ISO 27018-överensstämmelse: Här är vad du behöver veta

Du förhandlar om ett kontrakt för molntjänster. För att klara affären lutar molnleverantörens rep över bordet, fixar blicken och säger till dig: "Förresten är tjänsten certifierad enligt ISO 27018."

ISO 270-vad? Ska du skriva, eller gå tillbaka? IT-chefer kommer i allt högre grad att ställas inför just ett sådant val tack vare tillkomsten av ISO 27018-standarden för att skydda personlig identifierbar information (PII) i molnet, som antogs av International Standards Organization (ISO) i juli 2014.

Med dataintrång, förlusten av PII och identitetsstöld fortsätter utan att släppa, är alla åtgärder för att dämpa tidvattnet av stort intresse för IT-samhället. Ändå har endast Microsoft och Dropbox hittills meddelat ISO 27018-kompatibla molntjänster. Microsoft certifierade sin Azure-molntjänst, Dynamics CRM och ERP molnbaserade applikationer och Office 365 molnbaserade affärsproduktivitetsapplikationer i februari 2015. Dropbox meddelade i april 2015 att Dropbox for Business hade certifierats. Med tanke på universumet av molnleverantörer och deras tjänster är det en liten början, men de flesta observatörer tror att det bara är en tidsfråga tills de flesta om inte alla molnleverantörer meddelar att de uppfyller standarden.

Se även: Gartner: Lång hård klättring till hög nivå av molnbaserad datorskydd

Fördelarna med ISO 27018 lovar att vara djupgående. Dessa inkluderar:

  • Större kundförtroende för molntjänster
  • Snabbare möjliggörande av global verksamhet
  • Strömlinjeformade kontrakt
  • Lagligt skydd för molnleverantörer och användare

Här är varför:

Större kundförtroende för molntjänster. Överensstämmelse med ISO 27018 innebär att en molnleverantör har genomfört en lista över procedurer (se sidofält) för hantering av PII. Eftersom överensstämmelse kräver årlig certifiering, bör noggrannheten i den processen - och det resulterande certifikatet - ge kunderna nyvunnen förtroende för sina leverantörer.

"Det visar att din molnleverantör har en viss nivå av mognadshantering PII", säger Christie Grabyan, ledande företagssäkerhetschef på BishopFox, en datasäkerhetsrådgivning.

En advokat hävdar att innebörden av ansträngningen går långt utöver intyget. "Motivationen är inte bara att ha ett papper på väggen. Du försöker att inte skruva på någons data - i grund och botten - det handlar om affärer och kunder och förtroende", säger Colin Zick, lagpartner. firma Foley Hoag i Boston.

ISO 27018 dos och don'ts

Dos:

  • Bestäm om överensstämmelse med ISO27018 är viktigt för ditt företag och dess kunder.
  • Bestäm om fördelarna kommer att uppväga kostnaderna för efterlevnad.
  • Definiera PII när det gäller dig och ditt företag och dess kunder.
  • Ta reda på om din molnleverantör överensstämmer - eller kräv motsvarande skydd.
  • Begär att din molnleverantör följer. Eftersom vissa leverantörer endast kan fullgöra efterlevnad om de drivs av kunder är din röst viktig.

Gör inte:

  • Glöm inte att du förblir ansvarig för säkerheten för PII som du identifierar.
  • Dumpa inte din molnleverantör direkt bara för att den har ett certifikat för överensstämmelse ännu. En molnleverantör kan uppfylla de flesta eller alla bestämmelserna i ISO 27018 i ditt avtal med dem och har ännu inte formellt granskats. Bli informerad och förstå precis vad din leverantör gör.

För sin del hoppas molnleverantörer att meddelandet kommer igenom till kunderna. "Våra kunder måste vara i stånd att lita på oss. Det fungerar inte för dem att granska oss individuellt, så det är viktigt för oss att ha en oberoende certifiering", säger Patrick Heim, chef för förtroende och säkerhet på Dropbox.

Oavsett om en molnleverantör får formell certifiering eller inte, kan viktiga delar av standarden inkluderas i kontrakt. "Du kan fortfarande förhandla privat om alla bestämmelser i ISO 27018", säger Richard Kemp, advokat och grundare av Storbritanniens advokatbyrå KempITLaw. När dessa bestämmelser blir mer allmänt antagna bör vanliga metoder för att skydda PII i molnkontrakt förbättras. Det borde göra kunderna mer bekväma över hela linjen.

Snabbare möjliggörande av global verksamhet. Eftersom ISO 27018 tillhandahåller gemensamma riktlinjer i olika länder blir det enklare för molnleverantörer att göra affärer globalt - och för molnkunder att skriva kontrakt med dem för tjänster i många hörn av världen. Eftersom ISO 27018-standarden till stor del baserades på Europeiska gemenskapens krav, bör företagen gå mycket smidigare där till att börja med.

