La norme ISO/IEC 27018 étend l’ISO 27002 avec des contrôles spécifiques pour la protection des informations personnellement identifiables (PII) dans les services cloud publics. Définit les obligations des fournisseurs cloud agissant en tant que sous-traitants : transparence sur le traitement des données, consentement éclairé, résidence des données, portabilité, suppression sécurisée, notification des violations et ségrégation des environnements multi-tenant.