Conformité ISO/IEC 27018
Protection des données à caractère personnel (PII) dans le cloud
Qu’est-ce que l’ISO/IEC 27018 ?
ISO/IEC 27018 est une norme internationale dédiée à la protection des données à caractère personnel (PII) dans les environnements de cloud computing. Elle s’appuie sur ISO/IEC 27002 et fournit des recommandations spécifiques pour les fournisseurs de services cloud agissant en tant que sous-traitants de données personnelles.
Son objectif est de garantir que les données personnelles sont gérées et protégées conformément aux principes de confidentialité, de transparence et aux exigences réglementaires.
Exigences clés de l’ISO/IEC 27018 :
- Consentement et transparence : Les clients cloud doivent savoir comment leurs données personnelles sont traitées, stockées et consultées.
- Droits des personnes concernées : Permettre aux individus d’exercer leurs droits d’accès, de correction et de suppression de leurs données.
- Limitation des finalités : Garantir que les données personnelles sont traitées uniquement pour les finalités convenues.
- Contrôles de sécurité des données : Appliquer un contrôle d’accès fort, le chiffrement et la surveillance pour protéger les données personnelles.
- Notification des violations de données : Garantir un signalement rapide des incidents impliquant des données personnelles.
Comment Visual Guard facilite la conformité ISO/IEC 27018 :
Gouvernance des accès :
Restreindre l’accès aux données personnelles via des permissions fines basées sur les rôles.
Authentification et MFA :
Appliquer des mécanismes d’authentification forte pour sécuriser l’accès aux données personnelles.
Traçabilité et journaux d’audit :
Enregistrer tous les accès et modifications des données personnelles afin d’assurer la traçabilité et de fournir des preuves de conformité.
Support des droits des utilisateurs :
Faciliter la restriction ou la suppression des comptes utilisateurs et des données associées sur demande.
Application des politiques :
Aligner les règles d’accès applicatives avec les politiques de confidentialité et les engagements contractuels.
Capacités techniques détaillées
Gouvernance des accès
- Permissions fines au niveau du champ ou de l’enregistrement
- Restriction des accès selon les rôles métiers et le contexte opérationnel
- Mise en œuvre de la séparation des tâches (SoD) pour les rôles sensibles
- Journalisation de tous les accès et opérations impliquant des données personnelles
Authentification forte et fédérée
- MFA via OTP (email, SMS, application) ou jetons matériels
- Authentification fédérée et SSO via Active Directory, Entra ID, SAML 2.0, OAuth 2.0 et OpenID Connect
Cycle de vie des identités et droits à la confidentialité
- Automatisation du déprovisionnement des comptes afin de supporter le « droit à l’oubli »
- Restriction ou désactivation des comptes sur demande des personnes concernées
Journalisation et responsabilité
- Enregistrement de toutes les opérations liées aux données personnelles dans des journaux d’audit immuables
- Génération de rapports exportables pour auditeurs, autorités réglementaires et obligations contractuelles
Contrôles d’accès contextuels
- Règles adaptatives basées sur le rôle, le département, la localisation, l’heure ou l’appareil
Cas d’usage
Protection des données personnelles dans une application cloud de santé
Un éditeur de logiciels de santé propose une plateforme cloud gérant les dossiers patients pour plusieurs hôpitaux. Pour se conformer à l’ISO/IEC 27018, il doit appliquer un contrôle d’accès strict aux données personnelles sensibles, assurer la traçabilité complète des opérations et fournir des preuves de conformité à ses clients et aux autorités.
Comment Visual Guard a aidé :
- Définition de permissions basées sur les rôles pour médecins, infirmiers et administrateurs.
- Application du MFA pour tous les utilisateurs accédant aux données patients.
- Journalisation de chaque accès et modification des dossiers patients.
- Automatisation du déprovisionnement des comptes lors des départs ou changements de fonction, soutenant le « droit à l’oubli ».
- Fourniture de tableaux de bord et rapports de conformité pour auditeurs et clients.
Résultat : L’éditeur de logiciels de santé a assuré une gestion sécurisée des données patients, renforcé la confiance de ses clients et simplifié les audits externes en démontrant sa conformité à l’ISO/IEC 27018.