Multicert
Ochrona PII w chmurze publicznej

Certyfikacja ISO/IEC 27018

Realizowane z międzynarodową jednostką akredytowaną
W skrócie

ISO/IEC 27018:2019 to kodeks postępowania dla ochrony danych osobowych (PII) w chmurze publicznej, w której CSP działa jako procesor danych. Rozszerzenie ISO 27001 wspierające zgodność z RODO/GDPR. Realizujemy audit; certyfikat wystawia międzynarodowa jednostka partnerska.

Definicja

Czym jest ISO/IEC 27018?

ISO/IEC 27018:2019 to międzynarodowy kodeks postępowania dla ochrony danych osobowych (Personally Identifiable Information, PII) w chmurze publicznej, w której dostawca usługi (CSP) działa jako procesor danych. Stanowi rozszerzenie ISO 27001/27002 o kontrole specyficzne dla PII.

Norma adresuje najważniejsze obszary RODO/GDPR: zgodę i wybór klienta, ograniczenie celu przetwarzania, transparentność (informacja o sub-procesorach i jurysdykcjach), prawo do usunięcia i eksportu danych. Wymaga wcześniejszego wdrożenia ISO 27001 — najczęściej certyfikowana razem z ISO 27001 i ISO 27017 w jednym audycie zintegrowanym.

Pełna nazwa
ISO/IEC 27018:2019 — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
Sektor
Dostawcy chmury publicznej przetwarzający PII (SaaS B2B/B2C, fintech, healthtech, edtech)
Status
Rozszerzenie ISO 27001 — wymaga wdrożonego SZBI
Kluczowy fokus
Zgodność z RODO/GDPR przy roli procesora danych w chmurze publicznej
Wymagania

Wybrane kontrole Annex A ISO 27018.

  • A.1

    Zgoda i wybór klienta

    Przejrzystość celów przetwarzania PII, ograniczenie do celów uzgodnionych z klientem (PII controller).

  • A.2

    Cel przetwarzania

    Zakaz wykorzystania PII do marketingu/reklamy bez wyraźnej zgody, ograniczenia do funkcji usługi.

  • A.5

    Otwartość, transparentność, notyfikacja

    Informacja o sub-procesorach, lokalizacjach przetwarzania, dostępie organów ścigania.

  • A.9

    Zwrot, transfer i usunięcie PII

    Procedury usunięcia danych po zakończeniu umowy, eksport w formacie strukturalnym.

  • A.10

    Zgodność (compliance)

    Audity przez klientów (PII controllers), współpraca z organami nadzorczymi (UODO/EDPB).

Proces

Proces certyfikacji w pięciu krokach.

  1. 01 1 dzień

    Zapytanie + wycena

    Krótka rozmowa o zakresie (typ usługi, kategorie PII, jurysdykcje, ISO 27001 jako wymóg wstępny). Bezpłatna wycena w 2h.

  2. 02 3–5 dni

    Umowa + plan auditu

    Podpisanie umowy, dobór audytorów z kompetencjami w zakresie cloud + ochrony danych osobowych.

  3. 03 1–2 dni

    Audyt etapu 1

    Przegląd dokumentacji ISO 27001 + dodatkowych kontroli ISO 27018 + DPA z klientami.

  4. 04 2–4 dni

    Audyt etapu 2

    Audyt certyfikacyjny — wizja procedur PII, transparentności, sub-processor management. Najczęściej łączony z ISO 27001 i 27017.

  5. 05 2–3 tyg.

    Wystawienie certyfikatu

    Decyzja certyfikacyjna i wystawienie certyfikatu przez międzynarodową jednostkę akredytowaną.

FAQ

Najczęstsze pytania.

Co to jest ISO 27018?

ISO/IEC 27018:2019 to międzynarodowy kodeks postępowania dla ochrony danych osobowych (Personally Identifiable Information, PII) w chmurze publicznej, w której CSP działa jako procesor danych. Rozszerzenie ISO 27001/27002 o kontrole specyficzne dla PII — zgoda, cel przetwarzania, transparentność, prawo do usunięcia.

Czy ISO 27018 zastępuje certyfikację RODO?

Nie istnieje „certyfikacja RODO" sensu stricto (oczekiwane certyfikaty RODO z art. 42 nie zostały jeszcze powszechnie ustanowione). ISO 27018 jest najlepszym dostępnym standardem demonstracji zgodności CSP z RODO przy roli procesora danych — uznawany przez audytorów RODO i komisarzy ochrony danych.

Czym ISO 27018 różni się od ISO 27701?

ISO 27018 = code of practice dla CSP przetwarzających PII w chmurze publicznej (rozszerza kontrole ISO 27002). ISO 27701 = pełny PIMS (Privacy Information Management System) dla każdej organizacji przetwarzającej PII (controller lub processor). ISO 27701 jest szerszy i pełniej adresuje RODO.

Kto wymaga ISO 27018 od dostawców?

Duzi klienci korporacyjni (banki, ubezpieczyciele, sektor publiczny, healthtech, edtech) — szczególnie w ramach procesów przetargowych i należytej staranności (due diligence). AWS, Microsoft Azure, Google Cloud, Salesforce — wszyscy posiadają certyfikat ISO 27018 jako standard rynkowy.

Pogłębienie tematu

Pogłębienie wiedzy

Blog

Blog Multicert

39+ artykułów eksperckich o certyfikacji ISO, wyrobach CE, CPR i regulacjach UE.

 Interpretacja

Interpretacje normatywne

Praktyczne interpretacje norm wyrobów — luki, klasyfikacje, ścieżki certyfikacji.

 Program

Programy autorskie Multicert

10 dedykowanych programów branżowych — hotele, AI, FM, sport, e-commerce.
Bezpłatna wycena w 2h

Wyceń certyfikację — Certyfikacja ISO/IEC 27018.

Doradczyni Klienta oddzwoni z konkretną wyceną w ciągu 2 godzin w godzinach pracy. Audyt prowadzi Multicert; certyfikat wystawia międzynarodowa jednostka akredytowana.

Pełnomocnik Klienta

Małgorzata Nowakowska

Bezpieczeństwo informacji — ISO 27xxx

+48 508 354 190 [email protected]
Wyceń certyfikację
Zadzwoń Bezpłatna wycena