Elmec Informatica aggiunge un nuovo standard nella tutela dei dati dei clienti dei servizi cloud attraverso la conformità alle linee guida ISO 27017:2015.
Si tratta di un ulteriore codice di condotta integra la certificazione ISO 27001 per garantire la trasparenza, la riservatezza e il controllo sul servizio erogato.
La certificazione ISO 27017 aiuta i fornitori di servizi di cloud ad affrontare gli obblighi giuridici applicabili, nonché le aspettative dei clienti, facilitando la definizione dei contratti e migliorando la trasparenza dei servizi.
Attraverso la certificazione ISO 27018, inoltre, Elmec informatica garantisce il rispetto e le norme della privacy da parte dei service provider di public cloud che elaborano dati personali (PII – Personally Identifiable Information) e che agiscano in qualità di Data (PII) Processor.
La certificazione ISO 27017
Gli standard internazionali sono in aggiunta e integrano le linee guida fornite in ISO/IEC 27002. La ISO 27017:2015 fornisce linee guida a supporto dell’implementazione dei controlli sulla sicurezza delle informazioni per i clienti dei servizi cloud e i fornitori di servizi cloud.
Alcune linee guida sono per i clienti del servizio cloud che implementano i controlli e altre sono per i fornitori di servizi cloud per supportare l’implementazione di tali controlli.
La selezione di adeguati controlli di sicurezza delle informazioni e l’applicazione delle linee guida per l’implementazione fornite dipenderanno da una valutazione del rischio e da eventuali requisiti legali, contrattuali, normativi o di sicurezza delle informazioni specifici del settore cloud.
La norma internazionale fornisce linee guida per i controlli di sicurezza delle informazioni applicabili alla fornitura e all’utilizzo di servizi cloud fornendo:
– ulteriori linee guida di attuazione per i controlli pertinenti specificati nella norma ISO/IEC 27002;
– controlli aggiuntivi con guida all’implementazione che riguardano specificamente i servizi cloud.
- suddivisione delle responsabilità tra fornitore e clienti dei servizi cloud;
- rimozione/assegnazione delle attività alla cessazione di un contratto;
- protezione e separazione degli ambienti virtuali;
- configurazione delle Virtual Machine;
- attività amministrative e procedure connesse con l’ambiente cloud;
- monitoraggio delle attività del cliente all’interno dell’ambiente cloud;
- allineamento degli ambienti virtuale e cloud.
