Microsoft Azure adopta ISO/IEC 27018, el primer conjunto internacional de controles de privacidad en la nube

ISO 27018 es el primer conjunto internacional de controles de privacidad en la nube, y Microsoft anunció hoy que Azure es la primera plataforma informática en la nube en adoptar ISO 27018.

“La noticia de hoy es solo una forma en la que hemos estado trabajando para ayudar a fortalecer las protecciones de privacidad y cumplimiento para nuestros clientes en la nube. La primavera pasada recibimos confirmación de las autoridades europeas de protección de datos que los contratos de nube empresarial de Microsoft están en línea con las "cláusulas modelo" bajo la ley de privacidad de la UE con respecto a la transferencia internacional de datos”, dijo Brad Smith de Microsoft.

Los proveedores de servicios en la nube (CSP) que adoptan ISO/IEC 27018 deben operar bajo cinco principios clave:

1. Consentimiento: Los CSP no deben utilizar los datos personales que reciben para publicidad y marketing, a menos que el cliente se lo indique expresamente. Además, debe ser posible que un cliente utilice el servicio sin someterse a dicho uso de sus datos personales para publicidad o marketing.
2. Controlar: Los clientes tienen un control explícito de cómo se utiliza su información.
3. Transparencia: Los CSP deben informar a los clientes dónde residen sus datos, divulgar el uso de subcontratistas para procesar la PII y asumir compromisos claros sobre cómo se manejan esos datos.
4. Comunicación: En caso de incumplimiento, los CSP deben notificar a los clientes y mantener registros claros sobre el incidente y la respuesta al mismo.
5. Auditoría independiente y anual: Una auditoría exitosa de un tercero sobre el cumplimiento de un CSP documenta la conformidad del servicio con el estándar, y luego el cliente puede confiar en ella para respaldar sus propias obligaciones reglamentarias. Para seguir cumpliendo, el CSP debe someterse a revisiones anuales de terceros.

Lea más al respecto esta página.