Lista de verificação de preparação de responsabilidade para Microsoft 365
1. Introdução
Esta lista de verificação de preparação de responsabilidade fornece uma maneira conveniente para acessar informações que podem ser necessárias para dar suporte ao RGPD ao usar o Microsoft Office 365.
Você pode gerenciar os itens nesta lista de verificação com o Gerente de Conformidade fazendo referência à ID de controle e ao Título do controle em Controles gerenciados do cliente no bloco RGPD.
Além disso, os itens nesta lista de verificação abaixo de 5.A Proteção de Dados & Segurança fornece referências a controlos listados em Controlos Geridos da Microsoft no mosaico RGPD no Gestor de Conformidade. Rever os Detalhes de Implementação da Microsoft para estes controlos fornece uma explicação adicional da abordagem da Microsoft para cumprir as considerações do cliente no item de lista de verificação.
A lista de verificação e o Gerente de Conformidade são organizados usando os títulos e o número de referência (entre parênteses para cada tópico da lista de verificação) de um conjunto de controles de privacidade e segurança para processadores de dados pessoais extraídos de:
- ISO/IEC 27701 para requisitos de gerenciamento de informações de privacidade.
- ISO/IEC 27701 para requisitos de técnicas de segurança.
Essa estrutura de controle também é usada para organizar a apresentação dos controles internos que o Microsoft Office 365 implementa para oferecer suporte ao RGPD, que você pode baixar da Central de Confiabilidade do Serviço.
2. Condições de coleta e processamento
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Determinar quando o consentimento deve ser obtido (7.2.3) | O cliente deve compreender os requisitos legais ou regulamentares para a obtenção de consentimento de indivíduos antes do processamento de dados pessoais (quando for necessário, se o tipo de processamento for excluído do requisito etc.), incluindo como o consentimento é coletado. | O Office 365 não oferece suporte direto para a obtenção de consentimento do usuário. | (6)(1)(a), (8)(1), (8)(2) |
| Identificar e documentar a finalidade (7.2.1) | O cliente deve documentar a finalidade para a qual os dados pessoais são processados. | Uma descrição do processamento que a Microsoft realiza para você e a finalidade desse processamento, que pode ser incluído em sua documentação de responsabilidade. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] |
(5)(1)(b), (32)(4) |
| Identificar a base legal (7.2.2) | O cliente deve compreender os requisitos relacionados à base legal do processamento, por exemplo, se o consentimento deve ser dado primeiro. | Uma descrição do processamento de dados pessoais pelos serviços Microsoft para inclusão em sua documentação de responsabilidade. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente[10] |
(5) (1) (a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)(4)(4) c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9) (2) (h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
| Determinar quando o consentimento deve ser obtido (7.2.3) | O cliente deve compreender os requisitos legais ou regulamentares para a obtenção de consentimento de indivíduos antes do processamento de dados pessoais (quando for necessário, se o tipo de processamento for excluído do requisito etc.), incluindo como o consentimento é coletado. | O Office 365 não oferece suporte direto para a obtenção de consentimento do usuário. | (6)(1)(a), (8)(1), (8)(2) |
| Obter e registrar o consentimento (7.2.4) | Quando for determinado que é necessário, o cliente deve obter o consentimento adequado. O cliente também deve estar ciente de quaisquer requisitos para a forma como um pedido de consentimento é apresentado e recolhido. | O Office 365 não oferece suporte direto para a obtenção de consentimento do usuário. | (7)(1), (7)(2), (9)(2)(a) |
| Avaliação de impacto de privacidade (7.2.5) | O cliente deve estar ciente dos requisitos para concluir as avaliações de impacto de privacidade (quando devem ser executados, as categorias de dados que podem exigir um, o momento certo de concluir a avaliação). | A forma como os serviços Microsoft determinam quando executar um DPIA e uma descrição geral do programa DPIA na Microsoft, incluindo o envolvimento do DPO, é fornecida na página Avaliações de Impacto da Proteção de Dados (DPIAs) do Portal de Confiança do Serviço. Suporte para seus DPIAs, confira: - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(35) |
| Contratos com processadores PII (7.2.6) | O cliente deve garantir que seus contratos com processadores incluam requisitos para auxiliar com quaisquer obrigações regulamentares ou legais relevantes relacionadas ao processamento e à proteção de dados pessoais. | Os contratos da Microsoft que exigem que nós ajudemos as suas obrigações de acordo com o RGPD, incluindo suporte para os direitos dos titulares dos dados. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Registros relacionados ao processamento de PII (7.2.7) | O cliente deve manter todos os registos necessários e necessários relacionados com o processamento de dados pessoais (ou seja, objetivo, medidas de segurança, etc.). Alguns desses registros devem ser fornecidos por um subprocessador e o cliente deve garantir a obtenção de tais registros. | As ferramentas fornecidas pelos serviços Microsoft para ajudá-lo a fazer a manutenção dos registros necessários para demonstrar a conformidade e o suporte com as responsabilidades de acordo com o RGPD. - Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 [16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Direitos de titulares dos dados
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Determinação dos direitos das entidades de segurança de PII e permitindo o exercício (7.3.1) | O cliente deve compreender os requisitos relacionados aos direitos dos indivíduos sobre o processamento de seus dados pessoais. Esses direitos podem incluir itens como acesso, correção e eliminação. Quando o cliente usar um sistema de terceiros, ele deverá determinar quais partes do sistema (se houver alguma) fornecem ferramentas relacionadas a permitir que os indivíduos exerçam seus direitos (por exemplo, de acessar seus dados). Quando o sistema fornecer esses recursos, o cliente deverá utilizá-los conforme necessário. | Os recursos que a Microsoft fornece para ajudar você a dar suporte a direitos de titulares de dados. - Pedidos de Titulares de Dados do Office 365 para o RGPD [8] - Declaração de Aplicabilidade do ISO/IEC do Microsoft Office 365 27001:2013 Declaração de Aplicabilidade do ISMS [12] consulte ISO, IEC 27018, controlo 2014 A.1.1 |
(12)(2) |
| Determinação de informações para entidades de segurança de PII (titulares de dados) (7.3.2) | O cliente deve compreender os requisitos para os tipos de informações sobre o processamento de dados pessoais que devem estar disponíveis para serem fornecidos à pessoa. Isto pode incluir itens como: – Detalhes de contato sobre o controlador ou seu representante; - informações sobre o processamento (fins, transferência internacional e proteções, período de retenção, etc. relacionados); – Informações sobre como o titular pode acessar e/ou corrigir seus dados pessoais; solicitar eliminação ou restrições de processamento; receber uma cópia dos dados pessoais; e fazer a portabilidade de seus dados pessoais – Como e de onde os dados pessoais foram obtidos (se não tiverem sido obtidos diretamente do titular) – Informações sobre o direito de fazer uma reclamação e para quem; – Informações sobre correções de dados pessoais; – Notificação de que a organização não pode identificar o titular dos dados (titular PII), em casos em que o processamento não requer mais a identificação do titular dos dados; – Transferências e/ou divulgações de dados pessoais; – Existência de tomada de decisões automatizada baseada unicamente no processamento automatizado de dados pessoais; – informações sobre a frequência com a qual informações para o titular dos dados são atualizadas e fornecidas (por exemplo, notificação "just in time", frequência definida pela organização etc.) Quando o cliente usar sistemas ou processadores de terceiros, ele deve determinar quais (se houver) dessas informações podem precisar ser fornecidas por ele, e garantir que ele possa obter as informações necessárias do terceiro. |
Informações sobre os serviços Microsoft que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Fornecimento de informações para entidades de segurança de PII (7.3.3) | O cliente deve cumprir quaisquer requisitos relacionados a como/quando/de que forma as informações necessárias relacionadas ao processamento dos dados pessoais de um indivíduo devem ser fornecidas ao mesmo. Nos casos em que um terceiro fornecer informações necessárias, o cliente deverá garantir que estas estejam dentro dos parâmetros exigidos pelo RGPD. | Informações em modelos sobre os serviços Microsoft que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Fornecer mecanismo para modificar ou retirar o consentimento (7.3.4) | O cliente deve compreender os requisitos para informar os utilizadores sobre o seu direito de aceder, corrigir e/ou apagar os seus dados pessoais e para fornecer um mecanismo para o qual possam fazê-lo. Se for utilizado um sistema de terceiros e fornecer este mecanismo como parte da respetiva funcionalidade, o cliente deverá utilizar essa funcionalidade conforme necessário. | Informações sobre recursos nos serviços Microsoft que você pode usar ao definir as informações que fornece aos titulares dos dados ao solicitar consentimento. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Fornecer mecanismo para objeção ao processamento (7.3.5) | O cliente deve compreender os requisitos relativos aos direitos dos titulares dos dados. Quando um indivíduo tem o direito de se opor ao processamento, o cliente deve informá-lo e ter uma forma de o indivíduo registar a sua objecção. | Informações sobre os serviços Microsoft relacionados à objeção ao processamento que você pode incluir nos dados que fornece aos titulares dos dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 4: restringir |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Compartilhamento do exercício dos direitos das entidades de segurança de PII (7.3.6) | O cliente deve compreender os requisitos para notificar terceiros com os quais tenham sido compartilhados dados pessoais de instâncias de modificação de dados com base no exercício de direitos individuais (por exemplo, uma pessoa que solicita a eliminação ou modificação, etc.). | Informações sobre recursos nos serviços Microsoft que permitem a descoberta de dados pessoais que você compartilhou com terceiros. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] |
(19) |
| Correção ou eliminação (7.3.7) | O cliente deve compreender os requisitos para informar os utilizadores sobre o seu direito de aceder, corrigir e/ou apagar os seus dados pessoais e para fornecer um mecanismo para o qual possam fazê-lo. Se for utilizado um sistema de terceiros e fornecer este mecanismo como parte da respetiva funcionalidade, o cliente deverá utilizar essa funcionalidade conforme necessário. | Informações modelo sobre os serviços da Microsoft relacionadas à sua capacidade de acessar, corrigir ou apagar dados pessoais que você pode incluir nos dados que você fornece aos titulares de dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 5: excluir |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
| Fornecimento de cópia de PII processado (7.3.8) | O cliente deve entender os requisitos relacionados ao fornecimento de uma cópia dos dados pessoais que estão sendo processados para o indivíduo. Estes podem incluir requisitos relacionados ao formato da cópia (isto é, que seja legível por máquina), transferência da cópia etc. Quando o cliente usar um sistema de terceiros com a funcionalidade de fornecer cópias, ele deverá utilizar essa funcionalidade conforme necessário. | Informações sobre recursos nos serviços Microsoft para que você possa obter uma cópia dos dados pessoais que pode incluir nos dados que fornece a titulares dos dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 6: exportar |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Gerenciamento de solicitações (7.3.9) | O cliente deve compreender os requisitos para aceitar e responder a pedidos legítimos de indivíduos relacionados com o processamento dos seus dados pessoais. Quando o cliente utiliza um sistema de terceiros, deve compreender se esse sistema fornece as capacidades para esse processamento de pedidos. Em caso afirmativo, o cliente deve utilizar esses mecanismos para processar os pedidos conforme necessário. | Informações sobre recursos nos serviços Microsoft que você pode usar ao definir as informações que fornece aos titulares dos dados quando gerencia essas solicitações. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] o cliente deve entender os requisitos relacionados ao processamento automatizado de dados pessoais, bem como onde as decisões são tomadas por tal automação. Estes podem incluir o fornecimento de informações sobre o processamento a um indivíduo, a oposição a tal processamento ou a obtenção de intervenção humana. Quando tais recursos forem fornecidos por um sistema de terceiros, o cliente deverá garantir que o terceiro forneça qualquer informação ou suporte necessário. Informações sobre os recursos nos serviços Microsoft que podem dar suporte à tomada de decisões automatizada que você pode usar na sua documentação de responsabilidade e modelos de informações para titulares de dados sobre esses recursos. |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Privacidade por padrão e design
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Limitar coleta (7.4.1) | O cliente deve entender os requisitos em relação aos limites de coleta de dados pessoais (por exemplo, que a coleta deve ser limitada ao que é necessário para a finalidade especificada). | Descrição dos dados coletados por serviços Microsoft. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(5)(1)(b), (5)(1)(c) |
| Limitar o processamento (7.4.2) | O cliente é responsável pela limitação do processamento de dados pessoais para que seja limitado ao que for adequado para a finalidade identificada. | Descrição dos dados coletados por serviços Microsoft. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(25)(2) |
| Definir e documentar os objetivos de minimização de PII e desidentificação (7.4.3) | O cliente deve entender os requisitos em torno da desidentificação de dados pessoais, os quais podem incluir: quando devem ser usados, até que ponto devem ser desidentificados e quando não podem ser usados. | A Microsoft aplica a desidentificação e a criação de pseudônimos internamente quando for apropriado, a fim de oferecer garantias adicionais de privacidade para dados pessoais. | (5)(1)(c) |
| Conformidade com níveis de identificação (7.4.4) | O cliente deve usar e manter a conformidade com os objetivos e os métodos de desidentificação definidos pela sua organização. | A Microsoft aplica a desidentificação e a criação de pseudônimos internamente quando for apropriado, a fim de oferecer garantias adicionais de privacidade para dados pessoais. | (5)(1)(c) |
