Bir süredir üzerinde çalışılıyordu ve tartışılıyordu. ISO, yani Uluslararası Standartlaştırma Organizasyonu (International Standardization Organization), bulutta depolanan kişisel verilerin gizliliğinin korunmasına uluslararası bir standart getirmek üzere ISO/IEC 27018 olarak bilinen bir çalışmaya imza attı. Bu standart sayesinde, bulut hizmeti veren şirketler, kurumsal müşterilerine önemli bir avantaj sunuyor olacak. ISO/IEC 27018 ile veri gizliliği ve güvenliği birkaç farklı şekilde sağlanacak.
Söz konusu uluslararası standarda uyacağını taahhüt eden bulut hizmeti sağlayıcılar, öncelikle müşterilerine verilerinin denetiminin sadece kendilerinde olduğunun, “kişisel” olarak tanımlanabilen bilgilerin sadece müşteri tarafından verilen talimata göre işlendiğinin garantisini vermiş oluyor. Müşteriler şeffaflık ilkesine bağlı olarak, verilerine ne olduğuna dair diledikleri zaman bilgi edinebiliyor. Hem verilerin yeri, hem de verilere erişmesi gereken başka kurumlar varsa ve bulut hizmeti sağlayıcısı o şirketlerle de çalışıyorsa bunların bilgisi, yine şeffaf olarak paylaşılıyor. Ayrıca yetkisiz erişim nedeniyle oluşabilecek bilgi kayıpları, bilgilerin açığa çıkması, değişmesi gibi konularda da bu standardı kabul eden bulut hizmeti sağlayıcıları, bilgilendirme yapacaklarına dair söz vermiş oluyorlar. ISO/IEC 27018 standardı tüm bunların yanı sıra bazı önemli güvenlik tedbirleri zorunluluğu getiriyor. Gizlilik gerektiren, kişisel olarak tanımlanabilecek bilgilerin ortak ağlar üzerinden paylaşımı, mobil araçlarda saklanması gibi konulara ilişkin kısıtlamalar ve veri kurtarma, veri geri yükleme çalışmalarında süreçlerin doğru şekilde yönetilmesi için kritik teknik standartlar, bu güvenlik önlemlerinin temel noktalarını oluşturuyor.
Kurumlara ya da kişilere ait verilerin depolanıp reklam amacıyla kullanılması zaman zaman tartışmalara neden olan konulardan biri. ISO/IEC 27018 standardı, bununla ilgili de bir kısıtlama getiriyor. Kurumsal müşterilerin verilerinin hiçbir şekilde reklam amacıyla kullanılamayacağı ve paylaşılamayacağının taahhüdü bu uluslararası standart ile net olarak veriliyor. Diğer taraftan, devlet kurumlarının bu verilere erişmek istemesi halinde ISO/IEC 27018 standardını kabul eden bulut servis sağlayıcısı kurumlar, öncelikle müşterilerini bilgilendirmekle yükümlü hale geliyorlar. Bu kanuni yaptırım taleplerinin açıklanması yasalarca yasaklanmadığı sürece kurumsal müşterilere aktarılması zorunlu bir kural olarak standartta yer alıyor. Gizliliğin güvence altına alınması konusunda önemli bir adım olan ISO/IEC 27018 standardını kabul eden, dünya çapında büyük ilk kurum ise Microsoft oldu. 2014 yılının ilk çeyreğinde Avrupa veri koruma yetkililerinden AB’nin verilerinin uluslararası aktarımı üzerine gizlilik yasası uyarınca “model maddeler”e uygunluk teyidi alan Microsoft, yine geçtiğimiz yıl Öğrenci Gizlilik Güvencesi’ni imzalamıştı. Bilgi güvenliği konusuna pek çok hizmet sağlayıcı kurum önem veriyor. Diğer taraftan bu şirketler her ne kadar kendi standartlarında çok ciddi güvenlik önlemleri alsa da uluslararası bir kontrol mekanizmasının hayata geçmesi oldukça önemli. Bakalım bu standart, bulut hizmeti alan müşterilerin içini rahatlatabilecek kadar yaygınlaşacak mı?