ISO/IEC 27018.

ISO 27018 é a extensão de controlos de privacidade ao ISO 27001 para fornecedores cloud que atuam como subcontratantes de informação pessoalmente identificável. Estabelece a ponte entre o ISO 27001 e as obrigações do subcontratante ao abrigo do GDPR. Detido maioritariamente por grandes operadores de infraestrutura cloud, utilizado pelos seus clientes como input de due diligence de fornecedores.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

A perspetiva da Cyber Academy

ISO 27018 é a extensão de controlos de privacidade ao ISO 27001 para fornecedores cloud que atuam como subcontratantes de informação pessoalmente identificável. Estabelece a ponte entre o ISO 27001 e as obrigações do subcontratante ao abrigo do GDPR. Detido maioritariamente por grandes operadores de infraestrutura cloud, utilizado pelos seus clientes como input de due diligence de fornecedores.

O que a norma ISO/IEC 27018 acrescenta em relação à ISO 27001

A ISO/IEC 27018 é um código de boas práticas, não um sistema de gestão autónomo. Pressupõe que já opera um sistema de gestão da segurança da informação certificado segundo a ISO/IEC 27001, e acopla uma camada de privacidade sobre essa base. Em concreto, dirige-se a um único papel: um fornecedor de serviços de nuvem pública que atua como subcontratante de informação de identificação pessoal (PII) por conta dos seus clientes. A norma toma os controlos genéricos da ISO/IEC 27002 e reinterpreta-os para esse contexto de subcontratante, e depois acrescenta um conjunto de controlos de privacidade específicos da nuvem que a ISO 27001 isolada não exige.

A consequência prática é que a ISO 27018 não se certifica por si só. Um fornecedor é certificado segundo a ISO 27001 com a ISO 27018 como conjunto de controlos aplicável dentro do âmbito. É por isso que a vê expressa como «certificado ISO 27001, auditado face à ISO 27018» em vez de como um certificado separado. Os controlos dizem respeito a aspetos que um cliente da nuvem não pode verificar facilmente por si próprio: se o fornecedor utilizará a PII dos clientes para a sua própria publicidade, se os subcontratantes ulteriores são divulgados antes de serem contratados, como os dados são tratados no final de um contrato, e o que acontece quando as autoridades pedem acesso aos dados.

Onde se situa entre a ISO 27001, a ISO 27017 e o GDPR

Três referências vizinhas são confundidas com a ISO 27018, e as distinções importam quando se delimita uma auditoria ou se preenche um questionário de fornecedor. A ISO 27001 é o sistema de gestão que rege a segurança da informação em geral. A ISO 27017 é o código de boas práticas de segurança na nuvem, mais amplo do que a privacidade e centrado na segurança dos serviços de nuvem tanto para o fornecedor como para o cliente. A ISO 27018 é mais estreita do que ambas: trata da privacidade, na nuvem pública, apenas para o papel de subcontratante.

ISO 27018 comparada com as normas vizinhas
ReferênciaÂmbitoO que rege
ISO/IEC 27001Gestão da segurança da informaçãoO SGSI certificável que as outras estendem
ISO/IEC 27017Controlos de segurança na nuvemSegurança dos serviços de nuvem, fornecedor e cliente
ISO/IEC 27018Privacidade na nuvem para subcontratantesProteção da PII tratada por um subcontratante na nuvem
GDPRDireito da UE de proteção de dadosObrigações legais que recaem sobre responsáveis pelo tratamento e subcontratantes

A ISO 27018 é uma ponte útil para as obrigações do subcontratante ao abrigo do GDPR porque operacionaliza ideias que o regulamento exprime em termos jurídicos: limitação das finalidades, transparência sobre a subcontratação, assistência ao responsável pelo tratamento, e devolução ou eliminação dos dados. Mas não é um substituto. Um certificado face à ISO 27018 é prova de boas práticas do subcontratante, não uma constatação de conformidade legal. O GDPR atribui obrigações através de direito vinculativo e de contratos entre responsável pelo tratamento e subcontratante; uma norma não pode fazer isso por si.

O que os profissionais fazem realmente com ela

Para a maioria das organizações, a ISO 27018 é algo que se consome em vez de algo que se detém. Quando seleciona um serviço de nuvem e a sua avaliação de impacto sobre a proteção de dados ou o seu processo de risco de terceiros coloca a questão «este subcontratante é de confiança», a auditoria ISO 27018 do fornecedor é um dos artefactos que recolhe, a par das declarações de âmbito da ISO 27001, dos relatórios SOC e do acordo de tratamento.

  • Confirme que o certificado está válido e que o serviço de nuvem que realmente utiliza está dentro do âmbito auditado, e não apenas o SGSI corporativo.
  • Leia-a em conjunto com a ISO 27001 e a ISO 27017, pois as três foram concebidas para serem sobrepostas, e um fornecedor que detém as três cobriu a segurança e a privacidade na nuvem de forma mais completa.
  • Mapeie os controlos da ISO 27018 nas suas próprias obrigações ao abrigo do GDPR em vez de presumir sobreposição, porque a norma apoia a relação de subcontratante mas não desonera o responsável pelo tratamento dos seus deveres legais.
  • Mantenha o contrato de tratamento como o documento vinculativo. A norma sinaliza intenção; o acordo de tratamento de dados é o que faz cumprir.

Frequently asked questions

01Pode um fornecedor ser certificado segundo a ISO 27018 por si só?

Não. A ISO 27018 é um código de boas práticas aplicado dentro de um sistema de gestão ISO 27001. Um fornecedor é certificado segundo a ISO 27001 e auditado face à ISO 27018 como conjunto de controlos de privacidade aplicável, em vez de receber um certificado ISO 27018 separado.

02A ISO 27018 torna um fornecedor conforme com o GDPR?

Não. Faz a ponte para as obrigações do subcontratante ao abrigo do GDPR ao operacionalizar práticas como a transparência sobre a subcontratação e a devolução ou eliminação dos dados, mas a conformidade legal decorre da lei e do contrato de tratamento. Trate o certificado como prova de apoio, não como prova de conformidade.

03Qual é a diferença entre a ISO 27017 e a ISO 27018?

A ISO 27017 é o código de boas práticas de segurança na nuvem mais amplo, que cobre tanto o fornecedor como o cliente. A ISO 27018 é mais estreita: aborda a proteção da informação de identificação pessoal quando um fornecedor de nuvem pública atua como subcontratante.

04A minha organização deveria certificar-se segundo a ISO 27018?

Normalmente apenas se for você próprio a operar um serviço de nuvem pública que trata a PII dos clientes na qualidade de subcontratante. Para a maioria das organizações, a ISO 27018 é algo que se lê acerca dos seus fornecedores como elemento de diligência devida, não algo que se detém.

05Quem detém realmente a certificação ISO 27018?

É detida mais frequentemente pelos grandes fornecedores de nuvem e hyperscalers, uma vez que a norma se dirige ao papel de subcontratante de nuvem pública. Os seus clientes utilizam depois a auditoria como um dos elementos ao avaliar o fornecedor.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.