Norma ISO 27018:2019
La norma ISO 27018, titulada «Tecnología de la información – Código de práctica para la protección de la información personal identificable (PII) en la nube pública que actúa como procesador de datos», es un estándar internacional que proporciona pautas específicas para la protección de la privacidad de los datos personales en la nube pública. Publicada por la Organización Internacional de Normalización (ISO), esta norma es una extensión de la serie de estándares ISO 27000 relacionados con la gestión de la seguridad de la información.
A continuación, se presentan algunas de las características clave de la norma ISO 27018:
- Enfoque en la protección de datos personales: ISO 27018 se centra en establecer controles y prácticas para proteger la información personal identificable (PII) que se almacena, procesa y transfiere en la nube pública. Esto incluye datos como nombres, direcciones, números de identificación, información de tarjetas de crédito, entre otros.
- Transparencia y control del cliente: La norma promueve la transparencia en el manejo de los datos personales por parte del proveedor de servicios en la nube. Esto incluye proporcionar a los clientes información clara sobre cómo se procesan sus datos y permitirles tener control sobre su información, incluido el acceso, la rectificación y la eliminación de datos.
- Consentimiento del cliente: ISO 27018 establece requisitos para obtener el consentimiento del cliente antes de procesar sus datos personales. Esto garantiza que los datos solo se utilicen para los fines acordados y que los clientes estén informados sobre cómo se utilizarán sus datos.
- Limitación del uso de datos: La norma establece restricciones sobre el uso de los datos personales por parte del proveedor de servicios en la nube. Se deben definir claramente los propósitos para los cuales se recopilan los datos, y no se deben utilizar para otros fines sin el consentimiento del cliente.
- Seguridad de la información: ISO 27018 incluye medidas de seguridad específicas para proteger los datos personales en la nube pública. Esto abarca controles de acceso, cifrado de datos, protección contra amenazas y vulnerabilidades, y medidas para prevenir la pérdida, el robo o la divulgación no autorizada de datos.
- Notificación de violaciones de datos: La norma establece procedimientos para la notificación oportuna de violaciones de datos a los clientes afectados y a las autoridades pertinentes. Esto garantiza una respuesta adecuada en caso de incidentes de seguridad que comprometan la privacidad de los datos personales.
- Transferencia de datos a terceros: ISO 27018 establece requisitos para garantizar la seguridad y la privacidad de los datos personales cuando se transfieren a terceros, como subcontratistas o socios comerciales del proveedor de servicios en la nube.
La norma ISO 27018 proporciona un marco sólido para la protección de la privacidad de los datos personales en la nube pública, asegurando que los proveedores de servicios en la nube adopten prácticas y controles adecuados para proteger la información confidencial de sus clientes. Su implementación puede ayudar a fortalecer la confianza de los usuarios en los servicios en la nube y garantizar el cumplimiento de las regulaciones de privacidad de datos.
Estructura de ISO 27018:2019
ISO 27018:2019
- Alcance
- Referencias normativas
- Términos y definiciones
- Contexto de la organización
- Liderazgo
- Planificación
- Soporte
- Operación
- Evaluación del desempeño
- Mejora
Anexo L. Estructura de Alto Nivel que ISO 27018 comparte con otros sistemas de gestión estandarizados por el comité de normalización ISO.
4. Contexto de la organización