Explorar a conformidade do serviço com o Gerenciador de Conformidade

Governar seus próprios recursos e a forma como eles são usados é apenas uma parte da solução ao usar um provedor de nuvem. Você também precisa compreender como o provedor gerencia os recursos subjacentes que você está usando.

A Microsoft leva esse gerenciamento a sério e fornece total transparência com quatro fontes:

  1. Política de Privacidade da Microsoft
  2. Central de Confiabilidade da Microsoft
  3. Portal de Confiança do Serviço
  4. Gerenciador de Conformidade

Política de Privacidade da Microsoft

A política de privacidade da Microsoft explica quais dados pessoais a Microsoft processa, como a Microsoft os processa e para quais fins.

A política se aplica às interações que a Microsoft tem com você e a produtos da Microsoft como serviços, sites, aplicativos, softwares, servidores e dispositivos. Sua finalidade é promover abertura e honestidade sobre como a Microsoft lida com os dados pessoais em seus produtos e serviços.

Há um link para a política de privacidade no resumo deste módulo.

O que é a Central de Confiabilidade da Microsoft?

A Central de Confiabilidade é um recurso de site que contém informações e detalhes sobre como a Microsoft implementa e dá suporte à segurança, privacidade, conformidade e transparência em todos os serviços e produtos de nuvem da Microsoft. A Central de Confiabilidade é uma parte importante da iniciativa de Nuvem Confiável da Microsoft e fornece suporte e recursos para a comunidade jurídica e de conformidade, incluindo:

  • Informações detalhadas sobre segurança, privacidade, ofertas de conformidade, políticas, recursos e práticas recomendadas em todos os produtos de nuvem da Microsoft.
  • Recursos recomendados na forma de uma lista estruturada com a maioria dos recursos aplicáveis e amplamente usados para cada tópico.
  • Informações específicas para as principais funções organizacionais, incluindo gerentes de negócios, equipes de segurança de dados ou administradores de locatários, diretores de privacidade e de avaliação de risco e equipes de conformidade legal.
  • Pesquisa de documentos entre empresas, que estará disponível em breve e permitirá que clientes existentes do serviço de nuvem façam pesquisas no Portal de Confiança do Serviço.
  • Diretrizes e suporte diretos para quando você não encontra o que está procurando.

Captura de tela do site da Central de Confiabilidade.

O que é o Portal de Confiança do Serviço?

O STP (Portal de Confiança do Serviço) hospeda o serviço de Gerenciador de Conformidade e é o site público da Microsoft para publicação de relatórios de auditoria e de outras informações relevantes de conformidade para os serviços em nuvem da Microsoft. Os usuários do STP podem baixar relatórios de auditoria produzidos por auditores externos e obter insights de relatórios criados pela Microsoft que fornecem detalhes sobre como a Microsoft cria e opera seus serviços de nuvem.

O STP também inclui informações sobre como os serviços online da Microsoft podem ajudar sua organização a manter e monitorar a conformidade com padrões, leis e regulamentações, como:

  • ISO
  • SOC
  • NIST
  • FedRAMP
  • GDPR

Captura de tela do site do Portal de Confiança do Serviço.

O Portal de Confiança do Serviço é um recurso complementar à Central de Confiabilidade e permite que você:

  • Acesse relatórios de auditoria de todos os serviços em nuvem da Microsoft em uma única página.
  • Acesse guias de conformidade para ajudar você a entender como é possível usar os recursos de serviço de nuvem da Microsoft para gerenciar a conformidade com várias regulamentações.
  • Acesse documentos de confiança para ajudar você a entender como os serviços em nuvem da Microsoft ajudam a proteger seus dados.

Gerenciador de Conformidade

O Gerenciador de Conformidade é um painel de avaliação de riscos baseado em fluxo de trabalho no Portal de Confiança do Serviço que permite controlar, atribuir e verificar as atividades de conformidade regulatória da sua organização relacionadas aos serviços profissionais da Microsoft e aos serviços em nuvem da Microsoft como Microsoft 365, Dynamics 365 e Azure.

O Gerenciador de Conformidade fornece os seguintes recursos:

  • Ele combina os três itens a seguir:
    1. Informações detalhadas fornecidas pela Microsoft para auditores e reguladores como parte de várias auditorias de terceiros dos serviços de nuvem da Microsoft em relação a vários padrões (por exemplo, ISO 27001, ISO 27018 e NIST).
    2. Informações que a Microsoft compila internamente para sua conformidade com regulamentos (por exemplo, HIPAA e a RGPD da UE).
    3. A autoavaliação da organização de sua própria conformidade com esses padrões e regulamentos.
  • Permite que você atribua, controle e registre atividades de avaliação e conformidade, o que pode ajudar sua organização a atravessar barreiras entre equipes para atingir as metas de conformidade de sua organização.
  • Fornece uma Pontuação de Conformidade para ajudá-lo a acompanhar seu progresso e priorizar os controles de auditoria que ajudarão a reduzir a exposição da sua organização a riscos.
  • Fornece um repositório seguro no qual você pode carregar e gerenciar provas e outros artefatos relacionados a atividades de conformidade.
  • Produz relatórios elaborados e detalhados no Microsoft Excel que documentam as atividades de conformidade executadas pela Microsoft e por sua organização e que podem ser fornecidas a auditores, reguladores e outros stakeholders de conformidade.

Captura de tela mostrando o site do Gerenciador de Conformidade com um conjunto de três avaliações de exemplo.

O Gerenciador de Conformidade fornece avaliações de risco contínuas com uma referência de pontuação com base em risco para regulamentos e padrões exibidos em um painel. Como alternativa, você pode criar avaliações para as normas ou padrões que importam mais para sua organização.

Como parte da avaliação de risco, o Gerenciador de Conformidade também fornece ações recomendadas que você pode adotar para aumentar a conformidade regulatória. Você pode ver todos os itens de ação ou selecionar os itens que correspondem a uma certificação específica.

Importante

O Gerenciador de Conformidade é um painel que fornece um resumo de seu posicionamento de proteção de dados e conformidade, bem como recomendações para melhorias. As Ações do Cliente fornecidas no Gerenciador de Conformidade são apenas recomendações; é responsabilidade de cada organização avaliar a eficácia dessas recomendações em seus respectivos ambientes regulatórios antes da implementação. Recomendações encontradas no Gerenciador de Conformidade não devem ser interpretadas como uma garantia de conformidade.