ISO 27018 La primera normativa para la privacidad en la nube

ISO 27018

La norma ISO 27018 fue publicada el 29 de julio de 2014. Es un código de buenas prácticas en controles de protección de datos para servicios de computación en la nube. La norma se complementa con la norma ISO 27001 e ISO 27002 en el ámbito de gestión de la seguridad de la información y que se dirige de forma específica a los proveedores de servicios de nube.

El objetivo perseguido por la norma ISO 27018 es crear un conjunto de normas, procedimientos y controles mediante los que los proveedores de servicios en la nube que actúan como “procesadores de datos”. Pueden garantizar el cumplimiento de las obligaciones legales en materia de tratamiento de los datos personales. Al mismo tiempo proporciona a los consumidores potenciales de servicios cloud una herramienta comparativa útil para ejercer su derecho de verificar y auditar los niveles de cumplimiento de las regulaciones establecidas por el proveedor. Para saber más sobre la norma ISO 27001 puedes leer este artículo ISO 27001: Seguridad informática y seguridad de la información.

Entre las medidas innovadoras recogidas por la norma ISO 27018 podemos ver las siguientes:

• El proveedor tendrá que proporcionar las herramientas
• El proveedor debe velar por el cumplimiento del tratamiento a los únicos descritos a los clientes en el momento.
• Existe una prohibición establecida por la ley.
• El tema de la subcontratación de forma particularmente incisiva, incluso antes de empezar a utilizar el servicio.

La norma ISO 27018 proporciona un marco de controles alineado con los objetivos de la legislación española y la unión europea en materia de protección de datos personales a juicio de juristas y la industria. Esa es una de las conclusiones a las que se llegó en el nuevo estándar de seguridad y privacidad en cloud computing: ISO 27018 es la primera normativa internacional para la privacidad en la nube.

El pasado 16 de diciembre se celebró un debate en la fundación para la investigación sobre el derecho y la organización. Participaron abogados, asesores jurídicos, economistas y magistrados, se alabó la llegada de este nuevo estándar, ya que es un instrumento muy útil que puede contribuir a proporcionar confianza en el mercado con respecto a la capacidad de cumplimiento normativo de los encargados del tratamiento en entornos de cloud.

Además de recibir con entusiasmo la llegada de la norma ISO 27018. Los expertos reivindicaron un posicionamiento claro de las autoridades de protección de datos personales que avancen en valorar la diligencia de los responsables que contraten cloud a proveedores que cumplan con este estándar.

Los participantes en dicha sesión esperaban conseguir que la norma ISO 27018 se alineara de una forma completa a las normas ISO. Se debe definir un procedimiento de certificación de forma específica durante la aplicación efectiva por las empresas.

Durante el debate, los expertos solicitaron a los representantes de la agencia española de protección de datos que acudieran para que se reconozcan los efectos jurídicos concretos de estos estándares o que se consideren como prueba de la diligencia desplegada por los responsables al contratar un servicio cloud.

La norma ISO 27018 constituye una aportación positiva

Uno de los ponentes en esta sesión centró su intervención en los programas que plantea la contratación de un servicio de cloud computing en términos jurídicos, técnicos y de negocio. La seguridad jurídica ocupa un lugar central en la inquietud de las organizaciones que contratan un servicio cloud.

Por todo esto se aplaudió la llegada de la norma ISO 27018, ya que constituye una aportación positiva que debe ser bienvenida.

Es preferible analizar aspectos concretos de la nueva normativa con el tratamiento de problemas específicos en el entorno de cloud. El estándar ISO 27001 es una guía de buenas prácticas que no sustituye a la ley, además se debe incluir una cláusula de transparencia y apertura de control para las autoridades de protección de datos personales.

La norma ISO 27018 desde el punto de vista de contenidos, alinea de un modo directo a los objetivos normativos del modelo europeo de protección de datos personales y ofrece confianza al mercado en la capacidad de cumplimiento de los proveedores que lo implante.

Se debe remarcar el valor positivo que aporta la norma ISO 27918 al mercado y su capacidad para promover el negocio. Este estándar se convertirá en un referente directo que distinguirá a los proveedores y puede poseer una relevancia adicional.

Software ISO 27001

La herramienta ofrecida por el Software ISOTools Excellence para la norma ISO 27001 con el objetivo de implementar en la organización el Sistema de Gestión de Seguridad de la Información, está capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.