Na cloudoch odteraz bezpečnejšie
Tento rok v auguste prijala Medzinárodná organizácia pre normalizáciu (International Standards Organization – ISO) novú normu: ISO/IEC 27018:2014– Informačné technológie – Bezpečnostné techniky – Súbor postupov na ochranu osobne identifikovateľných informácií (OII) vo verejných cloudoch.
Táto ISO norma upravuje rámec požiadaviek na ochranu osobných údajov pre poskytovateľov cloudových služieb a rieši hlavné povinnosti spracovateľov a niektoré povinnosti kontrolórov podľa právnych predpisov EÚ v oblasti ochrany osobných údajov.
Norma ISO 27018 vychádza už z existujúcich noriem informačnej bezpečnosti ISO 27001 a ISO 27002. Norma ISO 27018 je však urobená konkrétne pre cloudové služby a je prvou medzinárodnou normou zameranou na bezpečnosť cloudov. Je vhodným prostriedkom pre poskytovateľov fungujúcich v rôznych štátoch, ktorým umožní preukázať, že dodržiavajú predpisy o ochrane osobných údajov, čo je jednoduchšie než dokazovať zhodu s normami rôznych štátov v rôznych jurisdikciách. Rieši napríklad otázku, ako udržať bezpečnosť zákazníkových informácií a ako zabrániť ich ďalšiemu spracovaniu bez zákazníkovho súhlasu. Okrem toho norma ISO 27018 reaguje priamo na výzvu regulačných orgánov EÚ týkajúcich sa dodržiavania požiadaviek na ochranu osobných údajov pre poskytovateľov cloudových služieb, aby sa zvýšila dôvera v on-line prostredí.
Táto ISO norma 27018 vyžaduje, aby poskytovatelia cloudových služieb okrem iného dodržiavali najmä tieto zásady: spracovávať osobné údaje v súlade s pokynmi zákazníka, osobné údaje spracovávať na marketingové a reklamné účely len s výslovným súhlasom zákazníka, pričom tento súhlas nemôže byť podmienkou získania služby, štátnym orgánom poskytovať informácie len ak takúto povinnosť ustanovuje zákon, pred uzatvorením dohody o poskytovaní cloudových služieb poskytnúť mená všetkých spracovateľov a možných miest, kde môžu byť osobné údaje spracúvané a zaviesť politiku vrátenia, prevodu a likvidácie osobných údajov, napríklad keď sa služba ukončí a iné.
Aby mohla byť cloudová služba certifikovaná podľa normy ISO 27018, musí podstúpiť audit akreditovaným certifikačným orgánom. Potenciálni zákazníci cloudu si môžu pomocou poskytovateľovho certifikátu overiť, či poskytovateľ dodržiava stanovené podmienky, pričom podmienkou udržania tejto certifikácie budú následné pravidelné revízie.
Najväčší poskytovatelia cloudových služieb v USA a v Európe už plánujú certifikáciu svojich cloudových služieb a čas ukáže, či budú takto postupovať aj ostatní. Poskytovatelia, ktorí dodržiavajú normu ISO 27018, budú mať určite lepšiu pozíciu pri predaji, pretože aj takto potvrdia dodržiavanie noriem o ochrane údajov a pre zákazníkov – používateľov cloudových bude táto skutočnosť slúžiť ako ukazovateľ pre bezpečnosť súkromia v cloudovom priestore.
(PR) – Za obsah zodpovedá objednávateľ tejto tlačovej správy.