ISO/IEC 27018

De Wikipedia, la enciclopedia libre

ISO/IEC 27018 es un estándar de seguridad que forma parte de la familia de estándares ISO/IEC 27000 . Fue el primer estándar internacional sobre la privacidad en los servicios de computación en la nube que fue promovido por la industria. Fue creado en 2014 como una adición a ISO/IEC 27001, el primer código internacional de prácticas para la privacidad en la nube. Ayuda a los proveedores de servicios en la nube que procesan (PII) a evaluar el riesgo e implementar controles para proteger la PII.PII incluye cualquier tipo de información que pueda identificar a un usuario específico. Los ejemplos más obvios son los nombres y datos de contacto. Pero también se puede pensar fácilmente en registros médicos, las direcciones IP y los estados bancarios.[1]​ Fue publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) bajo el subcomité conjunto de ISO e IEC, ISO/IEC JTC 1/SC 27 .

Versiones estándar[editar]

Ese estándar tiene dos versiones,la primera publicada en 2014 y la segunda en 2019:

  • ISO/CEI 27018:2014[2]
  • ISO/CEI 27018:2019[3]

Estructura de la norma[editar]

El título oficial de la norma es "Tecnología de la información - Técnicas de seguridad - Código de práctica para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores de PII". ISO/IEC 27018 contiene,además de un anexo extenso, dieciocho secciones que cubren los siguientes temas:

  1. Ámbito de aplicación
  2. Referencias normativas
  3. Términos y definiciones
  4. Visión general
  5. Políticas de seguridad de la información
  6. Organización de la seguridad de la información
  7. Seguridad de los recursos humanos
  8. Gestión de activos
  9. Control de acceso
  10. Criptografía
  11. Seguridad física y medioambiental
  12. Seguridad de las operaciones
  13. Seguridad de las comunicaciones
  14. Adquisición, desarrollo y mantenimiento de sistemas
  15. Relaciones con los proveedores
  16. Gestión de incidentes de seguridad de la información
  17. Aspectos de seguridad de la información en la gestión de la continuidad de la actividad
  18. Cumplimiento

Objetivos[editar]

El objetivo de este documento, cuando es usado conjuntamente con ISO/IEC 27002, es que los proveedores de servicios cloud puedan garantizar a sus clientes actuales y potenciales que sus datos están garantizados y que no serán usados para ningún propósito para el cual no se dé expresamente su consentimiento. Esto se consigue con los siguientes puntos:

  • Ayudar al proveedor de servicios de nube pública a cumplir con las obligaciones aplicables cuando actúe como procesador de PII, ya sea que dichas obligaciones recaigan sobre el procesador de PII directamente o por contrato.
  • Permita que el procesador de PII de la nube pública sea transparente en asuntos relevantes para que los clientes de servicios en la nube puedan seleccionar servicios de procesamiento de PII basados en la nube y bien administrados.
  • Ayudar al cliente del servicio en la nube y al procesador de PII de la nube pública a celebrar un acuerdo contractual.
  • Proporcionar a los clientes de servicios en la nube un mecanismo para ejercer los derechos y responsabilidades de auditoría y cumplimiento en los casos en que las auditorías de los datos alojados en un entorno de servidor virtualizado (nube) de varias partes pueden ser técnicamente poco prácticas y pueden aumentar los riesgos para esas redes físicas y lógicas. controles de seguridad establecidos.

Ventajas[editar]

El uso de este estándar tiene las siguientes ventajas:

  • Proporciona una mayor seguridad a los datos e información de los clientes.
  • Hace que la plataforma sea más confiable para el cliente, logrando un nivel superior a la competencia.
  • Habilitación más rápida de las operaciones globales.
  • Contratos simplificados.
  • Proporciona protecciones legales para proveedores y usuarios de la nube.

Referencias[editar]

  1. «ISO/IEC 27018 Code of Practice for Protecting Personal Data in the Cloud». docs.microsoft.com. Consultado el 27 de marzo de 2020. 
  2. «ISO/IEC 27018:2014 [ISO/IEC 27018:2014] Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors». www.iso.org. International Organization for Standardization. Consultado el 28 de marzo de 2020. 
  3. «ISO/IEC 27018:2019 [ISO/IEC 27018:2019] Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors». www.iso.org. International Organization for Standardization. Consultado el 28 de marzo de 2020. 

Enlaces externos[editar]