji se nastavljaju bez odmaka, sve mjere za zaustavljanje plime od velikog su interesa za IT zajednicu. Unatoč tome, samo su Microsoft i Dropbox do sada najavili usluge u oblaku usklađene s ISO 27018. Microsoft je certificirao svoju Azure uslugu u oblaku, Dynamics CRM i ERP aplikacije temeljene na oblaku i Office 365 poslovne programe za poslovnu produktivnost u veljači 2015. Dropbox je u travnju 2015. objavio da je Dropbox za tvrtke certificiran. S obzirom na svemir pružatelja usluga u oblaku i njihovih usluga, početak je mali, ali većina promatrača vjeruje da je samo pitanje vremena dok većina, ako ne i svi pružatelji usluga u oblaku, objave poštivanje standarda.

Vidi također: Gartner: Dugi naporan uspon do visoke razine sigurnosti računalstva u oblaku

Blagodati ISO 27018 obećavaju da će biti duboke. To uključuje:

  • Veće povjerenje kupaca u usluge u oblaku
  • Brže omogućavanje globalnih operacija
  • Pojednostavljeni ugovori
  • Pravna zaštita za pružatelje usluga i korisnike u oblaku

Evo zašto:

Veće povjerenje kupaca u usluge u oblaku. Sukladnost s ISO 27018 znači da je pružatelj usluga u oblaku poduzeo popis postupaka (vidi bočnu traku) za rukovanje osobnim podacima. Budući da sukladnost zahtijeva godišnju potvrdu, strogost tog postupka - i certifikat koji iz toga proizlazi - trebali bi kupcima pružiti novo povjerenje u svoje davatelje usluga.

"To pokazuje da vaš davatelj usluga u oblaku ima određenu razinu zrelosti koja obrađuje PII", kaže Christie Grabyan, voditeljica sigurnosne prakse u poduzeću BishopFox, savjetodavnoj tvrtki za sigurnost podataka.

Jedan odvjetnik tvrdi da značenje napora ide daleko dalje od potvrde. "Motivacija nije samo imati papir na zidu. Pokušavate ne zabrljati nečije podatke - dno - ovdje se radi o poslu i kupcima i samopouzdanju", kaže Colin Zick, zakonski partner tvrtka Foley Hoag u Bostonu.

ISO 27018 treba i ne smije

Dos:

  • Utvrdite je li usklađenost s ISO27018 važna za vašu tvrtku i njezine kupce.
  • Utvrdite hoće li koristi premašiti troškove usklađenosti.
  • Definirajte osobne podatke koji se odnose na vas i vaše poslovanje i njegove kupce.
  • Saznajte je li vaš davatelj usluga u oblaku u skladu - ili zahtijeva ekvivalentnu zaštitu.
  • Zatražite da se vaš pružatelj usluga u oblaku pridržava. Budući da se neki pružatelji usluga mogu pridržavati pravila samo ako ih na njih nateraju korisnici, vaš je glas važan.

Ne treba:

  • Ne zaboravite da ste i dalje odgovorni za sigurnost osobnih podataka koje identificirate.
  • Nemojte odmah baciti davatelja usluga u oblaku samo zato što još ima certifikat o usklađenosti. Davatelj usluga u oblaku može ispuniti većinu ili sve odredbe ISO 27018 u vašem dogovoru s njima i još uvijek nije formalno revidiran. Budite informirani i u potpunosti razumite što vaš davatelj usluga radi.

Sa svoje strane, pružatelji usluga u oblaku nadaju se da će poruka prenijeti na kupce. "Naši kupci moraju biti u mogućnosti da nam vjeruju. Ne može im proći pojedinačnu reviziju, pa nam je važno imati neovisnu potvrdu", kaže Patrick Heim, šef povjerenja i sigurnosti u Dropboxu.

Bez obzira dobiva li pružatelj usluga u oblaku formalnu certifikaciju, ključni elementi standarda mogu se uključiti u ugovore. "I dalje možete privatno pregovarati o svim odredbama ISO 27018", kaže Richard Kemp, odvjetnik i osnivač odvjetničkog ureda KempITLaw iz Ujedinjenog Kraljevstva. Kako se te odredbe sve više usvajaju, uobičajena praksa zaštite PII-a u ugovorima u oblaku trebala bi se poboljšati. To bi klijentima trebalo učiniti ugodnijima.

Brže omogućavanje globalnih operacija. Budući da ISO 27018 pruža zajedničke smjernice za različite zemlje, pružateljima usluga u oblaku bit će lakše poslovati globalno - a kupcima u oblaku s njima potpisati ugovore o uslugama u mnogim krajevima svijeta. Budući da se norma ISO 27018 velikim dijelom temeljila na zahtjevima Europske zajednice, tamo bi za početak trebalo ići puno uglađenije.

"Europski zakonodavci kažu da su stvarno uzbuđeni zbog pojavljivanja standarda", kaže Neal Suggs, potpredsjednik i pridruženi glavni savjetnik Microsofta Corp. Ali koristi bi trebale ići mnogo dalje. "Postoji preko 100 zemalja koje imaju zakone koji štite podatke i privatnost", kaže Deborah Hurley, osnivačica konzultantske tvrtke Hurley i suradnica s Instituta za kvantitativne društvene znanosti na Sveučilištu Harvard. "To nije samo europska stvar. Svaka bi se tvrtka trebala smatrati globalnom. To uvelike ispunjava zahtjeve zemalja širom svijeta", dodaje ona.

Iz perspektive pružatelja usluga u oblaku, smanjit će inženjerski napor potreban za prilagodbu usluga u oblaku određenim zakonima o privatnosti. "Standard omogućuje inženjerima da grade jednom i rade za mnoge. Teško se prilagoditi lokaliziranim zakonima, kaže Suggs. Dodaje Heim iz Dropboxa," Sedamdeset posto naših kupaca je globalno. "

Pojednostavljeni ugovori

Kupci u oblaku često traže od davatelja usluga da ispune upitnik u vezi s njihovom praksom u rukovanju osobnim podacima. Ispunjavanje ih oduzima puno vremena. Dobivanjem certifikata davatelji usluga u oblaku mogu predstaviti certifikat kao odgovor na većinu, ako ne i na sva pitanja, smanjujući papirologiju i skraćujući proces pregovora.

"Korporativna sigurnost usporava mnoge poslove. Dosta je trvenja", kaže Dan Greenberg, glavni, Integrated Strategies & Tactics, LLC, koji pregovara o oblačnim ugovorima, često za male tehnološke tvrtke. "Umjesto 32 pitanja, potvrda o usklađenosti može se pobrinuti za 30 od njih. To je velika stvar." Nadam se da standard smanjuje trenje ", kaže.

Jedan od čimbenika koji ponekad može ometati ili zaustaviti ugovorni postupak je cyber osiguranje koje nositelji osiguranja pišu kako bi pokrili troškove kršenja podataka i kršenja privatnosti. "Cyber ​​osiguranje stvarno je skupo, jer ne postoji standard, za razliku od protuprovalnog alarma", kaže Greenberg. "Morao sam se udaljiti od dogovora zbog troškova cyber osiguranja", dodaje.

Srodno čitanje:

- 5 stvari koje biste trebali znati o cyber osiguranju

- Cyber ​​osiguranje: Samo budale navale

- Cyber ​​osiguranje: vrijedi, ali pripazite na izuzeća

- Korporativna kultura koči uplate cyber osiguranja

Jedan izvršni direktor osiguravajućeg društva kaže da je poštivanje standarda pozitivan čimbenik u ugovorima u oblaku. "Ako je davatelj usluga certificiran prema ovom standardu, radije bismo to vidjeli, a uvjeti i odredbe to bi odražavali", kaže Eric Cernak, čelnik cyber prakse za Munich Re US Operations. Zbog novosti standarda, međutim, oslobađanje od visokih stopa neće biti trenutačno, dodaje, "Morali bismo imati određeno iskustvo kako bismo provjerili opravdava li to nižu premiju."

