ISO/IEC 27018 extiende la norma ISO 27002 con controles específicos para la protección de Información de Identificación Personal (PII) en servicios de nube pública. Define obligaciones para los proveedores de la nube que actúan como procesadores de datos: transparencia en el tratamiento de datos, consentimiento informado, residencia de datos, portabilidad, eliminación segura, notificación de brechas y segregación de entornos multi-inquilino.