Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Acesso Seguro Global dá suporte à conformidade em diferentes setores regulamentados e mercados globais. Este artigo lista as certificações e atualizações atuais à medida que o Acesso Seguro Global adquire novas certificações.
Certificações com suporte
O Acesso Seguro Global está incluído em várias auditorias de conformidade do Azure. As certificações com suporte são:
| Certificação | Detalhes | Herdado de |
|---|---|---|
| Leis de Privacidade do Canadá | As leis de privacidade canadenses visam proteger a privacidade dos indivíduos e dar-lhes o direito de acessar informações coletadas sobre eles. Essas leis de privacidade incluem a Lei de Privacidade, a Lei de Proteção de Informações Pessoais e a Lei de Documentos Eletrônicos (PIPEDA), a Lei de Proteção de Informações Pessoais de Alberta (PIPA) e a Lei de Liberdade de Informação e Proteção de Privacidade da Colúmbia Britânica (BC FIPPA). Para obter mais informações, consulte as leis de privacidade do Canadá. | ISO 27001:2013 |
| CDSA | O padrão CPS (Content Protection &Security Protection & Security) da CDSA (Content Protection &Security) fornece diretrizes e requisitos para proteger ativos de mídia em um CSMS (Sistema de Gerenciamento de Segurança de Conteúdo). O padrão inclui controles para proteger a propriedade intelectual e manter os ativos de mídia seguros e confidenciais em toda a cadeia de fornecimento de mídia digital. Para obter mais informações, consulte CDSA. | ISO 27001:2013 |
| CSA STAR | A certificação STAR da CSA (Cloud Security Alliance) baseia-se na obtenção da certificação ISO 27001 e dos critérios de reunião na CCM (Matriz de Controles de Nuvem). Ele mostra que um provedor de serviços de nuvem atende aos requisitos da ISO 27001, aborda os principais problemas de segurança de nuvem no CCM e é avaliado em relação ao modelo de maturidade de capacidade star para gerenciar atividades em áreas de controle ccm. Para obter mais informações, consulte a Certificação STAR da CSA (Cloud Security Alliance). | ISO 27001:2013 |
| DoD DISA SRG Nível 2 | A DISA (Agência de Sistemas de Informações de Defesa) é uma agência do Departamento de Defesa dos EUA (DoD) responsável por desenvolver e manter o Guia de Requisitos de Segurança de Computação em Nuvem (SRG) do DoD. O SRG define os requisitos de segurança de linha de base usados pelo DoD para avaliar a postura de segurança de um CSP (provedor de serviços de nuvem), dando suporte à decisão de conceder uma PA (Autorização Provisória do DoD) que permite que um CSP hospede missões do DoD. Ele incorpora, substitui e rescinde o CSM (Modelo de Segurança de Nuvem) do DoD publicado anteriormente. Para obter mais informações, consulte Departamento de Defesa (DoD) Nível de Impacto 2 (IL2). | FedRAMP High |
| ORELHA | O Departamento de Comércio dos EUA é responsável por impor os Regulamentos de Administração de Exportação (EAR) por meio do Bureau of Industry and Security (BIS). De acordo com as definições do BIS, Exportar é a transferência de tecnologia ou informações protegidas para um destino estrangeiro ou liberação de tecnologia ou informações protegidas para uma pessoa estrangeira nos Estados Unidos (também conhecida como Exportação Considerada). Para obter mais informações, consulte Os Regulamentos de Administração de Exportação (EAR). | FedRAMP High |
| FedRAMP High | O FedRAMP (Federal Risk and Authorization Management Program) dos EUA foi criado em dezembro de 2011 para fornecer uma abordagem padronizada para avaliar, monitorar e autorizar CSPs (provedores de serviços de nuvem). Para obter mais informações, consulte o Federal Risk and Authorization Management Program (FedRAMP). | NA |
| GDPR | O GdpR (Regulamento Geral de Proteção de Dados) é uma lei de privacidade europeia que entrou em vigor em maio de 2018. Impõe novas regras às organizações que oferecem bens e serviços às pessoas da União Europeia (UE) ou que coletam e analisam dados pertencentes a indivíduos da UE. O GDPR exige que os controladores de dados, como organizações que usam o Azure, usem apenas processadores de dados, como a Microsoft, que fornecem garantias suficientes para atender aos principais requisitos do RGPD. Para obter mais informações, confira o resumo do Regulamento Geral de Proteção de Dados. | ISO 27001:2013 |
| GxP (FDA 21 CFR Parte 11) | O Azure pode ajudar os clientes a atender às suas necessidades sob práticas clínicas, laboratoriais e de fabricação (GxP), bem como regulamentos impostos pela FDA (Food and Drug Administration) dos EUA sob 21 CFR Parte 11. Para obter mais informações, consulte GxP (FDA 21 CFR Parte 11). | ISO 27001:2013 |
| HDS (França) | O Microsoft Azure tem a certificação Hébergeurs de Données de Santé, HDS (Health Data Hosting), que é necessária para todas as entidades que hospedam dados pessoais de saúde regidos pela lei francesa. A Microsoft é o primeiro grande provedor de serviços de nuvem a atender aos rigorosos padrões franceses para armazenar e processar dados de integridade. Para obter mais informações, consulte Health Data Hosting (HDS) France. | ISO 27001:2013 |
| HIPAA BAA (EUA) | A HIPAA (Health Insurance Portability and Accountability Act) é uma lei dos EUA que estabelece requisitos para o uso, divulgação e proteção de informações de saúde protegidas (PHI). Aplica-se a entidades cobertas — escritórios médicos, hospitais, seguradoras de saúde e outras empresas de saúde — com acesso ao PHI e a parceiros comerciais, como provedores de serviços de nuvem, que processam o PHI em seu nome. Para obter mais informações, consulte HIPAA (US). | NA |
| ISO 20000-1:2011 | O ISO 20000-1:2011 é um padrão internacional para o gerenciamento de serviços de TI que define requisitos para o desenvolvimento, implementação, monitoramento, manutenção e melhoria de um sistema de gerenciamento de serviços de TI. Para obter mais informações, consulte ISO/IEC 20000-1:2018. | ISO 27001:2013 |
| ISO 22301:2012 | ISO 22301:2012 é o padrão internacional premium para gerenciamento de continuidade de negócios que fornece uma certificação formal. Para obter mais informações, consulte ISO 22301:2019. | ISO 27001:2013 |
| ISO 27001:2013 | A família de padrões ISO 27000 fornece uma estrutura para políticas e procedimentos que incluem todos os controles legais, físicos e técnicos nas Ofertas de Conformidade do Microsoft Azure para o gerenciamento de riscos de informações de uma organização. A ISO 27001 lista os requisitos para implementar, manter, monitorar e melhorar um ISMS (sistema de gerenciamento de segurança da informação). Para obter mais informações, consulte ISO 27001:2013. | NA |
| ISO 27017:2015 | O código de prática ISO 27017 foi projetado para que as organizações usem como referência para selecionar controles de segurança de informações dos serviços de nuvem ao implementar um sistema de gerenciamento de segurança de informações de computação em nuvem baseado na ISO 27002. Os provedores de serviços de nuvem também podem usar o ISO 27017 como um documento de orientação para implementar controles de proteção comumente aceitos. Para obter mais informações, consulte ISO/IEC 27017:2015. | ISO 27001:2013 |
| ISO 27018:2019 | A ISO 27018 é o primeiro código internacional de prática para privacidade na nuvem que fornece diretrizes com base nas diretrizes e práticas recomendadas da ISO 27002 para gerenciamento de segurança da informação. Com base nas leis de proteção de dados da UE, ele fornece diretrizes específicas aos provedores de serviços de nuvem que atuam como processadores de PII (informações de identificação pessoal) na avaliação de riscos e na implementação de controles de última geração para proteger a PII. A ISO 27018 estabelece objetivos e diretrizes de controle específicos à nuvem para PII de acordo com os princípios de privacidade na ISO 29100. Para obter mais informações, consulte ISO/IEC 27018:2019. | ISO 27001:2013 |
| ISO 27701:2019 | A ISO 27701 foi criada como uma extensão do padrão ISO/IEC 27001 amplamente utilizado para gerenciamento de segurança da informação, tornando a implementação do sistema de gerenciamento de informações de privacidade do PIMS uma extensão de conformidade útil para muitas organizações que dependem do ISO/IEC 27001 e criando um ponto de integração forte para alinhar controles de segurança e privacidade. Para obter mais informações, consulte ISO/IEC 27701:2019 | ISO 27001:2013. |
| ISO 9001:2015 | O ISO 9001 é um padrão internacional que estabelece os critérios para um sistema de gerenciamento de qualidade. É o único padrão na família ISO 9000 que resulta em uma certificação formal. O padrão baseia-se em vários princípios de gerenciamento de qualidade, incluindo foco claro no atendimento aos requisitos do cliente, forte governança corporativa e compromisso de liderança com objetivos de qualidade, abordagem orientada por processo para atender aos objetivos e foco no aprimoramento contínuo. Para obter mais informações, consulte ISO 9001:2015. | ISO 27001:2013 |
| MARS-E (Estados Unidos) | Em 2012, o Centro de Serviços Medicare e Medicaid (CMS) publicou os Padrões Mínimos de Risco Aceitável para Exchanges (MARS-E) de acordo com os programas de segurança e privacidade de informações do CMS. O conjunto de documentos, incluindo diretrizes, requisitos e modelos, foi projetado para atender aos mandatos da ACA (Lei de Proteção ao Paciente e Cuidados Acessíveis) e regulamentos do Departamento de Saúde e Serviços Humanos que se aplicam à ACA. Para obter mais informações, consulte MARS-E (EUA). | FedRAMP High |
| NERC | A North American Electric Reliability Corporation (NERC) é uma autoridade regulatória sem fins lucrativos cuja missão é garantir a confiabilidade do sistema de energia em massa norte-americano. A NERC está sujeita à supervisão da Comissão Federal de Regulação de Energia dos EUA (FERC) e das autoridades governamentais no Canadá. Para obter mais informações, consulte a NERC (North American Electric Reliability Corporation). | FedRAMP High |
| Estrutura de segurança cibernética NIST | O NIST Cybersecurity Framework (CSF) foi publicado em fevereiro de 2014 como orientação para que as organizações de infraestrutura crítica entendam melhor, gerenciem e reduzam seus riscos de segurança cibernética. O CSF foi desenvolvido em resposta à ordem executiva presidencial sobre a melhoria da segurança crítica da infraestrutura, que foi emitida em fevereiro de 2013. Para obter mais informações, consulte O CSF (NIST Cybersecurity Framework). | FedRAMP High |
| PCI 3DS | Europay, Mastercard e Visa (EMV) seguro de três domínios (3D Secure ou 3DS) é um protocolo de mensagens EMVCo que permite que os titulares de cartão se autentiquem com seus emissores de cartão ao fazer transações on-line de CNP (cartão não presente). O PCI 3DS Core Security Standard fornece uma estrutura para essas funções críticas do EMV 3DS para implementar controles de segurança que dão suporte à integridade e à confidencialidade das transações 3DS. Para obter mais informações, consulte PCI 3DS. | NA |
| PCI DSS Nível 1 | O DSS (Payment Card Industry) Data Security Standards (DSS) é um padrão global de segurança de informações que ajuda a evitar fraudes controlando dados de cartão de crédito. A conformidade do PCI DSS é necessária para qualquer organização que armazene, processe ou transmita dados de pagamento e de titular do cartão. Para saber mais, confira PCI DSS. | NA |
| SOC 1 Tipo 2 | O Instituto Americano de Contadores Públicos Certificados (AICPA) estabelece três opções de relatório de SOC (Controles de Organização de Serviços): SOC 1, SOC 2 e SOC 3. Esses controles ajudam os CPAs a examinar e relatar os controles de uma organização de serviços. O atestado SOC 1 Tipo 2 baseia-se na Instrução AICPA em Padrões para Atestado Engagements 18 (SSAE 18) padrão (consulte AT-C Seção 105) e no International Standard on Assurance Engagements No. 3402 (ISAE 3402). Para obter mais informações, consulte System and Organization Controls (SOC) 1 Type 2. | NA |
| SOC 2 Tipo 2 | O SOC 2 Tipo 2 é um relatório de uso restrito destinado a relatar controles relevantes para atributos de segurança, disponibilidade, confidencialidade, integridade de processamento e sistema de privacidade. Para obter mais informações, consulte System and Organization Controls (SOC) 2 Type 2. | NA |
| SOC 3 | Um relatório SOC 3 é uma versão curta e pública do relatório de atestado soc 2 tipo 2. O relatório SOC 3 é para usuários que querem garantia sobre os controles do provedor de serviços de nuvem, mas não precisam de um relatório completo do SOC 2. Para obter mais informações, consulte o SOC (System and Organization Controls) 3. | NA |
| Cyber Essentials Plus do Reino Unido | O Cyber Essentials é um esquema apoiado pelo governo britânico que ajuda as organizações a verificar e reduzir os riscos de ameaças comuns de segurança cibernética a seus sistemas de TI. O Cyber Essentials é necessário para todos os fornecedores do governo britânico que lidam com dados pessoais. Para obter mais informações, consulte Uk Cyber Essentials Plus. | ISO 27001:2013 |
| G-Cloud do Reino Unido | Government Cloud (G-Cloud) é uma iniciativa do governo do Reino Unido para facilitar a aquisição de serviços de nuvem por departamentos governamentais e promover a adoção da computação em nuvem por todo o governo. O G-Cloud compreende uma série de contratos de estrutura com fornecedores de serviços de nuvem (como a Microsoft) e uma listagem de seus serviços em uma loja online, o Marketplace Digital. Essa abordagem permite que as organizações do setor público comparem e obtenham serviços de nuvem sem precisar fazer seu próprio processo de revisão completa. Para obter mais informações, consulte UK G-Cloud. | ISO 27001:2013 |
| WCAG 2.0 | As Diretrizes de Acessibilidade de Conteúdo da Web 2.0 (WCAG 2.0) fornecem uma estrutura para desenvolver conteúdo da Web que melhora a acessibilidade para pessoas com deficiências e usuários de dispositivos com habilidades gráficas limitadas. Para obter mais informações, consulte As Diretrizes de Acessibilidade de Conteúdo da Web. | ISO 27001:2013 |