Código de Conduta ISO/IEC 27018 para Proteção de Dados Pessoais na Nuvem

Visão geral da ISO/IEC 27018

A ISO (International Organization for Standardization) é uma organização não governamental independente e o maior desenvolvedor de padrões internacionais voluntários do mundo. A família de padrões ISO/IEC 27000 ajuda organizações de todos os tipos e tamanhos a manter seguros seus ativos de informações.

Em 2014, a ISO adotou a ISO/IEC 27018:2014, um adendo à ISO/IEC 27001, o primeiro código de conduta internacional relacionado à privacidade na nuvem. Baseada nas leis de proteção de dados da UE, ela fornece orientações específicas para CSPs (provedores de serviços de nuvem) que atuam como processadores de PII (informações de identificação pessoal) avaliarem os riscos e implementarem controles avançados para a proteção de PII.

Microsoft e ISO/IEC 27018

Pelo menos uma vez por ano, o Microsoft Azure e o Azure Alemanha são auditados em relação à conformidade com a ISO/IEC 27001 e ISO/IEC 27018 por um corpo de certificação terceirizado credenciado, fornecendo uma validação independente de que os controles de segurança pertinentes estão disponíveis e operando com eficácia. Como parte desse processo de verificação de conformidade, os auditores confirmaram em sua declaração de aplicabilidade que os serviços de suporte técnico comercial e os serviços de nuvem no escopo da Microsoft incorporaram os controles da ISO/IEC 27018 para proteção da PII no Azure. Para continuar compatíveis, os serviços de nuvem da Microsoft devem passar por reavaliações anuais de terceiros.

Seguindo os padrões da ISO/IEC 27001 e o código de prática incorporado na ISO/IEC 27018, a Microsoft (o primeiro grande provedor de nuvem a incorporar esse código de prática) demonstra que suas políticas e procedimentos de privacidade são robustos e alinhados com seus padrões elevados.

  • Os clientes dos serviços de nuvem da Microsoft sabem onde os dados deles são armazenados. Como a ISO/IEC 27018 exige que os CSPs certificados informem aos clientes sobre os países nos quais seus dados podem ser armazenados, os clientes dos serviços de nuvem da Microsoft terão a visibilidade necessária para cumprir todas as regras de segurança de informações aplicáveis.
  • Os dados de clientes não serão usados para fins de marketing ou publicidade sem seu consentimento explícito. Alguns CSPs usam dados de clientes para seus próprios fins comerciais, inclusive para a publicidade direcionada. Como a Microsoft adotou a ISO/IEC 27018 em seus serviços de nuvem empresarial no escopo, os clientes têm a certeza de que seus dados nunca serão usados para esses fins sem seu consentimento explícito e que esse consentimento não poderá ser condição para uso do serviço de nuvem.
  • Os clientes da Microsoft sabem o que acontece com as PII deles. A ISO/IEC 27018 exige uma política que possibilite o retorno, a transferência e o descarte seguro de informações pessoais dentro de um período aceitável. Se a Microsoft trabalhar com outras empresas que precisem acessar seus dados de clientes, a Microsoft divulga as identidades desses subprocessadores de forma proativa.
  • A Microsoft cumprirá apenas as solicitações de divulgação de dados de clientes obrigatórias por lei. Se a Microsoft precisar atender a essa solicitação (como no caso de uma investigação criminal), sempre notificará o cliente, a menos que seja proibido por Lei.

Plataformas e serviços de nuvem no escopo da Microsoft

  • Azure, Azure Government e Azure Alemanha
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 e Dynamics 365 Germany
  • Intune
  • Microsoft Cloud App Security
  • Serviços Profissionais da Microsoft: Premier e no Local para Azure, Dynamics 365, Intune e para clientes de médias empresas e corporativos do Microsoft 365 para empresas.
  • Microsoft Graph
  • Bot do Microsoft Healthcare
  • Área de Trabalho Gerenciada da Microsoft
  • Especialistas em ameaças da Microsoft
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
  • Office 365 Alemanha
  • Mapa do serviço do OMS
  • Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
  • Serviço de nuvem do Power BI: como um serviço autônomo ou como incluído em um plano ou pacote da marca do Office 365
  • Power BI incorporado
  • Agentes virtuais do Power
  • Microsoft Defender para Ponto de Extremidade: Resposta e Detecção do Ponto de Extremidade, Investigação e Correção Automática, Classificação de Segurança
  • Windows 365

Azure, Dynamics 365 e ISO ISO/IEC 27018

Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços de conformidade do serviços online, consulte Oferta do SOC 27018 do Azure.

Office 365 e ISO ISO/IEC 27018

Ambientes de nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Access Online, Azure Active Directory, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Suplemento Avançado de Conformidade do Office 365, Portal do Cliente do Office 365, Microsserviços do Office 365 (incluindo, mas não limitado ao Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, Infraestrutura de Serviços do Office, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Criptografia de Serviço com Chave de Cliente, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Exchange Online, Flow, Microsoft Defender para Office 365, Microsoft Teams, complemento de Conformidade Avançada do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Alta Azure Active Directory, Exchange Online, Flow, Microsoft Defender para Office 365, Microsoft Teams, complemento de Conformidade Avançada do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Azure Active Directory, Exchange Online, Flow, Microsoft Defender para Office 365, Microsoft Teams, complemento de Conformidade Avançada do Office 365, Centro de Conformidade e Segurança do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business

Auditorias, relatórios e certificados

Os serviços de suporte técnico comercial e de nuvem da Microsoft são auditados uma vez ao ano de acordo em relação ao código de conduta da ISO/IEC 27018 como parte do processo de certificação do ISO/IEC 27001.

Perguntas frequentes

A quem o ISO/IEC 27018 se aplica?

Este código de conduta aplica-se a CSPs que processam PII sob contratação de outras organizações. Na Microsoft, isso também se aplica ao suporte a esses CSPs.

Qual é a diferença entre ‘controladores de informações pessoais’ e ‘processadores de informações pessoais’?

No contexto da ISO/IEC 27018:

  • Os “controladores” controlam a coleta, manutenção, processamento ou uso de informações pessoais; incluem aqueles que as controlam em nome de outra empresa.
  • Os ‘processadores’ processam informações em nome dos controladores; não tomam decisões sobre como usar as informações ou as finalidades do processamento. Ao fornecer seus serviços de nuvem corporativa, a Microsoft (como fornecedor para você) é um processador de informações.

Onde posso ver as informações de conformidade da Microsoft com o ISO/IEC 27018?

  • Você pode examinar os certificados ISO/IEC 27018 da BSI (o auditor independente que validou a conformidade da Microsoft com ISO/IEC 27018) para o Office 365.

Posso usar a conformidade da Microsoft no processo de certificação de minha organização?

Sim. Se a conformidade com a ISO/IEC 27018 for importante para a sua empresa e as implementações forem realizadas em qualquer um dos serviços em nuvem empresarial no escopo da Microsoft, você pode usar o atestado de conformidade da Microsoft com a ISO/IEC 27018 com a certificação da Microsoft para ISO/IEC 27001 em sua avaliação de conformidade.

Contudo, você é responsável por contratar um avaliador para analisar a conformidade de sua implementação e pelos controles e processos dentro de sua organização.

Usar o Gerenciador de conformidade da Microsoft para avaliar o risco

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos