Lista de verificação de preparação de responsabilidade para Microsoft 365
1. Introdução
Esta lista de verificação de preparação de responsabilidade fornece uma maneira conveniente para acessar informações que podem ser necessárias para dar suporte ao RGPD ao usar o Microsoft Office 365.
Você pode gerenciar os itens nesta lista de verificação com o Gerente de Conformidade fazendo referência à ID de controle e ao Título do controle em Controles gerenciados do cliente no bloco RGPD.
Além disso, itens nesta lista de verificação abaixo de 5.A Proteção de Dados & Segurança fornece referências aos controles listados em Controles Gerenciados da Microsoft no bloco GDPR no Gerenciador de Conformidade. A revisão dos Detalhes da Implementação da Microsoft para esses controles fornece uma explicação adicional sobre a abordagem da Microsoft para cumprir as considerações do cliente no item de lista de verificação.
A lista de verificação e o Gerente de Conformidade são organizados usando os títulos e o número de referência (entre parênteses para cada tópico da lista de verificação) de um conjunto de controles de privacidade e segurança para processadores de dados pessoais extraídos de:
- ISO/IEC 27701 para requisitos de gerenciamento de informações de privacidade.
- ISO/IEC 27701 para requisitos de técnicas de segurança.
Essa estrutura de controle também é usada para organizar a apresentação dos controles internos que o Microsoft Office 365 implementa para oferecer suporte ao RGPD, que você pode baixar da Central de Confiabilidade do Serviço.
2. Condições de coleta e processamento
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Determinar quando o consentimento deve ser obtido (7.2.3) | O cliente deve compreender os requisitos legais ou regulamentares para a obtenção de consentimento de indivíduos antes do processamento de dados pessoais (quando for necessário, se o tipo de processamento for excluído do requisito etc.), incluindo como o consentimento é coletado. | O Office 365 não oferece suporte direto para a obtenção de consentimento do usuário. | (6)(1)(a), (8)(1), (8)(2) |
| Identificar e documentar a finalidade (7.2.1) | O cliente deve documentar a finalidade para a qual os dados pessoais são processados. | Uma descrição do processamento que a Microsoft realiza para você e a finalidade desse processamento, que pode ser incluído em sua documentação de responsabilidade. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] |
(5)(1)(b), (32)(4) |
| Identificar a base legal (7.2.2) | O cliente deve compreender os requisitos relacionados à base legal do processamento, por exemplo, se o consentimento deve ser dado primeiro. | Uma descrição do processamento de dados pessoais pelos serviços Microsoft para inclusão em sua documentação de responsabilidade. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente[10] |
(5) (1) (a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)(4)(4)(a) c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(2)(g), (9)(2)(g), (9) (2) (h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(b), (17)(3)(c)), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(2)(c), (22)(4) |
| Determinar quando o consentimento deve ser obtido (7.2.3) | O cliente deve compreender os requisitos legais ou regulamentares para a obtenção de consentimento de indivíduos antes do processamento de dados pessoais (quando for necessário, se o tipo de processamento for excluído do requisito etc.), incluindo como o consentimento é coletado. | O Office 365 não oferece suporte direto para a obtenção de consentimento do usuário. | (6)(1)(a), (8)(1), (8)(2) |
| Obter e registrar o consentimento (7.2.4) | Quando ele é determinado a ser necessário, o cliente deve obter adequadamente o consentimento. O cliente também deve estar ciente de todos os requisitos de como uma solicitação de consentimento é apresentada e coletada. | O Office 365 não oferece suporte direto para a obtenção de consentimento do usuário. | (7)(1), (7)(2), (9)(2)(a) |
| Avaliação de impacto de privacidade (7.2.5) | O cliente deve estar ciente dos requisitos para concluir as avaliações de impacto de privacidade (quando devem ser executados, as categorias de dados que podem exigir um, o momento certo de concluir a avaliação). | Como os serviços da Microsoft determinam quando executar uma DPIA e uma visão geral do programa DPIA na Microsoft, incluindo o envolvimento do DPO, é fornecida na página DPIAs (Avaliações de Impacto de Proteção de Dados) do Portal de Confiança do Serviço. Suporte para seus DPIAs, confira: - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(35) |
| Contratos com processadores PII (7.2.6) | O cliente deve garantir que seus contratos com processadores incluam requisitos para auxiliar com quaisquer obrigações regulamentares ou legais relevantes relacionadas ao processamento e à proteção de dados pessoais. | Os contratos da Microsoft que exigem que nós ajudemos as suas obrigações de acordo com o RGPD, incluindo suporte para os direitos dos titulares dos dados. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Registros relacionados ao processamento de PII (7.2.7) | O cliente deve manter todos os registros necessários e necessários relacionados ao processamento de dados pessoais (ou seja, finalidade, medidas de segurança etc.). Alguns desses registros devem ser fornecidos por um subprocessador e o cliente deve garantir a obtenção de tais registros. | As ferramentas fornecidas pelos serviços Microsoft para ajudá-lo a fazer a manutenção dos registros necessários para demonstrar a conformidade e o suporte com as responsabilidades de acordo com o RGPD. - Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 [16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Direitos de titulares dos dados
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Determinação dos direitos das entidades de segurança de PII e permitindo o exercício (7.3.1) | O cliente deve compreender os requisitos relacionados aos direitos dos indivíduos sobre o processamento de seus dados pessoais. Esses direitos podem incluir itens como acesso, correção e eliminação. Quando o cliente usar um sistema de terceiros, ele deverá determinar quais partes do sistema (se houver alguma) fornecem ferramentas relacionadas a permitir que os indivíduos exerçam seus direitos (por exemplo, de acessar seus dados). Quando o sistema fornecer esses recursos, o cliente deverá utilizá-los conforme necessário. | Os recursos que a Microsoft fornece para ajudar você a dar suporte a direitos de titulares de dados. - Office 365 Solicitações de Assunto de Dados para o GDPR [8] - Microsoft Office 365 ISO/IEC 27001:2013 IsMS Statement of Applicability [12] consulte ISO, IEC 27018, 2014 control A.1.1 |
(12)(2) |
| Determinação de informações para entidades de segurança de PII (titulares de dados) (7.3.2) | O cliente deve entender os requisitos para os tipos de informações sobre o processamento de dados pessoais que devem estar disponíveis para serem fornecidos ao indivíduo. Isso pode incluir coisas como: – Detalhes de contato sobre o controlador ou seu representante; - informações sobre o processamento (fins, transferência internacional e proteções, período de retenção, etc. relacionados); – Informações sobre como o titular pode acessar e/ou corrigir seus dados pessoais; solicitar eliminação ou restrições de processamento; receber uma cópia dos dados pessoais; e fazer a portabilidade de seus dados pessoais – Como e de onde os dados pessoais foram obtidos (se não tiverem sido obtidos diretamente do titular) – Informações sobre o direito de fazer uma reclamação e para quem; – Informações sobre correções de dados pessoais; – Notificação de que a organização não pode identificar o titular dos dados (titular PII), em casos em que o processamento não requer mais a identificação do titular dos dados; – Transferências e/ou divulgações de dados pessoais; – Existência de tomada de decisões automatizada baseada unicamente no processamento automatizado de dados pessoais; – informações sobre a frequência com a qual informações para o titular dos dados são atualizadas e fornecidas (por exemplo, notificação "just in time", frequência definida pela organização etc.) Quando o cliente usar sistemas ou processadores de terceiros, ele deve determinar quais (se houver) dessas informações podem precisar ser fornecidas por ele, e garantir que ele possa obter as informações necessárias do terceiro. |
Informações sobre os serviços Microsoft que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Fornecimento de informações para entidades de segurança de PII (7.3.3) | O cliente deve cumprir quaisquer requisitos relacionados a como/quando/de que forma as informações necessárias relacionadas ao processamento dos dados pessoais de um indivíduo devem ser fornecidas ao mesmo. Nos casos em que um terceiro fornecer informações necessárias, o cliente deverá garantir que estas estejam dentro dos parâmetros exigidos pelo RGPD. | Informações em modelos sobre os serviços Microsoft que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Fornecer mecanismo para modificar ou retirar o consentimento (7.3.4) | O cliente deve entender os requisitos para informar os usuários sobre seu direito de acessar, corrigir e/ou apagar seus dados pessoais e para fornecer um mecanismo para o qual eles o façam. Se um sistema de terceiros for usado e fornecer esse mecanismo como parte de sua funcionalidade, o cliente deverá utilizar essa funcionalidade conforme necessário. | Informações sobre recursos nos serviços Microsoft que você pode usar ao definir as informações que fornece aos titulares dos dados ao solicitar consentimento. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Fornecer mecanismo para objeção ao processamento (7.3.5) | O cliente deve entender os requisitos em torno dos direitos dos titulares de dados. Quando um indivíduo tem o direito de se opor ao processamento, o cliente deve informá-lo e ter uma maneira de o indivíduo registrar sua objeção. | Informações sobre os serviços Microsoft relacionados à objeção ao processamento que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 4: restringir |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Compartilhamento do exercício dos direitos das entidades de segurança de PII (7.3.6) | O cliente deve compreender os requisitos para notificar terceiros com os quais tenham sido compartilhados dados pessoais de instâncias de modificação de dados com base no exercício de direitos individuais (por exemplo, uma pessoa que solicita a eliminação ou modificação, etc.). | Informações sobre recursos nos serviços Microsoft que permitem a descoberta de dados pessoais que você compartilhou com terceiros. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] |
(19) |
| Correção ou eliminação (7.3.7) | O cliente deve entender os requisitos para informar os usuários sobre seu direito de acessar, corrigir e/ou apagar seus dados pessoais e para fornecer um mecanismo para o qual eles o façam. Se um sistema de terceiros for usado e fornecer esse mecanismo como parte de sua funcionalidade, o cliente deverá utilizar essa funcionalidade conforme necessário. | Informações modelo sobre os serviços da Microsoft relacionadas à sua capacidade de acessar, corrigir ou apagar dados pessoais que você pode incluir nos dados que você fornece aos titulares de dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 5: excluir |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
| Fornecimento de cópia de PII processado (7.3.8) | O cliente deve entender os requisitos relacionados ao fornecimento de uma cópia dos dados pessoais que estão sendo processados para o indivíduo. Estes podem incluir requisitos relacionados ao formato da cópia (isto é, que seja legível por máquina), transferência da cópia etc. Quando o cliente usar um sistema de terceiros com a funcionalidade de fornecer cópias, ele deverá utilizar essa funcionalidade conforme necessário. | Informações sobre recursos nos serviços Microsoft para que você possa obter uma cópia dos dados pessoais que pode incluir nos dados que fornece a titulares dos dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 6: exportar |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Gerenciamento de solicitações (7.3.9) | O cliente deve entender os requisitos para aceitar e responder a solicitações legítimas de indivíduos relacionados ao processamento de seus dados pessoais. Quando o cliente usa um sistema de terceiros, ele deve entender se esse sistema fornece os recursos para esse tratamento de solicitações. Nesse caso, o cliente deve utilizar esses mecanismos para lidar com solicitações conforme necessário. | Informações sobre recursos nos serviços Microsoft que você pode usar ao definir as informações que fornece aos titulares dos dados quando gerencia essas solicitações. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] o cliente deve entender os requisitos relacionados ao processamento automatizado de dados pessoais, bem como onde as decisões são tomadas por tal automação. Estes podem incluir o fornecimento de informações sobre o processamento a um indivíduo, a oposição a tal processamento ou a obtenção de intervenção humana. Quando tais recursos forem fornecidos por um sistema de terceiros, o cliente deverá garantir que o terceiro forneça qualquer informação ou suporte necessário. Informações sobre os recursos nos serviços Microsoft que podem dar suporte à tomada de decisões automatizada que você pode usar na sua documentação de responsabilidade e modelos de informações para titulares de dados sobre esses recursos. |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Privacidade por padrão e design
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Limitar coleta (7.4.1) | O cliente deve entender os requisitos em relação aos limites de coleta de dados pessoais (por exemplo, que a coleta deve ser limitada ao que é necessário para a finalidade especificada). | Descrição dos dados coletados por serviços Microsoft. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(5)(1)(b), (5)(1)(c) |
| Limitar o processamento (7.4.2) | O cliente é responsável pela limitação do processamento de dados pessoais para que seja limitado ao que for adequado para a finalidade identificada. | Descrição dos dados coletados por serviços Microsoft. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(25)(2) |
| Definir e documentar os objetivos de minimização de PII e desidentificação (7.4.3) | O cliente deve entender os requisitos em torno da desidentificação de dados pessoais, os quais podem incluir: quando devem ser usados, até que ponto devem ser desidentificados e quando não podem ser usados. | A Microsoft aplica a desidentificação e a criação de pseudônimos internamente quando for apropriado, a fim de oferecer garantias adicionais de privacidade para dados pessoais. | (5)(1)(c) |
| Conformidade com níveis de identificação (7.4.4) | O cliente deve usar e manter a conformidade com os objetivos e os métodos de desidentificação definidos pela sua organização. | A Microsoft aplica a desidentificação e a criação de pseudônimos internamente quando for apropriado, a fim de oferecer garantias adicionais de privacidade para dados pessoais. | (5)(1)(c) |
| Desidentificação e exclusão de PII (7.4.5) | O cliente deve entender os requisitos em torno da retenção de dados pessoais após seu uso para as finalidades identificadas. Quando fornecido ferramentas pelo sistema, o cliente deve utilizar essas ferramentas para apagar ou excluir conforme necessário. | Recursos fornecidos pelos serviços em nuvem da Microsoft para dar suporte a políticas de retenção de dados. – Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 5: Excluir |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Arquivos temporários (7.4.6) | O cliente deve estar ciente dos arquivos temporários que podem ser criados pelo sistema que podem levar à não conformidade com as políticas de processamento de dados pessoais (por exemplo, os dados pessoais podem ficar retidos em um arquivo temporário por mais tempo que o necessário ou permitido). Quando o sistema fornecer essas ferramentas para exclusão ou verificação temporária de arquivos, o cliente deverá utilizar essas ferramentas para atender aos requisitos. | Uma descrição dos recursos fornecidos pelo serviço para identificar dados pessoais para oferecer suporte a políticas de arquivos temporários. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8], confira a Etapa 1: Descobrir |
(5)(1)(c) |
| Retenção (7.4.7) | O cliente deverá determinar quanto tempo os dados pessoais devem ser mantidos, levando em consideração as finalidades identificadas. | Informações sobre a retenção de dados pessoais pelos serviços Microsoft que você pode incluir na documentação fornecida a titulares de dados. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira Segurança de Dados, Retenção [1] |
(13)(2)(a), (14)(2)(a) |
| Descarte (7.4.8) | O cliente deve usar os mecanismos de exclusão ou descarte fornecidos pelo sistema para excluir dados pessoais. | Recursos fornecidos pelos serviços em nuvem da Microsoft para dar suporte a políticas de exclusão de dados. –* Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 5: excluir |
(5)(1)(f) |
| Procedimentos de coleta (7.4.9) | O cliente deve estar ciente dos requisitos sobre a precisão dos dados pessoais (por exemplo, precisão na coleta, manter os dados atualizados, etc.) e usar quaisquer mecanismos fornecidos pelo sistema para tal. | Como os serviços Microsoft fornecem suporte à precisão de dados pessoais e os recursos que eles fornecem para dar suporte à política de precisão de dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 3: corrigir |
(5)(1)(d) |
| Controles de transmissão (7.4.10) | O cliente deve compreender os requisitos acerca da proteção da transmissão de dados pessoais, incluindo quem tem acesso a mecanismos de transmissão, registros de transmissão etc. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Identificar base para a transferência de PII (7.5.1) | O cliente deve estar ciente dos requisitos para a transferência de dados pessoais (PII) para uma localização geográfica diferente e documentar as medidas adotadas para atender a esses requisitos. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
Artigos (44), (45), (46), (47), (48) e (49) |
| Países e organizações para os quais as PII podem ser transferidas (7.5.2) | O cliente deve entender e ser capaz de fornecer ao indivíduo os países para os quais os dados pessoais são ou podem ser transferidos. Quando um terceiro/processador pode executar essa transferência, o cliente deve obter essas informações do processador. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(30)(1)(e) |
| Registros de transferências de PII (dados pessoais) (7.5.3) | O cliente deve manter todos os registros necessários e necessários relacionados a transferências de dados pessoais. Quando um terceiro/processador executa a transferência, o cliente deve garantir que mantenha os registros apropriados e obtenha-os conforme necessário. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(30)(1)(e) |
| Registros da divulgação de PII para terceiros (7.5.4) | O cliente deve entender os requisitos em torno da gravação para quem os dados pessoais foram divulgados. Isso pode incluir divulgações para a aplicação da lei, etc. Quando um terceiro/processador divulga os dados, o cliente deve garantir que eles mantenham os registros apropriados e os obtenham conforme necessário. | Documentação fornecida sobre as categorias de destinatários de divulgação de dados pessoais, incluindo registros disponíveis de divulgação. - Quem pode acessar seus dados e em que condições [6] |
(30)(1)(d) |
| Controlador conjunto (7.5.5) | O cliente deverá determinar se ele é um controlador conjunto com outra organização e documentar de maneira adequada e alocar responsabilidades. | Documentação de serviços Microsoft que são controladores de informações pessoais, incluindo modelos de informações que podem ser incluídos na documentação para titulares de dados. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] |
5. Proteção e segurança de dados
