Verletzung und Vertraulichkeit und Integrität der Daten
Sie kennen es auch, es wurde in den letzten zwei, drei Jahren viel Werbung um das Thema Cloud gemacht, wie z.B. „Einfach sicher – Das Zuhause für ihre Daten“ oder „Die Zukunft der Cloud beginnt jetzt“ oder was wir als Werbung gefunden haben war ein Logo mit einem "®" schaut erstmals vertrauenswürdig aus, richtig?
Verkaufstechnisch eine tolle Überschrift die sich in der Außenwirkung gut lesen lässt. Aber was noch verwirrender ist, dass die bekanntesten Cloud Anbieter wie Dropbox, Google Drive und Microsoft OneDrive noch spannender werben (Amazon Web Services hat erst 2019 ihren Cloud Dienst AWS zertifizieren lassen). Man ließt oft ihre Cloud ist nach ISO 27001 zertifiziert, jedoch bedeutet das nicht automatisch, dass die Daten dort sicher sind.
Aber was wirklich wichtig für Cloud anbieter ist, um eine Vertrauenswürdigen Werbeauftritt zu erzielen ist, wenn Ihre Cloud nach der ISO 27017 und ISO 20018 Zertifiziert ist.
Die ISO 20017 ist ausergwöhnlich da es eine Anleitungen für Anbieter und Kunden von Clouddiensten bereitstellt. Der Standard stellt außerdem Cloud Service-Kunden praktische Informationen im Hinblick auf ihre Erwartungen an Cloud Service-Anbieter zur Verfügung. Kunden können die Vorteile von ISO/IEC 27017 direkt nutzen, indem sie sich der gemeinsamen Verantwortung in der Cloud bewusst sind.
Mit der ISO 27018 - Datensicherheit in der Cloud "Zertifizierung", bestätigen die Cloud betreiber Ihren Kunden, dass Ihnen der Kunden-Datenschutz von personenbezogenen Daten in Ihren zur Verfügung gestellten Cloud wichtig ist.
Ergänzend zum europäischen und internationalen Sicherheitsstandard gehörenden ISO/IEC 27001-Norm Standard, erweitert die ISO/IEC 27018-Standard ( „Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors“) den Datenschutz im Cloud-Bereich, da sich diese Richtlinie ausschliesslich mit der sicherstellung und Verarbeitung von personenbezogenen Daten in der Cloud befasst.
Folgender Anforderungen für Cloud-Dienste wird skizziert:
- Personenbezogene Daten des Kunden dürfen ausschließlich nach dessen Weisung verarbeitet werden.
- Der Cloud-Anbieter muss seine Kunden verbindlich und abschließend über den Standort der Datenverarbeitung informieren.
- Cloud-Anbieter haben den Kunden über jede Verarbeitung der Daten durch Dritte zu informieren.
- Der Kunde muss jederzeit Zugriff auf seine Daten haben und ihm müssen Möglichkeiten bereitgestellt werden, um die Daten unmittelbar zu ändern, zu löschen oder zu korrigieren.
- Cloud-Anbieter dürfen Daten des Kunden nur an Strafverfolgungsbehörden herausgeben, sofern dazu eine gesetzliche Verpflichtung besteht. Zudem müssen die Kunden in diesem Fall über die Herausgabe informiert werden, außer die Informierung ist gesetzlich verboten.
- Sollten Unbefugte Zugriff auf personenbezogene Daten des Kunden bekommen, so ist dieser umgehend darüber in Kenntnis zu setzen.
- Es müssen verbindliche Regeln über Rückgabe, Transfer und Vernichtung der Daten des Kunden festgelegt werden.
- Es müssen vertragliche Regelungen für die Vorgehensweise bei aufgenommen werden.
