ISO 27018
ISO/IEC 27018 – Privacy nel Cloud
Code of practice per la protezione dei dati personali (PII) nei cloud pubblici. Ponte naturale tra ISO 27001 e GDPR.
Che cos'è ISO 27018
ISO/IEC 27018 è il primo code of practice internazionale dedicato alla protezione dei dati personali (PII) nei cloud pubblici, per i cloud service provider che agiscono come responsabili del trattamento.
L'obiettivo
Dare al cliente garanzie cloud-specifiche sulla privacy che il GDPR richiede ma non dettaglia: geografia dei dati, disclosure alle autorità, cancellazione effettiva, gestione del consenso.
I vantaggi concreti
Perché ISO 27018 conviene davvero.
Marketplace ACN
Una delle tre richieste per il marketplace dell'Agenzia per la Cybersicurezza Nazionale.
Conformità GDPR cloud
Buona parte degli adempimenti GDPR Art. 28 per i responsabili del trattamento.
Trasparenza geografica
Disclosure sulla location dei dati richiesta dai clienti enterprise.
Integrazione 27001
Scope aggiuntivo, formazione e audit unificati.
Come lavoriamo
Il nostro approccio.
01
Gap analysis
Audit iniziale per fotografare lo stato attuale e identificare i gap rispetto alla norma.
02
Implementazione
Progettazione del sistema, redazione documentale, formazione del personale.
03
Audit interno + Riesame
Verifica interna di funzionamento del sistema prima dell'audit di certificazione.
04
Mantenimento
Assistenza continua, audit annuali, aggiornamenti normativi.
Domande frequenti
Tutto quello che vuoi sapere su ISO 27018 .
Le domande che ci fanno più spesso. Non trovi la tua? Scrivici.
ISO 27018 è la stessa cosa di GDPR?
No. ISO 27018 è un code of practice tecnico-operativo per cloud provider che trattano dati personali per conto di clienti. Il GDPR è una normativa europea con obblighi giuridici. ISO 27018 implementa concretamente alcuni requisiti GDPR (Art. 28, 32) in ambito cloud, ma non sostituisce la conformità GDPR complessiva.
Serve ISO 27018 se ho già ISO 27001 e 27017?
Sì, se sei un cloud provider o tratti dati personali in cloud. Le tre norme coprono aree distinte: 27001 = framework generale sicurezza informazioni, 27017 = controlli cloud-sicurezza, 27018 = privacy nel cloud (dati personali). Insieme formano il pacchetto completo richiesto da molti capitolati e dal Marketplace ACN.
Quali sono i requisiti più peculiari di ISO 27018?
Trasparenza sui sub-fornitori cloud, geografia dei dati (l’utente deve sapere dove sono fisicamente), gestione documentata delle richieste di disclosure delle autorità (es. CLOUD Act USA), cancellazione effettiva e verificabile dei dati a fine contratto, breach notification al cliente con tempi e contenuto specifici.
Esistono contributi pubblici per coprire i costi del percorso di certificazione?
Sì, ci sono diverse linee di finanziamento che spesso coprono una quota significativa della spesa (consulenza + ente di certificazione). I principali per le aziende altoatesine:
- Provincia Autonoma di Bolzano – Legge Provinciale 14/2006 e direttive collegate sull’innovazione, digitalizzazione e sostenibilità, con contributi a fondo perduto fino al 40-50% delle spese di consulenza e certificazione per PMI.
- IDM Südtirol – bandi specifici per innovazione, transizione digitale e sostenibilità (anche per processi di certificazione).
- Camera di Commercio di Bolzano – voucher digitalizzazione PID (Punto Impresa Digitale), contributi per formazione 4.0, bandi periodici per certificazioni qualità, ambiente, sicurezza e cyber.
- PNRR e fondi europei – bandi periodici (Transizione 5.0, ISI INAIL, GOL, ecc.) a seconda della norma e del settore.
PL Consulting assiste le aziende nella ricerca dei contributi pubblici più appropriati e delle migliori pratiche di finanziamento tramite propri partner specializzati, dall’analisi di ammissibilità fino alla predisposizione e rendicontazione della domanda.
Strumenti correlati
Provali in 2 minuti.
Contatti
Parliamone.
Risposta entro 24 ore lavorative. Oppure chiamaci direttamente – preferiamo le voci ai form.