Programování

Soulad s normou ISO 27018: Zde potřebujete vědět

Vyjednáváte smlouvu na cloudové služby. Za účelem uzavření dohody se zástupce poskytovatele cloudu nakloní přes stůl, upře svůj pohled a řekne vám: „Mimochodem, služba je certifikována podle normy ISO 27018.“

ISO 270 - co? Měli byste se podepsat nebo ustoupit? Vedoucí IT budou stále více čelit právě takové volbě, a to díky nástupu normy ISO 27018 pro ochranu osobně identifikovatelných informací (PII) v cloudu, kterou přijala Mezinárodní organizace pro normalizaci (ISO) v červenci 2014.

Vzhledem k tomu, že narušení dat, ztráta PII a krádež identity pokračují bez omezení, jsou veškerá opatření k zastavení přílivu velmi zajímavá pro IT komunitu. Přesto Microsoft Cloud a Dropbox dosud oznámily cloudové služby vyhovující normě ISO 27018. Microsoft v únoru 2015 certifikoval svou cloudovou službu Azure, cloudové aplikace Dynamics CRM a ERP a cloudové obchodní podnikové aplikace Office 365. Dropbox v dubnu 2015 oznámil, že Dropbox pro firmy byl certifikován. Vzhledem k vesmíru poskytovatelů cloudu a jejich služeb je to malý začátek, ale většina pozorovatelů věří, že je jen otázkou času, než většina, ne-li všichni poskytovatelé cloudu, ohlásí soulad se standardem.

Viz také: Gartner: Dlouhé tvrdé stoupání na vysokou úroveň zabezpečení cloud computingu

Výhody normy ISO 27018 slibují, že budou hluboké. Tyto zahrnují:

  • Větší důvěra zákazníků v cloudové služby
  • Rychlejší povolení globálních operací
  • Efektivnější smlouvy
  • Právní ochrana poskytovatelů cloudu a uživatelů

Důvod:

Větší důvěra zákazníků v cloudové služby. Shoda s normou ISO 27018 znamená, že poskytovatel cloudu provedl seznam postupů (viz postranní panel) pro zpracování PII. Vzhledem k tomu, že dodržování předpisů vyžaduje každoroční certifikaci, přísnosti tohoto procesu - a výsledného certifikátu - by měly zákazníkům poskytnout novou důvěru v jejich poskytovatele.

„Ukazuje to, že váš poskytovatel cloudu má určitou úroveň vyspělosti při zpracování PII,“ říká Christie Grabyan, vedoucí podnikové bezpečnostní praxe v BishopFox, konzultant pro zabezpečení dat.

Jeden právník tvrdí, že smysl tohoto úsilí jde daleko nad rámec osvědčení. „Motivací není jen mít na stěně kousek papíru. Snažíte se nepokazit něčí data - to je o podnikání a zákaznících a důvěře,“ říká Colin Zick, zákonný partner firma Foley Hoag v Bostonu.

ISO 27018 Dos a nedělat

Dos:

  • Zjistěte, zda je shoda s normou ISO27018 pro vaši společnost a její zákazníky důležitá.
  • Zjistěte, zda výhody převáží náklady na dodržování předpisů.
  • Definujte PII, pokud jde o vás a vaši firmu a její zákazníky.
  • Zjistěte, zda váš poskytovatel cloudu dodržuje předpisy - nebo požadujte rovnocennou ochranu.
  • Požádejte, aby váš poskytovatel cloudu vyhověl. Vzhledem k tomu, že někteří poskytovatelé se mohou řídit dodržováním předpisů pouze v případě, že je budou tlačit zákazníci, je důležitý váš hlas.

Nedělat:

  • Nezapomeňte, že jste i nadále odpovědní za bezpečnost údajů PII, které identifikujete.
  • Neodkládejte svého poskytovatele cloudových služeb hned, protože ještě má certifikát shody. Poskytovatel cloudu může ve vaší dohodě s nimi splnit většinu nebo všechna ustanovení normy ISO 27018 a dosud nebyl formálně auditován. Buďte informovaní a plně pochopte, co váš poskytovatel dělá.

