ISO/IEC 27018 erweitert ISO 27002 um spezifische Kontrollen zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten. Definiert Verpflichtungen für Cloud-Anbieter, die als Datenverarbeiter fungieren: Transparenz bei der Datenverarbeitung, informierte Einwilligung, Datenresidenz, Portabilität, sichere Löschung, Benachrichtigung bei Datenpannen und Trennung von Multi-Tenant-Umgebungen.