În luna iulie 2014 International Organization for Standardization (ISO) şi International Electrotechnical Commission (IEC) au publicat standardul de securitate 27018:2014 („Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”).
Deşi puţin promovată până în prezent, adoptarea acestui standard este un eveniment important în lumea serviciilor IT, atât pentru furnizorii de cloud cât şi pentru utilizatorii, actuali sau viitori, ai acestui tip de servicii încă foarte noi. Aşa cum arătam cu altă ocazie, serviciile cloud nu au practic o reglementare legală, astfel că singurele norme care sunt aplicabile sunt de fapt cele în materia protecţiei datelor cu caracter personal (dacă asemenea date sunt prelucrate de către client prin intermediul serviciului).
Scopul principal al standardului 27018 este simplu – să ofere un set de reguli comune de securitate adaptate prelucrării datelor cu caracter personal în contextul serviciilor cloud. Având în vedere faptul că securitatea datelor în cloud este un aspect major, fie că este o piedică fie că este pur şi simplu o preocupare legitimă pentru orice utilizator diligent, este foarte probabil ca implementarea standardului 27018 să servească la crearea unui cadru comun în materie, astfel încât utilizatorii să ştie ce anume să caute la un furnizor de cloud, iar cei din urmă să ştie ce informaţii să aibă gata pregătite pentru informarea clientului. Mai mult, având în vedere că natura multi-tenant a cloudului public nu permite fiecărui utilizator să auditeze serviciul, existenţa unor standarde detaliate, cum este ISO 27018 în materia securităţii pentru datele cu caracter personal, pentru care furnizorul obţine o confirmare periodică poate umple cu succes acest gol.
ISO 27018 este un subset al standardului ISO 27002 (Information technology – Security techniques – Code of practice for information security controls), pe care îl adaptează pentru serviciile cloud. Ca atare, pentru furnizorii de cloud care deja deţin certificare pentru ISO 27002 nu va fi deloc dificil să urmărească şi să obţină certificarea inclusiv pentru noul ISO 27018. Apoi, noul standard implementează şi principiile de protecţie a datelor cu caracter personal din ISO 29100 (Information technology — Security techniques — Privacy framework) pentru a fi aplicate unui împuternicit (şi nu numai operatorului).
Pentru specialiştii din Uniunea Europeană ISO 27018 poate părea că repetă diferite cerinţe care se găseau deja în clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe şi în Avizul Grupului de Lucru Art. 29 cu privire la cloud computing – şi chiar aşa este. Însă valoarea adăugată a standardului ISO 27018 este aceea că include şi generalizează aceste norme de insipraţie europeană, care astfel capătă utilizare internaţională. Drept urmare, un client din Uniunea Europeană va putea alege un furnizor de cloud situat înafara Uniunii ştiind că, dacă este certificat pentru conformitate cu ISO 27018, atunci furnizorul respectiv respectă cerinţele stricte în materia consimţământului, transferului de date, transparenţei ş.a.m.d., care îi sunt aplicabile clientului ca operator de date situat în Uniune.
Totuşi, este important de menţionat că ISO 27018 este un standard cu vocaţie universală, indiferent de mărimea sau domeniul de activitate al organizaţiilor care îl adoptă, astfel că cerinţe sectoriale specifice aplicabile clientului operator de date – cum ar fi în domeniul serviciilor financiare sau al secretelor de stat – vor fi aplicabile inclusiv în relaţia cu împuternicitul furnizor de cloud, în plus faţă de cerinţele din standardul în discuţie. Drept urmare, deşi certificarea conformării cu ISO 27018 este un veritabil atu al unui furnizor de cloud, ea nu este neaparat suficientă pentru orice tip de client.
Fiind un cod de conduită, ISO 27018 poate fi implementat voluntar, fără vreo certificare oficială. Este însă de aşteptat că un furnizor de cloud care deţine o certificare independentă care atestă realitatea şi efectivitatea respectării standardului în toate aspectele sale va fi mai credibil decât unul care doar declară acest lucru, verificarea efectivităţii fiind imposibilă pentru client. Rămâne însă de văzut cât de repede va fi adoptat noul ISO 27018 şi de furnizorii de servicii cloud.