Código de Conduta ISO/IEC 27018 para Proteção de Dados Pessoais na NuvemISO/IEC 27018 Code of Practice for Protecting Personal Data in the Cloud

Visão geral da ISO/IEC 27018ISO/IEC 27018 overview

A ISO (International Organization for Standardization) é uma organização não governamental independente e o maior desenvolvedor de padrões internacionais voluntários do mundo.The International Organization for Standardization (ISO) is an independent nongovernmental organization and the world's largest developer of voluntary international standards. A família de padrões ISO/IEC 27000 ajuda organizações de todos os tipos e tamanhos a manter seguros seus ativos de informações.The ISO/IEC 27000 family of standards helps organizations of every type and size keep information assets secure.

Em 2014, a ISO adotou a ISO/IEC 27018:2014, um adendo à ISO/IEC 27001, o primeiro código de conduta internacional relacionado à privacidade na nuvem.In 2014, the ISO adopted ISO/IEC 27018:2014, an addendum to ISO/IEC 27001, the first international code of practice for cloud privacy. Baseada nas leis de proteção de dados da UE, ela fornece orientações específicas para CSPs (provedores de serviços de nuvem) que atuam como processadores de PII (informações de identificação pessoal) avaliarem os riscos e implementarem controles avançados para a proteção de PII.Based on EU data-protection laws, it gives specific guidance to cloud service providers (CSPs) acting as processors of personally identifiable information (PII) on assessing risks and implementing state-of-the-art controls for protecting PII.

Microsoft e ISO/IEC 27018Microsoft and ISO/IEC 27018

Pelo menos uma vez por ano, o Microsoft Azure e o Azure Alemanha são auditados em relação à conformidade com a ISO/IEC 27001 e ISO/IEC 27018 por um corpo de certificação terceirizado credenciado, fornecendo uma validação independente de que os controles de segurança pertinentes estão disponíveis e operando com eficácia.At least once a year, Microsoft Azure and Azure Germany are audited for compliance with ISO/IEC 27001 and ISO/IEC 27018 by an accredited third-party certification body, providing independent validation that applicable security controls are in place and operating effectively. Como parte desse processo de verificação de conformidade, os auditores confirmaram em sua declaração de aplicabilidade que os serviços de suporte técnico comercial e os serviços de nuvem no escopo da Microsoft incorporaram os controles da ISO/IEC 27018 para proteção da PII no Azure.As part of this compliance verification process, the auditors validate in their statement of applicability that Microsoft in-scope cloud services and commercial technical support services have incorporated ISO/IEC 27018 controls for the protection of PII in Azure. Para continuar compatíveis, os serviços de nuvem da Microsoft devem passar por reavaliações anuais de terceiros.To remain compliant, Microsoft cloud services must be subject to annual third-party reviews.

Seguindo os padrões da ISO/IEC 27001 e o código de prática incorporado na ISO/IEC 27018, a Microsoft (o primeiro grande provedor de nuvem a incorporar esse código de prática) demonstra que suas políticas e procedimentos de privacidade são robustos e alinhados com seus padrões elevados.By following the standards of ISO/IEC 27001 and the code of practice embodied in ISO/IEC 27018, Microsoft (the first major cloud provider to incorporate this code of practice) demonstrates that its privacy policies and procedures are robust and in line with its high standards.

  • Os clientes dos serviços de nuvem da Microsoft sabem onde os dados deles são armazenados.Customers of Microsoft cloud services know where their data is stored. Como a ISO/IEC 27018 exige que os CSPs certificados informem aos clientes sobre os países nos quais seus dados podem ser armazenados, os clientes dos serviços de nuvem da Microsoft terão a visibilidade necessária para cumprir todas as regras de segurança de informações aplicáveis.Because ISO/IEC 27018 requires certified CSPs to inform customers of the countries in which their data may be stored, Microsoft cloud service customers have the visibility they need to comply with any applicable information security rules.
  • Os dados de clientes não serão usados para fins de marketing ou publicidade sem seu consentimento explícito.Customer data won't be used for marketing or advertising without explicit consent. Alguns CSPs usam dados de clientes para seus próprios fins comerciais, inclusive para a publicidade direcionada.Some CSPs use customer data for their own commercial ends, including for targeted advertising. Como a Microsoft adotou a ISO/IEC 27018 em seus serviços de nuvem empresarial no escopo, os clientes têm a certeza de que seus dados nunca serão usados para esses fins sem seu consentimento explícito e que esse consentimento não poderá ser condição para uso do serviço de nuvem.Because Microsoft has adopted ISO/IEC 27018 for its in-scope enterprise cloud services, customers can rest assured that their data will never be used for such purposes without explicit consent, and that consent cannot be a condition for use of the cloud service.
  • Os clientes da Microsoft sabem o que acontece com as PII deles.Microsoft customers know what's happening with their PII. A ISO/IEC 27018 exige uma política que possibilite o retorno, a transferência e o descarte seguro de informações pessoais dentro de um período aceitável.ISO/IEC 27018 requires a policy that allows for the return, transfer, and secure disposal of personal information within a reasonable period of time. Se a Microsoft trabalhar com outras empresas que precisem acessar seus dados de clientes, a Microsoft divulga as identidades desses subprocessadores de forma proativa.If Microsoft works with other companies that need access to your customer data, Microsoft proactively discloses the identities of those sub-processors.
  • A Microsoft cumprirá apenas as solicitações de divulgação de dados de clientes obrigatórias por lei.Microsoft complies only with legally binding requests for disclosure of customer data. Se a Microsoft precisar atender a essa solicitação (como no caso de uma investigação criminal), sempre notificará o cliente, a menos que seja proibido por Lei.If Microsoft must comply with such a request (as in the case of a criminal investigation), it will always notify the customer unless it is prohibited by law from doing so.

