Lo standard ISO/IEC 27017, rientrante tra gli standard della serie ISO/IEC 27001, definisce controlli avanzati sia per fornitori di servizi cloud sia per i relativi clienti. A differenza di molti altri standard legati alla tecnologia, chiarisce ruoli e responsabilità dei diversi attori con l’obiettivo di garantire che i dati conservati in cloud siano sicuri e protetti, come se fossero in un sistema di gestione delle informazioni certificato.
Lo standard fornisce una guida per servizi cloud basata sui 37 controlli derivanti dalla ISO/IEC 27002 e su sette nuovi controlli aggiuntivi focalizzati sui seguenti punti:
Codice di condotta per la protezione delle PII (Personally Identifiable information) nei servizi di public cloud per i cloud provider – è una linea guida per i fornitori di servizi cloud pubblici che vogliono migliorare la gestione dei dati personali.
L’obiettivo di questo standard è quello di fornire una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, legalI e contrattualI, legatI alla gestione dei dati personali in infrastrutture informatiche distribuite (cloud pubblico).
Le contromisure specifiche introdotte dalla ISO 27018 si basano sui principi internazionali definiti riguardo alla privacy. Questi principi dovrebbero essere utilizzati per guidare la progettazione, lo sviluppo, l’attuazione, il monitoraggio e la misurazione di politiche sulla privacy e controlli della privacy nei servizi di cloud computing
L’impiego di servizi di cloud è divenuto un irrinunciabile driver di efficienza per molte aziende pubbliche e private.
A fronte della diffusione di questo modello, da qualche anno le autorità garanti dei dati personali hanno messo in guardia i titolari del trattamento di dati personali contro i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, nonché di perdita di controllo sui dati personali inviati nella “nuvola”.
Cercando online le due norme ISO/IEC 27017 e ISO/IEC 27018, possiamo notare come gli enti di certificazione abbiano emesso dei certificati anche accreditati riguardo questi standard.
Ne troviamo molti, anche di enti noti, recante anche il logo dell’ente di Accreditamento!
Trattandosi di Linee guida, le norma ISO/IEC 27017 e ISO/IEC 27018
non sono quindi certificabili
Ciò nonostante, come previsto dalla circolare Accredia DC2019SSV022, è possibile ottenere una integrazione di un certificato esistente ISO/IEC 27001 purché rilasciato da un Ente di certificazione riconosciuto.
https://www.accredia.it/app/uploads/2019/02/DC2019SSV044.pdf
Punti salienti:
Info sull'autore