| Desidentificação e exclusão de PII (7.4.5) | O cliente deve compreender os requisitos relativos à retenção de dados pessoais para além da respetiva utilização para os fins identificados. Quando forem fornecidas ferramentas pelo sistema, o cliente deve utilizar essas ferramentas para apagar ou eliminar conforme necessário. | Recursos fornecidos pelos serviços em nuvem da Microsoft para dar suporte a políticas de retenção de dados. – Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 5: Excluir |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Arquivos temporários (7.4.6) | O cliente deve estar ciente dos arquivos temporários que podem ser criados pelo sistema que podem levar à não conformidade com as políticas de processamento de dados pessoais (por exemplo, os dados pessoais podem ficar retidos em um arquivo temporário por mais tempo que o necessário ou permitido). Quando o sistema fornecer essas ferramentas para exclusão ou verificação temporária de arquivos, o cliente deverá utilizar essas ferramentas para atender aos requisitos. | Uma descrição dos recursos fornecidos pelo serviço para identificar dados pessoais para oferecer suporte a políticas de arquivos temporários. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8], confira a Etapa 1: Descobrir |
(5)(1)(c) |
| Retenção (7.4.7) | O cliente deverá determinar quanto tempo os dados pessoais devem ser mantidos, levando em consideração as finalidades identificadas. | Informações sobre a retenção de dados pessoais pelos serviços Microsoft que você pode incluir na documentação fornecida a titulares de dados. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira Segurança de Dados, Retenção [1] |
(13)(2)(a), (14)(2)(a) |
| Descarte (7.4.8) | O cliente deve usar os mecanismos de exclusão ou descarte fornecidos pelo sistema para excluir dados pessoais. | Recursos fornecidos pelos serviços em nuvem da Microsoft para dar suporte a políticas de exclusão de dados. –* Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 5: excluir |
(5)(1)(f) |
| Procedimentos de coleta (7.4.9) | O cliente deve estar ciente dos requisitos sobre a precisão dos dados pessoais (por exemplo, precisão na coleta, manter os dados atualizados, etc.) e usar quaisquer mecanismos fornecidos pelo sistema para tal. | Como os serviços Microsoft fornecem suporte à precisão de dados pessoais e os recursos que eles fornecem para dar suporte à política de precisão de dados. - Solicitações de Entidades de Dados do Office 365 para o RGPD [8] confira Etapa 3: corrigir |
(5)(1)(d) |
| Controles de transmissão (7.4.10) | O cliente deve compreender os requisitos acerca da proteção da transmissão de dados pessoais, incluindo quem tem acesso a mecanismos de transmissão, registros de transmissão etc. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Identificar a base da transferência pii (7.5.1) | O cliente deve estar ciente dos requisitos para a transferência de dados pessoais (PII) para uma localização geográfica diferente e documentar as medidas adotadas para atender a esses requisitos. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
Artigos (44), (45), (46), (47), (48) e (49) |
| Países e organizações para os quais as PII podem ser transferidas (7.5.2) | O cliente deve compreender e ser capaz de fornecer ao indivíduo os países para os quais os dados pessoais são ou podem ser transferidos. Quando um processador/terceiros pode efetuar esta transferência, o cliente deve obter estas informações junto do processador. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(30)(1)(e) |
| Registros de transferências de PII (dados pessoais) (7.5.3) | O cliente deve manter todos os registos necessários e necessários relacionados com transferências de dados pessoais. Quando um processador/terceiro realiza a transferência, o cliente deve garantir que mantém os registos adequados e os obtém conforme necessário. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] |
(30)(1)(e) |
| Registros da divulgação de PII para terceiros (7.5.4) | O cliente deve compreender os requisitos relativos à gravação a quem os dados pessoais foram divulgados. Isto pode incluir divulgações à aplicação da lei, etc. Quando um terceiro/processador divulgar os dados, o cliente deve garantir que mantém os registos adequados e os obtém conforme necessário. | Documentação fornecida sobre as categorias de destinatários de divulgação de dados pessoais, incluindo registros disponíveis de divulgação. - Quem pode acessar seus dados e em que condições [6] |
(30)(1)(d) |
| Controlador conjunto (7.5.5) | O cliente deverá determinar se ele é um controlador conjunto com outra organização e documentar de maneira adequada e alocar responsabilidades. | Documentação de serviços Microsoft que são controladores de informações pessoais, incluindo modelos de informações que podem ser incluídos na documentação para titulares de dados. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o Processamento de Dados Pessoais; RGPD [1] |
5. Proteção e segurança de dados
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Noções básicas sobre a organização e o contexto (5.2.1) | Os clientes devem determinar seu papel no processamento de dados pessoais (por exemplo, controlador, processador, co-controlador) para identificar os requisitos apropriados (regulatórios, etc.) para o processamento de dados pessoais. | Como a Microsoft considera cada serviço um processador ou controlador durante o processamento de dados pessoais. - Termos do Microsoft Online Services, Termos de Proteção de Dados, confira o "Processamento de Dados Pessoais; RGPD e Responsabilidades dos papéis do Processador e Controlador" [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Compreensão das necessidades e expectativas das partes interessadas (5.2.2) | Os clientes devem identificar as partes que possam ter um papel ou interesse no processamento de dados pessoais (por exemplo, reguladores, auditores, titulares de dados, processadores de dados pessoais contratados) e estar cientes dos requisitos para envolver essas partes onde necessário. | Como a Microsoft incorpora os modos de exibição de todos os interessados em consideração aos riscos envolvidos no processamento de dados pessoais. - Informações importantes do Office 365 para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [10] - Manual de ISMS do Office 365 [14] confira 4.2 COMPREENSÃO DAS NECESSIDADES E EXPECTATIVAS DAS PARTES INTERESSADAS – Compreender as necessidades e as expectativas das partes interessadas 5.2.2 no Gerente de Conformidade |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Determinar o escopo do sistema de gerenciamento de segurança de informações (5.2.3, 5.2.4) | Como parte de qualquer programa geral de segurança ou privacidade que um cliente pode ter, ele deve incluir o processamento de dados pessoais e os requisitos relacionado a isso. | Como os serviços Microsoft incluem o processamento de dados pessoais no gerenciamento de segurança de informações e em programas de privacidade. - Microsoft Office 365 ISO/IEC 27001:2013 ISMS Declaração de aplicabilidade [12] confira A.19 - SOC 2 Relatório de auditoria Tipo 2 [11] - Manual do ISMS do Office 365 [14] consulte 4. Contexto da Organização – 5.2.3 Determinar o escopo do sistema de gerenciamento de segurança de informações no Gerente de Conformidade – 5.2.4 Sistema de gerenciamento de segurança de informações no Gerente de Conformidade |
(32)(2) |
| Planejamento (5.3) | Os clientes devem considerar a manipulação de dados pessoais como parte de qualquer avaliação de risco que concluem e aplicar os controles considerados necessários para reduzir o risco relacionado aos dados pessoais que eles controlam. | Como os serviços Microsoft consideram os riscos específicos do processamento de dados pessoais como parte de seu programa geral de privacidade e segurança. - Manual de ISMS do Office 365 [14]confira 5.2 Política – 5.3 Planejamento no Gerente de Conformidade |
(32)(1)(b), (32)(2) |
| Políticas de segurança da informação (6.2) | O cliente deve incrementar as políticas existentes de segurança de informação de modo a incluir a proteção de dados pessoais, incluindo as políticas necessárias para conformidade com qualquer legislação aplicável. | Políticas da Microsoft para segurança de informações e medidas específicas para a proteção de informações pessoais. - Microsoft Office 365 (todo o produto) ISO/IEC 27001:2013 ISMS Declaração de aplicabilidade [12] confira A.19 - SOC 2 Relatório de auditoria Tipo 2 [11] – 6.2 Políticas de segurança de informações no Gerente de Conformidade |
24(2) |
| Considerações para o cliente da organização da segurança de informações (6.3) | O cliente deve, dentro de sua organização, definir responsabilidades pela segurança e proteção de dados pessoais. Isso pode incluir o estabelecimento de funções específicas para supervisionar assuntos relacionados à privacidade, incluindo um DPO. Treinamento apropriado e apoio administrativo devem ser fornecidos para dar suporte a essas funções. | Uma visão geral da função do Diretor de Proteção de Dados da Microsoft, a natureza de suas responsabilidades, a estrutura hierárquica e as informações de contato. - Responsável pela proteção dos dados da Microsoft [18] - Manual de ISMS do Office 365 [14] confira 5.3 FUNÇÕES, RESPONSABILIDADES E AUTORIDADES ORGANIZACIONAIS – 6.3 Organização da segurança das informações no Gerente de Conformidade |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Segurança dos recursos humanos (6.4) | O cliente deve determinar e atribuir a responsabilidade de fornecer treinamento relevante relacionado à proteção de dados pessoais. | Uma visão geral da função do Diretor de Proteção de Dados da Microsoft, a natureza de suas responsabilidades, a estrutura hierárquica e as informações de contato. - Responsável pela proteção dos dados da Microsoft [18] - Manual de ISMS do Office 365 [14] confira 5.3 FUNÇÕES, RESPONSABILIDADES E AUTORIDADES ORGANIZACIONAIS – 6.4 Segurança de recursos humanos no Gerenciador de Conformidade |
(39)(1)(b) |
| Classificação de informações (6.5.1) | O cliente deve considerar explicitamente os dados pessoais como parte de um esquema de classificação de dados. | Recursos no Office 365 para oferecer suporte à classificação de dados pessoais. - Proteção de Informações do Office 365 para RGPD [5] confira Desenvolver um esquema de classificação para dados pessoais – 6.5.1 Classificação de Informações do Gerente de Conformidade |
(39)(1)(b) |
| Gerenciamento de mídia removível (6.5.2) | O cliente deve determinar as políticas internas para o uso de mídia removível no que se refere à proteção de dados pessoais (por exemplo, dispositivos de criptografia). | Como os serviços Microsoft protegem a segurança de informações pessoais em qualquer mídia removível. - FedRAMP Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 13.10 MP (Proteção de Mídia) – Gerenciamento de mídia removível no Gerente de Conformidade |
