Medidas de Segurança de Alto Nível do ENS (Esquema Nacional de Seguridad) da Espanha
Visão geral do ENS da Espanha
Em 2007, o governo espanhol promulgou a Lei 11/2007, que estabeleceu um sistema legal para que os cidadãos pudessem ter acesso eletrônico a serviços públicos e do governo. Esta lei é a base para o Esquema Nacional de Seguridad (National Security Framework), que é regido pelo atualizado Decreto Real (RD) 311/2022. O objetivo desse sistema é estabelecer a confiança no fornecimento de serviços eletrônicos e garantir o acesso, a integridade, a disponibilidade, a autenticidade, a confidencialidade, a possibilidade de rastreamento e a preservação de dados, informações e serviços.
O sistema é aplicado a todas as organizações públicas e agências governamentais da Espanha que compram serviços de nuvem, assim como aos provedores de ICT (Tecnologias de Informações e Comunicações). Ele orienta essas agências e empresas na implementação de controles eficazes de segurança localmente e na nuvem, de acordo com os padrões de segurança e privacidade da Espanha e da UE.
O sistema estabelece políticas centrais e requisitos obrigatórios que as agências governamentais e seus provedores de serviços devem observar. Define um conjunto de controles de segurança específicos, muitos dos quais estão diretamente alinhados com a ISO/IEC 27001, em relação à disponibilidade, autenticidade, integridade, confidencialidade e rastreamento. A confidencialidade das informações (níveis baixo, intermediário ou alto) determina as medidas de segurança que devem ser aplicadas para protegê-las.
É exigido que cada agência governamental adote uma abordagem de gerenciamento de riscos de segurança com a qual identifiquem e avaliem riscos e então apliquem os controles de segurança apropriados a esses riscos. Os provedores de serviços também devem atender aos rígidos requisitos do sistema para ajudar a garantir que seus procedimentos, funcionalidades técnicas e operações sejam seguros e permitam que as agências mantenham a conformidade com as regulamentações.
O sistema prescreve um processo de credenciamento que é voluntário para sistemas que manuseiam informações de baixo nível de confidencialidade, mas obrigatório para sistemas que manuseiam informações de nível intermediário ou alto de confidencialidade. Um auditor independente credenciado realiza uma auditoria. O relatório é então revisado em um processo de certificação antes que os controles de gerenciamento de riscos sejam aceitos na etapa final do credenciamento.
Medidas de segurança de alto nível do ENS da Espanha e da Microsoft
O Microsoft Azure e o Microsoft Office 365 passaram por uma avaliação rigorosa pela BDO, um auditor independente que emitiu uma declaração oficial de conformidade. A BDO relata que as medidas de segurança em ambos os serviços e em seus sistemas de informação e instalações de processamento de dados mantêm um alto nível de conformidade com o DR 3/2010 sem a necessidade de medidas corretivas. A Microsoft foi o primeiro provedor de serviços de nuvem em hiperescala a receber essa certificação na Espanha.
Plataformas e serviços de nuvem no escopo da Microsoft
- Azure
- Microsoft 365 & Microsoft 365 for Education
- Dynamics 365
Microsoft 365 e ENS High
Ambientes do Microsoft 365 (Office 365)
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Microsoft 365 & microsoft 365 for Education applicability and in-scope services (Aplicabilidade do Microsoft 365 & Microsoft 365 for Education e serviços no âmbito)
Utilize a tabela seguinte para determinar a aplicabilidade dos serviços e subscrições do Microsoft 365 e do Microsoft 365 for Education:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Microsoft Viva (inclui Connections, Informações, Aprendizagem e Engage), Microsoft 365 (inclui Word, Excel, PowerPoint, Outlook, Sharepoint, Exchange, OneNote, OneDrive, Microsoft Planner, Sway, Whiteboard, Delve, Microsoft Forms, Microsoft To Do e Windows), Microsoft Purview (inclui Auditoria, Proteção Adaptativa, Conformidade de Comunicações, Deteção de Dados Eletrónicos, Gestor de Conformidade, Proteção de Informações, Gestão do Ciclo de Vida de Dados, Gestão de Riscos Internos, Prevenção de Perda de Dados e Governação unificada de dados, também conhecido como Azure Purview), Microsoft Teams (inclui Conferências de Áudio e Sistema telefónico), Microsoft Outlook Web App, Microsoft Outlook Mobile, Microsoft Copilot para Microsoft 365, Copilot no Windows Microsoft Copilot com proteção de dados comerciais, Microsoft Exchange Online Protection, Microsoft Defender XDR (inclui Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Identidade e Microsoft Defender para Office 365 e Microsoft Defender para Aplicativos de Nuvem), Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Identidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem Microsoft Intune |
Dynamics 365 e ENS High
Dynamics 365 aplicabilidade e serviços no âmbito
