Suporte ao seu programa RGPD com listas de verificação de preparação para responsabilidade

O Regulamento Geral sobre a Proteção de Dados (RGPD) introduz novas regras para organizações que oferecem bens e serviços às pessoas na União Europeia (UE) ou que coletam e analisam dados vinculados a residentes da UE. O RGPD se aplica onde quer que você e sua empresa estejam localizados. Para obter mais informações, veja o tópico Resumo do RGPD.

Listas de verificação de preparação de responsabilidade

As listas de verificação de preparação da responsabilidade ajudam-no a aceder convenientemente às informações necessárias para suportar o RGPD ao utilizar produtos e serviços Microsoft. A lista de verificação lista potenciais obrigações que poderá ter ao abrigo do RGPD e indica-lhe informações que pode utilizar para apoiar a conformidade da sua organização.

Existe um guia específico para as seguintes famílias de produtos e serviços Microsoft:

• Azure
• Dynamics 365
• Suporte e Serviços Profissionais da Microsoft
• Office 365
• Windows

Pode gerir os itens nesta lista de verificação com o Gestor de Conformidade e referenciar o ID de Controlo e o Título do Controlo em Controlos Geridos pelo Cliente no mosaico RGPD.

As listas de verificação incluem as quatro categorias básicas de considerações para um programa de privacidade que suporta o RGPD listado aqui, juntamente com requisitos de exemplo.

1. Condições para recolha e processamento de dados:

   • Quando o consentimento é obtido?
   • Identificar e documentar a finalidade
   • Avaliação de impacto de privacidade

2. Direitos do titular de dados

   • Determinação de informações para entidades de segurança de PII (entidades de dados)
   • Fornecer mecanismo para modificar ou retirar o consentimento

3. Privacidade por predefinição

   • Limitar coleção
   • Conformidade com níveis de identificação
   • Arquivos temporários

4. Proteção e segurança de dados

   • Noções básicas sobre a organização e o contexto
   • Planejamento
   • Políticas de segurança de informações

Contratos com os clientes

• Termos do serviço online: pode encontrar compromissos contratuais da Microsoft relativamente ao RGPD nos Termos dos Serviços Online.
• Termos do produto da Microsoft: a Microsoft estende os compromissos dos Termos do GDPR a todos os clientes de licenciamento por volume.
• Adendo de proteção de dados: os serviços da Microsoft estendem os compromissos aos clientes dos Serviços de Consultoria da Microsoft e outras pessoas.

Controles de conformidade com o GDPR

• Usar o Gerenciador de Conformidade: analise e integre os controles que a Microsoft usa para dar suporte às obrigações no GDPR com o Gerenciador de Conformidade.
• Mapeamento de controle do GDPR: acesse um mapeamento abrangente dos controles da Microsoft para as obrigações do GDPR.

Registos de processamento para processadores

Devido à escala e amplitude do serviços online a Microsoft fornece como processadores aos seus clientes responsáveis pelo tratamento, a Microsoft espera que os clientes identifiquem os serviços que procuram os registos de processamento e obtenham os registos relevantes nas ferramentas online que a Microsoft fornece. Um exemplo é para os registos de processamento de Azure em que os clientes identificam os tipos de atividade de processamento de que procuram os registos.

Logs do Azure

Normalmente, os clientes estão interessados nos Registos de atividades e, potencialmente, nos Registos de diagnóstico:

• Registros de atividade: Logs de atividades fornecem informações sobre as operações executadas nos recursos em uma assinatura. Os logs de atividades podem ajudar a determinar o iniciador de uma operação, a hora da ocorrência e o status.
• Logs de diagnóstico: Logs de diagnóstico são todos os logs emitidos por todos os recursos. Esses logs incluem registros do sistema de eventos do Windows, registros de armazenamento do Azure, registros de auditoria do Key Vault, além de acesso ao gateway do aplicativo e registros de firewall.
• Arquivamento de log: todos os logs de diagnóstico gravam em uma conta de armazenamento do Azure centralizada e criptografada para arquivamento. A retenção é configurável pelo usuário, até 730 dias, para atender aos requisitos de retenção específicos da organização. Esses registros se conectam aos logs do Azure Monitor para processamento, armazenamento e relatórios de painéis.

Outros logs

Além disso, instale as seguintes soluções de monitorização como parte desta arquitetura. Configure estas soluções para alinhar com os controlos de segurança fedRAMP:

• Avaliação do AD: a solução Verificação de Estado de Funcionamento do Active Directory avalia regularmente o risco e o estado de funcionamento dos ambientes do servidor. Fornece uma lista priorizada de recomendações específicas para a infraestrutura de servidor implementada.
• Avaliação anti-malware: a solução anti-malware relata sobre malware, ameaças e status de proteção.
• Automação do Azure: a solução de Automação do Azure armazena, executa e gerencia runbooks.
• Segurança e Auditoria: o dashboard de Segurança e Auditoria fornece informações de alto nível sobre o estado de segurança dos recursos. Fornece métricas sobre domínios de segurança, problemas, deteções, informações sobre ameaças e consultas de segurança comuns.
• Avaliação do SQL: a solução Verificação de Estado de Funcionamento do SQL avalia regularmente o risco e o estado de funcionamento dos ambientes do servidor. Fornece uma lista priorizada de recomendações específicas para a infraestrutura de servidor implementada.
• Gestão de Atualizações: a solução de Gestão de Atualizações permite a gestão de clientes de atualizações de segurança do sistema operativo. Inclui uma status de atualizações disponíveis e o processo de instalação das atualizações necessárias.
• Estado de Funcionamento do Agente: a solução Estado de Funcionamento do Agente comunica quantos agentes são implementados e a respetiva distribuição geográfica. Também comunica quantos agentes não respondem e o número de agentes que estão a submeter dados operacionais.
• Logs de atividades do Azure: a solução de análise de logs de atividades auxilia na análise dos logs de atividades do Azure em todas as assinaturas do Azure de um cliente.
• Controle de alterações: a solução de controle de alterações permite aos clientes identificar facilmente as alterações no ambiente.

Para saber mais sobre as medidas de segurança e técnicas para o Azure, os clientes do controlador devem visitar a Documentação da segurança do Azure. Como a Microsoft não sabe se os dados dos clientes são dados pessoais ou não, o Azure processa todos os dados dos clientes como se fossem dados pessoais, para que um cliente provavelmente considere todo o material relevante.

Informações do processador

Outro produto que os clientes podem precisar de registos de informações de processamento para processadores é Office 365. Para exibir informações relacionadas ao Office 365, confira o artigo Pesquisar o log de auditoria no Centro de Conformidade e Segurança.

Também pode ver as informações de Dynamics 365 através do Centro de Conformidade & de Segurança. Para ver a página Centro de Conformidade do & de Segurança, certifique-se de que tem a licença correta. Saiba mais sobre o licenciamento com o artigo Descrição do serviço do Centro de Conformidade e Segurança. Para pesquisar eventos do Dynamics 365, visite o log de auditoria unificado no Centro de Conformidade e Segurança.

Informações dos Serviços Profissionais

Para os Serviços Profissionais, o representante do cliente fornece Dados de Suporte dos Serviços Profissionais ao engenheiro de suporte. Esta troca de dados pode ocorrer quando um cliente submete um Pedido de Serviço através do portal de produto online, do Hub de Serviços ou por telefone.

Os sistemas CRM armazenam estas informações e utilizam-nas apenas para os seguintes fins:

• Fornecer os Serviços Profissionais, incluindo o fornecimento de suporte técnico, planeamento profissional, aconselhamento, orientação, migração de dados, implementação e serviços de desenvolvimento de software ou solução.
• Resolução de problemas, que inclui a prevenção, deteção, investigação, mitigação e reparação de problemas, incluindo Incidentes de Segurança.
• Melhoria contínua, que inclui a manutenção dos Serviços Profissionais, a instalação das atualizações mais recentes e a melhoria da fiabilidade, eficácia, qualidade e segurança.

Devido ao dimensionamento das operações de suporte, a Microsoft opera um sistema CRM baseado em grupos de produtos. Os registos de processamento residem nesses sistemas. Os registos mantidos nos sistemas CRM refletem um histórico de processamento. Na maioria das instâncias, os portais ou o Hub de Serviço fornecem o Histórico de Pedidos de Serviço. Para obter detalhes específicos que não estejam disponíveis nos portais ou quaisquer outras questões sobre o processamento dos seus dados, contacte o Gestor Técnico de Conta ou contacte o Suporte Técnico da Microsoft.

Saiba mais

• Central de Confiabilidade da Microsoft