Programmering

ISO 27018-samsvar: Dette er hva du trenger å vite

Du forhandler en kontrakt for skytjenester. For å oppnå avtalen, lener skyleverandøren seg over bordet, fikser blikket og forteller deg: "Forresten er tjenesten sertifisert i samsvar med ISO 27018."

ISO 270-hva? Bør du signere, eller gå tilbake? IT-ledere vil i økende grad bli møtt med nettopp et slikt valg, takket være innføringen av ISO 27018-standarden for beskyttelse av personlig identifiserbar informasjon (PII) i skyen, som ble vedtatt av International Standards Organization (ISO) i juli 2014.

Med brudd på data, tap av PII og identitetstyveri fortsetter uten opphør, er noen tiltak for å dempe tidevannet av stor interesse for IT-samfunnet. Likevel er det bare Microsoft og Dropbox som så langt har kunngjort ISO 27018-kompatible skytjenester. Microsoft sertifiserte sin Azure-skytjeneste, Dynamics CRM og ERP skybaserte applikasjoner og Office 365 skybaserte applikasjonsproduktivitetsapplikasjoner i februar 2015. Dropbox kunngjorde i april 2015 at Dropbox for Business hadde blitt sertifisert. Tatt i betraktning universet av skyleverandører og deres tjenester, er det en liten begynnelse, men de fleste observatører mener det er bare et spørsmål om tid til de fleste om ikke alle skyleverandører kunngjør overholdelse av standarden.

Se også: Gartner: Lang hard klatring til høyt nivå av cloud computing-sikkerhet

Fordelene med ISO 27018 lover å være dype. Disse inkluderer:

  • Økt kundetillit til skytjenester
  • Raskere aktivering av globale operasjoner
  • Strømlinjeformede kontrakter
  • Juridisk beskyttelse for skyleverandører og brukere

Her er hvorfor:

Økt kundetillit til skytjenester. Overholdelse av ISO 27018 betyr at en skyleverandør har gjennomført en liste over prosedyrer (se sidefelt) for håndtering av PII. Fordi samsvar krever årlig sertifisering, bør strengheten i den prosessen - og det resulterende sertifikatet - gi kundene nyfunnet tillit til leverandørene.

"Det demonstrerer at skyleverandøren din har et visst nivå av modenhetshåndtering PII," sier Christie Grabyan, leder for bedriftssikkerhetspraksis i BishopFox, et datasikkerhetsrådgivning.

En advokat hevder at meningen med innsatsen går langt utover sertifikatet. "Motivasjonen er ikke bare å ha et stykke papir på veggen. Du prøver å ikke skru opp noens data - bunnlinjen - dette handler om forretning og kunder og tillit," sier Colin Zick, lovpartner. firmaet Foley Hoag i Boston.

ISO 27018 dos og don'ts

Dos:

  • Finn ut om samsvar med ISO27018 er viktig for din bedrift og dens kunder.
  • Bestem om fordelene vil oppveie kostnadene ved etterlevelse.
  • Definer PII når det gjelder deg og din bedrift og dens kunder.
  • Finn ut om skyleverandøren din er i samsvar - eller krev tilsvarende beskyttelse.
  • Be om at skyleverandøren din overholder. Fordi noen leverandører bare vil overholde samsvar hvis de blir presset av kunder, er stemmen din viktig.

Ikke gjør:

  • Ikke glem at du fortsatt er ansvarlig for sikkerheten til PII som du identifiserer.
  • Ikke dump skyleverandøren din med en gang bare fordi den har et samsvarssertifikat ennå. En skyleverandør kan oppfylle de fleste eller alle bestemmelsene i ISO 27018 i avtalen din med dem og er ennå ikke blitt formelt revidert. Vær informert og forstå nøyaktig hva leverandøren din gjør.

For deres del håper skyleverandører at meldingen kommer videre til kundene. "Våre kunder må være i stand til å stole på oss. Det fungerer ikke for dem å revidere oss individuelt, så det er viktig for oss å ha uavhengig sertifisering," sier Patrick Heim, tillits- og sikkerhetssjef i Dropbox.

Uansett om en skyleverandør får formell sertifisering eller ikke, kan nøkkelelementer i standarden inkluderes i kontrakter. "Du kan fremdeles forhandle privat om alle bestemmelsene i ISO 27018," sier Richard Kemp, advokat og grunnlegger av det britiske advokatfirmaet KempITLaw. Etter hvert som disse bestemmelsene blir mer vedtatt, bør vanlig praksis for å beskytte PII i skykontrakter forbedres. Det burde gjøre kundene mer komfortable over hele linja.

Raskere aktivering av globale operasjoner. Fordi ISO 27018 gir vanlige retningslinjer i forskjellige land, vil det være lettere for skyleverandører å gjøre forretninger globalt - og for skikunder å signere kontrakter med dem for tjenester i mange verdenshjørner. Siden ISO 27018-standarden for en stor del var basert på kravene fra Det europeiske fellesskap, bør virksomheten gå mye jevnere der for det første.

"Europeiske regulatoriske folk sier at de er veldig begeistret for at standarden kommer på nettet," sier Neal Suggs, visepresident og assisterende generalsekretær i Microsoft Corp. Men fordelene bør gå mye lenger. "Det er over 100 land som har lover som beskytter data og personvern," sier Deborah Hurley, grunnlegger av konsulentfirmaet Hurley og stipendiat ved Institute for Quantitative Social Science ved Harvard University. "Det er ikke bare en europeisk ting. Hver bedrift bør betrakte seg selv som global. Dette er langt for å oppfylle kravene i land rundt om i verden," legger hun til.

Fra skyleverandørens perspektiv vil det redusere den tekniske innsatsen som trengs for å tilpasse skytjenester til bestemte personvernlover. "En standard lar ingeniører bygge en gang og jobbe for mange. Det er vanskelig å tilpasse seg lokale lover, sier Suggs. Legger til Heim i Dropbox," Sytti prosent av kundene våre er globale. "

Strømlinjeformede kontrakter

Cloud-kunder ber ofte leverandører om å fylle ut et spørreskjema angående deres praksis i håndtering av PII. Det er tidkrevende å fylle dem ut. Ved å få sertifisering kan skyleverandører presentere sertifikatet som et svar på de fleste om ikke alle disse spørsmålene, kutte ned papirene og forkorte forhandlingsprosessen.

"Bedriftssikkerhet bremser mange avtaler. Det er mye friksjon," sier Dan Greenberg, rektor, Integrated Strategies & Tactics, LLC, som forhandler skyavtaler, ofte for små teknologiselskaper. "I stedet for 32 spørsmål kan et samsvarsbevis ta seg av 30 av disse spørsmålene. Det er en stor avtale." Jeg håper standarden reduserer friksjonen, "sier han.

En faktor som noen ganger kan hindre eller stoppe kontraktprosessen er nettforsikring, som forsikringsselskaper skriver for å dekke kostnadene ved brudd på data og brudd på personvernet. "Cyberforsikring er veldig kostbart, fordi det ikke er noen standard, i motsetning til å ha en innbruddsalarm," sier Greenberg. "Jeg har måttet gå bort fra avtaler på grunn av kostnadene ved nettforsikring," legger han til.

Relatert lesing:

- 5 ting du bør vite om nettforsikring

- Cyberforsikring: Bare tullinger styrter inn

- Cyberforsikring: Verdt det, men vær oppmerksom på unntakene

- Bedriftskultur hindrer cyberforsikring

En leder i forsikringsselskapet sier at overholdelse av standarden er en positiv faktor i skykontrakter. "Hvis en leverandør er sertifisert under denne standarden, foretrekker vi å se det, og vilkår og betingelser vil gjenspeile det," sier Eric Cernak, leder for cyberpraksis for München Re U. S. Operations. På grunn av nyheten i standarden vil imidlertid lettelse fra høye priser ikke være øyeblikkelig, legger han til: "Vi må ha litt erfaring for å se om det garanterer en lavere premie."

Kontraktsmessig og juridisk beskyttelse. Selv om det er for tidlig for etablering av juridiske presedenser, bør overholdelse av ISO 27018-standarden gi skyleverandører og deres kunder en gunstig posisjon med hensyn til å oppfylle vilkårene for en kontrakt med hensyn til personvern.

ISO 27018 dekker et bredt spekter av emner og gir standarder som holder opp mot revisjon, kundehenvendelser og myndighetsgjennomganger, bemerker Zick. Overholdelse gjør det mulig for en skytjenesteleverandør (CSP) å vise at dens personvernregler og -praksis er rimelige og i samsvar med gjeldende standarder.

"Dette gir en trygg havn fra et juridisk synspunkt i tilfelle brudd," sier Zick.

Begrepet safe harbour betyr at en skyleverandør kanskje ikke blir vurdert som uaktsom eller hensynsløs med PII fordi den har tatt bryet med å få sertifisering. En sky-kunde får en lignende fordel. "Hvis du har den standarden å falle tilbake på, kan du si at det er den dårlige fyren sin skyld og ikke klandre meg," legger Zick til. Og overholdelse skal betale utbytte globalt. "Regulatorer liker det fordi de ser det som en forsikring om at de overholder deres eget lands databeskyttelsesregler," bemerker Zick.

Hva blir det neste?

Hva holder skyleverandørene tilbake med alle disse fordelene? Det ser ut til å være to hovedfaktorer: kostnad og tidsforpliktelse til å oppnå sertifisering og mangel på brukerskrik som krever overholdelse.

"Vi har ikke hatt noen kunde som krever det," sier Frank Balonis, seniordirektør for tekniske tjenester i Accellion, en CSP som fokuserer på fildeling, spesielt for mobilbrukere.

Både Microsoft og Dropbox er store skyleverandører med dype lommer og mye å oppnå i konkurransedifferensiering fra samsvar. Mindre CPS er i en annen båt. "Mest sannsynlig vil det være en byrde for mindre skyleverandører," sier Cernak. Men over tid, sier han, har de kanskje ikke noe valg. "Vil dette være en del av prisen for opptak til å være en skyleverandør?"

Balonis sier at Accellion forventer å få et konkurransefortrinn når den fullfører sin ISO 27018-revisjon innen begynnelsen av 2016. "Det gir et ekstra forsikringslag til sykehus og advokatfirmaer - de kundene som legger premie på PII," sier han.

Selv om etterlevelse alltid vil kreve innsats og bekostning, bør sertifiseringen gå mye enklere og være mindre kostbar, når sertifikatet er gitt. De fleste er også enige i at mange skyleverandører vil holde tilbake uten kundenes krav om samsvar.

For skikunder er det første trinnet å bli informert og stille spørsmål. Zick anbefaler at kunder vurderer avtalene sine med skytjenesteleverandører for å se om leverandørene har planer om å overholde ISO 27018. Deretter bør de vurdere endringer i avtalene for å legge til ISO 27018-samsvar. "Det er virkelig verdi i tredjepartsakkreditering, spesielt fordi det fortsetter. Det stopper aldri," sier Zick. Men han forventer ikke at standarden endrer skyindustrien over natten. "Dette er en prosess som vil ta år, om ikke et tiår, å få på plass."

Hva er i ISO 27018-standarden

Fordi personlig identifiserbar informasjon (PII) kan brukes til forretningsformål som målrettet annonsering og dataanalyse som påvirker en person, er det viktig for alle å forstå hva disse dataene er og hvordan de kan brukes av skyleverandører. Formålet med ISO 27018 er å etablere en slik forståelse og å gi enkeltpersoner muligheten til å gi eller tilbakekalle samtykke over bruken av deres PII.

