31/10/2018 - Equipe Target
NBR ISO/IEC 27018 de 10/2018: a proteção das Informações de Identificação Pessoal (PII)
A NBR ISO/IEC 27018 de 10/2018 - Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadores de PII estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteger as Informações de Identificação Pessoal (personally identifiable information - PII) de acordo com os princípios de privacidade descritos na ISO/IEC 29100, para o ambiente de computação em nuvem pública. Em particular, esta norma especifica diretrizes com base na NBR ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de PII que podem ser aplicáveis dentro do contexto do (s) ambiente (s) de risco de segurança da informação de um provedor de serviços em nuvem pública.
Esta norma é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que fornecem serviços de processamento de informações, como processadores de PII, por meio da computação em nuvem sob contrato para outras organizações. As diretrizes desta norma também podem ser relevantes para organizações que atuam como controladores de PII, entretanto, os controladores de PII podem estar sujeitos à legislação, regulamentos e obrigações adicionais de proteção de PII, não se aplicando aos processadores de PII. Esta norma não se destina a abranger estas obrigações adicionais.
Target Genius Respostas Diretas:Quais são as categorias de controle?
Quais são as diretrizes para implementação da proteção de PII em nuvem pública?
Quais devem ser os procedimentos e responsabilidades operacionais?
Como deve ser feito o uso comercial do processador de PII em nuvem pública?
Qual o período de retenção para políticas e diretrizes de segurança administrativas?
Os provedores de serviços em nuvem que processam PII sob contrato com seus clientes têm que operar seus serviços de forma a permitir que ambas as partes atendam aos requisitos da legislação e regulamentos aplicáveis que abrangem a proteção de PII. Os requisitos e a forma como os requisitos são divididos entre o provedor de serviços em nuvem e seus clientes variam de acordo com a jurisdição legal, e de acordo com os termos do contrato entre o provedor de serviços em nuvem e o cliente.
A legislação que regula como a PII é permitida para ser processada (ou seja, coletada, utilizada, transferida e descartada) é algumas vezes referida como legislação de proteção de dados; a PII é algumas vezes referida como dados pessoais ou informações pessoais. As obrigações q...