TL;DR 

ISO 27017 e 27018 são extensões da ISO 27001 focadas em Cloud.

27017 = controles de segurança para responsabilidade compartilhada na infraestrutura Cloud (CSPs + clientes).

27018 = como lidar com dados pessoais (PII) na Cloud pública.

Sem certificados separados — geralmente revisados durante auditorias ISO 27001. Forte indício de alinhamento com GDPR e práticas seguras na Cloud.

Resumo do Scorecard ISO 27017 / 27018:

• Esforço do Desenvolvedor: Moderado (Requer compreensão das responsabilidades da Cloud, implementação de configurações específicas de segurança na nuvem e potencialmente a construção de funcionalidades para gerenciamento/direitos de PII, se aplicável). O esforço é aditivo à ISO 27001.
• Custo das Ferramentas: Custo incremental mínimo em relação à ISO 27001 (Usa as ferramentas ISO 27001 existentes; os custos se relacionam principalmente à implementação de controles específicos como monitoramento aprimorado ou criptografia, se ainda não estiverem presentes).
• Impacto no Mercado: Alto (Especialmente para CSPs e empresas que utilizam intensivamente a Cloud; ISO 27018 é fundamental para demonstrar proteção de PII na Cloud relevante para o GDPR).
• Flexibilidade: Moderada (Fornece orientação e controles específicos dentro da estrutura flexível da ISO 27001).
• Intensidade da Auditoria: Avaliado como parte de uma auditoria ISO 27001 de alta intensidade (Adiciona áreas específicas para os auditores examinarem relacionadas à Cloud e PII).

O que são ISO 27017 / 27018?

ISO/IEC 27017 e ISO/IEC 27018 são normas internacionais da família ISO 27000, fornecendo orientação setorial específica para computação em Cloud. Elas se baseiam na estrutura geral e nos controles encontrados na ISO 27001 e ISO 27002 (que fornece orientação de implementação para os controles do Anexo A).

• ISO/IEC 27017:2015 (Código de prática para controles de segurança da informação baseado na ISO/IEC 27002 para serviços de Cloud):
  
  • Fornece orientação sobre 37 controles na ISO 27002 especificamente relevantes para a segurança na nuvem.
  • Introduz 7 novos controles específicos de Cloud não presentes na ISO 27002, abrangendo áreas como papéis e responsabilidades compartilhados, monitoramento de serviços de Cloud, hardening de máquinas virtuais e remoção de ativos para clientes.
  • Esclarece os papéis e responsabilidades entre o Provedor de Serviços Cloud (CSP) e o Cliente de Serviços Cloud (CSC) para a implementação de cada controle.
  • Foca amplamente na gestão da segurança da informação na Cloud.
• ISO/IEC 27018:2019 (Código de prática para proteção de informações de identificação pessoal (PII) em Clouds públicas atuando como processadores de PII):
  
  • Foca especificamente na proteção de PII processados por CSPs públicos.
  • Estabelece objetivos e fornece orientação para a implementação de controles que atendam aos requisitos de proteção de PII.
  • Aborda princípios como consentimento e escolha, legitimidade da finalidade, minimização de dados, limitação de uso/retenção/divulgação, precisão, salvaguardas de segurança, transparência e responsabilidade para processadores de PII.
  • Alinha-se de perto com regulamentações de privacidade como a GDPR.
  • Seus controles estendem amplamente os controles existentes da ISO 27002 com interpretações específicas para a proteção de PII na Cloud.

Crucialmente, nem a ISO 27017 nem a ISO 27018 são padrões de sistema de gestão como a ISO 27001. Você não é certificado diretamente para 27017 ou 27018. Em vez disso, você implementa suas diretrizes dentro de um Sistema de Gestão de Segurança da Informação (SGSI) compatível com a ISO 27001, e um auditor avalia sua implementação desses controles específicos durante sua auditoria ISO 27001.

Por que eles são importantes?

Embora extensões da ISO 27001, ISO 27017 e ISO 27018 sejam vitais para organizações que usam ou fornecem serviços de Cloud:

• Esclarece as Responsabilidades na Cloud: A ISO 27017 aborda especificamente o frequentemente obscuro modelo de responsabilidade compartilhada na Cloud, ajudando tanto os CSPs quanto os clientes a entender quem é responsável por quais controles de segurança.
• Constrói Confiança nos Serviços de Cloud: Demonstrar alinhamento com esses padrões garante aos clientes que um CSP segue as melhores práticas para segurança na nuvem (ISO 27017) e proteção de PII (ISO 27018).
• Aborda Riscos Específicos da Cloud: A ISO 27017 fornece orientação adaptada a ameaças e vulnerabilidades específicas da Cloud (por exemplo, segurança de virtualização, segregação de ambiente de cliente).
• Suporta Conformidade com a Privacidade (GDPR, etc.): ISO 27018 fornece uma estrutura clara para que os CSPs cumpram as obrigações de processador sob o GDPR e outras leis de privacidade, com foco em transparência, consentimento e direitos dos titulares de dados relacionados a PII.
• Vantagem Competitiva: Para CSPs, demonstrar conformidade (muitas vezes por meio da inclusão no escopo de uma auditoria ISO 27001) é um diferencial de mercado significativo, especialmente ao lidar com indústrias regulamentadas ou clientes preocupados com a privacidade.
• Postura de Segurança Aprimorada: A implementação dos controles e orientações adicionais fortalece genuinamente as práticas de segurança e privacidade no ambiente da Cloud.

Eles essencialmente traduzem os princípios mais amplos da ISO 27001/27002 para o contexto específico da computação em Cloud e do processamento de PII dentro dela.

O Quê e Como Implementar (Técnico e Político)

A implementação ocorre dentro de um SGSI ISO 27001 existente ou planejado:

1. Definição de Escopo (como parte da ISO 27001): Garanta que o escopo do seu SGSI inclua claramente os serviços de Cloud que você fornece ou consome.
2. Avaliação de Risco (como parte da ISO 27001): Identificar especificamente riscos relacionados à Cloud (utilizando a orientação da ISO 27017) e riscos de processamento de PII na Cloud (utilizando a orientação da ISO 27018).
3. Seleção de Controles (Statement of Applicability - SoA):
   
   • Revise os controles ISO 27002 através da ótica da ISO 27017, considerando a orientação específica da Cloud para CSPs e CSCs.
   • Implementar os 7 novos controles da ISO 27017, se aplicável, com base no risco (por exemplo, definição de responsabilidades compartilhadas, hardening de VMs).
   • Revise os controles ISO 27002 através da ótica da ISO 27018 se processar PII como um CSP público, implementando os objetivos de controle estendidos (por exemplo, em torno de consentimento, minimização de dados, transparência, direitos do usuário).
   • Atualize seu SoA para refletir a aplicabilidade e o status de implementação desses controles específicos da Cloud.
4. Implementar Controles Técnicos e de Políticas:
   
   • Exemplos de ISO 27017:
     
     • Documente claramente as responsabilidades compartilhadas com seu CSP/cliente (orientação A.6.1.1).
     • Implemente procedimentos para remoção/devolução de ativos ao encerrar um serviço de Cloud (orientação A.8.3.1, novo controle CLD.6.3.1).
     • Segregue ambientes virtuais (orientação A.13.1.3, novo controle CLD.9.5.1).
     • Endurecer imagens de máquinas virtuais (novo controle CLD.9.5.2).
     • Defina e implemente monitoramento específico de segurança de usuários da Cloud (orientação A.12.4.1).
   • Exemplos de ISO 27018 (para CSPs que processam PII):
     
     • Comprometer-se contratualmente a não processar PII para outros fins que não os instruídos pelo cliente (orientação A.18.1.4).
     • Manter transparência sobre os sub-processadores que lidam com PII (orientação A.15.1.1, A.15.1.2).
     • Implemente mecanismos para apoiar a conformidade do cliente com os direitos dos titulares de dados (acesso, correção, exclusão) (orientação A.18.1.4).
     • Exclua ou retorne PII com segurança após o término do contrato (orientação A.8.3.1, A.11.2.7).
     • Criptografe PII transmitidas por redes públicas (orientação A.13.2.1, A.13.2.3).
     • Implemente procedimentos de notificação de violação de dados específicos para PII (orientação A.16.1).
5. Treinamento e Conscientização: Garanta que a equipe relevante compreenda as responsabilidades de segurança na nuvem (ISO 27017) e os deveres de proteção de PII (ISO 27018).
6. Auditoria: Inclua os controles ISO 27017 / ISO 27018 implementados no escopo de suas auditorias ISO 27001 internas e externas.

O foco está em aplicar lentes específicas de proteção de Cloud e PII aos seus controles ISMS existentes.

Erros Comuns a Evitar

Erros comuns ao lidar com ISO 27017 \/ 27018:

1. Tratá-los como Certificações Independentes: Eles são códigos de prática que complementam a ISO 27001, não certificações independentes.
2. Ignorando a Fundação ISO 27001: Tentar implementar controles 27017/27018 sem um ISMS ISO 27001 adequado em vigor (avaliação de risco, SoA, etc.).
3. Não Definir o Escopo Corretamente: Falha em incluir serviços de Cloud relevantes ou atividades de processamento de PII dentro do escopo do SGSI.
4. Ignorando a Responsabilidade Compartilhada (ISO 27017): Assumir que o CSP lida com tudo, ou falhar em documentar claramente as responsabilidades entre provedor e cliente.
5. Foco Insuficiente em PII (ISO 27018): Para CSPs, não compreender ou implementar totalmente os requisitos específicos para consentimento, transparência, suporte aos direitos dos titulares dos dados e limitações no uso de PII.
6. Falta de Implementação Técnica: Tratar as diretrizes puramente como política, sem implementar os controles técnicos necessários (por exemplo, criptografia, controles de acesso, configurações seguras específicas para o ambiente Cloud).
7. Esquecer o Papel do Cliente (ISO 27017): Clientes Cloud também têm responsabilidades definidas na ISO 27017; não é apenas para provedores.

O Que Auditores Vão Perguntar (Foco no Desenvolvedor)

Durante uma auditoria ISO 27001 que inclui ISO 27017 / 27018 no escopo, os auditores podem fazer perguntas relacionadas a operações de Cloud e tratamento de PII:

• (27017) "Como vocês garantem a configuração segura e o hardening de imagens de máquinas virtuais implantadas na Cloud?" (CLD.9.5.2)
• (27017) "Mostre-me a documentação que define as responsabilidades de segurança entre vocês (como cliente/provedor) e seu provedor/cliente de Cloud." (orientação A.6.1.1)
• (27017) "Como vocês monitoram eventos de segurança especificamente dentro do seu ambiente de Cloud?" (orientação A.12.4.1)
• (27017) "Quais procedimentos estão em vigor para a remoção segura dos seus dados/ativos ao encerrar o serviço de Cloud?" (CLD.6.3.1)
• (27018 - para CSPs) "Como seu sistema suporta a capacidade do seu cliente de responder a solicitações de acesso ou exclusão de dados do titular para PII que vocês processam?" (orientação A.18.1.4)
• (27018 - para CSPs) "Como vocês garantem que PII não é usada para marketing/publicidade sem consentimento explícito?" (Princípio de limitação de finalidade)
• (27018 - para CSPs) "Quais técnicas criptográficas são usadas para proteger PII em trânsito e em repouso dentro do seu serviço de Cloud?" (orientação A.10.1 / A.13.2.1)
• (27018 - para CSPs) "Como vocês informam os clientes sobre os sub-processadores envolvidos no tratamento de suas PII?" (orientação A.15.1.1 / A.15.1.2)

Eles buscarão evidências de que a orientação específica de proteção de Cloud e PII foi considerada e implementada dentro do SGSI.

Ganhos Rápidos para Equipes de Desenvolvimento

O alinhamento com os princípios ISO 27017 / 27018 pode começar aqui:

1. Entenda o Papel do Seu Provedor de Cloud (ISO 27017): Revise a documentação do modelo de responsabilidade compartilhada do seu CSP. Saiba qual segurança eles gerenciam versus o que você precisa gerenciar na camada de aplicação/configuração.
2. Fortalecer Imagens de VM/Container (ISO 27017): Use imagens base mínimas, remova serviços desnecessários e aplique configurações de segurança antes da implantação. (Relaciona-se a CLD.9.5.2)
3. Aproveite as Ferramentas de Segurança na Nuvem (ISO 27017): Utilize as ferramentas integradas do provedor de Cloud para monitoramento, controle de acesso (IAM) e gerenciamento de configuração (como AWS Config, Azure Policy).
4. Mapear Fluxos de Dados PII (ISO 27018): Ao lidar com PII, entenda exatamente onde ele entra, como é processado, onde é armazenado e quem o acessa dentro do seu aplicativo na Cloud.
5. Criptografar PII (ISO 27018): Priorize a criptografia de PII tanto em trânsito (TLS) quanto em repouso (criptografia de banco de dados/armazenamento).
6. Plano para Direitos dos Titulares de Dados (ISO 27018): Ao projetar funcionalidades que envolvem PII, considere como você recuperaria, corrigiria ou excluiria tecnicamente os dados específicos desse usuário, se solicitado.

Ignore Isso E... (Consequências de Falhar)

Como ISO 27017 / 27018 são avaliados dentro de uma auditoria ISO 27001, "falha" geralmente significa receber não conformidades durante essa auditoria:

• Falha na Auditoria ISO 27001: Grandes não conformidades relacionadas a controles 27017/27018 não implementados (se no escopo) podem comprometer sua própria certificação ISO 27001, levando à suspensão ou falha na certificação.
• Perda de Confiança: A falha em demonstrar adesão às melhores práticas de segurança na nuvem (ISO 27017) ou proteção de PII (ISO 27018) prejudica a confiança de clientes e parceiros que dependem dos seus serviços de Cloud.
• Problemas Contratuais/de Mercado: Incapacidade de atender aos requisitos contratuais que especificam a adesão a esses padrões, potencialmente perdendo negócios ou acesso ao mercado.
• Risco Aumentado: Ignorar as diretrizes significa potencialmente perder controles de segurança cruciais específicos da Cloud ou medidas de proteção de PII, aumentando o risco de violações ou infrações de privacidade.
• Não Conformidade Regulatória: Para ISO 27018, a falha em implementar suas diretrizes de proteção de PII pode contribuir para a não conformidade com regulamentações como o GDPR, levando a multas e ações legais.

FAQ

Posso obter certificação diretamente para ISO 27017 ou ISO 27018?

Não. Eles são códigos de prática, não padrões de sistema de gestão. A conformidade é avaliada como parte de uma auditoria de certificação ISO 27001, onde esses padrões estão incluídos no escopo.

Preciso de ambos ISO 27017 e ISO 27018?

Não necessariamente. ISO 27017 é relevante para quase toda organização que usa ou fornece serviços de Cloud significativos. ISO 27018 é especificamente relevante para Provedores de Serviços de Cloud públicos que processam Informações de Identificação Pessoal (PII) em nome de seus clientes. Se você é um CSP que lida com PII, provavelmente consideraria ambos. Se você é um cliente de Cloud que não processa PII significativas na Cloud, apenas a ISO 27017 pode ser relevante.

Como ISO 27017/27018 se relacionam com ISO 27001?

São extensões que fornecem orientação detalhada de implementação para controles específicos da ISO 27001/27002 no contexto da Cloud computing (ISO 27017) e proteção de PII na Cloud (ISO 27018). Você precisa de um SGSI ISO 27001 como base.

A ISO 27017 é apenas para Provedores de Serviços Cloud (CSPs)?

Não. A ISO 27017 fornece orientação tanto para Provedores de Serviços Cloud (CSPs) quanto para Clientes de Serviços Cloud (CSCs), esclarecendo as responsabilidades de cada parte.

A ISO 27018 é apenas para Provedores de Serviços Cloud (CSPs)?

Principalmente, sim. ISO 27018 foca nos requisitos para CSPs atuando como processadores de PII. Clientes Cloud (controladores de PII) podem usá-lo para ajudar a avaliar CSPs, mas o ônus da implementação recai principalmente sobre o provedor.

Implementar a ISO 27018 me torna compatível com o GDPR?

Não automaticamente, mas ajuda significativamente. A ISO 27018 fornece uma estrutura robusta para que os CSPs atendam a muitos requisitos do GDPR relacionados ao processamento de PII (obrigações do Artigo 28), como segurança, transparência, sub-processamento e assistência aos direitos dos titulares dos dados. É uma ferramenta valiosa para demonstrar o alinhamento com o GDPR para o processamento de PII na Cloud.

Como estes são auditados?

Um organismo de certificação acreditado realiza uma auditoria ISO 27001. Se ISO 27017 / 27018 estiverem incluídos no escopo do seu SGSI e na Declaração de Aplicabilidade, o auditor avaliará sua implementação dos controles e orientações relevantes dessas normas durante o processo de auditoria ISO 27001.