Certificare ISO 27018

Standardul internațional ISO/IEC 27018:2019 — Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

ISO/IEC 27018 este un standard internațional care stabilește un set de controale agreate internațional pentru protecția datelor cu caracter personal în cloud-uri publice. Standardul adaugă douăzeci și patru de controale unice pentru furnizorii de servicii cloud, care acoperă protecția PII pe întreg ciclul de viață — de la colectare până la distrugere, distribuirea transparentă a responsabilităților între furnizor, subcontractanții săi și client, măsurile tehnice (criptare, control acces, logging), procedurile de răspuns la încălcări de date și drepturile persoanelor vizate. Standardul se bazează pe cele 11 principii de confidențialitate din ISO/IEC 29100 — aceleași principii care stau la baza GDPR.

Imperium Certific este un organism de certificare acreditat NAAU. Efectuăm audituri de certificare conform cerințelor DSTU ISO/IEC 27018:2019 (ISO/IEC 27018:2019, IDT) ca extindere a scope-ului certificării ISO/IEC 27001.

Important de înțeles: ISO/IEC 27018, asemenea ISO/IEC 27017, este prin natura sa un cod de bune practici (code of practice), nu un standard de cerințe (requirements). Nu există o certificare independentă pentru ISO 27018 — certificarea se obține prin extinderea scope-ului auditului ISO/IEC 27001 cu includerea celor douăzeci și patru de controale de protecție a PII în Statement of Applicability. Această practică este standardul industriei — conform acestui model sunt certificate Microsoft Azure, AWS, Google Cloud, Oracle și alți furnizori cloud de top din lume.

§

Cui se adresează certificarea ISO 27018

Standardul ISO/IEC 27018 a fost creat pentru furnizorii de servicii cloud publice care acționează ca procesatori de date cu caracter personal — cei care procesează datele nu pentru ei înșiși, ci în numele și conform instrucțiunilor clienților lor. Certificarea este în mod special relevantă pentru:

Furnizori SaaS, PaaS și IaaS

— companii ale căror servicii cloud stochează datele angajaților, cumpărătorilor, pacienților sau utilizatorilor clienților lor

Centre de date și furnizori de hosting

— colocare, servere dedicate, centre de date virtuale care procesează PII ale clienților

Dezvoltatori de platforme business cloud

— soluții SaaS de CRM, ERP, HRM, medicale, educaționale, financiare care lucrează cu date cu caracter personal

Servicii de outsourcing IT și MSP

— servicii gestionate, outsourcing infrastructură IT, procesare date, centre de contact

Subcontractanți ai furnizorilor cloud

— companii care îndeplinesc rolul de procesatori PII în lanțul serviciilor cloud pentru un alt CSP

Controlori PII care utilizează servicii cloud

— organizații care determină scopurile procesării datelor și trebuie să confirme diligența necesară în alegerea procesatorului cloud

Orice organizație

— de la startup la întreprindere de stat, care lucrează cu date cu caracter personal în cloud-uri publice și trebuie să demonstreze autorităților de reglementare, auditorilor și clienților un nivel adecvat de protecție a PII

Beneficiile certificării ISO 27018

Certificarea ISO 27018 răspunde la întrebarea principală a afacerii digitale moderne: cum poate un furnizor cloud să demonstreze clientului, autorității de reglementare și auditorului că datele cu caracter personal aflate sub controlul său sunt cu adevărat protejate.

  • Acces la contracte și licitații mari — clienții corporativi, băncile, asigurătorii, instituțiile medicale și companiile internaționale includ tot mai des cerința de conformitate ISO/IEC 27018 în documentația de licitație. Fără certificat, furnizorul riscă să nu intre pe lista scurtă — în special în licitațiile de stat și europene

  • Pregătire pentru GDPR și legislația ucraineană privind protecția datelor personale — standardul acoperă sistematic măsurile tehnice și organizatorice cerute de articolul 32 GDPR. Certificatul simplifică semnificativ dovada diligenței necesare în fața autorităților de reglementare europene și ucrainene și reduce riscul amenzilor, care conform GDPR pot atinge 20 milioane euro sau 4% din cifra de afaceri mondială

  • Avantaj competitiv pe piața internațională — conform acestui standard sunt certificate Microsoft Azure, AWS, Google Cloud, Oracle. Având același certificat, compania ucraineană vorbește aceeași limbă cu clienții și partenerii — deosebit de important în contextul integrării europene și al intrării pe piețele externe

  • Cadru gata pentru acordurile de procesare a datelor (DPA) — Annex A al standardului este de fapt o listă de condiții care trebuie să se regăsească în acordul de procesare a datelor: notificări de încălcare, returnarea sau distrugerea PII, locația geografică a serverelor, interdicția utilizării comerciale a datelor clienților, controlul subcontractanților. Aceasta economisește săptămâni de muncă pentru juriști și închide breșele tipice din contracte

  • Distribuirea transparentă a responsabilităților cu clientul — standardul reglementează clar ce este obligat să facă furnizorul și ce rămâne în sarcina clientului — în modelele IaaS, PaaS și SaaS. Acest lucru elimină zeci de potențiale dispute încă din etapa contractuală și salvează situația în timpul incidentelor

  • 6 Consolidarea încrederii clienților și simplificarea auditurilor externe — certificatul este dovada publică a faptului că furnizorul nu utilizează datele clienților în propriile scopuri de marketing, controlează subcontractanții, ține un jurnal al dezvăluirilor de informații și este gata să notifice rapid orice incident. În locul a zeci de audituri separate ale infrastructurii efectuate de clienți (dificil din punct de vedere tehnic într-un mediu multi-tenant), furnizorul prezintă un singur certificat independent

Solicită certificarea

Procesul de certificare ISO 27018

Certificarea ISO/IEC 27018 se efectuează ca add-on assessment în cadrul auditului de certificare ISO/IEC 27001 și respectă cerințele ISO/IEC 17021-1 și ale acreditării NAAU.

Etapa 1 — Cerere și definirea scope-ului — Organizația depune cererea de certificare ISO 27001 cu extinderea scope-ului conform ISO 27018. Analizăm arhitectura serviciilor cloud, volumul și categoriile de PII procesate, rolurile de controlor și procesator, geografia procesării datelor, lista subcontractanților și modelul de furnizare a serviciilor pentru a determina complexitatea auditului.

Etapa 2 — Auditul de etapa 1 (revizuirea documentației) — Verificarea pregătirii SMSI și a controalelor de protecție a PII: politica de protecție a datelor personale în cloud, registrul PII și categoriilor de persoane vizate, Statement of Applicability cu controalele ISO 27018 incluse, acordurile de procesare a datelor (DPA), procedurile de notificare a încălcărilor, procedurile de implementare a drepturilor persoanelor vizate.

Etapa 3 — Auditul de etapa 2 (la fața locului) — Echipa de auditori verifică funcționarea practică a controalelor 27018: criptarea PII la repaus și în tranzit, controlul accesului la datele clienților, înregistrarea operațiunilor cu PII, ștergerea sigură a fișierelor temporare și a spațiului de disc utilizat anterior, ID-uri de utilizator unice, gestionarea subcontractanților, returnarea/distrugerea PII după încetarea contractului.

Etapa 4 — Decizia de certificare — Pe baza rezultatelor auditului se întocmește un raport. Decizia de eliberare a certificatului se ia independent de echipa de audit, asigurând imparțialitatea.

Etapa 5 — Eliberarea certificatului — Se emite certificatul ISO/IEC 27001 cu indicația explicită în declarația de scope că SMSI include controalele ISO/IEC 27018:2019. Certificatul este valabil 3 ani. Informațiile de certificare sunt înregistrate în registru.

Etapa 6 — Audituri de supraveghere — Auditurile anuale de supraveghere confirmă funcționarea continuă a controalelor 27018 în cadrul SMSI. Auditul de recertificare se efectuează înainte de expirarea certificatului.

Costul certificării ISO 27018

Costul certificării ISO 27018 se adaugă la costul de bază al certificării ISO 27001 și se determină individual, pe baza unei analize preliminare.

Factori care influențează costul:

Volumul și categoriile de PII procesate în scope (generale, categorii speciale, date ale copiilor)
Modelul serviciilor cloud (SaaS / PaaS / IaaS / combinații)
Numărul și geografia centrelor de date și a locațiilor de procesare PII
Numărul de tenanți și modelul de multi-tenancy
Lista subcontractanților cu acces la PII
Existența unui certificat ISO 27001 și/sau ISO 27017 valid
Transferul transfrontalier de PII și jurisdicțiile clienților

Calculează costul →

Calculează costul

Completează un chestionar scurt — vom pregăti o ofertă pentru afacerea ta

Documente pentru certificarea ISO 27018

Pe lângă pachetul standard de documente pentru ISO 27001, organizația trebuie să pregătească suplimentar:

  • 1. Politica de protecție a datelor cu caracter personal în serviciile cloud
  • 2. Registrul PII și al categoriilor de persoane vizate
  • 3. Statement of Applicability cu controalele ISO/IEC 27018 incluse
  • 4. Acorduri de procesare a datelor (DPA) cu clienții serviciilor cloud
  • 5. Lista subcontractanților cu acces la PII și acordurile cu aceștia
  • 6. Procedura de notificare a clienților și a autorităților de reglementare privind încălcările PII
  • 7. Registrul dezvăluirilor de PII (cereri ale autorităților de aplicare a legii, ordine judecătorești)
  • 8. Procedurile de implementare a drepturilor persoanelor vizate (acces, rectificare, ștergere)
  • 9. Procedura de returnare sau distrugere a PII după încetarea colaborării
  • 10. Documentul privind geografia procesării PII (location of PII processing)
  • 11. Politica de criptare PII la repaus și în tranzit
  • 12. Procedura de ștergere sigură a fișierelor temporare și a spațiului de disc eliberat

Obține cererea de certificare ISO 27018 →

Надіслати заявку

FAQ

Mai aveți întrebări?

Obține informații

+38 (050) 172-00-35 office@imcert.ua

Sau scrie-ne chiar acum

Vom reveni cu un apel în timpul zilei de lucru

?