Microsoft adopta el estándar ISO/IEC 27018 para la privacidad en la nube
Microsoft ha adoptado el estándar ISO/IEC 27018 para aumentar la privacidad de los clientes en la nube. Este estándar es una de las normas internacionales de control de la nube (Cloud) que permiten proteger la privacidad de los datos personales almacenados en sus sistemas. Algunos de los productos que han adoptado este estándar son Microsoft Azure, Microsoft Office 365, Microsoft Dynamics CRM y Microsoft Intune.
Después del escándalo de las revelaciones de Edward Snowden del espionaje de la NSA a los principales servicios de Microsoft, los clientes dejaron de confiar en los servicios proporcionados por la compañía. Según Brad Smith, Consejero Delegado de Microsoft, los clientes utilizarán sólo los servicios en los que confían, y desde Microsoft creen que adoptando esta norma ISO podrán recuperar la confianza perdida.
Lo más relevante del cumplimiento de esta norma es que se adhieren a las garantías de seguridad y las políticas relativas a la modificación, traslado y eliminación de los datos personales almacenados en sus centros de datos. Microsoft promete bajo este estándar, que los clientes sabrán donde están sus datos e identificar si hay terceros que necesiten acceder a los datos de los clientes. Asimismo, Microsoft ha declarado que si hay un acceso no autorizado a la información (para visualizarla, modificarla o eliminarla) avisarán al cliente perjudicado de forma inmediata.
Aunque el cumplimiento de la norma ISO/IEC 27018 no terminará con las especulaciones acerca del espionaje masivo de la NSA, el cumplimiento de esta norma exige que las solicitudes de aplicaciones de la ley para divulgación de datos personales identificables deben darse a conocer a los clientes empresariales. Sin embargo, es probable que tal divulgación esté prohibida por la ley del país, por lo que nunca se comunicaría que se ha pedido información sobre un cliente en concreto.
Las cinco claves principales del estándar ISO/IEC 27018 son los siguientes:
- Consentimiento: los proveedores de servicios no accederán a los datos personales para temas de publicidad o marketing a menos que el usuario lo requiera.
- Control: los usuarios deben especificar cómo se usará la información que le ha proporcionado a la empresa.
- Transparencia: los proveedores de servicios informarán a sus clientes sobre dónde están sus datos y si utilizan otras empresas a modo de externalización de servicios.
- Comunicación: los proveedores deben mantener un registro claro sobre cualquier incidente para posteriormente comunicárselo al cliente en cuestión.
- Auditoría externa sobre el cumplimiento de las normativa ISO/IEC 27018.
Fuente: DataCenterDynamics