Medidas de Segurança de Alto Nível do ENS (Esquema Nacional de Seguridad) da Espanha
Visão geral do ENS da Espanha
Em 2007, o governo espanhol promulgou a Lei 11/2007, que estabeleceu um sistema legal para que os cidadãos pudessem ter acesso eletrônico a serviços públicos e do governo. Essa lei é a base para o Esquema Nacional de Seguridad (Esquema Nacional de Seguridade), regido pelo DR (Decreto Real) 3/2010. O objetivo desse sistema é estabelecer a confiança no fornecimento de serviços eletrônicos e garantir o acesso, a integridade, a disponibilidade, a autenticidade, a confidencialidade, a possibilidade de rastreamento e a preservação de dados, informações e serviços.
O sistema é aplicado a todas as organizações públicas e agências governamentais da Espanha que compram serviços de nuvem, assim como aos provedores de ICT (Tecnologias de Informações e Comunicações). Ele orienta essas agências e empresas na implementação de controles eficazes de segurança localmente e na nuvem, de acordo com os padrões de segurança e privacidade da Espanha e da UE.
O sistema estabelece políticas centrais e requisitos obrigatórios que as agências governamentais e seus provedores de serviços devem observar. Define um conjunto de controles de segurança específicos, muitos dos quais estão diretamente alinhados com a ISO/IEC 27001, em relação à disponibilidade, autenticidade, integridade, confidencialidade e rastreamento. A confidencialidade das informações (níveis baixo, intermediário ou alto) determina as medidas de segurança que devem ser aplicadas para protegê-las.
É exigido que cada agência governamental adote uma abordagem de gerenciamento de riscos de segurança com a qual identifiquem e avaliem riscos e então apliquem os controles de segurança apropriados a esses riscos. Os provedores de serviços também devem atender aos rígidos requisitos do sistema para ajudar a garantir que seus procedimentos, funcionalidades técnicas e operações sejam seguros e permitam que as agências mantenham a conformidade com as regulamentações.
O sistema prescreve um processo de credenciamento que é voluntário para sistemas que manuseiam informações de baixo nível de confidencialidade, mas obrigatório para sistemas que manuseiam informações de nível intermediário ou alto de confidencialidade. Um auditor independente credenciado realiza uma auditoria. O relatório é então revisado em um processo de certificação antes que os controles de gerenciamento de riscos sejam aceitos na etapa final do credenciamento.
Medidas de segurança de alto nível do ENS da Espanha e da Microsoft
O Microsoft Azure e o Microsoft Office 365 passaram por uma avaliação rigorosa pela BDO, um auditor independente que emitiu uma declaração oficial de conformidade. A BDO relata que as medidas de segurança em ambos os serviços e em seus sistemas de informação e instalações de processamento de dados mantêm um alto nível de conformidade com o DR 3/2010 sem a necessidade de medidas corretivas. A Microsoft foi o primeiro provedor de serviços de nuvem em hiperescala a receber essa certificação na Espanha.
Plataformas e serviços de nuvem no escopo da Microsoft
- Azure
- Office 365
Office 365 e ENS de alto nível
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
Comercial | Exchange Online, Proteção do Exchange Online, Microsoft Teams, MyAnalytics, Portal do Cliente do Office 365, Office Online, Serviço de Infraestrutura do Office, Serviço Móvel do Outlook, SharePoint Online, Skype for Business |
Auditorias, relatórios e certificados
A certificação é válida por dois anos, com uma auditoria de supervisão anual.
Azure
- Certificado do ENS (Esquema Nacional de Seguridad) para o Azure
- Relatório de Auditoria do ENS (Esquema Nacional de Seguridad) da Espanha para o Azure
- Relatório de Auditoria do Azure do ENS (espanhol)
- Certificado ENS (Esquema Nacional de Seguridad) para o Azure (espanhol)
Office 365
- Certificado do ENS (Esquema Nacional de Seguridad) para o Office 365
- Relatório de Auditoria do ENS (Esquema Nacional de Seguridad) da Espanha para o Office 365
- Relatório de auditoria do Office 365 do ENS (espanhol)
- Certificado ENS (Esquema Nacional de Seguridad) para o Office 365 (espanhol)
Perguntas frequentes
Como posso obter cópias dos relatórios de auditoria e das certificações?
O Portal de Confiança do Serviço fornece as certificações e os relatórios de auditoria em espanhol e em inglês. Seus auditores podem usá-los para comparar os resultados dos serviços da nuvem da Microsoft com seus próprios requisitos legais e regulatórios.
Por onde começo a iniciativa de conformidade em minha empresa?
Se a sua empresa usa o Azure ou o Office 365, você pode utilizar os relatórios de auditoria e a certificação da Microsoft como parte de seu processo de certificação. Contudo, você é responsável por contratar um auditor para avaliar a conformidade de sua implementação e por garantir que os controles e processos dentro de sua empresa estejam alinhados com o sistema.
Recursos
- Esquema Nacional de Seguridad da Espanha (em espanhol e inglês)
- Termos de Serviços Online da Microsoft
- Conformidade na Central de Confiabilidade da Microsoft
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de