Kepatuhan ISO 27018: Inilah yang perlu Anda ketahui

Anda sedang menegosiasikan kontrak untuk layanan cloud. Untuk mencapai kesepakatan, perwakilan penyedia cloud bersandar ke seberang meja, memperbaiki pandangannya dan memberi tahu Anda, "Ngomong-ngomong, layanan ini bersertifikasi ISO 27018."

ISO 270-apa? Haruskah Anda menandatangani, atau mundur? Para eksekutif TI akan semakin dihadapkan pada pilihan seperti itu, berkat munculnya standar ISO 27018 untuk melindungi informasi identitas pribadi (PII) di cloud, yang diadopsi oleh Organisasi Standar Internasional (ISO) pada Juli 2014.

Dengan pelanggaran data, hilangnya PII, dan pencurian identitas yang terus berlanjut tanpa henti, tindakan apa pun untuk membendung arus ini sangat menarik bagi komunitas TI. Meski begitu, sejauh ini hanya Microsoft dan Dropbox yang telah mengumumkan layanan cloud yang sesuai dengan ISO 27018. Microsoft mensertifikasi layanan cloud Azure, aplikasi berbasis cloud Dynamics CRM dan ERP, serta aplikasi produktivitas bisnis berbasis cloud Office 365 pada Februari 2015. Dropbox mengumumkan pada April 2015 bahwa Dropbox untuk Bisnis telah disertifikasi. Mempertimbangkan dunia penyedia cloud dan layanan mereka, ini adalah permulaan yang kecil, tetapi sebagian besar pengamat percaya ini hanya masalah waktu sampai sebagian besar jika tidak semua penyedia cloud mengumumkan kepatuhan dengan standar.

Lihat juga: Gartner: Pendakian panjang yang sulit ke tingkat keamanan komputasi awan yang tinggi

Manfaat ISO 27018 sangat menjanjikan. Ini termasuk:

  • Kepercayaan pelanggan yang lebih besar pada layanan cloud
  • Pengaktifan operasi global yang lebih cepat
  • Kontrak yang disederhanakan
  • Perlindungan hukum untuk penyedia dan pengguna cloud

Inilah alasannya:

Kepercayaan pelanggan yang lebih besar pada layanan cloud. Kepatuhan dengan ISO 27018 berarti penyedia cloud telah melakukan daftar prosedur (lihat sidebar) untuk menangani PII. Karena kepatuhan memerlukan sertifikasi tahunan, kerasnya proses tersebut - dan sertifikat yang dihasilkan - harus memberikan kepercayaan baru kepada pelanggan pada penyedia mereka.

"Ini menunjukkan bahwa penyedia cloud Anda memiliki tingkat kematangan tertentu dalam menangani PII," kata Christie Grabyan, pimpinan praktik keamanan perusahaan di BishopFox, sebuah konsultan keamanan data.

Seorang pengacara menegaskan bahwa makna upaya melampaui sertifikat. "Motivasinya bukan hanya untuk memiliki selembar kertas di dinding. Anda mencoba untuk tidak mengacaukan data seseorang - intinya - ini tentang bisnis dan pelanggan dan kepercayaan diri," kata Colin Zick, mitra di bagian hukum. perusahaan Foley Hoag di Boston.

ISO 27018 yang boleh dan tidak boleh dilakukan

Yang Harus Dilakukan:

  • Tentukan apakah kepatuhan dengan ISO27018 penting bagi perusahaan Anda dan pelanggannya.
  • Tentukan apakah manfaatnya lebih besar daripada biaya kepatuhan.
  • Tentukan PII sejauh menyangkut Anda dan bisnis Anda serta pelanggannya.
  • Cari tahu apakah penyedia cloud Anda mematuhinya - atau minta perlindungan yang setara.
  • Minta agar penyedia cloud Anda mematuhinya. Karena beberapa penyedia hanya dapat melakukan kepatuhan jika didorong oleh pelanggan, suara Anda penting.

Larangan:

  • Jangan lupa bahwa Anda tetap bertanggung jawab atas keamanan PII yang Anda identifikasi.
  • Jangan langsung membuang penyedia cloud Anda hanya karena penyedia tersebut belum memiliki sertifikat kepatuhan. Penyedia cloud dapat memenuhi sebagian besar atau semua ketentuan ISO 27018 dalam perjanjian Anda dengan mereka dan belum diaudit secara resmi. Diberitahu dan pahami sepenuhnya apa yang dilakukan penyedia Anda.

Sementara itu, penyedia cloud berharap pesan tersebut sampai ke pelanggan. "Pelanggan kami harus berada dalam posisi untuk memercayai kami. Mengaudit kami secara individu tidak akan berhasil, jadi penting bagi kami untuk memiliki sertifikasi independen," kata Patrick Heim, kepala kepercayaan dan keamanan di Dropbox.

Terlepas dari apakah penyedia cloud memperoleh sertifikasi formal atau tidak, elemen utama standar dapat disertakan dalam kontrak. "Anda masih dapat menegosiasikan secara pribadi semua ketentuan ISO 27018," kata Richard Kemp, pengacara dan pendiri firma hukum Inggris KempITLaw. Dengan semakin banyaknya ketentuan tersebut yang diterapkan, praktik umum untuk melindungi PII dalam kontrak cloud akan meningkat. Itu akan membuat pelanggan lebih nyaman secara keseluruhan.

Pengaktifan operasi global yang lebih cepat. Karena ISO 27018 memberikan pedoman umum di berbagai negara, akan lebih mudah bagi penyedia cloud untuk melakukan bisnis secara global - dan bagi pelanggan cloud untuk menandatangani kontrak dengan mereka untuk layanan di banyak penjuru dunia. Karena standar ISO 27018 sebagian besar didasarkan pada persyaratan Komunitas Eropa, bisnis harus berjalan lebih lancar di sana sebagai permulaan.

"Orang-orang pembuat peraturan Eropa mengatakan mereka sangat senang dengan standar yang akan diberlakukan," kata Neal Suggs, wakil presiden dan penasihat umum asosiasi Microsoft Corp. Tetapi manfaatnya harus lebih jauh. "Ada lebih dari 100 negara yang memiliki undang-undang yang melindungi data dan privasi," kata Deborah Hurley, pendiri perusahaan konsultan Hurley dan rekannya di Institute for Quantitative Social Science di Harvard University. "Ini bukan hanya hal Eropa. Setiap bisnis harus menganggap dirinya global. Ini sangat membantu untuk memenuhi persyaratan negara di seluruh dunia," tambahnya.

Dari perspektif penyedia cloud, ini akan mengurangi upaya rekayasa yang diperlukan untuk menyesuaikan layanan cloud dengan undang-undang privasi tertentu. "Sebuah standar memungkinkan insinyur untuk membangun sekali dan bekerja untuk banyak orang. Sulit untuk beradaptasi dengan hukum lokal, kata Suggs. Menambahkan Heim dari Dropbox," Tujuh puluh persen pelanggan kami adalah global. "

Kontrak yang disederhanakan

Pelanggan cloud sering kali meminta penyedia untuk mengisi kuesioner terkait praktik mereka dalam menangani PII. Mengisinya memakan waktu. Dengan memperoleh sertifikasi, penyedia cloud dapat menyajikan sertifikat sebagai jawaban untuk sebagian besar, jika tidak semua pertanyaan itu, mengurangi dokumen dan mempersingkat proses negosiasi.

"Keamanan perusahaan memperlambat banyak kesepakatan. Ada banyak gesekan," kata Dan Greenberg, kepala sekolah, Strategi & Taktik Terpadu, LLC, yang menegosiasikan perjanjian cloud, seringkali untuk perusahaan teknologi kecil. "Alih-alih 32 pertanyaan, sertifikat kepatuhan mungkin menangani 30 pertanyaan itu. Itu masalah besar." Saya berharap standar tersebut mengurangi gesekan, "katanya.

Salah satu faktor yang terkadang dapat menghalangi atau menghentikan proses kontrak adalah asuransi dunia maya, yang ditulis oleh operator asuransi untuk menutupi biaya pelanggaran data dan pelanggaran privasi. "Asuransi siber sangat mahal, karena tidak ada standar, tidak seperti memiliki alarm pencuri," kata Greenberg. "Saya harus meninggalkan kesepakatan karena biaya asuransi dunia maya," tambahnya.

Bacaan terkait:

- 5 hal yang harus Anda ketahui tentang asuransi cyber

- Asuransi cyber: Hanya orang bodoh yang masuk

- Asuransi cyber: Layak, tetapi waspadalah terhadap pengecualian

- Budaya perusahaan menghalangi penerimaan asuransi cyber

Seorang eksekutif perusahaan asuransi mengatakan kepatuhan terhadap standar adalah faktor positif dalam kontrak cloud. "Jika penyedia disertifikasi di bawah standar ini, kami lebih suka melihatnya, dan syarat dan ketentuan akan mencerminkan hal itu," kata Eric Cernak, pemimpin praktik dunia maya untuk Operasi Munich Re US. Karena standar yang baru, bagaimanapun, bantuan dari tarif yang tinggi tidak akan segera terjadi, dia menambahkan, "Kami perlu memiliki beberapa pengalaman untuk melihat apakah itu menjamin premi yang lebih rendah."

Perlindungan kontraktual dan hukum. Meskipun masih terlalu dini untuk menetapkan preseden hukum, mematuhi standar ISO 27018 harus memberikan posisi yang menguntungkan bagi penyedia cloud dan pelanggan mereka dalam memenuhi ketentuan kontrak terkait dengan privasi informasi.

ISO 27018 mencakup berbagai macam subjek dan memberikan standar yang sesuai dengan audit, pertanyaan pelanggan dan tinjauan pemerintah, catat Zick. Kepatuhan memungkinkan penyedia layanan cloud (CSP) untuk menunjukkan bahwa kebijakan privasi dan praktiknya wajar dan sesuai dengan standar yang berlaku.

"Ini memberikan perlindungan yang aman dari sudut pandang hukum jika terjadi pelanggaran," kata Zick.

Konsep safe harbour artinya penyedia cloud tidak boleh dinilai lalai atau sembrono dengan PII karena telah bersusah payah untuk mendapatkan sertifikasi. Seorang pelanggan cloud mendapatkan keuntungan serupa. "Jika Anda memiliki standar untuk digunakan kembali, Anda dapat mengatakan itu kesalahan orang jahat dan jangan menyalahkan saya," tambah Zick. Dan kepatuhan harus membayar dividen secara global. "Regulator menyukainya karena mereka melihatnya sebagai jaminan kepatuhan terhadap aturan perlindungan data negara mereka sendiri," kata Zick.

Apa berikutnya?

Dengan semua manfaat ini, apa yang menghambat penyedia cloud? Tampaknya ada dua faktor utama: biaya dan waktu komitmen untuk mendapatkan sertifikasi dan kurangnya protes pengguna yang menuntut kepatuhan.

"Kami belum memiliki pelanggan yang menuntutnya," kata Frank Balonis, direktur senior layanan teknis di Accellion, CSP yang berfokus pada berbagi file, terutama untuk pengguna seluler.

Baik Microsoft dan Dropbox adalah penyedia cloud besar dengan kantong tebal dan banyak keuntungan dalam diferensiasi kompetitif dari kepatuhan. CPS yang lebih kecil ada di perahu yang berbeda. "Kemungkinan besar ini akan menjadi beban bagi penyedia cloud yang lebih kecil," kata Cernak. Tapi seiring waktu, katanya, mereka mungkin tidak punya pilihan. "Apakah ini akan menjadi bagian dari harga tiket masuk menjadi penyedia cloud?"

Balonis mengatakan Accellion berharap mendapatkan keunggulan kompetitif ketika menyelesaikan audit ISO 27018 pada awal 2016. "Ini memberikan lapisan jaminan tambahan untuk rumah sakit dan firma hukum - pelanggan yang memberi nilai tinggi pada PII," katanya.

Meskipun kepatuhan akan selalu membutuhkan usaha dan biaya, begitu sertifikat diberikan, sertifikasi tahunan akan berjalan lebih mudah dan lebih murah, para ahli setuju. Sebagian besar juga setuju bahwa tanpa permintaan pelanggan akan kepatuhan, banyak penyedia cloud akan menahan diri.

Untuk pelanggan cloud, langkah pertama adalah mendapatkan informasi dan mengajukan pertanyaan. Zick merekomendasikan agar pelanggan meninjau perjanjian mereka dengan penyedia layanan cloud untuk melihat apakah penyedia memiliki rencana untuk mematuhi ISO 27018. Kemudian mereka harus mempertimbangkan amandemen perjanjian untuk menambahkan kepatuhan ISO 27018. "Akreditasi pihak ketiga benar-benar bernilai, terutama karena akreditasi ini terus berlanjut. Tidak pernah berhenti," kata Zick. Namun dia tidak mengharapkan standar untuk mengubah industri cloud dalam semalam. "Ini adalah proses yang akan memakan waktu bertahun-tahun, jika bukan satu dekade, untuk diterapkan."

Apa yang ada di standar ISO 27018

Karena informasi identitas pribadi (PII) dapat digunakan untuk tujuan bisnis seperti iklan bertarget dan analitik data yang memengaruhi individu, pemahaman tentang apa itu data dan bagaimana data itu dapat digunakan oleh penyedia cloud penting bagi semua orang. Tujuan ISO 27018 adalah untuk menetapkan pemahaman semacam itu dan memberi individu kesempatan untuk memberikan atau mencabut persetujuan atas penggunaan PII mereka.

Diadopsi sebagai standar pada Juli 2014, ISO 27018, meskipun signifikan, merupakan bagian dari rangkaian ISO 27000 dan tambahan evolusioner dari standar sebelumnya ISO 27001 dan ISO 27002. Tidak mungkin mencapai kepatuhan ISO 27018 tanpa pemasangan lebih dulu rintangan dari ISO 27001 dan ISO 27002 - yang telah dilakukan oleh banyak penyedia cloud.

Rangkaian standar ISO 27000 menangani masalah privasi, kerahasiaan, dan keamanan teknis. Standar tersebut menguraikan ratusan potensi kontrol dan mekanisme kontrol. Secara singkat:

  • ISO 27001 - Mencakup keamanan di cloud. Sertifikasi tahunan diperlukan.
  • ISO 27002 - Menjelaskan cara mematuhi ISO 27001.
  • ISO 27018 - Menambahkan informasi pengenal pribadi ke cakupan 27001.

ISO 27018 mengamanatkan bahwa penyedia layanan cloud (CSP) yang sesuai:

  • Tidak akan menggunakan data pelanggan untuk tujuan independen mereka sendiri, seperti periklanan dan pemasaran, tanpa persetujuan tertulis dari pelanggan.
  • Tidak akan mengikat perjanjian untuk menggunakan layanan dengan penggunaan data pribadi CSP untuk periklanan dan pemasaran.

Selain itu, ISO 27018:

  • Menetapkan parameter yang jelas dan transparan untuk pengembalian, transfer, dan pembuangan informasi pribadi dengan aman.
  • Mewajibkan CSP untuk mengungkapkan identitas setiap sub-pemroses yang mereka libatkan untuk membantu pemrosesan data sebelum pelanggan menandatangani kontrak.
  • Jika CSP mengubah sub-pemroses, CSP diharuskan memberi tahu pelanggan segera untuk memberi mereka kesempatan menolak untuk mengakhiri perjanjian mereka.

ISO 27018 tidak muncul dalam ruang hampa. Ini serupa dengan standar lain, seperti HIPAA, yang mencakup informasi kesehatan pribadi (PHI), serta SSAE (Pernyataan tentang Standar Pengikatan Pengesahan No. 16) dan ISAE (Standar Internasional untuk Pengikatan Pengesahan No. 3402), yang merupakan standar audit untuk kontrol keamanan dan efektivitas kontrol keamanan yang ditetapkan oleh Institut Akuntan Publik Amerika dan Dewan Standar Audit dan Jaminan Internasional dari Federasi Akuntan Internasional.

Ketahui PII Anda

Ini jam 3 pagi; tahukah Anda di mana informasi identitas pribadi (PII) Anda?

Sebelum Anda dapat menjawab pertanyaan itu, Anda perlu mendefinisikan apa itu PII, sejauh menyangkut bisnis Anda.

Secara umum, PII adalah informasi apa pun yang dapat dilacak ke individu. Dalam standar ISO 27018, ISO menjelaskan PII sebagai "informasi apa pun yang (a) dapat digunakan untuk mengidentifikasi prinsip PII yang terkait dengan informasi tersebut, atau (b) terkait atau mungkin secara langsung atau tidak langsung terkait dengan prinsip PII".

Paling sering, itu adalah nama seseorang dan informasi pribadi lainnya, seperti alamat atau nomor jaminan sosial. Namun, ini juga bisa menjadi karakteristik fisik, seperti suara seseorang, gambar wajah, atau video dari gerakan yang menandai, seperti gaya berjalan seseorang. Selanjutnya, algoritme canggih semakin mampu mengikat bit informasi yang semakin kecil ke individu tertentu.

Untuk tujuan kewajiban kontrak, terserah pelanggan untuk mengatakan apa itu PII.

Seperti yang dijelaskan dalam dokumen ISO, "Pemroses PII cloud publik biasanya tidak dalam posisi untuk mengetahui secara eksplisit apakah informasi yang diprosesnya termasuk dalam kategori tertentu kecuali jika dibuat transparan oleh pelanggan layanan cloud."

Terjemahan: Sebagai pelanggan cloud, Anda harus tahu apa yang Anda anggap sebagai PII dan Anda harus memberi tahu penyedia cloud.

Setelah Anda selesai melakukannya, penyedia cloud bersertifikat harus menangani informasi tersebut sesuai dengan pedoman ISO 27018.

Artikel ini, "Kepatuhan ISO 27018: Inilah yang perlu Anda ketahui", awalnya diterbitkan oleh ITworld.