(32)(1)(a), (5)(1)(f) |
| Transferência de mídia física (6.5.3) | O cliente deve determinar políticas internas para proteger dados pessoais ao transferir mídia física (por exemplo, criptografia). | Como os serviços da Microsoft protegem os dados pessoais durante qualquer transferência de mídia física. – FedRAMP - Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 13.10 MP (Proteção de Mídia) – 6.5.3 Transferência de mídia física no Gerente de Conformidade |
(32)(1)(a), (5)(1)(f) |
| Gerenciamento de acesso de usuário (6.6.1) | O cliente deve estar ciente de suas responsabilidades para controlar o acesso dentro do serviço que estão usando e gerenciar as responsabilidades de modo adequado, usando as ferramentas disponíveis. | As ferramentas fornecidas pelo serviços Microsoft para ajudar a impor o controle de acesso. – Documentação de segurança do Office 365 [2] confira Proteja o acesso a dados e serviços no Office 365 – 6.6.1 em Gerenciador de Conformidade |
(5)(1)(f) |
| Registro e cancelamento de registro de usuários (6.6.2) | O cliente deve gerenciar o registro e o cancelamento de registro de usuários dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | As ferramentas fornecidas pelo serviços Microsoft para ajudar a impor o controle de acesso. – Documentação de segurança do Office 365 [2] confira Proteja o acesso a dados e serviços no Office 365 – 6.6.2 Registro e cancelamento de registro de usuários no Gerente de Conformidade |
(5)(1)(f) |
| Provisionamento de acesso de usuários (6.6.3) | O cliente deve gerenciar os perfis de usuário, especialmente para acesso autorizado a dados pessoais dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte ao controle de acesso formal para dados pessoais, incluindo IDs de usuário, funções, acesso a aplicativos e o registro e o cancelamento de registro de usuários. – Documentação de segurança do Office 365 [2] confira Proteja o acesso a dados e serviços no Office 365 - Use restrições de locatário para gerenciar o acesso a aplicativos em nuvem SaaS [15] – Provisionamento de acesso de usuários no Gerente de Conformidade |
(5)(1)(f) |
| Gerenciamento de acesso privilegiado (6.6.4) | O cliente deve gerenciar as IDs de usuário para facilitar o controle de acesso (principalmente a dados pessoais) dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte ao controle de acesso formal para dados pessoais, incluindo IDs de usuário, funções e o registro e o cancelamento de registro de usuários. – Documentação de segurança do Office 365 2 confira Proteja o acesso a dados e serviços no Office 365 – Usar restrições de locatário para gerenciar o acesso a aplicativos de SaaS na nuvem [15] – 6.6.4 Gerenciamento de acesso privilegiado em Gerenciador de Conformidade |
(5)(1)(f) |
| Procedimentos de segurança de logon (6.6.5) | O cliente deve utilizar os mecanismos fornecidos no serviço para garantir a proteção dos recursos de logon para os usuários sempre que for necessário. | Como os serviços Microsoft oferecem suporte a políticas de controle de acesso internas relacionadas a dados pessoais. – Quem pode acessar seus dados e em que condições [6] – 6.6.5 Procedimentos de segurança de logon em Gerenciador de Conformidade |
(5)(1)(f) |
| Criptografia (6.7) | O cliente deve determinar quais os dados que podem ter de ser encriptados e se o serviço que está a utilizar oferece esta capacidade. O cliente deve utilizar a encriptação conforme necessário, utilizando as ferramentas disponíveis para o mesmo. | Como os serviços Microsoft dão suporte à criptografia e apresentação sob pseudônimo para reduzir o risco de processamento de dados pessoais. – FedRAMP Plano moderado de segurança de sistema FedRAMP (SSP) confira Cosmos pág. 29 – 6.7 Criptografia no Gerente de Conformidade |
(32)(1)(a) |
| Descarte seguro e reutilização de equipamento (6.8.1) | Quando o cliente usa serviços de computação na nuvem (PaaS, SaaS, IaaS), devem compreender como o provedor de nuvem garante que os dados pessoais sejam apagados do espaço de armazenamento antes de esse espaço ser atribuído a outro cliente. | Como os serviços Microsoft garantem que os dados pessoais são apagados do equipamento de armazenamento antes de esse equipamento ser transferido ou reutilizado. – FedRAMP - Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 13.10 MP (Proteção de Mídia) – 6.8.1 Descarte seguro ou reutilização de equipamentos no Gerenciador de Conformidade] |
(5)(1)(f) |
| Política de área de trabalho e tela limpos (6.8.2) | O cliente deve considerar os riscos em torno de material impresso que exibe dados pessoais, e restringir potencialmente a criação desse material. Quando o sistema em uso fornecer a capacidade de restringir isso (por exemplo, configurações para impedir a impressão ou a cópia/colagem de dados confidenciais), o cliente deverá considerar a necessidade de usar esses recursos. | O que a Microsoft implementa para gerenciar a cópia impressa. – A Microsoft realiza a manutenção desses controles internamente, confira Microsoft Office 365 ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade [12] A.10.2, A.10.7 e A.4.1 – 6.8.2 Política de área de trabalho e tela limpos no Gerente de Conformidade |
(5)(1)(f) |
| Separação de ambientes operacionais e de desenvolvimento e teste (6.9.1) | O cliente deve considerar as implicações de uso de dados pessoais em ambientes de desenvolvimento e teste dentro da organização. | Como a Microsoft garante que dados pessoais sejam protegidos nos ambientes de desenvolvimento e teste. – Microsoft Office 365 ISO/IEC 27001:2013 ISMS Declaração de aplicabilidade [12] confira A.12.1.4 – 6.9.1 Separação de desenvolvimento, teste e ambientes operacionais no Gerente de Conformidade |
5(1)(f) |
| Backup de informações (6.9.2) | O cliente deve garantir que use os recursos fornecidos pelo sistema para criar redundâncias em seus dados e testar conforme o necessário. | Como a Microsoft garante a disponibilidade de dados que podem incluir dados pessoais, como a precisão dos dados restaurados é garantida, e as ferramentas e procedimentos que os serviços da Microsoft fornecem para permitir o backup e a restauração de dados. – FedRAMP - Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 10.9 disponibilidade – 6.9.2 Informações de Backup no Gerente de Conformidade |
(32)(1)(c), (5)(1)(f) |
| Log de eventos (6.9.3) | O cliente deve compreender as funcionalidades de registro em log fornecidas pelo sistema e utilizar esses recursos para garantir que eles possam registrar as ações relacionadas a dados pessoais consideradas necessárias. | Os dados que o serviço Microsoft registra para você, incluindo as atividades do usuário, exceções, as falhas e os eventos de segurança de informações, e como você pode acessar esses logs para usar como parte da manutenção de seus registros. – Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 [16] - 6.9.3 Registo de eventos no Gestor de Conformidade |
(5)(1)(f) |
| Proteção de informações registradas (6.9.4) | O cliente deve considerar os requisitos para proteger informações de registo que possam conter dados pessoais ou que possam conter registos relacionados com o processamento de dados pessoais. Quando o sistema em utilização fornece capacidades para proteger registos, o cliente deve utilizar estas capacidades sempre que necessário. | Como a Microsoft protege logs que podem conter dados pessoais. – Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 [16] 6.9.4 Proteção de informações registradas no Gerente de Conformidade |
(5)(1)(f) |
| Políticas e procedimentos de transferência de informações (6.10.1) | O cliente deve ter procedimentos para casos em que os dados pessoais possam ser transferidos em suportes de dados físicos (como um disco rígido a ser movido entre servidores ou instalações). Estes podem incluir registos, autorizações e controlo. Quando um processador de terceiros ou outro processador pode estar a transferir suportes de dados físicos, o cliente deve certificar-se de que a organização tem procedimentos em vigor para garantir a segurança dos dados pessoais. | Como os serviços Microsoft transferem mídia física que pode conter dados pessoais, incluindo as circunstâncias em que a transferência pode ocorrer e as medidas de proteção direcionadas para proteger os dados. – FedRAMP - Plano moderado de segurança de sistema FedRAMP (SSP) [3] confira 13.10 MP (Proteção de Mídia) – 6.10.1 Políticas e procedimentos de transferência de informações no Gerente de Conformidade |
(5)(1)(f) |
| Acordos de confidencialidade ou não divulgação (6.10.2) | O cliente deverá determinar a necessidade de acordos de confidencialidade ou o equivalente para indivíduos com acesso a ou responsabilidades relacionadas a dados pessoais. | Como os serviços Microsoft garantem que indivíduos com acesso autorizado a dados pessoais tenham compromisso com a confidencialidade. – Relatório de auditoria SOC 2 Tipo 2 [11] confira CC1.4 pág. 33 – Acordos de confidencialidade, 6.10.2 no Gerente de Conformidade |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Proteção de serviços de aplicativo em redes públicas (6.11.1) | O cliente deve compreender os requisitos de encriptação de dados pessoais, especialmente quando enviados através de redes públicas. Quando o sistema fornece mecanismos para encriptar dados, o cliente deve utilizar esses mecanismos sempre que necessário. | Descrição das medidas que os serviços Microsoft adotam para proteger dados em trânsito, incluindo a criptografia dos dados e como os serviços Microsoft protegem os dados que podem conter dados pessoais que passam por redes públicas de dados, incluindo as medidas de criptografia. – Criptografia no Microsoft Cloud [17] confira Criptografia de dados de clientes em trânsito – 6.11.1 Como proteger serviços de aplicativo em redes públicas no Gerente de Conformidade |
(5)(1)(f), (32)(1)(a) |
| Princípios de proteção de engenharia de sistemas (6.11.2) | O cliente deve entender como os sistemas são projetados e desenvolvidos para considerar a proteção de dados pessoais. Quando um cliente utiliza um sistema projetado por terceiros, é sua responsabilidade garantir que essas proteções tenham sido consideradas. | Como os serviços Microsoft incluem princípios de proteção de dados pessoais como parte obrigatória de nossos princípios de proteção de design/engenharia. - Relatório de Auditoria do SOC 2 Tipo 2 [11], confira Ciclo de Vida de Desenvolvimento de Segurança pág. 23, CC7.1 pág. 45 – Garantir princípios de proteção de engenharia de sistemas no Gerente de Conformidade |
(25)(1) |
| Relacionamentos com fornecedores (6.12) | O cliente deve garantir que quaisquer requisitos de segurança de informações e proteção de dados pessoais que sejam de responsabilidade de terceiros sejam abordados em informações contratuais ou outros acordos. Os acordos também devem abordar as instruções para processamento. | Como os serviços Microsoft abordam a segurança e a proteção de dados em nossos acordos com nossos fornecedores e como garantimos que esses acordos sejam implementados. – Quem pode acessar seus dados e em que condições [6] – Contratos para subprocessadores: contratação com a Microsoft [7] – 6.12 Relacionamentos com fornecedores no Gerente de Conformidade |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
| Gerenciamento de incidentes e melhorias de segurança de informações (6.13.1) | O cliente deve ter processos para determinar quando ocorreu uma violação de dados pessoais. | Como os serviços Microsoft determinam se um incidente de segurança é uma violação de dados pessoais, e como comunicamos a violação para você. – Office 365 e notificação de violação no RGPD [9] – Gerenciamento de incidentes e melhorias de segurança de informações, 6.13.1 no Gerente de Conformidade |
(33)(2) |
| Responsabilidades e procedimentos (durante incidentes de segurança de informações) (6.13.2) | O cliente deve compreender e documentar as suas responsabilidades durante uma falha de segurança de dados ou incidente de segurança que envolva dados pessoais. As responsabilidades podem incluir notificar as partes necessárias, comunicações com processadores ou outros terceiros e responsabilidades na organização do cliente. | Como notificar os serviços Microsoft se você detectar um incidente de segurança ou violação de dados pessoais – Office 365 e notificação de violação no RGPD [9] – 6.13.2 Responsabilidades e procedimentos no Gerente de Conformidade |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Resposta a incidentes de segurança de informações (6.13.3) | O cliente deve ter processos para determinar quando ocorreu uma violação de dados pessoais. | Descrição das informações que os serviços Microsoft fornecem para ajudá-lo a decidir se ocorreu uma violação de dados pessoais. – Office 365 e notificação de violação no RGPD [9] – 6.13.3 Resposta a incidentes de segurança de informações no Gerente de Conformidade |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Proteção de registros (6.15.1) | O cliente deve compreender os requisitos para os registros relacionados ao processamento de dados pessoais que precisam ser mantidos. | Como os serviços Microsoft armazenam registros relacionados ao processamento de dados pessoais – Pesquisar o log de auditoria no Centro de Conformidade e Segurança do Office 365 [16] – Microsoft Office 365 ISO/IEC 27001:2013 ISMS Declaração de aplicabilidade [12] confira A.18.1.3 – Manual de ISMS do Office 365 [14], confira 9 Avaliação de desempenho |
(5)(2), (24)(2) |
| Análise independente da segurança de informações (6.15.2) | O cliente deve estar ciente dos requisitos para avaliações da segurança do processamento de dados pessoais. Isso pode incluir auditorias internas ou externas ou outras medidas para avaliar a segurança do processamento. Quando o cliente depender de outra organização de terceiros para todo ou parte do processamento, ele deve coletar informações sobre essas avaliações realizadas por eles. | Como os serviços Microsoft testam e avaliam a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento, incluindo auditorias de terceiros. Termos do Microsoft Online Services, Termos de Proteção de Dados, confira Segurança de Dados e Conformidade de Auditoria [1] – Manual de ISMS do Office 365 [14] confira 9 Avaliação de desempenho – 6.15.2 Análise independente da segurança das informações no Gerente de Conformidade |
(32)(1)(d), (32)(2) |
| Análise técnica de conformidade (6.15.3) | O cliente deve entender os requisitos para testar e avaliar a segurança do processamento de dados pessoais. Isso pode incluir testes técnicos, como testes de penetração. Quando o cliente usar um sistema ou processador de terceiros, ele deverá entender quais são as suas responsabilidades relacionadas a proteger e testar a segurança (por exemplo, gerenciar configurações para proteger dados e testar essas configurações). Quando o terceiro é responsável por toda ou parte da segurança do processamento, o cliente deve entender que testes ou avaliações o terceiro realiza para garantir a segurança do processamento. | Como os serviços Microsoft são testados com base em segurança quanto aos riscos identificados, incluindo testes de terceiros e os tipos de testes técnicos e os relatórios disponíveis por meio dos testes. – Termos do Microsoft Online Services, Termos de Proteção de Dados, confira a Conformidade de auditoria e segurança de dados [1] - Para obter uma lista de certificações externas, confira as ofertas de conformidade do Microsoft Trust Center [ 13 ] – Para saber mais sobre teste de invasão de seus aplicativos, confira FedRAMP Moderado e Plano de Segurança de Sistema FedRAMP (SSP) [3], Teste de Invasão CA-8 (M) (H) pág. 204 - 6.15.3 Revisão de conformidade técnica no Gestor |
(32)(1)(d), (32)(2) |