Lista de verificação de preparação de responsabilidade de Serviços profissionais e de suporte da Microsoft para RGPD
1. Introdução
Essa lista de verificação de preparação para a responsabilidade fornece uma maneira conveniente de acessar informações que talvez seja necessário para dar suporte ao GDPR ao usar os Serviços Profissionais da Microsoft e os Serviços de Suporte. A lista de verificação é organizada usando os títulos e o número de referência (em parênteses para cada artigo de lista de verificação) de um conjunto de controles de privacidade e segurança para processadores de dados pessoais extraídos de:
- ISO/IEC 27701 para requisitos de gerenciamento de informações de privacidade.
- ISO/IEC 27701 para requisitos de técnicas de segurança.
Essa estrutura de controle também é usada para organizar a apresentação dos controles internos que os Serviços Profissionais da Microsoft implementam para oferecer suporte ao RGPD, que você pode baixar do Central de Confiabilidade do Serviço.
2. Condições de coleta e processamento
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Identificar e documentar a finalidade (7.2.1) | O cliente deve documentar a finalidade para a qual os dados pessoais são processados. | Uma descrição do processamento que a Microsoft realiza para você e a finalidade desse processamento, que pode ser incluído em sua documentação de responsabilidade. - Suplemento de Proteção de Dados de Produtos e Serviços da Microsoft [1] |
(5)(1)(b), (32)(4) |
| Identificar a base legal (7.2.2) | O cliente deve compreender os requisitos relacionados à base legal do processamento, por exemplo, se o consentimento deve ser dado primeiro. | Uma descrição do processamento de dados pessoais pelos serviços Microsoft para inclusão em sua documentação de responsabilidade. - Principais informações do Microsoft Professional Services for Professional Services Data Protection Impact Assessments [9] |
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
| Determinar quando o consentimento deve ser obtido (7.2.3) | O cliente deve entender os requisitos legais ou regulatórios para obter o consentimento de indivíduos antes do processamento de dados pessoais (quando necessário, se o tipo de processamento for excluído do requisito, etc.), incluindo como o consentimento é coletado. | Os Serviços Profissionais da Microsoft não fornecem suporte direto para obter o consentimento do usuário. | (6)(1)(a), (8)(1), (8)(2) |
| Obter e registrar o consentimento (7.2.4) | Quando ele é determinado a ser necessário, o cliente deve obter adequadamente o consentimento. O cliente também deve estar ciente de todos os requisitos de como uma solicitação de consentimento é apresentada e coletada. | Os Serviços Profissionais da Microsoft não fornecem suporte direto para obter o consentimento do usuário. | (7)(1), (7)(2), (9)(2)(a) |
| Avaliação de impacto de privacidade (7.2.5) | O cliente deve estar ciente dos requisitos para concluir as avaliações de impacto de privacidade (quando devem ser executados, as categorias de dados que podem exigir um, o momento certo de concluir a avaliação). | Os Serviços Professionais da Microsoft fornecem orientações sobre quando e como determinar quando executar uma DPIA e uma visão geral do programa DPIA na Microsoft, incluindo o envolvimento do DPO, que é fornecido na página de Avaliações do Impacto sobre a Proteção de Dados (DPIAs) do Portal de Confiança do Serviço. Suporte para seus DPIAs, confira: |
Artigo (35) |
| Contratos com processadores PII (7.2.6) | O cliente deve garantir que seus contratos com processadores incluam requisitos para auxiliar com quaisquer obrigações regulamentares ou legais relevantes relacionadas ao processamento e à proteção de dados pessoais. | Os contratos da Microsoft que exigem que nós ajudemos as suas obrigações de acordo com o RGPD, incluindo suporte para os direitos dos titulares dos dados. - Suplemento de Proteção de Dados de Produtos e Serviços da Microsoft [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Registros relacionados ao processamento de PII (7.2.7) | O cliente deve manter todos os registros necessários e obrigatórios relacionados ao processamento de dados pessoais (por exemplo, finalidade, medidas de segurança etc.). Alguns desses registros devem ser fornecidos por um subprocessador e o cliente deve garantir a obtenção de tais registros. | Os Serviços Profissionais da Microsoft mantém registros necessários para demonstrar conformidade e suporte para responsabilidade sob o RGPD. Veja a documentação de segurança do Microsoft Professional Services [2] | (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Direitos de titulares dos dados
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Determinação dos direitos das entidades de segurança de PII e permitindo o exercício (7.3.1) | O cliente deve compreender os requisitos relacionados aos direitos dos indivíduos sobre o processamento de seus dados pessoais. Esses direitos podem incluir itens como acesso, correção e eliminação. Quando o cliente usar um sistema de terceiros, ele deverá determinar quais partes do sistema (se houver alguma) fornecem ferramentas relacionadas a permitir que os indivíduos exerçam seus direitos (por exemplo, de acessar seus dados). Quando o sistema fornecer esses recursos, o cliente deverá utilizá-los conforme necessário. | Os recursos que a Microsoft fornece para ajudar você a dar suporte a direitos de titulares de dados. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] |
(12)(2) |
| Determinação de informações para entidades de segurança de PII (titulares de dados) (7.3.2) | O cliente deve entender os requisitos para os tipos de informações sobre o processamento de dados pessoais que devem estar disponíveis para serem fornecidos ao indivíduo. Isso pode incluir coisas como: • detalhes de contato sobre o controlador ou seu representante; • Informações sobre o processamento (fins, transferência internacional e proteções relacionadas, período de retenção, etc.); • Informações sobre como o titular pode acessar e/ou corrigir seus dados pessoais; solicitar eliminação ou restrições de processamento; receber uma cópia dos dados pessoais; e fazer a portabilidade de seus dados pessoais • Como e de onde os dados pessoais foram obtidos (se não tiverem sido obtidos diretamente do titular) • Informações sobre o direito de fazer uma reclamação e para quem; • Informações sobre correções de dados pessoais; • notificação de que a organização não pode identificar o titular dos dados (titular PII), em casos em que o processamento não requer mais a identificação do titular dos dados; • transferências e/ou divulgações de dados pessoais; • Existência de tomada de decisões automatizada baseada unicamente no processamento automatizado de dados pessoais; • Informações sobre a frequência com que as informações do titular dos dados são atualizadas e fornecidas (por exemplo, notificação "na hora certa", frequência definida pela organização, etc.). Quando o cliente usar sistemas ou processadores de terceiros, ele deve determinar quais (se houver) dessas informações podem precisar ser fornecidas por ele, e garantir que ele possa obter as informações necessárias do terceiro. |
Informações sobre os serviços Microsoft que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Fornecimento de informações para entidades de segurança de PII (7.3.3) | O cliente deve cumprir quaisquer requisitos relacionados a como/quando/de que forma as informações necessárias relacionadas ao processamento dos dados pessoais de um indivíduo devem ser fornecidas ao mesmo. Nos casos em que um terceiro fornecer informações necessárias, o cliente deverá garantir que estas estejam dentro dos parâmetros exigidos pelo RGPD. | Informações em modelos sobre os Serviços Profissionais da Microsoft que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Fornecer mecanismo para modificar ou retirar o consentimento (7.3.4) | O cliente deve entender os requisitos para informar os usuários sobre seu direito de acessar, corrigir e/ou apagar seus dados pessoais e para fornecer um mecanismo para o qual eles o façam. Se um sistema de terceiros for usado e fornecer esse mecanismo como parte de sua funcionalidade, o cliente deverá utilizar essa funcionalidade conforme necessário. | Informações sobre recursos nos serviços Microsoft que você pode usar ao definir as informações que fornece aos titulares dos dados ao solicitar consentimento. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Fornecer mecanismo para objeção ao processamento (7.3.5) | O cliente deve entender os requisitos em torno dos direitos dos titulares de dados. Quando um indivíduo tem o direito de se opor ao processamento, o cliente deve informá-lo e ter uma maneira de o indivíduo registrar sua objeção. | Informações sobre os serviços Microsoft relacionados à objeção ao processamento que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Compartilhamento do exercício dos direitos das entidades de segurança de PII (7.3.6) | O cliente deve compreender os requisitos para notificar terceiros com os quais tenham sido compartilhados dados pessoais de instâncias de modificação de dados com base no exercício de direitos individuais (por exemplo, uma pessoa que solicita a eliminação ou modificação, etc.). | Informações sobre recursos nos serviços Microsoft que permitem a descoberta de dados pessoais que você compartilhou com terceiros. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] |
