Linee guida 27017 e 27018

Linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2014 – Protezioni dei dati personali nel cloud

 

Con la diffusione del cloud computing crescono le preoccupazioni dei clienti per la trasparenza, la riservatezza e il controllo sul servizio erogato: i clienti spesso non sono a conoscenza di come sono protette le informazioni archiviate nel cloud, dove sono localizzate e cosa succede nel caso in cui si volesse passare a un altro fornitore o il fornitore cessasse la propria attività.

Inoltre, in base alle norme vigenti, la responsabilità per la violazione delle norme sulla protezione dei dati personali spetta al titolare del trattamento: pertanto, si rende necessario uno standard verificabile per i fornitori di servizi cloud per dimostrare la loro capacità di garantire la sicurezza e la protezione dei dati, inclusi quelli personali soggetti alle normative privacy.

 

Sulla spinta della Commissione Europea, delle Autorità Nazionali e delle Commissioni per la protezione dei dati, ISO e IEC hanno quindi sviluppato i nuovi standard ISO/IEC 27017:2015 (Information Technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services) e ISO / IEC 27018 (Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors).

ISO/IEC 27017 e 27018 sono i primi standard a livello internazionale che contribuiscono a garantire il rispetto dei principi e delle norme privacy, da parte dei providers di public cloud che se ne dotano: le norme, infatti, sono specificamente indirizzata ai service providers di public cloud che elaborano dati personali (PII - Personally Identifiable Information) e che agiscano in qualità di Data (PII) Processor.

Esse definiscono delle linee guida basate su ISO / IEC 27002, prendendo in considerazione i requisiti normativi per la protezione dei dati personali che possono essere applicabili nel contesto del panorama dei rischi di sicurezza informatica di un fornitore di servizi public cloud.

 

Prossimi passi?

 

SIET è in grado di rilasciare una integrazione di un certificato ISO/IEC 27001 esistente a dimostrazione della capacità del Provider di assicurare la protezione dei dati personali, basato sulla integrazione delle Norme citate con la Norma ISO/IEC 27001.