Начало
» Полезна информация
» Стандарт ISO/IEC 27018:2014 – доброволен международен набор от правила за добри практики в областта на обработването на лична информация от доставчиците на облачни услуги
Стандарт ISO/IEC 27018:2014 – доброволен международен набор от правила за добри практики в областта на обработването на лична информация от доставчиците на облачни услуги
През месец август 2014 г. Международната организация за стандартизация (ISO) и Международната електротехническа комисия (IEC) приеха стандарта ISO/IEC 27018:2014 – доброволен международен набор от правила за добри практики в областта на обработването на лична информация от доставчиците на облачни услуги. Стандартът се базира и надгражда съществуващи и утвърдени стандарти за сигурност на информацията, като ISO 27001 и ISO 27002, които установяват общи принципи за информационна сигурност и контрол. Стандартът ISO 27018 е уникален в това, че е специално създаден за облачните услуги, доколкото понастоящем все по-голям брой организации от публичния и частния сектор преминават към информационни услуги в облака, за да постигнат ефективност и да намалят разходите.
Тъй като ISO 27018 е предназначен за облака, той може да осигури критично ниво на прозрачност за клиентите на облачни услуги, които искат да разберат по-добре и да сравнят практиките на различните доставчици на облачни услуги и как те осигуряват сигурност и защита на личните данни.
Към настоящия момент редица доставчици на облачни услуги са сертифицирани по ISO 27018, като първата от големите международни корпорации е Майкрософт, сертифицирана през 2015 г. за своите облачни услуги Azure, Office 365, Dynamics CRM Online и Microsoft Intunе, а през 2014 г. компанията получи потвърждение от „Article 29 Working Party”, че договорите, които потребителите на облачни услуги сключват, са в съответствие със „стандартните договорни клаузи” на ЕС.
Какви изисквания съдържа ISO 27018?
Неизчерпателно, ISO 27018 съдържа следните изисквания към доставчиците на облачни услуги:
· Да обработват личната информация само в съответствие с инструкциите на потребителя.
· Да се съгласят да не обработват лична информация за рекламни или маркетингови цели без изричното съгласие на клиента.
· Да приемат подходящи организационни мерки и мерки за сигурност.
· Да отказват разкриване на информация на правоохранителните органи, освен ако това не се изисква по закон.
· Да осигуряват прозрачност относно техните практики по обработване на данни.
Как бъдещ или съществуващ клиент на облачна услуга може да провери дали неговия доставчик спазва стандартите на ISO 27018?
Клиентът следва да изпрати запитване до неговия доставчик дали той покрива изискванията на ISO 27018 и, ако това е така, дали покриването на тези изисквания е проверено и потвърдено от независимо лице.
принт