ISO 27018 ble vedtatt som standard i juli 2014, selv om den er betydelig i seg selv, og er en del av ISO 27000-familien og et evolusjonært tillegg til tidligere standarder ISO 27001 og ISO 27002. Det er ikke mulig å oppnå ISO 27018-samsvar uten først å overgå hindringene i ISO 27001 og ISO 27002 - som mange skyleverandører allerede har gjort.

ISO 27000-serien av standarder adresserer personvern, konfidensialitet og tekniske sikkerhetsspørsmål. Standardene skisserer hundrevis av potensielle kontroller og kontrollmekanismer. Kort:

  • ISO 27001 - Dekker sikkerhet i skyen. Det kreves en årlig sertifisering.
  • ISO 27002 - Skriv ut hvordan du skal overholde ISO 27001.
  • ISO 27018 - Legger til personlig identifiserbar informasjon i omfanget av 27001.

ISO 27018 pålegger kompatible leverandører av skytjenester (CSP):

  • Vil ikke bruke kundedata til egne uavhengige formål, for eksempel reklame og markedsføring, uten kundens uttrykkelige samtykke.
  • Vil ikke knytte avtalen om å bruke tjenestene til CSPs bruk av personlige data for reklame og markedsføring.

I tillegg ISO 27018:

  • Fastslår klare og gjennomsiktige parametere for retur, overføring og sikker avhending av personlig informasjon.
  • Krever CSP-er for å opplyse identiteten til enhver underbehandler de engasjerer seg for å hjelpe med databehandling før kunder inngår en kontrakt.
  • Hvis CSP bytter underprosessorer, kreves det at CSP informerer kundene omgående for å gi dem muligheten til å motsette seg å si opp avtalen.

ISO 27018 oppsto ikke i vakuum. Det ligner på andre standarder, for eksempel HIPAA, som dekker personlig helseinformasjon (PHI), samt SSAE (Statement on Standards for Attestation Engagements No. 16) og ISAE (International Standards for Attestation Engagement No. 3402), som er revisjonsstandarder for sikkerhetskontroll og effektivitet av sikkerhetskontroller etablert av American Institute of Certified Public Accountants og International Auditing and Assurance Standards Board of the International Federation of Accountants.

Kjenn din PII

Klokka er 03:00; vet du hvor din personlig identifiserbare informasjon (PII) er?

Før du kan svare på det spørsmålet, må du definere akkurat hva PII er, så langt det gjelder virksomheten din.

Generelt sett er PII all informasjon som kan spores til et individ. I ISO 27018-standarden beskriver ISO PII som "all informasjon som (a) kan brukes til å identifisere PII-rektoren som slik informasjon er knyttet til, eller (b) er eller kan være direkte eller indirekte knyttet til en PII-rektor."

Ofte er det en persons navn og en annen personlig informasjon, for eksempel en adresse eller et personnummer. Imidlertid kan det også være en fysisk egenskap, for eksempel en persons stemme, ansiktsbilde eller video av en beroligende bevegelse, for eksempel en persons gang. Videre er sofistikerte algoritmer stadig i stand til å knytte stadig mindre biter av informasjon til et bestemt individ.

For kontraktsmessige forpliktelser er det opp til en kunde å si hva PII er.

Som ISO-dokumentet forklarer, "En offentlig sky PII-prosessor er vanligvis ikke i stand til eksplisitt å vite om informasjonen den behandler faller inn i en spesifisert kategori med mindre dette blir gjort gjennomsiktig av skytjenestekunden."

Oversettelse: Som skykunde må du vite hva du anser for å være PII, og du må informere skyleverandøren.

Når du har gjort det, må den sertifiserte skyleverandøren håndtere denne informasjonen i samsvar med ISO 27018-retningslinjene.

Denne historien, "ISO 27018 compliance: Her er hva du trenger å vite" ble opprinnelig utgitt av ITworld.

$config[zx-auto] not found$config[zx-overlay] not found