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Noções básicas sobre a organização e o contexto (5.2.1) | Os clientes devem determinar seu papel no processamento de dados pessoais (por exemplo, controlador, processador, co-controlador) para identificar os requisitos apropriados (regulatórios, etc.) para o processamento de dados pessoais. | Como a Microsoft considera cada serviço um processador ou controlador durante o processamento de dados pessoais. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o "Processamento de Dados Pessoais; RGPD e Responsabilidades dos papéis do Processador e Controlador" [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Compreensão das necessidades e expectativas das partes interessadas (5.2.2) | Os clientes devem identificar as partes que possam ter um papel ou interesse no processamento de dados pessoais (por exemplo, reguladores, auditores, titulares de dados, processadores de dados pessoais contratados) e estar cientes dos requisitos para envolver essas partes onde necessário. | Como a Microsoft incorpora os modos de exibição de todos os interessados em consideração aos riscos envolvidos no processamento de dados pessoais. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] - Manual de ISMS do Office 365 [14] confira 4.2 COMPREENSÃO DAS NECESSIDADES E EXPECTATIVAS DAS PARTES INTERESSADAS – Compreender as necessidades e as expectativas das partes interessadas 5.2.2 no Gerente de Conformidade |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Determinar o escopo do sistema de gerenciamento de segurança de informações (5.2.3, 5.2.4) | Como parte de qualquer programa geral de segurança ou privacidade que um cliente pode ter, ele deve incluir o processamento de dados pessoais e os requisitos relacionado a isso. | Como os serviços Microsoft incluem o processamento de dados pessoais no gerenciamento de segurança de informações e em programas de privacidade. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Declaração de aplicabilidade [12] confira A.19 - SOC 2 Relatório de auditoria Tipo 2 [11] - Office 365 Manual do ISMS [14] consulte 4. Contexto da Organização – 5.2.3 Determinar o escopo do sistema de gerenciamento de segurança de informações no Gerente de Conformidade – 5.2.4 Sistema de gerenciamento de segurança de informações no Gerente de Conformidade |
(32)(2) |
| Planejamento (5.3) | Os clientes devem considerar a manipulação de dados pessoais como parte de qualquer avaliação de risco que concluem e aplicar os controles considerados necessários para reduzir o risco relacionado aos dados pessoais que eles controlam. | Como os serviços Microsoft consideram os riscos específicos do processamento de dados pessoais como parte de seu programa geral de privacidade e segurança. - Manual de ISMS do Office 365 [14]confira 5.2 Política – 5.3 Planejamento no Gerente de Conformidade |
(32)(1)(b), (32)(2) |
| Políticas de segurança da informação (6.2) | O cliente deve incrementar as políticas existentes de segurança de informação de modo a incluir a proteção de dados pessoais, incluindo as políticas necessárias para conformidade com qualquer legislação aplicável. | Políticas da Microsoft para segurança de informações e medidas específicas para a proteção de informações pessoais. - Microsoft Office 365 (todo o produto) ISO/IEC 27001:2013 ISMS Declaração de aplicabilidade [12] confira A.19 - SOC 2 Relatório de auditoria Tipo 2 [11] – 6.2 Políticas de segurança de informações no Gerente de Conformidade |
24(2) |
| Considerações para o cliente da organização da segurança de informações (6.3) | O cliente deve, dentro de sua organização, definir responsabilidades pela segurança e proteção de dados pessoais. Isso pode incluir o estabelecimento de funções específicas para supervisionar assuntos relacionados à privacidade, incluindo um DPO. Treinamento apropriado e apoio administrativo devem ser fornecidos para dar suporte a essas funções. | Uma visão geral da função do Diretor de Proteção de Dados da Microsoft, a natureza de suas responsabilidades, a estrutura hierárquica e as informações de contato. - Responsável pela proteção dos dados da Microsoft [18] - Manual de ISMS do Office 365 [14] confira 5.3 FUNÇÕES, RESPONSABILIDADES E AUTORIDADES ORGANIZACIONAIS – 6.3 Organização da segurança das informações no Gerente de Conformidade |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Segurança dos recursos humanos (6.4) | O cliente deve determinar e atribuir a responsabilidade de fornecer treinamento relevante relacionado à proteção de dados pessoais. | Uma visão geral da função do Diretor de Proteção de Dados da Microsoft, a natureza de suas responsabilidades, a estrutura hierárquica e as informações de contato. - Responsável pela proteção dos dados da Microsoft [18] - Manual de ISMS do Office 365 [14] confira 5.3 FUNÇÕES, RESPONSABILIDADES E AUTORIDADES ORGANIZACIONAIS – 6.4 Segurança de recursos humanos no Gerenciador de Conformidade |
(39)(1)(b) |
| Classificação de informações (6.5.1) | O cliente deve considerar explicitamente os dados pessoais como parte de um esquema de classificação de dados. | Recursos no Office 365 para oferecer suporte à classificação de dados pessoais. - Proteção de Informações do Office 365 para RGPD [5] confira Desenvolver um esquema de classificação para dados pessoais – 6.5.1 Classificação de Informações do Gerente de Conformidade |
(39)(1)(b) |
| Gerenciamento de mídia removível (6.5.2) | O cliente deve determinar as políticas internas para o uso de mídia removível no que se refere à proteção de dados pessoais (por exemplo, dispositivos de criptografia). | Como os serviços Microsoft protegem a segurança de informações pessoais em qualquer mídia removível. - FedRAMP Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 13.10 MP (Proteção de Mídia) – Gerenciamento de mídia removível no Gerente de Conformidade |
(32)(1)(a), (5)(1)(f) |
| Transferência de mídia física (6.5.3) | O cliente deve determinar políticas internas para proteger dados pessoais ao transferir mídia física (por exemplo, criptografia). | Como os serviços da Microsoft protegem os dados pessoais durante qualquer transferência de mídia física. – FedRAMP - Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 13.10 MP (Proteção de Mídia) – 6.5.3 Transferência de mídia física no Gerente de Conformidade |
(32)(1)(a), (5)(1)(f) |
| Gerenciamento de acesso de usuário (6.6.1) | O cliente deve estar ciente de suas responsabilidades para controlar o acesso dentro do serviço que estão usando e gerenciar as responsabilidades de modo adequado, usando as ferramentas disponíveis. | As ferramentas fornecidas pelo serviços Microsoft para ajudar a impor o controle de acesso. – Documentação de segurança do Office 365 [2] confira Proteja o acesso a dados e serviços no Office 365 – 6.6.1 em Gerenciador de Conformidade |
(5)(1)(f) |
| Registro e cancelamento de registro de usuários (6.6.2) | O cliente deve gerenciar o registro e o cancelamento de registro de usuários dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | As ferramentas fornecidas pelo serviços Microsoft para ajudar a impor o controle de acesso. – Documentação de segurança do Office 365 [2] confira Proteja o acesso a dados e serviços no Office 365 – 6.6.2 Registro e cancelamento de registro de usuários no Gerente de Conformidade |
(5)(1)(f) |
| Provisionamento de acesso de usuários (6.6.3) | O cliente deve gerenciar os perfis de usuário, especialmente para acesso autorizado a dados pessoais dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte ao controle de acesso formal para dados pessoais, incluindo IDs de usuário, funções, acesso a aplicativos e o registro e o cancelamento de registro de usuários. – Documentação de segurança do Office 365 [2] confira Proteja o acesso a dados e serviços no Office 365 - Use restrições de locatário para gerenciar o acesso a aplicativos em nuvem SaaS [15] – Provisionamento de acesso de usuários no Gerente de Conformidade |
(5)(1)(f) |
| Gerenciamento de acesso privilegiado (6.6.4) | O cliente deve gerenciar as IDs de usuário para facilitar o controle de acesso (principalmente a dados pessoais) dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte ao controle de acesso formal para dados pessoais, incluindo IDs de usuário, funções e o registro e o cancelamento de registro de usuários. – Documentação de segurança do Office 365 2 confira Proteja o acesso a dados e serviços no Office 365 – Usar restrições de locatário para gerenciar o acesso a aplicativos de SaaS na nuvem [15] – 6.6.4 Gerenciamento de acesso privilegiado em Gerenciador de Conformidade |
(5)(1)(f) |
| Procedimentos de segurança de logon (6.6.5) | O cliente deve utilizar os mecanismos fornecidos no serviço para garantir a proteção dos recursos de logon para os usuários sempre que for necessário. | Como os serviços Microsoft oferecem suporte a políticas de controle de acesso internas relacionadas a dados pessoais. – Quem pode acessar seus dados e em que condições [6] – 6.6.5 Procedimentos de segurança de logon em Gerenciador de Conformidade |
(5)(1)(f) |
| Criptografia (6.7) | O cliente deve determinar quais dados podem precisar ser criptografados e se o serviço que está utilizando oferece esse recurso. O cliente deve utilizar a criptografia conforme necessário, usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte à criptografia e apresentação sob pseudônimo para reduzir o risco de processamento de dados pessoais. – FedRAMP Plano moderado de segurança de sistema FedRAMP (SSP) confira Cosmos pág. 29 – 6.7 Criptografia no Gerente de Conformidade |
(32)(1)(a) |
| Descarte seguro e reutilização de equipamento (6.8.1) | Quando o cliente usa serviços de computação na nuvem (PaaS, SaaS, IaaS), devem compreender como o provedor de nuvem garante que os dados pessoais sejam apagados do espaço de armazenamento antes de esse espaço ser atribuído a outro cliente. | Como os serviços Microsoft garantem que os dados pessoais são apagados do equipamento de armazenamento antes de esse equipamento ser transferido ou reutilizado. – FedRAMP - Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 13.10 MP (Proteção de Mídia) – 6.8.1 Descarte seguro ou reutilização de equipamentos no Gerenciador de Conformidade] |
(5)(1)(f) |
| Política de área de trabalho e tela limpos (6.8.2) | O cliente deve considerar os riscos em torno de material impresso que exibe dados pessoais, e restringir potencialmente a criação desse material. Quando o sistema em uso fornecer a capacidade de restringir isso (por exemplo, configurações para impedir a impressão ou a cópia/colagem de dados confidenciais), o cliente deverá considerar a necessidade de usar esses recursos. | O que a Microsoft implementa para gerenciar a cópia impressa. – A Microsoft realiza a manutenção desses controles internamente, confira Microsoft Office 365 ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade [12] A.10.2, A.10.7 e A.4.1 – 6.8.2 Política de área de trabalho e tela limpos no Gerente de Conformidade |
(5)(1)(f) |
