A migração de dados corporativos para a nuvem é irreversível, mais de 90% das grandes empresas brasileiras já operam em algum modelo de cloud, seja SaaS, IaaS ou PaaS e a tendência só se acelera com IA, big data e trabalho remoto. Mas essa conveniência vem acompanhada de riscos antes inexistentes.
Segundo um Relatório Global de Segurança na Nuvem da Check Point Software, em 2024 61% das organizações relataram ao menos um incidente de segurança relacionado à nuvem, segundo levantamentos do setor.
Assim, os vetores mais comuns envolvem falhas no modelo de responsabilidade compartilhada, ausência de controles de multi-tenancy e má gestão de dados pessoais em ambientes públicos.
Nesse cenário, duas normas da família ISO/IEC 27000 ganham protagonismo absoluto: a ISO 27017, focada em segurança da informação em ambientes cloud, e a ISO 27018, dedicada à proteção de dados pessoais (PII) tratados por provedores de nuvem pública.
Juntas, elas formam a espinha dorsal do compliance em cloud para empresas que levam segurança a sério.
Contexto brasileiro: a ISO 27018 recebeu uma atualização em 2025 que a alinha diretamente às exigências da Lei Geral de Proteção de Dados (LGPD) e do GDPR europeu, tornando sua adoção ainda mais estratégica para empresas no Brasil.
O que são ISO 27017 e ISO 27018
ISO/IEC 27017: Segurança da Informação na Nuvem
Publicada em 2015, a ISO/IEC 27017 é um código de prática para controles de segurança da informação em serviços de nuvem.
Ela se baseia na ISO 27002, mas vai além: adapta 37 controles existentes ao contexto cloud e introduz 7 controles inteiramente novos, que não existem na ISO 27002 tradicional.
A norma endereça um problema concreto e crítico do modelo cloud: o chamado shared responsibility model ou modelo de responsabilidade compartilhada.
Em ambientes de nuvem, a segurança não é responsabilidade exclusiva do provedor nem do cliente. A ISO 27017 define com clareza quem responde por quê.
ISO/IEC 27018: Proteção de Dados Pessoais na Nuvem Pública
A ISO/IEC 27018 (versão mais recente: 2025) é um código de boas práticas exclusivamente voltado à proteção de Informações de Identificação Pessoal (PII) processadas por provedores de nuvem pública atuando como operadores de dados.
Enquanto a 27017 cuida da segurança geral, a 27018 cuida especificamente da privacidade.
Ela estabelece princípios como consentimento, minimização de dados, transparência, direito de exclusão e responsabilização dos mesmos pilares da LGPD e do GDPR.
Não à toa, grandes provedores como Microsoft Azure, Google Cloud e AWS já são certificados sob esta norma.
Ponto fundamental: ISO 27017 e ISO 27018 não são normas independentes.
Ambas funcionam como extensões da ISO 27001 e são avaliadas como parte de uma auditoria ISO 27001 existente, você não se certifica nelas de forma isolada.
Diferenças e semelhanças: comparativo completo
Em resumo: a ISO 27017 responde à pergunta: “como proteger a infraestrutura cloud?”, enquanto a ISO 27018 responde “como proteger os dados pessoais que trafegam nessa infraestrutura?”.
As duas são consideradas complementares e empresas que tratam dados de clientes na nuvem deveriam considerar ambas.
Controles-chave: o que cada norma exige na prática
Os 7 controles exclusivos da ISO 27017
Além de adaptar 37 controles da ISO 27002 ao contexto cloud, a norma introduz 7 controles que não existem em nenhum outro padrão da família:
- Responsabilidades compartilhadas: definição explícita de quem (provedor ou cliente) é responsável por cada controle de segurança no ambiente cloud.
- Remoção e devolução de ativos para devolução ou exclusão segura de ativos do cliente ao encerrar um contrato com o CSP.
- Segregação de ambientes é a garantia de isolamento entre os ambientes de diferentes clientes em infraestrutura multi-tenant.
- Proteção de máquinas virtuais, hardware de VMs e controles específicos para ambientes de virtualização.
- Monitoramento de serviços cloud, capacidade do cliente de monitorar atividades dentro do serviço contratado.
- Gestão de incidentes cloud, alinhamento de processos de resposta a incidentes entre CSP e cliente.
- Proteção de rede virtual controles de segurança aplicados às redes virtuais dentro do ambiente cloud.
Os 11 princípios da ISO 27018 para proteção de Processadores de Informações de Identificação Pessoal (PII)
| Princípio | O que exige na prática |
| Consentimento e escolha | PII só pode ser usada para fins consentidos pelo titular |
| Legitimidade e finalidade | Tratamento deve ter base legal definida |
| Minimização de dados | Coleta apenas dos dados estritamente necessários |
| Limitação de uso | Dados não usados para marketing sem consentimento explícito |
| Abertura e transparência | CSP informa onde os dados são armazenados geograficamente |
| Precisão dos dados | Mecanismos para correção de dados incorretos |
| Responsabilidade | CSP é responsável pela proteção das PII tratadas |
| Salvaguardas de segurança | Criptografia, controle de acesso, logs de auditoria |
| Participação do titular | Direito de acesso, portabilidade e exclusão |
| Transferência segura | Regras para transferência e descarte seguro de PII |
| Subprocessadores | Divulgação de subcontratados que acessam PII |
Relação com a LGPD: por que as normas se complementam
A LGPD (Lei nº 13.709/2018) e as normas ISO 27017/27018 não são concorrentes. A LGPD define o que deve ser garantido em termos legais; as normas ISO definem como implementar tecnicamente essas garantias.
Os pontos de convergência são expressivos. Portanto, o consentimento do titular, o direito à exclusão de dados, minimização, transparência de tratamento, notificação de incidentes e responsabilidade do operador estão presentes tanto na LGPD quanto nos princípios da ISO 27018, com grau de alinhamento que varia entre 80% e 95% dependendo do item avaliado.
Para compreender melhor como funciona a LGPD para empresas, clique aqui e acesse o guia prático.
Para empresas no Brasil que usam serviços cloud, adotar a ISO 27018 é uma das formas mais eficazes de demonstrar, com evidências auditáveis, que os requisitos do artigo 46 da LGPD (medidas de segurança, técnicas e administrativas) estão sendo cumpridos.
A nova versão de 2025 reforçou justamente esses pontos de convergência.
Atenção: ter um provedor de nuvem certificado ISO 27018 não exime sua empresa de cumprir a LGPD. A responsabilidade do controlador de dados permanece com a empresa contratante.
A certificação do CSP é evidência de que ele age como um operador responsável, mas a governança interna continua sendo sua.
Como implementar: passo a passo para empresas
A jornada rumo à conformidade com ISO 27017 e 27018 segue uma lógica estruturada. Empresas que já possuem ISO 27001 têm caminho significativamente mais curto.
1. Implementar (ou revisar) a ISO 27001
As normas 27017 e 27018 são extensões do SGSI. Antes de qualquer coisa, é preciso ter um Sistema de Gestão de Segurança da Informação funcional e documentado. Se já tiver, faça um gap analysis para verificar o que precisa ser adaptado para a versão 2022.
2. Mapear os serviços de nuvem utilizados
Levante todos os provedores cloud (IaaS, PaaS, SaaS) utilizados na empresa. Para cada um, identifique quais dados são tratados, especialmente se há PII de titulares brasileiros envolvida. Isso define o escopo da implementação.
3. Identificar as responsabilidades compartilhadas
Para cada provedor, documente explicitamente quais controles de segurança são responsabilidade do CSP e quais são da sua empresa. Use os 7 controles exclusivos da ISO 27017 como checklist base.
4. Implementar os controles técnicos e organizacionais
Criptografia em trânsito e em repouso, controle de acesso privilegiado, logs de auditoria, hardening de VMs, gestão de identidades. No campo da privacidade: mecanismos de consentimento, exclusão de dados, RIPDs e gestão de subprocessadores.
