Ohjelmointi

ISO 27018 -vaatimustenmukaisuus: Tässä on mitä sinun tarvitsee tietää

Neuvottelet pilvipalvelujen sopimusta. Sopimuksen aikaansaamiseksi pilvipalveluntarjoajan edustaja nojaa pöydän poikki, kiinnittää katseensa ja kertoo sinulle: "Muuten, palvelu on sertifioitu ISO 27018 -standardin mukaiseksi."

ISO 270 - mitä? Pitäisikö sinun allekirjoittaa vai astua takaisin? IT-toteuttajilla on yhä enemmän juuri tällainen valinta, kiitos kansainvälisen standardointijärjestön (ISO) heinäkuussa 2014 hyväksymän ISO 27018 -standardin henkilötunnistettavien tietojen suojaamiseksi pilvessä.

Kun tietoturvaloukkaukset, henkilötietojen menetys ja henkilöllisyysvarkaus jatkuvat ilman päästöjä, kaikki toimenpiteet vuoroveden hillitsemiseksi ovat kiinnostavia IT-yhteisölle. Silti vain Microsoft ja Dropbox ovat toistaiseksi ilmoittaneet ISO 27018 -yhteensopivista pilvipalveluista. Microsoft sertifioi Azure-pilvipalvelun, Dynamics CRM- ja ERP-pilvipohjaiset sovellukset sekä Office 365-pilvipohjaiset liiketoiminnan tuottavuussovellukset helmikuussa 2015. Dropbox ilmoitti huhtikuussa 2015, että Dropbox for Business -sertifioitu. Kun otetaan huomioon pilvipalvelujen tarjoajien ja heidän palvelujensa maailmanlaajuisuus, se on pieni alku, mutta useimmat tarkkailijat uskovat, että se on vain ajan kysymys, kunnes suurin osa, elleivät kaikki pilvipalvelujen tarjoajat ilmoittavat noudattavansa standardia.

Katso myös: Gartner: Pitkä vaikea nousu korkealle pilvipalveluturvallisuudelle

ISO 27018: n edut lupaavat olla syvällisiä. Nämä sisältävät:

  • Parempi asiakkaiden luottamus pilvipalveluihin
  • Nopeampi globaalien toimintojen käyttöönotto
  • Tehostetut sopimukset
  • Lakisuojaus pilvipalvelujen tarjoajille ja käyttäjille

Tästä syystä:

Parempi asiakkaiden luottamus pilvipalveluihin. ISO 27018 -standardin noudattaminen tarkoittaa, että pilvipalvelujen tarjoaja on laatinut luettelon menettelyistä (katso sivupalkki) henkilökohtaisten tunnistetietojen käsittelyä varten. Koska vaatimustenmukaisuus vaatii vuosittaisen sertifikaatin, prosessin ja sen tuloksena saatavan sertifikaatin tiukkuuden tulisi antaa asiakkaille uutta luottamusta palveluntarjoajiinsa.

"Se osoittaa, että pilvipalveluntarjoajallesi on tietty taso kypsyyden käsittelyssä henkilökohtaisia ​​tunnistetietoja", kertoo Christie Grabyan, tietoturvakonsultoinnin BishopFoxin yritysturvallisuuskäytännön johtaja.

Yksi asianajaja väittää, että ponnistelun merkitys ylittää selvästi todistuksen. "Motivaatio ei ole vain saada paperia seinälle. Yrität olla tuhoamatta jonkun tietoja - viimeinen rivi - kyse on yrityksestä ja asiakkaista sekä luottamuksesta", sanoo lakipartneri Colin Zick. yritys Foley Hoag Bostonissa.

ISO 27018: n ohjeet ja kiellot

Annokset:

  • Selvitä, onko ISO27018-standardin noudattaminen tärkeää yrityksellesi ja sen asiakkaille.
  • Selvitä, ylittävätkö edut noudattamisesta aiheutuvat kustannukset.
  • Määritä henkilökohtaiset tunnistetiedot niin sinä kuin yrityksesi ja sen asiakkaat.
  • Selvitä, onko pilvipalveluntarjoajasi vaatimusten mukainen - tai vaadi vastaavia suojauksia.
  • Pyydä, että pilvipalveluntarjoajasi noudattaa sitä. Koska jotkut palveluntarjoajat voivat noudattaa vaatimuksia vain, jos asiakkaat ajavat niitä, äänesi on tärkeä.

Älä:

  • Älä unohda, että olet edelleen vastuussa tunnistamiesi henkilötietojen turvallisuudesta.
  • Älä pudota pilvipalvelua heti, koska sillä on vielä vaatimustenmukaisuustodistus. Pilvipalvelujen tarjoaja voi täyttää suurimman osan tai kaikki ISO 27018 -sopimuksen mukaisista sopimuksista heidän kanssaan, eikä sitä ole vielä virallisesti tarkastettu. Ole tietoinen ja ymmärrä täysin, mitä palveluntarjoajasi tekee.

Pilvipalveluntarjoajat puolestaan ​​toivovat viestin pääsevän asiakkaille. "Asiakkaidemme on voitava luottaa meihin. Heidän ei käy tarkastamassa meitä erikseen, joten on tärkeää, että meillä on riippumaton sertifikaatti", sanoo Patrick Heim, Dropboxin luottamus- ja turvallisuusjohtaja.

Riippumatta siitä, saako pilvipalvelujen tarjoaja muodollisen sertifikaatin vai ei, standardin keskeiset osat voidaan sisällyttää sopimuksiin. "Voit silti neuvotella yksityisesti kaikista ISO 27018 -säännöksistä", sanoo asianajaja ja Yhdistyneen kuningaskunnan asianajotoimiston KempITLaw perustaja Richard Kemp. Kun näitä säännöksiä yleistetään, yleisten käytäntöjen suojaamiseksi henkilötietojen suojaamisesta pilvipalvelusopimuksissa pitäisi parantaa. Tämän pitäisi tehdä asiakkaista mukavampia kaikkialla.

Nopeampi globaalien toimintojen käyttöönotto. Koska ISO 27018 tarjoaa yhteiset ohjeet eri maissa, pilvipalvelujen tarjoajien on helpompi harjoittaa liiketoimintaa maailmanlaajuisesti - ja pilvi-asiakkaiden on tehtävä heidän kanssaan sopimuksia palveluista monissa maailmoissa. Koska ISO 27018 -standardi perustui suurelta osin Euroopan yhteisön vaatimuksiin, yritysten tulisi mennä siellä sujuvammin aloittelijoille.

"Eurooppalaiset sääntelyviranomaiset sanovat olevansa todella innoissaan standardin käyttöönotosta", sanoo Microsoft Corp: n varapuheenjohtaja ja apulaisneuvonantaja Neal Suggs. Mutta etujen pitäisi mennä paljon pidemmälle. "On yli 100 maata, joissa on lakeja, jotka suojaavat tietoja ja yksityisyyttä", sanoo Deborah Hurley, konsulttiyrityksen Hurley perustaja ja kollegani Harvardin yliopiston kvantitatiivisen yhteiskuntatieteiden instituutissa. "Se ei ole vain eurooppalainen asia. Jokaisen yrityksen on pidettävä itseään globaalina. Tämä vie pitkän matkan vastaamaan maiden vaatimuksiin ympäri maailmaa", hän lisää.

Pilvipalveluntarjoajan näkökulmasta se vähentää suunnitteluponnisteluja, joita tarvitaan pilvipalvelujen mukauttamiseksi tiettyihin tietosuojalakiin. "Standardi antaa insinööreille mahdollisuuden rakentaa kerran ja työskennellä monille. On vaikea sopeutua paikallisiin lakeihin, sanoo Suggs. Lisää Heim Dropboxista:" Seitsemänkymmentä prosenttia asiakkaistamme on maailmanlaajuisia. "

Tehostetut sopimukset

Pilviasiakkaat pyytävät usein palveluntarjoajia täyttämään kyselylomakkeen heidän käytöstään henkilötietojen käsittelyssä. Niiden täyttäminen on aikaa vievää. Hankkimalla sertifikaatin pilvipalvelujen tarjoajat voivat esittää sertifikaatin vastauksena useimpiin, ellei kaikkiin näihin kysymyksiin, vähentämällä paperityötä ja lyhentämällä neuvotteluprosessia.

"Yritysturvallisuus hidastaa monia sopimuksia. Siellä on paljon kitkaa", sanoo Dan Greenberg, Integrated Strategies & Tactics, LLC: n pääjohtaja, joka neuvottelee pilvisopimuksista, usein pienille teknologiayrityksille. "32 kysymyksen sijaan vaatimustenmukaisuustodistus saattaa hoitaa 30 näistä kysymyksistä. Se on iso juttu." Toivon, että standardi vähentää kitkaa ", hän sanoo.

Yksi tekijä, joka voi joskus estää tai pysäyttää sopimusprosessin, on verkkovakuutus, jonka vakuutusyhtiöt kirjoittavat kattamaan tietorikkomusten ja yksityisyyden loukkausten kustannukset. "Verkkovakuutus on todella kallista, koska siinä ei ole standardia, toisin kuin murtohälytys", Greenberg sanoo. "Olen joutunut eroon sopimuksista verkkovakuutuksen kustannusten vuoksi", hän lisää.

Aiheeseen liittyvä lukeminen:

- 5 asiaa, jotka sinun pitäisi tietää verkkovakuutuksesta

- Verkkovakuutus: Vain tyhmät ryntäävät sisään

- Verkkovakuutus: Sen arvoinen, mutta varokaa poissulkemisia

- Yrityskulttuuri estää verkkovakuutusten ostoa

Erään vakuutusyhtiön johtajan mukaan standardin noudattaminen on positiivinen tekijä pilvisopimuksissa. "Jos palveluntarjoaja on sertifioitu tämän standardin mukaisesti, haluaisimme mieluummin nähdä sen, ja ehdot heijastaisivat sitä", sanoo Eric Cernak, München Re U. S. Operationsin tietoverkkokäytäntöjen johtaja. Standardin uudenlaisuuden vuoksi vapautus korkeista verokannoista ei kuitenkaan ole välitöntä, hän lisää: "Tarvitsemme jonkin verran kokemusta nähdäksemme, antaako tämä pienemmän palkkion."

Sopimuksellinen ja oikeudellinen suoja. Vaikka oikeudellisten ennakkotapausten luominen on liian aikaista, ISO 27018 -standardin noudattamisen pitäisi antaa pilvipalvelujen tarjoajille ja heidän asiakkailleen suotuisa asema tietosuojaa koskevien sopimusehtojen täyttämisessä.

ISO 27018 kattaa laajan valikoiman aiheita ja tarjoaa standardeja, jotka estävät auditointeja, asiakaskyselyjä ja hallituksen tarkastuksia, toteaa Zick. Noudattamisen avulla pilvipalvelujen tarjoaja (CSP) voi osoittaa, että sen tietosuojakäytännöt ja käytännöt ovat kohtuulliset ja voimassa olevien standardien mukaiset.

"Tämä tarjoaa turvallisen sataman oikeudellisesta näkökulmasta rikkomistapauksissa", Zick sanoo.

Turvallisen sataman käsite tarkoittaa, että pilvipalvelujen tarjoajaa ei voida pitää huolimattomana tai huolimattomana henkilötietojen suhteen, koska se on vaivannut sertifikaatin saamista. Pilviasiakas saa samanlaisen edun. "Jos sinulla on tämä standardi, johon voit palata, voit sanoa, että se on pahan miehen vika, älä syytä minua", Zick lisää. Ja noudattamisen pitäisi maksaa osinkoja maailmanlaajuisesti. "Sääntelyviranomaiset pitävät siitä, koska he pitävät sitä vakuutuksena oman maansa tietosuojasääntöjen noudattamisesta", toteaa Zick.

Mitä seuraavaksi?

Mikä kaikilla näillä eduilla estää pilvipalvelujen tarjoajia? Näyttää olevan kaksi päätekijää: kustannukset ja aika sitoutuminen sertifikaatin hankkimiseen ja vaatimustenmukaisuutta vaativien käyttäjien huutojen puuttuminen.

