ISO 27018 es el código de prácticas para la protección de la información de identificación personal (PII) en nubes públicas. Exploraremos lo que significa tanto para los proveedores como para los clientes.
ISO/IEC 27018 es el estándar internacional para proteger la información personal en el almacenamiento en la nube. El plazo para los datos personales que cubre es Información de identificación personal o PII. ISO 27018 es un código de prácticas para proveedores de servicios de nube pública.
ISO 27018 hace dos cosas:
Estos controles adicionales no están cubiertos en la norma ISO 27002.
ISO 27018 brinda una guía genérica acordada sobre categorías de seguridad de la información. El estándar está dirigido a proveedores de servicios de nube pública que actúan como procesadores de PII.
Sus objetivos clave son:
Según el Informe de violaciones de datos de 2020 de IBM Security, el 80% de todas las violaciones de datos involucran PII. La protección de la PII abarca una serie de medidas, algunas de las cuales ya conocerá. Éstas incluyen:
La Oficina del Comisionado de Información (ICO) del Reino Unido brinda orientación completa sobre lo que se considera PII. Puedes leerlo esta página.
Un procesador de PII es cualquier proveedor de servicios de nube pública que procesa datos personales. para sus clientes. Recuerde que el cliente original puede ser el responsable del tratamiento de la PII, lo que crea obligaciones legales independientes para él. ISO/IEC 27018 no cubre ninguno de estos requisitos adicionales.
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
No se nos ocurre ninguna empresa cuyo servicio pueda compararse con ISMS.online.
¿Puedes identificar quién es alguien a partir de los datos que te proporciona? Si puede, esa es información de identificación personal. Por definición, PII es información que podría vincularse para identificar a un individuo. La PII puede incluir:
El procesamiento de PII a través de la nube tiene muchas ventajas. El uso del almacenamiento en la nube para PII reduce los costos operativos en comparación con el almacenamiento de datos en el sitio. También hace que la información sea más accesible cuando estás trabajo remoto. Pero el almacenamiento de datos en la nube puede resultar riesgoso. Debe estar seguro de que un proveedor de nube tiene la mejor controles establecidos para mantener su información segura. Si es un proveedor de nube, deberá mostrarles a sus clientes que cuenta con excelentes controles de seguridad.
ISO 27018 clasifica a los proveedores de servicios en la nube como procesadores cuando procesan datos personales de su organización. Su organización permanece clasificada como la controlador de datos incluso cuando un proveedor de servicios en la nube procesa sus datos por usted. Tanto los procesadores como los controladores de datos tienen responsabilidades legales para la protección de la PII.
La El entorno de gestión de la seguridad de la información está evolucionando rápidamente.. La norma técnica ISO/IEC 27001 no aborda la PII. Por eso, ISO creó un nuevo estándar complementario en 2014, ISO 27018. El nuevo estándar aborda las preocupaciones sobre las empresas que procesan datos personales en proveedores de servicios en la nube. ISO/IEC 27018:2020 es la tercera versión del documento de 2014.
ISO/IEC 27018:2020 es la última versión de ISO 27018. Las diferencias entre ISO 27018:2019 e ISO 27018:2020 son esencialmente técnicas. A todos los efectos prácticos, puede tratar las versiones 2019 y 2020 de ISO 27018 como idénticas.
La versión 2019 de ISO 27018 contenía solo revisiones menores de la versión 2014. La nueva versión de ISO 27018:
Definir ISO 27018 como un documento y no como una norma es técnicamente más preciso, porque la norma acordada para un Sistema de Gestión de Seguridad de la Información (SGSI) es ISO 27001.
ISO ha retirado la norma ISO/IEC 27018:2014.
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
ISO 27018 pertenece a la familia ISO 27000 de estándares de gestión de seguridad de la información. Las normas ISO 27000 proporcionan un marco de seguridad de la información reconocido internacionalmente.
ISO 27001 establece los requisitos técnicos para establecer un SGSI. El cumplimiento de la norma ISO 27001 es el estándar básico para la seguridad de los datos. ISO 27018 agrega orientación sobre la protección de datos de servicios en la nube a ISO 27001.
En lugar de elegir entre ISO 27001 o 27018, piense en implementarlas juntas. ISO 27001 es el mejor marco para crear un SGSI que se centre en la gestión de riesgos. ISO 27018 agrega orientación para lograr una seguridad sólida en la nube.
ISO 27701 cubre la gestión de la información de privacidad, que establece requisitos y orientación para implementar un sistema de gestión de información de privacidad (PIMS). El estándar también brinda orientación para los controladores y procesadores de PII, incluido asesoramiento de implementación dependiendo de:
ISO 27701 se corresponde con ISO 27018 y la legislación GDPR de la UE. Es una extensión de ISO 27001, el estándar básico para la seguridad de los datos.
Si su organización trabaja en la Unión Europea, debe cumplir y por lo tanto debe ser consciente de GDPR (Reglamento general de protección de datos). Es una ley de la UE (y del Reino Unido, post-Brexit) que rige el procesamiento de datos personales. El RGPD no sólo se aplica a los países de la UE. La ley también se aplica a cualquier organización que proporcione bienes o servicios a la UE.
GDPR e ISO 27018 tienen funciones ligeramente diferentes. El RGPD establece normas de protección y privacidad de datos. ISO 27018 le brinda un marco práctico para gestionar la protección de datos y los riesgos de seguridad de la información. La implementación de ISO 27001, junto con 27018, le brinda una base sólida para el cumplimiento del RGPD.
ISO 27018 se vincula con ISO/IEC 29100. ISO 29100 proporciona:
ISO 29100 se vincula con ISO 27018 mediante:
ISO 29100 también establece principios y terminología clave de privacidad.
Reserve una sesión práctica personalizada según sus necesidades y objetivos.
La ciberseguridad es un problema enorme para la confianza empresarial. En el mercado global actual, proteger los datos de los clientes nunca ha sido más crítico. ISO 27018 crea un marco de cumplimiento global sólido.
ISO 27018 es particularmente útil para los clientes de servicios en la nube. Apoya la auditoría para el cumplimiento de las responsabilidades internas. Esto es especialmente útil cuando el procesador de datos es un proveedor de nube externo.
Otros beneficios de ISO 27018 son que:
Esta norma es relevante para muchos tipos de organizaciones. Si eres:
si tu procesar datos PII a través de la computación en la nube, ISO 27018 es para usted.
Si subcontrata la PII a otra empresa, la debida diligencia mostrará si trabaja con ISO/IEC 27018. Cualquier proveedor de servicios que utilice la nube o PII debería considerar la ISO 27018.
Los proveedores de servicios en la nube más conocidos son desarrollando o han desarrollado seguridad medidas para proteger la PII. Los principales actores de la industria que ya cuentan con políticas compatibles con ISO/IEC 27018 incluyen:
Hay tres áreas que debe considerar al pensar en implementar ISO 27018:
Tenga en cuenta que estas áreas también están cubiertas por la norma ISO 27001. ISO 27018 se centra más profundamente en la PII y los servicios de computación en la nube.
Al adoptar ISO 27018, es una buena práctica comenzar por comprender su punto de partida. Es importante aprovechar lo que ya existe. También deberá identificar cualquier brecha que pueda aumentar el riesgo de una filtración de datos en la nube. Un riguroso proceso de autoevaluación logrará estos objetivos.
Una vez que haya establecido su punto de partida, invierta en comunicaciones internas. Informe a sus colegas sobre cualquier cambio planificado e involúcrelos en discusiones sobre por qué son necesarios. Eso te ayudará:
ISO 27018 es un código de prácticas, no una norma. La certificación ISO 27018 generalmente se incluye en el proceso de auditoría ISO 27001, si se incluye como complemento del SGSI.
Para obtener la certificación de una norma ISO, un auditor competente realizará una auditoría. El auditor comprobará si la organización cumple con los criterios ISO o si existen lagunas. Esto se conoce como auditoría de etapa 1.
Después de la auditoría, la organización tendrá tiempo para abordar cualquier brecha en:
Después de unas semanas, el auditor regresará para la auditoría de etapa 2. Esta es una auditoría mucho más larga y profunda que la etapa 1. La auditoría de la etapa 2 garantizará que el SGSI realmente esté funcionando según lo diseñado e implementado.
La concesión de la certificación ISO sigue a esta visita siempre que el SGSI cumpla con todos los criterios. El auditor visitará la organización periódicamente (generalmente anualmente) para confirmar su cumplimiento continuo. Para mantener su estado de certificación ISO, deberá aprobar sus auditorías de mantenimiento anuales.
ISO/IEC 27018 amplía la guía para implementar controles de seguridad en ISO/IEC 27002. Estos controles dividen las responsabilidades de protección de datos en:
Los controles de seguridad ampliados incluyen:
También necesitarás un conjunto adicional de controles de seguridad. Estos se alinean con los principios de privacidad establecidos en el marco de privacidad ISO/IEC 29100. ISO/IEC 27018 permite a los proveedores de la nube demostrar que saben cómo proteger la PII de sus clientes.
Si su organización procesa PII, considere implementar ISO 27018 junto con un SGSI ISO 27001. Si todavía tiene curiosidad acerca de los detalles de lo que se incluye en el informe, aquí está la lista completa de las cláusulas de ISO 27018:
Descarga tu guía gratuita
para optimizar su Infosec
Tenga en cuenta que la siguiente lista es adicional a controles definidos en la norma ISO 27001.
Cláusula 1: Alcance
Cláusula 2: Referencias normativas
Cláusula 3: Términos y definiciones
Cláusula 4: Descripción general
4.1: Estructura de este documento
4.2: Categorías de control
Cláusula 5: Políticas de seguridad de la información
5.1: Dirección de gestión para la seguridad de la información
Cláusula 6: Organización de la seguridad de la información.
6.1: Organización interna
6.2: Dispositivos móviles y teletrabajo
Cláusula 7: Seguridad de los recursos humanos
7.1: Antes del empleo
7.2: Durante el empleo
7.3: Terminación y cambio de empleo
Cláusula 8: Gestión de activos
Cláusula 9: Control de acceso
9.1: Requisitos comerciales de control de acceso
9.2: Gestión de acceso de usuarios
9.3: Responsabilidades del usuario
9.4: Control de acceso al sistema y a las aplicaciones
Cláusula 10: Criptografía
10.1: Controles criptográficos
Cláusula 11: Seguridad física y ambiental
11.1: Áreas seguras
11.2: Equipo
Cláusula 12: Seguridad de las operaciones
12.1: Procedimientos operativos y responsabilidades
12.2: Protección contra malware
12.3: Copia de seguridad
12.4: Registro y monitoreo
12.5: Control del software operativo
12.6: Gestión técnica de la vulnerabilidad
12.7: Consideraciones de auditoría de sistemas de información
Cláusula 13: Seguridad de las comunicaciones
13.1: Gestión de la seguridad de la red
13.2: Transferencia de información
Cláusula 14: Adquisición, desarrollo y mantenimiento del sistema
Cláusula 15: Relaciones con proveedores
Cláusula 16: Gestión de incidentes de seguridad de la información
16.1: Gestión de incidentes y mejoras de seguridad de la información
Cláusula 17: Aspectos de seguridad de la información de la gestión de la continuidad del negocio
Cláusula 18: Cumplimiento
18.1: Cumplimiento de requisitos legales y contractuales
18.2: Revisiones de seguridad de la información
Tenga en cuenta que la siguiente lista es adicional a los controles definidos en ISO 27001. Anexo A Conjunto de controles ampliados del procesador de PII de nube pública para protección de PII.
1. General
2: Consentimiento y elección
3: Legitimación y especificación del propósito
4: Limitación de colección
5: Minimización de datos
6: Limitación de uso, retención y divulgación
7: Precisión y calidad
8: Apertura, transparencia y notificación
9: Participación y acceso individual
10: Responsabilidad
11: Seguridad de la información
12: Cumplimiento de la privacidad
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez