ISO nedávno zveřejnilo druhé vydání normy ISO/IEC 27018 – Pokyny pro ochranu osobních údajů ve veřejných cloudech vystupujících jako zpracovatelé PII.
Norma ISO/IEC 27018 poskytuje pokyny pro ochranu osobních údajů ve veřejných cloudových službách, zejména v případě, že poskytovatel cloudových služeb působí jako zpracovatel osobních údajů. Tato norma, vycházející z normy ISO/IEC 27002, popisuje kontrolní opatření a zásady přizpůsobené cloudovým prostředím a zajišťuje, aby poskytovatelé cloudových služeb nakládali s osobními údaji zodpovědně, transparentně a bezpečně.
Proč je norma ISO/IEC 27018 důležitá?
Vzhledem k tomu, že cloud computing se stává standardním způsobem poskytování služeb, musí organizace zajistit, aby osobní údaje uložené a zpracovávané v cloudu byly řádně chráněny. Norma ISO/IEC 27018 pomáhá poskytovatelům cloudových služeb plnit zákonné, smluvní a etické povinnosti týkající se zpracování osobních údajů. Podporuje dodržování předpisů v různých jurisdikcích, zvyšuje důvěru zákazníků a poskytuje jasnou strukturu pro ochranu údajů v cloudu.
Přínosy
- Posiluje důvěru díky souladu s globálními zásadami ochrany soukromí
- Vyjasňuje role a odpovědnosti mezi poskytovateli cloudových služeb a zákazníky
- Pomáhá poskytovatelům cloudových služeb plnit regulační a smluvní povinnosti
- Podporuje transparentnost, auditovatelnost a odpovědnost při zpracování osobních údajů
- Usnadňuje ochranu soukromí již při návrhu při vývoji cloudových služeb
Kdo by měl používat normu ISO/IEC 27018?
Poskytovatelé veřejných cloudových služeb, kteří působí jako zpracovatelé osobních údajů, jakož i organizace, které hodnotí poskytovatele cloudových služeb nebo se snaží zajistit vlastní soulad s předpisy při outsourcingu zpracování dat.
Jak souvisí norma ISO/IEC 27018 s normami ISO/IEC 27001 a ISO/IEC 27002?
Norma ISO/IEC 27018 rozšiřuje normu ISO/IEC 27002 o kontroly přizpůsobené konkrétně pro zpracování osobních údajů v cloudu a doplňuje systém managementu informační bezpečnosti (ISMS) založený na normě ISO/IEC 27001.
Co je nového ve verzi z roku 2025
Vydání z roku 2025 bylo přizpůsobeno aktualizované normě ISO/IEC 27002:2022, čímž je zajištěna konzistence mezi normami. Obsahuje také novou přílohu B, která nabízí rozšířené pokyny pro implementaci.
Jaké typy údajů jsou chráněny
Zahrnuje veškeré osobní údaje, které zpracovávají poskytovatelé veřejných cloudových služeb jménem zákazníků – včetně shromažďování, ukládání, zpracování, přenosu a mazání.