Ugovorna i pravna zaštita. Iako je prerano za uspostavljanje pravnih presedana, poštivanje norme ISO 27018 trebalo bi pružateljima usluga u oblaku i njihovim kupcima pružiti povoljan položaj s obzirom na ispunjavanje uvjeta ugovora s obzirom na privatnost podataka.

ISO 27018 pokriva širok spektar predmeta i pruža standarde koji se usprotivljuju revizijama, upitima kupaca i vladinim pregledima, napominje Zick. Pridržavanje omogućuje pružatelju usluga u oblaku (CSP) da pokaže da su njegova pravila i postupci privatnosti razumni i u skladu s važećim standardima.

"To osigurava sigurnu luku s pravnog stajališta u slučaju kršenja", kaže Zick.

Koncept sigurne luke znači da se za davatelja usluga u oblaku možda neće smatrati nesavjesnim ili nepromišljenim s PII-om jer je poduzeo probleme da bi stekao certifikat. Korisnik u oblaku stječe sličnu pogodnost. "Ako imate taj standard na koji se možete vratiti, možete reći da je kriv negativac i nemojte kriviti mene", dodaje Zick. A usklađenost bi trebala isplatiti dividende na globalnoj razini. "Regulatorima se sviđa jer to vide kao jamstvo poštivanja pravila o zaštiti podataka vlastite zemlje", napominje Zick.

Što je sljedeće?

Uz sve ove prednosti, što koči davatelje usluga u oblaku? Čini se da postoje dva glavna čimbenika: trošak i vrijeme predanosti za dobivanje certifikata i nedostatak negodovanja korisnika koji zahtijevaju poštivanje.

"Nismo imali nijednog kupca koji to zahtijeva", kaže Frank Balonis, viši direktor tehničkih usluga u Accellionu, CSP-u fokusiranom na dijeljenje datoteka, posebno za mobilne korisnike.

I Microsoft i Dropbox veliki su pružatelji usluga u oblaku s dubokim džepovima i mnogo toga za postizanje konkurentne diferencijacije od usklađenosti. Manji CPS-ovi nalaze se u drugom brodu. "Najvjerojatnije će to biti teret za manje pružatelje usluga u oblaku", kaže Cernak. Ali s vremenom, kaže, možda neće imati izbora. "Hoće li to biti dio cijene prijema za pružanje usluga u oblaku?"

Balonis kaže da Accellion očekuje stjecanje konkurentske prednosti kada završi reviziju ISO 27018 do početka 2016. "Daje dodatni sloj osiguranja bolnicama i pravnim tvrtkama - onim kupcima koji daju premiju na PII", kaže on.

Iako će usklađivanje uvijek zahtijevati napor i troškove, nakon što se certifikat dodijeli, godišnje certificiranje trebalo bi ići mnogo lakše i biti jeftinije, slažu se stručnjaci. Većina se također slaže da će se mnogi pružatelji usluga u oblaku ustezati bez potrebe kupaca za usklađenošću.

Za kupce u oblaku prvi korak je informiranje i postavljanje pitanja. Zick preporučuje kupcima da pregledaju svoje ugovore s davateljima usluga u oblaku kako bi provjerili imaju li pružatelji usluga planove za usklađivanje s ISO 27018. Tada bi trebali razmotriti izmjene sporazuma kako bi dodali usklađenost s ISO 27018. "Akreditacija treće strane zaista ima vrijednost, posebno zato što se nastavlja. Nikad ne prestaje", kaže Zick. Ali ne očekuje da će standard preko noći promijeniti industriju oblaka. "Ovo je proces kojem će trebati godine, ako ne i desetljeće."

Što je u normi ISO 27018

Budući da se podaci koji otkrivaju identitet mogu koristiti u poslovne svrhe, poput ciljanog oglašavanja i analize podataka koji utječu na pojedinca, razumijevanje toga što su ti podaci i kako ih pružatelji usluga u oblaku mogu koristiti važno je svima. Svrha ISO 27018 je uspostaviti takvo razumijevanje i pružiti pojedincima priliku da daju ili opozovu pristanak za upotrebu njihovih osobnih podataka.

