W lipcu 2014 r., ISO oraz IEC opublikowały normę ISO 27018 ((ISO/IEC 27018 – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors). Jest to pierwsza norma opisująca zasady bezpieczeństwa danych stanowiących PII w chmurze obliczeniowej, a jednocześnie bazująca na dorobku prawnym w zakresie ochrony danych wielu różnych jurysdykcji, włączając w to państwa członkowskie Unii Europejskiej.
Rozwój technologiczny, który nastąpił w ciągu ostatnich lat, spowodował, że zarówno przedsiębiorcy, jak i zwykli użytkownicy, zaczęli poszukiwać nowych sposobów przechowywania i wykorzystywania danych, które jednocześnie byłyby łatwo dostępne w dowolnym miejscu i czasie. Konsekwencją tego procesu było stworzenie narzędzi umożliwiających przetwarzanie danych w chmurze obliczeniowej. Jednocześnie pojawiła się także potrzeba wypracowania rozwiązań dotyczących zapewnienia bezpieczeństwa informacji przechowywanych w chmurze. Ponieważ częstokroć dane powierzane do przetwarzania są danymi osobowymi chronionymi w różny sposób zgodnie z ustawodawstwami wielu państw, powstało pytanie o jakość i jednolitość standardów w zakresie ochrony danych stosowanych przez globalnych dostawców usług w chmurze działających transgranicznie. Konieczność ustandaryzowania zasad bezpieczeństwa przetwarzania danych osobowych w chmurze obliczeniowej i podniesienia zaufania użytkowników do przetwarzania danych w chmurze spowodowały, że Międzynarodowa Organizacja Normalizacyjna, ISO (International Organization for Standardization) oraz Międzynarodowa Komisja Elektrotechniczna IEC (International Electrotechnical Commission) rozpoczęły prace nad zbiorem standardów i wskazówek dotyczących bezpieczeństwa przetwarzania w chmurze obliczeniowej danych stanowiących tzw. informacje umożliwiające identyfikację osoby, PII (Personally Identifiable Information). W lipcu 2014 r. ISO oraz IEC opublikowały normę ISO 27018 (ISO/IEC 27018 – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors). Jest to pierwsza norma opisująca zasady bezpieczeństwa danych stanowiących PII w chmurze obliczeniowej. Podstawowym celem nowej normy jest stworzenie zbioru zasad dotyczących bezpieczeństwa przetwarzania PII przez podmioty świadczące usługi przetwarzania danych w chmurze, przy uwzględnieniu takich założeń, jak chociażby transparentność usługi z punktu widzenia użytkownika, ustalenie jasnych standardów w zakresie praw i obowiązków dostawcy usług i użytkownika, czy wdrożenie podstawowych zasad umożliwiających przetwarzanie danych przy zapewnieniu zgodności z głównymi wymogami prawnymi wynikającymi z różnych jurysdykcji. Norma może zostać wdrożona przez różne podmioty, włączając w to firmy, podmioty publiczne, jak również organizacje non-profit, które wykonują czynności z zakresu przetwarzania danych w chmurze. Nowy standard stawia dostawcom pewne wymagania, do których można zaliczyć w szczególności:
- obowiązek zapewnienia użytkownikom kontroli nad przetwarzaniem ich danych:
- o obowiązek zapewniania użytkownikom możliwości dostępu, poprawiania i usunięcia danych;
- o obowiązek zapewniania, aby dane użytkowników przetwarzane były zgodnie z ich instrukcjami i wskazanym celem; oraz
- konieczność zapewnienia ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np. podwykonawców (obowiązek zapewniania poufności; obowiązek ujawnienia podwykonawców użytkownikom).
Wdrożenie ISO 27018 pozwoli lepiej chronić dane udostępniane przez użytkowników. Standard ISO 27018 będzie zapewne bardzo popularnym narzędziem w rękach globalnych dostawców oferujących usługi przechowywania danych w chmurze. Obecnie najczęstszym problemem dostawców jest konieczność dostosowywania świadczonych usług do standardów ochrony danych użytkowników obowiązujących w różnych państwach i jurysdykcjach. Dzięki normie ISO 27018, która uwzględnia dotychczasowy dorobek wielu jurysdykcji, a w tym ustawodawstwa europejskiego, dostawa usług będzie mógł łatwiej wykazać, że zastosował podstawowe zasady bezpieczeństwa danych. Rzecz jasna z pewnością podniesie to wiarygodność dostawcy w oczach użytkowników. Nie ulega wątpliwości, że implementacja standardu ISO 27018 wpłynie bardzo pozytywnie na postrzeganie dostawców. Dlatego należy spodziewać się, że globalne firmy informatyczne przystąpią niebawem do procesu wdrożenia nowego standardu.