Partilhar via

Código de Conduta ISO/IEC 27018 para Proteção de Dados Pessoais na Nuvem

  • Artigo

Visão geral da ISO/IEC 27018

A ISO (International Organization for Standardization) é uma organização não governamental independente e o maior desenvolvedor de padrões internacionais voluntários do mundo. A família de padrões ISO/IEC 27000 ajuda organizações de todos os tipos e tamanhos a manter seguros seus ativos de informações.

Em 2014, a ISO adotou a ISO/IEC 27018:2014, um adendo à ISO/IEC 27001, o primeiro código de conduta internacional relacionado à privacidade na nuvem. Baseada nas leis de proteção de dados da UE, ela fornece orientações específicas para CSPs (provedores de serviços de nuvem) que atuam como processadores de PII (informações de identificação pessoal) avaliarem os riscos e implementarem controles avançados para a proteção de PII.

Microsoft e ISO/IEC 27018

Pelo menos uma vez por ano, o Microsoft Azure e o Azure Alemanha são auditados relativamente à conformidade com a NORMA ISO/IEC 27001 e a ISO/IEC 27018 por um organismo de certificação de terceiros acreditado. Esta auditoria fornece uma validação independente para que os controlos de segurança aplicáveis estejam implementados e a funcionar eficazmente. Como parte desse processo de verificação de conformidade, os auditores confirmaram em sua declaração de aplicabilidade que os serviços de suporte técnico comercial e os serviços de nuvem no escopo da Microsoft incorporaram os controles da ISO/IEC 27018 para proteção da PII no Azure. Para continuar compatíveis, os serviços de nuvem da Microsoft devem passar por reavaliações anuais de terceiros.

Ao seguir os padrões de ISO/IEC 27001 e o código de prática incorporado no ISO/IEC 27018, a Microsoft demonstra que as políticas e procedimentos de privacidade são robustos e estão em conformidade com os seus elevados padrões.

  • Os clientes dos serviços de nuvem da Microsoft sabem onde os dados deles são armazenados. Como a ISO/IEC 27018 exige que os CSPs certificados informem aos clientes sobre os países nos quais seus dados podem ser armazenados, os clientes dos serviços de nuvem da Microsoft terão a visibilidade necessária para cumprir todas as regras de segurança de informações aplicáveis.
  • Os dados de clientes não serão usados para fins de marketing ou publicidade sem seu consentimento explícito. Alguns CSPs usam dados de clientes para seus próprios fins comerciais, inclusive para a publicidade direcionada. Uma vez que a Microsoft adotou a ISO/IEC 27018 para os seus serviços cloud empresariais no âmbito, os clientes podem ter a certeza de que os seus dados nunca serão utilizados para essas finalidades sem consentimento explícito e que o consentimento não pode ser uma condição para a utilização do serviço cloud.
  • Os clientes da Microsoft sabem o que acontece com as PII deles. A ISO/IEC 27018 exige uma política que possibilite o retorno, a transferência e o descarte seguro de informações pessoais dentro de um período aceitável. Se a Microsoft trabalhar com outras empresas que precisem acessar seus dados de clientes, a Microsoft divulga as identidades desses subprocessadores de forma proativa.
  • A Microsoft cumprirá apenas as solicitações de divulgação de dados de clientes obrigatórias por lei. Se a Microsoft tiver de cumprir esse pedido (como no caso de uma investigação criminal), notificará sempre o cliente, a menos que seja proibido por lei de o fazer.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure, Azure Government e Azure Alemanha
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 e Dynamics 365 Germany
  • Intune
  • Microsoft Defender for Cloud Apps
  • Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.
  • Microsoft Graph
  • Bot do Microsoft Healthcare
  • Área de Trabalho Gerenciada da Microsoft
  • Especialistas em ameaças da Microsoft
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
  • Office 365 Alemanha
  • Mapa do serviço do OMS
  • Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do Power BI: como um serviço autônomo ou como incluído em um plano ou pacote da marca do Office 365
  • Power BI incorporado
  • Agentes virtuais do Power
  • Microsoft Defender para Ponto de Extremidade: Resposta e Detecção do Ponto de Extremidade, Investigação e Correção Automática, Classificação de Segurança
  • Windows 365

Azure, Dynamics 365 e ISO ISO/IEC 27018

Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços de conformidade do serviços online, consulte Oferta do SOC 27018 do Azure.

Office 365 e ISO ISO/IEC 27018

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Microsoft Entra ID, Serviço de Comunicações do Azure, Gestor de Conformidade, Sistema de Proteção de Clientes, Delve, Proteção do Exchange Online, Exchange Online, Formulários, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, suplemento Conformidade Avançada do Office 365, Portal do Cliente do Office 365, Microsserviços do Office 365 (incluindo, entre outros, o Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Serviço de Anotação de Consultas, Sincronização de Dados Escolares, Siphon, Voz, StaffHub, Programa de Aplicações eXtensible), Centro de Conformidade de & de Segurança do Office 365, Office Online, Office Pro Plus, Infraestrutura de Serviços do Office, OneDrive para Empresas, Planner, PowerApps, Power Automate, Power BI, Project Online, Encriptação de Serviço com a Chave de Cliente do Microsoft Purview, SharePoint Online, Skype para Empresas, Stream
GCC Microsoft Entra ID, Azure Communications Service, Gestor de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Suplemento de Conformidade Avançada do Office 365, Centro de Conformidade & de Segurança do Office 365, Office Online, Office Pro Plus, OneDrive para Empresas, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype para Empresas, Stream
GCC Alta Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, suplemento Conformidade Avançada do Office 365, Centro de Conformidade & de Segurança do Office 365, Office Online, Office Pro Plus, OneDrive para Empresas, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype para Empresas
DoD Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, suplemento Conformidade Avançada do Office 365, Centro de Conformidade & de Segurança do Office 365, Office Online, Office Pro Plus, OneDrive para Empresas, Planner, Power BI, SharePoint Online, Skype para Empresas

Auditorias, relatórios e certificados

Os serviços de suporte técnico comercial e de nuvem da Microsoft são auditados uma vez ao ano de acordo em relação ao código de conduta da ISO/IEC 27018 como parte do processo de certificação do ISO/IEC 27001.

Perguntas frequentes

A quem o ISO/IEC 27018 se aplica?

Este código de conduta aplica-se a CSPs que processam PII sob contratação de outras organizações. Na Microsoft, isso também se aplica ao suporte a esses CSPs.

Qual é a diferença entre ‘controladores de informações pessoais’ e ‘processadores de informações pessoais’?

No contexto da ISO/IEC 27018:

  • Os "controladores" controlam a recolha, a retenção, o processamento ou a utilização de informações pessoais; incluem as partes que a controlam em nome de outra empresa.
  • "Processadores" processam informações em nome dos controladores; não tomam decisões sobre como utilizar as informações ou os objetivos do processamento. Ao fornecer seus serviços de nuvem corporativa, a Microsoft (como fornecedor para você) é um processador de informações.

Onde posso ver as informações de conformidade da Microsoft com o ISO/IEC 27018?

  • Você pode examinar os certificados ISO/IEC 27018 da BSI (o auditor independente que validou a conformidade da Microsoft com ISO/IEC 27018) para o Office 365.

Posso usar a conformidade da Microsoft no processo de certificação de minha organização?

Sim. Se a conformidade com a ISO/IEC 27018 for importante para a sua empresa e as implementações forem realizadas em qualquer um dos serviços de nuvem empresarial no escopo da Microsoft, use o atestado de conformidade da Microsoft com a ISO/IEC 27018 com a certificação da Microsoft para ISO/IEC 27001 em sua avaliação de conformidade.

No entanto, é responsável por envolver um avaliador para avaliar a sua implementação quanto à conformidade e pelos controlos e processos na sua própria organização.

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal de conformidade do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos