ISO/IEC 27018 - מזהה אישי בענן
תקן להגנה על מידע אישי מזהה בענן
אודות התקן
Information security, cybersecurity and privacy protection — Guidelines for protection ofpersonally identifiable information(PII) in public clouds acting as PIIprocessors
אבטחת מידע, אבטחת סייבר והגנת פרטיות — הנחיות להגנה על מידע אישי מזהה (PII) בעננים ציבוריים הפועלים כמעבדי PII.
דרישות התקן
הגנה על הפרטיות בימינו היא דרישה בסיסית ומרכזית מכל מחזיק או מעבד מידע אישי, במיוחד לאור השינויים בחוק הישראלי (תיקון 13 לחוק הגנת הפרטיות) ולדרישות חוקי הגנת הפרטיות בכל העולם.
למידע אישי בסביבות ענן ישנם איומים ייחודיים, אליהם מתייחס תקן זה ב12 קבוצות בקרות בנספח A, בנוסף על 93 הבקרות של 27002:2022.
התקן עוסק, בין היתר ב:
- הסכמה ובחירה (Consent and choice)
- לגיטימיות וציון המטרה (Purpose legitimacy and specification)
- מזעור נתונים (Data minimization)
- הגבלת שימוש, שמירה וחשיפה (Use, retention and disclosure limitation)
- פתיחות, שקיפות והודעה (Openness, transparency and notice)
- אחריות (Accountability)
- אבטחת מידע (Information security)
- ציות לפרטיות (Privacy compliance)
למי מיועד התקן
התקן מיועד לגופים המספקים שירותי ענן ללקוחותיהם, והמעבדים מידע אישי (PII).
להלן מספר דוגמאות לגופים העשויים להידרש לתקן:
- בנקים
- גופים רפואיים
- מוסדות השכלה
- גופים משפטיים
- גופים העוסקים בסקרים
