Programavimas

ISO 27018 atitiktis: štai ką reikia žinoti

Jūs deratės dėl debesijos paslaugų sutarties. Norėdami sudaryti sandorį, debesies paslaugų teikėjo atstovas pasilenkia per stalą, nukreipia žvilgsnį ir sako jums: „Beje, paslauga yra sertifikuota pagal ISO 27018“.

ISO 270 - kas? Ar turėtumėte pasirašyti, ar atsitraukti? IT vykdytojams vis dažniau teks rinktis būtent tokį pasirinkimą dėl to, kad 2014 m. Liepos mėn. Tarptautinė standartų organizacija (ISO) priėmė ISO 27018 standartą, skirtą apsaugoti asmenį identifikuojančią informaciją (AII) debesyje.

Duomenų pažeidimai, asmens duomenų praradimas ir tapatybės vagystės tęsiasi be apgaulės, bet kokios priemonės užkirsti kelią potvyniui labai domina IT bendruomenę. Nepaisant to, iki šiol tik „Microsoft“ ir „Dropbox“ paskelbė debesų paslaugas, atitinkančias ISO 27018. 2015 m. Vasario mėn. „Microsoft“ sertifikavo savo „Azure“ debesies paslaugą, „Dynamics CRM“ ir „ERP“ debesies pagrindu sukurtas programas bei „Office 365“ debesies pagrindu sukurtas verslo našumo programas. „Dropbox“ 2015 m. Balandžio mėn. Atsižvelgiant į debesijos paslaugų teikėjų visumą ir jų paslaugas, tai yra maža pradžia, tačiau dauguma stebėtojų mano, kad tai tik laiko klausimas, kol dauguma, jei ne visi debesų tiekėjai praneš apie atitiktį standartui.

Taip pat žiūrėkite: „Gartner“: ilgas sunkus pakilimas į aukštą debesų kompiuterijos saugumo lygį

ISO 27018 pranašumai žada būti gilūs. Jie apima:

  • Didesnis klientų pasitikėjimas debesų paslaugomis
  • Greitesnis pasaulinių operacijų įgalinimas
  • Supaprastintos sutartys
  • Teisinė debesijos paslaugų teikėjų ir vartotojų apsauga

Štai kodėl:

Didesnis klientų pasitikėjimas debesų paslaugomis. Atitikimas ISO 27018 reiškia, kad debesijos paslaugų teikėjas sudarė procedūrų sąrašą (žr. Šoninę juostą) tvarkant asmens duomenis. Kadangi norint laikytis reikalingas metinis sertifikatas, šio proceso griežtumas ir gautas sertifikatas turėtų suteikti klientams naujo pasitikėjimo savo paslaugų teikėjais.

„Tai rodo, kad jūsų debesies paslaugų teikėjas turi tam tikrą brandos tvarkymo AII lygį“, - sako Christie Grabyan, įmonės saugumo praktikos vadovė, dirbanti duomenų apsaugos konsultacijoje „BishopFox“.

Vienas teisininkas tvirtina, kad pastangų prasmė gerokai viršija pažymėjimą. "Motyvacija yra ne tik turėti popieriaus lapą ant sienos. Jūs bandote nesugadinti kieno nors duomenų - esmė - tai verslas, klientai ir pasitikėjimas savimi", - sako Colinas Zickas, įstatymų partneris. firma Foley Hoag Bostone.

ISO 27018 nurodymai ir draudimai

Dos:

  • Nustatykite, ar jūsų įmonei ir jos klientams svarbu laikytis ISO27018.
  • Nustatykite, ar nauda bus didesnė už atitikties išlaidas.
  • Apibrėžkite AII, kiek tai susiję su Jumis, Jūsų verslu ir jo klientais.
  • Sužinokite, ar jūsų debesies paslaugų teikėjas laikosi, ar reikalaukite lygiavertės apsaugos.
  • Prašykite, kad debesies paslaugų teikėjas laikytųsi. Kadangi kai kurie paslaugų teikėjai gali laikytis reikalavimų tik tada, kai juos skatina klientai, jūsų balsas yra svarbus.

Negalima:

  • Nepamirškite, kad ir toliau esate atsakingas už identifikuoto asmens duomenų saugumą.
  • Neišmeskite debesies paslaugų teikėjo iškart todėl, kad jis dar turi atitikties sertifikatą. Debesijos paslaugų teikėjas gali įvykdyti daugumą ar visas jūsų sutartyje nurodytas ISO 27018 nuostatas ir dar nebuvo oficialiai patikrintas. Būkite informuoti ir visiškai supraskite, ką daro jūsų paslaugų teikėjas.

Savo ruožtu debesų tiekėjai tikisi, kad žinia bus pasiekta klientams. "Mūsų klientai turi sugebėti mumis pasitikėti. Jie neveikia tikrindami mus atskirai, todėl mums svarbu turėti nepriklausomą sertifikatą", - sako Patrickas Heimas, "Dropbox" pasitikėjimo ir saugumo vadovas.

Nesvarbu, ar debesijos paslaugų teikėjas gauna oficialų sertifikatą, ar ne, pagrindiniai standarto elementai gali būti įtraukti į sutartis. „Vis tiek galite derėtis dėl visų ISO 27018 nuostatų privačiai“, - sako Richardas Kempas, advokatas ir Jungtinės Karalystės advokatų kontoros „KempITLaw“ įkūrėjas. Kai šios nuostatos bus vis plačiau priimamos, turėtų pagerėti įprasta AII apsaugos pagal debesijos sutartis praktika. Tai turėtų padaryti klientus patogesnius.

Greitesnis pasaulinių operacijų įgalinimas. Kadangi ISO 27018 pateikia bendras gaires įvairiose šalyse, debesijos paslaugų teikėjams bus lengviau vykdyti verslą visame pasaulyje - o debesijos klientams bus sudaryta su jais paslaugų sutartis daugelyje pasaulio kampelių. Kadangi ISO 27018 standartas didžiąja dalimi buvo pagrįstas Europos bendrijos reikalavimais, pradedantiesiems verslas ten turėtų vykti sklandžiau.

„Europos reguliavimo specialistai sako, kad juos labai jaudina standartų atėjimas į rinką“, - sako Nealas Suggsas, „Microsoft Corp“ viceprezidentas ir generalinis patarėjas. Tačiau nauda turėtų būti kur kas didesnė. „Yra daugiau nei 100 šalių, kuriose galioja įstatymai, saugantys duomenis ir privatumą“, - sako Deborah Hurley, konsultacinės firmos „Hurley“ įkūrėja ir kolegė Harvardo universiteto Kiekybinių socialinių mokslų institute. "Tai nėra tik europietiškas dalykas. Kiekvienas verslas turėtų laikyti save globaliu. Tai labai padeda patenkinti pasaulio šalių reikalavimus", - priduria ji.

Žvelgiant iš debesijos paslaugų teikėjo perspektyvos, jis sumažins inžinerijos pastangas, reikalingas debesijos paslaugoms pritaikyti prie tam tikrų privatumo įstatymų. "Standartas leidžia inžinieriams pastatyti vieną kartą ir dirbti daugeliui. Sunku prisitaikyti prie lokalizuotų įstatymų, sako Suggsas." Heim iš Dropbox priduria: "Septyniasdešimt procentų mūsų klientų yra pasauliniai".

Supaprastintos sutartys

Debesijos klientai dažnai prašo paslaugų teikėjų užpildyti klausimyną apie jų praktiką tvarkant asmens duomenis. Jų pildymas užima daug laiko. Gaudami sertifikatą, debesijos paslaugų teikėjai gali pateikti sertifikatą kaip atsakymą į daugumą, jei ne į visus šiuos klausimus, sumažindami dokumentus ir sutrumpindami derybų procesą.

"Įmonių saugumas sulėtina daugelį sandorių. Yra daug trinties", - sako Danas Greenbergas, „Integrated Strategies & Tactics, LLC“ direktorius, derantis dėl debesijos susitarimų, dažnai skirtas mažoms technologijų įmonėms. "Vietoj 32 klausimų atitikties sertifikatas gali sutvarkyti 30 iš šių klausimų. Tai didelė problema." Tikiuosi, kad standartas sumažins trintį ", - sako jis.

Vienas veiksnių, kuris kartais gali trukdyti ar sustabdyti sutarties procesą, yra kibernetinis draudimas, kurį draudimo vežėjai rašo, kad padengtų duomenų ir privatumo pažeidimų išlaidas. „Kibernetinis draudimas yra tikrai brangus, nes nėra standarto, skirtingai nuo įsilaužimo signalizacijos“, - sako Greenbergas. „Man teko vengti sandorių dėl kibernetinio draudimo išlaidų“, - priduria jis.

Susijęs skaitymas:

- 5 dalykai, kuriuos turėtumėte žinoti apie kibernetinį draudimą

- Kibernetinis draudimas: skuba tik kvailiai

- Kibernetinis draudimas: verta, tačiau saugokitės išimčių

- Įmonių kultūra trukdo kibernetinio draudimo įpirkimui

Viena draudimo kompanijos vadovė teigia, kad standarto laikymasis yra teigiamas debesijos sutarčių veiksnys. „Jei paslaugų teikėjas yra sertifikuotas pagal šį standartą, mes norėtume tai įsitikinti ir sąlygos tai atspindėtų“, - sako Ericas Cernakas, „Munich Re U. S. Operations“ kibernetinės praktikos vadovas. Tačiau dėl standarto naujumo, atleidimas nuo aukštų tarifų nebus greitas, jis priduria: "Mes turėtume turėti tam tikrą patirtį, kad pamatytume, ar dėl to reikalinga mažesnė įmoka".

Sutartinė ir teisinė apsauga. Nors teisinių precedentų nustatymas dar per anksti, laikantis ISO 27018 standarto debesijos paslaugų teikėjams ir jų klientams turėtų būti sudarytos palankios sąlygos įvykdyti sutarties sąlygas dėl informacijos privatumo.

ISO 27018 apima daugybę dalykų ir pateikia standartus, kurie neatitinka auditų, klientų užklausų ir vyriausybės peržiūrų, pažymi Zickas. Laikymasis leidžia debesijos paslaugų teikėjui (CSP) parodyti, kad jo privatumo politika ir praktika yra pagrįsta ir atitinka galiojančius standartus.

„Tai užtikrina saugų uostą teisiniu požiūriu pažeidimo atveju“, - sako Zickas.

„Saugaus uosto“ sąvoka reiškia, kad debesijos paslaugų teikėjas negali būti vertinamas kaip aplaidus ar neapgalvotas dėl asmens duomenų, nes jis stengėsi gauti sertifikatą. Debesų klientas gauna panašią naudą. „Jei turite tą standartą, kuriam vėl grįšite, galite sakyti, kad kaltas blogasis, ir nekaltinkite manęs“, - priduria Zickas. Ir atitiktis turėtų mokėti dividendus visame pasaulyje. „Reguliavimo institucijoms tai patinka, nes jie tai vertina kaip savo šalies duomenų apsaugos taisyklių laikymosi užtikrinimą“, - pažymi Zickas.

Kas toliau?

Kas visais šiais pranašumais sulaiko debesų tiekėjus? Atrodo, kad yra du pagrindiniai veiksniai: išlaidos ir laikas, reikalingas norint gauti sertifikatą, ir trūksta vartotojų rūpesčių, reikalaujančių atitikties.

„Mes neturėjome nė vieno kliento, kuris to reikalautų“, - sako Frankas Balonis, vyresnysis „Accellion“ techninės tarnybos direktorius, sertifikavimo paslaugų teikėjas, daugiausia dėmesio skiriantis failų dalijimuisi, ypač mobiliųjų telefonų vartotojams.

Tiek „Microsoft“, tiek „Dropbox“ yra dideli debesų tiekėjai, turintys gilias kišenes ir turintys daug naudos konkurencinėje diferenciacijoje nuo atitikties. Mažesni CPS yra kitoje valtyje. „Greičiausiai tai bus našta mažesniems debesijos paslaugų teikėjams“, - sako Cernakas. Tačiau laikui bėgant, anot jo, jie gali neturėti kito pasirinkimo. "Ar tai įeis į debesijos paslaugų teikėjo priėmimo kainą?"

Balonis sako, kad „Accellion“ tikisi įgyti konkurencinį pranašumą, kai iki 2016 m. Pradžios užbaigs savo ISO 27018 auditą. „Tai suteikia papildomą užtikrinimo lygį ligoninėms ir teisinėms įmonėms - tiems klientams, kurie priskaičiuoja AII“, - sako jis.

Nors laikymasis visada pareikalaus pastangų ir išlaidų, suteikus sertifikatą, metinis sertifikatas turėtų būti daug lengvesnis ir ne toks brangus, sutinka ekspertai. Dauguma taip pat sutinka, kad be klientų reikalavimo laikytis reikalavimų, daugelis debesijos paslaugų teikėjų sulaikys.

Debesų klientams pirmiausia reikia gauti informacijos ir užduoti klausimus. „Zick“ rekomenduoja klientams peržiūrėti savo sutartis su debesijos paslaugų teikėjais ir įsitikinti, ar paslaugų teikėjai planuoja atitikti ISO 27018 standartą. Tada jie turėtų apsvarstyti susitarimų pakeitimus, kad būtų įtraukta ISO 27018 atitiktis. "Tikrai vertinama trečiųjų šalių akreditacija, ypač todėl, kad ji tęsiasi. Ji niekada nesibaigia", - sako Zickas. Tačiau jis nesitiki, kad standartas per naktį pakeis debesų pramonę. - Tai procesas, kurio įgyvendinimas užtruks metus, jei ne dešimtmetį.

Kas atitinka ISO 27018 standartą

Kadangi asmenį identifikuojanti informacija (AII) gali būti naudojama verslo tikslams, pavyzdžiui, tikslinei reklamai ir duomenų analizei, turinčiai įtakos asmeniui, svarbu suprasti, kas yra šie duomenys ir kaip juos gali naudoti debesų tiekėjai. ISO 27018 tikslas yra užmegzti tokį supratimą ir suteikti asmenims galimybę duoti ar atšaukti sutikimą dėl jų asmens duomenų naudojimo.

2014 m. Liepos mėn. Priimtas kaip standartas, tačiau ISO 27018, nors ir yra reikšmingas, yra ISO 27000 šeimos dalis ir ankstesnių ISO 27001 ir ISO 27002 standartų evoliucinis priedas. Neįmanoma pasiekti ISO 27018 atitikties iš anksto neįveikus ISO 27001 ir ISO 27002 kliūtys - tai jau padarė daugelis debesų tiekėjų.

ISO 27000 standartų šeima sprendžia privatumo, konfidencialumo ir techninio saugumo klausimus. Standartai apibūdina šimtus galimų kontrolių ir kontrolės mechanizmų. Trumpai:

  • ISO 27001 - apima saugumą debesyje. Reikalingas metinis sertifikatas.
  • ISO 27002 - paaiškinama, kaip laikytis ISO 27001.
  • ISO 27018 - įtraukia asmens identifikavimo informaciją į 27001 taikymo sritį.

ISO 27018 įpareigoja reikalavimus atitinkančius debesijos paslaugų teikėjus (CSP):

  • Nenaudos klientų duomenų savo savarankiškiems tikslams, pavyzdžiui, reklamai ir rinkodarai, be aiškaus kliento sutikimo.
  • Susies naudotis paslaugomis susitarimas nebus susietas su sertifikavimo paslaugų teikėjo asmens duomenų naudojimu reklamai ir rinkodarai.

Be to, ISO 27018:

  • Nustatomi aiškūs ir skaidrūs asmens informacijos grąžinimo, perdavimo ir saugaus šalinimo parametrai.
  • Reikalauja, kad sertifikavimo paslaugų teikėjai prieš klientams sudarant sutartį, atskleistų bet kokio antrinio perdirbėjo tapatybę, kad padėtų tvarkyti duomenis.
  • Jei sertifikavimo paslaugų teikėjas pakeičia antrinius procesorius, sertifikavimo paslaugų teikėjas privalo nedelsdamas informuoti klientus, kad jiems būtų suteikta galimybė prieštarauti nutraukiant jų sutartį.

ISO 27018 neatsirado vakuume. Tai panašu į kitus standartus, tokius kaip HIPAA, kuris apima informaciją apie asmens sveikatą (PHI), taip pat SSAE (Atestacijos užduočių standartų pareiškimas Nr. 16) ir ISAE (Tarptautiniai atestavimo užduoties standartai Nr. 3402), kurie yra Amerikos atestuotų valstybės buhalterių instituto ir Tarptautinės buhalterių federacijos Tarptautinių audito ir užtikrinimo standartų valdybos nustatyti saugumo kontrolės ir saugumo kontrolės audito standartai.

Žinokite savo AII

Tai 3:00; ar žinote, kur yra jūsų asmeninė informacija (AII)?

Kad galėtumėte atsakyti į šį klausimą, turite apibrėžti, kas yra AII, kiek tai susiję su jūsų verslu.

Paprastai tariant, AII yra bet kokia informacija, kurią galima atsekti asmeniui. ISO 27018 standarte ISO AII apibūdina kaip „bet kokią informaciją, kuri (a) gali būti naudojama identifikuoti AII pagrindinį asmenį, su kuriuo susijusi tokia informacija, arba (b) yra tiesiogiai ar netiesiogiai susijusi su AII principu“.

Dažniausiai tai yra asmens vardas ir kita asmeninė informacija, pvz., Adresas arba socialinio draudimo numeris. Tačiau tai taip pat gali būti fizinė savybė, tokia kaip žmogaus balsas, veido vaizdas ar vaizdo lemputės judesys, pavyzdžiui, žmogaus eisena. Be to, sudėtingi algoritmai vis labiau sugeba susieti vis mažesnius informacijos bitus su konkrečiu asmeniu.

Sutartinių įsipareigojimų tikslais klientas turi pasakyti, kas yra AII.

Kaip paaiškinama ISO dokumente, „viešasis debesies AII procesorius paprastai negali aiškiai žinoti, ar jo apdorojama informacija patenka į kurią nors nurodytą kategoriją, nebent debesų paslaugų klientas tai daro skaidriu“.

Vertimas: Kaip debesijos klientas, turite žinoti, ką laikote AII, ir apie tai turite pranešti debesų teikėjui.

Kai tai padarysite, sertifikuotas debesies paslaugų teikėjas turi tvarkyti tą informaciją pagal ISO 27018 gaires.

Šią istoriją „ISO 27018 atitiktis: štai ką reikia žinoti“ iš pradžių išleido „ITworld“.

tau taip pat gali patikti

$config[zx-auto] not found$config[zx-overlay] not found