Datensicherheit in der Cloud: Was das ISO 27018-Zertifikat in der Praxis bedeutet
Nach aktuellen Studien sieht die breite Mehrheit der Unternehmen den Einsatz anerkannter Sicherheitsverfahren oder aber die Zertifizierung durch unabhängige Dritte als entscheidendes Kriterium für die Auswahl eines Cloud-Anbieters an.
Um dies zu garantieren, lassen sich seriöse Anbieter von unabhängigen Stellen zertifizieren. Doch welches Zertifikat garantiert Sicherheit?
Nach aktuellen Studien sieht die breite Mehrheit der Unternehmen den Einsatz anerkannter Sicherheitsverfahren oder aber die Zertifizierung durch unabhängige Dritte als entscheidendes Kriterium für die Auswahl eines Cloud-Anbieters an.
Um dies zu garantieren, lassen sich seriöse Anbieter von unabhängigen Stellen zertifizieren. Doch welches Zertifikat garantiert Sicherheit?
Die auf europäischer und internationaler Ebene bisher meist verwendeten Datenschutzstandards wie die ISO/IEC 27001-Norm enthalten meist allgemeinere Sicherheitsbestimmungen. Der ISO/IEC 27018-Standard ( „Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors“) hingegen beschäftigt sich ausschliesslich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud, indem er datenschutzrechtliche Anforderungen für Cloud-Dienste formuliert.
ISO/IEC 27018 ist damit ein essenzielles Add-On, um Kunden adäquate Sicherheit in der Cloud zu bieten. Der Standard richtet sich im Wesentlichen nach den Schutz- und Überwachungspflichten der geltenden europäischen Datenschutzgesetze und verlangt umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten von Cloud-Anbietern.
In der Praxis bedeutet das unter anderem:
Personenbezogene Daten dürfen nur in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
Kunden müssen bei der Wahrnehmung von Betroffenenrechten unterstützt werden. Es müssen Tools offeriert werden, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.
Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, die daraus zu erwartenden Konsequenzen und die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen den Kunden sofort gemeldet werden.
Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
Die Anbieter verpflichten sich dazu, die angebotenen Cloud-Dienstleistungen in regelmässigen Intervallen und auch bei grösseren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.
Hinweis:
Sie können beim Kommentieren folgende HTML Tags und Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>