(19) |
| Correção ou eliminação (7.3.7) | O cliente deve entender os requisitos para informar os usuários sobre seu direito de acessar, corrigir e/ou apagar seus dados pessoais e para fornecer um mecanismo para o qual eles o façam. Se um sistema de terceiros for usado e fornecer esse mecanismo como parte de sua funcionalidade, o cliente deverá utilizar essa funcionalidade conforme necessário. | Informações sobre os serviços Microsoft relacionados à habilidade de acessar, corrigir ou apagar dados pessoais que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] |
|
| Fornecimento de cópia de PII processado (7.3.8) | O cliente deve entender os requisitos relacionados ao fornecimento de uma cópia dos dados pessoais que estão sendo processados para o indivíduo. Isso pode incluir requisitos em torno do formato da cópia (ou seja, que é legível pelo computador), transferir a cópia etc. Quando o cliente usa um sistema de terceiros que fornece a funcionalidade para fornecer cópias, ele deve utilizar essa funcionalidade conforme necessário. | Informações sobre os recursos nos serviços Microsoft que permitem que você obtenha uma cópia dos dados pessoais que pode incluir nos dados que fornece a titulares dos dados.– Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] | (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Gerenciamento de solicitações (7.3.9) | O cliente deve entender os requisitos para aceitar e responder a solicitações legítimas de indivíduos relacionados ao processamento de seus dados pessoais. Quando o cliente usa um sistema de terceiros, ele deve entender se esse sistema fornece os recursos para esse tratamento de solicitações. Nesse caso, o cliente deve utilizar esses mecanismos para lidar com solicitações, conforme necessário. | Informações sobre os recursos nos serviços Microsoft que você pode usar ao definir as informações que fornece aos titulares dos dados quando gerencia essas solicitações.– Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD e o CCPA [7] | (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h) |
| Tomada de decisões automatizada (7.3.10) | O cliente deve entender os requisitos em torno do processamento automatizado de dados pessoais e onde as decisões são tomadas por essa automação. Estes podem incluir o fornecimento de informações sobre o processamento a um indivíduo, a oposição a tal processamento ou a obtenção de intervenção humana. Quando tais recursos forem fornecidos por um sistema de terceiros, o cliente deverá garantir que o terceiro forneça qualquer informação ou suporte necessário. | Informações sobre os recursos nos serviços Microsoft que podem dar suporte à tomada de decisões automatizada que você pode usar na sua documentação de responsabilidade e modelos de informações para titulares de dados sobre esses recursos. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Privacidade por padrão e design
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Limitar coleta (7.4.1) | O cliente deve entender os requisitos em relação aos limites de coleta de dados pessoais (por exemplo, que a coleta deve ser limitada ao que é necessário para a finalidade especificada). | Descrição dos dados coletados por serviços Microsoft. - Suplemento de Proteção de Dados de Produtos e Serviços da Microsoft [1] - Informações importantes dos Serviços Profissionais da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9]] |
(5)(1)(b), (5)(1)(c) |
| Limitar o processamento (7.4.2) | O cliente é responsável por limitar o processamento de dados pessoais para que sejam limitados ao que é adequado para a finalidade identificada. | Descrição dos dados coletados por serviços Microsoft. - Suplemento de Proteção de Dados de Produtos e Serviços da Microsoft [1] - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(25)(2) |
| Definir e documentar os objetivos de minimização de PII e desidentificação (7.4.3) | O cliente deve entender os requisitos em torno da desidentificação de dados pessoais, os quais podem incluir: quando devem ser usados, até que ponto devem ser desidentificados e quando não podem ser usados. | O cliente é responsável pela desi identificação antes de transferir dados para a Microsoft. A Microsoft aplica a desidentificação e a criação de pseudônimos internamente quando for apropriado, a fim de oferecer garantias adicionais de privacidade para dados pessoais. | (5)(1)(c) |
| Conformidade com níveis de identificação (7.4.4) | O cliente deve usar e manter a conformidade com os objetivos e os métodos de desidentificação definidos pela sua organização. | O cliente é responsável pela desi identificação antes de transferir dados para a Microsoft. A Microsoft aplica a desidentificação e a criação de pseudônimos internamente quando for apropriado, a fim de oferecer garantias adicionais de privacidade para dados pessoais. | (5)(1)(c) |
| Desidentificação e exclusão de PII (7.4.5) | O cliente deve entender os requisitos em torno da retenção de dados pessoais após seu uso para as finalidades identificadas. Quando fornecido ferramentas pelo sistema, o cliente deve utilizar essas ferramentas para apagar ou excluir conforme necessário. | Recursos fornecidos pelos serviços Microsoft para dar suporte a políticas de retenção de dados. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Arquivos temporários (7.4.6) | O cliente deverá estar ciente dos arquivos temporários que serão enviados para a Microsoft podem levar a não conformidade com políticas de processamento de dados pessoais (por exemplo, dados pessoais podem ser mantidos em um arquivo temporário por mais tempo do que o necessário ou permitido). | Uma descrição dos recursos fornecidos pelo serviço para identificar dados pessoais para oferecer suporte a políticas de arquivos temporários. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] |
(5)(1)(c) |
| Retenção (7.4.7) | O cliente deverá determinar quanto tempo os dados pessoais devem ser mantidos, levando em consideração as finalidades identificadas. | Informações sobre a retenção de dados pessoais pelos serviços Microsoft que você pode incluir na documentação fornecida a titulares de dados. – Adendo da Proteção de Dados de Serviços Profissionais da Microsoft [1] |
(13)(2)(a), (14)(2)(a) |
| Descarte (7.4.8) | O cliente deve usar os mecanismos de exclusão ou descarte fornecidos pelo sistema para excluir dados pessoais. | Recursos fornecidos pelos serviços Microsoft para dar suporte a políticas de exclusão de dados. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] |
(5)(1)(f) |
| Procedimentos de coleta (7.4.9) | O cliente deve estar ciente dos requisitos sobre a precisão dos dados pessoais (por exemplo, precisão na coleta, manter os dados atualizados, etc.) e usar quaisquer mecanismos fornecidos pelo sistema para tal. | Como os serviços Microsoft fornecem suporte à precisão de dados pessoais e os recursos que eles fornecem para dar suporte à política de precisão de dados. - Solicitações dos Titulares dos Dados aos Serviços Profissionais da Microsoft para o RGPD e o CCPA [7] |
(5)(1)(d) |
| Controles de transmissão (7.4.10) | O cliente deve compreender os requisitos acerca da proteção da transmissão de dados pessoais, incluindo quem tem acesso a mecanismos de transmissão, registros de transmissão etc. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Identificar base para a transferência de PII (7.5.1) | O cliente deve estar ciente dos requisitos para a transferência de dados pessoais (PII) para uma localização geográfica diferente e documentar as medidas adotadas para atender a esses requisitos. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
Artigos (44), (45), (46), (47), (48) e (49) |
| Países e organizações para os quais as PII podem ser transferidas (7.5.2) | O cliente deve entender e ser capaz de fornecer para o indivíduo, os países para os quais os dados pessoais são ou podem ser transferidos. Quando um terceiro/processador pode executar essa transferência, o cliente deve obter essas informações do processador. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(30)(1)(e) |
| Registros de transferências de PII (dados pessoais) (7.5.3) | O cliente deve manter todos os registros necessários e necessários relacionados a transferências de dados pessoais. Quando um terceiro/processador executa a transferência, o cliente deve garantir que mantenha os registros apropriados e obtenha-os conforme necessário. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(30)(1)(e) |
| Registros da divulgação de PII para terceiros (7.5.4) | O cliente deve entender os requisitos em torno da gravação para quem os dados pessoais foram divulgados. Isso pode incluir divulgações para a aplicação da lei, etc. Quando um terceiro/processador divulga os dados, o cliente deve garantir que eles mantenham os registros apropriados e os obtenham conforme necessário. | Documentação fornecida sobre as categorias de destinatários de divulgação de dados pessoais, incluindo registros disponíveis de divulgação. – Quem pode acessar seus dados e em que condições [6] |
(30)(1)(d) |
| Controlador conjunto (7.5.5) | O cliente deverá determinar se ele é um controlador conjunto com outra organização e documentar de maneira adequada e alocar responsabilidades. | A Microsoft não é um controlador conjunto de informações pessoais fornecidas como parte de Dados de Suporte e Serviços Profissionais. | (26)(1), (26)(2), (26)(3) |
5. Proteção e segurança de dados
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Noções básicas sobre a organização e o contexto (5.2.1) | Os clientes devem determinar seu papel no processamento de dados pessoais (por exemplo, controlador, processador, co-controlador) para identificar os requisitos apropriados (regulatórios, etc.) para o processamento de dados pessoais. | Como a Microsoft considera cada serviço um processador ou controlador durante o processamento de dados pessoais. - Suplemento de Proteção de Dados de Produtos e Serviços da Microsoft [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Compreensão das necessidades e expectativas das partes interessadas (5.2.2) | Os clientes devem identificar as partes que possam ter um papel ou interesse no processamento de dados pessoais (por exemplo, reguladores, auditores, titulares de dados, processadores de dados pessoais contratados) e estar cientes dos requisitos para envolver essas partes onde necessário. | Como a Microsoft incorpora os modos de exibição de todos os interessados em consideração aos riscos envolvidos no processamento de dados pessoais. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Determinar o escopo do sistema de gerenciamento de segurança de informações (5.2.3, 5.2.4) | Como parte de qualquer programa geral de segurança ou privacidade que um cliente pode ter, ele deve incluir o processamento de dados pessoais e os requisitos relacionado a isso. | Como os serviços Microsoft incluem o processamento de dados pessoais no gerenciamento de segurança de informações e em programas de privacidade. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] - Relatório de Auditoria iso 27001 [10] |
(32)(2) |
| Planejamento (5.3) | Os clientes devem considerar a manipulação de dados pessoais como parte de qualquer avaliação de risco que concluem e aplicar os controles considerados necessários para reduzir o risco relacionado aos dados pessoais que eles controlam. | Como os serviços Microsoft consideram os riscos específicos do processamento de dados pessoais como parte de seu programa geral de privacidade e segurança. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] |
(32)(1)(b), (32)(2) |
| Políticas de segurança da informação (6.2) | O cliente deve incrementar as políticas existentes de segurança de informação de modo a incluir a proteção de dados pessoais, incluindo as políticas necessárias para conformidade com qualquer legislação aplicável. | Políticas da Microsoft para segurança de informações e medidas específicas para a proteção de informações pessoais. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] - Relatório de Auditoria iso 27001 [10] |
24(2) |
| Considerações para o cliente da organização da segurança de informações (6.3) | O cliente deve, dentro de sua organização, definir responsabilidades pela segurança e proteção de dados pessoais. Isso pode incluir o estabelecimento de funções específicas para supervisionar assuntos relacionados à privacidade, incluindo um DPO. Treinamento apropriado e apoio administrativo devem ser fornecidos para dar suporte a essas funções. | A Microsoft publicou informações do Diretor de Proteção dos Dados da Microsoft, a natureza das suas funções, estrutura de relatórios e informações de contato. - Informações do DPO da Microsoft [13] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Segurança dos recursos humanos (6.4) | O cliente deve determinar e atribuir a responsabilidade de fornecer treinamento relevante relacionado à proteção de dados pessoais. | Uma visão geral da função do Oficial de Proteção de Dados da Microsoft, a natureza de suas funções, estrutura de relatórios e informações de contato. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Descrição do Programa de Treinamento e Reconhecimento [3] |
(39)(1)(b) |
| Classificação de informações (6.5.1) | O cliente deve considerar explicitamente os dados pessoais como parte de um esquema de classificação de dados. | Como a Microsoft considera dados pessoais na classificação de dados, na marcação e no acompanhamento de informações. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(39)(1)(b) |
| Gerenciamento de mídia removível (6.5.2) | O cliente deve determinar as políticas internas para o uso de mídia removível no que se refere à proteção de dados pessoais (por exemplo, dispositivos de criptografia). | Como os serviços Microsoft protegem a segurança de informações pessoais em qualquer mídia removível. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(32)(1)(a), (5)(1)(f) |
| Transferência de mídia física (6.5.3) | O cliente deve determinar políticas internas para proteger dados pessoais ao transferir mídia física (por exemplo, criptografia). | Como os serviços da Microsoft protegem os dados pessoais durante qualquer transferência de mídia física. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(32)(1)(a), (5)(1)(f) |
| Gerenciamento de acesso de usuário (6.6.1) | O cliente deve estar ciente de suas responsabilidades para controlar o acesso dentro do serviço que estão usando e gerenciar as responsabilidades de modo adequado, usando as ferramentas disponíveis. | As ferramentas fornecidas pelo serviços Microsoft para ajudar a impor o controle de acesso. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Registro e cancelamento de registro de usuários (6.6.2) | O cliente deve gerenciar o registro e o cancelamento de registro de usuários dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | As ferramentas fornecidas pelo serviços Microsoft para ajudar a impor o controle de acesso. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Provisionamento de acesso de usuários (6.6.3) | O cliente deve gerenciar os perfis de usuário, especialmente para acesso autorizado a dados pessoais dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte ao controle de acesso formal para dados pessoais, incluindo IDs de usuário, funções e o registro e o cancelamento de registro de usuários. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Gerenciamento de acesso privilegiado (6.6.4) | O cliente deve gerenciar as IDs de usuário para facilitar o controle de acesso (especialmente a dados pessoais) dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte ao controle de acesso formal para dados pessoais, incluindo IDs de usuário, funções e o registro e o cancelamento de registro de usuários. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Procedimentos de segurança de logon (6.6.5) | O cliente deve utilizar os mecanismos fornecidos no serviço para garantir a proteção dos recursos de logon para os usuários sempre que for necessário. | Como os serviços Microsoft oferecem suporte a políticas de controle de acesso internas relacionadas a dados pessoais. – Quem pode acessar seus dados e em que condições [6] |
(5)(1)(f) |
| Criptografia (6.7) | O cliente deve determinar quais dados podem precisar ser criptografados e se o serviço que está utilizando oferece esse recurso. O cliente deve utilizar a criptografia conforme necessário, usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte à criptografia e apresentação sob pseudônimo para reduzir o risco de processamento de dados pessoais. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(32)(1)(a) |
| Descarte seguro e reutilização de equipamento (6.8.1) | Quando o cliente usa serviços de computação na nuvem (PaaS, SaaS, IaaS), devem compreender como o provedor de nuvem garante que os dados pessoais sejam apagados do espaço de armazenamento antes de esse espaço ser atribuído a outro cliente. | Como os Serviços Professionais da Microsoft garantem que os dados pessoais serão apagados de equipamento armazenamento antes desse equipamento ser transferido ou reutilizado, ao utilizar os serviços de computação em nuvem do Microsoft Azure durante os serviços profissionais. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Política de área de trabalho e tela limpos (6.8.2) | O cliente deve considerar os riscos em torno de material impresso que exibe dados pessoais, e restringir potencialmente a criação desse material. Quando o sistema em uso fornecer a capacidade de restringir isso (por exemplo, configurações para impedir a impressão ou a cópia/colagem de dados confidenciais), o cliente deverá considerar a necessidade de usar esses recursos. | O que a Microsoft implementa para gerenciar a cópia impressa. – A Microsoft realiza esses controles internamente, confira Serviços Profissionais Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade [11] - Conjunto de Controle RGPD dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Separação de ambientes operacionais e de desenvolvimento e teste (6.9.1) | O cliente deve considerar as implicações de uso de dados pessoais em ambientes de desenvolvimento e teste dentro da organização. | Como a Microsoft garante que dados pessoais sejam protegidos nos ambientes de desenvolvimento e teste. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Backup de informações (6.9.2) | O cliente deve garantir que use os recursos fornecidos pelo sistema para criar redundâncias em seus dados e testar conforme o necessário. | Como a Microsoft garante a disponibilidade de dados que podem incluir dados pessoais, como a precisão dos dados restaurados é garantida, e as ferramentas e procedimentos que os serviços da Microsoft fornecem para permitir o backup e a restauração de dados. - Documentação de Gerenciamento de Continuidade de Negócios do Microsoft Enterprise [5] |
(32)(1)(c), (5)(1)(f) |
| Log de eventos (6.9.3) | O cliente deve compreender as funcionalidades de registro em log fornecidas pelo sistema e utilizar esses recursos para garantir que eles possam registrar as ações relacionadas a dados pessoais consideradas necessárias. | Os dados que o serviço Microsoft registra para você, incluindo as atividades do usuário, exceções, as falhas e os eventos de segurança de informações, e como você pode acessar esses logs para usar como parte da manutenção de seus registros. – Documentação de Segurança de Serviços Professionais da Microsoft [2] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Proteção de informações registradas (6.9.4) | O cliente deve considerar os requisitos para proteger informações de log que possam conter dados pessoais ou que possam conter registros relacionados ao processamento de dados pessoais. Quando o sistema em uso fornece recursos para proteger logs, o cliente deve utilizar esses recursos quando necessário. | Como a Microsoft protege logs que podem conter dados pessoais. – Documentação de Segurança de Serviços Professionais da Microsoft[2] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Procedimentos e políticas de transferência de informações (6.10) | O cliente deve ter procedimentos para casos em que os dados pessoais podem ser transferidos em mídia física (como um disco rígido sendo movido entre servidores ou instalações). Isso pode incluir logs, autorizações e acompanhamento. Quando um terceiro ou outro processador pode estar transferindo mídia física, o cliente deve garantir que essa organização tenha procedimentos em vigor para garantir a segurança dos dados pessoais. | Como os serviços Microsoft transferem mídia física que pode conter dados pessoais, incluindo as circunstâncias em que a transferência pode ocorrer e as medidas de proteção direcionadas para proteger os dados. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Acordos de confidencialidade ou não divulgação (6.10.2) | O cliente deverá determinar a necessidade de acordos de confidencialidade ou o equivalente para indivíduos com acesso a ou responsabilidades relacionadas a dados pessoais. | Como os serviços Microsoft garantem que indivíduos com acesso autorizado a dados pessoais tenham compromisso com a confidencialidade. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Proteção de serviços de aplicativo em redes públicas (6.11.1) | O cliente deve entender os requisitos para criptografia de dados pessoais, especialmente quando enviado por redes públicas. Quando o sistema fornece mecanismos para criptografar dados, o cliente deve utilizar esses mecanismos quando necessário. | Descrição das medidas que os serviços Microsoft adotam para proteger dados em trânsito, incluindo a criptografia dos dados e como os serviços Microsoft protegem os dados que podem conter dados pessoais que passam por redes públicas de dados, incluindo as medidas de criptografia. – Documentação de Segurança de Serviços Professionais da Microsoft [2] |
(5)(1)(f), (32)(1)(a) |
| Princípios de proteção de engenharia de sistemas (6.11.2) | O cliente deve entender como os sistemas são projetados e desenvolvidos para considerar a proteção de dados pessoais. Quando um cliente utiliza um sistema projetado por terceiros, é sua responsabilidade garantir que essas proteções tenham sido consideradas. | Como os serviços Microsoft incluem princípios de proteção de dados pessoais como parte obrigatória de nossos princípios de proteção de design/engenharia. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] - O que é o Security Development Lifecycle ? |
