Tον Αύγουστο του 2014, ο Διεθνής Οργανισμός Τυποποίησης (ISO) και η Διεθνής Ηλεκτροτεχνική Επιτροπή (IEC) υιοθέτησε το ISO/IEC 27018:2014 – ένα διεθνές πρότυπο που αφορά στην επεξεργασία προσωπικών πληροφοριών από τους παρόχους υπηρεσιών υπολογιστικού σύννεφου («Πάροχοι»). Αποτελεί το πρώτο, διεθνώς αναγνωρισμένο κριτήριο που σχεδιάστηκε ειδικά για το υπολογιστικό σύννεφο («Cloud») και προβλέπει ένα ευέλικτο σύστημα αναγνώρισης πιθανών κινδύνων για την ασφάλεια των δεδομένων και μηχανισμών για την αντιμετώπιση τους.

Tο ISO/IEC 27018 βασίζεται σε καθιερωμένα πρότυπα ασφάλειας πληροφοριών, όπως το ISO 27001 και ISO 27002, που αναφέρονται σε γενικές αρχές ασφάλειας πληροφοριών και ελέγχων. (π.χ. ασφάλειας επιχειρησιακών εγκαταστάσεων, έλεγχοι κρυπτογράφησης κ.α.). Στη δημιουργία του ISO/IEC 27018 συνέβαλαν διάφορες Αρχές Προστασίας Προσωπικών Δεδομένων ανά τον κόσμο, συμπεριλαμβανομένων και των Ευρωπαϊκών. Ως εκ τούτου, η συμμόρφωση των υπηρεσιών Cloud με το ISO/IEC 27018 καταδεικνύει ότι αυτές υποστηρίζουν τις απαιτήσεις των Αρχών αυτών και ειδικότερα στο πώς οι Πάροχοι (εκτελούντες την επεξεργασία) θα πρέπει να προστατεύουν και να επεξεργάζονται τα δεδομένα των πελατών τους (υπευθύνων επεξεργασίας).

Επειδή το ISO/IEC 27018 σχεδιάστηκε για το Cloud, μπορεί να παράσχει σημαντική διαφάνεια στους πελάτες/χρήστες του Cloud που θέλουν να κατανοήσουν καλύτερα και να συγκρίνουν τις πρακτικές διαφόρων Παρόχων στο πώς αυτοί προστατεύουν τα δεδομένα. Το ISO 27018 έχει πρακτική αξία για αυτούς που αναζητούν έναν αξιόπιστο Πάροχο που θα τους βοηθήσει στα θέματα συμμόρφωσης με τις δικές τους υποχρεώσεις σε σχέση με την ασφάλεια και την προστασία των δεδομένων.

Οι Πάροχοι που υιοθετούν το ISO/IEC 27018 πρέπει να λειτουργούν σύμφωνα με έξι βασικές αρχές:

1. Συναίνεση: Οι Πάροχοι θα πρέπει να επεξεργάζονται τα προσωπικά δεδομένα των πελατών τους μόνο για τους σκοπούς που αυτοί ορίζουν και δεν θα πρέπει να τα χρησιμοποιούν για διαφημιστικούς ή/και προωθητικούς σκοπούς, εκτός εάν ρητά έχουν λάβει σχετική εντολή από τον πελάτη τους. Επιπλέον, δεν θα πρέπει να θέτουν ως προϋπόθεση για την παροχή των υπηρεσιών τους την υποχρεωτική παραχώρηση της συναίνεσης αυτής από τους πελάτες τους.

2. Έλεγχος: Οι πελάτες έχουν το ρητό έλεγχο στο τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά τους δεδομένα. Επίσης, οι Πάροχοι θα πρέπει να εφαρμόζουν πολιτικές που θα επιτρέπουν στους πελάτες την επιστροφή, διαβίβαση και/ή ασφαλή διαγραφή των προσωπικών δεδομένων τους εντός εύλογης χρονικής περιόδου μετά τη λήξη της συνεργασίας. Αυτό πρακτικά σημαίνει ότι οι πελάτες δεν θα «εγκλωβίζονται» μ’ ένα συγκεκριμένο Πάροχο ή μ’ ένα συγκεκριμένο λογισμικό εργαλείο ή σύστημα.

3. Διαφάνεια: Οι Πάροχοι θα πρέπει να πληροφορούν τους πελάτες τους αναφορικά με το πού είναι αποθηκευμένα τα δεδομένα τους, τους υπεργολάβους που χρησιμοποιούν καθώς και να αναλαμβάνουν συγκεκριμένες δεσμεύσεις για τον τρόπο επεξεργασίας τους.

4. Λογοδοσία: Το πρότυπο προβλέπει ότι τυχόν παραβίαση της ασφάλειας πληροφοριών θα πρέπει να ενεργοποιεί τον επανέλεγχο από τον Πάροχο προκειμένου να διαπιστώσει εάν υπήρξε κάποια απώλεια, αποκάλυψη ή τροποποίηση των προσωπικών δεδομένων των πελάτων του.

5. Επικοινωνία: Σε περίπτωση παραβίασης ο Πάροχος θα πρέπει να ενημερώνει τους πελάτες και να τηρεί αρχείο σχετικά με το περιστατικό. και τον τρόπο αντιμετώπισής του.

6. Ανεξάρτητος, ετήσιος έλεγχος: Ο Πάροχος θα πρέπει να υποβάλλεται ετησίως σε αυστηρούς ελέγχους από ανεξάρτητους φορείς.

Ένας επιτυχής τέτοιος έλεγχος που τεκμηριώνει τη συμμόρφωση της υπηρεσίας Cloud με το πρότυπο μπορεί να παρέχει στους πελάτες τα εχέγγυα για την περαιτέρω υποστήριξη των δικών τους κανονιστικών υποχρεώσεων.

Στην αγορά σήμερα υπάρχει ένα μεγάλος αριθμός Παρόχων, ωστόσο, δεν παρέχουν όλοι ένα διεθνές αναγνωρισμένο επίπεδο προστασίας και ασφάλειας δεδομένων. Θα ήταν, λοιπόν, σκόπιμο όταν κάποιος εξετάζει τη μετάβαση στο Cloud να διερευνά εάν ο υποψήφιος Πάροχος συμμορφώνεται με το ISO/IEC 27018 προκειμένου να εξασφαλίσει ότι τα δεδομένα του είναι προστατευμένα σύμφωνα με τα πιο υψηλά διεθνή πρότυπα.