Serviços de nuvem no Escopo da Microsoft Microsoft in-scope cloud services

  • Azure, Azure Governamental e Azure AlemanhaAzure, Azure Government, and Azure Germany
  • Azure DevOps ServicesAzure DevOps Services
  • Segurança no aplicativo na nuvem da MicrosoftMicrosoft Cloud App Security
  • Dynamics 365, Dynamics 365 e Dynamics 365 GermanyDynamics 365, Dynamics 365, and Dynamics 365 Germany
  • Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.Microsoft Professional Services: Premier and On Premises for Azure, Dynamics 365, Intune, and for medium business and enterprise customers of Microsoft 365 for business
  • Microsoft GraphMicrosoft Graph
  • Bot do Microsoft HealthcareMicrosoft Healthcare Bot
  • IntuneIntune
  • Área de Trabalho Gerenciada da MicrosoftMicrosoft Managed Desktop
  • Power Automate (anteriormente Microsoft Flow): serviço em nuvem como serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365Power Automate (formerly Microsoft Flow): cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense
  • Office 365 AlemanhaOffice 365 Germany
  • Mapa do serviço do OMSOMS Service Map
  • Serviço de nuvem do PowerApps: como um serviço autônomo ou como incluído em um plano ou pacote do Office 365 ou Dynamics 365PowerApps cloud service: either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Serviço de nuvem do Power BI: como um serviço autônomo ou como incluído em um plano ou pacote da marca do Office 365Power BI cloud service: either as a standalone service or as included in an Office 365 branded plan or suite
  • Power BI incorporadoPower BI Embedded
  • Agentes virtuais do PowerPower Virtual Agents
  • Especialistas em ameaças da MicrosoftMicrosoft Threat Experts
  • Microsoft StreamMicrosoft Stream
  • Microsoft Defender para Ponto de Extremidade: Resposta e Detecção do Ponto de Extremidade, Investigação e Correção Automática, Classificação de SegurançaMicrosoft Defender for Endpoint: Endpoint Detection & Response, Automatic Investigation & Remediation, Secure Score

Auditorias, relatórios e certificadosAudits, reports, and certificates

Ciclo de auditoriaAudit cycle

Os serviços de suporte técnico comercial e de nuvem da Microsoft são auditados uma vez ao ano de acordo em relação ao código de conduta da ISO/IEC 27018 como parte do processo de certificação do ISO/IEC 27001.Microsoft cloud and commercial technical support services are audited once a year for the ISO/IEC 27018 code of practice as part of the certification process for ISO/IEC 27001.

Auditorias e relatóriosAudits and reports

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

Perguntas frequentesFrequently asked questions

A quem o ISO/IEC 27018 se aplica?To whom does ISO/IEC 27018 apply?

Este código de conduta aplica-se a CSPs que processam PII sob contratação de outras organizações.This code of practice applies to CSPs that process PII under contract for other organizations. Na Microsoft, isso também se aplica ao suporte a esses CSPs.At Microsoft, it also applies to the support of these CSPs.

Qual é a diferença entre ‘controladores de informações pessoais’ e ‘processadores de informações pessoais’?What is the difference between 'personal information controllers' and 'personal information processors'?

No contexto da ISO/IEC 27018:In the context of ISO/IEC 27018:

  • Os “controladores” controlam a coleta, manutenção, processamento ou uso de informações pessoais; incluem aqueles que as controlam em nome de outra empresa.'Controllers' control the collection, holding, processing, or use of personal information; they include those who control it on another company's behalf.
  • Os ‘processadores’ processam informações em nome dos controladores; não tomam decisões sobre como usar as informações ou as finalidades do processamento.'Processors' process information on behalf of controllers; they do not make decisions as to how to use the information or the purposes of the processing. Ao fornecer seus serviços de nuvem corporativa, a Microsoft (como fornecedor para você) é um processador de informações.In providing its enterprise cloud services, Microsoft (as a vendor to you) is an information processor.

Onde posso ver as informações de conformidade da Microsoft com o ISO/IEC 27018?Where can I view Microsoft compliance information for ISO/IEC 27018?

Posso usar a conformidade da Microsoft no processo de certificação de minha organização?Can I use Microsoft's compliance in my organization's certification process?

Sim.Yes. Se a conformidade com a ISO/IEC 27018 for importante para a sua empresa e as implementações forem realizadas em qualquer um dos serviços de nuvem empresarial no escopo da Microsoft, use o atestado de conformidade da Microsoft com a ISO/IEC 27018 com a certificação da Microsoft para ISO/IEC 27001 em sua avaliação de conformidade.If compliance with ISO/IEC 27018 is important for your business and implementations deployed on any of Microsoft in-scope enterprise cloud services, you can use Microsoft's attestation of compliance with ISO/IEC 27018 with Microsoft's certification for ISO/IEC 27001 in your compliance assessment.

Contudo, você é responsável por contratar um avaliador para analisar a conformidade de sua implementação e pelos controles e processos dentro de sua organização.However, you are responsible for engaging an assessor to evaluate your implementation for compliance, and for the controls and processes within your own organization.

Usar o Gerenciador de conformidade da Microsoft para avaliar o riscoUse Microsoft Compliance Manager to assess your risk

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação.Compliance Manager offers a premium template for building an assessment for this regulation. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade.Find the template in the assessment templates page in Compliance Manager. Saiba como criar avaliações no Compliance Manager.Learn how to build assessments in Compliance Manager.

RecursosResources