Compartilhar via


Padrão MTCS (Multi-Tier Cloud Security) para Singapura

Visão geral do MTCS

O Padrão MTCS (Multi-Tier Cloud Security) para Singapura foi elaborado sob o direcionamento do ITSC (Information Technology Standards Committee) da IDA (Infocomm Development Authority of Singapore). O ITSC promove e apoia programas nacionais de padronização de TI e comunicações, e a participação de Singapura em atividades internacionais de padronização.

A finalidade do MTCS é fornecer:

  • Um padrão comum que os CSPs (provedores de serviços de nuvem) possam aplicar para lidar com preocupações comuns dos clientes a respeito da segurança e confidencialidade dos dados na nuvem e do impacto do uso de serviços de nuvem sobre os negócios.
  • Transparência operacional confirmável e visibilidade dos riscos para o cliente ao usar serviços de nuvem.

O MTCS baseia-se em padrões internacionais reconhecidos, como a ISO/IEC 27001, e aborda áreas como retenção de dados, soberania de dados, portabilidade de dados, responsabilidade, disponibilidade, continuidade dos negócios, recuperação de desastre e gerenciamento de incidentes. Também inclui um mecanismo para que os clientes possam comparar e classificar os recursos dos CSPs em relação a um conjunto mínimo de requisitos de segurança de linha de base.

O MTCS é o primeiro padrão de segurança de nuvem com diferentes níveis de segurança, de forma que os CSPs podem especificar os níveis que oferecem. O MTCS inclui um total de 535 controles, que abordam a segurança básica no Nível 1, controles mais rígidos de governança e locação no Nível 2, e confiabilidade e resiliência para sistemas de informações de alto impacto no Nível 3.

Microsoft e MTCS

Depois de avaliações rigorosas realizadas pelo MTCS Certification Body, os serviços de nuvem da Microsoft receberam a certificação MTCS 584:2013 em todas as três classificações de serviços: IaaS (Infraestrutura como Serviço), PaaS (Plataforma como Serviço) e SaaS (Software como Serviço). A Microsoft foi a primeira CSP global a receber essa certificação em todas as três classificações.

As certificações foram concedidas no Nível 3 para os serviços do Azure (IaaS e PaaS), Serviços do Microsoft Dynamics 365 (SaaS) e Serviços do Microsoft Office 365 (SaaS). Uma certificação Nível 3 significa que os serviços de nuvem no escopo da Microsoft podem hospedar dados de alto impacto para organizações regulamentadas seguindo os requisitos de segurança mais rigorosos. Ela é exigida pelo governo de Singapura para determinadas implementações de soluções em nuvem.

Plataformas e serviços de nuvem no escopo da Microsoft

  • Azure
  • Serviços online do Dynamics 365 (Business Central, Comércio, Atendimento ao Cliente, Serviço de Campo, Finanças, Proteção contra Fraudes, Marketing, Vendas, Gerenciamento da Cadeia de Fornecimento)
  • Genomics
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Graph
  • Bot do Microsoft Healthcare
  • Office 365
  • Mapa do serviço do OMS
  • PowerApps
  • Power BI

Office 365 e MTCS

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Delve, Exchange Online, Proteção do Exchange Online Loki, Microsoft Teams, Portal do Cliente do Office 365, Office Online, Serviço de Infraestrutura do Office, SharePoint Online, Skype for Business

Auditorias, relatórios e certificados

A certificação é válida por três anos, com auditoria de supervisão anual.

Certificação Microsoft MTCS

Divulgação do provedor de serviços de nuvem do Microsoft MTCS

Perguntas frequentes

A quem esse padrão se aplica?

Aplica-se a empresas em Singapura que adquirirem serviços de nuvem que exigem conformidade com o padrão MTCS.

Quais são as diferenças entre os níveis de segurança do MTCS?

O MTCS tem um total de 535 controles que abrangem três níveis de segurança:

  • O Nível 1, de baixo custo, conta com um número mínimo de controles de segurança de linha de base exigidos. É apropriado para hospedagem de sites, trabalhos de desenvolvimento e testes, simulação e aplicativos de negócios não críticos.
  • O Nível 2 atende às necessidades da maioria das organizações preocupadas com a segurança de dados, com um conjunto de controles mais rigorosos direcionados aos riscos e ameaças de segurança dos dados. O Nível 2 aplica-se à maior parte do uso da nuvem, incluindo aplicativos de negócios críticos.
  • O Nível 3 foi criado para organizações regulamentadas com requisitos específicos e que estão dispostas a pagar por requisitos de segurança mais rígidos. O Nível 3 adiciona um conjunto de controles de segurança que complementam os dos Níveis 1 e 2. Eles tratam dos riscos e ameaças à segurança em sistemas de informações de alto impacto que usam serviços de nuvem, como aplicativos de hospedagem com informações confidenciais e em sistemas regulamentados.

Por onde começo a iniciativa de conformidade em minha empresa?

O MTCS Certification Scheme fornece orientações sobre controles de auditoria e requisitos de segurança.

Posso usar a conformidade da Microsoft no processo de certificação de minha organização?

Sim. Se houver uma requisição para certificar seus serviços baseados nesses serviços de nuvem da Microsoft, use a certificação MTCS para reduzir o impacto da auditoria de sua infraestrutura de TI até o limite em que ela depende deles. Contudo, você é responsável por contratar um avaliador para analisar a conformidade de sua implementação e pelos controles e processos dentro de sua organização.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos