ISO/IEC 27017 e ISO/IEC 27018 CERTIFICAZIONE o INTEGRAZIONE? A volte anche gli enti sbagliano

ISO/IEC 27017

Lo standard  ISO/IEC 27017, rientrante tra gli standard della serie ISO/IEC 27001, definisce controlli avanzati sia per fornitori di servizi cloud sia per i relativi clienti. A differenza di molti altri standard legati alla tecnologia, chiarisce ruoli e responsabilità dei diversi attori con l’obiettivo di garantire che i dati conservati in cloud siano sicuri e protetti, come se fossero in un sistema di gestione delle informazioni certificato.

Lo standard fornisce una guida per servizi cloud basata sui 37 controlli derivanti dalla ISO/IEC 27002 e su sette nuovi controlli aggiuntivi focalizzati sui seguenti punti:

• Suddivisione delle responsabilità tra fornitore e clienti dei servizi cloud
• Rimozione / assegnazione delle attività alla cessazione di un contratto
• Protezione e separazione degli ambienti virtuali dei diversi
• Configurazione delle Virtual Machine
• Attività amministrative e procedure connesse con l’ambiente cloud
• Monitoraggio delle attività del cliente all’interno dell’ambiente cloud
• Allineamento degli ambienti virtuale e cloud

ISO/IEC 27018

Codice di condotta per la protezione delle PII (Personally Identifiable information) nei servizi di public cloud per i cloud provider – è una linea guida per i fornitori di servizi cloud pubblici che vogliono migliorare la gestione dei dati personali.

L’obiettivo di questo standard è quello di fornire una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, legalI e contrattualI, legatI alla gestione dei dati personali in infrastrutture informatiche distribuite (cloud pubblico).

Le contromisure specifiche introdotte dalla ISO 27018 si basano sui principi internazionali definiti  riguardo alla privacy. Questi principi dovrebbero essere utilizzati per guidare la progettazione, lo sviluppo, l’attuazione, il monitoraggio e la misurazione di politiche sulla privacy e controlli della privacy nei servizi di cloud computing

L’impiego di servizi di cloud è divenuto un irrinunciabile driver di efficienza per molte aziende pubbliche e private.

A fronte della diffusione di questo modello, da qualche anno le autorità garanti dei dati personali hanno messo in guardia i titolari del trattamento di dati personali contro i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, nonché di perdita di controllo sui dati personali inviati nella “nuvola”.