Microsoft решила использовать в своих облачных прикладных сервисах международный стандарт ISO/IEC 27018, нацеленный на защиту персональных данных, хранимых в облаках. Генеральный юрисконсульт и исполнительный вице-президент по правовым и корпоративным отношениям Microsoft Брэд Смит отмечает в корпоративном блоге, что его компания первой среди ведущих глобальных провайдеров взяла на себя обязательства по поддержке прописанных в стандарте рекомендаций по обеспечению конфиденциальности Personally Identifiable Information (PII, персональная идентифицируемая информация) в публичном облаке. Независимый аудит соблюдения правил ISO 27018 в Microsoft Azure, включая Office 365 и Dynamics CRM Online, будет выполнять Британский институт стандартов (BSI), а аналогичную работу для сервиса Microsoft Intune — компания Bureau Veritas.
Отметим, что понятие «персональные данные» в национальных законодательствах разных стран сегодня трактуется по-разному. Так, например, если в России принята очень общая формулировка — «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», то в США обычно применяется термин PII, который включается только информацию, по которой человек может быть идентифицирован (адрес проживания, номер социального страхования, номера ключевых документов, дата рождения и пр.; полное имя человека и адрес электронной почты — подлежат защите по его желанию), а также личные сведения (например, медицинские сведения или криминальное прошлое), если они прикреплены к первой к категории данных.
Стандарт ISO/IEC 27018:2014 «Information technology — Security techniques — Code of practice for protection of PII in public clouds acting as PII processors» был принят летом 2014 г. в дополнение к ISO/IEC 27001, устанавливающему общие требования к системам управления безопасностью информации. Новый стандарт определяет общепринятые цели и механизмы контроля, а также содержит руководство по их реализации в целях защиты PII в соответствии с принципами обеспечения приватности, зафиксированными в международном стандарте ISO/IEC 29100 для публичных облачных сред. Одна из ключевых идей ISO/IEC 27018:2014 заключается в возможности обеспечения операторами персональных данных своего соответствия лучшим практикам путем проведения независимых аудитов в рамках авторитетных международных систем сертификации. Предшественником ISO/IEC 27018:2014, как известно, был британский стандарт BS 10012:2009 «Защита данных — Спецификация системы управления персональными данными», который был первым в мире стандартом на эту тему. Наверное, именно поэтому Microsoft выбрала в качестве аудитора BSI.
По мнению Брэда Смита, использование ISO 27018 в облачных сервисах, предназначенных преимущественно для корпоративных заказчиков, помогут убедить клиентов, что их персональные данных надежно защищены с помощью целого комплекса мер. Аудиторы смогут убедиться, что эти сведения используются только в соответствии с требованиями пользователей (в том числе в виде согласия на предложения провайдера услуг). Пользователи всегда будут знать, что происходит с их данными, в том числе — где именно они хранятся и как перемещаются между ресурсами. В случае, если эти данные будут нужны организациям, с которыми сотрудничает Microsoft, сведения о таких контрагентах будет доступна клиентам. Пользователи будут в курсе случаев неавторизованного доступа к их информации, потери данных и прочих возможных происшествий.
Для хранения и обработки информации будут использоваться методы и технологии, которые должны свести в минимуму возможность попадания данных в «чужие руки», сведения эти будут недоступны в том числе сотрудникам Microsoft. В соответствии со стандартом, клиенты будут защищены от использования их данных в рекламных целях. ISO 27018 требует, чтобы потребители знали о доступе правительства к их информации на основе законных запросов (если закон не запрещает такое информирование).