Usvojen kao standard u srpnju 2014., ISO 27018, iako sam po sebi važan, dio je obitelji ISO 27000 i evolucijski dodatak prethodnim standardima ISO 27001 i ISO 27002. Nije moguće postići usklađenost s ISO 27018 bez prethodnog prevladavanja prepreke ISO 27001 i ISO 27002 - što su mnogi pružatelji usluga u oblaku već učinili.

Obitelj standarda ISO 27000 bavi se pitanjima privatnosti, povjerljivosti i tehničke sigurnosti. Standardi opisuju stotine potencijalnih kontrola i kontrolnih mehanizama. Kratko:

  • ISO 27001 - Pokriva sigurnost u oblaku. Potrebna je godišnja potvrda.
  • ISO 27002 - navodi kako se mora udovoljavati ISO 27001.
  • ISO 27018 - Dodaje podatke koji mogu osobno identificirati opseg 27001.

ISO 27018 nalaže da sukladni pružatelji usluga u oblaku (CSP):

  • Neće koristiti podatke kupaca u svoje neovisne svrhe, poput oglašavanja i marketinga, bez izričitog pristanka kupca.
  • Neće ugovor o korištenju usluga vezati uz uporabu osobnih podataka od strane CSP-a za oglašavanje i marketing.

Uz to, ISO 27018:

  • Uspostavlja jasne i transparentne parametre za povratak, prijenos i sigurno raspolaganje osobnim podacima.
  • Zahtijeva od dobavljača usluga da otkriju identitet bilo kojeg potprocesora koji angažiraju za pomoć u obradi podataka prije nego što kupci sklope ugovor.
  • Ako CSP promijeni potprocesore, CSP je dužan odmah obavijestiti kupce kako bi im pružio priliku da se usprotive raskidu sporazuma.

ISO 27018 nije nastao u vakuumu. Srodno je drugim standardima, poput HIPAA, koji pokriva osobne zdravstvene podatke (PHI), kao i SSAE (Izjava o standardima za ovjeravanje br. 16) i ISAE (Međunarodni standardi za ovjeravanje br. 3402), koji su revizijski standardi za sigurnosne kontrole i učinkovitost sigurnosnih kontrola koje su uspostavili Američki institut certificiranih javnih računovođa i Međunarodni odbor za standarde revizije i osiguranja Međunarodne federacije računovođa.

Upoznajte svoje osobne podatke

Sad je 3:00; znate li gdje su vaši osobni podaci (PII)?

Prije nego što odgovorite na to pitanje, trebate definirati što je osobna informacija koja se tiče vašeg poslovanja.

Općenito govoreći, PII je svaka informacija koja je sljediva za pojedinca. U normi ISO 27018 ISO opisuje PII kao "bilo koju informaciju koja se (a) može upotrijebiti za identificiranje naručitelja PII-a na kojeg se takve informacije odnose ili (b) je ili može biti izravno ili neizravno povezana s nalogom za otkrivanje identiteta."

Najčešće je to ime osobe i drugi osobni podaci, poput adrese ili broja socijalnog osiguranja. Međutim, to može biti i fizička karakteristika, kao što je glas osobe, slika lica ili video signalnog pokreta, kao što je hod osobe. Nadalje, sofisticirani algoritmi sve su sposobniji vezati sve manje dijelove informacija za određenog pojedinca.

U svrhu ugovornih obveza, na kupcu je da kaže što je PII.

Kao što ISO dokument objašnjava, "javni oblačni PII procesor obično nije u mogućnosti eksplicitno znati spadaju li informacije koje obrađuje u bilo koju navedenu kategoriju, osim ako to ne učini transparentnim od strane kupca usluge u oblaku."

Prijevod: Kao kupac u oblaku morate znati što smatrate osobnim podacima i morate obavijestiti pružatelja usluga u oblaku.

Nakon što to učinite, certificirani pružatelj usluga u oblaku mora obrađivati ​​te podatke u skladu sa smjernicama ISO 27018.

Ovu priču "Sukladnost s ISO 27018: Evo što trebate znati" izvorno je objavio ITworld.