Programmering

ISO 27018-overholdelse: Her er hvad du har brug for at vide

Du forhandler en kontrakt om skytjenester. For at opnå aftalen læner cloududbyderens repræsentant hen over bordet, retter sit blik og fortæller dig, "Forresten er tjenesten certificeret i overensstemmelse med ISO 27018."

ISO 270-hvad? Skal du underskrive eller træde tilbage? IT-ledere vil i stigende grad blive stillet over for netop et sådant valg takket være fremkomsten af ​​ISO 27018-standarden til beskyttelse af personligt identificerbare oplysninger (PII) i skyen, som blev vedtaget af International Standards Organization (ISO) i juli 2014.

Med databrud, tab af PII og identitetstyveri fortsætter uden forsinkelse, er eventuelle foranstaltninger til at dæmme op for tidevandet af stor interesse for it-samfundet. Alligevel er det kun Microsoft og Dropbox, der hidtil har annonceret ISO 27018-kompatible skytjenester. Microsoft certificerede sin Azure-skytjeneste, Dynamics CRM- og ERP-skybaserede applikationer og Office 365-skybaserede forretningsproduktivitetsapplikationer i februar 2015. Dropbox meddelte i april 2015, at Dropbox for Business var blevet certificeret. I betragtning af skyudbydernes univers og deres tjenester er det en lille begyndelse, men de fleste observatører mener, at det bare er et spørgsmål om tid, indtil de fleste, hvis ikke alle skyudbydere, meddeler overholdelse af standarden.

Se også: Gartner: Lang hård klatring til højt niveau af cloud computing-sikkerhed

Fordelene ved ISO 27018 lover at være dybe. Disse inkluderer:

  • Større kundetillid til skytjenester
  • Hurtigere aktivering af globale operationer
  • Strømlinjeformede kontrakter
  • Juridisk beskyttelse for cloud-udbydere og brugere

Her er hvorfor:

Større kundetillid til skytjenester. Overholdelse af ISO 27018 betyder, at en cloududbyder har foretaget en liste over procedurer (se sidebjælke) til håndtering af PII. Da overholdelse kræver årlig certificering, bør strengheden i denne proces - og det resulterende certifikat - give kunderne nyfundne tillid til deres udbydere.

"Det viser, at din cloududbyder har et bestemt niveau af modenhedshåndtering PII," siger Christie Grabyan, førende inden for sikkerhedssikkerhed i virksomheden hos BishopFox, en datasikkerhedsrådgivning.

En advokat hævder, at betydningen af ​​indsatsen går langt ud over certifikatet. "Motivationen er ikke bare at have et stykke papir på væggen. Du forsøger ikke at skrue op for nogens data - bundlinjen - det handler om forretning og kunder og tillid," siger Colin Zick, partner i loven. firma Foley Hoag i Boston.

ISO 27018 dos og don'ts

Dos:

  • Find ud af, om overholdelse af ISO27018 er vigtig for din virksomhed og dens kunder.
  • Find ud af, om fordelene opvejer omkostningerne ved overholdelse.
  • Definer PII for dig og din virksomhed og dens kunder.
  • Find ud af om din cloududbyder overholder - eller kræv tilsvarende beskyttelse.
  • Anmod om, at din skyudbyder overholder. Fordi nogle udbydere muligvis kun overholder overholdelse, hvis de skubbes af kunder, er din stemme vigtig.

Don'ts:

  • Glem ikke, at du forbliver ansvarlig for sikkerheden for PII, som du identificerer.
  • Dump ikke din skyudbyder med det samme, bare fordi den endnu har et overensstemmelsescertifikat. En cloududbyder kan opfylde de fleste eller alle bestemmelserne i ISO 27018 i din aftale med dem og er endnu ikke blevet formelt revideret. Bliv informeret og forstå fuldt ud, hvad din udbyder laver.

For deres del håber skyudbydere, at beskeden kommer igennem til kunderne. "Vores kunder skal være i stand til at stole på os. Det virker ikke for dem at revidere os individuelt, så det er vigtigt for os at have en uafhængig certificering," siger Patrick Heim, leder af tillid og sikkerhed i Dropbox.