"Meillä ei ole yhtään asiakasta vaatinut sitä", kertoo tiedostojen jakamiseen keskittyvän Accellionin teknisen palvelun johtaja Frank Balonis, erityisesti mobiilikäyttäjille.

Sekä Microsoft että Dropbox ovat suuria pilvipalvelujen tarjoajia, joilla on syvät taskut ja paljon voittoa kilpailussa erottelussa vaatimustenmukaisuudesta. Pienemmät CPS: t ovat eri veneessä. "Todennäköisesti se on taakka pienemmille pilvipalvelujen tarjoajille", Cernak sanoo. Mutta ajan mittaan, hän sanoo, heillä ei ehkä ole muuta vaihtoehtoa. "Onko tämä osa pilvipalvelujen tarjoajan pääsyn hintaa?"

Balonis sanoo, että Accellion odottaa saavansa kilpailuetua, kun se saa ISO 27018 -auditoinnin päätökseen vuoden 2016 alkupuolella. "Se antaa lisävarmuuden sairaaloille ja lakiasiaintoimistoille - asiakkaille, jotka asettavat palkkion henkilötietoihin", hän sanoo.

Vaikka vaatimusten noudattaminen vaatii aina vaivaa ja kustannuksia, sertifikaatin myöntämisen jälkeen vuotuisen sertifikaatin pitäisi mennä paljon helpommin ja olla halvempaa, asiantuntijat ovat yhtä mieltä. Useimmat ovat myös yhtä mieltä siitä, että ilman asiakkaiden vaatimuksia vaatimusten noudattamisesta monet pilvipalvelujen tarjoajat pidättelevät.

Pilviasiakkaille ensimmäinen askel on saada tietoa ja esittää kysymyksiä. Zick suosittelee asiakkaille tarkistamaan pilvipalvelujen tarjoajien kanssa tekemänsä sopimukset ja selvittämään, aikovatko palveluntarjoajat noudattaa ISO 27018 -standardia. Sitten heidän tulisi harkita sopimusten muutoksia ISO 27018 -vaatimusten lisäämiseksi. "Kolmannen osapuolen akkreditoinnilla on todellakin arvoa etenkin siksi, että se jatkuu. Se ei koskaan lopu", Zick sanoo. Mutta hän ei odota standardin muuttavan pilviteollisuutta yön yli. "Tämän prosessin käyttöönotto kestää vuosia, ellei vuosikymmenen."

Mikä on ISO 27018 -standardi

Koska henkilökohtaisia ​​tunnistetietoja (PII) voidaan käyttää yritystarkoituksiin, kuten kohdennettu mainonta ja data-analytiikka, jotka vaikuttavat yksilöön, on tärkeää ymmärtää, mitä nämä tiedot ovat ja miten pilvipalvelujen tarjoajat voivat käyttää niitä. ISO 27018 -standardin tarkoituksena on luoda tällainen yhteisymmärrys ja antaa ihmisille mahdollisuus myöntää tai peruuttaa suostumus henkilötietojensa käyttöön.

Heinäkuussa 2014 standardiksi hyväksytty ISO 27018, vaikka se onkin itsessään merkittävä, on osa ISO 27000 -perhettä ja kehittyvä lisäys aikaisempiin ISO 27001- ja ISO 27002 -standardeihin. Ei ole mahdollista saavuttaa ISO 27018 -standardin vaatimuksia ilman ensin ylittämistä. ISO 27001: n ja ISO 27002: n esteet - minkä monet pilvipalvelujen tarjoajat ovat jo tehneet.

ISO 27000 -standardiperhe käsittelee yksityisyyttä, luottamuksellisuutta ja teknistä turvallisuutta koskevia kysymyksiä. Standardit hahmottavat satoja mahdollisia valvontatoimia ja valvontamekanismeja. Lyhyesti:

  • ISO 27001 - Kattaa tietoturvan pilvipalvelussa. Vuosittainen sertifikaatti vaaditaan.
  • ISO 27002 - kertoo kuinka noudattaa ISO 27001 -standardia.
  • ISO 27018 - Lisää henkilötunnistettavat tiedot 27001: n soveltamisalaan.

ISO 27018 edellyttää, että yhteensopivat pilvipalvelujen tarjoajat (CSP):

  • Ei käytä asiakastietoja omiin itsenäisiin tarkoituksiinsa, kuten mainontaan ja markkinointiin, ilman asiakkaan nimenomaista suostumusta.
  • Ei sido palvelujen käyttöä koskevaa sopimusta palveluntarjoajan henkilötietojen käyttöön mainonnassa ja markkinoinnissa.

Lisäksi ISO 27018:

  • Määrittää selkeät ja avoimet parametrit henkilötietojen palauttamista, siirtämistä ja turvallista hävittämistä varten.
  • Vaatii, että palveluntarjoajat ilmoittavat kaikkien aliprosessoreiden henkilöllisyyden, jotka he ovat ottaneet käyttöön tietojenkäsittelyn helpottamiseksi ennen asiakkaiden tekemää sopimusta.
  • Jos palveluntarjoaja vaihtaa aliprosessoreita, palveluntarjoajan on ilmoitettava asiasta asiakkaille viipymättä, jotta heillä on mahdollisuus vastustaa sopimuksen irtisanomista.

ISO 27018 ei syntynyt tyhjiössä. Se on samanlainen kuin muut standardit, kuten HIPAA, joka kattaa henkilökohtaiset terveystiedot (PHI), sekä SSAE (Statement on Standards for Attestation Engagements nro 16) ja ISAE (International Standards for Attestation Engagement No 3402), jotka ovat tarkastusstandardit turvatarkastuksille ja turvatarkastusten tehokkuudelle, jotka on vahvistanut American Institute of Certified Public Accountants -laitos ja Kansainvälisen tilintarkastajien federaation kansainvälinen tilintarkastus- ja varmennusstandardilautakunta.

Tunne henkilötietosi

Se on 3:00; tiedätkö missä henkilötietosi ovat?

Ennen kuin voit vastata tähän kysymykseen, sinun on määriteltävä, mikä on henkilökohtainen henkilöllisyys, yrityksesi kannalta.

Yleisesti ottaen henkilötiedot ovat mitä tahansa tietoa, joka on jäljitettävissä yksilölle. ISO 27018 -standardissa ISO kuvaa henkilötietoja "kaikina tiedoina, joita (a) voidaan käyttää tunnistamaan henkilötodistusten päämies, johon tällaiset tiedot liittyvät, tai (b) jotka ovat tai saattavat olla suoraan tai välillisesti sidoksissa henkilötietojen päämiehiin".

Useimmiten se on henkilön nimi ja toinen henkilökohtainen tieto, kuten osoite tai sosiaaliturvatunnus. Se voi kuitenkin olla myös fyysinen ominaisuus, kuten henkilön ääni, kasvokuva tai video ilmaisinalueen liikkeestä, kuten henkilön kävely. Lisäksi hienostuneet algoritmit pystyvät yhä enemmän sitomaan yhä pienempiä tietobittiä tietylle yksilölle.

Sopimusvelvoitteita varten asiakkaan on sanottava, mikä on henkilökohtainen henkilöllisyys.

Kuten ISO-asiakirjassa selitetään, "Julkinen pilvi-henkilötietoprosessori ei yleensä pysty tietämään nimenomaisesti, kuuluuko sen käsittelemä tieto mihinkään määritettyyn luokkaan, ellei pilvipalvelun asiakas tee siitä läpinäkyvää."

Käännös: Pilviasiakkaana sinun on tiedettävä, mitä pidät henkilökohtaisina tiedoina, ja sinun on ilmoitettava siitä pilvipalveluntarjoajalle.

Kun olet tehnyt niin, sertifioidun pilvipalveluntarjoajan on sitten käsiteltävä näitä tietoja ISO 27018 -ohjeiden mukaisesti.

Tämän tarinan, "ISO 27018 -yhteensopivuus: Tässä on mitä sinun tarvitsee tietää", julkaisi alunperin ITworld.

saatat myös pitää

$config[zx-auto] not found$config[zx-overlay] not found