ISO / IEC 27018 es un estándar de seguridad que forma parte de la familia de estándares ISO / IEC 27000 . Fue el primer estándar internacional sobre la privacidad en los servicios de computación en la nube que fue promovido por la industria. Fue creado en 2014 como un anexo a ISO / IEC 27001 , el primer código de prácticas internacional para la privacidad en la nube. Ayuda a los proveedores de servicios en la nube que procesan información de identificación personal (PII) a evaluar el riesgo e implementar controles para proteger la PII. [1] Fue publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en el marco del subcomité conjunto de ISO e IEC,ISO / IEC JTC 1 / SC 27 .
Versiones estándar
Ese estándar tiene dos versiones:
Estructura del estándar
El título oficial de la norma es "Tecnología de la información - Técnicas de seguridad - Código de prácticas para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII". ISO / IEC 27018: 2019 tiene dieciocho secciones, más un anexo extenso, que cubre:
- 1 Alcance
- 2 Referencias normativas
- 3. Términos y definiciones
- 4. Resumen
- 5. Políticas de seguridad de la información
- 6. Organización de la seguridad de la información
- 7. Seguridad de los recursos humanos
- 8. Gestión de activos
- 9. Control de acceso
- 10. Criptografía
- 11. Seguridad física y ambiental
- 12. Seguridad de las operaciones
- 13. Seguridad de las comunicaciones
- 14. Adquisición, desarrollo y mantenimiento de sistemas
- 15. Relaciones con proveedores
- 16. Gestión de incidentes de seguridad de la información
- 17. Aspectos de seguridad de la información de la gestión de la continuidad de las operaciones
- 18. Cumplimiento
Objetivos
El objetivo de este documento, cuando se utiliza junto con los objetivos y controles de seguridad de la información en ISO / IEC 27002 , es crear un conjunto común de categorías y controles de seguridad que pueda ser implementado por un proveedor de servicios de computación en la nube pública que actúa como procesador de PII. . Tiene los siguientes objetivos:
- Ayudar al proveedor de servicios de nube pública a cumplir con las obligaciones aplicables cuando actúa como procesador de PII, ya sea que dichas obligaciones recaigan sobre el procesador de PII directamente o mediante contrato.
- Permita que el procesador de PII en la nube pública sea transparente en asuntos relevantes para que los clientes de servicios en la nube puedan seleccionar servicios de procesamiento de PII basados en la nube y bien administrados.
- Ayudar al cliente del servicio en la nube y al procesador de PII de la nube pública a celebrar un acuerdo contractual.
- Brindar a los clientes de servicios en la nube un mecanismo para ejercer los derechos y responsabilidades de auditoría y cumplimiento en los casos en que las auditorías individuales de los clientes del servicio en la nube de los datos alojados en un entorno de servidor virtualizado (nube) de varias partes pueden ser técnicamente imprácticas y pueden aumentar los riesgos para esas redes físicas y lógicas. controles de seguridad en su lugar.
Ventajas
El uso de este estándar tiene las siguientes ventajas:
- Proporciona una mayor seguridad a los datos y la información de los clientes.
- Hace que la plataforma sea más confiable para el cliente, logrando un nivel superior al de la competencia.
- Habilitación más rápida de operaciones globales.
- Contratos simplificados.
- Proporciona protecciones legales para proveedores y usuarios de la nube.
Referencias
- ^ "Código de prácticas ISO / IEC 27018 para la protección de datos personales en la nube" . docs.microsoft.com . Consultado el 27 de marzo de 2020 .
- ^ "ISO / IEC 27018: 2014 [ISO / IEC 27018: 2014] Tecnología de la información - Técnicas de seguridad - Código de prácticas para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII" . www.iso.org . Organización Internacional de Normalización . Consultado el 28 de marzo de 2020 .
- ^ "ISO / IEC 27018: 2019 [ISO / IEC 27018: 2019] Tecnología de la información - Técnicas de seguridad - Código de prácticas para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII" . www.iso.org . Organización Internacional de Normalización . Consultado el 28 de marzo de 2020 .
- ^ "ISO / IEC 27018: 2019 (en)" . www.iso.org . Organización Internacional de Normalización . Consultado el 28 de marzo de 2020 .
- ^ "Cumplimiento de la norma ISO 27018: esto es lo que necesita saber" . www.infoworld.com . Stan Gibson.