Ana Sayfa /

ISO/IEC 27018 Bulut Ortamında Kişisel Verilerin Korunması

ISO/IEC 27018 Bulut Ortamında Kişisel Verilerin Korunması

Bir uzmanla konuşun

+90 (212) 951 0703
İLETİŞİM
İLETİŞİM

ISO/IEC 27018 Bulut Ortamında Kişisel Verilerin Korunması

Herkes tarafından erişilebilir bulut ortamında PII'nin korunmasına ilişkin rehberlik sağlar

ISO/IEC 27018, halka açık bir Bulut bilgi işlem ortamında PII’nin (kişisel olarak tanımlanabilir bilgiler) korunmasına ilişkin rehberlik sağlayan uluslararası bir standarttır. Bu standardın iki versiyonu vardır:

  • ISO/IEC 27018:2014
  • ISO/IEC 27018:2019

Standart, uygun güvenlik kontrollerinin nasıl seçileceği ve uygulanacağı konusunda rehberlik sağlayarak kuruluşların müşterilerinin verilerinin gizliliğini sağlamalarına yardımcı olmayı amaçlamaktadır. Ayrıca, kuruluşların halka açık Bulut bilgi işlem hizmetleriyle ilişkili riskleri değerlendirmesine yardımcı olmak için tasarlanmıştır.

ISO/IEC 27018 Standardının kapsamı nedir?

ISO/IEC 27018’in kapsamı, müşterileri adına işleyici olarak hareket eden genel Bulutların PII’yi (kişisel olarak tanımlanabilir bilgiler) işlemesine yönelik ortak ilkeler oluşturmaktır.

ISO/IEC 27018 Standart İçeriği Nelerdir?

ISO/IEC 27018, uluslararası standarttır. Bu standart, kamu hizmeti veren bulut sağlayıcılarının kişisel tanımlanabilir bilgileri (PII) koruma konusunda uymaları gereken en iyi uygulama yönergelerini sağlar.

  1. Kapsam ve Tanımlar: Standart, kamu hizmeti veren bulut sağlayıcılarının kişisel tanımlanabilir bilgilerin (PII) korunması için uyması gereken gereksinimleri ele alır. Kapsam, PII işleyen bulut hizmeti sağlayıcılarını ve bu hizmetleri kullanan müşterileri içerir.
  1. Referans Belgeler: ISO/IEC 27018, ISO/IEC 27002 standardına dayanır ve bu standardın ilgili kontrollerini PII’nin bulut ortamında işlenmesi bağlamında ele alır.
  1. Terimler ve Tanımlar: Standart, terimleri ve tanımları netleştirir, böylece belirli bir dil ve anlam kullanımı sağlar.
  1. Kapsam Dahilindeki Kontroller: Bu bölümde, PII işleyen bulut hizmeti sağlayıcılarının uygulaması gereken güvenlik kontrolleri ve en iyi uygulamalar ayrıntılı olarak açıklanır. Bu kontroller, PII’nin toplanması, işlenmesi, saklanması ve sunulması aşamalarını içerir.
  1. İlgili Tarafların Roller ve Sorumlulukları: Standart, bulut hizmeti sağlayıcıları, müşteriler ve diğer ilgili tarafların PII koruma süreçlerindeki rollerini ve sorumluluklarını belirtir.
  1. Bilgi Güvenliği Yönetimi İlkeleri: Bu bölümde, PII’nin bulut ortamında korunmasına ilişkin temel prensipler ve bilgi güvenliği yönetimi stratejileri bulunur.
  1. Denetim ve Gözden Geçirme: Standart, PII koruma kontrollerinin etkinliğini değerlendirmek ve gözden geçirmek için denetim süreçlerini ele alır.
  1. Önerilen Uygulama İçin Rehberlik: ISO/IEC 27018, PII’nin bulut hizmeti sağlayıcıları tarafından nasıl daha iyi korunabileceği konusunda rehberlik sunar.

Bu standart, bulut bilişim ortamında kişisel tanımlanabilir bilgilerin (PII) gizliliğini ve güvenliğini koruma ihtiyacını ele alır. Hem bulut hizmeti sağlayıcılarını hem de müşterileri, PII koruma konusunda daha güvenli ve uyumlu bir şekilde iş yapmaları için bilgilendirir.

ISO/IEC 27018 Standart Hedefleri Nelerdir?

  • Bu standardın amacı, ISO/IEC 27002’deki bilgi güvenliği hedefleri ve kontrolleri ile birlikte kullanıldığında, bir PII (kişisel olarak tanımlanabilir bilgiler) işlemcisi olarak hareket eden bir genel bulut bilgi işlem hizmet sağlayıcısı tarafından uygulanabilecek ortak bir güvenlik kategorileri ve kontrolleri seti oluşturmaktır.
  • Genel bulut hizmeti sağlayıcısının, bir PII (kişisel olarak tanımlanabilir bilgiler) işlemcisi olarak hareket ederken, bu tür yükümlülükler doğrudan veya sözleşme yoluyla PII işlemcisine ait olsun, ilgili yükümlülüklere uymasına yardımcı olmak.
  • Bulut hizmeti müşterilerinin iyi yönetilen bulut tabanlı PII (kişisel olarak tanımlanabilir bilgiler) işleme hizmetlerini seçebilmesi için genel bulut PII işlemcisinin ilgili konularda şeffaf olmasını sağlamak.
  • Bulut hizmeti müşterisine ve genel bulut PII (kişisel olarak tanımlanabilir bilgiler) işlemcisine sözleşmeye dayalı bir anlaşma yapma konusunda yardımcı olmak.
  • Bulut hizmeti müşterilerine, çok taraflı, sanallaştırılmış sunucu (bulut) ortamında barındırılan verilerin bireysel bulut hizmeti müşteri denetimlerinin teknik olarak pratik olmadığı ve bu fiziksel ve mantıksal ağlara yönelik riskleri artırabileceği durumlarda, denetim ve uyumluluk haklarını ve sorumluluklarını yerine getirmek için bir mekanizma sağlayın güvenlik kontrollerini gerçekleştirmek.

ISO/IEC 27018 Standardının Kazanımları Nelerdir?

  • Müşteri veri ve bilgilerine daha yüksek güvenlik sağlar.
  • Platformu müşteri için daha güvenilir hale getirerek rekabette daha yüksek bir seviyeye ulaşır.
  • Küresel operasyonların daha hızlı etkinleştirilmesi.
  • Kolaylaştırılmış sözleşmeler.
  • Bulut sağlayıcıları ve kullanıcıları için yasal koruma sağlar.

ISO/IEC 27018’in ISO/IEC 27001 ve ISO/IEC 27017 Standartları ile Aralarındaki İlişki

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi:

ISO/IEC 27001, “Bilgi Güvenliği Yönetim Sistemi (BGYS)- Gereksinimler” adı altında yayınlanmış bir standarttır. Bu standart, bir organizasyonun bilgi güvenliği yönetim sistemini kurmasını, uygulamasını, işletmesini, izlemesini ve sürekli iyileştirmesini sağlamak için gereksinimleri belirler. ISO/IEC 27001, organizasyonların bilgi varlıklarını korumak ve riskleri etkili bir şekilde yönetmek için bir çerçeve sunar.

ISO/IEC 27018 Bulut Ortamında Kişisel Verilerin Korunması:

ISO/IEC 27018 ise “Bulut Hizmet Sağlayıcıları İçin Kişisel Bilgi İşleme- Bilgi Güvenliği Kontrolleri” adı altında yayınlanmış bir standarttır. Bu standart, bulut hizmet sağlayıcılarının kişisel verileri işlerken uymaları gereken bilgi güvenliği kontrollerini belirler. ISO 27018, kişisel verilerin işlenmesi ve depolanması sırasında gizlilik, güvenlik ve uyumluluk gereksinimlerini karşılamak için bir rehber sunar.

ISO/IEC 27017 ve ISO/IEC 27018, her ikisi de bilgi güvenliği alanında önemli olan standartlardır ve bulut bilişim hizmetlerindeki güvenlik ve veri gizliliği konularını ele alırlar. Ancak her biri farklı odak noktalarına sahiptir.

Bu standart, kamu hizmeti veren bulut sağlayıcılarının kişisel tanımlanabilir bilgilerin (PII) gizliliğini korumak için uyması gereken en iyi uygulama yönergelerini sunar. Bulut sağlayıcıların, kişisel tanımlanabilir bilgilerin (PII) işlenmesi, saklanması ve sunulması aşamalarında uyulması gereken güvenlik kontrollerini ve en iyi uygulamaları ele alır. Genel olarak, kişisel verilerin gizliliğini ve güvenliğini ele alır.

Yani, ISO/IEC 27017 daha genel bir yaklaşımla bulut bilişim hizmetlerinin güvenliğine odaklanırken, ISO/IEC 27018 daha spesifik olarak kişisel tanımlanabilir bilgilerin (PII) gizliliği ve güvenliği konularına odaklanır. Her iki standart da bulut bilişim hizmetlerinin daha güvenli ve veri gizliliğine uygun şekilde kullanılmasını sağlama amacını taşır.

ISO/IEC 27017 Bulut Hizmetleri İçin Bilgi Teknolojisi Güvenlik Teknikleri:

Bu standart, bulut bilişim hizmetlerini sağlayan organizasyonların ve kullanıcıların bu hizmetlerdeki güvenliği artırmak için uygulayabileceği en iyi uygulama yönergelerini sunar. Bulut hizmeti sağlayıcılarının ve kullanıcılarının ISO/IEC 27002 standardına dayalı olarak bulut bilişim bağlamında güvenlik kontrollerini uygulamalarını sağlar. Genel olarak, bulut bilişim hizmetlerinin güvenliğini ele alır.

Kuruluşunuz Neden ISO/IEC 27018 Sertifikasına Sahip Olmalı?

