Código de Conduta ISO/IEC 27018 para Proteção de Dados Pessoais na Nuvem

Visão geral da ISO/IEC 27018

A ISO (International Organization for Standardization) é uma organização não governamental independente e o maior desenvolvedor de padrões internacionais voluntários do mundo. A família de padrões ISO/IEC 27000 ajuda organizações de todos os tipos e tamanhos a manter seguros seus ativos de informações.

Em 2014, a ISO adotou a ISO/IEC 27018:2014, um adendo à ISO/IEC 27001, o primeiro código de conduta internacional relacionado à privacidade na nuvem. Baseada nas leis de proteção de dados da UE, ela fornece orientações específicas para CSPs (provedores de serviços de nuvem) que atuam como processadores de PII (informações de identificação pessoal) avaliarem os riscos e implementarem controles avançados para a proteção de PII.

Microsoft e ISO/IEC 27018

Pelo menos uma vez por ano, o Microsoft Azure e o Azure Germany são auditados para conformidade com o ISO/IEC 27001 e o ISO/IEC 27018 por um órgão de certificação de terceiros credenciado. Essa auditoria fornece validação independente de que os controles de segurança aplicáveis estão em vigor e operando efetivamente. Como parte desse processo de verificação de conformidade, os auditores confirmaram em sua declaração de aplicabilidade que os serviços de suporte técnico comercial e os serviços de nuvem no escopo da Microsoft incorporaram os controles da ISO/IEC 27018 para proteção da PII no Azure. Para continuar compatíveis, os serviços de nuvem da Microsoft devem passar por reavaliações anuais de terceiros.

Seguindo os padrões do ISO/IEC 27001 e o código de prática incorporado no ISO/IEC 27018, a Microsoft demonstra que suas políticas e procedimentos de privacidade são robustos e em linha com seus altos padrões.

  • Os clientes dos serviços de nuvem da Microsoft sabem onde os dados deles são armazenados. Como a ISO/IEC 27018 exige que os CSPs certificados informem aos clientes sobre os países nos quais seus dados podem ser armazenados, os clientes dos serviços de nuvem da Microsoft terão a visibilidade necessária para cumprir todas as regras de segurança de informações aplicáveis.
  • Os dados de clientes não serão usados para fins de marketing ou publicidade sem seu consentimento explícito. Alguns CSPs usam dados de clientes para seus próprios fins comerciais, inclusive para a publicidade direcionada. Como a Microsoft adotou o ISO/IEC 27018 para seus serviços de nuvem corporativa no escopo, os clientes podem ter certeza de que seus dados nunca serão usados para tais fins sem consentimento explícito, e esse consentimento não pode ser uma condição para o uso do serviço de nuvem.
  • Os clientes da Microsoft sabem o que acontece com as PII deles. A ISO/IEC 27018 exige uma política que possibilite o retorno, a transferência e o descarte seguro de informações pessoais dentro de um período aceitável. Se a Microsoft trabalhar com outras empresas que precisem acessar seus dados de clientes, a Microsoft divulga as identidades desses subprocessadores de forma proativa.
  • A Microsoft cumprirá apenas as solicitações de divulgação de dados de clientes obrigatórias por lei. Se a Microsoft precisar atender a essa solicitação (como no caso de uma investigação criminal), ela sempre notificará o cliente, a menos que seja proibido por lei de fazê-lo.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure, Azure Government e Azure Alemanha
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 e Dynamics 365 Germany
  • Intune
  • Microsoft Defender for Cloud Apps
  • Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.
  • Microsoft Graph
  • Bot do Microsoft Healthcare
  • Área de Trabalho Gerenciada da Microsoft
  • Especialistas em ameaças da Microsoft
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
  • Office 365 Alemanha
  • Mapa do serviço do OMS
  • Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do Power BI: como um serviço autônomo ou como incluído em um plano ou pacote da marca do Office 365
  • Power BI incorporado
  • Agentes virtuais do Power
  • Microsoft Defender para Ponto de Extremidade: Resposta e Detecção do Ponto de Extremidade, Investigação e Correção Automática, Classificação de Segurança
  • Windows 365

Azure, Dynamics 365 e ISO ISO/IEC 27018

Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços de conformidade do serviços online, consulte Oferta do SOC 27018 do Azure.

Office 365 e ISO ISO/IEC 27018

ambientes Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Esta seção aborda os seguintes ambientes de Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Microsoft Entra ID, Serviço de Comunicações do Azure, Gerenciador de Conformidade, Caixa de Bloqueio do Cliente, Delve, Proteção do Exchange Online, Exchange Online, Formulários, Griffin, Identity Manager, Caixa de Bloqueio (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento, Office 365 Customer Portal, Office 365 Microsserviços (incluindo, mas não se limitando a Kaizala, ObjectStore, Sway, Serviço de Documentos do PowerPoint Online, Serviço de Anotação de Consulta, Sincronização de Dados Escolares, Siphon, Fala, StaffHub, Programa de Aplicativos eXtensíveis), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Infraestrutura de Serviços do Office, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Criptografia de Serviço com a Chave do Cliente do Microsoft Purview, SharePoint Online, Skype for Business, Stream
GCC Microsoft Entra ID, Serviço de Comunicações do Azure, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 add-on, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Alta Microsoft Entra ID, Serviço de Comunicações do Azure, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Microsoft Entra ID, Serviço de Comunicações do Azure, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Auditorias, relatórios e certificados

Os serviços de suporte técnico comercial e de nuvem da Microsoft são auditados uma vez ao ano de acordo em relação ao código de conduta da ISO/IEC 27018 como parte do processo de certificação do ISO/IEC 27001.

Perguntas frequentes

A quem o ISO/IEC 27018 se aplica?

Este código de conduta aplica-se a CSPs que processam PII sob contratação de outras organizações. Na Microsoft, isso também se aplica ao suporte a esses CSPs.

Qual é a diferença entre ‘controladores de informações pessoais’ e ‘processadores de informações pessoais’?

No contexto da ISO/IEC 27018:

  • Os 'controladores' controlam a coleção, a exploração, o processamento ou o uso de informações pessoais; eles incluem as partes que o controlam em nome de outra empresa.
  • 'Processadores' processam informações em nome dos controladores; eles não tomam decisões sobre como usar as informações ou as finalidades do processamento. Ao fornecer seus serviços de nuvem corporativa, a Microsoft (como fornecedor para você) é um processador de informações.

Onde posso ver as informações de conformidade da Microsoft com o ISO/IEC 27018?

  • Você pode examinar os certificados ISO/IEC 27018 da BSI (o auditor independente que validou a conformidade da Microsoft com ISO/IEC 27018) para o Office 365.

Posso usar a conformidade da Microsoft no processo de certificação de minha organização?

Sim. Se a conformidade com a ISO/IEC 27018 for importante para a sua empresa e as implementações forem realizadas em qualquer um dos serviços de nuvem empresarial no escopo da Microsoft, use o atestado de conformidade da Microsoft com a ISO/IEC 27018 com a certificação da Microsoft para ISO/IEC 27001 em sua avaliação de conformidade.

No entanto, você é responsável por contratar um assessor para avaliar sua implementação para conformidade e para os controles e processos em sua própria organização.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos