Medidas de Segurança de Alto Nível do ENS (Esquema Nacional de Seguridad) da Espanha
Visão geral do ENS da Espanha
Em 2007, o governo espanhol promulgou a Lei 11/2007, que estabeleceu um sistema legal para que os cidadãos pudessem ter acesso eletrônico a serviços públicos e do governo. Essa lei é a base para o Esquema Nacional de Seguridad (National Security Framework), que é regido pelo Decreto Real atualizado (RD) 311/2022. O objetivo desse sistema é estabelecer a confiança no fornecimento de serviços eletrônicos e garantir o acesso, a integridade, a disponibilidade, a autenticidade, a confidencialidade, a possibilidade de rastreamento e a preservação de dados, informações e serviços.
O sistema é aplicado a todas as organizações públicas e agências governamentais da Espanha que compram serviços de nuvem, assim como aos provedores de ICT (Tecnologias de Informações e Comunicações). Ele orienta essas agências e empresas na implementação de controles eficazes de segurança localmente e na nuvem, de acordo com os padrões de segurança e privacidade da Espanha e da UE.
O sistema estabelece políticas centrais e requisitos obrigatórios que as agências governamentais e seus provedores de serviços devem observar. Define um conjunto de controles de segurança específicos, muitos dos quais estão diretamente alinhados com a ISO/IEC 27001, em relação à disponibilidade, autenticidade, integridade, confidencialidade e rastreamento. A confidencialidade das informações (níveis baixo, intermediário ou alto) determina as medidas de segurança que devem ser aplicadas para protegê-las.
É exigido que cada agência governamental adote uma abordagem de gerenciamento de riscos de segurança com a qual identifiquem e avaliem riscos e então apliquem os controles de segurança apropriados a esses riscos. Os provedores de serviços também devem atender aos rígidos requisitos do sistema para ajudar a garantir que seus procedimentos, funcionalidades técnicas e operações sejam seguros e permitam que as agências mantenham a conformidade com as regulamentações.
O sistema prescreve um processo de credenciamento que é voluntário para sistemas que manuseiam informações de baixo nível de confidencialidade, mas obrigatório para sistemas que manuseiam informações de nível intermediário ou alto de confidencialidade. Um auditor independente credenciado realiza uma auditoria. O relatório é então revisado em um processo de certificação antes que os controles de gerenciamento de riscos sejam aceitos na etapa final do credenciamento.
Medidas de segurança de alto nível do ENS da Espanha e da Microsoft
O Microsoft Azure e o Microsoft Office 365 passaram por uma avaliação rigorosa pela BDO, um auditor independente que emitiu uma declaração oficial de conformidade. A BDO relata que as medidas de segurança em ambos os serviços e em seus sistemas de informação e instalações de processamento de dados mantêm um alto nível de conformidade com o DR 3/2010 sem a necessidade de medidas corretivas. A Microsoft foi o primeiro provedor de serviços de nuvem em hiperescala a receber essa certificação na Espanha.
Plataformas e serviços de nuvem no escopo da Microsoft
- Azure
- Microsoft 365 & Microsoft 365 for Education
- Dynamics 365
Microsoft 365 e ENS High
Ambientes do Microsoft 365 (Office 365)
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Microsoft 365 & Microsoft 365 for Education aplicabilidade e serviços no escopo
Use a tabela a seguir para determinar a aplicabilidade para sua assinatura e serviços de Educação do Microsoft 365 e do Microsoft 365 para Educação:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Microsoft Viva (inclui Connections, Insights, Learning e Engage), Microsoft 365 (inclui Word, Excel, PowerPoint, Outlook, Sharepoint, Exchange, OneNote, OneDrive, Microsoft Planner, Sway, Whiteboard, Delve, Microsoft Forms, Microsoft To Do e Windows), Microsoft Purview (inclui Auditoria, Proteção Adaptativa, Conformidade de Comunicação, eDiscovery, Gerenciador de Conformidade, Proteção de Informações, Gerenciamento de Ciclo de Vida de Dados, Gerenciamento de Riscos Internos, Prevenção de Perda de Dados e Governança Unificada de Dados, também conhecido como Azure Purview), Microsoft Teams (inclui Audio Conferencing e Phone System), Microsoft Outlook Web App, Microsoft Outlook Mobile, Microsoft Copilot para Microsoft 365, Copilot no Windows, Microsoft Copilot com proteção de dados comerciais, Microsoft Exchange Online Protection, Microsoft Defender XDR (inclui Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Identidade e Microsoft Defender para Office 365 e Microsoft Defender para Aplicativos de Nuvem), Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Identidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem, Microsoft Intune |
Dynamics 365 e ENS High
Dynamics 365 a aplicabilidade e os serviços no escopo
Use a tabela a seguir para determinar a aplicabilidade de seus serviços e assinatura de Dynamics 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Copilot Studio, Dynamics 365 Sales, Dynamics 365 Customer Insights Journey, Dynamics 365 Customer Insights Data, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Business Central, Dynamics 365 Customer Service (inclui Omnichannel), Dynamics 365 Field Service (inclui Assistência Remota), Dynamics 365 Recursos Humanos, Dynamics 365 Operações de Projeto, Dynamics 365 Commerce, Dynamics 365 Fraud Protection, Dynamics 365 Customer Voice, Power Platform (inclui Power BI, Power Apps, Power Automate e Power Pages), Copilot no Power Platform (inclui Copilot for Power Apps, Copilot for Power Automate, Copilot for Power Pages e Copilot para Power BI), Copilot for Sales, Copilot for Service, Copilot para Finanças, Copilot for Dynamics 365 |
Microsoft Azure e ENS High
Aplicabilidade e serviços no escopo do Azure
Use a tabela a seguir para determinar a aplicabilidade para seus serviços e assinatura do Azure:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Computação Confidencial do Azure, Microsoft Entra (inclui ID de Entra, Governança da ID de Entra, ID externa entra, entra Domain Services, ID verificada entra, gerenciamento de permissões de entra, Entra ID de carga de trabalho, Entra Internet Access y Entra Private Access), Azure Site Recovery, Azure Rede Virtual, Azure ExpressRoute, Azure Load Balancer, Backup do Azure, Serviços de IA do Azure (inclui Azure OpenAI, Azure Cognitive Search, Azure AI Vision, Azure AI Visão Personalizada, Azure AI Language, Azure AI Speech, Azure AI Translator, Azure AI Document Intelligence, Azure AI Serviço de Bot, Azure AI Audio & Video, Azure AI Detector de Anomalias, Segurança de Conteúdo de IA do Azure, Azure AI Personalizer, Azure AI Metrics Advisor y Azure AI Leitura Avançada), Estúdio de IA do Azure (inclui Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio y Azure Content Safety Studio), Copilot para Azure, SQL do Azure, Azure Cosmos DB, banco de dados SQL do Azure, Banco de Dados do Azure para PostgreSQL, Instância Gerenciada de SQL do Azure, Banco de Dados do Azure para MySQL, Cache do Azure para Redis, Banco de Dados do Azure para MariaDB, Armazenamento do Azure (inclui Blob, Archive, Disk, File y Data Box), Azure Synapse Analytics |
| Azure Databricks, Azure Data Factory, Azure HDInsight, Azure Analysis Services, Azure Data Lake, Azure Data Lake Analytics, Microsoft Fabric, Fabric Copilot, Power BI Embedded, Azure DevOps, Hub IoT do Azure, Hubs de Eventos do Azure, Azure Log Analytics, Azure Monitor, Azure Key Vault (inclui Standard, Premium y Managed HSM), Microsoft Sentinel, Microsoft Copilot para Segurança, Microsoft Defender para IoT, Microsoft Defender for Cloud, Microsoft Defender gerenciamento da postura de segurança na nuvem, Gerenciamento da Superfície de Ataque Externo do Microsoft Defender (EASM), Azure DDOS Protection, Firewall do Azure, Firewall do Azure Manager, Azure Firewall de Aplicativo Web, Gateway de Aplicativo do Azure, Azure Gateway de VPN, Azure Bastion, Azure Máquinas Virtuais, Serviço de Kubernetes do Azure, Instâncias de Contêiner do Azure, Registro de Contêiner do Azure, Aplicativos de Contêineres do Azure, Serviço de Aplicativo do Azure, Aplicativos Web do Azure, Aplicativos Lógicos do Azure, Azure Gerenciamento de API, Barramento de Serviço do Azure, Grade de Eventos do Azure, Solução VMWare do Azure, AVD (Área de Trabalho Virtual do Azure), Azure Arc |
Auditorias, relatórios e certificados
A certificação é válida por dois anos, com uma auditoria de supervisão anual.
Azure
- Certificado ENS (National Security Framework) do Azure (espanhol)
- Relatório de Auditoria do ENS (National Security Framework) do Azure (espanhol)
Microsoft 365 e Microsoft 365 for Education
- Microsoft 365 & Certificado ENS (Microsoft 365 for Education National Security Framework) (espanhol)
- Relatório de Auditoria do Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) (espanhol)
Dynamics 365
- certificado ENS (National Security Framework) Dynamics 365 (espanhol)
- Dynamics 365 Relatório de Auditoria do ENS (National Security Framework) (espanhol)
Perguntas frequentes
Como posso obter cópias dos relatórios de auditoria e das certificações?
O Portal de Confiança do Serviço fornece as certificações e os relatórios de auditoria em espanhol e em inglês. Seus auditores podem usá-los para comparar os resultados dos serviços da nuvem da Microsoft com seus próprios requisitos legais e regulatórios.
Por onde começo a iniciativa de conformidade em minha empresa?
Se a sua empresa usa o Azure ou o Office 365, você pode utilizar os relatórios de auditoria e a certificação da Microsoft como parte de seu processo de certificação. Contudo, você é responsável por contratar um auditor para avaliar a conformidade de sua implementação e por garantir que os controles e processos dentro de sua empresa estejam alinhados com o sistema.
Recursos
- Esquema Nacional de Seguridad da Espanha (em espanhol e inglês)
- Termos de Serviços Online da Microsoft
- Conformidade na Central de Confiabilidade da Microsoft