ISO 27018 Nedir? Bulutta Kişisel Veri Koruma
Bulut bilişim yaygınlaştıkça, kurumların müşteri ve çalışan verilerini üçüncü taraf bulut sağlayıcılarına emanet etmesi olağan hale geldi. Bu durum kritik bir soruyu gündeme getirir: Verilerimiz bulutta gerçekten korunuyor mu? İşte ISO/IEC 27018 tam da bu güveni sistematik bir çerçeveye oturtmak için geliştirilmiş bir standarttır.
ISO/IEC 27018, genel (public) bulut ortamında kişisel verilerin (PII) korunmasına ilişkin bir uygulama kılavuzudur (code of practice) ve özellikle PII işleyen (processor) rolündeki kamuya açık bulut hizmet sağlayıcıları için ek gizlilik kontrolleri tanımlar. Bağımsız bir yönetim sistemi standardı değil; ISO/IEC 27002 temelli, bulut gizliliğine odaklanan tamamlayıcı bir kılavuzdur.
Özetle:
- Ne işe yarar: Genel bulutta kişisel verilerin (PII) korunması için uygulama kılavuzu sunar
- Güncel sürüm: ISO/IEC 27018:2019 (ilk sürüm 2014)
- Kime yönelik: PII işleyen (processor) rolündeki public bulut hizmet sağlayıcıları
- Temeli: ISO/IEC 27002 kontrollerine bulut gizliliği için ek kontroller ekler
- Birlikte kullanım: ISO/IEC 27001 ve ISO/IEC 27017 ile birlikte uygulanır
- Tamamlayıcı: Gizlilik yönetimi için ISO/IEC 27701 ile bütünleşir
ISO 27018 Ne Anlama Gelir?
ISO/IEC 27018, bulut ortamında işlenen kişisel verilerin (PII — Personally Identifiable Information) gizliliğini güvence altına almayı amaçlayan uluslararası bir kılavuzdur. Standart, bir bulut sağlayıcısının müşterilerine ait kişisel verileri işlerken hangi ilkelere uyması gerektiğini ve hangi ek güvenlik ile gizlilik kontrollerini uygulaması beklendiğini ortaya koyar.
Burada anahtar kavram "PII işleyen" (processor) rolüdür. Bir bulut sağlayıcısı, müşterisinin talimatları doğrultusunda kişisel verileri saklar veya işler ancak bu verilerin amacını ve kullanımını kendisi belirlemez. ISO/IEC 27018 işte bu işleyen rolündeki sağlayıcıların sorumluluklarını netleştirir.
Standart, ISO/IEC 27002'deki mevcut bilgi güvenliği kontrollerini bulut bağlamına uyarlar ve bunlara kişisel veri gizliliğine özgü ek kontroller ile uygulama rehberi ekler. Böylece genel bilgi güvenliği yaklaşımı, bulutta gizlilik gereksinimleriyle güçlendirilir.
ISO 27018 Hangi İhtiyaçtan Doğdu?
Geleneksel bilgi güvenliği standartları, verinin nerede ve kim tarafından işlendiğinden bağımsız bir genel çerçeve sunar. Ancak bulut bilişim, veri sahibi (müşteri) ile veriyi fiziksel olarak barındıran taraf (sağlayıcı) arasındaki sınırları belirsizleştirir. Müşteri, verisinin tam olarak nasıl işlendiğini her zaman göremez; sağlayıcı ise verinin amacını bilmeyebilir.
Bu güven açığını kapatmak için ISO/IEC 27018 şu temel ihtiyaçlara yanıt verir:
| İhtiyaç | ISO 27018'in Yaklaşımı |
|---|---|
| Şeffaflık | Sağlayıcının veriyi nasıl işlediğini müşteriye açık şekilde bildirmesi |
| Müşteri kontrolü | Kişisel verinin yalnızca müşteri talimatlarıyla işlenmesi |
| Amaç sınırlaması | Verinin pazarlama gibi amaçlarla rıza olmadan kullanılmaması |
| Hesap verebilirlik | İhlal ve erişim taleplerinde kayıt ve bildirim yükümlülükleri |
| Veri iadesi/silme | Sözleşme sona erdiğinde verinin geri verilmesi veya imhası |
ISO 27018 Kontrol Alanları
ISO/IEC 27018, ISO/IEC 27002 yapısını izleyerek mevcut kontrolleri bulut gizliliği için yorumlar ve buna ek olarak kişisel veri korumasına özgü uygulama maddeleri içerir. Bu kontroller genel olarak aşağıdaki alanlarda toplanabilir:
| Kontrol Alanı | Açıklama |
|---|---|
| Rıza ve seçim | Kişisel verinin işlenmesinde müşterinin/veri sahibinin rızasına saygı |
| Amaç meşruiyeti | Verinin yalnızca belirlenen ve müşterinin onayladığı amaçlar için işlenmesi |
| Veri minimizasyonu | İşlenen kişisel verinin yalnızca gerekli kapsamda tutulması |
| Şeffaflık ve bilgilendirme | İşleme faaliyetleri, alt yükleniciler ve veri konumu hakkında açıklık |
| Erişim ve düzeltme | Veri sahibinin erişim ve düzeltme taleplerinin desteklenmesi |
| Bilgi güvenliği | Şifreleme, erişim yönetimi ve ihlal bildirimi gibi teknik tedbirler |
| Uyum ve denetim | Yasal yükümlülüklere uyum ile bağımsız denetlenebilirlik |
Bu kontroller, sağlayıcının yalnızca veriyi teknik olarak güvende tutmasını değil, aynı zamanda gizlilik ilkelerine uygun davranmasını da güvence altına almayı hedefler.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
ISO 27017 ile ISO 27018 Farkı
İki standart da bulut bilişimle ilgilidir ve genellikle birlikte anılır ancak odakları farklıdır. ISO/IEC 27017 bulut hizmetlerinde genel bilgi güvenliğine, ISO/IEC 27018 ise bulutta kişisel verilerin gizliliğine odaklanır.