| Separação de ambientes operacionais e de desenvolvimento e teste (6.9.1) | O cliente deve considerar as implicações de uso de dados pessoais em ambientes de desenvolvimento e teste dentro da organização. | Como a Microsoft garante que dados pessoais sejam protegidos nos ambientes de desenvolvimento e teste. – Microsoft Office 365 ISO/IEC 27001:2013 ISMS Declaração de aplicabilidade [12] confira A.12.1.4 – 6.9.1 Separação de desenvolvimento, teste e ambientes operacionais no Gerente de Conformidade |
5(1)(f) |
| Backup de informações (6.9.2) | O cliente deve garantir que use os recursos fornecidos pelo sistema para criar redundâncias em seus dados e testar conforme o necessário. | Como a Microsoft garante a disponibilidade de dados que podem incluir dados pessoais, como a precisão dos dados restaurados é garantida, e as ferramentas e procedimentos que os serviços da Microsoft fornecem para permitir o backup e a restauração de dados. – FedRAMP - Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 10.9 disponibilidade – 6.9.2 Informações de Backup no Gerente de Conformidade |
(32)(1)(c), (5)(1)(f) |
| Log de eventos (6.9.3) | O cliente deve compreender as funcionalidades de registro em log fornecidas pelo sistema e utilizar esses recursos para garantir que eles possam registrar as ações relacionadas a dados pessoais consideradas necessárias. | Os dados que o serviço Microsoft registra para você, incluindo as atividades do usuário, exceções, as falhas e os eventos de segurança de informações, e como você pode acessar esses logs para usar como parte da manutenção de seus registros. – Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 [16] – 6.9.3 Log de eventos no Gerenciador de Conformidade |
(5)(1)(f) |
| Proteção de informações registradas (6.9.4) | O cliente deve considerar os requisitos para proteger informações de log que possam conter dados pessoais ou que possam conter registros relacionados ao processamento de dados pessoais. Quando o sistema em uso fornece recursos para proteger logs, o cliente deve utilizar esses recursos quando necessário. | Como a Microsoft protege logs que podem conter dados pessoais. – Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 [16] 6.9.4 Proteção de informações registradas no Gerente de Conformidade |
(5)(1)(f) |
| Políticas e procedimentos de transferência de informações (6.10.1) | O cliente deve ter procedimentos para casos em que os dados pessoais podem ser transferidos em mídia física (como um disco rígido sendo movido entre servidores ou instalações). Isso pode incluir logs, autorizações e acompanhamento. Quando um terceiro ou outro processador pode estar transferindo mídia física, o cliente deve garantir que essa organização tenha procedimentos em vigor para garantir a segurança dos dados pessoais. | Como os serviços Microsoft transferem mídia física que pode conter dados pessoais, incluindo as circunstâncias em que a transferência pode ocorrer e as medidas de proteção direcionadas para proteger os dados. – FedRAMP - Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 13.10 MP (Proteção de Mídia) – 6.10.1 Políticas e procedimentos de transferência de informações no Gerente de Conformidade |
(5)(1)(f) |
| Acordos de confidencialidade ou não divulgação (6.10.2) | O cliente deverá determinar a necessidade de acordos de confidencialidade ou o equivalente para indivíduos com acesso a ou responsabilidades relacionadas a dados pessoais. | Como os serviços Microsoft garantem que indivíduos com acesso autorizado a dados pessoais tenham compromisso com a confidencialidade. – Relatório de auditoria SOC 2 Tipo 2 [11] confira CC1.4 pág. 33 – Acordos de confidencialidade, 6.10.2 no Gerente de Conformidade |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Proteção de serviços de aplicativo em redes públicas (6.11.1) | O cliente deve entender os requisitos para criptografia de dados pessoais, especialmente quando enviado por redes públicas. Quando o sistema fornece mecanismos para criptografar dados, o cliente deve utilizar esses mecanismos quando necessário. | Descrição das medidas que os serviços Microsoft adotam para proteger dados em trânsito, incluindo a criptografia dos dados e como os serviços Microsoft protegem os dados que podem conter dados pessoais que passam por redes públicas de dados, incluindo as medidas de criptografia. – Criptografia no Microsoft Cloud [17] confira Criptografia de dados de clientes em trânsito – 6.11.1 Como proteger serviços de aplicativo em redes públicas no Gerente de Conformidade |
(5)(1)(f), (32)(1)(a) |
| Princípios de proteção de engenharia de sistemas (6.11.2) | O cliente deve entender como os sistemas são projetados e desenvolvidos para considerar a proteção de dados pessoais. Quando um cliente utiliza um sistema projetado por terceiros, é sua responsabilidade garantir que essas proteções tenham sido consideradas. | Como os serviços Microsoft incluem princípios de proteção de dados pessoais como parte obrigatória de nossos princípios de proteção de design/engenharia. - Relatório de Auditoria do SOC 2 Tipo 2 [11], confira Ciclo de Vida de Desenvolvimento de Segurança pág. 23, CC7.1 pág. 45 – Garantir princípios de proteção de engenharia de sistemas no Gerente de Conformidade |
(25)(1) |
| Relacionamentos com fornecedores (6.12) | O cliente deve garantir que quaisquer requisitos de segurança de informações e proteção de dados pessoais que sejam de responsabilidade de terceiros sejam abordados em informações contratuais ou outros acordos. Os acordos também devem abordar as instruções para processamento. | Como os serviços Microsoft abordam a segurança e a proteção de dados em nossos acordos com nossos fornecedores e como garantimos que esses acordos sejam implementados. – Quem pode acessar seus dados e em que condições [6] – Contratos para subprocessadores: contratação com a Microsoft [7] – 6.12 Relacionamentos com fornecedores no Gerente de Conformidade |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
| Gerenciamento de incidentes e melhorias de segurança de informações (6.13.1) | O cliente deve ter processos para determinar quando ocorreu uma violação de dados pessoais. | Como os serviços Microsoft determinam se um incidente de segurança é uma violação de dados pessoais, e como comunicamos a violação para você. – Office 365 e notificação de violação no RGPD [9] – Gerenciamento de incidentes e melhorias de segurança de informações, 6.13.1 no Gerente de Conformidade |
(33)(2) |
| Responsabilidades e procedimentos (durante incidentes de segurança de informações) (6.13.2) | O cliente deve entender e documentar suas responsabilidades durante uma violação de dados ou incidente de segurança envolvendo dados pessoais. As responsabilidades podem incluir notificar partes necessárias, comunicações com processadores ou outros terceiros e responsabilidades dentro da organização do cliente. | Como notificar os serviços Microsoft se você detectar um incidente de segurança ou violação de dados pessoais – Office 365 e notificação de violação no RGPD [9] – 6.13.2 Responsabilidades e procedimentos no Gerente de Conformidade |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Resposta a incidentes de segurança de informações (6.13.3) | O cliente deve ter processos para determinar quando ocorreu uma violação de dados pessoais. | Descrição das informações que os serviços Microsoft fornecem para ajudá-lo a decidir se ocorreu uma violação de dados pessoais. – Office 365 e notificação de violação no RGPD [9] – 6.13.3 Resposta a incidentes de segurança de informações no Gerente de Conformidade |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Proteção de registros (6.15.1) | O cliente deve compreender os requisitos para os registros relacionados ao processamento de dados pessoais que precisam ser mantidos. | Como os serviços Microsoft armazenam registros relacionados ao processamento de dados pessoais – Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 [16] – Microsoft Office 365 ISO/IEC 27001:2013 ISMS Declaração de aplicabilidade [12] confira A.18.1.3 – Manual de ISMS do Office 365 [14], confira 9 Avaliação de desempenho |
(5)(2), (24)(2) |
| Análise independente da segurança de informações (6.15.2) | O cliente deve estar ciente dos requisitos para avaliações da segurança do processamento de dados pessoais. Isso pode incluir auditorias internas ou externas ou outras medidas para avaliar a segurança do processamento. Quando o cliente depender de outra organização de terceiros para todo ou parte do processamento, ele deve coletar informações sobre essas avaliações realizadas por eles. | Como os serviços Microsoft testam e avaliam a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento, incluindo auditorias de terceiros. Termos do Microsoft Online Services, Termos de Proteção de Dados, confira Segurança de Dados e Conformidade de Auditoria [1] – Manual de ISMS do Office 365 [14] confira 9 Avaliação de desempenho – 6.15.2 Análise independente da segurança das informações no Gerente de Conformidade |
(32)(1)(d), (32)(2) |
| Análise técnica de conformidade (6.15.3) | O cliente deve entender os requisitos para testar e avaliar a segurança do processamento de dados pessoais. Isso pode incluir testes técnicos, como testes de penetração. Quando o cliente usar um sistema ou processador de terceiros, ele deverá entender quais são as suas responsabilidades relacionadas a proteger e testar a segurança (por exemplo, gerenciar configurações para proteger dados e testar essas configurações). Quando o terceiro é responsável por toda ou parte da segurança do processamento, o cliente deve entender que testes ou avaliações o terceiro realiza para garantir a segurança do processamento. | Como os serviços Microsoft são testados com base em segurança quanto aos riscos identificados, incluindo testes de terceiros e os tipos de testes técnicos e os relatórios disponíveis por meio dos testes. – Termos do Microsoft Online Services, Termos de Proteção de Dados, confira a Conformidade de auditoria e segurança de dados [1] - Para obter uma lista de certificações externas, confira as ofertas de conformidade do Microsoft Trust Center [ 13 ] – Para saber mais sobre teste de invasão de seus aplicativos, confira FedRAMP Moderado e Plano de Segurança de Sistema FedRAMP (SSP) [3], Teste de Invasão CA-8 (M) (H) pág. 204 - 6.15.3 Revisão de conformidade técnica no Manager |
(32)(1)(d), (32)(2) |
6. Bibliografia de recursos e links
Saiba mais
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários