ISO 27018: אבטחת מידע אישי (PII) בשירותי ענן ציבוריים


בעידן שבו רוב המידע העסקי והפרטי מאוחסן בענן, הרגולטורים והלקוחות דורשים יותר מסתם "אבטחת מידע". הם דורשים הגנה ספציפית על הזהות שלהם. תקן ISO/IEC 27018 הוא התקן הבינלאומי הראשון המתמקד אך ורק בהגנה על מידע המאפשר זיהוי אישי (PII) בסביבת ענן ציבורי.

ארגון המוסמך לתקן זה מצהיר בפני לקוחותיו: "המידע האישי שלכם בטוח אצלנו, אנחנו פועלים לפי הסטנדרטים המחמירים ביותר בעולם לפרטיות בענן."

איך תקן ISO 27018 עוזר לעסק שלך?

  • חיזוק אמון הלקוחות: הסמכת ISO 27018 היא ההוכחה החזקה ביותר שספק שירות (כמו חברת SaaS) אינו משתמש במידע של לקוחותיו לצרכיו שלו (כמו פרסום או כריית נתונים).

  • עמידה בדרישות GDPR: התקן מספק מסגרת עבודה טכנית ותפעולית התואמת רבות מדרישות ה-GDPR האירופי, במיוחד בכל הנוגע להעברת מידע לספקי משנה.

  • הגנה משפטית: במקרה של דליפת מידע, הוכחת עמידה בתקן מעידה על כך שהארגון נקט ב"זהירות סבירה" ובסטנדרטים בינלאומיים, מה שעשוי להפחית חשיפה משפטית.

  • יתרון אסטרטגי במכירות (Enterprise): חברות ענק (Fortune 500) וגופים ממשלתיים דורשים לעיתים קרובות את ISO 27018 כתנאי סף לבחירת ספק ענן.

מהם עקרונות המפתח של ISO 27018?

התקן מבוסס על מספר עקרונות שמרחיבים את ISO 27001 ו-ISO 27017:

  1. איסור על שימוש במידע לפרסום: ספק הענן מתחייב לא להשתמש במידע אישי שנמסר לו לצורך שיווק או פרסום, אלא אם קיבל הסכמה מפורשת.

  2. שקיפות מלאה: הארגון חייב לדווח ללקוחותיו היכן המידע מאוחסן פיזית ואילו ספקי משנה (Sub-processors) חשופים למידע.

  3. זכות המחיקה והחזרה: הבטחת נהלים המאפשרים ללקוח למחוק את המידע שלו לצמיתות או לקבל אותו חזרה בסיום ההתקשרות.

  4. דיווח על אירועי אבטחה: חובה לעדכן את הלקוח באופן מיידי על כל פריצה או גישה לא מורשית למידע האישי שלו.

  5. סיוע בציות: הספק מתחייב לסייע ללקוחותיו לעמוד בחובותיהם הרגולטוריות (כמו מענה לבקשות עיון במידע).

למה לבצע את התהליך עם OLBIZ?

הטמעת ISO 27018 היא משימה מורכבת המשלבת הבנה טכנית של ארכיטקטורת ענן יחד עם הבנה משפטית של חוקי פרטיות. ב-OLBIZ אנו מציעים:

  • מומחיות ב-Cloud Privacy: אנו מומחים בבניית מערכי הגנה על מידע אישי בסביבות מורכבות (AWS, Azure, GCP).

  • אינטגרציה חכמה: במקום לעבוד בנפרד, אנו מטמיעים את ISO 27018 כחלק משולב עם ISO 27001 ו-ISO 27017, מה שחוסך כפל מסמכים ועבודה.

  • בדיקות נאותות לספקים: אנו עוזרים לכם לבנות את מנגנון הפיקוח על ספקי המשנה שלכם, נקודת תורפה קריטית ברגולציה.

  • ליווי עד התעודה: צוות היועצים שלנו מלווה אתכם במבדק החיצוני, מבטיח שכל השאלות המקצועיות מקבלות מענה ומבטיח את קבלת ההסמכה.

שאלות ותשובות: ISO 27018

  • מה ההבדל בין ISO 27018 ל-ISO 27701 (פרטיות)?
    שאלה מצוינת. ISO 27701 הוא תקן רחב לניהול פרטיות בכל ארגון (PIMS). ISO 27018 הוא ממוקד הרבה יותר – הוא נועד ספציפית לספקי שירות בענן ציבורי שמעבדים מידע אישי עבור לקוחותיהם. חברות SaaS רבות בוחרות ב-27018 בגלל המיקוד הטכנולוגי בענן.

  • האם התקן רלוונטי רק לספקי ענן ענקיים?
    ממש לא. הוא רלוונטי לכל חברה שמציעה שירות מבוסס ענן (אפליקציה, מערכת ניהול, כלי שיווק) ומחזיקה במידע של משתמשים קצה. עבור סטארט-אפים, זהו כלי שיווקי ממדרגה ראשונה.

  • איך התקן מתייחס לבקשות של רשויות אכיפה (ממשלות) לקבלת מידע?
    ISO 27018 קובע נהלים קשיחים: הספק חייב להודיע ללקוח על בקשה כזו, אלא אם כן החוק אוסר זאת מפורשות. זה מעניק ללקוח שכבת הגנה נוספת מול התערבות ממשלתית במידע שלו.

  • האם צריך לעבור מבדק כל שנה?
    בדומה לשאר תקני ה-ISO, ההסמכה היא למחזור של 3 שנים, כאשר בכל שנה נדרש מבדק תחזוקה (Surveillance Audit) כדי לוודא שהארגון ממשיך לעמוד בסטנדרטים.

5 הצעדים להסמכת ISO 27018 :

  1. סקירת PII: זיהוי כל נקודות המגע של הארגון עם מידע אישי בענן.

  2. עדכון נספחי אבטחה (DPA): התאמת חוזי ההתקשרות מול לקוחות וספקי משנה.

  3. הטמעת בקרות שקיפות: בניית תהליכים המאפשרים ללקוח לדעת היכן המידע שלו ואיך הוא מוגן.

  4. מבדק פנימי: סימולציה של המבדק הרשמי על ידי מומחי OLBIZ.

  5. התעדה: מעבר מבדק על ידי גוף הסמכה חיצוני וקבלת התעודה המיוחלת.

אל תתנו למידע של הלקוחות שלכם להיות בסיכון. הפכו את הענן שלכם למבצר של פרטיות. צרו קשר עם OLBIZ עוד היום לקבלת הצעה להסמכת ISO 27018.

logo בניית אתרים