No segundo semestre de 2014 foi publicada a primeira norma ISO exclusivamente dirigida à protecção de dados na “cloud”, mais concretamente à protecção de dados de carácter pessoal. A norma ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors resulta do trabalho do comité técnico ISO/IEC JTC 1/SC 27 IT Security techniques, já antes responsável pela publicação das normas ISO 27001, ISO 27002 e ISO 27015, que tratam dos requisitos e gestão da segurança da informação.
A publicação da norma ISO/IEC 27018:2014 tem como objectivo auxiliar os prestadores de serviços na “cloud” que processam as informações de identificação pessoal a lidar com as obrigações legais aplicáveis, bem como com as expectativas dos clientes. Pretende-se reforçar a transparência na prestação destes serviços e facilitar a contratação de serviços na “cloud”.
O comité técnico tem neste momento em preparação três outras normas relativas à gestão e segurança da informação na “cloud”. Em Outubro de 2015 deverá ser publicada a primeira dessas normas ISO/IEC DIS 27017 Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services. Nos próximos anos, duas outras normas deverão ser publicadas, a ISO/IEC NP 19086-4 Information technology – Cloud computing – Service level agreement (SLA) framework and Technology – Part 4: Security and privacy e a ISO/IEC CD 27036-4 Information technology — Information security for supplier relationships — Part 4: Guidelines for security of Cloud services.
Estas normas vêm reforçar as directivas europeias já anteriormente emitidas, nomeadamente a Directiva de Protecção de Dados (95/46/CE) e a Directiva sobre Privacidade nas Comunicações Electrónicas (2009/136/CE).
Segundo Elizabeth Gasiorowski-Denis, editora chefe da ISOfocus, “quanto mais depressa os utilizadores puderem confiar para usar a cloud correctamente (com garantia de total segurança), melhor para os negócios e para a informação”.
