Microsoft
ha adoptado el estándar ISO/IEC 27018 para aumentar la privacidad de los
clientes en la nube. Este estándar es una de las normas internacionales de
control de la nube (Cloud) que permiten proteger la privacidad de los datos
personales almacenados en sus sistemas. Algunos de los productos que han
adoptado este estándar son Microsoft Azure, Microsoft Office 365, Microsoft
Dynamics CRM y Microsoft Intune.
Después
del escándalo de las revelaciones de Edward Snowden del espionaje de la NSA a
los principales servicios de Microsoft, los clientes dejaron de confiar en los
servicios proporcionados por la compañía. Según Brad Smith, Consejero Delegado
de Microsoft, los clientes utilizarán sólo los servicios en los que confían, y
desde Microsoft creen que adoptando esta norma ISO podrán recuperar la
confianza perdida.
Lo más
relevante del cumplimiento de esta norma es que se adhieren a las garantías de
seguridad y las políticas relativas a la modificación, traslado y eliminación
de los datos personales almacenados en sus centros de datos. Microsoft promete
bajo este estándar, que los clientes sabrán donde están sus datos e identificar
si hay terceros que necesiten acceder a los datos de los clientes. Asimismo,
Microsoft ha declarado que si hay un acceso no autorizado a la información
(para visualizarla, modificarla o eliminarla) avisarán al cliente perjudicado
de forma inmediata.
Aunque
el cumplimiento de la norma ISO/IEC 27018 no terminará con las especulaciones
acerca del espionaje masivo de la NSA, el cumplimiento de esta norma exige que
las solicitudes de aplicaciones de la ley para divulgación de datos personales
identificables deben darse a conocer a los clientes empresariales. Sin embargo,
es probable que tal divulgación esté prohibida por la ley del país, por lo que
nunca se comunicaría que se ha pedido información sobre un cliente en concreto.
Las cinco
claves principales del estándar ISO/IEC 27018 son los siguientes:
- Consentimiento: los proveedores de servicios no accederán a los datos personales para temas de publicidad o marketing a menos que el usuario lo requiera.
- Control: los usuarios deben especificar cómo se usará la información que le ha proporcionado a la empresa.
- Transparencia: los proveedores de servicios informarán a sus clientes sobre dónde están sus datos y si utilizan otras empresas a modo de externalización de servicios.
- Comunicación: los proveedores deben mantener un registro claro sobre cualquier incidente para posteriormente comunicárselo al cliente en cuestión.
- Auditoría externa sobre el cumplimiento de las normativa ISO/IEC 27018.