Uanset om en cloududbyder opnår formel certificering eller ej, kan nøgleelementer i standarden medtages i kontrakter. "Du kan stadig forhandle privat om alle bestemmelserne i ISO 27018," siger Richard Kemp, advokat og grundlægger af det britiske advokatfirma KempITLaw. Da disse bestemmelser bliver bredere vedtaget, bør almindelig praksis til beskyttelse af PII i cloudkontrakter forbedres. Det skulle gøre kunderne mere komfortable over hele linjen.

Hurtigere aktivering af globale operationer. Da ISO 27018 indeholder fælles retningslinjer på tværs af forskellige lande, vil det være lettere for cloud-udbydere at drive forretning globalt - og for cloud-kunder at underskrive kontrakter med dem om tjenester i mange hjørner af kloden. Da ISO 27018-standarden i vid udstrækning var baseret på kravene fra Det Europæiske Fællesskab, burde virksomhederne gå meget glattere der til at begynde med.

"Europæiske lovgivningsmæssige folk siger, at de er meget begejstrede for, at standarden kommer på nettet," siger Neal Suggs, vicepræsident og associeret generalråd for Microsoft Corp. Men fordelene bør gå meget længere. "Der er over 100 lande, der har love, der beskytter data og privatlivets fred," siger Deborah Hurley, grundlægger af konsulentfirma Hurley og stipendiat ved Institute for Quantitative Social Science ved Harvard University. "Det er ikke kun en europæisk ting. Enhver virksomhed skal betragte sig selv som global. Dette er langt for at imødekomme kravene i lande rundt omkring i verden," tilføjer hun.

Fra skyudbyderens perspektiv vil det skære ned på den tekniske indsats, der er nødvendig for at tilpasse skytjenester til bestemte privatlivslovgivning. "En standard giver ingeniører mulighed for at bygge en gang og arbejde for mange. Det er svært at tilpasse sig lokale love, siger Suggs. Tilføjer Heim fra Dropbox," Halvfjerds procent af vores kunder er globale. "

Strømlinjeformede kontrakter

Cloud-kunder beder ofte udbydere om at udfylde et spørgeskema om deres praksis i håndtering af PII. Det er tidskrævende at udfylde dem. Ved at opnå certificering kan skyudbydere præsentere certifikatet som et svar på de fleste, hvis ikke alle disse spørgsmål, ved at skære ned papirarbejde og forkorte forhandlingsprocessen.

"Virksomhedssikkerhed bremser mange tilbud. Der er meget friktion," siger Dan Greenberg, rektor, Integrated Strategies & Tactics, LLC, der forhandler skyaftaler, ofte for små teknologivirksomheder. "I stedet for 32 spørgsmål kan et overensstemmelsescertifikat tage sig af 30 af disse spørgsmål. Det er en big deal." Jeg håber, at standarden reducerer friktionen, "siger han.

En faktor, der undertiden kan hæmme eller standse kontraktprocessen, er cyberforsikring, som forsikringsselskaber skriver for at dække omkostningerne ved datakrænkelser og krænkelser af privatlivets fred. "Cyberforsikring er virkelig dyrt, fordi der ikke er nogen standard, i modsætning til at have en indbrudstyv alarm", siger Greenberg. ”Jeg har været nødt til at gå væk fra tilbud på grund af omkostningerne ved cyberforsikring,” tilføjer han.

Relateret læsning:

- 5 ting, du bør vide om cyberforsikring

- Cyberforsikring: Kun tåber skynder sig

- Cyberforsikring: Det værd, men pas på undtagelserne

- Virksomhedskultur hindrer cyberforsikring buy-in

En direktør i forsikringsselskabet siger, at overholdelse af standarden er en positiv faktor i skykontrakter. "Hvis en udbyder er certificeret under denne standard, foretrækker vi at se det, og vilkår og betingelser afspejler det," siger Eric Cernak, leder inden for cyberpraksis for München Re U. S. Operations. På grund af standardens nyhed vil fritagelse fra høje priser ikke være øjeblikkelig, tilføjer han: "Vi bliver nødt til at have en vis erfaring for at se, om det garanterer en lavere præmie."

Kontraktlig og juridisk beskyttelse. Selv om det er for tidligt til etablering af juridiske præcedenser, skal overholdelse af ISO 27018-standarden give cloududbydere og deres kunder en gunstig position med hensyn til at opfylde betingelserne i en kontrakt med hensyn til informationsbeskyttelse.

ISO 27018 dækker en lang række emner og leverer standarder, der holder op med revisioner, kundehenvendelser og offentlige anmeldelser, bemærker Zick. Overholdelse gør det muligt for en cloudtjenesteudbyder (CSP) at vise, at dens privatlivspolitikker og -praksis er rimelige og i overensstemmelse med gældende standarder.

"Dette giver en sikker havn fra et juridisk synspunkt i tilfælde af overtrædelse," siger Zick.

Begrebet safe harbour betyder, at en cloud-udbyder muligvis ikke vurderes at være uagtsom eller hensynsløs med PII, fordi det har taget besværet med at få certificering. En sky kunde får en lignende fordel. "Hvis du har den standard at falde tilbage på, kan du sige, at det er den dårlige fyrs skyld og ikke bebrejde mig," tilføjer Zick. Og overholdelse skal betale udbytte globalt. "Regulatorer kan lide det, fordi de ser det som en garanti for overholdelse af deres eget lands databeskyttelsesregler," bemærker Zick.

Hvad er det næste?

Hvad holder skyudbydere tilbage med alle disse fordele? Der ser ud til at være to hovedfaktorer: omkostnings- og tidsforpligtelsen til at opnå certificering og manglen på brugeropråb, der kræver overholdelse.

"Vi har ikke haft nogen kunde, der kræver det," siger Frank Balonis, seniordirektør for tekniske tjenester hos Accellion, en CSP, der fokuserer på fildeling, især for mobilbrugere.

Både Microsoft og Dropbox er store cloud-udbydere med dybe lommer og meget at vinde i konkurrencemæssig differentiering fra overholdelse. Mindre CPS'er er i en anden båd. "Mest sandsynligt vil det være en byrde for mindre cloud-udbydere," siger Cernak. Men over tid, siger han, har de muligvis ikke noget valg. "Vil dette være en del af prisen for adgang til at være en cloud-udbyder?"

Balonis siger, at Accellion forventer at vinde en konkurrencemæssig fordel, når den gennemfører sin ISO 27018-revision i begyndelsen af ​​2016. "Det giver et ekstra lag af sikkerhed til hospitaler og advokatfirmaer - de kunder, der lægger en præmie på PII," siger han.

Selvom overholdelse altid vil kræve indsats og omkostninger, bør den årlige certificering, når først certifikatet er tildelt, gå meget lettere og være billigere, er eksperter enige om. De fleste er også enige om, at uden cloud-krav om overholdelse vil mange cloud-udbydere holde sig tilbage.

For cloud-kunder er det første skridt at blive informeret og stille spørgsmål. Zick anbefaler, at kunder gennemgår deres aftaler med cloudtjenesteudbydere for at se, om udbyderne har planer om at overholde ISO 27018. Derefter bør de overveje ændringer til aftalerne for at tilføje ISO 27018-overholdelse. "Der er virkelig værdi i tredjepartsakkreditering, især fordi den fortsætter. Den stopper aldrig," siger Zick. Men han forventer ikke, at standarden ændrer skyindustrien natten over. "Dette er en proces, der vil tage år, hvis ikke et årti, at indføre."

Hvad er der i ISO 27018-standarden

Fordi personligt identificerbare oplysninger (PII) kan bruges til forretningsformål såsom målrettet reklame og dataanalyse, der påvirker en person, er det vigtigt for alle at forstå, hvad disse data er, og hvordan det kan bruges af skyudbydere. Formålet med ISO 27018 er at skabe en sådan forståelse og at give enkeltpersoner mulighed for at give eller tilbagekalde samtykke over brugen af ​​deres PII.

