Definición y propósito

ISO/IEC 27018 especifica directrices basadas en ISO/IEC 27002 y controles adicionales y orientación para los proveedores de servicios de nube pública para proteger la información de identificación personal (PII).

ISO/IEC 27018 está diseñado para dos casos de uso específicos. Primero, puede ser utilizado como referencia por organizaciones que están en proceso de implementar un sistema de gestión de seguridad de la información en la computación en la nube basado en ISO/IEC 27001 y necesitan seleccionar controles de protección de PII específicamente. Las organizaciones que implementan ISO/IEC 27001 usarán controles ISO/IEC 27002 para proteger sus propios activos de información. Sin embargo, necesitarán controles de protección de PII para proteger los activos de información que sus clientes les han confiado.

En segundo lugar, ISO/IEC 27018 puede ser utilizado como un documento de orientación por los procesadores de PII en la nube pública para implementar controles de protección de PII comúnmente aceptados.

Órgano rector

ISO/IEC 27018 es desarrollado y mantenido por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

Última actualización

ISO/IEC 27018 fue actualizado por última vez en 2019.

Aplicable a

ISO/IEC 27018 se aplica a todos los tipos y tamaños de organizaciones que proporcionan servicios de procesamiento de información como procesadores de PII a través de la nube computacional bajo contrato con otras organizaciones. Esto incluye empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro.

Las directrices en este documento también pueden ser relevantes para las organizaciones que actúan como controladores de PII, pero estarán sujetas a legislación, regulaciones y obligaciones adicionales de protección de PII.

Controles y requisitos

ISO/IEC 27018 describe controles y requisitos específicos para proteger la PII en entornos de nube pública. Algunos de los requisitos clave incluyen:

• Términos explícitos de manejo y procesamiento de datos en acuerdos de servicios en la nube.
• Restricciones sobre cómo se puede procesar y almacenar la PII.
• Transparencia en las actividades de procesamiento de datos.
• Requisitos de portabilidad y eliminación de datos.
• Informe y comunicación de incidentes.

Por favor, consulte la publicación oficial de ISO 27018 para obtener una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Las auditorías para el cumplimiento de ISO/IEC 27018 pueden realizarse como auditorías de terceros o evaluaciones internas. La frecuencia de las auditorías puede variar dependiendo de la evaluación de riesgos de la organización, los acuerdos contractuales y los requisitos regulatorios. Típicamente, las organizaciones realizan auditorías anuales.

La duración de una auditoría ISO/IEC 27018 puede variar según el alcance y la complejidad del entorno cloud. Puede variar desde unos pocos días hasta varias semanas, con los auditores examinando las prácticas cloud de la organización, los acuerdos contractuales y el cumplimiento de los controles del estándar.