Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Visão geral da ISO/IEC 27018
A ISO (International Organization for Standardization) é uma organização não governamental independente e o maior desenvolvedor de padrões internacionais voluntários do mundo. A família de padrões ISO/IEC 27000 ajuda organizações de todos os tipos e tamanhos a manter seguros seus ativos de informações.
Em 2014, a ISO adotou a ISO/IEC 27018:2014, um adendo à ISO/IEC 27001, o primeiro código de conduta internacional relacionado à privacidade na nuvem. Baseada nas leis de proteção de dados da UE, ela fornece orientações específicas para CSPs (provedores de serviços de nuvem) que atuam como processadores de PII (informações de identificação pessoal) avaliarem os riscos e implementarem controles avançados para a proteção de PII.
Microsoft e ISO/IEC 27018
Pelo menos uma vez por ano, um organismo de certificação de terceiros acreditado faz uma auditoria à Microsoft Azure e Azure Alemanha para conformidade com a ISO/IEC 27001 e a ISO/IEC 27018. Esta auditoria fornece uma validação independente para que os controlos de segurança aplicáveis estejam implementados e a funcionar eficazmente. Como parte desse processo de verificação de conformidade, os auditores confirmaram em sua declaração de aplicabilidade que os serviços de suporte técnico comercial e os serviços de nuvem no escopo da Microsoft incorporaram os controles da ISO/IEC 27018 para proteção da PII no Azure. Para continuar compatíveis, os serviços de nuvem da Microsoft devem passar por reavaliações anuais de terceiros.
Ao seguir os padrões de ISO/IEC 27001 e o código de prática incorporado no ISO/IEC 27018, a Microsoft demonstra que as políticas e procedimentos de privacidade são robustos e estão em conformidade com os seus elevados padrões.
- Os clientes dos serviços de nuvem da Microsoft sabem onde os dados deles são armazenados. Uma vez que o ISO/IEC 27018 requer CSPs certificados para informar os clientes dos países ou regiões em que os seus dados podem ser armazenados, os clientes do serviço cloud da Microsoft têm a visibilidade de que precisam para cumprir as regras de segurança de informações aplicáveis.
- Os dados do cliente não são utilizados para marketing ou publicidade sem consentimento explícito. Alguns CSPs usam dados de clientes para seus próprios fins comerciais, inclusive para a publicidade direcionada. Uma vez que a Microsoft adotou a ISO/IEC 27018 para os seus serviços cloud empresariais no âmbito, os clientes podem ter a certeza de que os seus dados não são utilizados para esses fins sem consentimento explícito e que o consentimento não pode ser uma condição para a utilização do serviço cloud.
- Os clientes da Microsoft sabem o que acontece com as PII deles. A ISO/IEC 27018 exige uma política que possibilite o retorno, a transferência e o descarte seguro de informações pessoais dentro de um período aceitável. Se a Microsoft trabalhar com outras empresas que precisam de acesso aos seus dados de cliente, a Microsoft divulga proativamente as identidades desses subprocessadores.
- A Microsoft cumprirá apenas as solicitações de divulgação de dados de clientes obrigatórias por lei. Se a Microsoft tiver de cumprir esse pedido (como no caso de uma investigação criminal), notifica sempre o cliente, a menos que seja proibido por lei de o fazer.
Plataformas e serviços na cloud no âmbito da Microsoft
- Azure, Azure Government e Azure Alemanha
- Azure DevOps Services
- Dynamics 365, Dynamics 365 e Dynamics 365 Germany
- Intune
- Microsoft Defender for Cloud Apps
- Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.
- Microsoft Graph
- Bot do Microsoft Healthcare
- Área de Trabalho Gerenciada da Microsoft
- Especialistas em ameaças da Microsoft
- Microsoft Stream
- Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
- Office 365 Alemanha
- Mapa do serviço do OMS
- Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
- Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
- Serviço de nuvem do Power BI: como um serviço autônomo ou como incluído em um plano ou pacote da marca do Office 365
- Power BI incorporado
- Agentes virtuais do Power
- Microsoft Defender para Ponto de Extremidade: Resposta e Detecção do Ponto de Extremidade, Investigação e Correção Automática, Classificação de Segurança
- Windows 365
Azure, Dynamics 365 e ISO/IEC 27018
Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços de conformidade do serviços online, consulte Oferta do SOC 27018 do Azure.
Office 365 e ISO/IEC 27018
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Proteção do Exchange Online, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, suplemento Conformidade Avançada do Office 365 Office 365 Portal do Cliente, Office 365 Microsserviços (incluindo, mas não se limitando ao Kaizala, ObjectStore, Sway, Serviço de Documentos do PowerPoint Online, Serviço de Anotação de Consultas, Sincronização de Dados Escolares, Siphon, Voz, StaffHub, Programa de Aplicações eXtensible), Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, Infraestrutura de Serviços do Office, OneDrive, Planner, PowerApps, Power Automate, Power BI, Project Online, Encriptação de Serviço com Chave de Cliente do Microsoft Purview, SharePoint Online, Skype for Business Stream |
| GCC | Microsoft Entra ID, Azure Communications Service, Gestor de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business Stream |
| GCC Alta | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms Microsoft Defender for Office 365, Microsoft Teams, Conformidade Avançada do Office 365 suplemento, Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online Skype for Business |
| DoD | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms Microsoft Defender for Office 365, Microsoft Teams, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive, Planner, Power BI, SharePoint Online Skype for Business |
Auditorias Office 365, relatórios e certificados
Os serviços de suporte técnico comercial e cloud da Microsoft são submetidos a uma auditoria anual do código de prática ISO/IEC 27018 como parte do processo de certificação para ISO/IEC 27001.
Perguntas frequentes
A quem o ISO/IEC 27018 se aplica?
Este código de conduta aplica-se a CSPs que processam PII sob contratação de outras organizações. Na Microsoft, isso também se aplica ao suporte a esses CSPs.
Qual é a diferença entre ‘controladores de informações pessoais’ e ‘processadores de informações pessoais’?
No contexto da ISO/IEC 27018:
- Os "controladores" controlam a coleção, a retenção, o processamento ou a utilização de informações pessoais. Incluem as partes que a controlam em nome de outra empresa.
- "Processadores" processam informações em nome dos controladores. Não tomam decisões sobre como utilizar as informações ou os objetivos do processamento. Ao fornecer seus serviços de nuvem corporativa, a Microsoft (como fornecedor para você) é um processador de informações.
Onde posso ver as informações de conformidade da Microsoft com o ISO/IEC 27018?
- Você pode examinar os certificados ISO/IEC 27018 da BSI (o auditor independente que validou a conformidade da Microsoft com ISO/IEC 27018) para o Office 365.
Posso usar a conformidade da Microsoft no processo de certificação de minha organização?
Sim. Se a conformidade com a ISO/IEC 27018 for importante para a sua empresa e as implementações forem realizadas em qualquer um dos serviços de nuvem empresarial no escopo da Microsoft, use o atestado de conformidade da Microsoft com a ISO/IEC 27018 com a certificação da Microsoft para ISO/IEC 27001 em sua avaliação de conformidade.
No entanto, é responsável por envolver um avaliador para avaliar a sua implementação quanto à conformidade e pelos controlos e processos na sua própria organização.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Código de prática ISO/IEC 27018:2019
- Estrutura de Conformidade do Microsoft Common Controls Hub
- Políticas de acesso a dados para a nuvem empresarial e serviços técnicos da Microsoft
- Termos de Serviços Online da Microsoft
- Nuvem Governamental da Microsoft
- Conformidade na Central de Confiabilidade da Microsoft