ISO/IEC 27018/2019: cos’è, requisiti della certificazione sulla protezione dei dati personali in cloud

ISO/IEC 27018/2019: cos’è, requisiti della certificazione sulla protezione dei dati personali in cloud

La certificazione ISO/IEC 27018:2019 rappresenta uno standard internazionale di riferimento per la tutela dei dati personali trattati dai provider di servizi cloud pubblici. L’approfondimento che segue analizza il significato della norma, i requisiti richiesti per ottenere la certificazione, i vantaggi per le organizzazioni che vi aderiscono, i costi indicativi del percorso di conformità e i principali organismi accreditati in Italia. Viene inoltre esaminata la struttura dello standard, con particolare attenzione alle specificità rispetto ad altri riferimenti ISO in ambito sicurezza delle informazioni, nonché le prospettive evolutive future.

Cos’è la certificazione ISO/IEC 27018 e perché è importante

La ISO/IEC 27018:2019 è una norma internazionale che definisce un insieme di controlli e linee guida specificamente progettati per la protezione dei dati personali identificabili (Personally Identifiable Information, PII) trattati da provider di servizi cloud pubblici. Lo standard si inserisce nel contesto della famiglia ISO/IEC 27000, incentrata sulla sicurezza delle informazioni, e si configura come un’estensione applicativa della ISO/IEC 27001, focalizzata sulla gestione sistematica della sicurezza informatica.

L’adozione di questo standard consente ai fornitori di servizi cloud di:

  • garantire la conformità alle normative internazionali e locali in materia di protezione dei dati personali (es. GDPR);
  • implementare i principi di privacy by design e by default, in linea con le più recenti aspettative normative e di mercato;
  • rafforzare la fiducia dei clienti e stakeholder, attestando l’impegno verso una gestione responsabile e sicura delle informazioni personali.

In un contesto in cui la cloud governance e la protezione della privacy rappresentano fattori chiave di rischio e competitività, la certificazione ISO/IEC 27018 si configura come un elemento distintivo di affidabilità e accountability.

Qual è il significato di ISO/IEC 27018 e perché si chiama così

La denominazione ISO/IEC 27018 segue la convenzione di numerazione propria della famiglia ISO/IEC 27000, che raccoglie gli standard internazionali relativi alla gestione della sicurezza delle informazioni.

  • Il prefisso ISO/IEC indica la pubblicazione congiunta da parte dell’International Organization for Standardization (ISO) e della International Electrotechnical Commission (IEC).
  • Il numero 27018 identifica lo standard specificamente dedicato ai controlli per la protezione dei dati personali nei servizi di cloud computing, costituendo un codice univoco nell’ambito della serie ISO/IEC 27000.

In particolare, ISO/IEC 27018 si configura come uno standard di tipo “code of practice”, ovvero un insieme di controlli aggiuntivi e raccomandazioni integrative rispetto alla ISO/IEC 27001 e alla ISO/IEC 27002, con un focus mirato sulla protezione dei PII in ambienti cloud.

Il logo ufficiale della certificazione ISO/IEC 27018

Il logo ufficiale della certificazione ISO/IEC 27018 non è definito da ISO stessa, ma viene rilasciato dagli organismi di certificazione accreditati, in conformità alle normative ISO/IEC 17021. Tale logo può comprendere:

  • il riferimento allo standard ISO/IEC 27018 in forma testuale;
  • l’indicazione dell’organismo certificatore accreditato;
  • eventuali elementi grafici che rappresentano il cloud computing o la protezione dei dati.
Logo ufficiale della certificazione ISO/IEC 27018

Il logo può essere utilizzato, nel rispetto delle condizioni contrattuali e regolamentari, su:

  • documentazione istituzionale (policy, report, audit di terza parte);
  • comunicazioni commerciali e materiali informativi;
  • siti web e portali ufficiali dell’organizzazione certificata.

Dal punto di vista reputazionale, il logo rappresenta un segnale di conformità, trasparenza e impegno nei confronti della protezione dei dati personali, offrendo ai clienti e agli stakeholder un’indicazione tangibile dell’adozione di best practice riconosciute a livello internazionale.

Struttura della norma ISO/IEC 27018

La norma ISO/IEC 27018:2019 è articolata in una struttura coerente con quella tipica degli standard della serie ISO/IEC 27000, con un’impostazione che ne facilita l’integrazione nei sistemi di gestione per la sicurezza delle informazioni già conformi alla ISO/IEC 27001.

La norma si compone di sezioni introduttive, riferimenti normativi, termini e definizioni, seguite da un corpo centrale che definisce i principi di controllo e le misure specifiche applicabili ai Public Cloud Service Providers (PCSP) che trattano PII in qualità di responsabili del trattamento.

Le principali sezioni della norma comprendono:

  1. Scopo e campo di applicazione
     Specifica l’obiettivo della norma, ovvero fornire linee guida per l’implementazione di controlli volti alla protezione dei dati personali in ambienti cloud pubblici, in conformità ai requisiti di ISO/IEC 27002.
  2. Riferimenti normativi
     Include i riferimenti ad altri standard ISO/IEC, in particolare la ISO/IEC 27001 e la ISO/IEC 27002, su cui si basa.
  3. Termini e definizioni
     Elenca la terminologia tecnica utilizzata nel documento, con particolare attenzione ai concetti di “dati personali”, “cloud provider”, “interessato” e “responsabile del trattamento”.
  4. Linee guida sui controlli per la protezione dei PII
     Costituisce il nucleo operativo della norma e contiene:
    • Controlli estesi e specifici rispetto alla ISO/IEC 27002, adattati al contesto del cloud computing;
    • Indicazioni su come implementare tali controlli per garantire la riservatezza, integrità e disponibilità dei dati personali;
    • Considerazioni su consenso, trasparenza, responsabilità, conservazione limitata dei dati, trasferimento internazionale e sicurezza contrattuale.
  5. Allegati informativi
     Forniscono esempi, raccomandazioni operative e ulteriori chiarimenti per facilitare l’adozione concreta dello standard.

Come ottenere la certificazione ISO/IEC 27018?

Il conseguimento della certificazione ISO/IEC 27018 da parte di un’organizzazione richiede un processo strutturato, che coinvolge una serie di attività tecnico-organizzative e una verifica da parte di un organismo di certificazione accreditato.

Le fasi principali del processo di certificazione

  1. Analisi dei requisiti e gap analysis
     Valutazione preliminare del livello di conformità dell’organizzazione rispetto ai requisiti previsti dalla norma, con l’obiettivo di identificare eventuali non conformità o aree critiche.
  2. Preparazione documentale
     Redazione e aggiornamento della documentazione richiesta, tra cui:
    • policy e procedure sulla protezione dei dati personali;
    • modelli di gestione dei rischi privacy;
    • registri delle attività di trattamento in ambito cloud.
  3. Implementazione dei controlli
     Applicazione delle misure tecniche e organizzative previste dalla norma, coerenti con ISO/IEC 27001 e 27002, ma specificamente orientate alla tutela dei PII nei servizi cloud.
  4. Audit di certificazione (Fase 1 e Fase 2)
     L’organismo certificatore effettua due fasi di audit:
    • Fase 1: verifica documentale e analisi della preparazione iniziale;
    • Fase 2: audit sul campo (on-site o remoto), per valutare l’effettiva implementazione dei controlli.
  5. Emissione della certificazione
     In caso di esito positivo dell’audit, viene rilasciato il certificato ISO/IEC 27018, valido per un periodo di tre anni, soggetto a verifiche annuali di sorveglianza.

I requisiti

Per ottenere la certificazione ISO/IEC 27018, l’organizzazione deve dimostrare di rispettare una serie di requisiti specifici relativi alla gestione sicura e trasparente dei dati personali in ambiente cloud, tra cui:

  • Gestione dei dati personali (PII)
     Definizione chiara delle responsabilità nel trattamento, con particolare attenzione al ruolo di responsabile del trattamento (cloud provider);
  • Controllo degli accessi
     Adozione di misure rigorose per limitare l’accesso ai dati personali, basate su criteri di necessità, segregazione dei ruoli e tracciabilità;
  • Obblighi contrattuali con i clienti
     Inclusione di clausole contrattuali che garantiscano trasparenza, localizzazione dei dati, gestione degli incidenti, diritto all’accesso e alla cancellazione;
  • Misure tecniche e organizzative
     Implementazione di controlli sulla cifratura, pseudonimizzazione, gestione dei log, monitoraggio degli accessi e sicurezza fisica e logica delle infrastrutture cloud;
  • Gestione del consenso e dei diritti degli interessati
     Meccanismi per garantire l’esercizio dei diritti privacy, in linea con normative come il Regolamento UE 2016/679 (GDPR).
requisiti per ottenere la certificazione ISO/IEC 27018

Gli Enti certificatori in Italia e nel Mondo

La certificazione ISO/IEC 27018 può essere rilasciata da organismi di certificazione accreditati secondo la norma ISO/IEC 17021, specializzati nella certificazione di sistemi di gestione della sicurezza delle informazioni.

Tra i principali enti certificatori:

  • DNV (Det Norske Veritas)
  • Bureau Veritas
  • SGS
  • TÜV SÜD / TÜV Rheinland
  • BSI Group (British Standards Institution)

In Italia, l’iter con questi organismi prevede:

  1. Richiesta di offerta e definizione del perimetro di certificazione
  2. Valutazione preliminare o audit volontario (pre-audit)
  3. Audit ufficiale (Fase 1 e Fase 2)
  4. Rilascio della certificazione e programmazione degli audit di sorveglianza

Ogni quanto deve essere rinnovata la certificazione

La certificazione ISO/IEC 27018 ha validità triennale. Durante questo periodo, l’organizzazione è soggetta a:

  • Audit di sorveglianza annuale
     Verifica intermedia volta a monitorare il mantenimento dei requisiti e l’efficacia del sistema implementato.
  • Audit di rinnovo (recertification)
     Alla scadenza del triennio, è necessario sottoporsi a un nuovo audit completo per il rinnovo della certificazione.

Quanto costa ottenere la certificazione

Il costo per ottenere la certificazione ISO/IEC 27018/2019 può variare significativamente in base a diversi fattori, come:

  • la dimensione dell’organizzazione
  • il livello di preparazione esistente (es. se già si è certificati ISO 27001)
  • il supporto esterno richiesto (consulenti, formazione, ecc.)

Ecco una tabella indicativa con le voci di costo principali.

Voce di costoCosto stimato (€)Note
Gap Analysis / Assessment iniziale1.000 – 5.000Facoltativa, ma utile per valutare il grado di conformità attuale
Consulenza e supporto implementazione5.000 – 20.000Dipende da dimensioni, processi già presenti, e ISO 27001 già in uso
Formazione interna1.000 – 5.000Corsi per responsabili sicurezza, IT, compliance
Audit interno (se esterno)1.000 – 3.000Obbligatorio prima della certificazione
Certificazione da ente accreditato3.000 – 10.000 / annoDipende da ente certificatore, durata, e dimensione aziendale
Manutenzione annuale / sorveglianza2.000 – 6.000 / annoAudit annuali richiesti per mantenere la certificazione

Differenze tra la versione ISO/IEC 27018:2019 e quella del 2014

La norma ISO/IEC 27018:2019 rappresenta una revisione sostanziale rispetto alla versione originaria del 2014, introdotta per tenere conto dell’evoluzione normativa, tecnologica e operativa nel settore del cloud computing e della protezione dei dati personali. Di seguito vengono sintetizzate le principali differenze tra le due versioni, in termini di requisiti, terminologia, approccio metodologico e ambiti applicativi.

1. Aggiornamento della terminologia

La versione 2019 introduce una terminologia più allineata con le definizioni internazionali in materia di privacy e protezione dei dati, tra cui:

  • Adozione più esplicita dei termini “PII controller” (titolare del trattamento) e “PII processor” (responsabile del trattamento), in coerenza con le definizioni contenute in ISO/IEC 29100 e nel GDPR.
  • Maggiore chiarezza nella distinzione tra i concetti di consenso, informazione all’interessato, diritti dei soggetti e misure di accountability.

2. Allineamento con i nuovi scenari normativi

La versione 2019 è stata aggiornata per riflettere i requisiti di conformità normativa introdotti o rafforzati tra il 2014 e il 2019, in particolare:

  • l’entrata in vigore del Regolamento (UE) 2016/679 (GDPR);
  • una maggiore enfasi sul principio di privacy by design e by default;
  • l’integrazione delle pratiche di data governance, notifica delle violazioni e gestione del ciclo di vita dei dati personali.

3. Revisione e razionalizzazione dei controlli

Nel passaggio dalla versione 2014 alla 2019:

  • sono stati razionalizzati alcuni controlli esistenti, eliminando duplicazioni e migliorandone la leggibilità;
  • è stata introdotta una maggiore flessibilità nell’implementazione dei controlli, favorendo l’adattabilità al contesto dell’organizzazione e ai modelli di servizio (IaaS, PaaS, SaaS);
  • i controlli sono ora maggiormente coerenti con la ISO/IEC 27002:2013, a cui la norma è complementare, e facilitano l’integrazione con ISO/IEC 27701.

4. Migliorata applicabilità ai modelli di cloud moderni

La versione 2019 tiene conto dell’evoluzione dei servizi cloud negli ultimi anni, introducendo:

  • una struttura più compatibile con modelli multicloud e hybrid cloud;
  • riferimenti più espliciti a scenari di data portability, location awareness e trasferimento internazionale dei dati;
  • maggiore attenzione alla gestione delle sub-responsabilità (es. sub-processori).

5. Approccio più centrato sull’accountability

Rispetto alla versione del 2014, l’edizione 2019 adotta un approccio maggiormente orientato alla dimostrabilità delle misure adottate, in linea con i principi di trasparenza, responsabilità e tracciabilità. L’organizzazione è chiamata non solo a implementare misure, ma anche a documentare le evidenze e a mantenere tracciabilità dei processi decisionali e operativi legati alla protezione dei PII.

Perché la certificazione ISO/IEC 27018 è un vantaggio competitivo per le aziende ed esempi

Ottenere la certificazione ISO/IEC 27018:2019 rappresenta per le organizzazioni – in particolare per i fornitori di servizi cloud – un elemento distintivo in termini di affidabilità, trasparenza e conformità normativa. In un contesto in cui la protezione dei dati personali è diventata una priorità per clienti, regolatori e partner commerciali, la certificazione costituisce un vantaggio competitivo concreto e misurabile.

Fiducia, trasparenza e conformità

  • Aumento della fiducia dei clienti:
    Dimostrare l’adozione di uno standard internazionale riconosciuto rafforza la credibilità dell’organizzazione, rassicurando i clienti sull’adozione di misure avanzate per la protezione dei dati personali in cloud.
  • Trasparenza nei processi:
    La certificazione richiede che l’organizzazione sia in grado di dimostrare come i dati vengano trattati, dove siano archiviati, chi possa accedervi e con quali garanzie, promuovendo un approccio trasparente e documentato.
  • Conformità al GDPR e ad altri regolamenti:
    ISO/IEC 27018 è perfettamente allineata ai principi del Regolamento UE 2016/679 (GDPR), agevolando la dimostrazione della responsabilità (accountability) e della adozione di misure tecniche e organizzative adeguate previste dall’art. 32 del regolamento.

Una certificazione ancora poco diffusa

Nonostante i suoi benefici, la certificazione ISO/IEC 27018 è attualmente posseduta da un numero limitato di aziende a livello nazionale e internazionale. In Italia, ad esempio, realtà come Infocad – attiva nella fornitura di soluzioni digitali e servizi cloud – si distinguono per aver integrato questo standard nel proprio sistema di gestione per la sicurezza delle informazioni, a testimonianza di un approccio proattivo alla protezione dei dati personali.

Quando considerare la certificazione: scenari d’applicazione

La certificazione ISO/IEC 27018 è particolarmente indicata nei seguenti contesti:

Fornitori di servizi cloud che trattano dati personali dei clienti

Aziende che offrono servizi SaaS, PaaS o IaaS in cui i dati degli utenti finali vengono elaborati e conservati nel cloud. La certificazione garantisce una gestione conforme, sicura e responsabile delle informazioni personali.

Organizzazioni che desiderano differenziarsi sul mercato attraverso un approccio etico alla privacy

Imprese che vogliono valorizzare la data protection come leva di marketing e reputazione, dimostrando un impegno concreto verso la privacy by design e la protezione dell’identità digitale.

Aziende che devono dimostrare conformità normativa (es. GDPR, LGPD, CCPA)

Organizzazioni che operano in contesti regolamentati o internazionali possono utilizzare la certificazione per semplificare audit legali e contrattuali, in particolare nei rapporti B2B.

Imprese che vogliono rafforzare la governance dei dati e prevenire violazioni

La norma impone l’adozione di misure strutturate per la gestione dei rischi privacy e per la prevenzione di incidenti, facilitando l’integrazione tra sicurezza informatica e protezione dei dati personali.

La certificazione ISO/IEC 27018 non è solo uno strumento tecnico, ma un elemento strategico che consente alle aziende di posizionarsi sul mercato come partner affidabili, conformi e responsabili, offrendo ai propri clienti un livello superiore di tutela dei dati personali in ambienti cloud.

Altri articoli interessanti:

FAQ

Cos’è la ISO/IEC 27018?

La ISO/IEC 27018 è uno standard internazionale che tutela i dati personali nel cloud, definendo controlli per la protezione delle informazioni in ambienti pubblici.

A chi si rivolge la certificazione?

La certificazione ISO/IEC 27018 si rivolge ai provider di servizi cloud pubblici che trattano dati personali per conto di terzi, garantendo conformità e tutela della privacy.

ISO/IEC 27018 è obbligatoria?

No, la ISO/IEC 27018 non è obbligatoria, ma è una certificazione volontaria che dimostra l’impegno del provider cloud nella protezione dei dati personali.

Quanto dura la certificazione?

La certificazione ISO/IEC 27018 ha una validità di tre anni, con verifiche di sorveglianza annuali per assicurare il mantenimento della conformità allo standard.