Kiwa e le linee guida per la protezione delle informazioni nei servizi in Cloud
Destinatari principali di questi servizi sono sicuramente le aziende che offrono servizi software specialistici per la Pubblica Amministrazione, così come indicato dall’Agenzia per la Cybersicurezza Nazionale (ACN), ma anche le altre aziende che intendano fornire ai propri clienti garanzie aggiuntive che i servizi informatici in Cloud offerti abbiano il corretto livello di sicurezza e protezione delle informazioni dei clienti.
Le linee guida per la protezione delle informazioni ISO/IEC 27108:2019 – “Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors” e ISO/IEC 27017:2015 “Information Technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services” si basano sui requisiti della ISO/IEC 27002 e della ISO/IEC 29100, e li estendono con controlli specifici relativi alla protezione delle informazioni in ambito cloud.
Le linee guida non sono certificabili da sole, ma per poter essere considerate valide devono essere integrate all’interno di un certificato ISO 27001 che copra il campo di applicazione relativo ai servizi Cloud.
La verifica del rispetto di tali linee guida deve essere effettuata da un ente terzo accreditato, come Kiwa Cermet Italia, che ha ottenuto l’accreditamento a novembre 2018.