A perspetiva da Cyber Academy
ISO 27018 é a extensão de controlos de privacidade ao ISO 27001 para fornecedores cloud que atuam como subcontratantes de informação pessoalmente identificável. Estabelece a ponte entre o ISO 27001 e as obrigações do subcontratante ao abrigo do GDPR. Detido maioritariamente por grandes operadores de infraestrutura cloud, utilizado pelos seus clientes como input de due diligence de fornecedores.
O que a norma ISO/IEC 27018 acrescenta em relação à ISO 27001
A ISO/IEC 27018 é um código de boas práticas, não um sistema de gestão autónomo. Pressupõe que já opera um sistema de gestão da segurança da informação certificado segundo a ISO/IEC 27001, e acopla uma camada de privacidade sobre essa base. Em concreto, dirige-se a um único papel: um fornecedor de serviços de nuvem pública que atua como subcontratante de informação de identificação pessoal (PII) por conta dos seus clientes. A norma toma os controlos genéricos da ISO/IEC 27002 e reinterpreta-os para esse contexto de subcontratante, e depois acrescenta um conjunto de controlos de privacidade específicos da nuvem que a ISO 27001 isolada não exige.
A consequência prática é que a ISO 27018 não se certifica por si só. Um fornecedor é certificado segundo a ISO 27001 com a ISO 27018 como conjunto de controlos aplicável dentro do âmbito. É por isso que a vê expressa como «certificado ISO 27001, auditado face à ISO 27018» em vez de como um certificado separado. Os controlos dizem respeito a aspetos que um cliente da nuvem não pode verificar facilmente por si próprio: se o fornecedor utilizará a PII dos clientes para a sua própria publicidade, se os subcontratantes ulteriores são divulgados antes de serem contratados, como os dados são tratados no final de um contrato, e o que acontece quando as autoridades pedem acesso aos dados.
Onde se situa entre a ISO 27001, a ISO 27017 e o GDPR
Três referências vizinhas são confundidas com a ISO 27018, e as distinções importam quando se delimita uma auditoria ou se preenche um questionário de fornecedor. A ISO 27001 é o sistema de gestão que rege a segurança da informação em geral. A ISO 27017 é o código de boas práticas de segurança na nuvem, mais amplo do que a privacidade e centrado na segurança dos serviços de nuvem tanto para o fornecedor como para o cliente. A ISO 27018 é mais estreita do que ambas: trata da privacidade, na nuvem pública, apenas para o papel de subcontratante.
| Referência | Âmbito | O que rege |
|---|---|---|
| ISO/IEC 27001 | Gestão da segurança da informação | O SGSI certificável que as outras estendem |
| ISO/IEC 27017 | Controlos de segurança na nuvem | Segurança dos serviços de nuvem, fornecedor e cliente |
| ISO/IEC 27018 | Privacidade na nuvem para subcontratantes | Proteção da PII tratada por um subcontratante na nuvem |
| GDPR | Direito da UE de proteção de dados | Obrigações legais que recaem sobre responsáveis pelo tratamento e subcontratantes |
A ISO 27018 é uma ponte útil para as obrigações do subcontratante ao abrigo do GDPR porque operacionaliza ideias que o regulamento exprime em termos jurídicos: limitação das finalidades, transparência sobre a subcontratação, assistência ao responsável pelo tratamento, e devolução ou eliminação dos dados. Mas não é um substituto. Um certificado face à ISO 27018 é prova de boas práticas do subcontratante, não uma constatação de conformidade legal. O GDPR atribui obrigações através de direito vinculativo e de contratos entre responsável pelo tratamento e subcontratante; uma norma não pode fazer isso por si.
O que os profissionais fazem realmente com ela
Para a maioria das organizações, a ISO 27018 é algo que se consome em vez de algo que se detém. Quando seleciona um serviço de nuvem e a sua avaliação de impacto sobre a proteção de dados ou o seu processo de risco de terceiros coloca a questão «este subcontratante é de confiança», a auditoria ISO 27018 do fornecedor é um dos artefactos que recolhe, a par das declarações de âmbito da ISO 27001, dos relatórios SOC e do acordo de tratamento.
- Confirme que o certificado está válido e que o serviço de nuvem que realmente utiliza está dentro do âmbito auditado, e não apenas o SGSI corporativo.
- Leia-a em conjunto com a ISO 27001 e a ISO 27017, pois as três foram concebidas para serem sobrepostas, e um fornecedor que detém as três cobriu a segurança e a privacidade na nuvem de forma mais completa.
- Mapeie os controlos da ISO 27018 nas suas próprias obrigações ao abrigo do GDPR em vez de presumir sobreposição, porque a norma apoia a relação de subcontratante mas não desonera o responsável pelo tratamento dos seus deveres legais.
- Mantenha o contrato de tratamento como o documento vinculativo. A norma sinaliza intenção; o acordo de tratamento de dados é o que faz cumprir.
Frequently asked questions
01Pode um fornecedor ser certificado segundo a ISO 27018 por si só?
Não. A ISO 27018 é um código de boas práticas aplicado dentro de um sistema de gestão ISO 27001. Um fornecedor é certificado segundo a ISO 27001 e auditado face à ISO 27018 como conjunto de controlos de privacidade aplicável, em vez de receber um certificado ISO 27018 separado.
02A ISO 27018 torna um fornecedor conforme com o GDPR?
Não. Faz a ponte para as obrigações do subcontratante ao abrigo do GDPR ao operacionalizar práticas como a transparência sobre a subcontratação e a devolução ou eliminação dos dados, mas a conformidade legal decorre da lei e do contrato de tratamento. Trate o certificado como prova de apoio, não como prova de conformidade.
03Qual é a diferença entre a ISO 27017 e a ISO 27018?
A ISO 27017 é o código de boas práticas de segurança na nuvem mais amplo, que cobre tanto o fornecedor como o cliente. A ISO 27018 é mais estreita: aborda a proteção da informação de identificação pessoal quando um fornecedor de nuvem pública atua como subcontratante.
04A minha organização deveria certificar-se segundo a ISO 27018?
Normalmente apenas se for você próprio a operar um serviço de nuvem pública que trata a PII dos clientes na qualidade de subcontratante. Para a maioria das organizações, a ISO 27018 é algo que se lê acerca dos seus fornecedores como elemento de diligência devida, não algo que se detém.
05Quem detém realmente a certificação ISO 27018?
É detida mais frequentemente pelos grandes fornecedores de nuvem e hyperscalers, uma vez que a norma se dirige ao papel de subcontratante de nuvem pública. Os seus clientes utilizam depois a auditoria como um dos elementos ao avaliar o fornecedor.