"De europeiska tillsynsmyndigheterna säger att de är väldigt glada över att standarden kommer på nätet", säger Neal Suggs, vice ordförande och biträdande generalråd för Microsoft Corp. Men fördelarna borde gå mycket längre. "Det finns över 100 länder som har lagar som skyddar data och integritet", säger Deborah Hurley, grundare av konsultföretaget Hurley och stipendiat vid Institute for Quantitative Social Science vid Harvard University. "Det är inte bara en europeisk sak. Varje företag borde betrakta sig globalt. Detta går långt för att uppfylla kraven i länder runt om i världen", tillägger hon.

Ur molnleverantörens perspektiv kommer det att minska den tekniska insats som behövs för att anpassa molntjänster till särskilda sekretesslagar. "En standard tillåter ingenjörer att bygga en gång och arbeta för många. Det är svårt att anpassa sig till lokala lagar, säger Suggs. Lägger till Heim i Dropbox," Sjuttio procent av våra kunder är globala. "

Strömlinjeformade kontrakt

Molnkunder ber ofta leverantörer att fylla i ett frågeformulär om deras metoder för hantering av PII. Att fylla i dem är tidskrävande. Genom att få certifiering kan molnleverantörer presentera certifikatet som svar på de flesta om inte alla dessa frågor, skära ner pappersarbete och förkorta förhandlingsprocessen.

"Företagssäkerhet saktar ner många affärer. Det finns mycket friktion", säger Dan Greenberg, rektor, Integrated Strategies & Tactics, LLC, som förhandlar om molnavtal, ofta för små teknikföretag. "Istället för 32 frågor kan ett intyg om överensstämmelse ta hand om 30 av dessa frågor. Det är en stor sak." Jag hoppas att standarden minskar friktionen, säger han.

En faktor som ibland kan hindra eller stoppa avtalsprocessen är cyberförsäkring, som försäkringsföretag skriver för att täcka kostnaderna för dataintrång och integritetsintrång. "Cyberförsäkring är verkligen kostsamt, för det finns ingen standard, till skillnad från att ha ett inbrottslarm", säger Greenberg. "Jag har varit tvungen att gå bort från affärer på grund av kostnaden för cyberförsäkring", tillägger han.

Relaterad läsning:

- 5 saker du borde veta om cyberförsäkring

- Cyberförsäkring: Endast dårar rusar in

- Cyberförsäkring: Värt det, men se upp för undantagen

- Företagskultur hindrar inköp av cyberförsäkringar

En chef i försäkringsbolaget säger att efterlevnad av standarden är en positiv faktor i molnkontrakt. "Om en leverantör är certifierad enligt denna standard föredrar vi att se det, och villkoren skulle återspegla det", säger Eric Cernak, ledare för cyberpraktik för München Re US Operations. På grund av standardens nyhet kommer emellertid befrielsen från höga priser inte att vara omedelbar, tillägger han: "Vi måste ha lite erfarenhet för att se om det garanterar en lägre premie."

Avtals- och rättsligt skydd. Även om det är för tidigt för att skapa rättsliga förekomster bör överensstämmelse med ISO 27018-standarden ge molnleverantörer och deras kunder en gynnsam ställning när det gäller att uppfylla villkoren för ett avtal med avseende på informationsskydd.

ISO 27018 täcker ett brett utbud av ämnen och tillhandahåller standarder som håller upp mot revisioner, kundförfrågningar och myndighetsgranskningar, konstaterar Zick. Adherence gör det möjligt för en molntjänstleverantör (CSP) att visa att dess integritetspolicyer och praxis är rimliga och i överensstämmelse med rådande standarder.

"Detta ger en säker hamn ur laglig synvinkel i händelse av överträdelse", säger Zick.

Begreppet safe harbour innebär att en molnleverantör kanske inte bedöms vara försumlig eller vårdslös med PII eftersom den har besvärat att få certifiering. En molnkund får en liknande fördel. "Om du har den standarden att falla tillbaka på, kan du säga att det är skurkens fel och inte skylla på mig", tillägger Zick. Och efterlevnad bör ge utdelning globalt. "Tillsynsmyndigheter gillar det eftersom de ser det som en garanti för att de följer sina egna lands dataskyddsregler", konstaterar Zick.

Vad kommer härnäst?

Med alla dessa fördelar, vad håller molnleverantörerna tillbaka? Det verkar finnas två huvudfaktorer: kostnad och tidsåtagande för att erhålla certifiering och bristen på användarupprop som kräver efterlevnad.

"Vi har inte haft någon kund som kräver det", säger Frank Balonis, chef för tekniska tjänster på Accellion, en CSP med fokus på fildelning, särskilt för mobilanvändare.

Både Microsoft och Dropbox är stora molnleverantörer med djupa fickor och mycket att vinna i konkurrensdifferentiering från efterlevnad. Mindre CPS är i en annan båt. "Troligtvis kommer det att vara en börda för mindre molnleverantörer", säger Cernak. Men över tiden, säger han, har de kanske inget val. "Kommer detta att vara en del av priset för inträde för att vara en molnleverantör?"

Balonis säger att Accellion förväntar sig att få en konkurrensfördel när den avslutar sin ISO 27018-granskning i början av 2016. "Det ger ett extra försäkringsskikt till sjukhus och advokatbyråer - de kunder som lägger premie på PII", säger han.