Vedtaget som en standard i juli 2014 er ISO 27018, skønt den er vigtig i sig selv, en del af ISO 27000-familien og en evolutionær tilføjelse til tidligere standarder ISO 27001 og ISO 27002. Det er ikke muligt at opnå ISO 27018-overholdelse uden først at overvinde forhindringerne ved ISO 27001 og ISO 27002 - som mange cloud-udbydere allerede har gjort.

ISO 27000-standardfamilien vedrører privatlivets fred, fortrolighed og tekniske sikkerhedsspørgsmål. Standarderne skitserer hundreder af potentielle kontroller og kontrolmekanismer. Kort:

  • ISO 27001 - Dækker sikkerhed i skyen. En årlig certificering er påkrævet.
  • ISO 27002 - Fortæller, hvordan ISO 27001 skal overholdes.
  • ISO 27018 - Tilføjer personligt identificerbare oplysninger til omfanget af 27001.

ISO 27018 pålægger kompatible cloud-tjenesteudbydere (CSP'er):

  • Bruger ikke kundedata til deres egne uafhængige formål, såsom reklame og markedsføring, uden kundens udtrykkelige samtykke.
  • Vil ikke binde aftalen om at bruge tjenesterne til CSP's brug af personlige data til reklame og markedsføring.

Derudover ISO 27018:

  • Opretter klare og gennemsigtige parametre til returnering, overførsel og sikker bortskaffelse af personlige oplysninger.
  • Kræver CSP'er for at oplyse identiteten på enhver underprocessor, de engagerer sig for at hjælpe med databehandling, før kunder indgår en kontrakt.
  • Hvis CSP skifter underprocessorer, skal CSP straks informere kunderne for at give dem mulighed for at gøre indsigelse mod opsige deres aftale.

ISO 27018 opstod ikke i vakuum. Det ligner andre standarder, såsom HIPAA, der dækker personlig sundhedsinformation (PHI) samt SSAE (Statement for Standards for Attestation Engagements No. 16) og ISAE (International Standards for Attestation Engagement No. 3402), som er revisionsstandarder for sikkerhedskontrol og effektivitet af sikkerhedskontrol, der er oprettet af American Institute of Certified Public Accountants og International Auditing and Assurance Standards Board for International Federation of Accountants.

Kend din PII

Det er 03:00; ved du, hvor dine personligt identificerbare oplysninger (PII) er?

Inden du kan besvare dette spørgsmål, skal du definere, hvad PII er, hvad din virksomhed angår.

Generelt er PII enhver information, der kan spores til et individ. I ISO 27018-standarden beskriver ISO PII som "enhver information, som (a) kan bruges til at identificere den PII-hovedstol, som sådan information vedrører, eller (b) er eller kan være direkte eller indirekte knyttet til en PII-hovedstol."

Oftest er det en persons navn og et andet stykke personoplysninger, såsom en adresse eller et personnummer. Det kan dog også være en fysisk egenskab, såsom en persons stemme, ansigtsbillede eller video af en afslørende bevægelse, såsom en persons gang. Yderligere er sofistikerede algoritmer i stigende grad i stand til at binde stadig mindre informationsbits til et bestemt individ.

Med henblik på kontraktlige forpligtelser er det op til en kunde at sige, hvad PII er.

Som ISO-dokumentet forklarer, "En offentlig cloud-PII-processor er typisk ikke i stand til eksplicit at vide, om oplysninger, den behandler, falder inden for en bestemt kategori, medmindre dette gøres gennemsigtigt af cloud-servicekunden."

Oversættelse: Som cloud-kunde skal du vide, hvad du anser for at være PII, og du skal informere cloud-udbyderen.

Når du har gjort det, skal den certificerede cloududbyder derefter håndtere disse oplysninger i overensstemmelse med ISO 27018 retningslinjer.

Denne historie, "ISO 27018-overholdelse: Her er hvad du behøver at vide" blev oprindeligt udgivet af ITworld.

Har måske også

$config[zx-auto] not found$config[zx-overlay] not found