ISO 27018: di cosa si tratta e perché certificarsi

Nell’articolo precedente, abbiamo parlato dello standard ISO 27017 che racchiude controlli di sicurezza generali per i fornitori e gli utilizzatori di servizi cloud.

ISO 27017: la certificazione dedicata al cloud

Ma cosa succede se all’interno dei servizi cloud utilizzati, vengono trattate non solo informazioni di business, ma anche dati personali?

I lettori più affezionati sanno bene che in Unione Europea non possiamo parlare di «dato personale» senza riferirci alla normativa attualmente in vigore, ossia il GDPR.

I Titolari del trattamento devono conformarsi a tutta una serie di obblighi previsti, al fine di proteggere al meglio i dati personali che vengono gestiti.

Sempre più spesso nel panorama attuale, vengono impiegati sistemi in cloud per lo svolgimento di numerosissime attività aziendali, nella maggior parte dei casi esternalizzando la gestione del servizio cloud presso un fornitore terzo. Tale soggetto, si configura nella normativa privacy, come Responsabile del trattamento dei dati.

È in questo scenario che si inserisce lo standard ISO/IEC 27018:2019: Codice di condotta per la protezione delle PII (Personally Identifiable information) nei servizi di public cloud per i cloud provider.

Si tratta infatti di linee guida che prevedono l’introduzione di controlli specifici per quei provider di servizi cloud che, trattando dati personali, agiscono in qualità di Responsabile del trattamento.

Una delle caratteristiche principali riguarda le modalità di certificazione: la ISO 27018, infatti, non è una norma certificabile, ma si configura come un’estensione della ISO 27001. Pertanto, un’organizzazione che desideri aderire a questo standard, dovrà comunque essere in possesso di una certificazione ISO 27001 o dovrà includere nella certificazione entrambe le norme.

Struttura della ISO 27018

Per le aziende europee, i controlli previsti non apportano grosse novità, andando infatti a implementare un Sistema di Gestione in ambito privacy che riprende i principi fondamentali già definiti dal nostro GDPR.

Si tratta nello specifico di due tipologie differenti di controlli:

• 14 controlli ripresi dalla ISO 27002 e duplicati nell’ambito del trattamento dei dati personali
• 25 nuovi controlli

Vediamone insieme alcuni più significativi:

• A.3.2: Uso commerciale dei dati nel cloud pubblico

Viene richiesto al provider di utilizzare i dati personali trattati per finalità di marketing diretto o pubblicitarie, soltanto nel caso in cui abbia ottenuto il consenso dell’interessato. In aggiunta, si specifica che la richiesta di consenso di cui sopra non può mai costituire una precondizione imposta dal fornitore per la fruizione del servizio.

• A.6.1: Notifica della diffusione dei dati personali

Viene richiesto al provider di definire garanzie contrattuali che prevedano di:

• Rifiutare qualsiasi richiesta di divulgazione dei dati personali che non siano giuridicamente vincolanti;
• Consultare il rispettivo cliente del servizio cloud (quando legalmente possibile) prima di divulgare qualsiasi dato personale;
• Accettare qualsiasi richiesta, concordata contrattualmente, per la divulgazione dei dati personali autorizzata dal rispettivo cliente del servizio cloud.

Per quanto riguarda la comunicazione di dati personali alle forze dell’ordine, la norma richiede che il provider notifichi tempestivamente al Cliente qualsiasi comunicazione di dati personali effettuata, salvo espresso divieto di legge.

• A.8.1: Comunicazione dell’utilizzo di sub-fornitori

Il provider deve informare il Cliente in merito all’utilizzo di eventuali sub-responsabili, dandone informazione completa relativamente ai nominativi, alla localizzazione dei dati esternalizzati, agli obblighi ai quali devono essere soggetti.

Inoltre, deve essere data facoltà al Cliente di opporsi a eventuali modifiche circa i sub-responsabili utilizzati oppure di risolvere il contratto in essere a seguito di tali modifiche.

Nel caso in cui le informazioni relative al subfornitore siano tali da aumentare il fattore di rischio di sicurezza per il subfornitore stesso, deve essere prevista la firma di un NDA (Non Disclosure Agreement) con il Cliente.

• A.12.1: Localizzazione geografica dei dati personali

Il provider deve specificare al Cliente e documentare gli Stati in cui i dati personali potrebbero essere memorizzati.

È doveroso precisare, inoltre, che, alla luce della recente revisione della ISO 27002, ci si aspetta da parte del Comitato un aggiornamento dei controlli, garantendo l’allineamento della ISO 27018 con la recente versione della ISO 27002 (si ricorda che la ISO 27002 è stata aggiornata lo scorso febbraio; cfr. ISO/IEC 27002: cosa cambia nel nuovo standard (mondo27001.it)).

Possibili vantaggi della certificazione ISO 27018

Vediamo insieme quali sono i possibili vantaggi per un’organizzazione che decida di aderire a questo standard internazionale:

• Aumento della trasparenza e della credibilità dei servizi cloud offerti
• Rafforzamento della fiducia nei confronti dei clienti
• Aumento della competitività sul mercato
• Maggiore attenzione alla conformità legale
• Protezione della reputazione dell’azienda attraverso riduzione del rischio di pubblicità negativa in caso di data breach

A chi è rivolta?

Se siete un’azienda che sta valutando se aderire o meno alla ISO 27018 dovreste ricordare che la norma è un’estensione della ISO 27001. Pertanto, occorre verificare che il campo di applicazione del vostro Sistema di Gestione sulla Sicurezza delle Informazioni includa:

• La fornitura di servizi cloud pubblici, e
• Il trattamento di dati personali in qualità di Responsabile del trattamento

Soltanto se sono soddisfatte entrambe le condizioni, sarà possibile “spendere” la certificazione sul mercato.

Infine, si raccomanda di valutare questo standard anche nel caso in cui ci si voglia rivolgere alle Pubbliche Amministrazioni.

Basti pensare che AgID ha stabilito con due circolari del 09 aprile 2018 che i cloud service provider dovranno essere certificati ISO 27001 con estensioni ISO 27017 e ISO 27018 per poter essere inseriti nel Marketplace Cloud delle Pubbliche Amministrazioni, divenuto strumento di uso obbligatorio a partire dal 01 aprile 2019.