Consulenza ISO 27018: protezione dati personali nel Cloud

Il nostro Studio di Consulenza aiuterà il cliente a prepararsi per la certificazione ISO/IEC 27001, supportandolo nell’implementazione delle linee guida aggiuntive della ISO 27018.

Consulenza ISO/IEC 27018:

Utilizzato insieme a ISO/IEC 27001, lo standard ISO/IEC 27018 consente ai cloud service provider con infrastruttura certificata di dimostrare che i dati degli utenti sono sicuri e non vengono utilizzati per scopi diversi da quelli per i quali è stato rilasciato il consenso.

Il cloud offre alle Aziende e ai loro utenti numerosi benefici: risparmio in termini di costi, flessibilità e accesso alle informazioni ovunque e in qualsiasi momento. Dall’altro lato solleva preoccupazioni in merito alla privacy e alla protezione dei dati, in particolar modo delle informazioni personali sensibili (personally identifiable information – PII).

Le PII includono qualunque tipo di informazione che può identificare uno specifico utente, dalle informazioni personali di contatto fino a informazioni più complesse, come registrazioni mediche, indirizzi IP e informazioni bancarie.

Come estensione della ISO 27001, la ISO 27018 fornisce una guida su 16 controlli ISO 27002, oltre a fornire 25 nuovi controlli di privacy e sicurezza:

  • L’obbligo di collaborare con i responsabili del trattamento delle PII
  • Il mantenimento dei diritti dei titolari PII
  • Conformità ai requisiti fondamentali della privacy, come la minimizzazione e l’accuratezza dei dati
  • I principi di trasparenza e responsabilità
  • Ulteriori controlli di sicurezza
  • Requisiti per l’elaborazione in subappalto

L’allegato A della ISO 27018 prevede una serie di controlli aggiuntivi per aumentare il livello di protezione dei dati personali nel cloud:

  • Diritti dell’interessato di accedere e cancellare i dati
  • Elaborazione dei dati solo per la finalità per la quale l’interessato ha fornito tali dati
  • Non utilizzare i dati per marketing e pubblicità
  • Cancellazione di file temporanei
  • Notifica al cliente in caso di richiesta di divulgazione dei dati
  • Registrazione di tutte le divulgazioni di dati personali
  • Divulgazione delle informazioni su tutti i subappaltatori utilizzati per l’elaborazione dei dati personali
  • Notifica al cliente in caso di violazione dei dati
  • Gestione dei documenti per le politiche e le procedure cloud
  • Politica per la restituzione, il trasferimento e l’eliminazione dei dati personali
  • Accordi di riservatezza per soggetti che possono accedere ai dati personali
  • Limitazione della stampa dei dati personali
  • Procedura per il ripristino dei dati
  • Autorizzazione a portare i supporti fisici fuori sede
  • Limitazione dell’utilizzo di supporti che non dispongono di funzionalità di crittografia
  • Crittografia dei dati che vengono trasmessi su reti pubbliche
  • Distruzione di supporti stampati con dati personali
  • Utilizzo di ID univoci per i clienti cloud
  • Record di accesso degli utenti al cloud
  • Disabilitazione dell’utilizzo degli ID utente scaduti
  • Specifica dei controlli minimi di sicurezza nei contratti con clienti e subappaltatori
  • Cancellazione dei dati in archivio assegnati ad altri clienti
  • Divulgazione al cliente cloud in quali Paesi verranno archiviati i dati
  • Garantire che i dati raggiungano la destinazione

Consulenza ISO/IEC 27018: la struttura dello standard

La norma ISO/IEC 27018:2019 è composta da diciotto sezioni, più un lungo allegato, che riguardano:

1. Ambito di applicazione
2. Riferimenti normativi
3. Termini e definizioni
4. Panoramica
5. Politiche di sicurezza delle informazioni
6. Organizzazione della sicurezza delle informazioni
7. Sicurezza delle risorse umane
8. Gestione patrimoniale
9. Controllo degli accessi
10. Crittografia
11. Sicurezza fisica e ambientale
12. Sicurezza delle operazioni
13. Sicurezza delle comunicazioni
14. Acquisizione, sviluppo e manutenzione del sistema
15. Rapporti con i fornitori
16. Gestione degli incidenti di sicurezza delle informazioni
17. Aspetti di sicurezza delle informazioni nella gestione della continuità operativa
18. Conformità

Si parla di estensione alla ISO 27018 in quanto la Norma ISO 27018 non è una norma certificabile, ma è una estensione della Norma ISO 27001. Chi volesse certificarsi secondo la ISO 27018 dovrà richiedere la certificazione ISO 27001 con estensione alla ISO 27018.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Sistema di Gestione per la Qualità ISO 9001
  • Sistema di Gestione Ambientale ISO 14001
  • Sistema di Gestione per la Sicurezza delle Informazioni ISO 27001
  • Sistema di Gestione per la Salute e Sicurezza nei luoghi di Lavoro ISO 45001
  • Sistema di Gestione per la Continuità Operativa ISO 22301
  • Sistema di Gestione per la Sicurezza dei Dati Personali ISO 27701
  • Sistema di Gestione Anticorruzione ISO 37001
  • Sistema di Gestione dei Servizi IT ISO 20000
  • Sistema di Gestione per la Parità di Genere UNi PdR/125
  • Sistema di Gestione per la Sicurezza Stradale ISO 39001
  • Consulenza per la Responsabilità Sociale SA8000
  • Consulenza per la Sicurezza Alimentare ISO 22000
 
© 2020 - 2025 | All rights reserved | Privacy Policy | Cookies Policy

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli