Microsoft poinformował, że jako pierwszy dostawca usług cloud computing, który wdrożył normę ISO/EIC 27018:2014, dotyczącą bezpieczeństwa przetwarzania danych osobowych (Personally Identifiable Information, PII) przez usługodawców chmurowych (Cloud Service Provider, CSP). Uregulowaniami wyszczególnionymi przez te normę objęte zostały Microsoft Azure, Office 365 i Dynamics CRM Online oraz Intune.
Norma ISO/EIC 27018:2014 stanowi rozszerzenie normy ISO 27001 dotyczącej zarządzania bezpieczeństwem informacji i jest pierwszą normą, która opisuje zasady bezpieczeństwa PII w środowisku chmury publicznej.
Norma ISO/EIC 27018:2014 wymusza na dostawcach usług chmurowych:
• Przetwarzanie informacji zgodnie z wymogami klientów i wskazanym przez nich celem
• Przetwarzanie informacji w celach marketingowych wyłącznie po wyrażeniu jednoznacznej zgody przez klienta oraz zakaz uzależnienia korzystania z usług od wyrażenia takiej zgody
• Ujawnienie danych klienta organom porządku publicznego tylko wówczas, gdy usługodawca zostanie do tego prawnie zobowiązany
• Ujawnianie nazw podmiotów, którym zleca się operacje na danych klienta oraz informowanie o lokalizacji przechowywanych danych bez konieczności kontaktu klienta z działem wsparcia
• Informowanie klienta w sytuacji naruszenia bezpieczeństwa ich danych
• Zapewnienie odpowiedniego szkolenia zespołowi mającemu kontakt z danymi klientów oraz podpisanie z nimi umów o zachowaniu poufności
Zgodność usług chmurowych Microsoft z ww. normą potwierdziły British Standards Institute (BSI), który zweryfikował Microsoft Azure, Office 365 i Dynamics CRM Online, oraz Bureau Veritas, który skontrolował Microsoft Intune.
Źródło: Microsoft