Schlagwort-Archive: Zertifizierung

Hat Microsoft für seine Cloud-Dienste eine Datenschutz-„Zertifizierung“?

datenschutzbeauftragter-info.de meldet, Microsoft habe einige seine Cloud-Dienste nach ISO/IEC 27018 zertifiziert. Der Kommentar eines Lesers weist aber darauf hin, dass diese Information nicht richtig ist. Die ISO/IEC 27018 ist ein Leitfaden und keine Norm nach der zertifiziert werden könne (Quelle: https://www.datenschutzbeauftragter-info.de/datenschutz-zertifizierung-fuer-microsoft-cloud-dienste/, 2015-02-20, 13:15).
Ein Blick auf die Seiten von iso.org scheint den Widerspruch zu bestätigen:

ISO/IEC 27018:2014 – Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

In der Zusammenfassung heißt es:
„[..] ISO/IEC 27018:2014 specifies guidelines based on ISO/IEC 27002 [..]
The guidelines in ISO/IEC 27018:2014 might also be relevant to organizations acting as PII controllers; however, PII controllers can be subject to additional PII protection legislation, regulations and obligations, not applying to PII processors. ISO/IEC 27018:2014 is not intended to cover such additional obligations.“ (Quelle: http://www.iso.org/iso/catalogue_detail.htm?csnumber=61498)

Auch Microsoft wählt eindeutig andere Worte:
Microsoft setzt ersten internationalen Standard für Datenschutz in der Cloud um“ (Quelle: http://blogs.technet.com/b/microsoft_presse/archive/2015/02/16/microsoft-252-bernimmt-ersten-internationalen-standard-f-252-r-datenschutz-in-der-cloud.aspx)

Aktualisierung (16:38h): datenschutzbeauftragter-info.de weist mittlerweile (am Ende des Artikels) daraufhin, dass ISO/IEC 27018 eine Richtlinie und keine zertifizierbare Norm ist. Leider wurde vergessen, den referenzierten Artikel (ISO/IEC 27018: Der neue Datenschutz-Standard für Cloud-Dienste), der die Richtlinie als Norm tituliert, (zumindest) auch mit einem Kommentar zu versehen.