Conformità ISO 27018: ecco cosa devi sapere

Stai negoziando un contratto per i servizi cloud. Per concludere l'affare, il rappresentante del fornitore di servizi cloud si sporge sul tavolo, fissa il suo sguardo e ti dice: "A proposito, il servizio è certificato ISO 27018".

ISO 270-cosa? Dovresti firmare o fare un passo indietro? I dirigenti IT si troveranno sempre più di fronte a tale scelta, grazie all'avvento dello standard ISO 27018 per la protezione delle informazioni di identificazione personale (PII) nel cloud, adottato dall'International Standards Organization (ISO) nel luglio 2014.

Con le violazioni dei dati, la perdita di PII e il furto di identità che continuano senza interruzioni, qualsiasi misura per arginare la marea è di grande interesse per la comunità IT. Anche così, finora solo Microsoft e Dropbox hanno annunciato servizi cloud conformi allo standard ISO 27018. Microsoft ha certificato il suo servizio cloud Azure, le applicazioni basate sul cloud Dynamics CRM ed ERP e le applicazioni per la produttività aziendale basate sul cloud di Office 365 nel febbraio 2015. Dropbox ha annunciato nell'aprile 2015 che Dropbox for Business era stato certificato. Considerando l'universo dei fornitori di cloud e dei loro servizi, è un piccolo inizio, ma la maggior parte degli osservatori ritiene che sia solo una questione di tempo prima che la maggior parte, se non tutti, i fornitori di cloud annuncia la conformità allo standard.

Vedi anche: Gartner: lunga e difficile salita verso un alto livello di sicurezza del cloud computing

I vantaggi della ISO 27018 promettono di essere profondi. Questi includono:

  • Maggiore fiducia dei clienti nei servizi cloud
  • Abilitazione più rapida delle operazioni globali
  • Contratti semplificati
  • Tutele legali per provider e utenti cloud

Ecco perché:

Maggiore fiducia dei clienti nei servizi cloud. La conformità alla ISO 27018 significa che un fornitore di servizi cloud ha intrapreso un elenco di procedure (vedere la barra laterale) per la gestione delle PII. Poiché la conformità richiede una certificazione annuale, i rigori di quel processo e il certificato che ne deriva dovrebbero dare ai clienti una ritrovata fiducia nei loro fornitori.

"Dimostra che il tuo fornitore di servizi cloud ha un certo livello di maturità nella gestione delle PII", afferma Christie Grabyan, responsabile delle pratiche di sicurezza aziendale presso BishopFox, una società di consulenza sulla sicurezza dei dati.

Un avvocato afferma che il significato dello sforzo va ben oltre il certificato. "La motivazione non è solo quella di avere un pezzo di carta sul muro. Stai cercando di non rovinare i dati di qualcuno - in conclusione - si tratta di affari, clienti e fiducia", afferma Colin Zick, partner della legge l'azienda Foley Hoag di Boston.

ISO 27018 cose da fare e da non fare

Dos:

  • Determina se la conformità con ISO27018 è importante per la tua azienda e per i suoi clienti.
  • Determina se i vantaggi supereranno i costi di conformità.
  • Definisci le informazioni personali per quanto riguarda te, la tua azienda ei suoi clienti.
  • Scopri se il tuo provider cloud è conforme o richiedi protezioni equivalenti.
  • Richiedi che il tuo fornitore di servizi cloud si conformi. Poiché alcuni fornitori possono garantire la conformità solo se spinti dai clienti, la tua voce è importante.

Cosa non fare:

  • Non dimenticare che rimani responsabile della sicurezza delle PII che identifichi.
  • Non scaricare subito il tuo provider cloud solo perché ha ancora un certificato di conformità. Un fornitore di servizi cloud può soddisfare la maggior parte o tutte le disposizioni della ISO 27018 nel tuo accordo con loro e non è stato ancora verificato formalmente. Sii informato e comprendi appieno ciò che sta facendo il tuo provider.

Da parte loro, i fornitori di servizi cloud sperano che il messaggio arrivi ai clienti. "I nostri clienti devono essere in grado di fidarsi di noi. Non funziona per loro controllarci individualmente, quindi è importante per noi avere una certificazione indipendente", afferma Patrick Heim, responsabile della fiducia e della sicurezza di Dropbox.

Indipendentemente dal fatto che un fornitore di servizi cloud ottenga o meno una certificazione formale, gli elementi chiave dello standard possono essere inclusi nei contratti. "È ancora possibile negoziare privatamente tutte le disposizioni della ISO 27018", afferma Richard Kemp, avvocato e fondatore dello studio legale del Regno Unito KempITLaw. Man mano che tali disposizioni diventeranno più ampiamente adottate, le pratiche comuni per la protezione delle informazioni personali nei contratti cloud dovrebbero migliorare. Ciò dovrebbe rendere i clienti più a loro agio su tutta la linea.

Abilitazione più rapida delle operazioni globali. Poiché ISO 27018 fornisce linee guida comuni in diversi paesi, sarà più facile per i fornitori di cloud fare affari a livello globale e per i clienti cloud firmare contratti con loro per i servizi in molti angoli del globo. Poiché lo standard ISO 27018 era basato in gran parte sui requisiti della Comunità europea, gli affari dovrebbero andare molto più agevolmente lì per i principianti.

"Gli esperti di regolamentazione europea dicono di essere davvero entusiasti della messa in linea dello standard", afferma Neal Suggs, vicepresidente e consigliere generale associato di Microsoft Corp. Ma i vantaggi dovrebbero andare ben oltre. "Ci sono oltre 100 paesi che hanno leggi che proteggono i dati e la privacy", afferma Deborah Hurley, fondatrice della società di consulenza Hurley e collega presso l'Institute for Quantitative Social Science dell'Università di Harvard. "Non è solo una questione europea. Ogni azienda dovrebbe considerarsi globale. Ciò contribuisce notevolmente a soddisfare i requisiti dei paesi di tutto il mondo", aggiunge.

Dal punto di vista del fornitore di servizi cloud, ridurrà lo sforzo ingegneristico necessario per adattare i servizi cloud a particolari leggi sulla privacy. "Uno standard consente agli ingegneri di creare una sola volta e lavorare per molti. È difficile adattarsi alle leggi localizzate", afferma Suggs. Aggiunge Heim di Dropbox: "Il settanta per cento dei nostri clienti è globale".

Contratti semplificati

I clienti cloud spesso chiedono ai fornitori di compilare un questionario sulle loro pratiche nella gestione delle PII. Compilarli richiede tempo. Ottenendo la certificazione, i fornitori di servizi cloud possono presentare il certificato come una risposta alla maggior parte se non a tutte queste domande, riducendo il lavoro di ufficio e abbreviando il processo di negoziazione.

"La sicurezza aziendale rallenta molti accordi. Ci sono molti attriti", afferma Dan Greenberg, direttore di Integrated Strategies & Tactics, LLC, che negozia accordi cloud, spesso per piccole aziende tecnologiche. "Invece di 32 domande, un certificato di conformità potrebbe occuparsi di 30 di queste domande. Questo è un grosso problema." Spero che lo standard riduca l'attrito ", afferma.

Un fattore che a volte può ostacolare o arrestare il processo contrattuale è l'assicurazione informatica, che i vettori assicurativi scrivono per coprire il costo delle violazioni dei dati e della privacy. "L'assicurazione informatica è davvero costosa, perché non esiste uno standard, a differenza di un antifurto", afferma Greenberg. "Ho dovuto abbandonare gli accordi a causa del costo dell'assicurazione informatica", aggiunge.

Lettura correlata:

- 5 cose che dovresti sapere sull'assicurazione informatica

- Assicurazione informatica: solo gli sciocchi si precipitano

- Assicurazione informatica: ne vale la pena, ma attenzione alle esclusioni

- La cultura aziendale ostacola il buy-in dell'assicurazione informatica

Un dirigente di una compagnia di assicurazioni afferma che la conformità allo standard è un fattore positivo nei contratti cloud. "Se un provider è certificato in base a questo standard, preferiremmo vederlo, e i termini e le condizioni lo rifletteranno", afferma Eric Cernak, responsabile della cyber practice per Munich Re US Operations. A causa della novità dello standard, tuttavia, il sollievo dai tassi elevati non sarà immediato, aggiunge: "Avremmo bisogno di avere un po 'di esperienza per vedere se ciò giustifica un premio inferiore".

Tutela contrattuale e legale. Sebbene sia troppo presto per stabilire precedenti legali, la conformità allo standard ISO 27018 dovrebbe dare ai fornitori di servizi cloud e ai loro clienti una posizione favorevole per quanto riguarda il rispetto delle condizioni di un contratto per quanto riguarda la privacy delle informazioni.

L'ISO 27018 copre un'ampia varietà di argomenti e fornisce standard che resistono agli audit, alle richieste dei clienti e alle revisioni del governo, osserva Zick. L'adesione consente a un fornitore di servizi cloud (CSP) di dimostrare che le sue politiche e pratiche sulla privacy sono ragionevoli e conformi agli standard prevalenti.

"Ciò fornisce un porto sicuro da un punto di vista legale in caso di violazione", afferma Zick.

Il concetto di approdo sicuro significa che un fornitore di servizi cloud non può essere giudicato negligente o avventato nei confronti delle PII perché si è preso la briga di ottenere la certificazione. Un cliente cloud ottiene un vantaggio simile. "Se hai questo standard su cui ripiegare, puoi dire che è colpa del cattivo e non incolpare me", aggiunge Zick. E la conformità dovrebbe dare i suoi frutti a livello globale. "Ai regolatori piace perché lo vedono come una garanzia di conformità con le norme sulla protezione dei dati del proprio paese", osserva Zick.

Qual è il prossimo?

Con tutti questi vantaggi, cosa trattiene i fornitori di servizi cloud? Sembrano esserci due fattori principali: l'impegno in termini di costi e tempo per ottenere la certificazione e la mancanza di proteste da parte degli utenti che richiedono la conformità.

"Non abbiamo avuto alcun cliente che lo richiedesse", afferma Frank Balonis, direttore senior dei servizi tecnici presso Accellion, un CSP specializzato nella condivisione di file, in particolare per gli utenti mobili.

Sia Microsoft che Dropbox sono grandi fornitori di cloud con grosse tasche e molto da guadagnare nella differenziazione competitiva dalla conformità. I CPS più piccoli si trovano su una barca diversa. "Molto probabilmente sarà un peso per i provider di cloud più piccoli", afferma Cernak. Ma nel tempo, dice, potrebbero non avere scelta. "Farà parte del prezzo di ammissione a diventare un fornitore di servizi cloud?"

Balonis afferma che Accellion prevede di ottenere un vantaggio competitivo quando completerà l'audit ISO 27018 entro l'inizio del 2016. "Fornisce un ulteriore livello di garanzia agli ospedali e agli studi legali, quei clienti che privilegiano le PII", afferma.

Sebbene la conformità richiederà sempre impegno e spese, una volta che il certificato è stato concesso, la certificazione annuale dovrebbe essere molto più semplice ed essere meno costosa, concordano gli esperti. La maggior parte concorda anche sul fatto che senza la richiesta di conformità dei clienti, molti fornitori di servizi cloud si terranno indietro.

Per i clienti cloud, il primo passo è informarsi e porre domande. Zick consiglia ai clienti di rivedere i loro accordi con i fornitori di servizi cloud per vedere se i fornitori hanno in programma di conformarsi alla ISO 27018. Quindi dovrebbero prendere in considerazione le modifiche agli accordi per aggiungere la conformità ISO 27018. "C'è davvero valore nell'accreditamento di terze parti, in particolare perché continua. Non si ferma mai", afferma Zick. Ma non si aspetta che lo standard cambi il settore del cloud dall'oggi al domani. "Questo è un processo che richiederà anni, se non un decennio, per essere attuato".

Cosa c'è nello standard ISO 27018

Poiché le informazioni di identificazione personale (PII) possono essere utilizzate per scopi aziendali come pubblicità mirata e analisi dei dati che interessano un individuo, la comprensione di cosa siano quei dati e di come potrebbero essere utilizzati dai fornitori di servizi cloud è importante per tutti. Lo scopo dell'ISO 27018 è quello di stabilire tale intesa e di dare agli individui l'opportunità di concedere o revocare il consenso sull'uso delle loro PII.

