ISO 27018-Konformität: Folgendes müssen Sie wissen

Sie verhandeln einen Vertrag für Cloud-Dienste. Um den Deal abzuschließen, beugt sich die Vertreterin des Cloud-Anbieters über den Tisch, fixiert ihren Blick und sagt Ihnen: "Der Service ist übrigens ISO 27018-konform zertifiziert."

ISO 270-was? Sollten Sie unterschreiben oder zurücktreten? IT-Verantwortliche werden dank der Einführung der Norm ISO 27018 zum Schutz personenbezogener Daten (PII) in der Cloud, die im Juli 2014 von der International Standards Organization (ISO) verabschiedet wurde, zunehmend vor einer solchen Wahl stehen.

Da Datenverletzungen, der Verlust von personenbezogenen Daten und Identitätsdiebstahl ohne Unterbrechung andauern, sind alle Maßnahmen zur Eindämmung der Flut für die IT-Community von großem Interesse. Trotzdem haben bisher nur Microsoft und Dropbox ISO 27018-kompatible Cloud-Dienste angekündigt. Microsoft hat im Februar 2015 seinen Azure-Clouddienst, Cloud-basierte Dynamics CRM- und ERP-Anwendungen sowie Cloud-basierte Office 365-Anwendungen für die Unternehmensproduktivität zertifiziert. Dropbox gab im April 2015 bekannt, dass Dropbox for Business zertifiziert wurde. Angesichts des Universums der Cloud-Anbieter und ihrer Dienste ist dies ein kleiner Anfang, aber die meisten Beobachter glauben, dass es nur eine Frage der Zeit ist, bis die meisten, wenn nicht alle Cloud-Anbieter die Einhaltung des Standards bekannt geben.

Siehe auch: Gartner: Langer harter Aufstieg zu einem hohen Maß an Cloud-Computing-Sicherheit

Die Vorteile von ISO 27018 sind tiefgreifend. Diese schließen ein:

  • Mehr Vertrauen der Kunden in Cloud-Services
  • Schnellere Aktivierung globaler Operationen
  • Optimierte Verträge
  • Rechtlicher Schutz für Cloud-Anbieter und Benutzer

Hier ist der Grund:

Mehr Vertrauen der Kunden in Cloud-Services. Die Einhaltung von ISO 27018 bedeutet, dass ein Cloud-Anbieter eine Liste von Verfahren (siehe Seitenleiste) für den Umgang mit personenbezogenen Daten erstellt hat. Da für die Einhaltung eine jährliche Zertifizierung erforderlich ist, sollten die Anforderungen dieses Prozesses - und das daraus resultierende Zertifikat - den Kunden neues Vertrauen in ihre Anbieter geben.

"Es zeigt, dass Ihr Cloud-Anbieter über einen bestimmten Reifegrad bei der Verarbeitung von PII verfügt", sagt Christie Grabyan, Leiterin der Unternehmenssicherheitspraxis bei BishopFox, einem Beratungsunternehmen für Datensicherheit.

Ein Anwalt behauptet, dass die Bedeutung des Aufwands weit über das Zertifikat hinausgeht. "Die Motivation besteht nicht nur darin, ein Stück Papier an der Wand zu haben. Sie versuchen, die Daten von jemandem nicht zu vermasseln - unter dem Strich geht es um Geschäft, Kunden und Vertrauen", sagt Colin Zick, Partner des Gesetzes Firma Foley Hoag in Boston.

ISO 27018 Dos and Don'ts

DOS:

  • Stellen Sie fest, ob die Einhaltung von ISO27018 für Ihr Unternehmen und seine Kunden wichtig ist.
  • Stellen Sie fest, ob der Nutzen die Kosten für die Einhaltung überwiegt.
  • Definieren Sie personenbezogene Daten für Sie, Ihr Unternehmen und seine Kunden.
  • Finden Sie heraus, ob Ihr Cloud-Anbieter die Anforderungen erfüllt - oder fordern Sie gleichwertigen Schutz.
  • Fordern Sie Ihren Cloud-Anbieter auf, die Anforderungen zu erfüllen. Da einige Anbieter möglicherweise nur dann Compliance durchführen, wenn sie von Kunden dazu aufgefordert werden, ist Ihre Stimme wichtig.

Verbote:

  • Vergessen Sie nicht, dass Sie weiterhin für die Sicherheit der von Ihnen identifizierten PII verantwortlich sind.
  • Geben Sie Ihren Cloud-Anbieter nicht sofort aus, nur weil er noch über ein Konformitätszertifikat verfügt. Ein Cloud-Anbieter kann die meisten oder alle Bestimmungen der ISO 27018 in Ihrer Vereinbarung erfüllen und wurde noch nicht offiziell geprüft. Seien Sie informiert und verstehen Sie genau, was Ihr Anbieter tut.

Cloud-Anbieter hoffen ihrerseits, dass die Nachricht bei den Kunden ankommt. "Unsere Kunden müssen in der Lage sein, uns zu vertrauen. Es funktioniert nicht, wenn sie uns einzeln prüfen. Daher ist es wichtig, dass wir eine unabhängige Zertifizierung haben", sagt Patrick Heim, Leiter Vertrauen und Sicherheit bei Dropbox.

Unabhängig davon, ob ein Cloud-Anbieter eine formelle Zertifizierung erhält oder nicht, können Schlüsselelemente des Standards in Verträge aufgenommen werden. "Sie können weiterhin alle Bestimmungen der ISO 27018 privat verhandeln", sagt Richard Kemp, Anwalt und Gründer der britischen Anwaltskanzlei KempITLaw. Mit zunehmender Verbreitung dieser Bestimmungen sollten sich die gängigen Praktiken zum Schutz personenbezogener Daten in Cloud-Verträgen verbessern. Das sollte den Kunden auf ganzer Linie mehr Komfort bieten.

Schnellere Aktivierung globaler Operationen. Da ISO 27018 in verschiedenen Ländern gemeinsame Richtlinien enthält, ist es für Cloud-Anbieter einfacher, weltweit Geschäfte zu tätigen - und für Cloud-Kunden, Verträge mit ihnen für Dienstleistungen in vielen Teilen der Welt zu schließen. Da die Norm ISO 27018 zu einem großen Teil auf den Anforderungen der Europäischen Gemeinschaft beruhte, sollte das Geschäft dort für den Anfang viel reibungsloser verlaufen.

"Die europäischen Regulierungsbehörden sind sehr begeistert von dem Standard, der online geht", sagt Neal Suggs, Vizepräsident und Associate General Counsel der Microsoft Corp. Die Vorteile sollten jedoch noch viel weiter gehen. "Es gibt über 100 Länder, die Gesetze zum Schutz von Daten und Privatsphäre haben", sagt Deborah Hurley, Gründerin des Beratungsunternehmens Hurley und Fellow am Institut für quantitative Sozialwissenschaften der Harvard University. "Es ist nicht nur eine europäische Sache. Jedes Unternehmen sollte sich als global betrachten. Dies trägt wesentlich dazu bei, die Anforderungen von Ländern auf der ganzen Welt zu erfüllen", fügt sie hinzu.

Aus Sicht des Cloud-Anbieters wird der Engineering-Aufwand für die Anpassung von Cloud-Diensten an bestimmte Datenschutzgesetze reduziert. "Ein Standard ermöglicht es Ingenieuren, einmal zu bauen und für viele zu arbeiten. Es ist schwierig, sich an lokalisierte Gesetze anzupassen", sagt Suggs. Heim von Dropbox fügt hinzu: "Siebzig Prozent unserer Kunden sind global."

Optimierte Verträge

Cloud-Kunden bitten Anbieter häufig, einen Fragebogen zu ihren Praktiken im Umgang mit personenbezogenen Daten auszufüllen. Das Ausfüllen ist zeitaufwändig. Durch die Erlangung der Zertifizierung können Cloud-Anbieter das Zertifikat als Antwort auf die meisten, wenn nicht alle dieser Fragen präsentieren, wodurch der Papierkram verringert und der Verhandlungsprozess verkürzt wird.

"Unternehmenssicherheit verlangsamt viele Geschäfte. Es gibt viel Reibung", sagt Dan Greenberg, Principal von Integrated Strategies & Tactics, LLC, der Cloud-Vereinbarungen aushandelt, häufig für kleine Technologieunternehmen. "Anstelle von 32 Fragen könnte ein Konformitätszertifikat 30 dieser Fragen beantworten. Das ist eine große Sache." Ich hoffe, dass der Standard die Reibung verringert ", sagt er.

Ein Faktor, der manchmal den Vertragsprozess behindern oder stoppen kann, ist die Cyberversicherung, die Versicherungsträger schreiben, um die Kosten für Datenschutzverletzungen und Datenschutzverletzungen zu decken. "Cyber-Versicherungen sind sehr kostspielig, da es im Gegensatz zu einem Einbruchalarm keinen Standard gibt", sagt Greenberg. "Ich musste wegen der Kosten für die Cyberversicherung von Geschäften Abstand nehmen", fügt er hinzu.

Verwandte Lektüre:

- 5 Dinge, die Sie über Cyber-Versicherungen wissen sollten

- Cyber-Versicherung: Nur Dummköpfe stürzen herein

- Cyber-Versicherung: Es lohnt sich, aber Vorsicht vor den Ausschlüssen

- Unternehmenskultur behindert das Buy-in von Cyberversicherungen

Ein leitender Angestellter einer Versicherungsgesellschaft sagt, dass die Einhaltung des Standards ein positiver Faktor bei Cloud-Verträgen ist. "Wenn ein Anbieter nach diesem Standard zertifiziert ist, würden wir das lieber sehen, und die Geschäftsbedingungen würden dies widerspiegeln", sagt Eric Cernak, Leiter der Cyber-Praxis bei Munich Re US Operations. Aufgrund der Neuheit des Standards wird die Erleichterung von hohen Raten jedoch nicht sofort eintreten, fügt er hinzu: "Wir müssten etwas Erfahrung haben, um zu sehen, ob dies eine niedrigere Prämie rechtfertigt."

Vertraglicher und rechtlicher Schutz. Obwohl es für die Schaffung von Präzedenzfällen zu früh ist, sollte die Einhaltung der Norm ISO 27018 Cloud-Anbietern und ihren Kunden eine günstige Position hinsichtlich der Erfüllung der Vertragsbedingungen in Bezug auf den Datenschutz bieten.

ISO 27018 deckt eine Vielzahl von Themen ab und bietet Standards, die Audits, Kundenanfragen und behördlichen Überprüfungen standhalten, bemerkt Zick. Durch die Einhaltung kann ein Cloud-Dienstanbieter (CSP) nachweisen, dass seine Datenschutzrichtlinien und -praktiken angemessen sind und den geltenden Standards entsprechen.

"Dies bietet aus rechtlicher Sicht einen sicheren Hafen im Falle eines Verstoßes", sagt Zick.

Das Konzept des sicheren Hafens bedeutet, dass ein Cloud-Anbieter möglicherweise nicht als fahrlässig oder rücksichtslos gegenüber personenbezogenen Daten eingestuft wird, da er sich die Mühe gemacht hat, eine Zertifizierung zu erhalten. Ein Cloud-Kunde erhält einen ähnlichen Vorteil. "Wenn Sie auf diesen Standard zurückgreifen können, können Sie sagen, dass es die Schuld des Bösen ist, und beschuldigen Sie mich nicht", fügt Zick hinzu. Und Compliance sollte sich weltweit auszahlen. "Die Aufsichtsbehörden mögen es, weil sie es als Garantie für die Einhaltung der Datenschutzbestimmungen ihres eigenen Landes ansehen", bemerkt Zick.

Was kommt als nächstes?

Was hält Cloud-Anbieter bei all diesen Vorteilen zurück? Es scheint zwei Hauptfaktoren zu geben: den Kosten- und Zeitaufwand für die Erlangung der Zertifizierung und das Fehlen eines Aufschreis der Benutzer, der die Einhaltung der Vorschriften verlangt.

"Wir hatten noch keinen Kunden, der dies forderte", sagt Frank Balonis, Senior Director Technical Services bei Accellion, einem CSP, der sich auf die gemeinsame Nutzung von Dateien konzentriert, insbesondere für mobile Benutzer.

Sowohl Microsoft als auch Dropbox sind große Cloud-Anbieter mit tiefen Taschen und viel Wettbewerbsvorteil gegenüber Compliance. Kleinere CPS befinden sich in einem anderen Boot. "Höchstwahrscheinlich wird dies eine Belastung für kleinere Cloud-Anbieter sein", sagt Cernak. Aber im Laufe der Zeit, sagt er, haben sie möglicherweise keine Wahl. "Wird dies Teil des Eintrittspreises für einen Cloud-Anbieter sein?"

Laut Balonis erwartet Accellion einen Wettbewerbsvorteil, wenn das ISO 27018-Audit bis Anfang 2016 abgeschlossen ist. "Es bietet Krankenhäusern und Anwaltskanzleien eine zusätzliche Sicherheitsebene - Kunden, die PII eine Prämie auferlegen", sagt er.

Obwohl die Einhaltung immer Aufwand und Kosten erfordert, sollte die jährliche Zertifizierung nach Erteilung des Zertifikats viel einfacher und kostengünstiger sein, sind sich Experten einig. Die meisten sind sich auch einig, dass sich viele Cloud-Anbieter ohne die Nachfrage der Kunden nach Compliance zurückhalten werden.

Für Cloud-Kunden besteht der erste Schritt darin, sich zu informieren und Fragen zu stellen. Zick empfiehlt Kunden, ihre Vereinbarungen mit Cloud-Dienstanbietern zu überprüfen, um festzustellen, ob die Anbieter Pläne zur Einhaltung von ISO 27018 haben. Anschließend sollten sie Änderungen der Vereinbarungen in Betracht ziehen, um die Einhaltung von ISO 27018 zu gewährleisten. "Die Akkreditierung durch Dritte ist wirklich wertvoll, insbesondere weil sie fortgesetzt wird. Sie hört nie auf", sagt Zick. Er erwartet jedoch nicht, dass der Standard die Cloud-Branche über Nacht verändern wird. "Dies ist ein Prozess, dessen Umsetzung Jahre, wenn nicht sogar ein Jahrzehnt dauern wird."

Was ist in der Norm ISO 27018

Da personenbezogene Daten (PII) für geschäftliche Zwecke wie gezielte Werbung und Datenanalyse verwendet werden können, die sich auf eine Person auswirken, ist es für alle wichtig zu verstehen, was diese Daten sind und wie sie von Cloud-Anbietern verwendet werden können. Der Zweck von ISO 27018 besteht darin, ein solches Verständnis herzustellen und Einzelpersonen die Möglichkeit zu geben, die Zustimmung zur Verwendung ihrer PII zu erteilen oder zu widerrufen.

Die im Juli 2014 als Norm verabschiedete ISO 27018 ist zwar eigenständig bedeutsam, gehört jedoch zur ISO 27000-Familie und ist eine evolutionäre Ergänzung zu den früheren Normen ISO 27001 und ISO 27002. Es ist nicht möglich, die Einhaltung der ISO 27018 zu erreichen, ohne diese zuerst zu überwinden die Hürden von ISO 27001 und ISO 27002 - die viele Cloud-Anbieter bereits überwunden haben.

Die Normenfamilie ISO 27000 befasst sich mit Datenschutz-, Vertraulichkeits- und technischen Sicherheitsproblemen. Die Standards beschreiben Hunderte potenzieller Kontrollen und Kontrollmechanismen. Kurz:

  • ISO 27001 - Deckt die Sicherheit in der Cloud ab. Eine jährliche Zertifizierung ist erforderlich.
  • ISO 27002 - Beschreibt die Einhaltung von ISO 27001.
  • ISO 27018 - Fügt dem Geltungsbereich von 27001 personenbezogene Daten hinzu.

ISO 27018 schreibt vor, dass kompatible Cloud Service Provider (CSPs):

  • Verwendet Kundendaten ohne die ausdrückliche Zustimmung des Kunden nicht für eigene unabhängige Zwecke wie Werbung und Marketing.
  • Die Vereinbarung zur Nutzung der Dienste wird nicht an die Verwendung personenbezogener Daten durch den CSP für Werbung und Marketing gebunden.

Darüber hinaus ISO 27018:

  • Legt klare und transparente Parameter für die Rückgabe, Übertragung und sichere Entsorgung personenbezogener Daten fest.
  • Fordert CSPs auf, die Identität eines Subprozessors offenzulegen, den sie zur Unterstützung der Datenverarbeitung beauftragen, bevor Kunden einen Vertrag abschließen.
  • Wenn der CSP die Subprozessoren wechselt, muss der CSP die Kunden unverzüglich informieren, um ihnen die Möglichkeit zu geben, Einwände gegen die Kündigung ihrer Vereinbarung zu erheben.

ISO 27018 ist nicht im luftleeren Raum entstanden. Es ähnelt anderen Standards wie HIPAA, die persönliche Gesundheitsinformationen (PHI) abdecken, sowie SSAE (Erklärung zu Standards für Attestierungsverpflichtungen Nr. 16) und ISAE (Internationale Standards für Attestierungsverpflichtungen Nr. 3402) Prüfungsstandards für Sicherheitskontrollen und Wirksamkeit von Sicherheitskontrollen, die vom American Institute of Certified Public Accountants und dem International Auditing and Assurance Standards Board der International Federation of Accountants festgelegt wurden.

Kennen Sie Ihre PII

Es ist 3 Uhr morgens; Wissen Sie, wo sich Ihre personenbezogenen Daten (PII) befinden?

Bevor Sie diese Frage beantworten können, müssen Sie definieren, was PII für Ihr Unternehmen ist.

Im Allgemeinen sind personenbezogene Daten alle Informationen, die auf eine Person zurückgeführt werden können. In der Norm ISO 27018 beschreibt ISO PII als "alle Informationen, die (a) zur Identifizierung des PII-Principals verwendet werden können, auf den sich diese Informationen beziehen, oder (b) direkt oder indirekt mit einem PII-Principal verknüpft sind oder sein könnten".

In den meisten Fällen handelt es sich dabei um den Namen einer Person und eine weitere persönliche Information, z. B. eine Adresse oder eine Sozialversicherungsnummer. Es kann sich jedoch auch um eine physische Eigenschaft handeln, z. B. die Stimme einer Person, ein Gesichtsbild oder ein Video einer verräterischen Bewegung, z. B. den Gang einer Person. Darüber hinaus sind ausgefeilte Algorithmen zunehmend in der Lage, immer kleinere Informationsbits an eine bestimmte Person zu binden.

Für vertragliche Verpflichtungen ist es Sache eines Kunden, zu sagen, was PII ist.

Im ISO-Dokument heißt es: "Ein öffentlicher Cloud-PII-Prozessor ist normalerweise nicht in der Lage, explizit zu wissen, ob die von ihm verarbeiteten Informationen in eine bestimmte Kategorie fallen, es sei denn, dies wird vom Cloud-Service-Kunden transparent gemacht."

Übersetzung: Als Cloud-Kunde müssen Sie wissen, was Sie als PII betrachten, und Sie müssen den Cloud-Anbieter informieren.

Sobald Sie dies getan haben, muss der zertifizierte Cloud-Anbieter diese Informationen gemäß den ISO 27018-Richtlinien verarbeiten.

Diese Geschichte "ISO 27018-Konformität: Folgendes müssen Sie wissen" wurde ursprünglich von ITworld veröffentlicht.