Abstract : | Η παρούσα διπλωματική εργασία έχει ως αντικείμενο έρευνας το διεθνές πρότυπο ISO/IEC 27018:2014 που ασχολείται με τη διαχείριση δεδομένων προσωπικού χαρακτήρα στις υπηρεσίες υπολογιστικού νέφους καθώς και τις υποχρεώσεις που προκύπτουν για τους παρόχους των υπηρεσιών (PublicCloud).Το καλοκαίρι του 2014, ο Διεθνής Οργανισμός Τυποποίησης (ISO) και της Διεθνούς Ηλεκτροτεχνικής Επιτροπής (IEC) δημοσίευσε το πρότυπο ISO/IEC 27018, το πρώτο σχετικό με δεδομένα ιδιωτικής φύσης και ειδικά για τις υπηρεσίες νέφους. Το νέο πρότυπο καθορίζει τους ρόλους του ελεγκτή δεδομένων και του επεξεργαστή δεδομένων για τη διατήρηση της ασφάλειας και της ιδιωτικής ζωής των αναγνωρίσιμων προσωπικών πληροφοριών ("Personally Identifiable Information") που αποθηκεύονται σε ένα δημόσιο πάροχο υπολογιστικής νέφους. Σε αντίθεση με τα υφιστάμενα πρότυπα ασφάλειας των πληροφοριών που στηρίζεται, όπως το ISO/IEC 27001 και ISO 27002, το ISO/IEC 27018 είναι ειδικά προσαρμοσμένο για υπηρεσίες του Cloud.Hεφαρμογή του προτύπου παρέχει σημαντικά πρακτικά οφέλη για τους πελάτες των παρόχων. Συγκεκριμένα, το πρότυπο μπορεί να χρησιμοποιηθεί ως ανεξάρτητο μέτρο κατά την αξιολόγηση και σύγκριση των ελέγχων της ιδιωτικής ζωής των δυνητικών παρόχων υπηρεσιών CloudService. Οι ρυθμιστικές αρχές, επίσης με τη χρήση του προτύπου ως λίστα ελέγχου για την αξιολόγηση προστασίας της ιδιωτικής ζωής ανεξάρτητα από τα όρια των διαφορετικών κλάδων της βιομηχανίας.Το ISO/IEC 27018 προσφέρει επίσης στους παρόχους υπηρεσιών Cloud έναν τρόπο να διαφοροποιήσουν τις υπηρεσίες τους από τον ανταγωνισμό. Ήδη, ένα χρόνο και πλέον μετά τη δημοσίευσή του, παρατηρείται η τάση πελατών προς υπηρεσίες Cloud που συμπεριλαμβάνουν την πιστοποίηση ISO/IEC 27018, ως απαίτηση ή τουλάχιστον ως προτιμώμενη επιλογή, σε ανταπόκριση της προσφοράς του προμηθευτή. Η Microsoft, μια από τις μεγαλύτερες εταιρείες παροχής υπηρεσιών νέφους στον κόσμο, ήταν η πρώτη στον τομέα που υιοθέτησε το πρότυπο και ακολούθησαν άλλοι εξίσου σημαντικοί πάροχοι όπως Amazon και Dropbox. The objective of this thesis is to research and examine the international standard ISO/IEC 27018:2014 which deals with the management of personal data on services cloud computing and the resulting obligations for providers of services (public cloud). In the summer of 2014, the International Organization for Standardisation (ISO) and the International Electrotechnical Commission (IEC) published by the ISO/IEC 27018, the first relating to data privacy nature and specifically for the cloud services. The new standard defines the roles of the data controller and the data processor for maintaining the security and privacy of Personally Identifiable Information ("PII") which are stored in a public cloud computing service provider. In contrast with existing standards of information security, such as ISO/IEC 27001 and ISO 27002, ISO/IEC 27018 is specifically adapted for services in the cloud. Application of the standard provides significant practical benefits for cloud provider’s customers. In particular, the model can be used as a standalone measure during the evaluation and comparison of the controls for data privacy of potential cloud Service providers. The regulatory authorities, also with the use of the model as a checklist for the evaluation of privacy protection irrespective of the limits of the different branches of industry. ISO/IEC 27018 also offers cloud providers a way to differentiate their services from competition. Already a year and now after its publication, there is a tendency for customers to cloud services which include the certification ISO/IEC 27018, as a requirement or at least as the preferred option, in response to the offer of the supplier. Microsoft, being one of the largest companies providing cloud services in the world, was the first in the field which adopted the model and followed by other equally important providers such as Amazon and Dropbox.
|
---|