Ato Gramm-Leach-Bliley (GLBA)

Visão geral do GLBA

A Lei Gramm-Leach-Bliley (GLBA) é uma lei dos EUA que reformou o setor de serviços financeiros, permitindo que bancos comerciais e de investimento, empresas de valores mobiliários e companhias de seguros se consolidassem e abordassem preocupações sobre a proteção da privacidade dos consumidores. Exigiu que a Comissão Federal de Comércio (FTC) e outros reguladores de serviços financeiros implementassem regulamentos para abordar disposições de privacidade como a Regra de Privacidade Financeira e a Regra de Salvaguardas. Os requisitos do GLBA para proteger dados confidenciais do consumidor se aplicam a instituições financeiras que oferecem produtos e serviços financeiros aos consumidores, como empréstimos, consultoria de investimento e seguros. A FTC é acusada de impor a conformidade.

Microsoft e GLBA

Microsoft Azure, Microsoft Office 365, Dynamics 365 e Microsoft Power BI podem ajudar a atender aos requisitos rigorosos de fornecimento de serviços de nuvem para instituições de serviços financeiros. Como parte de nosso suporte, oferecemos diretrizes para ajudá-lo a cumprir os requisitos do GLBA fornecendo proteções técnicas e organizacionais para ajudar a manter a segurança e impedir o uso não autorizado.

A Microsoft desenvolveu ferramentas de avaliação de risco para o Azure e Office 365 para ajudá-lo a conduzir com mais eficiência uma avaliação de risco dos serviços do Azure e Office 365. A ferramenta (uma planilha do Excel) apresenta vários domínios de segurança da informação (como política de segurança e gerenciamento de riscos) que acompanham os requisitos de regulamentos de serviços financeiros e outros padrões relevantes, incluindo GLBA (na Coluna R na planilha do Azure e na Coluna Q na planilha Office 365). As ferramentas explicam como o Azure e o Office 365 cumprem cada requisito aplicável aos provedores de serviços de nuvem e podem ajudá-lo a atender aos requisitos de segurança do GLBA.

Promover sua conformidade com o GLBA

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure
  • Dynamics 365
  • Intune
  • Office 365, Office 365 governo dos EUA
  • Serviço de nuvem do Power BI (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365)

Azure, Dynamics 365 e GLBA

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta do Azure GLBA.

Office 365 e GLBA

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Microsoft Entra ID, Azure Proteção de Informações, Bookings, Compliance Manager, Delve, Exchange Online, Proteção do Exchange Online, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Conformidade Avançada do Office 365 suplemento, Office 365 Cloud App Security, Office 365 Grupos, Office 365 Centro de Conformidade & segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365 Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Perguntas frequentes

Como fazer sabe se minha instituição financeira deve cumprir a Lei GLB?

A FTC responde a essa pergunta em detalhes em sua página do GLB Act, Quem é coberto pela regra de privacidade?

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos

Outros recursos da Microsoft para serviços financeiros