Plano de ação para RGPD da Microsoft 365 – Principais prioridades para os primeiros 30 dias, 90 dias e depois
Este artigo inclui um plano de ação priorizado que você pode seguir enquanto trabalha para atender aos requisitos do GDPR (Regulamento Geral de Proteção de Dados). Esse plano de ação foi desenvolvido em parceria com o Protiviti, um parceiro da Microsoft especializado em conformidade regulatória.
O GDPR introduziu novas regras para empresas, agências governamentais, organizações sem fins lucrativos e outras organizações que oferecem bens e serviços para pessoas da União Europeia (UE), ou que coletam e analisam dados para residentes da UE. O GDPR se aplica não importa onde você ou sua empresa estejam localizados.
Resultados do plano de ação
Essas recomendações são fornecidas em três fases em uma ordem lógica com os resultados a seguir:
| Fase | Resultados |
|---|---|
| 30 dias | Entenda os requisitos do RGPD e considere interagir com um parceiro de consultoria de RGPD da Microsoft. • Avalie sua prontidão em relação ao padrão de referência e obtenha recomendações para as próximas etapas. • Trabalhe com o parceiro de consultoria de RGPD da Microsoft para estabelecer diretrizes internas a fim de responder às Solicitações de entidades de dados (DSRs), para executar uma análise das lacunas de conformidade com o RGPD para sua organização e para estabelecer um roteiro para atingir a conformidade. Inicie a descoberta dos tipos de dados pessoais que você está armazenando e onde residem para estar em conformidade com as DSRs. • Use a Pesquisa de conteúdo e a Descoberta Eletrônica nos centros de conformidade e segurança para descobrir dados pessoais em toda a organização. * Ao trabalhar com grandes quantidades de conteúdo, use Descoberta Eletrônica do Microsoft Purview (Premium), alimentado por tecnologias de machine learning, para executar pesquisas de conteúdo mais eficientes e precisas. |
| 90 dias | Comece pela implementação dos requisitos de conformidade usando as funcionalidades de conformidade e gestão de dados do Microsoft 365. * Avaliar e gerenciar seus riscos de conformidade usando o Microsoft Purview Compliance Manager. • Ajude os usuários a identificar e classificar dados pessoais, como definido pelo RGPD. Use as funcionalidades de segurança do Microsoft 365 para evitar violações de dados e implementar a proteção de dados pessoais. • Proteja as contas de administradores e de usuários finais. • Proteja contra códigos mal-intencionados e implemente a prevenção e a resposta a violações de dados. • Use logs de auditoria para monitorar atividades potencialmente mal-intencionadas e habilitar a análise forense de violações de dados. * Use políticas de DLP (Prevenção contra Perda de Dados) para identificar e proteger dados confidenciais. • Proteja-se contra os vetores mais comuns de ataque, incluindo phishing de emails e documentos do Office que contenham anexos e links mal-intencionados. |
| Além de 90 dias | Use as avançadas ferramentas de gestão de dados e de proteção de informações do Microsoft 365 para implementar programas de gestão contínua de dados pessoais. • Identifique automaticamente as informações pessoais em documentos e emails. • Proteja dados pessoais armazenados em dispositivos em toda a organização e certifique-se que dispositivos corporativos em conformidade sejam usados para acessar dados confidenciais. • Garanta que as informações pessoais confidenciais sejam armazenadas e acessadas de acordo com as políticas corporativas. * Implementar políticas de retenção de dados para ajudar a garantir que você só esteja retendo dados pessoais pelo tempo necessário. Monitore a conformidade contínua no Microsoft 365 e em outros aplicativos em nuvem. Considere abordar os requisitos de residência de dados para dados pessoais da UE. • Monitore o uso dos aplicativos de nuvem na organização e implemente políticas de alertas avançados. • Aborde os requisitos de residência de dados como uma organização global. |
30 dias — Vitórias rápidas poderosas
Essas tarefas são rápidas e eficazes com baixo impacto para os usuários.
| Área | Tarefas |
|---|---|
| Entenda os requisitos do RGPD e considere interagir com um parceiro de consultoria de RGPD da Microsoft. | * Avalie e gerencie seus riscos de conformidade usando o Microsoft Purview Compliance Manager no portal de conformidade do Microsoft Purview para realizar uma avaliação do GDPR de sua organização. • Trabalhe com o seu Parceiro de Consultoria de RGPD da Microsoft para estabelecer diretrizes internas a fim de responder às Solicitações de entidades de dados (DSRs) e exclusões das DSRs. • Trabalhe com o seu parceiro de Consultoria de RGPD da Microsoft para executar uma análise de lacunas de conformidade com RGPD para sua organização e para estabelecer um roteiro para conseguir a conformidade com RGPD. * Saiba como usar o painel gdpr e o recurso solicitação de assunto de dados no portal de conformidade do Microsoft Purview. |
| Inicie a descoberta dos tipos de dados pessoais que você está armazenando e onde residem para estar em conformidade com as DSRs. | * Use casos de pesquisa de conteúdo e descoberta eletrônica (Standard) para pesquisar facilmente entre caixas de correio, pastas públicas, Grupos do Microsoft 365, Microsoft Teams, sites do SharePoint, sites do One Drive for Business e Skype for Business conversas. Saiba como usar os tipos de informações confidenciais para descobrir dados pessoas de cidadãos da UE. * Ao trabalhar com grandes quantidades de conteúdo, identifique documentos relevantes para um determinado assunto (por exemplo, uma investigação de conformidade) rapidamente e com melhor precisão do que os palavra-chave tradicionais pesquisam com Descoberta Eletrônica do Microsoft Purview (Premium), alimentados por tecnologias de machine learning. * Visualizar resultados da pesquisa, obter palavra-chave estatísticas para uma ou mais pesquisas, editar em massa pesquisas de conteúdo e exportar os resultados usando a Central de Conformidade do & de Segurança. |
90 dias — Conformidade aprimorada
Essas tarefas levam um pouco mais de tempo para planejar e implementar, mas podem aumentar seus esforços gerais de conformidade com o RGPD.
| Área | Tarefas |
|---|---|
| Comece pela implementação dos requisitos de conformidade usando as funcionalidades de conformidade e gestão de dados do Microsoft 365. | * Gerenciar a conformidade do GDPR com o Microsoft Purview Compliance Manager no portal de conformidade do Microsoft Purview. * Ajudar os usuários a identificar e classificar dados pessoais, conforme definido pelo GDPR, com um esquema de classificação e rótulos de Office 365 associados para email do Exchange, sites do SharePoint, OneDrive para sites de trabalho e escola e Grupos do Microsoft 365. Consulte Implantar a proteção de informações para regulamentações de privacidade de dados com o Microsoft 365. |
| Use as funcionalidades de segurança do Microsoft 365 para evitar violações de dados e implementar a proteção de dados pessoais. | • Melhore a autenticação para administradores e usuários finais do Microsoft Cloud habilitando a autenticação multifator para todas as contas de usuários e a autenticação moderna para todos os aplicativos. Para obter a configuração de política recomendada, confira Configurações de acesso à identidade e ao dispositivo. * Implantar Microsoft Defender para Ponto de Extremidade em todos os desktops para proteção contra código malicioso, prevenção de violação de dados e respostas. Habilite o log de auditoria e a auditoria de caixas de correio (para todas as caixas de correio do Exchange) a fim de monitorar atividades potencialmente mal-intencionadas e habilitar a análise forense da violações de dados. • Configure, teste e implante as Políticas de Prevenção Contra Perda de Dados (DLP) para identificar, monitorar e proteger automaticamente mais de 80 tipos comuns de dados confidenciais de documentos e emails, inclusive informações de identificação pessoal, financeiras e médicas. * Implemente soluções de segurança do Office 365 para ajudar a evitar os vetores de ataque mais comuns, incluindo emails de phishing e documentos do Office que contêm links e anexos mal-intencionados. |
Mais de 90 dias – Privacidade contínua, governança de dados e relatórios
Essas configurações são medidas de privacidade importantes que se baseiam em trabalho anterior.
| Área | Tarefas |
|---|---|
| Use as avançadas ferramentas de gestão de dados e de proteção de informações do Microsoft 365 para implementar programas de gestão contínua de dados pessoais. | * Use rótulos de confidencialidade para identificar informações pessoais em documentos e emails. • Proteja dados pessoais armazenados em dispositivos por toda a organização com a implantação do Microsoft Intune. • Implemente Políticas de Acesso Condicional do AAD em conjunto com o Microsoft Intune para garantir que as informações pessoais confidenciais sejam armazenadas e acessadas de acordo com as políticas corporativas. Para obter a configuração de política recomendada, confira Configurações de acesso à identidade e ao dispositivo. * Implementar políticas de retenção de dados com rótulos de confidencialidade, Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview e políticas de retenção para manter dados pessoais pelo tempo necessário em sua jurisdição. |
| Monitore a conformidade contínua no Microsoft 365 e em outros aplicativos em nuvem. Considere abordar os requisitos de residência de dados para dados pessoais da UE. |
Saiba mais
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários