TL;DR 

As normas ISO 27017 e 27018 são extensões da ISO 27001 centradas na nuvem.

27017 = controlos de segurança para a responsabilidade partilhada em infra-estruturas de computação em nuvem (PSC + clientes).

27018 = como tratar dados pessoais (PII) na nuvem pública.

Sem certificados separados - normalmente analisados durante as auditorias ISO 27001. Sinal forte para o alinhamento com o GDPR e práticas de nuvem seguras.

Resumo do cartão de pontuação ISO 27017 / 27018:

• Esforço do desenvolvedor: Moderado (requer a compreensão das responsabilidades da nuvem, a implementação de configurações específicas de segurança na nuvem e, potencialmente, a criação de recursos para gerenciamento/direitos de PII, se aplicável). O esforço é adicional ao da ISO 27001.
• Custo das ferramentas: Custo incremental mínimo em relação à ISO 27001 (utiliza as ferramentas existentes da ISO 27001; os custos referem-se principalmente à implementação de controlos específicos, como monitorização reforçada ou encriptação, caso ainda não existam).
• Impacto no mercado: Elevado (especialmente para os CSP e as empresas que utilizam fortemente a nuvem; a norma ISO 27018 é fundamental para demonstrar a proteção das IPI na nuvem relevante para o RGPD).
• Flexibilidade: Moderada (fornece orientações e controlos específicos no âmbito do quadro flexível da ISO 27001).
• Intensidade da auditoria: Avaliado como parte da auditoria ISO 27001 de alta intensidade (acrescenta áreas específicas para os auditores examinarem relacionadas com a nuvem e as PII).

O que são as normas ISO 27017 / 27018?

A ISO/IEC 27017 e a ISO/IEC 27018 são normas internacionais da família ISO 27000 que fornecem orientações específicas para o sector da computação em nuvem. Baseiam-se no quadro geral e nos controlos da ISO 27001 e da ISO 27002 (que fornece orientações de implementação para os controlos do Anexo A).

• ISO/IEC 27017:2015 (Código de práticas para controlos de segurança da informação baseados na ISO/IEC 27002 para serviços em nuvem):
  
  • Fornece orientações sobre 37 controlos da norma ISO 27002 especificamente relevantes para a segurança da nuvem.
  • Introduz 7 novos controlos específicos da nuvem não presentes na ISO 27002, abrangendo áreas como funções e responsabilidades partilhadas, monitorização de serviços de nuvem, reforço de máquinas virtuais e remoção de activos para clientes.
  • Esclarece as funções e responsabilidades entre o Fornecedor de Serviços de Cloud (CSP) e o Cliente de Serviços de Cloud (CSC) para a implementação de cada controlo.
  • Centra-se, em termos gerais, na gestão da segurança da informação na nuvem.
• ISO/IEC 27018:2019 (Código de práticas para a proteção de informações pessoalmente identificáveis (PII) em clouds públicas que actuam como processadores de PII):
  
  • Centra-se especificamente na proteção das informações de identificação pessoal tratadas por prestadores de serviços públicos.
  • Estabelece objectivos e fornece orientações para a implementação de controlos para cumprir os requisitos de proteção das informações pessoais.
  • Aborda princípios como o consentimento e a escolha, a legitimidade da finalidade, a minimização dos dados, a limitação da utilização/retenção/divulgação, a exatidão, as salvaguardas de segurança, a transparência e a responsabilidade dos subcontratantes de informações que identificam pessoalmente as pessoas.
  • Alinha-se estreitamente com regulamentos de privacidade como o RGPD.
  • Os seus controlos alargam, em grande medida, os controlos existentes da norma ISO 27002, com interpretações específicas para a proteção das informações pessoais na nuvem.

De forma crítica, nem a ISO 27017 nem a ISO 27018 são normas de sistemas de gestão como a ISO 27001. Não se obtém a certificação para a 27017 ou 27018 diretamente. Em vez disso, implementa as suas orientações num Sistema de Gestão de Segurança da Informação (SGSI) em conformidade com a ISO 27001 e um auditor avalia a sua implementação destes controlos específicos durante a auditoria à ISO 27001.

Porque é que são importantes?

Embora sejam extensões da ISO 27001, a ISO 27017 e a ISO 27018 são vitais para as organizações que utilizam ou fornecem serviços em nuvem:

• Esclarece as responsabilidades Cloud : A ISO 27017 aborda especificamente o modelo de responsabilidade partilhada na nuvem, que muitas vezes é obscuro, ajudando os CSP e os clientes a compreender quem é responsável por que controlos de segurança.
• Cria confiança nos serviços Cloud : Demonstrar o alinhamento com essas normas garante aos clientes que um CSP segue as melhores práticas de segurança na nuvem(ISO 27017) e proteção de PII(ISO 27018).
• Aborda os riscos específicos Cloud : A ISO 27017 fornece orientação adaptada a ameaças e vulnerabilidades específicas da nuvem (por exemplo, segurança de virtualização, segregação do ambiente do cliente).
• Suporta a conformidade com a privacidade (GDPR, etc.): A ISO 27018 fornece uma estrutura clara para que os CSPs cumpram as obrigações do processador sob o GDPR e outras leis de privacidade, com foco na transparência, consentimento e direitos do titular dos dados relacionados às PII.
• Vantagem competitiva: Para os CSPs, demonstrar a adesão (muitas vezes através da inclusão num âmbito de auditoria ISO 27001) é um diferenciador de mercado significativo, especialmente quando se lida com indústrias regulamentadas ou clientes preocupados com a privacidade.
• Postura de segurança reforçada: A implementação dos controlos e orientações adicionais reforça genuinamente as práticas de segurança e privacidade no ambiente de nuvem.

Essencialmente, traduzem os princípios mais amplos da norma ISO 27001/27002 para o contexto específico da computação em nuvem e do processamento de PII no seu âmbito.

O que e como implementar (técnica e política)

A implementação ocorre no âmbito de um SGSI ISO 27001 existente ou planeado:

1. Definição do escopo (como parte da ISO 27001): Certifique-se de que o escopo do seu SGSI inclua claramente os serviços de nuvem que você fornece ou consome.
2. Avaliação de riscos (como parte da ISO 27001): Identificar especificamente os riscos relacionados com a nuvem (utilizando as diretrizes da ISO 27017 ) e os riscos de processamento de PII na nuvem (utilizando as diretrizes da ISO 27018 ).
3. Seleção do controlo (declaração de aplicabilidade - SoA):
   
   • Reveja os controlos da ISO 27002 através da lente da ISO 27017, considerando as orientações específicas da nuvem para CSPs e CSCs.
   • Implemente os 7 novos controlos da norma ISO 27017, se aplicável, com base no risco (por exemplo, definição de responsabilidades partilhadas, reforço da VM).
   • Reveja os controlos da ISO 27002 através da lente da ISO 27018 se processar PII como CSP público, implementando os objectivos de controlo alargados (por exemplo, em torno do consentimento, minimização de dados, transparência, direitos do utilizador).
   • Actualize o seu SoA para refletir a aplicabilidade e o estado de implementação destes controlos específicos da nuvem.
4. Implementar controlos técnicos e políticos:
   
   • Exemplos da norma ISO 27017:
     
     • Documente claramente as responsabilidades partilhadas com o seu PSC/cliente (orientação A.6.1.1).
     • Implementar procedimentos para a remoção/devolução de activos ao terminar um serviço em nuvem (orientação A.8.3.1, novo controlo CLD.6.3.1).
     • Separar ambientes virtuais (orientação A.13.1.3, novo controlo CLD.9.5.1).
     • Proteger imagens de máquinas virtuais (novo controlo CLD.9.5.2).
     • Definir e implementar a monitorização específica da segurança do utilizador da nuvem (orientação A.12.4.1).
   • Exemplos de ISO 27018 (para CSP que processam PII):
     
     • Comprometer-se contratualmente a não tratar as IPI para outros fins que não os instruídos pelo cliente (orientação A.18.1.4).
     • Manter a transparência relativamente aos subcontratantes que tratam as informações que identificam pessoalmente (orientações A.15.1.1, A.15.1.2).
     • Implementar mecanismos para apoiar a conformidade do cliente com os direitos dos titulares dos dados (acesso, correção, apagamento) (orientação A.18.1.4).
     • Eliminar ou devolver as informações que identificam pessoalmente de forma segura após a cessação do contrato (orientações A.8.3.1, A.11.2.7).
     • Encriptar as IPI transmitidas através de redes públicas (orientações A.13.2.1, A.13.2.3).
     • Aplicar procedimentos de notificação de violação de dados específicos para as informações pessoais (orientação A.16.1).
5. Formação e sensibilização: Assegurar que o pessoal relevante compreende as responsabilidades de segurança na nuvem(ISO 27017) e os deveres de proteção das informações pessoais(ISO 27018).
6. Auditoria: Inclua os controlos ISO 27017 / ISO 27018 implementados no âmbito das suas auditorias internas e externas à ISO 27001.

