Consulenza certificazione informatica ISO 27001 e ISO 27018

Mondo-Privacy-consulenza-certificazione-informatica

Lo Standard ISO/IEC 27001:2013 (o più semplicemente ISO 27001) rappresenta la normativa internazionale diretta all’identificazione dei requisiti essenziali per la gestione e l’impostazione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Si tratta, in particolare, dell’unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un sistema di gestione per la sicurezza delle informazioni. La norma è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati. Essa adotta un approccio di processo in grado di garantire il funzionamento ed il miglioramento del sistema di gestione della sicurezza delle informazioni e della privacy.

La ISO 27001 è applicabile a tutte le imprese private o pubbliche: la norma, infatti, prescinde dall’appartenenza ad uno specifico settore di business o dall’organizzazione dell’azienda.

È necessario considerare che l’adozione e la gestione di un Sistema di Gestione della Sicurezza delle Informazioni richiede un impegno di risorse significativo e lo staff di Mondo Privacy è in grado di accompagnare, mediante risorse qualificate, con costanza e professionalità, le aziende verso l’ottenimento della certificazione ISO 27001.

Mondo-Privacy-certificazione-servizi-public-cloud

Sebbene già esistano due standard dedicati alla gestione della sicurezza delle informazioni (ISO 27001 e ISO 27002) vi è un apposita norma ISO che si rivolge ai servizi di public cloud.

L’impiego di servizi di cloud, infatti, risulta oggi irrinunciabile per numerose aziende pubbliche e private. A protezione dei dati personali ed, in particolare, ad arginare la possibilità di perdita del controllo su di essi, nonché i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, è stata introdotta la norma ISO 27018.

Si tratta di un set di regole costruito sugli standard ISO 27001 e 27002 per garantire il rispetto dei principi e delle norme privacy da parte dei providers di public cloud. Questo standard rappresenta una risposta pratica alle principali questioni di natura legale e contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.

La norma ISO 27018 si basa, essenzialmente, su sei principi fondamentali:

  1. Controllo dei dati;
  2. Utilizzo dei dati;
  3. Protezione dei dati;
  4. Qualità dei servizi Cloud;
  5. Accesso ai dati consentito alle autorità;
  6. Validazione di una terza parte.

In base a tali principi, un fornitore di servizio cloud che ambisce alla certificazione deve garantire che:

  • L’interessato possa esercitare i propri diritti nei confronti del Titolare, nonostante i suoi dati siano processati da un responsabile esterno e in una nuvola informatica;
  • mezzi del trattamento siano esattamente rispondenti a quelli indicati nella policy resa nota all’acquirente dei servizi fin dall’inizio;
  • I dati personali in cloud non siano trattati per ragioni di marketing diretto o pubblicitarie, a meno che non vi sia l’esplicito consenso dell’interessato ( ciò non può mai costituire una precondizione posta dal fornitore al cliente per la fornitura del servizio);
  • I clienti conoscano fin da subito i nomi degli eventuali sub-processors, e il posto in cui essi sono stabiliti – con diritto di opporsi ad eventuali modifiche nella catena dei subfornitori –  ovvero dei paesi di loro stabilimento;
  • I clienti ricevano notizia tempestiva delle violazioni di dati personali (data breaches), al fine di poter a loro volta darne notizia alle autorità di controllo (e agli interessati) nei tempi previsti dalla legge;
  • Siano disciplinate le modalità di restituzione dei dati personali al cliente una volta terminato il contratto (transfer back);
  • I suoi servizi siano soggetti a verifiche periodiche di conformità agli standard di sicurezza, di cui sia fornita evidenza ai clienti;
  • Tutto il suo personale addetto al trattamento di dati personali sia vincolato da patti di riservatezza (non disclosure agreements) e riceva adeguata formazione.

Lo staff di Mondo Privacy mette a disposizione la propria consulenza specialistica per la consulenza e la certificazione ISO 27018.