Hoe kijkt Dropbox naar de Cloud ISO27018?

DropBoxCSA-ISO27018Over ISO27018, in de wandelgangen ook “de cloud ISO” genoemd is vorig jaar op ISPtoday al enkele keren geschreven. In het kort: deze ISO is niet los te zien van ISO27001, zonder de laatste kun je de eerste niet krijgen. Omstreden in bepaalde kringen is op dit moment ook nog de procedure. Self-audit is natuurlijk van een heel andere orde dan een externe partij de processen laten controleren en beschrijven.

Een van de plekken waar deze discussie is gevoerd was het CSA congres in Berlijn. De presentaties daarvan zijn nu online gezet. Helaas slechts een beperkt deel, maar gelukkig is wel de presentatie van Dropbox te downloaden. In 15 slides staat helder en beknopt weergegeven wat Dropbox belangrijk vond en vindt aan deze ISO. Je kunt het bijna lezen als een FAQ. Waar moet ik op letten als ik dit overweeg, of welke issues kunnen spelen waardoor mijn klanten lastige vragen kunnen gaan stellen?

Lastige vragen zijn altijd mogelijk. ISO27018 stelt echter transparantie voorop. Als je dus aangeeft wat je niet kunt (mag?) noemen is dat in lijn met ISO27018. Voorbeeld: Dropbox noemde nooit de locaties van de datacenters, nu het ISO27018 gecertificeerd is noemt het land en regio. Vooralsnog nemen de kritische klanten (en auditors van die klanten!) daarmee genoegen. Een andere punt van de transparantie is dat de privacy van de klanten gewaarborgd moet zijn. Voor een bedrijf als Dropbox dat de dienst ook als half-fabrikaat levert is dat lastig. Hoe kan het weten wat de afnemers precies doen? Antwoord: dat kan en wil het niet.

Dit en nog een paar andere opmerkelijke punten staat letterlijk in de slides genoemd. Dus als je vragen over zin en onzin van certificering in het algemeen en ISO27018 krijgt vormt dit echt een praktisch uitgangspunt om je eigen verhaal mee op te tuigen.

Voor de goede orde: waarom Dropbox zo nadrukkelijk duidelijk maakt hier een van de eerste mee is weten we nog steeds niet. De indruk dat het deels een marketingtruc is kan niet worden weggenomen. Erg is dat trouwens niet, liever meer aandacht voor meetbare kwaliteitscriteria dan ondoorgrondelijke en niet transparante claims.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen