Certyfikat ISO to potwierdzenie, że organizacja spełnia międzynarodowe standardy w zakresie objętym konkretną normą, a aby go otrzymać, dostawca usług chmurowych musi przejść przez proces, który obejmuje szereg formalnych i praktycznych wymagań:

• wdrożenie systemu zarządzania zgodnego z wybraną normą,


• opracowanie i udokumentowanie procedur operacyjnych i kontrolnych,


• skuteczne zarządzanie ryzykiem i jego ciągła analiza,


• prowadzenie rejestru incydentów i działań naprawczych,


• zapewnienie zgodności z obowiązującymi przepisami.


• wykonanie wewnętrznych audytów oraz przeglądów zarządzania,


• przejście zewnętrznego audytu certyfikującego.

W praktyce certyfikacja ISO minimalizuje ryzyko operacyjne i prawne po stronie klienta. Ułatwia też ocenę partnerów IT podczas audytów i przetargów.

Największe znaczenie w cloud computingu mają te normy ISO, które odnoszą się do bezpieczeństwa informacji, ciągłości działania, zarządzania usługami i zgodności z regulacjami.

ISO/IEC 27001

Norma ISO/IEC 27001 definiuje wymagania dla systemu zarządzania bezpieczeństwem informacji (ISMS) i stanowi fundament zabezpieczeń w chmurze. Jej wdrożenie pozwala zidentyfikować, ocenić i skutecznie kontrolować ryzyko związane z przetwarzaniem danych.

Chcąc zrozumieć, co to jest certyfikat ISO/IEC 27001, warto przyjrzeć się praktycznym korzyściom, które przynosi jego wdrożenie:

• zapewnia systemowe podejście do ochrony danych klientów,


• potwierdza istnienie spójnych mechanizmów kontroli dostępu,


• gwarantuje wdrożenie działań prewencyjnych i reagowania na incydenty,


• zwiększa przejrzystość działań dostawcy w obszarze bezpieczeństwa,


• redukuje ryzyko operacyjne.

Certyfikacja systemów zarządzania bezpieczeństwem informacji oznacza, że dostawca traktuje bezpieczeństwo chmury jako ciągły proces, a nie jednorazowe działanie techniczne.

ISO/IEC 27017

Norma ISO/IEC 27017 to rozszerzenie normy ISO/IEC 27001 i została ona opracowana z myślą o specyfice środowisk chmurowych. Zawiera wytyczne dla dostawców i użytkowników chmury w zakresie zarządzania ryzykiem oraz podziału odpowiedzialności między stronami. Uwzględnia typowe zagrożenia dla modeli takich usług, jak IaaS, PaaS i SaaS.

Norma ISO/IEC 27017:

• precyzuje role i obowiązki stron w kontekście bezpieczeństwa danych,


• wspiera wdrożenie mechanizmów kontroli dostępu i szyfrowania danych,


• poprawia czytelność umów SLA w zakresie zabezpieczeń,


• ogranicza ryzyko niejednoznaczności w podziale odpowiedzialności.

Dzięki tej certyfikacji klient może mieć większą pewność, że zasady bezpieczeństwa danego dostawcy są dopasowane do realiów środowisk chmurowych.

ISO/IEC 27018

ISO/IEC 27018 to norma opracowana dla dostawców usług chmurowych, którzy przetwarzają dane osobowe. Rozszerza wymagania ISO/IEC 27001 o wytyczne związane z prywatnością, takie jak szyfrowanie podczas przesyłania i przechowywania, czy procedury powiadamiania o naruszeniach. Standard jest odpowiedzią na rosnące oczekiwania związane m.in. ze zgodnością z RODO.

Norma ISO/IEC 27018:

• ustanawia zasady przetwarzania danych osobowych w chmurze,


• definiuje wymagania w zakresie zgód i transparentności wobec użytkowników,


• obejmuje kontrolę nad lokalizacją i transferem danych między krajami,


• wprowadza procedury usuwania i zwracania danych po zakończeniu umowy,


• reguluje kwestie odpowiedzialności dostawcy w zakresie naruszeń prywatności.

Zgodność z normą ISO/IEC 27018 gwarantuje klientom, że dostawca stosuje najlepsze praktyki w celu ochrony danych osobowych przed nieautoryzowanym dostępem i respektuje prawa osób, do których one należą.

Normy ISO kładą nacisk na ciągłe doskonalenie procesów bezpieczeństwa. W praktyce oznacza to regularne testy penetracyjne, aktualizację konfiguracji zabezpieczeń i wdrażanie poprawek w odpowiedzi na nowe wektory ataków. Takie podejście pozwala utrzymywać system w stanie gotowości operacyjnej i zapobiegać potencjalnym incydentom, zamiast tylko na nie reagować.

Uzyskanie certyfikacji wymaga też od dostawcy prowadzenia szczegółowej dokumentacji działań i decyzji dotyczących obszarów objętych normami. Zapewnia to możliwość przeprowadzenia audytu w celu potwierdzenia zgodności z oczekiwaniami klienta.

Dla klienta biznesowego wybór operatora Data Center, posiadającego certyfikaty ISO, oznacza dostęp do usług, których bezpieczeństwo jest oparte na kontrolowalnych i mierzalnych procesach. Minimalizuje to ryzyko przerw w działaniu i wynikających z tego strat finansowych oraz wizerunkowych.

Usługa Netia Compute objęta jest certyfikatem ISO 27001. Nasi klienci mogą mieć pewność, że procesy ochrony informacji są zgodne z międzynarodowymi standardami, a dane w chmurze pozostają bezpieczne.

Usługi realizowane w Data Center Netii, które oprócz wspomnianego certyfikatu posiadają też potwierdzenie spełnienia standardów EN50600 i PCI DSS, mają również certyfikaty ISO 27017 oraz 27018 (odnoszący się do ochrony danych osobowych w chmurze publicznej). Dzięki temu klienci korzystający z usług Data Center & Cloud, takich jak kolokacja, serwery dedykowane i chmura publiczna, czy też z usług Security Operations Center Netii, mogą być pewni, że są zgodne z najnowszymi standardami międzynarodowymi oraz regulacjami prawnymi, m.in. z RODO i rozporządzeniem DORA.