La ISO 27018 pretende, a grandes rasgos, identificar de manera precisa como el proveedor gestiona los datos personales de los interesados, establece los procedimientos necesarios para cualquier solicitud o acceso a los mismos ofreciendo de este modo a los clientes una total transparencia en este sentido
La ISO 27018, aporta una base de buenas prácticas para la protección de información de identificación personal (PII) en la nube para organizaciones que actúan como procesadores de esta información”.
Su implantación va ligada a la norma ISO 27001, que actúa como base a la hora de especificar los requisitos propios del estándar. En este sentido, la ISO 27018 se divide en dos grandes bloques de actuación:
- Controles Declaración de Aplicabilidad: Partiendo de los controles de seguridad establecidos en el Anexo A de la ISO 27001 o el código de buenas prácticas ISO 27002, la norma añade requisitos de seguridad para la información de identificación personal (PII) sobre controles específicos. En este sentido, de los 114 controles que propone el estándar de Seguridad de la Información, la ISO 27018 establece requisitos adicionales sobre 15 controles, distribuidos entre los siguientes dominios:
- Dominio 5: Políticas de Seguridad de la Información
- Dominio 6: Organización de la Seguridad de la Información
- Dominio 7: Seguridad de los Recursos Humanos
- Dominio 9: Control de Acceso
- Dominio 10: Criptografía
- Dominio 11: Seguridad física y ambiental
- Dominio 12: Seguridad de las operaciones
- Dominio 13: Seguridad de las comunicaciones
- Dominio 16: Gestión de incidentes
- Dominio 18: Cumplimiento
¿Qué define el Anexo A de la norma ISO 27018?
Los 8 principios o controles específicos de privacidad de la información, aplicables al gestor de datos en la nube y el modo de implantarlos, lo que conforma un conjunto de requisitos para la protección de PII. Los principios en los que se basa son los siguientes:
- Consentimiento y elección
- Propósito de legitimidad y especificación
- Minimización de los datos
- Límite de uso, retención y divulgación
- Apertura, trasparencia y notificación
- Responsabilidad
- Seguridad de la Información
- Cumplimiento de la privacidad
La implantación del estándar conlleva grandes beneficios a los operadores de datos en la nube, más si cabe con la certificación del estándar ISO 27018, el cual solo es certificable de manera conjunta con la ISO 27001. Entre los beneficios podemos destacar:
- Aporta confianza sobre la protección de la información de los clientes y partes interesadas, protegiendo la imagen de la organización frente a accesos o violación de datos.
- Permite identificar los riesgos a los que está expuesta la información (PII) estableciendo controles para su mitigación.
- Diferenciación respecto a los competidores del mismo sector, proveyendo una protección a la información bajo un estándar internacional.
- Protección frente a multan, aportando un sistema de gestión que vela por la protección de la información de los interesados.
0 Comentarios