Padrão MTCS (Multi-Tier Cloud Security) para Singapura
Visão geral do MTCS
O Padrão MTCS (Multi-Tier Cloud Security) para Singapura foi elaborado sob o direcionamento do ITSC (Information Technology Standards Committee) da IDA (Infocomm Development Authority of Singapore). O ITSC promove e apoia programas nacionais de padronização de TI e comunicações, e a participação de Singapura em atividades internacionais de padronização.
A finalidade do MTCS é fornecer:
- Um padrão comum que os CSPs (provedores de serviços de nuvem) possam aplicar para lidar com preocupações comuns dos clientes a respeito da segurança e confidencialidade dos dados na nuvem e do impacto do uso de serviços de nuvem sobre os negócios.
- Transparência operacional confirmável e visibilidade dos riscos para o cliente ao usar serviços de nuvem.
O MTCS baseia-se em padrões internacionais reconhecidos, como a ISO/IEC 27001, e aborda áreas como retenção de dados, soberania de dados, portabilidade de dados, responsabilidade, disponibilidade, continuidade dos negócios, recuperação de desastre e gerenciamento de incidentes. Também inclui um mecanismo para que os clientes possam comparar e classificar os recursos dos CSPs em relação a um conjunto mínimo de requisitos de segurança de linha de base.
O MTCS é o primeiro padrão de segurança de nuvem com diferentes níveis de segurança, de forma que os CSPs podem especificar os níveis que oferecem. O MTCS inclui um total de 535 controles, que abordam a segurança básica no Nível 1, controles mais rígidos de governança e locação no Nível 2, e confiabilidade e resiliência para sistemas de informações de alto impacto no Nível 3.
Microsoft e MTCS
Depois de avaliações rigorosas realizadas pelo MTCS Certification Body, os serviços de nuvem da Microsoft receberam a certificação MTCS 584:2013 em todas as três classificações de serviços: IaaS (Infraestrutura como Serviço), PaaS (Plataforma como Serviço) e SaaS (Software como Serviço). A Microsoft foi a primeira CSP global a receber essa certificação em todas as três classificações.
As certificações foram concedidas no Nível 3 para os serviços do Azure (IaaS e PaaS), Serviços do Microsoft Dynamics 365 (SaaS) e Serviços do Microsoft Office 365 (SaaS). Uma certificação Nível 3 significa que os serviços de nuvem no escopo da Microsoft podem hospedar dados de alto impacto para organizações regulamentadas seguindo os requisitos de segurança mais rigorosos. Ela é exigida pelo governo de Singapura para determinadas implementações de soluções em nuvem.
Plataformas e serviços de nuvem no escopo da Microsoft
- Azure
- Serviços online do Dynamics 365 (Business Central, Comércio, Atendimento ao Cliente, Serviço de Campo, Finanças, Proteção contra Fraudes, Marketing, Vendas, Gerenciamento da Cadeia de Fornecimento)
- Genomics
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Graph
- Bot do Microsoft Healthcare
- Office 365
- Mapa do serviço do OMS
- PowerApps
- Power BI
Office 365 e MTCS
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Delve, Exchange Online, Proteção do Exchange Online Loki, Microsoft Teams, Portal do Cliente do Office 365, Office Online, Serviço de Infraestrutura do Office, SharePoint Online, Skype for Business |
Auditorias, relatórios e certificados
A certificação é válida por três anos, com auditoria de supervisão anual.
Certificação Microsoft MTCS
Divulgação do provedor de serviços de nuvem do Microsoft MTCS
Perguntas frequentes
A quem esse padrão se aplica?
Aplica-se a empresas em Singapura que adquirirem serviços de nuvem que exigem conformidade com o padrão MTCS.
Quais são as diferenças entre os níveis de segurança do MTCS?
O MTCS tem um total de 535 controles que abrangem três níveis de segurança:
- O Nível 1, de baixo custo, conta com um número mínimo de controles de segurança de linha de base exigidos. É apropriado para hospedagem de sites, trabalhos de desenvolvimento e testes, simulação e aplicativos de negócios não críticos.
- O Nível 2 atende às necessidades da maioria das organizações preocupadas com a segurança de dados, com um conjunto de controles mais rigorosos direcionados aos riscos e ameaças de segurança dos dados. O Nível 2 aplica-se à maior parte do uso da nuvem, incluindo aplicativos de negócios críticos.
- O Nível 3 foi criado para organizações regulamentadas com requisitos específicos e que estão dispostas a pagar por requisitos de segurança mais rígidos. O Nível 3 adiciona um conjunto de controles de segurança que complementam os dos Níveis 1 e 2. Eles tratam dos riscos e ameaças à segurança em sistemas de informações de alto impacto que usam serviços de nuvem, como aplicativos de hospedagem com informações confidenciais e em sistemas regulamentados.
Por onde começo a iniciativa de conformidade em minha empresa?
O MTCS Certification Scheme fornece orientações sobre controles de auditoria e requisitos de segurança.
Posso usar a conformidade da Microsoft no processo de certificação de minha organização?
Sim. Se houver uma requisição para certificar seus serviços baseados nesses serviços de nuvem da Microsoft, use a certificação MTCS para reduzir o impacto da auditoria de sua infraestrutura de TI até o limite em que ela depende deles. Contudo, você é responsável por contratar um avaliador para analisar a conformidade de sua implementação e pelos controles e processos dentro de sua organização.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.