Certyfikacja ISO/IEC 27018 potwierdza, że Twoja organizacja chroni dane osobowe przetwarzane w usługach chmurowych zgodnie z międzynarodowym standardem. Multicert przeprowadza certyfikację ISO 27018 dla dostawców usług chmurowych — jako rozszerzenie ISO 27001 lub ISO 27017.
Co to jest ISO/IEC 27018 i czego dotyczy?
ISO/IEC 27018:2019 to międzynarodowa norma określająca wymagania i wytyczne dla ochrony danych osobowych (PII — Personally Identifiable Information) przetwarzanych przez dostawców usług chmurowych działających jako podmioty przetwarzające. Norma definiuje dodatkowe kontrole prywatności dla środowisk cloud.
ISO 27018 dotyczy m.in. transparentności celów przetwarzania, zakazu wykorzystywania danych do celów marketingowych bez zgody, procedur usuwania danych po zakończeniu umowy, powiadamiania o naruszeniach oraz lokalizacji przetwarzania. Uzupełnia ISO 27017 o wymagania specyficznie nakierowane na ochrona prywatności osób, których dane są przetwarzane.
Korzyści z certyfikacji ISO/IEC 27018
✓Zaufanie klientów powierzających dane — certyfikat ISO 27018 sygnalizuje, że dane osobowe ich użytkowników są bezpieczne w Twojej chmurze; kluczowy argument dla administratorw danych wybierających procesorów
✓Zgodność z RODO dla procesorów — norma adresuje obowiązki podmiotów przetwarzających wynikające z RODO; certyfikat wspiera wykazanie zgodności z art. 28 RODO
✓Przejrzystość przetwarzania — wymagana dokumentacja lokalizacji i celów przetwarzania, co ułatwia klientom przeprowadzenie due diligence przed zawarciem umowy
✓Wymaga przetargowe i kontraktowe — certyfikat ISO 27018 jest coraz częściej wymagany od chmurowych procesorów przez firmy z sektora finansowego, medycznego i publicznego
✓Integracja z ISO 27001/27017 — ISO 27018 jest łatwe do certyfikowania łącznie z ISO 27017 i ISO 27001 w ramach jednego audytu zintegrowanego
✓Ochrona przed karami RODO — udokumentowane kontrole prywatności zmniejszają ryzyko incydentów i kar administracyjnych sągających do 20 mln EUR lub 4% rocznego obrotu
Dla kogo jest certyfikacja ISO/IEC 27018?
Dostawcy usług SaaS, IaaS i PaaS przetwarzający dane osobowe klientów. ISO 27018 potwierdza dojrzałość firmy jako procesora danych w rozumieniu RODO.
Platformy e-commerce i fintech — serwisy gromadzące dane użytkowników, dane płatności i behawioralne w środowiskach chmurowych. Certyfikat ISO 27018 uzupełnia ISO 27001 o wymagania dla usług online.
Sektor zdrowotny i medtech — dostawcy oprogramowania medycznego, systemów elektronicznej dokumentacji medycznej i platform telezdrowia przetwarzający wrażliwe dane zdrowotne w chmurze.
Podwykonawcy i procesorzy dla dużych korporacji wymagających od partnerów certyfikacji chroniących dane osobowe ich klientów i pracowników.
Jak przebiega certyfikacja ISO/IEC 27018 w Multicert?
1
Analiza wstępna i wycenaBezpłatna ocena zakresu przetwarzania danych osobowych w chmurze, stanu istniejących systemów. Przygotowanie oferty i harmonogramu.
2
Przegląd dokumentacji (audyt etapu I)Audytor analizuje polityki przetwarzania danych osobowych w chmurze, procedury obsługi żądań PII, polityki retencji i usuwania danych, zasady podpowierzenia i powiadamiania o naruszeniach.
3
Audyt certyfikujący na miejscu (audyt etapu II)Weryfikacja wdrożonych kontroli ochrony PII w środowisku chmurowym, procedur obsługi incydentów, dokumentacji przetwarzania. Wynik: raport z audytu.
4
Decyzja certyfikacyjna i wydanie certyfikatuPo usunięciu niezgodności wydanie certyfikatu ISO/IEC 27018 ważnego 3 lata.
5
Nadzór i recertyfikacjaRoczne audyty nadzoru. Po 3 latach recertyfikacja.
FAQ — Certyfikacja ISO/IEC 27018
Czym jest ISO/IEC 27018?
ISO/IEC 27018:2019 to norma określająca wymagania dla ochrony danych osobowych (PII) przetwarzanych przez dostawców usług chmurowych działających jako podmioty przetwarzające. Uzupełnia ISO 27001 i ISO 27017 o wymagania specyficznie nakierowane na prywatność.
Jaka jest różnica między ISO 27018 a ISO 27701?
ISO 27018 jest przeznaczony wyłącznie dla dostawców usług chmurowych działających jako procesory PII. ISO 27701 jest szerszy — obejmuje zarówno administratorów, jak i procesory danych, niezależnie od środowiska (chmura lub nie). Obie normy mogą być wdrożone równocześnie.
Czy ISO 27018 wymaga posiadania ISO 27001?
ISO 27018 jest zaprojektowany jako uzupełnienie ISO 27001 i ISO 27017. Certyfikacja ISO 27018 jest najczęściej przeprowadzana łącznie z ISO 27001 lub ISO 27017 w ramach audytu zintegrowanego.
Ile trwa certyfikacja ISO/IEC 27018?
Dla firm posiadających ISO 27001 — zazwyczaj 1–2 miesiące (audyt rozszerzający). Dla nowych wdrożeń — 3–6 miesięcy.
Jak długo ważny jest certyfikat ISO/IEC 27018?
Certyfikat jest ważny 3 lata z rocznymi audytami nadzoru.