logo_FEDER español
gss-logo-header
PT
ESENFR
DemoSolicite uma demonstração
Segurança

ISO 27018. Segurança e Proteção de Informação Pessoal na nuvem

Ángel Ortega
🕑 4 minutes read

Table of contents

Nos últimos anos, a tecnologia avançou de forma exponencial, como é o caso do armazenamento na nuvem, que oferece às organizações múltiplos benefícios relacionados com a rapidez de acesso à informação a partir de qualquer ponto e uma poupança tecnológica significativa.

Este modelo de gestão que diferentes fornecedores oferecem a nível internacional tem como contrapartida a preocupação sobre a proteção dos dados e a privacidade destes no que diz respeito à informação de identificação pessoal (PII), entendendo esta informação não só como o nome de um interessado, mas também os dados relacionados com a sua pessoa, como dados bancários, médicos, endereços IP, entre outros.

O modelo de gestão na nuvem pode apresentar uma dificuldade em identificar onde se encontram alojados, as medidas de proteção aplicadas nas redes de comunicações ou como estas organizações gerem a informação de identificação pessoal dos interessados alojados nos seus sistemas de informação.

Como consequência desta preocupação, a International Organization for Standardization (ISO) atualizou em janeiro de 2019, a norma relacionada com a segurança da informação, concretamente a ISO 27018, com o fim de desenvolver processos que deem cobertura aos fornecedores de serviços na nuvem, permitindo certificar perante os seus clientes que, se garantem os seus direitos com base nos consentimentos recolhidos.

O que nos propõe especificamente a ISO 27018?

A ISO 27018 pretende, em termos gerais, identificar de forma precisa como o fornecedor gere os dados pessoais dos interessados, estabelece os procedimentos necessários para qualquer solicitação ou acesso aos mesmos, oferecendo deste modo aos clientes uma total transparência neste sentido

A ISO 27018, oferece uma base de boas práticas para a proteção de informação de identificação pessoal (PII) na nuvem para organizações que atuam como processadores desta informação.

A sua implementação está ligada à norma ISO 27001, que atua como base na hora de especificar os requisitos próprios da norma. Neste sentido, a ISO 27018 divide-se em dois grandes blocos de atuação:

  • Controlos Declaração de Aplicabilidade: Partindo dos controlos de segurança estabelecidos no Anexo A da ISO 27001 ou o código de boas práticas ISO 27002, a norma acrescenta requisitos de segurança para a informação de identificação pessoal (PII) sobre controlos específicos. Neste sentido, dos 114 controlos que a norma de Segurança da Informação propõe, a ISO 27018 estabelece requisitos adicionais sobre 15 controlos, distribuídos entre os seguintes domínios:
    • Domínio 5: Políticas de Segurança da Informação
    • Domínio 6: Organização da Segurança da Informação
    • Domínio 7: Segurança dos Recursos Humanos
    • Domínio 9: Controlo de Acesso
    • Domínio 10: Criptografia
    • Domínio 11: Segurança física e ambiental
    • Domínio 12: Segurança das operações
    • Domínio 13: Segurança das comunicações
    • Domínio 16: Gestão de incidentes
    • Domínio 18: Cumprimento

O que define o Anexo A da norma ISO 27018?

Os 8 princípios ou controlos específicos de privacidade da informação, aplicáveis ao gestor de dados na nuvem e o modo de implementá-los, o que conforma um conjunto de requisitos para a proteção de PII. Os princípios em que se baseia são os seguintes:

    • Consentimento e escolha
    • Propósito de legitimidade e especificação
    • Minimização dos dados
    • Limite de uso, retenção e divulgação
    • Abertura, transparência e notificação
    • Responsabilidade
    • Segurança da Informação
    • Cumprimento da privacidade

A implementação da norma acarreta grandes benefícios aos operadores de dados na nuvem, mais ainda com a certificação da norma ISO 27018, o qual só é certificável de forma conjunta com a ISO 27001. Entre os benefícios, podemos destacar:

  • Oferece confiança sobre a proteção da informação dos clientes e partes interessadas, protegendo a imagem da organização face a acessos ou violação de dados.
  • Permite identificar os riscos a que a informação (PII) está exposta, estabelecendo controlos para a sua mitigação.
  • Diferenciação em relação aos concorrentes do mesmo setor, provendo uma proteção à informação sob uma norma internacional.
  • Proteção face a multas, oferecendo um sistema de gestão que zela pela proteção da informação dos interessados.

Por último, destacar que o GlobalSuite® permite uma implementação eficaz da norma ISO 27018, ao estar plenamente adaptada aos requisitos identificados no presente artigo, já não só para empresas que estejam certificadas na ISO 27001, mas também para aquelas que decidem abordar a implementação de ambas as normas.

Share:

Ángel Ortega
. Consultor Departamento de Consultoría de GlobalSuite Solutions Consultor senior especializado en Tecnologías de la Información. Cuenta con la certificación GlobalSuite® Consultant

More articles