Microsoft żyje z głową w chmurach od czasu, gdy Satya Nadella ogłosił "cloud first, mobile first" głównym priorytetem firmy. Dewiza ta uwzględnia również wysokie standardy bezpieczeństwa. Okazuje się, że Microsoft Azure jest pierwszą platformą w chmurze, spełniającą wszystkie normy ISO/IEC 27018, uwzględniające poziom prywatności w serwerach tego typu.
Zestaw norm ISO 27018 został opublikowany 30 lipca 2014 r. przez Międzynarodową Organizację Normalizacyjną jako komponent dla standardu ISO 27001. Określa on poziom ochrony danych osobowych (PII) w publicznych chmurach. Dostawcy usług w chmurze (CSP), wdrażający standard ISO/IEC 27018, muszą spełnić 5 punktów:
- Przyzwolenie: Dostawca nie może wykorzystywać otrzymanych danych personalnych w celach reklamowych i marketingowych, chyba że zostanie mu to wyraźnie zlecone przez klienta. Ponadto klient musi mieć zapewnioną możliwość korzystania z serwisu bez konieczności wyrażania zgody na takie użycie jego danych.
- Kontrola: Klient otrzymuje jasne informacje na temat tego, w jaki sposób używane są jego dane.
- Przejrzystość: Dostawca musi informować klienta o miejscu, w którym przechowywane są jego dane, oraz w jasny sposób oświadczyć, w jaki sposób dostawca i [jeśli istnieją] podległe podmioty obchodzą się z nimi.
- Komunikacja: W razie naruszenia [struktury czy norm] dostawca powinien powiadomić klientów i zachować niezmienione zapisy incydentu oraz metod, jakimi na niego odpowiedział.
- Niezależny doroczny audyt: Pomyślne zewnętrzne audyty, potwierdzające zgodność dostawcy ze standardem oraz będące podstawą do zaufania klienta. By pozostać w standardzie, dostawca musi poddać się takiej rewizji każdego roku.
Certyfikat zgodności platformy Microsoft Azure z powyższym zestawem norm został wydany przez British Standards Institution. Microsoft ujawnia więcej szczegółów na temat standardu. "Norma ISO 27018 zapewnia środki kontroli dotyczące kwestii specyficznych dla ochrony identyfikowalnych danych osobowych w usługach w chmurze publicznej. Funkcje kontroli ISO 27018 zabraniają na przykład używania danych klientów w celach reklamowych i marketingowych bez ich jawnej zgody. Ponadto norma ISO 27018 określa wyraźne wskazówki dla dostawców usług w chmurze dotyczące zwracania, przekazywania i/lub bezpiecznego usuwania danych osobowych klientów przestających korzystać z ich usług oraz wymaga od dostawców ujawnienia podległych podmiotów przetwarzających dane przed zawarciem umowy z klientem i natychmiastowego informowania klientów o nowych podległych podmiotach przetwarzających dane, aby umożliwić klientom zakwestionowanie lub zakończenie umowy." - czytamy na stronie Centrum zaufania systemu Microsoft Azure.
Azure nie jest jedyną marką Microsoftu, zgodną z pięcioma punktami standardu ISO/IEC 27018. Został on także wdrożony do usług Office 365, Dynamics CRM Online i Microsoft Intune.
