ISO/IEC 27018 Protección Información Personal Nube
La nube ofrece a las empresas y a los consumidores múltiples beneficios: el ahorro de costes, la flexibilidad y el acceso móvil a la información encabezan la lista. Sin embargo, por otro lado, plantea preocupaciones sobre la protección de datos y la privacidad; especialmente en torno a la información de identificación personal (PII). PII incluye cualquier tipo de información que pueda identificar a un usuario específico. Los ejemplos más obvios son los nombres y datos de contacto. Pero también se puede pensar fácilmente en registros médicos, las direcciones IP y los estados bancarios.
Utilizada conjuntamente con ISO/IEC 27001, ISO/IEC 27018 ha sido publicada para permitir que proveedores de servicios cloud cuya infraestructura está certificada con esta norma, le puedan decir a sus clientes actuales y potenciales que sus datos están garantizados y que no serán usados para ningún propósito para el cual no se dé expresamente su consentimiento.
La ISO 27018 pretende, a grandes rasgos, identificar de manera precisa como el proveedor gestiona los datos personales de los interesados, establece los procedimientos necesarios para cualquier solicitud o acceso a los mismos ofreciendo de este modo a los clientes una total transparencia en este sentido
La ISO 27018, aporta una base de buenas prácticas para la protección de información de identificación personal (PII) en la nube para organizaciones que actúan como procesadores de esta información”.
Su implantación va ligada a la norma ISO 27001, que actúa como base a la hora de especificar los requisitos propios del estándar. En este sentido, la ISO 27018 se divide en dos grandes bloques de actuación:
Controles Declaración de Aplicabilidad: Partiendo de los controles de seguridad establecidos en el Anexo A de la ISO 27001 o el código de buenas prácticas ISO 27002, la norma añade requisitos de seguridad para la información de identificación personal (PII) sobre controles específicos. En este sentido, de los 114 controles que propone el estándar de Seguridad de la Información, la ISO 27018 establece requisitos adicionales sobre 15 controles, distribuidos entre los siguientes dominios:
Dominio 5: Políticas de Seguridad de la Información
Dominio 6: Organización de la Seguridad de la Información
Dominio 7: Seguridad de los Recursos Humanos
Dominio 9: Control de Acceso
Dominio 10: Criptografía
Dominio 11: Seguridad física y ambiental
Dominio 12: Seguridad de las operaciones
Dominio 13: Seguridad de las comunicaciones
Dominio 16: Gestión de incidentes
Dominio 18: Cumplimiento
¿Qué define el Anexo A de la norma ISO 27018?
Los 8 principios o controles específicos de privacidad de la información, aplicables al gestor de datos en la nube y el modo de implantarlos, lo que conforma un conjunto de requisitos para la protección de PII. Los principios en los que se basa son los siguientes:
Consentimiento y elección
Propósito de legitimidad y especificación
Minimización de los datos
Límite de uso, retención y divulgación
Apertura, trasparencia y notificación
Responsabilidad
Seguridad de la Información
Cumplimiento de la privacidad
Ventajas de su aplicación
Mejorar la seguridad de la información en los servicios en la nube.
Aumento de la transparencia en las relaciones con clientes.
Garantizar el cumplimiento de la legislación vigente y las normas y regulaciones internacionales.
Mantener y mejorar la imagen corporativa.
Optimizar los recursos asignados a la seguridad de la información.
Soluciones en certificación, inspección y auditoria enfocadas a la optimización de los negocios.
NOTA: ESTA WEB NO UTILIZA COOKIES NI NINGÚN MEDIO DE CONTROL VISITANTES.
INTERCER
Avda. del Conocimiento nº 34, Parque Tecnológico de Ciencias de la Salud , 18006 Granada, Spain
Copyright INTERCER. All rights reserved.