  1. Kişisel Veri İşleme Güvenliği: ISO/IEC 27018 standardı, bulut hizmet sağlayıcılarının kişisel verileri işlerken uymaları gereken bilgi güvenliği kontrollerini belirler. Bu standardını uygulamak, kişisel verilerin güvenliğini ve gizliliğini korumak için gereken adımları atmanızı sağlar.
  1. Müşteri Güveni: ISO/IEC 27018 sertifikası, bulut hizmet sağlayıcılarının müşterilerine kişisel veri işleme konusunda güvence vermesini sağlar. Bu da müşteri güvenini artırabilir ve potansiyel müşterilerin hizmetlerinize olan güvenini pekiştirebilir.
  1. Rekabet Üstünlüğü: ISO/IEC 27018 sertifikası, sizi rakiplerinizden ayırabilir. Birçok müşteri, verilerinin güvenli bir şekilde işlendiğinden emin olmak ister ve bu tür bir sertifikaya sahip olmak, müşteri çekmekte ve rekabet avantajı elde etmekte yardımcı olabilir.
  1. Düzenleyici Uyumluluk: Birçok ülke ve bölge, kişisel verilerin işlenmesi konusunda düzenlemelere sahiptir. ISO/IEC 27018 standardı, bu tür düzenlemelere uymak isteyen organizasyonlara rehberlik edebilir.
  1. Veri İhlali Riskini Azaltma: ISO/IEC 27018 sertifikası, kişisel veri ihlali riskini azaltmaya yardımcı olabilir. Standart, uygun güvenlik kontrollerini sağlama ve veri ihlali olasılığını düşürme hedefiyle oluşturulmuştur.
  1. İş Ortakları ve Tedarikçilerle İlişkiler: İş ortakları ve tedarikçiler, verilerinin güvenli bir şekilde işlendiğinden emin olmak isteyebilirler. ISO/IEC 27018 sertifikası, bu ilişkileri güçlendirmenize yardımcı olabilir.

Bu nedenlerden dolayı, ISO/IEC 27018 sertifikasının organizasyonunuz için değerli olup olmadığını değerlendirmek önemlidir. Eğer kişisel veri işleme konusunda faaliyet gösteriyorsanız ve müşteri güveni ile veri güvenliğini önemsiyorsanız, ISO/IEC 27018 sertifikası almayı düşünebilirsiniz.

Güvenlik Açığı

Yakın zamanda bu konuyla ilgili Belçika da yaşanan olay ’da bulut bilgi ortamının kişisel verileri korumada ne kadar önemli olduğu bir kez daha gün ışığına çıkarmıştır.

LastPass’taki (kullanımı oldukça kolay olan bir parola yöneticisidir) büyük ihlal, mühendislerinden birinin Plex’i ev bilgisayarlarında güncellememesinin bir sonucuydu; Parola yönetimi hizmeti veren şirket kimliği belirsiz kişilerin 12 Ağustos 2022’den önce meydana gelen daha önceki bir olaydan çalınan bilgileri nasıl kullandığını ve “üçüncü taraf bir veri ihlalinden ve üçüncü taraf medya yazılımındaki bir güvenlik açığından elde edilen ayrıntılardan” yararlandığını ortaya çıkardı.

Ekim 2022 arasında koordineli bir ikinci saldırı başlatma paketi gerçekleştirildi. İzinsiz veri girişi sonucunda saldırganın kısmen şifrelenmiş parola kasası verilerini ve müşteri bilgilerini çalmasına olanak sağladı. İkinci saldırı, kimlik bilgilerini elde etmek ve bulut depolama ortamını ihlal etmek için ev bilgisayarlarını bir keylogger kötü amaçlı yazılımıyla hedef aldı. Söz konusu güvenlik açığı, uzak, kimliği doğrulanmış bir saldırganın mevcut işletim sistemi kullanıcısı bağlamında rasgele Python kodu yürütmesine izin veren, Windows’ta Plex Media Server’ı etkileyen bir seri kaldırma kusuru olan CVE-2020-5741’dir.

Bu gibi olaylar sıklıkla yaşanmaktadır, yasal otoritelerin artan cezai yaptırımları bulunmaktadır. ISO 27001, ISO 27701, ISO 27018 ve ISO 27017 gibi standartları kurumunuzda uygulamanız ve CFECERT gibi UKAS ve IAS’tan yetkilendirilmiş Belgelendirme Kuruluşlarından da denetlenerek onaylı belgeye sahip olmanız cezai yaptırımlardan minimum etkilenmenizi sağlayacaktır.

ISO 9001 KYS

ISO 9001, kuruluşların bir Kalite Yönetim Sistemi (QMS) uygulamasına yardımcı olmak için tasarlanmış uluslararası standarttır.

 Daha Fazla Bilgi Alın
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın
cfe cert linkedin
iso 27001 certification iso 22301 certification iso 37001 certification iso 20000 certification bs 10012 certification gdpr certification
© 2021 - CFECERT | Tüm hakları saklıdır
Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
cfe cert linkedin
© 2021 - CFECERT | Tüm hakları saklıdır
iso 27001 certification iso 22301 certification iso 37001 certification
iso 20000 certification bs 10012 certification gdpr certification