Poskytovatelé cloudu doufají, že se zpráva dostane k zákazníkům. „Naši zákazníci nám musí být v pozici, aby nám mohli věřit. Nefunguje pro ně, aby nás kontrolovali jednotlivě, takže je pro nás důležité mít nezávislou certifikaci,“ říká Patrick Heim, vedoucí oddělení důvěry a bezpečnosti ve společnosti Dropbox.

Ať už poskytovatel cloudu získá formální certifikaci či nikoli, do smluv lze zahrnout klíčové prvky standardu. „Stále můžete vyjednávat soukromě všechna ustanovení normy ISO 27018,“ říká Richard Kemp, advokát a zakladatel britské právnické firmy KempITLaw. Jak budou tato ustanovení přijímána v širším měřítku, měly by se zlepšit společné postupy pro ochranu PII v cloudových smlouvách. Díky tomu by se zákazníci měli obecně cítit pohodlněji.

Rychlejší povolení globálních operací. Protože ISO 27018 poskytuje společné pokyny v různých zemích, bude pro poskytovatele cloudových služeb jednodušší podnikat globálně - a pro cloudové zákazníky s nimi podepisovat smlouvy na služby v mnoha koutech světa. Vzhledem k tomu, že norma ISO 27018 byla z velké části založena na požadavcích Evropského společenství, mělo by tam pro začátečníky jít podnikání mnohem plynuleji.

„Evropští regulační pracovníci říkají, že jsou nadšeni standardem, který přichází on-line,“ říká Neal Suggs, viceprezident a hlavní právní zástupce společnosti Microsoft Corp. Výhody by však měly jít mnohem dále. „Existuje více než 100 zemí, které mají zákony na ochranu dat a soukromí,“ říká Deborah Hurley, zakladatelka poradenské firmy Hurley a kolegy z Institutu kvantitativních sociálních věd na Harvardově univerzitě. „Není to jen evropská věc. Každé podnikání by se mělo považovat za globální. K splnění požadavků zemí po celém světě jde dlouhá cesta,“ dodává.

Z pohledu poskytovatele cloudu sníží technické úsilí potřebné k přizpůsobení cloudových služeb konkrétním zákonům o ochraně soukromí. „Standard umožňuje technikům stavět jednou a pracovat pro mnoho. Je těžké se přizpůsobit místním zákonům, říká Suggs. Dodává Heim ze společnosti Dropbox,„ Sedmdesát procent našich zákazníků je celosvětových. “

Efektivnější smlouvy

Zákazníci cloudu často požadují od poskytovatelů vyplnění dotazníku týkajícího se jejich postupů při zacházení s PII. Jejich vyplňování je časově náročné. Získáním certifikace mohou poskytovatelé cloudu předložit certifikát jako odpověď na většinu, ne-li všechny tyto otázky, snížit papírování a zkrátit proces vyjednávání.

„Firemní bezpečnost zpomaluje mnoho obchodů. Existuje spousta tření,“ říká Dan Greenberg, ředitel společnosti Integrated Strategies & Tactics, LLC, která vyjednává cloudové dohody, často pro malé technologické společnosti. „Místo 32 otázek se osvědčení o shodě může postarat o 30 z těchto otázek. To je velký problém.“ Doufám, že standard snižuje tření, “říká.

Jedním z faktorů, který může někdy bránit nebo zastavit proces smlouvy, je kybernetické pojištění, které pojišťovací dopravci píší, aby pokryli náklady na porušení údajů a porušení ochrany soukromí. „Kybernetické pojištění je opravdu nákladné, protože na rozdíl od poplašného zařízení proti krádeži neexistuje žádný standard,“ říká Greenberg. „Musel jsem odejít z obchodů kvůli nákladům na kybernetické pojištění,“ dodává.

Související čtení:

- 5 věcí, které byste měli vědět o kybernetickém pojištění

- Kybernetické pojištění: Spěchají jen blázni

- Kybernetické pojištění: Stojí to za to, ale pozor na výluky

- Firemní kultura brání vstupu do kybernetického pojištění

Jedna vedoucí pojišťovna říká, že dodržování standardu je pozitivním faktorem u cloudových smluv. „Pokud je poskytovatel certifikován podle tohoto standardu, měli bychom to raději vidět a podmínky by to odrážely,“ říká Eric Černák, vedoucí kybernetické praxe ve společnosti Munich Re U. S. Operations. Kvůli novosti standardu však úleva od vysokých sazeb nebude okamžitá, dodává: „Potřebovali bychom nějaké zkušenosti, abychom zjistili, zda to zaručuje nižší pojistné.“

Smluvní a právní ochrana. Ačkoli je příliš brzy na vytvoření právních precedentů, dodržování normy ISO 27018 by mělo poskytovat poskytovatelům cloudu a jejich zákazníkům příznivé postavení, pokud jde o plnění podmínek smlouvy, pokud jde o soukromí informací.

ISO 27018 pokrývá širokou škálu témat a poskytuje standardy, které jsou v rozporu s audity, dotazy zákazníků a vládními kontrolami, poznamenává Zick. Adherence umožňuje poskytovateli cloudových služeb (CSP) ukázat, že jeho zásady a postupy ochrany soukromí jsou přiměřené a v souladu s převládajícími standardy.

„To poskytuje bezpečný přístav z právního hlediska v případě porušení,“ říká Zick.

Koncept bezpečného přístavu znamená, že poskytovatel cloudu nemusí být považován za nedbalost nebo nedbalost s PII, protože si vzal problém získat certifikaci. Cloudový zákazník získá podobnou výhodu. „Pokud máte tuto normu, na kterou se můžete spolehnout, můžete říci, že je to chyba toho zlého, a neobviňujte mě,“ dodává Zick. A dodržování předpisů by mělo vyplácet dividendy globálně. „Regulačním orgánům se to líbí, protože to považují za záruku dodržování pravidel ochrany osobních údajů ve své zemi,“ poznamenává Zick.

Co bude dál?

Co se všemi těmito výhodami drží poskytovatele cloudu zpět? Zdá se, že existují dva hlavní faktory: náklady a časová náročnost získání certifikace a nedostatek pobouření uživatelů vyžadujících dodržování předpisů.

„Neměli jsme žádného zákazníka, který by to vyžadoval,“ říká Frank Balonis, senior ředitel technických služeb ve společnosti Accellion, CSP zaměřený na sdílení souborů, zejména pro mobilní uživatele.

Microsoft i Dropbox jsou velcí poskytovatelé cloudových služeb s hlubokými kapsami a velkým přínosem v konkurenční diferenciaci od dodržování předpisů. Menší CPS jsou na jiné lodi. „S největší pravděpodobností to bude zátěž pro menší poskytovatele cloudových služeb,“ říká Černák. Ale postupem času nemusí mít na výběr. „Bude to součást ceny za vstup do služby cloudového poskytovatele?“

Balonis říká, že Accellion očekává, že získá konkurenční výhodu, když dokončí svůj audit ISO 27018 počátkem roku 2016. „Poskytuje další úroveň záruky nemocnicím a právním firmám - těm zákazníkům, kteří kladou důraz na PII,“ říká.

Ačkoli shoda bude vždy vyžadovat úsilí a náklady, po udělení certifikátu by měla být každoroční certifikace mnohem snazší a levnější, shodují se odborníci. Většina také souhlasí s tím, že bez požadavku zákazníků na dodržování předpisů se mnoho poskytovatelů cloudu udrží.

U cloudových zákazníků je prvním krokem získání informací a kladení otázek. Zick doporučuje zákazníkům, aby zkontrolovali své smlouvy s poskytovateli cloudových služeb a zjistili, zda mají poskytovatelé plány vyhovět normě ISO 27018. Poté by měli zvážit dodatky ke smlouvám, aby se přidala shoda s normou ISO 27018. „Akreditace třetích stran má opravdu hodnotu, zejména proto, že pokračuje. Nikdy se nezastaví,“ říká Zick. Neočekává však, že by standard změnil cloudový průmysl přes noc. „Toto je proces, jehož zavedení bude trvat roky, ne-li deset let.“

Co je v normě ISO 27018

Protože osobní identifikační údaje (PII) lze použít pro obchodní účely, jako je cílená reklama a analýza dat, které ovlivňují jednotlivce, je pro každého důležité pochopení toho, co jsou tato data a jak by je mohli používat poskytovatelé cloudu. Účelem ISO 27018 je vytvořit takové porozumění a dát jednotlivcům příležitost udělit nebo odvolat souhlas s použitím jejich PII.

Norma ISO 27018, přijatá jako standard v červenci 2014, je sama o sobě významná, je součástí rodiny ISO 27000 a představuje evoluční doplněk k předchozím normám ISO 27001 a ISO 27002. Není možné dosáhnout shody s normou ISO 27018 bez předchozího překonání překážky ISO 27001 a ISO 27002 - což již mnoho poskytovatelů cloudových služeb učinilo.

Rodina norem ISO 27000 řeší otázky ochrany soukromí, důvěrnosti a technického zabezpečení. Standardy nastiňují stovky potenciálních kontrol a kontrolních mechanismů. Krátce:

  • ISO 27001 - Pokrývá zabezpečení v cloudu. Je vyžadována roční certifikace.
  • ISO 27002 - Vysvětluje, jak splnit požadavky normy ISO 27001.
  • ISO 27018 - Přidává osobně identifikovatelné informace do rozsahu 27001.

ISO 27018 požaduje, aby poskytovatelé cloudových služeb (CSP) vyhovující:

  • Bez výslovného souhlasu zákazníka nepoužije údaje o zákaznících pro své vlastní nezávislé účely, jako je reklama a marketing.
  • Nespojí dohodu o používání služeb s používáním osobních údajů CSP pro reklamu a marketing.

ISO 27018 navíc:

  • Stanovuje jasné a transparentní parametry pro návrat, přenos a bezpečné nakládání s osobními údaji.
  • Vyžaduje, aby poskytovatelé platebních služeb zveřejnili totožnost jakéhokoli dílčího zpracovatele, kterého zapojili, aby pomohli se zpracováním dat, než zákazníci uzavřou smlouvu.
  • Pokud CSP změní dílčí procesory, je CSP povinen neprodleně informovat zákazníky, aby měli příležitost vznést námitku proti ukončení jejich smlouvy.

ISO 27018 nevznikla ve vakuu. Je podobný ostatním standardům, jako je HIPAA, který zahrnuje osobní zdravotní informace (PHI), stejně jako SSAE (Prohlášení o standardech pro ověřovací zakázky č. 16) a ISAE (Mezinárodní standardy pro ověřovací zakázky č. 3402), které jsou auditorské standardy pro bezpečnostní kontroly a účinnost bezpečnostních kontrol stanovené Americkým institutem certifikovaných veřejných účetních a Radou pro mezinárodní auditorské a ověřovací standardy Mezinárodní federace účetních.

Poznejte své PII

Je 3:00; víte, kde jsou vaše osobní údaje (PII)?

Než budete moci odpovědět na tuto otázku, musíte definovat, co přesně PII je, pokud jde o vaše podnikání.

Obecně lze říci, že PII jsou jakékoli informace, které lze vysledovat k jednotlivci. V normě ISO 27018 popisuje ISO PII jako „jakoukoli informaci, která (a) může být použita k identifikaci jistiny PII, kterého se tyto informace týkají, nebo (b) je nebo může být přímo nebo nepřímo spojena s jistinou PII.“

Nejčastěji se jedná o jméno osoby a další osobní údaje, například adresu nebo rodné číslo. Může to však být také fyzická charakteristika, jako je hlas osoby, obraz obličeje nebo videozáznam sdělovaného pohybu, jako je chůze člověka. Sofistikované algoritmy jsou navíc stále více schopné spojovat stále menší kousky informací s konkrétním jednotlivcem.

Pro účely smluvních závazků je na zákazníkovi, aby řekl, co je PII.

Jak vysvětluje dokument ISO, „Procesor veřejného cloudu PII obvykle není schopen explicitně vědět, zda informace, které zpracovává, spadají do jakékoli určené kategorie, pokud to zákazník cloudové služby nezprůhlední.“

Překlad: Jako zákazník cloudu musíte vědět, co považujete za PII, a musíte informovat poskytovatele cloudu.

Jakmile to uděláte, certifikovaný poskytovatel cloudu pak musí tyto informace zpracovat v souladu s pokyny ISO 27018.

Tento příběh „Soulad s normou ISO 27018: Zde je to, co potřebujete vědět“ původně publikoval ITworld.