5. Atualizar o SoA (Statement of Applicability)
O SoA deve refletir quais controles da 27017 e 27018 se aplicam ao escopo definido, com justificativa para inclusões e exclusões.
6. Realizar auditoria interna e buscar certificação
Antes da auditoria externa, conduzir uma auditoria interna para identificar gaps remanescentes.
A certificação ocorre durante (ou após) uma auditoria ISO 27001, com avaliação adicional pelo auditor acreditado.Leia também nosso artigo que compara ISO 27001 com a SOC 2
Certificação: como funciona na prática
| Etapa | Descrição | Responsável |
| Gap Analysis | Diagnóstico de aderência atual às normas | Empresa (com consultoria) |
| Implementação | Adoção dos controles identificados | Empresa |
| Auditoria Interna | Verificação antes da certificadora | Auditor interno |
| Auditoria Estágio 1 | Revisão documental pelo organismo | Certificadora acreditada |
| Auditoria Estágio 2 | Auditoria de conformidade em campo | Certificadora acreditada |
| Emissão do certificado | Certificado ISO 27001 com extensão 27017/27018 | Organismo certificador |
| Manutenção | Auditorias anuais, renovação a cada 3 anos | Empresa + certificadora |
Benefícios mensuráveis para o negócio
A adoção das normas traz retornos concretos: 87% das empresas certificadas reportam aumento de confiança de clientes, 82% relatam redução de riscos cibernéticos, 79% notam maior facilidade em auditorias regulatórias e 70% identificam vantagem competitiva em processos de licitação e contratos B2B.
Para diferentes perfis de empresa, os benefícios se traduzem assim:
| Perfil | Por que ISO 27017 | Por que ISO 27018 |
| SaaS / fintechs | Demonstra segurança da infraestrutura cloud para clientes B2B | Essencial para contratos com dados financeiros e CPF de usuários |
| Healthtechs | Controles de acesso e isolamento de dados de pacientes | Proteção de dados sensíveis de saúde (dado sensível na LGPD) |
| E-commerce | Segurança na nuvem onde transações são processadas | Proteção de cadastros e histórico de compras dos clientes |
| Provedores de nuvem | Formaliza responsabilidades para clientes corporativos | Requisito de entrada para contratos com grandes empresas |
| Órgãos públicos | Conformidade com políticas de segurança federal | Cumprimento da LGPD para dados de cidadãos |
FAQ
Não. As normas funcionam como extensões do SGSI já existente. Portanto, o esforço adicional é moderado: envolve um gap analysis dos novos controles específicos para nuvem, atualização do SoA e uma auditoria complementar conduzida pela mesma certificadora durante o ciclo de renovação da ISO 27001.
Sim. A ISO 27017 é indicada para quem foca em segurança geral da infraestrutura cloud; a ISO 27018 para quem trata dados pessoais na nuvem. Para empresas que lidam com ambos os contextos a maioria, a implementação conjunta é mais eficiente, pois os controles se complementam e o esforço incremental é menor.
Parcialmente. A certificação do provedor cobre a infraestrutura dele, mas não os controles que são responsabilidade da sua empresa como cliente, gestão de acessos, configuração segura de serviços, políticas de retenção e governança interna. O compliance da empresa contratante é independente.
Não. As normas fornecem o framework técnico e organizacional. No entanto, um programa de privacidade completo com DPO, mapeamento de dados, RIPDs e políticas é necessário independentemente da certificação, logo os dois se complementam.
Sim, haverá um período de transição (tipicamente 2 a 3 anos). Assim, a nova versão alinha a norma à ISO/IEC 27002:2022 com controles mais prescritivos para operadores de dados em nuvem pública. Além disso, a migração é também uma oportunidade: o alinhamento ampliado com LGPD e GDPR fortalece diretamente o programa de compliance da empresa.
