Technologies de l'information - Techniques de sécurité - Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII

Ce document établit des objectifs de contrôle, des contrôles et des lignes directrices communément acceptés pour la mise en œuvre de mesures visant à protéger les informations personnelles identifiables (IPI) conformément aux principes de confidentialité de la norme ISO/IEC 29100 pour l'environnement de cloud computing public.

En particulier, ce document spécifie des lignes directrices basées sur la norme ISO/IEC 27002, en tenant compte des exigences réglementaires pour la protection des IIP qui peuvent être applicables dans le contexte des environnements de risque de sécurité de l'information d'un fournisseur de services de cloud public.

Ce document s'applique à tous les types et tailles d'organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif, qui fournissent des services de traitement de l'information en tant que processeurs d'IPI via le cloud computing sous contrat avec d'autres organisations.

Les lignes directrices de ce document peuvent également s'appliquer aux organisations agissant en tant que contrôleurs d'IPI. Cependant, les contrôleurs d'IPI peuvent être soumis à une législation, à des réglementations et à des obligations supplémentaires en matière de protection des IIP, qui ne s'appliquent pas aux processeurs d'IPI. Ce document n'est pas destiné à couvrir ces obligations supplémentaires.