През месец август 2014 г. Международната организация за стандартизация (ISO) и Международната електротехническа комисия (IEC) приеха стандарта ISO/IEC27018:2014– доброволен международен набор от правила за добри практики в областта на обработването на лична информация от доставчиците на облачни услуги. Стандартът се базира и надгражда съществуващи и утвърдени стандарти за сигурност на информацията, като ISO27001 и ISO27002, които установяват общи принципи за информационна сигурност и контрол. Стандартът ISO27018 е уникален в това, че е специално създаден за облачните услуги, доколкото понастоящем все по-голям брой организации от публичния и частния сектор преминават към информационни услуги в облака, за да постигнат ефективност и да намалят разходите.
Тъй като ISO27018 е предназначен за облака, той може да осигури критично ниво на прозрачност за клиентите на облачни услуги, които искат да разберат по-добре и да сравнят практиките на различните доставчици на облачни услуги и как те осигуряват сигурност и защита на личните данни.
Към настоящия момент редица доставчици на облачни услуги са сертифицирани по ISO27018, като първата от големите международни корпорации е Майкрософт, сертифицирана през 2015г. за своите облачни услуги Azure, Office365, Dynamics CRM Online и Microsoft Intunе, а през 2014г. компанията получи потвърждение от „Article29 Working Party”, че договорите, които потребителите на облачни услуги сключват, са в съответствие със „стандартните договорни клаузи” на ЕС.
Какви изисквания съдържа ISO 27018?
Неизчерпателно, ISO27018 съдържа следните изисквания към доставчиците на облачни услуги:
· Да обработват личната информация само в съответствие с инструкциите на потребителя.
· Да се съгласят да не обработват лична информация за рекламни или маркетингови цели без изричното съгласие на клиента.
· Да приемат подходящи организационни мерки и мерки за сигурност.
· Да отказват разкриване на информация на правоохранителните органи, освен ако това не се изисква по закон.
· Да осигуряват прозрачност относно техните практики по обработване на данни.
Как бъдещ или съществуващ клиент на облачна услуга може да провери дали неговия доставчик спазва стандартите на ISO27018?
Клиентът следва да изпрати запитване до неговия доставчик дали той покрива изискванията на ISO27018 и, ако това е така, дали покриването на тези изисквания е проверено и потвърдено от независимо лице.