ISO / IEC 27018 2014 Requisitos para la protección de la información de identificación personal
Análisis de la Norma ISO / IEC 27018 2014 Requisitos para la protección de la información de identificación personal (PII) en sistemas cloud
La norma ISO / IEC 27018: 2014 que se publicó el pasado mes de Agosto y establece criterios sobre controles y directrices en relación a medidas de protección de información de identificación personal (PII), de conformidad con los principios de privacidad en la norma ISO / IEC 29100 para entornos que de trabajo con sistemas de almacenamiento público en la nube.
La Norma ISO 27018 establece requisitos destinados a garantizar que los proveedores de servicios en la nube puedan ofrecer controles adecuados de seguridad de información.
Las directrices especificadas en La norma ISO / IEC 27018: 2014 están inspiradas en la norma ISO / IEC 27002, por lo que son aplicables a los proveedores de servicios públicos en la nube ya tienen en cuenta los requisitos normativos para la protección de información de identificación personal en el contexto del entorno de riesgos de seguridad de la información.
El nuevo estándar ISO 27018 norma proporciona orientación destinada a garantizar que los proveedores de servicios en la nube puedan ofrecer controles adecuados de seguridad de información con el objetivo de proteger la privacidad de los clientes, o lo que es lo mismo, la seguridad de la información de identificación personal (PII) que se les confía.
El proyecto contó con un amplio apoyo de organismos nacionales de normalización, además de la Cloud Security Alliance.
Ámbito de aplicación y objetivo
La norma pretende ser «una referencia para la selección de los controles de protección información de carácter personal en el proceso de implementación de un sistema de gestión de seguridad de información basado en la norma ISO / IEC 27001 para un sistema cloud, o como un documento de orientación para las organizaciones para la implementación de los controles de protección de PII comúnmente aceptados»
Aportaciones de la nueva norma
El estándar ISO 27018 se alinea de modo muy directo con el modelo europeo de protección de datos personales y ofrece confianza al mercado para los proveedores que lo implanten.
En esta norma podemos apreciar con claridad la identidad de objetivos de los controles del estándar ISO con las normativas vigentes y con los objetivos que incorpora la Propuesta de Reglamento General de Protección de Datos actualmente en tramitación.
Por otra parte, en el desarrollo del estándar ISO 27018 se incluye no sólo una revisión de buenas prácticas en materia de tratamiento de información en Cloud a nivel internacional sino que adicionalmente se recogieron los contenidos del «Dictamen sobre Cloud Computing» publicado por el Grupo de Trabajo del artículo 29 de la Directiva.
Por qué implantar ISO 27018
En este sentido, el estándar ISO 27018 se convertirá en un referente directo que distinguirá a los proveedores y en el caso español puede poseer una relevancia adicional en la medida en la que incorpora al acervo de la Unión Europea su proyección en el mercado americano.
El estándar ISO 27018 será sin duda un instrumento útil que puede contribuir a proporcionar confianza al mercado respecto de la capacidad de cumplimiento normativo de los proveedores de servicios en entornos de almacenamiento en la nube.
En el futuro se espera un alineamiento cada vez mayor de las normas ISO con el Ordenamiento de la UE y la definición de un procedimiento de certificación específica de su aplicación efectiva por las organizaciones, sin perjuicio de las auditorías que realicen terceros independiente de acuerdo con otros estándares.
Las administraciones que velan por la protección de datos personales, además de recibir con buenas perspectivas este nuevo estándar, tenderán cada vez más a impulsar a los responsables de las organizaciones para que contraten Cloud a proveedores que cumplen con este estándar.