A tónica é colocada na aplicação de lentes específicas de proteção da nuvem e das PII aos seus controlos ISMS existentes.

Erros comuns a evitar

Erros comuns ao lidar com a norma ISO 27017 / 27018:

1. Tratá-los como certificações autónomas: São códigos de práticas que complementam a ISO 27001 e não certificações independentes.
2. Ignorar a Fundação ISO 27001: Tentar implementar controlos 27017/27018 sem um SGSI ISO 27001 adequado (avaliação de riscos, SoA, etc.).
3. Não definir corretamente o âmbito: Não incluir serviços de nuvem relevantes ou actividades de processamento de PII no âmbito do SGSI.
4. Ignorar a responsabilidade partilhada (ISO 27017): Assumir que o CSP trata de tudo, ou não documentar claramente as responsabilidades entre o fornecedor e o cliente.
5. Foco insuficiente nas PII (ISO 27018): Para os CSP, não compreender ou implementar plenamente os requisitos específicos de consentimento, transparência, apoio aos direitos dos titulares dos dados e limitações à utilização das PII.
6. Falta de implementação técnica: Tratar as orientações meramente como políticas sem implementar os controlos técnicos necessários (por exemplo, encriptação, controlos de acesso, configurações seguras específicas do ambiente de nuvem).
7. Esquecer o papel do cliente (ISO 27017): Os clientes Cloud também têm responsabilidades definidas na ISO 27017; não se trata apenas de fornecedores.

O que os auditores perguntarão (foco no desenvolvedor)

Durante uma auditoria ISO 27001 que inclua a ISO 27017 / 27018 no âmbito, os auditores podem fazer perguntas relacionadas com as operações na nuvem e o tratamento de PII:

• (27017) "Como é que garante a configuração segura e o reforço das imagens de máquinas virtuais implementadas na nuvem?" (CLD.9.5.2)
• (27017) "Mostre-me a documentação que define as responsabilidades de segurança entre si (como cliente/fornecedor) e o seu fornecedor/cliente de nuvem." (A.6.1.1 orientação)
• (27017) "Como é que monitoriza os eventos de segurança especificamente no seu ambiente de nuvem?" (A.12.4.1 orientação)
• (27017) "Que procedimentos estão em vigor para remover de forma segura os seus dados/activos após a cessação do serviço de computação em nuvem?" (CLD.6.3.1)
• (27018 - para CSP) "Como é que o seu sistema apoia a capacidade do seu cliente para responder a pedidos de acesso ou apagamento de informações pessoais por parte dos titulares dos dados que processa?" (A.18.1.4 orientação)
• (27018 - para CSP) "Como garante que as IPI não são utilizadas para marketing/publicidade sem consentimento explícito?" (Princípio da limitação da finalidade)
• (27018 - para PSC) "Que técnicas criptográficas são utilizadas para proteger as IPI em trânsito e em repouso no seu serviço de nuvem?" (Orientações A.10.1 / A.13.2.1)
• (27018 - para CSP) "Como é que informa os clientes sobre os subcontratantes envolvidos no tratamento das suas informações pessoais?" (A.15.1.1 / A.15.1.2 orientação)

Procurarão provas de que as orientações específicas para a proteção da nuvem e das PII foram consideradas e implementadas no âmbito do SGSI.

Ganhos rápidos para as equipas de desenvolvimento

O alinhamento com os princípios da ISO 27017 / 27018 pode começar aqui:

1. Entenda a função do seu provedor de Cloud (ISO 27017): Analise a documentação do modelo de responsabilidade compartilhada do seu CSP. Saiba com que segurança eles lidam e com o que você precisa lidar na camada de aplicação/configuração.
2. Proteger imagens de Container (ISO 27017): Utilizar imagens de base mínimas, remover serviços desnecessários e aplicar configurações de segurança antes da implementação. (Relacionado com CLD.9.5.2)
3. Aproveite as ferramentas de segurança Cloud (ISO 27017): Utilize ferramentas integradas do fornecedor de serviços na nuvem para monitorização, controlo de acesso (IAM) e gestão de configuração (como AWS Config, Azure Policy).
4. Mapear os fluxos de dados de PII (ISO 27018): Se estiver a lidar com PII, saiba exatamente onde entram, como são processadas, onde são armazenadas e quem acede às mesmas na sua aplicação na nuvem.
5. Encriptar as PII (ISO 27018): Dar prioridade à encriptação das IPI em trânsito (TLS) e em repouso (encriptação da base de dados/armazenamento).
6. Planear os direitos dos titulares dos dados (ISO 27018): Ao conceber funcionalidades que envolvam informações que identificam pessoalmente os titulares dos dados, considere a forma de recuperar, corrigir ou eliminar tecnicamente os dados desse utilizador específico, se tal for solicitado.

Ignorar isto e... (Consequências do insucesso)

Uma vez que as normas ISO 27017 / 27018 são avaliadas no âmbito de uma auditoria ISO 27001, "fracasso" significa normalmente a receção de não-conformidades durante essa auditoria:

• Falha na auditoria da ISO 27001: As principais não-conformidades relacionadas com controlos 27017/27018 não implementados (se estiverem no âmbito) podem pôr em risco a própria certificação ISO 27001, levando à suspensão ou à não certificação.
• Perda de confiança: A falta de demonstração de adesão às melhores práticas de segurança na nuvem(ISO 27017) ou de proteção de PII(ISO 27018) prejudica a confiança dos clientes e parceiros que confiam nos seus serviços na nuvem.
• Questões contratuais/mercado: Incapacidade de cumprir os requisitos contratuais que especificam a adesão a estas normas, perdendo potencialmente negócios ou acesso ao mercado.
• Aumento do risco: Ignorar as orientações significa potencialmente a ausência de controlos de segurança cruciais específicos da nuvem ou de medidas de proteção de PII, aumentando o risco de violações ou violações da privacidade.
• Não-conformidade regulamentar: Para a ISO 27018, a não implementação das suas orientações de proteção de PII pode contribuir para a não conformidade com regulamentos como o GDPR, levando a multas e acções legais.

FAQ

Posso obter a certificação diretamente para a ISO 27017 ou ISO 27018?

Não. São códigos de práticas e não normas de sistemas de gestão. A conformidade é avaliada como parte de uma auditoria de certificação ISO 27001 em que estas normas estão incluídas no âmbito.

Necessito de ambas as normas ISO 27017 e ISO 27018?

Não necessariamente. A ISO 27017 é relevante para quase todas as organizações que utilizam ou fornecem serviços de nuvem significativos. A ISO 27018 é especificamente relevante para provedores de serviços de Cloud pública que processam informações de identificação pessoal (PII) em nome de seus clientes. Se for um CSP que processa PII, é provável que considere ambos. Se for um cliente da nuvem que não processa PII significativas na nuvem, apenas a ISO 27017 poderá ser relevante.

Como é que a ISO 27017/27018 se relaciona com a ISO 27001?

São extensões que fornecem orientações de implementação pormenorizadas para controlos específicos da ISO 27001/27002 no contexto da computação em nuvem(ISO 27017) e da proteção de PII na nuvem(ISO 27018). É necessário um SGSI ISO 27001 como base.

A ISO 27017 destina-se apenas aos fornecedores de serviços de computação Cloud (CSP)?

Não. A ISO 27017 fornece orientação para os provedores de serviços de Cloud (CSPs) e para os clientes de serviços de Cloud (CSCs), esclarecendo as responsabilidades de cada parte.

A ISO 27018 destina-se apenas aos fornecedores de serviços de computação Cloud (CSP)?

Em primeiro lugar, sim. A ISO 27018 concentra-se nos requisitos para os CSPs que actuam como processadores de PII. Os clientes Cloud (controladores de PII) podem utilizá-la para ajudar a avaliar os CSP, mas o ónus da implementação recai principalmente sobre o fornecedor.

A implementação da norma ISO 27018 torna-me compatível com o RGPD?

Não automaticamente, mas ajuda significativamente. A ISO 27018 fornece uma estrutura sólida para os CSPs cumprirem muitos requisitos do GDPR relacionados ao processamento de PII (obrigações do Artigo 28), como segurança, transparência, subprocessamento e assistência aos direitos do titular dos dados. É uma ferramenta valiosa para demonstrar o alinhamento com o RGPD para o processamento de PII na nuvem.

Como é que estas são auditadas?

Um organismo de certificação acreditado efectua uma auditoria ISO 27001. Se as normas ISO 27017 / 27018 estiverem incluídas no âmbito e na declaração de aplicabilidade do seu SGSI, o auditor avaliará a implementação dos controlos e orientações relevantes destas normas durante o processo de auditoria da ISO 27001.