Consulenza certificazione servizi di public cloud ISO 27018

Mondo-Privacy-certificazione-servizi-public-cloud

Sebbene già esistano due standard dedicati alla gestione della sicurezza delle informazioni (ISO 27001 e ISO 27002) vi è un apposita norma ISO che si rivolge ai servizi di public cloud.

L’impiego di servizi di cloud, infatti, risulta oggi irrinunciabile per numerose aziende pubbliche e private. A protezione dei dati personali ed, in particolare, ad arginare la possibilità di perdita del controllo su di essi, nonché i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, è stata introdotta la norma ISO 27018.

Si tratta di un set di regole costruito sugli standard ISO 27001 e 27002 per garantire il rispetto dei principi e delle norme privacy da parte dei providers di public cloud. Questo standard rappresenta una risposta pratica alle principali questioni di natura legale e contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.

La norma ISO 27018 si basa, essenzialmente, su sei principi fondamentali:

  1. Controllo dei dati;
  2. Utilizzo dei dati;
  3. Protezione dei dati;
  4. Qualità dei servizi Cloud;
  5. Accesso ai dati consentito alle autorità;
  6. Validazione di una terza parte.

In base a tali principi, un fornitore di servizio cloud che ambisce alla certificazione deve garantire che:

  • L’interessato possa esercitare i propri diritti nei confronti del Titolare, nonostante i suoi dati siano processati da un responsabile esterno e in una nuvola informatica;
  • I mezzi del trattamento siano esattamente rispondenti a quelli indicati nella policy resa nota all’acquirente dei servizi fin dall’inizio;
  • I dati personali in cloud non siano trattati per ragioni di marketing diretto o pubblicitarie, a meno che non vi sia l’esplicito consenso dell’interessato ( ciò non può mai costituire una precondizione posta dal fornitore al cliente per la fornitura del servizio);
  • I clienti conoscano fin da subito i nomi degli eventuali sub-processors, e il posto in cui essi sono stabiliti – con diritto di opporsi ad eventuali modifiche nella catena dei subfornitori –  ovvero dei paesi di loro stabilimento;
  • I clienti ricevano notizia tempestiva delle violazioni di dati personali (data breaches), al fine di poter a loro volta darne notizia alle autorità di controllo (e agli interessati) nei tempi previsti dalla legge;
  • Siano disciplinate le modalità di restituzione dei dati personali al cliente una volta terminato il contratto (transfer back);
  • I suoi servizi siano soggetti a verifiche periodiche di conformità agli standard di sicurezza, di cui sia fornita evidenza ai clienti;
  • Tutto il suo personale addetto al trattamento di dati personali sia vincolato da patti di riservatezza (non disclosure agreements) e riceva adeguata formazione.

Lo staff di Mondo Privacy mette a disposizione la propria consulenza specialistica per la consulenza e la certificazione ISO 27018.