Även om överensstämmelse alltid kommer att kräva ansträngning och kostnad, så snart certifikatet beviljas, bör årlig certifiering gå mycket lättare och vara billigare, är experter överens om. De flesta är också överens om att utan kundernas krav på efterlevnad kommer många molnleverantörer att hålla tillbaka.

För molnkunder är det första steget att informeras och ställa frågor. Zick rekommenderar att kunder granskar sina avtal med molntjänstleverantörer för att se om leverantörerna har planer på att följa ISO 27018. Då bör de överväga ändringar i avtalen för att lägga till ISO 27018-efterlevnad. "Det finns verkligen värde i tredjepartsackreditering, särskilt för att det fortsätter. Det slutar aldrig", säger Zick. Men han förväntar sig inte att standarden ändrar molnindustrin över en natt. "Det här är en process som kommer att ta år, om inte ett decennium, att införas."

Vad finns i ISO 27018-standarden

Eftersom personligt identifierbar information (PII) kan användas för affärsändamål som riktad reklam och dataanalys som påverkar en individ, är det viktigt för alla att förstå vad dessa data är och hur de kan användas av molnleverantörer. Syftet med ISO 27018 är att skapa en sådan förståelse och att ge individer möjlighet att bevilja eller återkalla samtycke till användningen av deras PII.

ISO 27018 antogs som standard i juli 2014, även om det är viktigt i sig själv, men är en del av ISO 27000-familjen och ett evolutionärt tillskott till tidigare standarder ISO 27001 och ISO 27002. Det är inte möjligt att uppnå ISO 27018-överensstämmelse utan att först övergå hindren för ISO 27001 och ISO 27002 - vilket många molnleverantörer redan har gjort.

ISO 27000-serien omfattar integritets-, konfidentialitets- och tekniska säkerhetsfrågor. Standarderna beskriver hundratals potentiella kontroller och kontrollmekanismer. I korthet:

  • ISO 27001 - Täcker säkerhet i molnet. En årlig certifiering krävs.
  • ISO 27002 - Förklarar hur man följer ISO 27001.
  • ISO 27018 - Lägger till personlig identifierbar information inom ramen för 27001.

ISO 27018 mandat att kompatibla molntjänstleverantörer (CSP):

  • Kommer inte att använda kunddata för sina egna oberoende ändamål, såsom reklam och marknadsföring, utan kundens uttryckliga medgivande.
  • Kommer inte att binda avtalet om att använda tjänsterna till CSP: s användning av personuppgifter för reklam och marknadsföring.

Dessutom ISO 27018:

  • Fastställer tydliga och transparenta parametrar för retur, överföring och säker bortskaffande av personlig information.
  • Kräver CSP: er för att avslöja identiteten på varje underprocessor som de anlitar för att hjälpa till med databehandling innan kunder ingår ett kontrakt.
  • Om CSP byter underprocessorer måste CSP informera kunderna omedelbart för att ge dem en möjlighet att motsätta sig att säga upp deras avtal.

ISO 27018 uppstod inte i vakuum. Det liknar andra standarder, såsom HIPAA, som täcker personlig hälsoinformation (PHI), liksom SSAE (Statement for Standards for Attestation Engagements No. 16) och ISAE (International Standards for Attestation Engagement No. 3402), som är revisionsstandarder för säkerhetskontroller och effektivitet av säkerhetskontroller som fastställts av American Institute of Certified Public Accountants och International Auditing and Assurance Standards Board för International Federation of Accountants.

Känn din PII

Klockan är 03:00; vet du var din personligt identifierbara information (PII) är?

Innan du kan svara på den frågan måste du definiera precis vad PII är, vad gäller ditt företag.

Generellt sett är PII all information som kan spåras till en individ. I ISO 27018-standarden beskriver ISO PII som "all information som (a) kan användas för att identifiera PII-huvudmannen som sådan information avser, eller (b) är eller kan vara direkt eller indirekt kopplad till en PII-huvudman."

Oftast är det en persons namn och en annan personlig information, t.ex. en adress eller ett personnummer. Men det kan också vara en fysisk egenskap, såsom en persons röst, ansiktsbild eller video av en berättande rörelse, såsom en persons gång. Vidare är sofistikerade algoritmer alltmer kapabla att knyta allt mindre informationsbitar till en viss individ.

För avtalsförpliktelser är det upp till en kund att säga vad PII är.

Som ISO-dokumentet förklarar, "En offentlig PII-processor i molnet är vanligtvis inte i stånd att uttryckligen veta om informationen som hanteras faller inom någon angiven kategori om inte detta görs transparent av molntjänstkunden."

Översättning: Som molnkund måste du veta vad du anser vara PII och du måste informera molnleverantören.

När du har gjort det måste den certifierade molnleverantören hantera den informationen i enlighet med ISO 27018 riktlinjer.

Denna berättelse, "ISO 27018-överensstämmelse: Här är vad du behöver veta" publicerades ursprungligen av ITworld.