Le cloud Microsoft conforme à la norme ISO/IEC 27018
On l'attendait avec impatience, on savait qu'on y serait conforme, mais aujourd'hui c'est officiel :
Microsoft Azure est la 1ère plateforme de cloud computing à être conforme à la norme ISO/IEC 27018, la seule norme internationale de contrôles de la confidentialité !
Voici une version française de l'annonce de Lori Woehler, Principal Group Manager dans le domaine "Compliance & Trust" chez Microsoft.
En début de mois, nous avons partagé un certain nombre de nouvelles étapes concernant la conformité de notre plateforme Microsoft Azure : https://azure.microsoft.com/blog/2015/01/13/microsoft-azure-reaches-new-industry-leading-cloud-compliance-milestones/.
L'un d'entre eux est particulièrement important :
La British Standards Institution (BSI) a validé que Azure intègre des contrôles qui correspondent aux codes de conduite ISO 27018 pour la protection des informations personnelles identifiables ( Personally Identifiable Information - PII ) des fournisserus de clouds publics dont l'activité est de traiter ces données PII.
ISO 27018 est la première série internationale de contrôles de la confidentialité dans le cloud, et Azure est la première plateforme de cloud computing à avoir adopté la norme ISO 27018.
L'adoption de la norme ISO 27018 par Azure fait partie d'un des engagements les plus important de Microsoft pour protéger la vie privée de nos clients, comme décrit dans l'article today’s Microsoft on the Issue post de Brad Smith, General Counsel & Executive Vice President, Legal and Corporate Affairs chez Microsoft.
En plus de Azure, Office 365, Dynamics CRM Online et Microsoft Intune ont également adopté la norme ISO 27018.
ISO 27018 a été publiée le 30 juillet 2014 par l'Organisation internationale de normalisation (ISO) , en tant que nouveau composant de la norme ISO 27001. ISO 27018 établit un code de conduite pour la protection des PII dans les clouds publics agissant comme processeurs PII. Les fournisseurs de services Cloud (Cloud service providers - CSP) qui ont adopté la norme ISO/IEC 27018 doivent respecter ces cinq principes clés :
1. Consentement : Les fournisseurs de cloud ne doivent pas utiliser les données personnelles qu'ils reçoivent à des fins de publicité et de marketing à moins que cela ait été expressément demandé par le client. De plus, il doit être possible pour un client d'utiliser le service sans devoir soumettre ses données personnelles a des fins de publicité ou de marketing.
2. Contrôle : Les clients ont un contrôle explicite sur l'utilisation de leurs informations.
3. Transparence : Les fournisseurs de cloud doivent informer les clients du lieu où résident leurs données, les informer concernant le recours à des sous-traitants pour traiter les PII et prendre des engagements clairs sur la façon dont ces données sont gérées.
4. Communication : En cas de violation de ces règles, les fournisseurs de cloud doivent informer les clients et leur fournir des informations claires sur l'incident et les mesures prises vis-à-vis de celui-ci.
5. Des audit indépendante et annuel : un audit réalisé par un tierce partie doit documenter la conformité des services des fournisseurs de cloud avec la norme et peut alors être invoqué par le client pour répondre à leurs propres obligations réglementaires. Pour rester conforme, les fournisseurs de cloud doivent se soumettre annuellement à ces examens.
La confiance envers un fournisseur de cloud est un point très important pour les clients, c'est pourquoi Microsoft s'efforce de maintenir cette confiance en adoptant les principes de confidentialité strictes énoncées dans la norme ISO 27018, et s'assure que les services Azure soient soumis à des audits indépendants réguliers.