ISO/IEC 27701:2019: Gerenciamento de informações de privacidade

Visão geral iso/IEC 27701:2019

O ISO/IEC 27701:2019 foi criado para complementar os padrões ISO/IEC 27001 e ISO/IEC 27002 amplamente utilizados para gerenciamento de segurança de informações. Ele especifica os requisitos e fornece diretrizes para um PIMS (Sistema de Gerenciamento de Informações de Privacidade), tornando a implementação do PIMS uma adição de conformidade útil para as muitas organizações que dependem do ISO/IEC 27001, além de criar um forte ponto de integração para alinhar controles de segurança e privacidade. O ISO/IEC 27701 realiza essa integração por meio de uma estrutura para gerenciar dados pessoais que podem ser usados por controladores de dados e processadores de dados, uma distinção fundamental para a conformidade do GDPR (Regulamento Geral de Proteção de Dados).

Além disso, qualquer auditoria ISO/IEC 27701 exige que a organização declare leis/regulamentos aplicáveis em seus critérios para a auditoria, o que significa que o padrão pode ser mapeado para muitos dos requisitos sob GDPR, Lei de Privacidade do Consumidor da Califórnia (CCPA) ou outras leis. Depois de mapeados, os controles operacionais ISO/IEC 27701 são implementados por profissionais de privacidade. Um terceiro interno ou externo, que é credenciado para avaliar, avalia a conformidade da organização com os requisitos do padrão e emite um certificado nesse sentido. Essa estrutura universal permite que as organizações implementem com eficiência a conformidade com novos requisitos regulatórios. A Microsoft patrocina o Projeto de Mapeamento de Proteção de Dados de código aberto para trazer uma compreensão comum da relação entre ISO/IEC 27701 e várias regulamentações de proteção de dados.

Plataformas e serviços em nuvem no escopo da Microsoft

Os serviços online da Microsoft no escopo são mostrados no certificado ISO/IEC 27701 do Azure:

  • Azure (para obter informações detalhadas, consulte a oferta do Azure ISO/IEC 27701)
  • Dynamics 365 (para obter informações detalhadas, consulte a oferta do Azure ISO/IEC 27701)
  • Microsoft Defender XDR (não no escopo de Azure Governamental)
  • Microsoft Bing para Comércio (não no escopo de Azure Governamental)
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Graph
  • Microsoft Intune
  • Área de Trabalho Gerenciada da Microsoft (não está no escopo para Azure Governamental)
  • Microsoft Stream
  • Especialistas em Ameaças da Microsoft (não no escopo Azure Governamental)
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power BI incorporado
  • Power Virtual Agents (não está no escopo para Azure Governamental)
  • Impressão Universal (não no escopo de Azure Governamental)
  • Windows 365

Azure, Dynamics 365 e ISO 27701

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta iso 27701:2019 do Azure.

Office 365 e ISO 27001

ambientes Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Esta seção aborda os seguintes ambientes de Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Microsoft Entra ID, Serviço de Comunicações do Azure, Gerenciador de Conformidade, Caixa de Bloqueio do Cliente, Delve, Proteção do Exchange Online, Exchange Online, Formulários, Griffin, Identity Manager, Caixa de Bloqueio (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento, Office 365 Customer Portal, Office 365 Microsserviços (incluindo, mas não se limitando a Kaizala, ObjectStore, Sway, Serviço de Documentos do PowerPoint Online, Serviço de Anotação de Consulta, Sincronização de Dados Escolares, Siphon, Fala, StaffHub, Programa de Aplicativos eXtensíveis), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Infraestrutura de Serviços do Office, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Criptografia de Serviço com a Chave do Cliente do Microsoft Purview, SharePoint Online, Skype for Business, Stream
GCC Microsoft Entra ID, Serviço de Comunicações do Azure, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 add-on, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Alta Microsoft Entra ID, Serviço de Comunicações do Azure, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Microsoft Entra ID, Serviço de Comunicações do Azure, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Auditorias Office 365, relatórios e certificados

Os serviços de suporte técnico comercial e de nuvem da Microsoft são auditados uma vez por ano para o processo de certificação do ISO/IEC 27701.

Perguntas frequentes

Como o ISO/IEC 27701 ajuda na evolução dos requisitos regulatórios?

O ISO/IEC 27701 inclui um anexo que contém os controles operacionais do padrão que é mapeado em relação aos requisitos relevantes na GDPR para controladores e processadores. Esse mapeamento é apenas um exemplo de como as regulamentações de privacidade podem ser implementadas em relação à estrutura ISO. Conforme os mapeamentos adicionais com outras regulamentações tornarem-se disponíveis e forem validados, os controles operacionais do padrão poderão ser transferidos diretamente da análise regulatória para a implementação. Essa estrutura universal permite que as organizações implementem de forma confiável os requisitos regulatórios relevantes.

Como o ISO/IEC 27701 ajuda nos custos de auditoria?

Conforme mais regulamentações entram em vigor em várias jurisdições, a pressão para fornecer evidências de conformidade também aumentará. No entanto, os custos de certificações regulatórias distintas tornam-se inviáveis se cada regulamentação necessitar uma auditoria exclusiva. Ao descrever um conjunto de controles operacionais universais, o ISO/IEC 27701 também descreve uma estrutura de conformidade universal para auditoria e potencialmente certificação para vários requisitos regulatórios.

É importante reconhecer que o estabelecimento de uma certificação oficial do GDPR requer a aprovação dos reguladores europeus. Embora o alinhamento entre ISO/IEC 27701 e GDPR seja evidente, uma certificação ISO/IEC 27701 não deve ser tomada como evidência de conformidade do GDPR ou certificação oficial do GDPR até que as decisões regulatórias sejam finalizadas.

Como o ISO/IEC 27701 ajuda com contratos comerciais envolvendo PII?

Acordos comerciais envolvendo a movimentação de informações pessoais podem justificar a certificação de conformidade. As organizações modernas envolvem transferências completas de dados com uma ampla rede de parceiros de negócios, incluindo organizações de parceiros ou controladores conjuntos, processadores como provedores de nuvem e subprocessadores, como fornecedores que oferecem suporte a esses mesmos processadores. Se você não estiver em conformidade com as regulamentações em qualquer parte desta rede, isso pode gerar problemas de conformidade em cascata na cadeia de fornecimento. Esse é o local onde a verificação de conformidade pode ser valiosa além da garantia oferecida pelos termos contratuais entre essas organizações. Como a economia global determina que a maioria dessas organizações esteja espalhada pelo mundo, é prático usar um padrão internacional do ISO para gerenciar a conformidade em toda a rede.

Essa dependência na conformidade aumenta a importância da certificação para o padrão. Embora nem todas as empresas e organizações precisem obter essa certificação, a maioria se beneficiará de parceiros e fornecedores que o fazem, especialmente quando estão envolvidos volumes sensíveis ou altos de processamento de dados.

Como o ISO/IEC 27701 se relaciona com ISO/IEC 27001?

O ISO/IEC 27701 é criado com base no ISO/IEC 27001, um dos padrões internacionais mais amplamente adotados para o gerenciamento de segurança da informação. Se sua organização já estiver familiarizada com o ISO/IEC 27001, é lógico e mais eficiente integrar os novos controles de privacidade fornecidos pelo ISO/IEC 27701. Essa abordagem significa que a implementação e a auditoria de ambos serão menos caras e mais fáceis de alcançar. Principais pontos de ISO/IEC 27701 e ISO/IEC 27001:

  • O ISO/IEC 27001 é um dos padrões ISO mais usados do mundo.
  • O ISO/IEC 27701 inclui novos controles específicos do controlador e do processador que ajudam a preencher a lacuna entre privacidade e segurança. Ele fornece um ponto de integração entre o que pode ser duas funções separadas nas organizações.
  • Privacidade depende da segurança. Da mesma forma, ISO/IEC 27701 depende do ISO/IEC 27001 para o gerenciamento de segurança. A certificação para ISO/IEC 27701 deve ser obtida como uma extensão de uma certificação ISO/IEC 27001 e não pode ser obtida de forma independente.

O que sua organização deve fazer com o ISO/IEC 27701?

Não importa o tamanho da sua organização e se ela é um controlador ou um processador, sua organização deve considerar buscar a certificação, seja para sua própria organização ou solicitá-la de fornecedores ou fornecedores com base em seus requisitos comerciais. Essa situação se aplica especialmente a processadores, subprocessadores e co-controladores que estão processando volumes confidenciais ou altos de dados pessoais. Sua organização deve avaliar suas necessidades de negócios para determinar se a certificação para seus próprios produtos e serviços é adequada.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos