Этот год для Microsoft будет решающим, так как, являясь первым в мире провайдером для облачных сервисов, компания первая за всю историю будет использовать для защиты личной информации международный стандарт. Как известно, ISO/IEC 27018 был создан для возможности создания основы использования международного подхода к защите личных данных, хранящихся в облаке.
Защита личной информации в облаке является не только технической и инженерной проблемой, которую можно решить напрямую через программы и технологические операции. Конфиденциальность личных данных является социальной проблемой, выходящей за пределы хранения данных и управления ими в облачном сервисе. Это все требует, чтобы государства, организации, научные круги и потребители задумались о более глубоких проблемах, таких как риски, вред и последствия действий, имеющих место в облачном сервисе. ISO/IEC 27018 поможет упростить этот процесс для всех заинтересованных лиц.
Глобальная база для облачных сервисов
До появления стандарта ISO/IEC 27018, не было международно-признанного шаблона программы для защиты данных, которые обеспечивают идентификацию личности (PII) и хранятся в облаке. Однако существует общепринятый стандарт ISO/IEC 27001:2013, который позволяет легко обнаружить риски в системе защиты личных данных и принять меры по их предотвращению. Основываясь на этом, стандарт ISO/IEC 27018 представляет сейчас самое современное четкое руководство к действию для провайдеров облачного сервиса (CSPs) по оценке риска и управления личными данными (PII), которые хранятся в облаке.
Соблюдение правил ISO/IEC 27018 гарантирует системный подход для защиты данных и доказывает, что провайдер является «сознательным гражданином» в облачной экосистеме. Внешние устройства усложняют выполнения многих требований по национальной безопасности и защите данных в облачной системе, этот документ может быть рассмотрен в качестве всеобщего эталона по выполнению базовых требований для хранения данных в облаке.
Microsoft и остальные CSPs должны учитывать шесть основных принципов ISO/IEC 27018:
- Согласие. CSPs не имеют право использовать получаемые личные данные в качестве рекламы или маркетинга, если это не является пожеланием заказчика.
- Контроль. Пользователи полностью контролируют использование своих данных.
- Информационная открытость. CSPs должны уведомить пользователей, как хранятся их личные данные и четко объяснить, как они обрабатываются.
- Ответственность. ISO/IEC 27018 утверждает, что о любом нарушении в информационной безопасности следует уведомить сервисную службу, чтобы определить ущерб, утечку личной информации или ее изменение.
- Коммуникабельность. В случае нарушения, CSPs должны предупредить пользователей, иметь четкий отчет о происшествии и быть готовыми нести ответственность.
- Независимость и ежегодная проверка. Успешная аудиторская проверка CSPs сторонней организацией свидетельствует о соблюдении установленных требований стандарта, и о том, что пользователи могут не беспокоиться о нарушении их нормативных обязательств. Для того чтобы соответствовать требованиям, CSPs должны прибегать к сторонним аудиторским проверкам.
Все эти требования очень важны для современной правовой среды, где зачастую у корпоративных клиентов есть свои собственные правила по соблюдению конфиденциальности. Мы настроены оптимистично относительно того, что ISO/IEC 27018 может послужить шаблоном, как для стороны, предоставляющей услуги, так и заказчиков, потому что, это стандарт способен обеспечить надежной защитой личные данные во всех регионах и отраслях промышленности.
Защита личной информации
Принятие стандарта ISO/IEC 27018 является частью общего капиталовложения компании Microsoft для осуществления внедрения облачной службы, на которую можно было бы полагаться. Что это означает?
Можно привести множество объяснений. Выполнение требований ISO / IEC 27018 дает уверенность корпоративным клиентам, что конфиденциальность их информации будет защищена различными способами. Они понимают, что могут:
- Всегда иметь информацию о том, где хранятся данные и как они обрабатываются
- Быть уверенными, что личные данные не используются для маркетинговых и рекламных целей без их согласия. Выбор всегда остается за заказчиком.
- Быть уверенными в свободном предоставлении информации о возврате, перемещении, полном удалении всех личных данных по запросу
- Рассчитывать на предоставление полного доступа, исправление или удаление запросов. Некоторые законы о защите информации (например, закон ЕС о защите информации) накладывают определенные требования на CSPs, такие как, предоставление клиентам доступа к своей информации, ее исправление или уничтожение. Мы помогаем заказчикам в решении этих вопросов.
- Рассчитывать на то, что мы можем во время уведомить о несанкционированном нарушении безопасности и раскрытии личных данных и помочь им выполнить свои обязанности
- Быть уверенными в соблюдении всех юридических предписаний с нашей стороны, в случае раскрытия личных данных
- Могут рассчитывать на независимую аудиторскую проверку сторонней организации по выполнению всех требований указанных выше. Проверить соответствие с документом ISO / IEC 27018, пройти строгую проверку по требованиям, указанным в ISO/IEC 27001 аккредитованной организацией по сертификации
Все перечисленное выше является гарантом доверия потребителей для хранении своих данных в облаке.
Учет потребностей населения
ISO/IEC 27018 can serve as a template for regulators and customers alike.
Доверие наиболее важно для потребителей облачного сервиса, особенно если это касается управления важными данными при помощи сторонней организации. В таких условиях, даже договорного обязательства может быть недостаточно.
Чаще всего заказчики хотят подтверждения, что все обещания будут выполнены. Microsoft понимает это беспокойство и то, что важно сохранять «прозрачный» доступ. Вот почему в провайдеры облачного сервиса компании Microsoft самые первые, кто принял наиболее строгие методы по защите информации.
Пройдите сертификацию по ISO/IEC 27018 и загрузите результаты через наш облачный сервис для независимого аудита контрольных точек.
Соблюдение правил ISO/IEC 27018 является свидетельством о нашей надежности и обеспечивает четкое понимание того, что Microsoft будет обрабатывать личные данные, учитывая принципы защиты информации, использовать их только для тех целей, которые определил сам владелец. Компания Microsoft взяла на себя обязательство защищать конфиденциальность своих заказчиков в интернете. Вы сами контролируете ситуацию с платформой «Microsoft cloud».