Diferenças entre a ISO 27701 e a ISO 27018

O processamento de informações pessoais não é algo novo hoje, mas o uso exponencial que está ocorrendo devido à necessidade de troca entre departamentos da mesma empresa ou mais se possível, entre diferentes organizações para uma correta prestação de serviços, bem como a proliferação do uso de armazenamento deste tipo de informação na nuvem, o que torna necessário verificar se essas informações são devidamente gerenciadas e protegidas sob a proteção de normas ISO desenvolvidas especificamente para esse fim, como ISO 27701 e ISO 27018.

A norma ISO 27701 é uma norma de segurança que surge como resultado da publicação do Regulamento Geral de Proteção de Dados (GDPR) em 2018 e cujo objetivo é implementar um Sistema de Gestão de Privacidade da Informação (IMMS) para a aplicação de políticas e controles que protejam os dados pessoais da empresa de acordo com a legislação e regulamentos específicos de cada país. seja do ponto de vista de um Controlador de Dados ou de um Processador de Dados.

Esta norma exige que as empresas que serão certificadas pela ISO 27701 já estejam certificadas pela ISO 27001, pois seu objetivo é ajudar as empresas a integrar um SGSI ao atual Sistema de Gestão de Segurança da Informação (SGSI) ISO 27001, o que reduz o risco aos direitos de privacidade dos indivíduos e da organização, melhorando um sistema de gestão segurança das informações existentes. Para este fim, a ISO 27701 estende os requisitos da ISO 27001 para levar em consideração a proteção da privacidade dos titulares de dados que podem ser potencialmente afetados pelo processamento de Informações de Identificação Pessoal (doravante PII), além da segurança da informação.

A norma expande os requisitos de proteção da informação nas seções 4 a 10 da norma ISO 27001, especificamente para a seção 4 sobre o contexto organizacional e a seção 6 sobre planejamento de gerenciamento de riscos, sem fornecer necessidades adicionais no restante das seções. Também expande os requisitos do guia de boas práticas da ISO 27002 sobre alguns controles específicos, especificamente no 31*¹ , onde estão incluídas orientações adicionais para sua aplicação.

Além disso, também adiciona requisitos específicos do SGPI nos anexos da norma 27701, especificamente em A (31 controles – controlador PII) e B (18 controles – processador de dados). Esses controles são divididos nos seguintes blocos:

• Condições para coleta e processamento de PII.
• Obrigações para com as partes interessadas.
• Privacidade por design e privacidade por padrão.
• Troca, transferência e comunicação de PII.

A confidencialidade é um aspecto crucial em ambientes de nuvem, e é por isso que a ISO 27018 fornece uma base de boas práticas para a proteção de PII na nuvem para organizações que atuam como processadores dessas informações, ou seja, como ‘Processadores de Dados’.

A implementação desta norma está vinculada à norma 27001, que atua como base para especificar os requisitos da norma. De fato, com base nos controles de segurança estabelecidos no Anexo A da ISO 27001, i.e. ISO 27002, a norma adiciona requisitos de segurança para PII em controles específicos. Especificamente, nos 114 controles*¹ propostos pela ISO 27002, a ISO 27018 estabelece requisitos adicionais em 15 dos controles.

Ao contrário da ISO 27701, ela não adiciona nenhum acréscimo aos controles da ISO 27001, ou seja, não possui requisitos relacionados ao sistema de gestão como tal.

Além disso, a ISO 27018 estabelece 25 controles divididos nos seguintes 8 princípios de privacidade da informação, que estabelece um conjunto de requisitos para a proteção de PII na nuvem:

• Consentimento e escolha.
• Legitimação e especificação da finalidade.
• Minimização de dados.
• Limitação de uso, retenção e divulgação.
• Abertura, transparência e notificação.
• Responsabilidade.
• Segurança da informação.
• Conformidade com a privacidade.

A ISO 27018 se concentra na privacidade de dados em ambientes de nuvem, sendo relevante para as empresas que atuam como ‘Processadores de Dados’ e que lidam com Informações de Identificação Pessoal (PII) na nuvem. Esta norma estabelece controles e diretrizes específicas para garantir a proteção de PII na nuvem, adicionando requisitos de segurança adicionais aos controles já estabelecidos pela ISO 27001.

Por outro lado, a ISO 27701 estende os requisitos de privacidade da ISO 27001, com o objetivo de ajudar as organizações, sejam elas ‘Controladoras de Dados’ ou ‘Processadores de Dados’, a gerenciar e proteger dados pessoais de forma mais eficaz. Esse padrão não se limita a um ambiente de nuvem específico, mas se aplica a qualquer organização que lida com dados pessoais, fornecendo uma estrutura para a implementação de um Sistema de Gerenciamento de Privacidade da Informação (IMMS) que se integra ao Sistema de Gerenciamento de Segurança da Informação (ISMS) existente.

Da GlobalSuite Solutions oferecemos a ajuda e o suporte necessários para a adaptação completa de sua organização à ISO 27701 e ISO 27018, nossos especialistas irão guiá-lo identificando suas necessidades específicas e fornecendo as melhores práticas para gerenciamento de privacidade e proteção de dados. Nosso software GlobalSuite®, por outro lado, facilitará a automação de processos, oferecendo uma plataforma intuitiva que permitirá integrar e gerenciar todos os seus sistemas de gerenciamento de segurança e privacidade da informação de forma eficiente e eficaz. Desta forma, ajudamos a sua organização a garantir o cumprimento das normas, minimizando riscos, otimizando os seus recursos para o ajudar a obter as certificações correspondentes.

Entre em contato conosco hoje e leve a segurança e a privacidade de suas informações para o próximo nível!