Сертифікація ISO 27018
ISO/IEC 27018 — міжнародний стандарт, що встановлює узгоджений на міжнародному рівні набір контролів захисту персональних даних у публічних хмарах. Стандарт додає двадцять чотири унікальні для постачальників хмарних послуг контролі, які охоплюють захист PII на всіх етапах життєвого циклу — від збору до знищення, прозорий розподіл відповідальності між провайдером, його субпідрядниками та клієнтом, технічні заходи (шифрування, контроль доступу, журналювання), процедури реагування на витоки даних та права суб'єктів даних. Стандарт базується на 11 принципах приватності з ISO/IEC 29100 — тих самих, що лежать в основі GDPR.
Imperium Certific — акредитований НААУ орган з сертифікації. Ми проводимо сертифікаційні аудити відповідно до вимог ДСТУ ISO/IEC 27018:2019 (ISO/IEC 27018:2019, IDT) як розширення scope сертифікації за ISO/IEC 27001.
Важливо розуміти: ISO/IEC 27018, як і ISO/IEC 27017, за своєю природою є кодексом усталеної практики (code of practice), а не requirements-стандартом. Самостійної сертифікації за ISO 27018 не існує — сертифікація досягається через розширення scope аудиту ISO/IEC 27001 із включенням двадцяти чотирьох контролів захисту PII до Statement of Applicability. Така практика є галузевим стандартом — за цією моделлю сертифіковані Microsoft Azure, AWS, Google Cloud, Oracle та інші провідні хмарні провайдери світу.
Акредитація НААУ
Imperium Certific — орган з сертифікації, акредитований Національним агентством з акредитації України (НААУ) відповідно до вимог ДСТУ EN ISO/IEC 17021-1. Сертифікати, видані акредитованим органом, визнаються у рамках багатосторонніх угод IAF MLA та EA MLA, що забезпечує їхнє міжнародне визнання без додаткових процедур підтвердження.
Кому підходить сертифікація ISO 27018
Стандарт ISO/IEC 27018 створений для постачальників публічних хмарних послуг, які діють як процесори персональних даних — обробляють дані не для себе, а за дорученням і за інструкціями своїх клієнтів-замовників. Сертифікація особливо актуальна для:
Постачальники SaaS, PaaS та IaaS
— компанії, у хмарних сервісах яких клієнти зберігають дані своїх співробітників, покупців, пацієнтів або користувачів
Дата-центри та хостинг-провайдери
— колокація, dedicated-сервери, віртуальні дата-центри, що обробляють клієнтські PII
Розробники хмарних бізнес-платформ
— CRM, ERP, HRM, медичні, освітні, фінансові SaaS-рішення, що працюють з персональними даними
IT-аутсорсинг та MSP-послуги
— керовані сервіси, аутсорсинг IT-інфраструктури, обробка даних, контакт-центри
Субпідрядники хмарних провайдерів
— компанії, що виконують роль обробників PII у ланцюгу хмарних послуг для іншого CSP
Контролери PII, що використовують хмарні послуги
— організації, що визначають цілі обробки даних і потребують підтвердити належну обачність у виборі хмарного процесора
Будь-яка організація
— від стартапу до державного підприємства, що працює з персональними даними у публічних хмарах і має довести регуляторам, аудиторам та клієнтам належний рівень захисту PII
Переваги сертифікації ISO 27018
Сертифікація ISO 27018 відповідає на головне питання сучасного цифрового бізнесу: як хмарному провайдеру довести клієнту, регулятору й аудитору, що персональні дані під його контролем дійсно захищені.
-
Доступ до великих замовлень і тендерів — корпоративні клієнти, банки, страхові, медичні установи та міжнародні компанії дедалі частіше включають вимогу відповідності ISO/IEC 27018 у тендерну документацію. Без сертифіката провайдер ризикує не потрапити до короткого списку — особливо у державних та європейських тендерах
-
Готовність до GDPR та Закону України «Про захист персональних даних» — стандарт системно покриває технічні та організаційні заходи, яких вимагає стаття 32 GDPR. Сертифікат значно спрощує доказ належної обачності перед європейськими та українськими регуляторами та знижує ризик штрафів, які за GDPR можуть сягати 20 мільйонів євро або 4% світового обороту
-
Конкурентна перевага на міжнародному ринку — за цим стандартом сертифіковані Microsoft Azure, AWS, Google Cloud, Oracle. Маючи такий самий сертифікат, українська компанія говорить із замовниками й партнерами однією мовою, що особливо важливо в умовах євроінтеграції та виходу на закордонні ринки
-
Готовий каркас для договорів обробки даних (DPA) — Annex A стандарту фактично є переліком умов, які повинні бути у договорі обробки даних: повідомлення про витоки, повернення або знищення PII, географічне розташування серверів, заборона комерційного використання даних клієнтів, контроль субпідрядників. Це економить юристам тижні роботи та закриває типові «дірки» у контрактах
-
Прозорий розподіл відповідальності з клієнтом — стандарт чітко регламентує, що зобов'язаний робити провайдер, а що залишається на клієнтові — у моделях IaaS, PaaS і SaaS. Це знімає десятки потенційних суперечок ще на етапі укладення договору й рятує під час інцидентів
-
Зміцнення довіри клієнтів і спрощення зовнішніх аудитів — сертифікат є публічним доказом того, що провайдер не використовує дані клієнтів у власних маркетингових цілях, контролює субпідрядників, веде журнал розкриттів інформації та готовий швидко повідомити про будь-який інцидент. Замість десятків окремих клієнтських аудитів інфраструктури (що технічно складно у мультитенантному середовищі) провайдер надає один незалежний сертифікат
Замовити сертифікацію
Процес сертифікації ISO 27018
ISO/IEC 27018 сертифікація проводиться як add-on assessment у рамках сертифікаційного аудиту ISO/IEC 27001 і відповідає вимогам ISO/IEC 17021-1 та акредитації НААУ.
Етап 1 — Заявка та визначення scope — Організація подає заявку на сертифікацію ISO 27001 з розширенням scope за ISO 27018. Ми аналізуємо архітектуру хмарних послуг, обсяг та категорії оброблюваних PII, ролі контролера та процесора, географію обробки даних, перелік субпідрядників та модель надання послуг для визначення трудомісткості аудиту.
Етап 2 — Аудит першого етапу (документальний) — Перевірка готовності СУІБ та контролів захисту PII: політика захисту персональних даних у хмарі, реєстр PII та категорій суб'єктів даних, Statement of Applicability з включеними контролями ISO 27018, договори обробки даних (DPA), процедури повідомлення про витоки, процедури реалізації прав суб'єктів даних.
Етап 3 — Аудит другого етапу (на місці) — Команда аудиторів перевіряє практичне функціонування контролів 27018: шифрування PII при зберіганні та передачі, контроль доступу до даних клієнтів, журналювання операцій з PII, безпечне видалення тимчасових файлів і попередньо використаного дискового простору, унікальні ID користувачів, керування субпідрядниками, повернення/знищення PII після завершення договору.
Етап 4 — Рішення про сертифікацію — За результатами аудиту формується звіт. Рішення про видачу сертифіката приймається незалежно від аудиторської групи, що забезпечує неупередженість оцінки.
Етап 5 — Видача сертифіката — Видається сертифікат ISO/IEC 27001 із прямим зазначенням у scope-стейтменті, що СУІБ включає контролі ISO/IEC 27018:2019. Сертифікат видається строком на 3 роки. Інформація про сертифікацію вноситься до реєстру Imperium Certific.
Етап 6 — Наглядові аудити — Щорічні наглядові аудити підтверджують безперервне функціонування контролів 27018 у складі СУІБ. Ресертифікаційний аудит проводиться до закінчення строку дії сертифіката.
Вартість сертифікації ISO 27018
Вартість сертифікації за ISO 27018 додається до базової вартості сертифікації ISO 27001 і визначається індивідуально на основі попереднього аналізу.
Фактори, що впливають на вартість:
Розрахувати вартість →
Прорахуємо вартість
Заповніть короткий опитувальник — підготуємо пропозицію під ваш бізнес
Документи для сертифікації ISO 27018
Окрім стандартного пакета документів для ISO 27001, організація має додатково підготувати:
- — 1. Політика захисту персональних даних у хмарних послугах
- — 2. Реєстр PII та категорій суб'єктів даних
- — 3. Statement of Applicability з включеними контролями ISO/IEC 27018
- — 4. Договори обробки даних (DPA) з клієнтами хмарних послуг
- — 5. Перелік субпідрядників, що мають доступ до PII, та угоди з ними
- — 6. Процедура повідомлення клієнтів та регуляторів про витоки PII
- — 7. Реєстр розкриттів PII (вимоги правоохоронних органів, судові запити)
- — 8. Процедури реалізації прав суб'єктів даних (доступ, виправлення, видалення)
- — 9. Процедура повернення або знищення PII після завершення співпраці
- — 10. Документ щодо географії обробки PII (location of PII processing)
- — 11. Політика шифрування PII при зберіганні та передачі
- — 12. Процедура безпечного видалення тимчасових файлів та звільненого дискового простору
Отримати заявку на сертифікацію ISO 27018 →
Надіслати заявкуFAQ
Ні. ISO/IEC 27018 є кодексом усталеної практики (code of practice), а не сертифікаційним стандартом. Сертифікація досягається через розширення scope сертифікації ISO 27001 з додаванням двадцяти чотирьох унікальних для CSP контролів захисту PII до Statement of Applicability. У scope-стейтменті сертифіката вказується посилання на ISO/IEC 27018:2019.
ISO/IEC 27018 базується на 11 принципах приватності з ISO/IEC 29100 — тих самих, що лежать в основі GDPR. Стандарт системно покриває технічні та організаційні заходи, яких вимагає стаття 32 GDPR. Сертифікат значно спрощує доказ належної обачності перед європейськими та українськими регуляторами та знижує ризик штрафів, які за GDPR можуть сягати 20 мільйонів євро або 4% світового обороту. Хоча сертифікація ISO 27018 не замінює формальну відповідність GDPR, вона є найсильнішим міжнародно визнаним доказом зрілості системи захисту персональних даних у хмарі.
ISO/IEC 27017 встановлює загальні контролі інформаційної безпеки для хмарних послуг і адресований як провайдерам, так і споживачам хмарних послуг. ISO/IEC 27018 спеціалізується саме на захисті персональних даних (PII), які обробляються у публічних хмарах, і адресований передусім провайдерам, що діють як процесори PII. Обидва стандарти доповнюють ISO/IEC 27001 та часто сертифікуються разом як єдина екосистема хмарних контролів.
Або напишіть нам прямо зараз
Зателефонуємо протягом робочого дня