(25)(1) |
| Relacionamentos com fornecedores (6.12) | O cliente deve garantir que quaisquer requisitos de segurança de informações e proteção de dados pessoais que sejam de responsabilidade de terceiros sejam abordados em informações contratuais ou outros acordos. Os acordos também devem abordar as instruções para processamento. | Como os serviços da Microsoft tratam da segurança e proteção de dados em contratos com nossos fornecedores e como garantimos que esses acordos sejam efetivamente implementados. – Quem pode acessar seus dados e em que condições [6] |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
| Gerenciamento de incidentes e melhorias de segurança de informações (6.13.1) | O cliente deve ter processos para determinar quando ocorreu uma violação de dados pessoais. | Como os serviços Microsoft determinam se um incidente de segurança é uma violação de dados pessoais, e como comunicamos a violação para você. - Notificação de Violação e Serviços Profissionais da Microsoft no RGPD [8] |
(33)(2) |
| Responsabilidades e procedimentos (durante incidentes de segurança de informações) (6.13.2) | O cliente deve entender e documentar suas responsabilidades durante uma violação de dados ou incidente de segurança envolvendo dados pessoais. As responsabilidades podem incluir notificar partes necessárias, comunicações com processadores ou outros terceiros e responsabilidades dentro da organização do cliente. | Como notificar os serviços Microsoft se você detectar um incidente de segurança ou violação de dados pessoais. - Notificação de Violação e Serviços Profissionais da Microsoft no RGPD [8] |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Resposta a incidentes de segurança de informações (6.13.3) | O cliente deve ter processos para determinar quando ocorreu uma violação de dados pessoais. | Descrição das informações que os serviços Microsoft fornecem para ajudá-lo a decidir se ocorreu uma violação de dados pessoais. - Notificação de Violação e Serviços Profissionais da Microsoft no RGPD [8] |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Proteção de registros (6.15.1) | O cliente deve compreender os requisitos para os registros relacionados ao processamento de dados pessoais que precisam ser mantidos. | Como os serviços Microsoft armazenam registros relacionados ao processamento de dados pessoais. – Documentação de Segurança de Serviços Professionais da Microsoft [2] |
(5)(2), (24)(2) |
| Análise independente da segurança de informações (6.15.2) | O cliente deve estar ciente dos requisitos para avaliações da segurança do processamento de dados pessoais. Isso pode incluir auditorias internas ou externas ou outras medidas para avaliar a segurança do processamento. Quando o cliente depender de outra organização de terceiros para todo ou parte do processamento, ele deve coletar informações sobre essas avaliações realizadas por eles. | Como os serviços Microsoft testam e avaliam a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento, incluindo auditorias de terceiros. – Adendo da Proteção de Dados de Serviços Profissionais da Microsoft [1] |
(32)(1)(d), (32)(2) |
| Análise técnica de conformidade (6.15.3) | O cliente deve entender os requisitos para testar e avaliar a segurança do processamento de dados pessoais. Isso pode incluir testes técnicos, como testes de penetração. Quando o cliente usar um sistema ou processador de terceiros, ele deverá entender quais são as suas responsabilidades relacionadas a proteger e testar a segurança (por exemplo, gerenciar configurações para proteger dados e testar essas configurações). Quando o terceiro é responsável por toda ou parte da segurança do processamento, o cliente deve entender que testes ou avaliações o terceiro realiza para garantir a segurança do processamento. | Como os serviços Microsoft são testados com base em segurança quanto aos riscos identificados, incluindo testes por terceiros e os tipos de testes técnicos. - Para obter uma listagem de certificações externas, consulte Ofertas de Conformidade do Microsoft Trust Center [12] – Confira mais informações sobre testes de vulnerabilidades do aplicativo na Documentação de Segurança dos Serviços Profissionais da Microsoft. [2] |
(32)(1)(d), (32)(2) |
6. Bibliografia de recursos e links
Saiba mais
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários