ISO 27018: Proteção de informações de identificação pessoal
O que é a ISO 27018?
A ISO/IEC 27018:2019 é um código de boas práticas de segurança da informação para os fornecedores de serviços em nuvem que processam informações pessoalmente identificáveis para os seus clientes. É uma extensão da ISO/IEC 27001:2013 e da ISO/IEC 27002, e fornece controlos de segurança adicionais. Especifica os requisitos de privacidade e as melhorias nos controlos de segurança da privacidade que os fornecedores de serviços em nuvem devem implementar.É complementar à ISO 27017:2015, Controlo da segurança dos serviços em nuvem, e à ISO 27701:2019, Gestão de informações sobre privacidade, que também alargam a ISO 27001:2013.
Como extensão da ISO 27001, a ISO 27018 fornece orientações sobre 16 controlos da ISO 27002, para além de fornecer 25 novos controlos de privacidade e segurança:
- Requisitos para a cooperação com os responsáveis pelo tratamento de dados.
- Manutenção dos direitos de proteção dos dados pessoais identificáveis.
- Conformidade com os requisitos de privacidade, como a minimização e a exatidão dos dados.
- Os princípios da transparência e da responsabilidade.
- Controlos de segurança adicionais.
- Requisitos para o tratamento externalizado.
Contacto
Útil com
- Confiança do cliente
- Reputação da marca
- Vantagem competitiva
- Fugas de dados
- Continuação da confidencialidade
- Cumprir os regulamentos
- Gestão do risco
- Aumento da segurança
- Aquisições
Otras normas de gestión de riesgos:
- ISO 27001 - Segurança da informação
- ISO 27701 - Privacidade das informações
- ISO 20000-1 - Gestão de serviços de TI
- ISO 27017 - Controlos de segurança para serviços em nuvem
- ISO 22301 - Continuidade das actividades
- ISO 44001 - Relações de trabalho colaborativas
- ISO 55001 - Gestão de activos
- ISO 41001 - Gestão de propriedades
Benefícios da certificação ISO 27018
Redução dos riscos
Ajuda a reduzir o risco de violações da privacidade e de multas por parte das autoridades de proteção de dados.
Garantia do cliente
Fornece garantias externas aos clientes de que as informações pessoais processadas na nuvem pelo fornecedor de serviços de computação em nuvem são tratadas em conformidade.
Alternativa à norma ISO 27701
Pode ser considerada uma alternativa adequada à norma ISO 27701 no contexto dos processadores de serviços em nuvem.
Alarga e melhora a certificação
Amplia e melhora a certificação ISO 27001.
Quadro de privacidade
Fornece um quadro de privacidade abrangente para os fornecedores de serviços de computação em nuvem que pretendem uma maior garantia da conformidade dos seus serviços de computação em nuvem com a privacidade.
PROCESSO DE CERTIFICAÇÃO
-
Passo 1
Terá de preencher o formulário de candidatura para que o NQA possa compreender as necessidades e os requisitos da sua empresa. Também pode apresentar o seu pedido preenchendo o orçamento rápido ou formal. Utilizaremos as informações fornecidas para definir o âmbito da auditoria e fornecer-lhe um orçamento de certificação.
-
Passo 2
Depois de ter aceite e assinado o orçamento, marcaremos uma data para a auditoria. A certificação inicial é composta por duas visitas (fase 1 e fase 2). O seu sistema de gestão deve estar a funcionar há pelo menos 3 meses e ter sido aprovado numa análise da gestão e numa auditoria interna.
-
Passo 3
Se passar com sucesso a fase 1 e a fase 2 da auditoria, o NQA emitirá um certificado para a norma auditada. Receberá uma cópia do seu certificado válida por 3 anos, sujeita à aprovação em auditorias de manutenção anuais e à recertificação trienal.