Adottata come standard nel luglio 2014, la ISO 27018, pur essendo di per sé significativa, fa parte della famiglia ISO 27000 e rappresenta un'aggiunta evolutiva alle precedenti norme ISO 27001 e ISO 27002. Non è possibile ottenere la conformità ISO 27018 senza prima superare gli ostacoli di ISO 27001 e ISO 27002, che molti fornitori di servizi cloud hanno già fatto.

La famiglia di standard ISO 27000 affronta questioni di privacy, riservatezza e sicurezza tecnica. Gli standard delineano centinaia di potenziali controlli e meccanismi di controllo. Brevemente:

  • ISO 27001 - Copre la sicurezza nel cloud. È richiesta una certificazione annuale.
  • ISO 27002 - Spiega come conformarsi alla ISO 27001.
  • ISO 27018 - Aggiunge informazioni di identificazione personale all'ambito di 27001.

ISO 27018 impone ai fornitori di servizi cloud (CSP) conformi di:

  • Non utilizzerà i dati del cliente per propri scopi indipendenti, come pubblicità e marketing, senza l'espresso consenso del cliente.
  • Non vincolerà il contratto di utilizzo dei servizi all'utilizzo dei dati personali da parte del CSP per pubblicità e marketing.

Inoltre, ISO 27018:

  • Stabilisce parametri chiari e trasparenti per la restituzione, il trasferimento e lo smaltimento sicuro delle informazioni personali.
  • Richiede ai CSP di rivelare le identità di qualsiasi sub-incaricato del trattamento che si impegnano per aiutare con l'elaborazione dei dati prima che i clienti stipulino un contratto.
  • Se il CSP cambia sub-processori, il CSP è tenuto a informare tempestivamente i clienti per dare loro l'opportunità di opporsi alla risoluzione del contratto.

La ISO 27018 non è nata nel vuoto. È simile ad altri standard, come HIPAA, che copre le informazioni sulla salute personale (PHI), così come SSAE (Statement on Standards for Attestation Engagements No.16) e ISAE (International Standards for Attestation Engagements No.3402), che sono standard di audit per i controlli di sicurezza e l'efficacia dei controlli di sicurezza stabiliti dall'American Institute of Certified Public Accountants e dall'International Auditing and Assurance Standards Board della International Federation of Accountants.

Conosci le tue PII

Sono le 3 del mattino; sai dove si trovano le tue informazioni di identificazione personale (PII)?

Prima di poter rispondere a questa domanda, è necessario definire esattamente cosa sono le PII, per quanto riguarda la tua attività.

In generale, PII è qualsiasi informazione riconducibile a un individuo. Nello standard ISO 27018, ISO descrive le PII come "qualsiasi informazione che (a) può essere utilizzata per identificare il principale PII a cui si riferiscono tali informazioni, oppure (b) è o potrebbe essere collegato direttamente o indirettamente a un principale PII."

Molto spesso, questo è il nome di una persona e un'altra informazione personale, come un indirizzo o un numero di previdenza sociale. Tuttavia, potrebbe anche essere una caratteristica fisica, come la voce di una persona, l'immagine del viso o il video di un movimento rivelatore, come l'andatura di una persona. Inoltre, algoritmi sofisticati sono sempre più in grado di legare bit di informazioni sempre più piccoli a un particolare individuo.

Ai fini degli obblighi contrattuali, spetta al cliente dire cosa sono le PII.

Come spiega il documento ISO, "Un processore PII cloud pubblico non è in genere nella posizione di sapere esplicitamente se le informazioni che elabora rientrano in una categoria specifica a meno che ciò non sia reso trasparente dal cliente del servizio cloud".

Traduzione: come cliente cloud, devi sapere cosa consideri PII e devi informare il provider cloud.

Dopo averlo fatto, il fornitore di servizi cloud certificato deve gestire tali informazioni in conformità con le linee guida ISO 27018.

Questa storia, "Conformità ISO 27018: ecco cosa devi sapere" è stata originariamente pubblicata da ITworld.