Estrutura de garantia de informações da ENISA

Sobre a estrutura de garantia de informações da ENISA

A Agência Europeia para a Segurança das Redes e da Informação ( ENISA) é um centro de conhecimentos de rede e de informações. Ele trabalha em estreita colaboração com os estados membros da UE e o setor privado para fornecer conselhos e recomendações sobre boas práticas de segurança cibernética. A ENISA também apoia o desenvolvimento e implementação de políticas e leis da UE relativas à segurança da informação nacional.

A Estrutura de Garantia da Informação (IAF) é um conjunto de critérios de garantia que as organizações podem revisar com os provedores de serviços de nuvem para garantir a proteção de dados dos clientes. A IAF foi desenvolvida para ajudar as organizações a avaliar o risco de adoção de serviços de nuvem, comparar melhor as ofertas de serviços de nuvem diferentes e reduzir o esforço de garantia de provedores de serviços de nuvem.

Microsoft e ENISA IAF

A Estrutura de Garantia de Informações ENISA é baseada nas amplas classes de controles da ISO/IEC 27001, no padrão internacional de gerenciamento de segurança de informações e na Aliança de Segurança em Nuvem (CSA) Matriz de Controles em Nuvem (CCM) v3.0.1. A CCM
é uma estrutura de controles que abrange princípios fundamentais de segurança em 16 domínios para ajudar os clientes da nuvem a avaliar o risco geral de segurança de um provedor de serviços de nuvem (CSP).

Para a autoavaliação do CSA STAR, a Microsoft enviou um relatório documentando a conformidade do Microsoft Azur e com o CCM CSA. (A Microsoft também publica um questionário completo de iniciativa de avaliação de consenso (CAIQ) para o Azure.) Essa autoavaliação
de conformidade é alinhada com a ENISA IAF.

A conformidade do Azure está listada no CSA STAR Registry, um registro gratuito acessível publicamente em que os CSPs publicam suas avaliações relacionadas ao CSA. Lá, o Azure também mantém a certificação formal do CSA STAR e o atestado do CSA STAR.

Como esses relatórios de autoavaliação estão publicamente disponíveis, os clientes do Azure ganham visibilidade em relação às práticas de segurança da Microsoft e podem comparar vários CSPs usando a mesma linha de base.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure
  • Office 365

Azure, Dynamics 365 e ENISA IAF

Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços de conformidade on-line, consulte Oferta do Azure ENISA IAF.

Office 365 e ENISA IAF

Ambientes em nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Azure Active Directory, Proteção de Informações do Azure, Bookings, Gerente de Conformidade, Delve, Exchange Online, Proteção do Exchange Online, Formulários, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do para a Web, MyAnalytics, complemento da Conformidade Avançada do Office 365, Office 365 Cloud App Security, Grupos do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Yammer Enterprise

Recursos