Partilhar via

ISO/IEC 27701:2019: Gestão de Informações de Privacidade

  • Artigo

Descrição geral do ISO/IEC 27701:2019

O ISO/IEC 27701:2019 foi criado para complementar as normas ISO/IEC 27001 e ISO/IEC 27002 amplamente utilizadas para a gestão da segurança de informações. Especifica requisitos e fornece orientação para um Sistema de Gestão de Informações de Privacidade (PIMS), tornando a implementação do PIMS uma adição de conformidade útil para as muitas organizações que dependem de ISO/IEC 27001, bem como criar um ponto de integração forte para alinhar controlos de segurança e privacidade. A ISO/IEC 27701 realiza esta integração através de uma estrutura de gestão de dados pessoais que pode ser utilizada tanto por controladores de dados como por processadores de dados, uma distinção fundamental para a conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD).

Além disso, qualquer auditoria ISO/IEC 27701 requer que a organização declare leis/regulamentos aplicáveis nos seus critérios para a auditoria, o que significa que a norma pode ser mapeada a muitos dos requisitos ao abrigo do RGPD, California Consumer Privacy Act (CCPA) ou outras leis. Depois de mapeados, os controlos operacionais ISO/IEC 27701 são implementados por profissionais de privacidade. Um terceiro interno ou externo, acreditado para avaliar, avalia a conformidade da organização com os requisitos da norma e emite um certificado para esse efeito. Este framework universal permite que as organizações implementem de forma eficiente a conformidade com os novos requisitos regulamentares. A Microsoft patrocina o Projeto de Mapeamento de Proteção de Dados open source para obter uma compreensão comum da relação entre ISO/IEC 27701 e vários regulamentos de proteção de dados.

Plataformas e serviços em nuvem no escopo da Microsoft

Os serviços online da Microsoft no âmbito são apresentados no certificado ISO/IEC 27701 do Azure:

  • Azure (para obter informações detalhadas, veja a oferta ISO/IEC 27701 do Azure)
  • Dynamics 365 (para obter informações detalhadas, veja a oferta ISO/IEC 27701 do Azure)
  • Microsoft Defender XDR (não no âmbito da Azure Governamental)
  • Microsoft Bing para Comércio (não está no âmbito da Azure Governamental)
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Graph
  • Microsoft Intune
  • Área de Trabalho Gerenciada da Microsoft (não está no escopo para Azure Governamental)
  • Microsoft Stream
  • Especialistas em Ameaças da Microsoft (não no escopo Azure Governamental)
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power BI incorporado
  • Power Virtual Agents (não está no escopo para Azure Governamental)
  • Impressão Universal (não no âmbito da Azure Governamental)
  • Windows 365

Azure, Dynamics 365 e ISO 27701

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, veja a oferta Azure ISO 27701:2019.

Office 365 e ISO 27001

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Proteção do Exchange Online, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Portal do Cliente Office 365 Microsserviços (incluindo, mas não se limitando ao Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Encriptação de Serviço com Chave de Cliente do Microsoft Purview, SharePoint Online, Skype for Business Stream
GCC Microsoft Entra ID, Azure Communications Service, Gestor de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Alta Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 suplemento, Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online Skype for Business
DoD Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online Skype for Business

Auditorias Office 365, relatórios e certificados

Os serviços de suporte técnico comercial e cloud da Microsoft são auditados uma vez por ano para o processo de certificação para ISO/IEC 27701.

Perguntas frequentes

Como é que o ISO/IEC 27701 ajuda na evolução dos requisitos regulamentares?

O ISO/IEC 27701 inclui um anexo que contém os controles operacionais do padrão que é mapeado em relação aos requisitos relevantes na GDPR para controladores e processadores. Este mapeamento é apenas um exemplo de como os regulamentos de privacidade podem ser implementados em relação à arquitetura ISO. Conforme os mapeamentos adicionais com outras regulamentações tornarem-se disponíveis e forem validados, os controles operacionais do padrão poderão ser transferidos diretamente da análise regulatória para a implementação. Este framework universal permite que as organizações implementem de forma fiável os requisitos regulamentares relevantes.

Como é que o ISO/IEC 27701 ajuda com os custos de auditoria?

Conforme mais regulamentações entram em vigor em várias jurisdições, a pressão para fornecer evidências de conformidade também aumentará. No entanto, os custos de certificações regulatórias distintas tornam-se inviáveis se cada regulamentação necessitar uma auditoria exclusiva. Ao destacar um conjunto de controlos operacionais universais, a ISO/IEC 27701 também descreve um quadro de conformidade universal para auditar e potencialmente certificar para vários requisitos regulamentares.

É importante reconhecer que a criação de uma certificação oficial do RGPD requer a aprovação dos reguladores europeus. Embora o alinhamento entre ISO/IEC 27701 e RGPD seja evidente, uma certificação ISO/IEC 27701 não deve ser tomada como prova do cumprimento do RGPD ou da certificação oficial do RGPD até que as decisões regulamentares sejam finalizadas.

Como é que a ISO/IEC 27701 ajuda com contratos comerciais que envolvam o PII?

Os contratos comerciais que envolvam a movimentação de informações pessoais podem justificar a certificação da conformidade. As organizações modernas envolvem transferências completas de dados com uma ampla rede de parceiros de negócios, incluindo organizações de parceiros ou controladores conjuntos, processadores como provedores de nuvem e subprocessadores, como fornecedores que oferecem suporte a esses mesmos processadores. Se você não estiver em conformidade com as regulamentações em qualquer parte desta rede, isso pode gerar problemas de conformidade em cascata na cadeia de fornecimento. Esse é o local onde a verificação de conformidade pode ser valiosa além da garantia oferecida pelos termos contratuais entre essas organizações. Uma vez que a economia global dita que a maioria destas organizações estão espalhadas pelo mundo, é prático utilizar um padrão internacional da ISO para gerir a conformidade em toda a rede.

Essa dependência na conformidade aumenta a importância da certificação para o padrão. Embora nem todas as empresas e organizações precisem obter essa certificação, a maioria se beneficiará de parceiros e fornecedores que o fazem, especialmente quando estão envolvidos volumes sensíveis ou altos de processamento de dados.

Como é que o ISO/IEC 27701 se relaciona com ISO/IEC 27001?

A NORMA ISO/IEC 27701 baseia-se na ISO/IEC 27001, uma das normas internacionais mais amplamente adotadas para a gestão da segurança da informação. Se a sua organização já estiver familiarizada com o ISO/IEC 27001, é lógico e mais eficiente integrar os novos controlos de privacidade fornecidos pelo ISO/IEC 27701. Esta abordagem significa que a implementação e a auditoria de ambos serão menos dispendiosas e fáceis de alcançar. Pontos-chave de ISO/IEC 27701 e ISO/IEC 27001:

  • O ISO/IEC 27001 é um dos padrões ISO mais usados do mundo.
  • O ISO/IEC 27701 inclui novos controlos específicos do controlador e do processador que ajudam a colmatar a lacuna entre a privacidade e a segurança. Fornece um ponto de integração entre as duas funções separadas nas organizações.
  • Privacidade depende da segurança. Da mesma forma, ISO/IEC 27701 depende de ISO/IEC 27001 para gestão de segurança. A certificação para ISO/IEC 27701 tem de ser obtida como uma extensão de uma certificação ISO/IEC 27001 e não pode ser obtida de forma independente.

O que deve a sua organização fazer com ISO/IEC 27701?

Independentemente da dimensão da sua organização e seja um controlador ou um processador, a sua organização deve considerar a prossecução da certificação, seja para a sua própria organização, ou solicitá-la a fornecedores ou fornecedores com base nos seus requisitos empresariais. Esta situação aplica-se especialmente a processadores, subprocessadores e cocontroladores que estão a processar volumes confidenciais ou elevados de dados pessoais. A sua organização deve avaliar as necessidades empresariais para determinar se a certificação para os seus próprios produtos e serviços é adequada.

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos