Conformité ISO 27018: voici ce que vous devez savoir

Vous négociez un contrat pour des services cloud. Pour conclure l'affaire, la représentante du fournisseur de cloud se penche de l'autre côté de la table, fixe son regard et vous dit: «Au fait, le service est certifié conforme à la norme ISO 27018».

ISO 270-quoi? Devez-vous signer ou reculer? Les responsables informatiques seront de plus en plus confrontés à un tel choix, grâce à l'avènement de la norme ISO 27018 pour la protection des informations personnelles identifiables (PII) dans le cloud, qui a été adoptée par l'Organisation internationale de normalisation (ISO) en juillet 2014.

Les violations de données, la perte de PII et le vol d'identité se poursuivant sans interruption, toutes les mesures visant à endiguer la marée sont d'un grand intérêt pour la communauté informatique. Même ainsi, seuls Microsoft et Dropbox ont jusqu'à présent annoncé des services cloud conformes à la norme ISO 27018. Microsoft a certifié son service cloud Azure, ses applications cloud Dynamics CRM et ERP et ses applications de productivité d'entreprise basées sur le cloud Office 365 en février 2015. Dropbox a annoncé en avril 2015 que Dropbox for Business avait été certifié. Compte tenu de l'univers des fournisseurs de cloud et de leurs services, c'est un petit début, mais la plupart des observateurs pensent que ce n'est qu'une question de temps avant que la plupart, sinon tous les fournisseurs de cloud annoncent la conformité à la norme.

Voir aussi: Gartner: Longue ascension difficile vers un haut niveau de sécurité du cloud computing

Les avantages d'ISO 27018 promettent d'être profonds. Ceux-ci inclus:

  • Une plus grande confiance des clients dans les services cloud
  • Activation plus rapide des opérations mondiales
  • Contrats rationalisés
  • Protections juridiques pour les fournisseurs de cloud et les utilisateurs

Voici pourquoi:

Une plus grande confiance des clients dans les services cloud. La conformité à la norme ISO 27018 signifie qu'un fournisseur de cloud a entrepris une liste de procédures (voir l'encadré) pour traiter les PII. Étant donné que la conformité nécessite une certification annuelle, les rigueurs de ce processus - et le certificat qui en résulte - devraient donner aux clients une confiance retrouvée dans leurs fournisseurs.

«Cela démontre que votre fournisseur de cloud a un certain niveau de maturité dans la gestion des PII», déclare Christie Grabyan, responsable des pratiques de sécurité d'entreprise chez BishopFox, un cabinet de conseil en sécurité des données.

Un avocat affirme que la signification de l'effort va bien au-delà du certificat. "La motivation n'est pas seulement d'avoir un morceau de papier sur le mur. Vous essayez de ne pas bousiller les données de quelqu'un - le résultat final - c'est une question d'affaires, de clients et de confiance", déclare Colin Zick, avocat associé. Foley Hoag à Boston.

ISO 27018 ce qu'il faut faire et ne pas faire

Dos:

  • Déterminez si la conformité à la norme ISO27018 est importante pour votre entreprise et ses clients.
  • Déterminez si les avantages l'emporteront sur les coûts de conformité.
  • Définissez les PII en ce qui concerne vous, votre entreprise et ses clients.
  • Découvrez si votre fournisseur de cloud est conforme ou exigez des protections équivalentes.
  • Demandez à votre fournisseur de cloud de se conformer. Étant donné que certains fournisseurs ne peuvent entreprendre la conformité que s'ils sont poussés par les clients, votre voix est importante.

À ne pas faire:

  • N'oubliez pas que vous restez responsable de la sécurité des PII que vous identifiez.
  • Ne videz pas votre fournisseur de cloud tout de suite simplement parce qu'il dispose d'un certificat de conformité. Un fournisseur de cloud peut remplir la plupart ou toutes les dispositions de la norme ISO 27018 dans votre accord avec lui et n'a pas encore été officiellement audité. Soyez informé et comprenez parfaitement ce que fait votre fournisseur.

Pour leur part, les fournisseurs de cloud espèrent que le message parviendra aux clients. «Nos clients doivent être en mesure de nous faire confiance. Cela ne fonctionne pas pour eux de nous auditer individuellement, il est donc important pour nous d'avoir une certification indépendante», déclare Patrick Heim, responsable de la confiance et de la sécurité chez Dropbox.

Qu'un fournisseur de cloud obtienne ou non une certification formelle, les éléments clés de la norme peuvent être inclus dans les contrats. «Vous pouvez toujours négocier en privé toutes les dispositions d'ISO 27018», déclare Richard Kemp, avocat et fondateur du cabinet d'avocats britannique KempITLaw. Au fur et à mesure que ces dispositions deviennent plus largement adoptées, les pratiques courantes de protection des PII dans les contrats cloud devraient s'améliorer. Cela devrait rendre les clients plus à l'aise dans tous les domaines.

Activation plus rapide des opérations mondiales. Étant donné que l'ISO 27018 fournit des lignes directrices communes dans différents pays, il sera plus facile pour les fournisseurs de cloud de faire des affaires à l'échelle mondiale - et pour les clients du cloud de signer des contrats avec eux pour des services dans de nombreux coins du globe. La norme ISO 27018 étant basée en grande partie sur les exigences de la Communauté européenne, les affaires devraient y aller beaucoup plus facilement pour commencer.

«Les responsables de la réglementation européenne se disent vraiment enthousiasmés par la mise en ligne de la norme», déclare Neal Suggs, vice-président et avocat général associé de Microsoft Corp. Mais les avantages devraient aller bien plus loin. «Il existe plus de 100 pays qui ont des lois qui protègent les données et la vie privée», déclare Deborah Hurley, fondatrice du cabinet de conseil Hurley et membre de l’Institute for Quantitative Social Science de l’Université Harvard. "Ce n'est pas seulement une chose européenne. Chaque entreprise doit se considérer comme mondiale. Cela contribue grandement à répondre aux exigences des pays du monde entier", ajoute-t-elle.

Du point de vue du fournisseur de cloud, cela réduira les efforts d'ingénierie nécessaires pour adapter les services de cloud à des lois de confidentialité particulières. "Une norme permet aux ingénieurs de construire une fois et de travailler pour plusieurs. Il est difficile de s'adapter aux lois locales, dit Suggs. Ajoute Heim de Dropbox," Soixante-dix pour cent de nos clients sont mondiaux. "

Contrats rationalisés

Les clients du cloud demandent souvent aux fournisseurs de remplir un questionnaire concernant leurs pratiques en matière de traitement des informations personnelles. Les remplir prend du temps. En obtenant la certification, les fournisseurs de cloud peuvent présenter le certificat comme une réponse à la plupart sinon à toutes ces questions, réduisant ainsi la paperasse et raccourcissant le processus de négociation.

«La sécurité d'entreprise ralentit de nombreuses transactions. Il y a beaucoup de frictions», déclare Dan Greenberg, directeur, Integrated Strategies & Tactics, LLC, qui négocie des accords cloud, souvent pour de petites entreprises technologiques. «Au lieu de 32 questions, un certificat de conformité pourrait répondre à 30 de ces questions. C'est un gros problème.« J'espère que la norme réduira les frictions », dit-il.

La cyber-assurance, que les assureurs écrivent pour couvrir le coût des violations de données et des violations de la vie privée, est un facteur qui peut parfois entraver ou interrompre le processus contractuel. «La cyber-assurance est vraiment coûteuse, car il n'y a pas de norme, contrairement à une alarme antivol», déclare Greenberg. «J'ai dû abandonner les accords à cause du coût de la cyber-assurance», ajoute-t-il.

Lecture connexe:

- 5 choses à savoir sur la cyber-assurance

- Cyberassurance: seuls les imbéciles se précipitent

- Cyber ​​assurance: ça vaut le coup, mais méfiez-vous des exclusions

- La culture d'entreprise freine l'adhésion à la cyber-assurance

Un dirigeant d'une compagnie d'assurance affirme que le respect de la norme est un facteur positif dans les contrats cloud. «Si un fournisseur est certifié selon cette norme, nous préférerions le voir, et les termes et conditions le refléteraient», déclare Eric Cernak, responsable de la cyberpratique pour Munich Re US Operations. En raison de la nouveauté de la norme, cependant, l'allégement des taux élevés ne sera pas immédiat, ajoute-t-il, "Nous aurions besoin d'une certaine expérience pour voir si cela justifie une prime inférieure."

Protection contractuelle et juridique. Bien qu'il soit trop tôt pour l'établissement de précédents juridiques, le respect de la norme ISO 27018 devrait donner aux fournisseurs de cloud et à leurs clients une position favorable en ce qui concerne le respect des conditions d'un contrat en matière de confidentialité des informations.

ISO 27018 couvre une grande variété de sujets et fournit des normes qui résistent aux audits, aux demandes des clients et aux examens gouvernementaux, note Zick. L'adhésion permet à un fournisseur de services cloud (CSP) de montrer que ses politiques et pratiques de confidentialité sont raisonnables et conformes aux normes en vigueur.

«Cela fournit une protection juridique d'un point de vue juridique en cas de violation», déclare Zick.

Le concept de sphère de sécurité signifie qu'un fournisseur de cloud ne peut être considéré comme négligent ou imprudent avec les PII parce qu'il a pris la peine d'obtenir la certification. Un client cloud bénéficie d'un avantage similaire. "Si vous avez cette norme sur laquelle vous appuyer, vous pouvez dire que c'est la faute du méchant et ne me blâmez pas", ajoute Zick. Et la conformité devrait rapporter des dividendes à l'échelle mondiale. «Les régulateurs l'apprécient car ils y voient une garantie de conformité avec les règles de protection des données de leur propre pays», note Zick.

Et après?

Avec tous ces avantages, qu'est-ce qui retient les fournisseurs de cloud? Il semble y avoir deux facteurs majeurs: le coût et le temps requis pour obtenir la certification et l'absence de protestations des utilisateurs exigeant la conformité.

«Aucun client ne l'a demandé», déclare Frank Balonis, directeur senior des services techniques chez Accellion, un CSP spécialisé dans le partage de fichiers, en particulier pour les utilisateurs mobiles.

Microsoft et Dropbox sont de grands fournisseurs de cloud avec des poches profondes et beaucoup à gagner en différenciation concurrentielle de la conformité. Les CPS plus petits sont dans un bateau différent. «Ce sera très probablement un fardeau pour les petits fournisseurs de cloud», déclare Cernak. Mais avec le temps, dit-il, ils n'auront peut-être pas le choix. "Cela fera-t-il partie du prix d'admission pour devenir un fournisseur de cloud?"

Balonis affirme qu'Accellion espère acquérir un avantage concurrentiel lorsqu'il aura achevé son audit ISO 27018 début 2016. «Cela donne une couche supplémentaire d'assurance aux hôpitaux et aux cabinets juridiques - les clients qui accordent une prime aux PII», dit-il.

Bien que la conformité exigera toujours des efforts et des dépenses, une fois le certificat accordé, la certification annuelle devrait être beaucoup plus facile et moins coûteuse, conviennent les experts. La plupart conviennent également que sans la demande de conformité des clients, de nombreux fournisseurs de cloud se retiendront.

Pour les clients du cloud, la première étape consiste à s'informer et à poser des questions. Zick recommande aux clients de revoir leurs accords avec les fournisseurs de services cloud pour voir si les fournisseurs ont l'intention de se conformer à ISO 27018. Ensuite, ils devraient envisager des modifications des accords pour ajouter la conformité ISO 27018. «L'accréditation par des tiers a vraiment de la valeur, surtout parce qu'elle se poursuit. Elle ne s'arrête jamais», déclare Zick. Mais il ne s'attend pas à ce que la norme change du jour au lendemain l'industrie du cloud. "C'est un processus qui prendra des années, voire une décennie, à mettre en place."

Que contient la norme ISO 27018

Étant donné que les informations personnellement identifiables (PII) peuvent être utilisées à des fins commerciales telles que la publicité ciblée et l'analyse de données qui affectent un individu, il est important pour tout le monde de comprendre ce que sont ces données et comment elles peuvent être utilisées par les fournisseurs de cloud. Le but de l'ISO 27018 est d'établir une telle compréhension et de donner aux individus la possibilité d'accorder ou de révoquer le consentement sur l'utilisation de leurs informations personnelles.

Adoptée en tant que norme en juillet 2014, l'ISO 27018, bien que significative en soi, fait partie de la famille ISO 27000 et constitue un ajout évolutif aux normes précédentes ISO 27001 et ISO 27002. Il n'est pas possible d'atteindre la conformité ISO 27018 sans surmonter au préalable les obstacles des normes ISO 27001 et ISO 27002 - ce que de nombreux fournisseurs de cloud ont déjà fait.

La famille de normes ISO 27000 aborde les questions de confidentialité, de confidentialité et de sécurité technique. Les normes décrivent des centaines de contrôles et mécanismes de contrôle potentiels. Brièvement:

  • ISO 27001 - Couvre la sécurité dans le cloud. Une certification annuelle est requise.
  • ISO 27002 - Explique comment se conformer à ISO 27001.
  • ISO 27018 - Ajoute des informations personnellement identifiables à la portée de 27001.

ISO 27018 oblige les fournisseurs de services cloud (CSP) conformes:

  • N'utilisera pas les données des clients à leurs propres fins indépendantes, telles que la publicité et le marketing, sans le consentement exprès du client.
  • Ne liera pas l'accord d'utilisation des services à l'utilisation des données personnelles par le CSP à des fins de publicité et de marketing.

De plus, ISO 27018:

  • Établit des paramètres clairs et transparents pour le retour, le transfert et l'élimination sécurisée des informations personnelles.
  • Exige que les CSP divulguent l'identité de tout sous-traitant qu'ils engagent pour aider au traitement des données avant que les clients ne concluent un contrat.
  • Si le CSP change de sous-processeurs, le CSP est tenu d'en informer rapidement les clients pour leur donner la possibilité de s'opposer à la résiliation de leur accord.

L'ISO 27018 n'est pas née du vide. Il s'apparente à d'autres normes, telles que HIPAA, qui couvre les renseignements personnels sur la santé (PHI), ainsi que SSAE (Statement on Standards for Attestation Engagements No.16) et ISAE (International Standards for Attestation Engagement No.3402), qui sont normes d'audit pour les contrôles de sécurité et l'efficacité des contrôles de sécurité établies par l'American Institute of Certified Public Accountants et l'International Auditing and Assurance Standards Board de la Fédération internationale des comptables.

Connaissez vos PII

Il est 3 heures du matin; savez-vous où se trouvent vos informations personnelles identifiables (PII)?

Avant de pouvoir répondre à cette question, vous devez définir exactement ce que sont les PII, en ce qui concerne votre entreprise.

De manière générale, les PII sont des informations qui sont traçables jusqu'à un individu. Dans la norme ISO 27018, l'ISO décrit les PII comme "toute information qui (a) peut être utilisée pour identifier le principal PII auquel ces informations se rapportent, ou (b) est ou pourrait être directement ou indirectement lié à un principal PII."

Le plus souvent, il s'agit du nom d'une personne et d'une autre information personnelle, comme une adresse ou un numéro de sécurité sociale. Cependant, il peut également s'agir d'une caractéristique physique, telle que la voix d'une personne, l'image du visage ou la vidéo d'un mouvement révélateur, comme la démarche d'une personne. De plus, des algorithmes sophistiqués sont de plus en plus capables de lier des informations de plus en plus petites à un individu particulier.

Aux fins des obligations contractuelles, il appartient au client de dire ce que sont les PII.

Comme l'explique le document ISO, «un processeur PII de cloud public n'est généralement pas en mesure de savoir explicitement si les informations qu'il traite appartiennent à une catégorie spécifiée à moins que cela ne soit rendu transparent par le client du service cloud.

Traduction: En tant que client cloud, vous devez savoir ce que vous considérez comme des informations personnelles et vous devez en informer le fournisseur cloud.

Une fois que vous avez fait cela, le fournisseur de cloud certifié doit alors traiter ces informations conformément aux directives ISO 27018.

Cette histoire, "Conformité ISO 27018: voici ce que vous devez savoir" a été publiée à l'origine par ITworld.