La ISO 27018 proporciona un código de práctica para proteger datos personales en nubes públicas, para organizaciones que actúan como operadores de datos personales.
Las obligaciones que recaen sobre un operador de datos personales varían de una jurisdicción a otra, siendo un desafío para las empresas que brindan servicios de computación en la nube.
La ISO 27018 es un conjunto común de categorías y controles de seguridad, basado en ISO/IEC 27002, que puede implementar un operador de datos personales de nube pública. La certificación de cumplimiento demuestra el compromiso del proveedor de IaaS, SaaS o PaaS con las mejores prácticas para proteger los datos personales en la nube.
El certificado de cumplimiento de la norma ISO 27018 está indicado para empresas que actúan como operadores de datos personales. Un operador de datos personales en la nube pública es una organización que procesa datos personales a través de servicios en la nube, ya sea PaaS, IaaS o SaaS. .
La consultoría para el proceso de obtención del certificado de conformidad con la norma ISO 27018 es un servicio fundamental para las empresas que buscan organizar sus estructuras para someterse a una auditoría. La consultoría se encarga de conducir todo el proceso, siendo un gran facilitador para empresas de distintos niveles de madurez.
Conozca los principales beneficios y diferenciales del servicio de seguimiento para la certificación ISO 27018 ofrecida por OSTEC
El servicio proporciona una entrega consultiva y en profundidad, aportando valor a los profesionales implicados en el proyecto.
Metodología ampliamente enfocada, que aumenta las posibilidades de obtener la certificación.
Campañas de incentivos a las ventas que otorgan premios extraordinarios a los socios más destacados del año.
Profesionales con amplia experiencia práctica y certificaciones líderes en el mercado, entre ellas:
Curso Online para empleados con certificado, incluyendo un curso para auditores internos. Imprescindibles para la certificación.
Realización de una auditoría interna a distancia, por un profesional exento de consultoría. Esta acción aumenta las posibilidades de éxito del proceso de certificación.
Proceso de certificación con alcance personalizable, posibilitando una propuesta comercial que se apegue a las necesidades de cada cliente.
Obtenga más información sobre la metodología que ayudará a su empresa a obtener la certificación ISO 27701.
Plan de trabajo para cada una de las etapas de implementación
Auditoría interna, por un profesional exento de consultoría.
Auditoría de certificación realizada por un organismo independiente
Gap Analysis: Identificación de la situación actual de la organización.
Evaluación, análisis y tratamiento de los riesgos identificados
Identificación de la causa y acciones necesarias, debido a incumplimientos.
Mantenimiento del SGSI en cumplimiento de la norma, para auditorías de mantenimiento.
Realizamos un pre-diagnóstico para entender sus necesidades y entregar una propuesta de precios acorde a la realidad de la empresa.
Estudio de caso sobre el
proceso de certificación
ISO27001, 27701 y 27018 en la empresa
Prothera.
Operador de datos personales es la organización que procesa datos personales de acuerdo con las instrucciones del controlador de datos personales (cliente). Por lo tanto, un operador de datos personales en una nube pública es una organización que realiza este tratamiento a través de servicios en la nube, ya sea PaaS, IaaS o SaaS.
El estándar ISO/IEC 27018 no es certificable. Luego de ser auditada y cumplir con este estándar, la organización recibe un Certificado de Cumplimiento para demostrar al mercado que cumple con los requisitos de protección de datos personales en una nube pública.
El tiempo promedio para obtener la certificación es de 9 meses, pero se puede ajustar de acuerdo a la complejidad del entorno y alcance del proyecto.
Durante el proceso de seguimiento para la certificación, se puede identificar la necesidad de otras inversiones, tales como: contratación de personas, plataforma de sensibilización y capacitación, soluciones de hardware y software, realización de pruebas de intrusión o análisis de vulnerabilidad, realización de auditoría interna de autoría y certificación.
MÁS CERTIFICACIONES DE SEGURIDAD PARA SU NEGOCIO
Requisitos para proteger la información mediante la adopción de un Sistema de Gestión de Seguridad de la Información (SGSI).
Requisitos para el tratamiento y protección de datos personales, permitiendo la extensión del (SGSI) a un Sistema de Gestión de Privacidad de la Información.
Eleve los niveles de seguridad de su negocio cumpliendo con la norma ISO 27018 .