| Kriter | ISO/IEC 27017 | ISO/IEC 27018 |
|---|---|---|
| Odak | Bulut hizmetlerinde bilgi güvenliği | Bulutta kişisel veri (PII) gizliliği |
| Kapsam | Her tür bulut verisi ve hizmeti | Kişisel veri içeren işlemler |
| Hedef rol | Bulut sağlayıcı ve müşteri | Özellikle PII işleyen (processor) sağlayıcı |
| Temel | ISO/IEC 27002 | ISO/IEC 27002 |
| Amaç | Genel bulut güvenlik kontrolleri | Gizlilik odaklı ek kontroller |
Kısaca: ISO/IEC 27017 "bulutta veri güvenli mi?" sorusuna, ISO/IEC 27018 ise "bulutta kişisel veri gizliliği korunuyor mu?" sorusuna yanıt verir. İki standart birbirini tamamlar ve çoğu zaman ISO/IEC 27001 ile birlikte uygulanır.
ISO 27001, 27017 ve 27018 Birlikte Nasıl Çalışır?
Bu üç standart, bulut güvenliği ve gizliliği için katmanlı bir çerçeve oluşturur:
- ISO/IEC 27001: Bilgi güvenliği yönetim sistemi (BGYS) için temel ve sertifiye edilebilir standardı sağlar.
- ISO/IEC 27017: Bu temeli bulut hizmetlerine özgü güvenlik kontrolleriyle genişletir.
- ISO/IEC 27018: Bulutta işlenen kişisel verilere gizlilik odaklı ek kontroller getirir.
ISO/IEC 27018 kendi başına bir yönetim sistemi kurmaz; uygulamada genellikle ISO/IEC 27001 kapsamında işletilen bir BGYS üzerine inşa edilir. Gizlilik yönetimini daha kapsamlı ele almak isteyen kurumlar ise ISO/IEC 27701 ile bu yapıyı bütünleştirir.
ISO 27018'in Faydaları
| Fayda | Açıklama |
|---|---|
| Güven | Müşterilere kişisel verilerinin korunduğuna dair somut bir taahhüt sunar |
| Rekabet avantajı | Bulut sağlayıcıları için pazarda ayırt edici bir gizlilik referansı sağlar |
| Uyum desteği | KVKK ve GDPR gibi düzenlemelere uyum sürecini kolaylaştırır |
| Şeffaflık | Veri işleme süreçlerinin açık ve denetlenebilir olmasını sağlar |
| Risk azaltma | Veri ihlali ve gizlilik kaynaklı itibar risklerini düşürür |
ISO 27018 Kimler İçin Uygundur?
ISO/IEC 27018 özellikle aşağıdaki taraflar için anlamlıdır:
- Kişisel veri işleyen genel (public) bulut hizmet sağlayıcıları
- SaaS, PaaS ve IaaS hizmeti sunan teknoloji şirketleri
- Müşterilerine gizlilik güvencesi vermek isteyen veri merkezleri ve barındırma sağlayıcıları
- Bulut hizmeti seçerken gizlilik kriterini önemseyen kurumsal müşteriler
Bulut sağlayıcısı olmayan ancak bulutta kişisel veri barındıran kurumlar için de standart, sağlayıcı seçiminde ve sözleşme gereksinimlerinde değerli bir referans çerçevesi sunar.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
ISO/IEC 27018, genel bulut ortamında kişisel verilerin (PII) korunmasına ilişkin bir uygulama kılavuzudur. PII işleyen rolündeki bulut sağlayıcılarının uygulaması beklenen gizlilik kontrollerini ve ilkelerini tanımlar.
ISO/IEC 27017 bulut hizmetlerinde genel bilgi güvenliğine odaklanırken, ISO/IEC 27018 bulutta işlenen kişisel verilerin gizliliğine odaklanır. İkisi farklı amaçlara hizmet eder ve çoğunlukla birlikte uygulanarak birbirini tamamlar.
ISO/IEC 27018 bulutta PII koruması için odaklı bir uygulama kılavuzudur; ISO/IEC 27701 ise daha geniş kapsamlı bir gizlilik bilgi yönetim sistemi (PIMS) standardıdır. Gizlilik yönetimini bütüncül ele almak isteyen kurumlar için iki standart tamamlayıcı niteliktedir.
ISO/IEC 27018 doğrudan bir yasal zorunluluk değildir ancak içerdiği gizlilik kontrolleri KVKK ve GDPR gibi veri koruma düzenlemelerinin gereksinimleriyle büyük ölçüde örtüşür. Bu nedenle standart, ilgili mevzuata uyum sürecini destekleyen pratik bir çerçeve sağlar.
Standart, öncelikle kişisel veri işleyen genel bulut hizmet sağlayıcıları için tasarlanmıştır. Bunun yanında bulutta kişisel veri barındıran kurumlar da sağlayıcı seçimi ve sözleşme gereksinimlerinde bu standardı referans alabilir.