Utilize a tabela seguinte para determinar a aplicabilidade dos serviços e subscrições do Dynamics 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Copilot Studio, Dynamics 365 Sales, Dynamics 365 Customer Insights Journey, Dynamics 365 Customer Insights Data, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Business Central, Dynamics 365 Customer Service (inclui Omnichannel), Dynamics 365 Field Service (inclui Assistência Remota), Dynamics 365 Recursos Humanos, Dynamics 365 Project Operations, Dynamics 365 Commerce, Dynamics 365 Fraud Protection, Dynamics 365 Customer Voice, Power Platform (inclui Power BI, Power Apps, Power Automate e Power Pages), Copilot in Power Platform (inclui Copilot for Power Apps, Copilot for Power Automate, Copilot for Power Pages e Copilot for Power BI), Copilot para Vendas, Copilot para Serviços, Copilot para Finanças, Copilot for Dynamics 365 |
Microsoft Azure e ENS High
Aplicabilidade do Azure e serviços no âmbito
Utilize a tabela seguinte para determinar a aplicabilidade dos serviços e da subscrição do Azure:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Computação Confidencial do Azure, Microsoft Entra (inclui Entra ID, Entra ID Governance, Entra ID externa, Entra Domain Services, Entra ID verificada, Entra Gerenciamento de Permissões, Entra ID de carga de trabalho, Entra Internet Access y Entra Private Access), Azure Site Recovery, Azure Rede Virtual, Azure ExpressRoute, Azure Load Balancer, Backup do Azure, Serviços de IA do Azure (inclui o Azure OpenAI, Azure Cognitive Search, Visão de IA do Azure, Visão Personalizada de IA do Azure, Linguagem de IA do Azure, Voz do Azure AI, Azure AI Translator, Azure AI Document Intelligence, Serviço de Bot de IA do Azure, Áudio & Vídeo do Azure AI, Detector de Anomalias do Azure AI, Segurança de Conteúdo de IA do Azure, Personalizador de IA do Azure, Assistente de Métricas do Azure AI Leitura Avançada), Estúdio de IA do Azure (inclui o Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Language Studio, Azure Speech Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio y Azure Content Safety Studio), Copilot for Azure, SQL do Azure, Azure Cosmos DB, SQL do Azure Database, Banco de Dados do Azure para PostgreSQL, Instância Gerenciada de SQL do Azure, Banco de Dados do Azure para MySQL, Cache do Azure para Redis, Banco de Dados do Azure para MariaDB, Armazenamento do Azure (inclui Blob, Arquivo, Disco, Data Box de Ficheiros), Azure Synapse Analytics |
| Azure Databricks, Azure Data Factory, Azure HDInsight, Azure Analysis Services, Azure Data Lake, Azure Data Lake Analytics, Microsoft Fabric, Fabric Copilot, Power BI Embedded, Azure DevOps, Hub IoT do Azure, Hubs de Eventos do Azure, Azure Log Analytics, Azure Monitor, Azure Key Vault (inclui Standard, Premium y Managed HSM), Microsoft Sentinel, Microsoft Copilot para Segurança, Microsoft Defender para IoT, Microsoft Defender para Cloud, Microsoft Defender gerenciamento da postura de segurança na nuvem, Gerenciamento da Superfície de Ataque Externo do Microsoft Defender (GSAE), Azure DDOS Protection, Firewall do Azure, Firewall do Azure Manager, Azure Firewall de Aplicativo Web, Gateway de Aplicativo do Azure, Gateway de VPN do Azure, Azure Bastion, Máquinas Virtuais do Azure, Serviço de Kubernetes do Azure, Instâncias de Contêiner do Azure, Registro de Contêiner do Azure, Azure Containers Apps, Serviço de Aplicativo do Azure, Azure Aplicativos Web, Azure Logic Apps, Azure Gerenciamento de API, Barramento de Serviço do Azure, Grade de Eventos do Azure, Azure VMWare Solution, Azure Virtual Desktop (AVD), Azure Arc Azure NetApp Files |
Auditorias, relatórios e certificados
A certificação é válida por dois anos, com uma auditoria de supervisão anual.
Azure
- Certificado do Azure National Security Framework (ENS) (espanhol)
- Relatório de Auditoria do Azure National Security Framework (ENS) (Espanhol)
Microsoft 365 e Microsoft 365 para Educação
- Certificado do Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) (espanhol)
- Relatório de Auditoria do Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) (Espanhol)
Dynamics 365
- Certificado do Dynamics 365 National Security Framework (ENS) (espanhol)
- Dynamics 365 Relatório de Auditoria do National Security Framework (ENS) (Espanhol)
Perguntas frequentes
Como posso obter cópias dos relatórios de auditoria e das certificações?
O Portal de Confiança do Serviço fornece as certificações e os relatórios de auditoria em espanhol e em inglês. Seus auditores podem usá-los para comparar os resultados dos serviços da nuvem da Microsoft com seus próprios requisitos legais e regulatórios.
Por onde começo a iniciativa de conformidade em minha empresa?
Se a sua empresa usa o Azure ou o Office 365, você pode utilizar os relatórios de auditoria e a certificação da Microsoft como parte de seu processo de certificação. Contudo, você é responsável por contratar um auditor para avaliar a conformidade de sua implementação e por garantir que os controles e processos dentro de sua empresa estejam alinhados com o sistema.
Recursos
- Esquema Nacional de Seguridad da Espanha (em espanhol e inglês)
- Termos de Serviços Online da Microsoft
- Conformidade na Central de Confiabilidade da Microsoft