Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Descrição geral do ISO/IEC 27701:2019
A norma ISO/IEC 27701:2019 complementa as normas ISO/IEC 27001 e ISO/IEC 27002 amplamente utilizadas para a gestão da segurança de informações. Especifica os requisitos e fornece orientações para um Sistema de Gestão de Informações de Privacidade (PIMS). A implementação de um PIMS é uma adição de conformidade útil para organizações que dependem da ISO/IEC 27001. A norma cria um ponto de integração forte para alinhar os controlos de segurança e privacidade. O ISO/IEC 27701 fornece uma arquitetura para gerir dados pessoais que tanto os controladores de dados como os processadores de dados podem utilizar. Este quadro é uma distinção fundamental para a conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD).
Além disso, qualquer auditoria ISO/IEC 27701 requer que a organização declare as leis e regulamentos aplicáveis nos respetivos critérios para a auditoria. Este requisito significa que a norma pode ser mapeada a muitos dos requisitos ao abrigo do RGPD ou de outras leis. Depois de mapeados, os profissionais de privacidade implementam os controlos operacionais ISO/IEC 27701. Um terceiro interno ou externo, acreditado para avaliar, avalia a conformidade da organização com os requisitos da norma e emite um certificado para esse efeito. Este framework universal permite que as organizações implementem de forma eficiente a conformidade com os novos requisitos regulamentares. A Microsoft patrocina o Projeto de Mapeamento de Proteção de Dados open source para obter uma compreensão comum da relação entre ISO/IEC 27701 e vários regulamentos de proteção de dados.
Plataformas e serviços na cloud no âmbito da Microsoft
O certificado ISO/IEC 27701 Azure mostra o microsoft serviços online no âmbito:
- Azure (para obter informações detalhadas, consulte a oferta ISO/IEC 27701 Azure)
- Dynamics 365 (para obter informações detalhadas, consulte a oferta ISO/IEC 27701 Azure)
- Microsoft Defender XDR (não no âmbito da Azure Governamental)
- Microsoft Bing para Comércio (não está no âmbito da Azure Governamental)
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Graph
- Microsoft Intune
- Área de Trabalho Gerenciada da Microsoft (não está no escopo para Azure Governamental)
- Microsoft Stream
- Especialistas em Ameaças da Microsoft (não no escopo Azure Governamental)
- Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power BI incorporado
- Power Virtual Agents (não está no escopo para Azure Governamental)
- Impressão Universal (não no âmbito da Azure Governamental)
- Windows 365
Azure, Dynamics 365 e ISO 27701
Para obter mais informações sobre Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta iso 27701:2019 do Azure.
Office 365 e ISO 27001
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Proteção do Exchange Online, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, suplemento Conformidade Avançada do Office 365 Office 365 Portal do Cliente, Office 365 Microsserviços (incluindo, mas não se limitando ao Kaizala, ObjectStore, Sway, Serviço de Documentos do PowerPoint Online, Serviço de Anotação de Consultas, Sincronização de Dados Escolares, Siphon, Voz, StaffHub, Programa de Aplicações EXtensible), Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, Infraestrutura de Serviços do Office, OneDrive for Business, Planner PowerApps, Power Automate, Power BI, Project Online, Encriptação de Serviço com a Chave de Cliente do Microsoft Purview, SharePoint Online, Skype for Business, Stream |
| GCC | Microsoft Entra ID, Azure Communications Service, Gestor de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
| GCC Alta | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms Microsoft Defender for Office 365, Microsoft Teams, Conformidade Avançada do Office 365 suplemento, Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online Skype for Business |
| DoD | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms Microsoft Defender for Office 365, Microsoft Teams, Conformidade Avançada do Office 365 suplemento, Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online Skype for Business |
Auditorias Office 365, relatórios e certificados
Os serviços de suporte técnico comercial e cloud da Microsoft são submetidos a uma auditoria anual como parte do processo de certificação para ISO/IEC 27701.
Perguntas frequentes
Como é que o ISO/IEC 27701 ajuda na evolução dos requisitos regulamentares?
ISO/IEC 27701 inclui um anexo que contém os controlos operacionais da norma. O anexo mapeia estes controlos relativamente a requisitos relevantes no RGPD para controladores e subcontratantes. Este mapeamento é apenas um exemplo de como as organizações podem implementar regulamentos de privacidade em relação à arquitetura ISO. À medida que os mapeamentos adicionais com outros regulamentos ficam disponíveis e são validados, as organizações podem transferir os controlos operacionais da norma diretamente da revisão regulamentar para a implementação. Este framework universal permite que as organizações implementem de forma fiável os requisitos regulamentares relevantes.
Como é que o ISO/IEC 27701 ajuda com os custos de auditoria?
À medida que entram em vigor mais regulamentos de privacidade em várias jurisdições, a pressão para fornecer provas de aumento da conformidade. No entanto, os custos de certificações regulatórias distintas tornam-se inviáveis se cada regulamentação necessitar uma auditoria exclusiva. Ao destacar um conjunto de controlos operacionais universais, a ISO/IEC 27701 também descreve um quadro de conformidade universal para auditar e potencialmente certificar para vários requisitos regulamentares.
É importante reconhecer que a criação de uma certificação oficial do RGPD requer a aprovação dos reguladores europeus. Embora o alinhamento entre ISO/IEC 27701 e RGPD seja evidente, uma certificação ISO/IEC 27701 não deve ser tomada como prova do cumprimento do RGPD ou da certificação oficial do RGPD até que as decisões regulamentares sejam finalizadas.
Como é que a ISO/IEC 27701 ajuda com contratos comerciais que envolvam o PII?
Os contratos comerciais que envolvam a movimentação de informações pessoais podem garantir a certificação da conformidade. As organizações modernas dedicam-se a transferências de dados complexas com uma rede profunda de parceiros empresariais, incluindo organizações parceiras ou cocontroladores, processadores como fornecedores de cloud e subprocessadores, como fornecedores que suportam esses mesmos processadores. O incumprimento dos regulamentos em qualquer parte desta rede pode levar a problemas de conformidade em cascata em toda a cadeia de fornecimento. Esse é o local onde a verificação de conformidade pode ser valiosa além da garantia oferecida pelos termos contratuais entre essas organizações. Uma vez que a economia global dita que a maioria destas organizações estão espalhadas pelo mundo, é prático utilizar um padrão internacional da ISO para gerir a conformidade em toda a rede.
Essa dependência na conformidade aumenta a importância da certificação para o padrão. Embora nem todas as empresas e organizações precisem de obter essa certificação, a maioria beneficia de parceiros e fornecedores que o fazem, especialmente quando estão envolvidos volumes confidenciais ou elevados de processamento de dados.
Como é que o ISO/IEC 27701 se relaciona com ISO/IEC 27001?
A NORMA ISO/IEC 27701 baseia-se na ISO/IEC 27001, uma das normas internacionais mais amplamente adotadas para a gestão da segurança da informação. Se a sua organização já estiver familiarizada com o ISO/IEC 27001, é lógico e mais eficiente integrar os novos controlos de privacidade fornecidos pelo ISO/IEC 27701. Esta abordagem significa que a implementação e a auditoria de ambas as normas são menos dispendiosas e fáceis de alcançar. Pontos-chave de ISO/IEC 27701 e ISO/IEC 27001:
- O ISO/IEC 27001 é um dos padrões ISO mais usados do mundo.
- O ISO/IEC 27701 inclui novos controlos específicos do controlador e do processador que ajudam a colmatar a lacuna entre a privacidade e a segurança. Fornece um ponto de integração entre as duas funções separadas nas organizações.
- Privacidade depende da segurança. Da mesma forma, ISO/IEC 27701 depende de ISO/IEC 27001 para gestão de segurança. A certificação para ISO/IEC 27701 tem de ser obtida como uma extensão de uma certificação ISO/IEC 27001 e não pode ser obtida de forma independente.
O que deve a sua organização fazer com ISO/IEC 27701?
Independentemente da dimensão da sua organização e quer seja um controlador ou um processador, considere prosseguir a certificação, seja para a sua própria organização ou ao solicitá-la a fornecedores ou fornecedores com base nos seus requisitos comerciais. Esta situação aplica-se especialmente a processadores, subprocessadores e cocontroladores que estão a processar volumes confidenciais ou elevados de dados pessoais. Avalie as necessidades da sua empresa para determinar se a certificação para os seus próprios produtos e serviços é adequada.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- ISO/IEC 27701:2019 (disponível para compra)
- Vídeo introdutório ISO/IEC 27701
- Estrutura de Conformidade do Microsoft Common Controls Hub
- Políticas de acesso a dados para a nuvem empresarial e serviços técnicos da Microsoft
- Termos de Serviços Online da Microsoft
- Nuvem Governamental da Microsoft
- Conformidade na Central de Confiabilidade da Microsoft