Lista de verificação de preparação de responsabilidade de Serviços profissionais e de suporte da Microsoft para RGPD
1. Introdução
Esta lista de verificação de preparação da responsabilidade fornece uma forma conveniente de aceder às informações de que poderá ter de suportar o RGPD ao utilizar os Serviços Profissionais da Microsoft e os Serviços de Suporte. A lista de verificação é organizada com os títulos e o número de referência (entre parênteses para cada artigo de lista de verificação) de um conjunto de controlos de privacidade e segurança para processadores de dados pessoais retirados de:
- ISO/IEC 27701 para requisitos de gerenciamento de informações de privacidade.
- ISO/IEC 27701 para requisitos de técnicas de segurança.
Essa estrutura de controle também é usada para organizar a apresentação dos controles internos que os Serviços Profissionais da Microsoft implementam para oferecer suporte ao RGPD, que você pode baixar do Central de Confiabilidade do Serviço.
2. Condições de coleta e processamento
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Identificar e documentar a finalidade (7.2.1) | O cliente deve documentar a finalidade para a qual os dados pessoais são processados. | Uma descrição do processamento que a Microsoft realiza para você e a finalidade desse processamento, que pode ser incluído em sua documentação de responsabilidade. - Adenda à Proteção de Dados de Produtos e Serviços microsoft [1] |
(5)(1)(b), (32)(4) |
| Identificar a base legal (7.2.2) | O cliente deve compreender os requisitos relacionados à base legal do processamento, por exemplo, se o consentimento deve ser dado primeiro. | Uma descrição do processamento de dados pessoais pelos serviços Microsoft para inclusão em sua documentação de responsabilidade. - Informações-chave dos Serviços Profissionais da Microsoft para Avaliações de Impacto da Proteção de Dados dos Serviços Profissionais [9] |
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
| Determinar quando o consentimento deve ser obtido (7.2.3) | O cliente deve compreender os requisitos legais ou regulamentares para obter o consentimento de indivíduos antes do processamento de dados pessoais (quando for necessário, se o tipo de processamento for excluído do requisito, etc.), incluindo a forma como o consentimento é recolhido. | Os Serviços Profissionais da Microsoft não fornecem suporte direto para obter o consentimento do utilizador. | (6)(1)(a), (8)(1), (8)(2) |
| Obter e registrar o consentimento (7.2.4) | Quando for determinado que é necessário, o cliente deve obter o consentimento adequado. O cliente também deve estar ciente de quaisquer requisitos para a forma como um pedido de consentimento é apresentado e recolhido. | Os Serviços Profissionais da Microsoft não fornecem suporte direto para obter o consentimento do utilizador. | (7)(1), (7)(2), (9)(2)(a) |
| Avaliação de impacto de privacidade (7.2.5) | O cliente deve estar ciente dos requisitos para concluir as avaliações de impacto de privacidade (quando devem ser executados, as categorias de dados que podem exigir um, o momento certo de concluir a avaliação). | Os Serviços Professionais da Microsoft fornecem orientações sobre quando e como determinar quando executar uma DPIA e uma visão geral do programa DPIA na Microsoft, incluindo o envolvimento do DPO, que é fornecido na página de Avaliações do Impacto sobre a Proteção de Dados (DPIAs) do Portal de Confiança do Serviço. Suporte para seus DPIAs, confira: |
Artigo (35) |
| Contratos com processadores PII (7.2.6) | O cliente deve garantir que seus contratos com processadores incluam requisitos para auxiliar com quaisquer obrigações regulamentares ou legais relevantes relacionadas ao processamento e à proteção de dados pessoais. | Os contratos da Microsoft que exigem que nós ajudemos as suas obrigações de acordo com o RGPD, incluindo suporte para os direitos dos titulares dos dados. - Adenda à Proteção de Dados de Produtos e Serviços microsoft [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Registros relacionados ao processamento de PII (7.2.7) | O cliente deve manter todos os registros necessários e obrigatórios relacionados ao processamento de dados pessoais (por exemplo, finalidade, medidas de segurança etc.). Alguns desses registros devem ser fornecidos por um subprocessador e o cliente deve garantir a obtenção de tais registros. | Os Serviços Profissionais da Microsoft mantém registros necessários para demonstrar conformidade e suporte para responsabilidade sob o RGPD. Veja a documentação de segurança do Microsoft Professional Services [2] | (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Direitos de titulares dos dados
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Determinação dos direitos das entidades de segurança de PII e permitindo o exercício (7.3.1) | O cliente deve compreender os requisitos relacionados aos direitos dos indivíduos sobre o processamento de seus dados pessoais. Esses direitos podem incluir itens como acesso, correção e eliminação. Quando o cliente usar um sistema de terceiros, ele deverá determinar quais partes do sistema (se houver alguma) fornecem ferramentas relacionadas a permitir que os indivíduos exerçam seus direitos (por exemplo, de acessar seus dados). Quando o sistema fornecer esses recursos, o cliente deverá utilizá-los conforme necessário. | Os recursos que a Microsoft fornece para ajudar você a dar suporte a direitos de titulares de dados. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] |
(12)(2) |
| Determinação de informações para entidades de segurança de PII (titulares de dados) (7.3.2) | O cliente deve compreender os requisitos para os tipos de informações sobre o processamento de dados pessoais que devem estar disponíveis para serem fornecidos à pessoa. Isto pode incluir itens como: • detalhes de contato sobre o controlador ou seu representante; • Informações sobre o processamento (fins, transferência internacional e proteções relacionadas, período de retenção, etc.); • Informações sobre como o titular pode acessar e/ou corrigir seus dados pessoais; solicitar eliminação ou restrições de processamento; receber uma cópia dos dados pessoais; e fazer a portabilidade de seus dados pessoais • Como e de onde os dados pessoais foram obtidos (se não tiverem sido obtidos diretamente do titular) • Informações sobre o direito de fazer uma reclamação e para quem; • Informações sobre correções de dados pessoais; • notificação de que a organização não pode identificar o titular dos dados (titular PII), em casos em que o processamento não requer mais a identificação do titular dos dados; • transferências e/ou divulgações de dados pessoais; • Existência de tomada de decisões automatizada baseada unicamente no processamento automatizado de dados pessoais; • Informações sobre a frequência com que as informações do titular dos dados são atualizadas e fornecidas (por exemplo, notificação "na hora certa", frequência definida pela organização, etc.). Quando o cliente usar sistemas ou processadores de terceiros, ele deve determinar quais (se houver) dessas informações podem precisar ser fornecidas por ele, e garantir que ele possa obter as informações necessárias do terceiro. |
Informações sobre os serviços Microsoft que você pode incluir nos dados que fornece aos titulares dos dados. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Fornecimento de informações para entidades de segurança de PII (7.3.3) | O cliente deve cumprir quaisquer requisitos relacionados a como/quando/de que forma as informações necessárias relacionadas ao processamento dos dados pessoais de um indivíduo devem ser fornecidas ao mesmo. Nos casos em que um terceiro fornecer informações necessárias, o cliente deverá garantir que estas estejam dentro dos parâmetros exigidos pelo RGPD. | Informações em modelos sobre os Serviços Profissionais da Microsoft que você pode incluir nos dados que fornece aos titulares dos dados. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Fornecer mecanismo para modificar ou retirar o consentimento (7.3.4) | O cliente deve compreender os requisitos para informar os utilizadores sobre o seu direito de aceder, corrigir e/ou apagar os seus dados pessoais e para fornecer um mecanismo para o qual possam fazê-lo. Se for utilizado um sistema de terceiros e fornecer este mecanismo como parte da respetiva funcionalidade, o cliente deverá utilizar essa funcionalidade conforme necessário. | Informações sobre recursos nos serviços Microsoft que você pode usar ao definir as informações que fornece aos titulares dos dados ao solicitar consentimento. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Fornecer mecanismo para objeção ao processamento (7.3.5) | O cliente deve compreender os requisitos relativos aos direitos dos titulares dos dados. Quando um indivíduo tem o direito de se opor ao processamento, o cliente deve informá-lo e ter uma forma de o indivíduo registar a sua objecção. | Informações sobre os serviços Microsoft relacionados à objeção ao processamento que você pode incluir nos dados que fornece aos titulares dos dados. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Compartilhamento do exercício dos direitos das entidades de segurança de PII (7.3.6) | O cliente deve compreender os requisitos para notificar terceiros com os quais tenham sido compartilhados dados pessoais de instâncias de modificação de dados com base no exercício de direitos individuais (por exemplo, uma pessoa que solicita a eliminação ou modificação, etc.). | Informações sobre recursos nos serviços Microsoft que permitem a descoberta de dados pessoais que você compartilhou com terceiros. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] |
(19) |
| Correção ou eliminação (7.3.7) | O cliente deve compreender os requisitos para informar os utilizadores sobre o seu direito de aceder, corrigir e/ou apagar os seus dados pessoais e para fornecer um mecanismo para o qual possam fazê-lo. Se for utilizado um sistema de terceiros e fornecer este mecanismo como parte da respetiva funcionalidade, o cliente deverá utilizar essa funcionalidade conforme necessário. | Informações sobre os serviços Microsoft relacionados à habilidade de acessar, corrigir ou apagar dados pessoais que você pode incluir nos dados que fornece aos titulares dos dados. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] |
|
| Fornecimento de cópia de PII processado (7.3.8) | O cliente deve entender os requisitos relacionados ao fornecimento de uma cópia dos dados pessoais que estão sendo processados para o indivíduo. Estes podem incluir requisitos em torno do formato da cópia (ou seja, que é legível pelo computador), transferência da cópia, etc. Quando o cliente utiliza um sistema de terceiros que fornece a funcionalidade para fornecer cópias, deve utilizar esta funcionalidade conforme necessário. | Informações sobre capacidades nos serviços Microsoft para lhe permitir obter uma cópia dos respetivos dados pessoais que pode incluir nos dados que fornece aos titulares dos dados.- Pedidos de Titulares de Dados dos Serviços Profissionais da Microsoft para o RGPD [7] | (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Gerenciamento de solicitações (7.3.9) | O cliente deve compreender os requisitos para aceitar e responder a pedidos legítimos de indivíduos relacionados com o processamento dos seus dados pessoais. Quando o cliente utiliza um sistema de terceiros, deve compreender se esse sistema fornece as capacidades para esse processamento de pedidos. Se for o caso, o cliente deve utilizar esses mecanismos para processar os pedidos, conforme necessário. | Informações sobre as capacidades nos serviços Microsoft que pode utilizar ao definir as informações que fornece aos titulares dos dados à medida que gere os pedidos dos titulares dos dados.- Pedidos de Titulares de Dados dos Serviços Profissionais da Microsoft para o RGPD [7] | (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h) |
| Tomada de decisões automatizada (7.3.10) | O cliente deve compreender os requisitos relativos ao processamento automatizado de dados pessoais e onde as decisões são tomadas por essa automatização. Estes podem incluir o fornecimento de informações sobre o processamento a um indivíduo, a oposição a tal processamento ou a obtenção de intervenção humana. Quando tais recursos forem fornecidos por um sistema de terceiros, o cliente deverá garantir que o terceiro forneça qualquer informação ou suporte necessário. | Informações sobre os recursos nos serviços Microsoft que podem dar suporte à tomada de decisões automatizada que você pode usar na sua documentação de responsabilidade e modelos de informações para titulares de dados sobre esses recursos. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Privacidade por padrão e design
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Limitar coleta (7.4.1) | O cliente deve entender os requisitos em relação aos limites de coleta de dados pessoais (por exemplo, que a coleta deve ser limitada ao que é necessário para a finalidade especificada). | Descrição dos dados coletados por serviços Microsoft. - Adenda à Proteção de Dados de Produtos e Serviços microsoft [1] - Informações importantes dos Serviços Profissionais da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9]] |
(5)(1)(b), (5)(1)(c) |
| Limitar o processamento (7.4.2) | O cliente é responsável por limitar o processamento de dados pessoais para que se limite ao que é adequado para o objetivo identificado. | Descrição dos dados coletados por serviços Microsoft. - Adenda à Proteção de Dados de Produtos e Serviços microsoft [1] - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(25)(2) |
| Definir e documentar os objetivos de minimização de PII e desidentificação (7.4.3) | O cliente deve entender os requisitos em torno da desidentificação de dados pessoais, os quais podem incluir: quando devem ser usados, até que ponto devem ser desidentificados e quando não podem ser usados. | O cliente é responsável pela eliminação da identificação antes de transferir dados para a Microsoft. A Microsoft aplica a desidentificação e a criação de pseudônimos internamente quando for apropriado, a fim de oferecer garantias adicionais de privacidade para dados pessoais. | (5)(1)(c) |
| Conformidade com níveis de identificação (7.4.4) | O cliente deve usar e manter a conformidade com os objetivos e os métodos de desidentificação definidos pela sua organização. | O cliente é responsável pela eliminação da identificação antes de transferir dados para a Microsoft. A Microsoft aplica a desidentificação e a criação de pseudônimos internamente quando for apropriado, a fim de oferecer garantias adicionais de privacidade para dados pessoais. | (5)(1)(c) |
| Desidentificação e exclusão de PII (7.4.5) | O cliente deve compreender os requisitos relativos à retenção de dados pessoais para além da respetiva utilização para os fins identificados. Quando forem fornecidas ferramentas pelo sistema, o cliente deve utilizar essas ferramentas para apagar ou eliminar conforme necessário. | Recursos fornecidos pelos serviços Microsoft para dar suporte a políticas de retenção de dados. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Arquivos temporários (7.4.6) | O cliente deverá estar ciente dos arquivos temporários que serão enviados para a Microsoft podem levar a não conformidade com políticas de processamento de dados pessoais (por exemplo, dados pessoais podem ser mantidos em um arquivo temporário por mais tempo do que o necessário ou permitido). | Uma descrição dos recursos fornecidos pelo serviço para identificar dados pessoais para oferecer suporte a políticas de arquivos temporários. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] |
(5)(1)(c) |
| Retenção (7.4.7) | O cliente deverá determinar quanto tempo os dados pessoais devem ser mantidos, levando em consideração as finalidades identificadas. | Informações sobre a retenção de dados pessoais pelos serviços Microsoft que você pode incluir na documentação fornecida a titulares de dados. – Adendo da Proteção de Dados de Serviços Profissionais da Microsoft [1] |
(13)(2)(a), (14)(2)(a) |
| Descarte (7.4.8) | O cliente deve usar os mecanismos de exclusão ou descarte fornecidos pelo sistema para excluir dados pessoais. | Recursos fornecidos pelos serviços Microsoft para dar suporte a políticas de exclusão de dados. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] |
(5)(1)(f) |
| Procedimentos de coleta (7.4.9) | O cliente deve estar ciente dos requisitos sobre a precisão dos dados pessoais (por exemplo, precisão na coleta, manter os dados atualizados, etc.) e usar quaisquer mecanismos fornecidos pelo sistema para tal. | Como os serviços Microsoft fornecem suporte à precisão de dados pessoais e os recursos que eles fornecem para dar suporte à política de precisão de dados. Solicitações de Titulares dos Dados aos Serviços Profissionais da Microsoft sobre o RGPD [7] |
(5)(1)(d) |
| Controles de transmissão (7.4.10) | O cliente deve compreender os requisitos acerca da proteção da transmissão de dados pessoais, incluindo quem tem acesso a mecanismos de transmissão, registros de transmissão etc. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Identificar a base da transferência pii (7.5.1) | O cliente deve estar ciente dos requisitos para a transferência de dados pessoais (PII) para uma localização geográfica diferente e documentar as medidas adotadas para atender a esses requisitos. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
Artigos (44), (45), (46), (47), (48) e (49) |
| Países e organizações para os quais as PII podem ser transferidas (7.5.2) | O cliente deve compreender e ser capaz de fornecer ao indivíduo, aos países para os quais os dados pessoais são ou podem ser transferidos. Quando um processador/terceiros pode efetuar esta transferência, o cliente deve obter estas informações junto do processador. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(30)(1)(e) |
| Registros de transferências de PII (dados pessoais) (7.5.3) | O cliente deve manter todos os registos necessários e necessários relacionados com transferências de dados pessoais. Quando um processador/terceiro realiza a transferência, o cliente deve garantir que mantém os registos adequados e os obtém conforme necessário. | Descrição dos tipos de dados pessoais que são transferidos pelos serviços Microsoft e os locais entre os quais são transferidos e as garantias legais em relação à transferência. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(30)(1)(e) |
| Registros da divulgação de PII para terceiros (7.5.4) | O cliente deve compreender os requisitos relativos à gravação a quem os dados pessoais foram divulgados. Isto pode incluir divulgações à aplicação da lei, etc. Quando um terceiro/processador divulgar os dados, o cliente deve garantir que mantém os registos adequados e os obtém conforme necessário. | Documentação fornecida sobre as categorias de destinatários de divulgação de dados pessoais, incluindo registros disponíveis de divulgação. – Quem pode acessar seus dados e em que condições [6] |
(30)(1)(d) |
| Controlador conjunto (7.5.5) | O cliente deverá determinar se ele é um controlador conjunto com outra organização e documentar de maneira adequada e alocar responsabilidades. | A Microsoft não é um controlador conjunto de informações pessoais fornecidas como parte dos Dados de Suporte e Serviços Profissionais. | (26)(1), (26)(2), (26)(3) |
5. Proteção e segurança de dados
| Categoria | Considerações para o cliente | Documentação de apoio da Microsoft | Aborda os artigos sobre RGPD |
|---|---|---|---|
| Noções básicas sobre a organização e o contexto (5.2.1) | Os clientes devem determinar seu papel no processamento de dados pessoais (por exemplo, controlador, processador, co-controlador) para identificar os requisitos apropriados (regulatórios, etc.) para o processamento de dados pessoais. | Como a Microsoft considera cada serviço um processador ou controlador durante o processamento de dados pessoais. - Adenda à Proteção de Dados de Produtos e Serviços microsoft [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Compreensão das necessidades e expectativas das partes interessadas (5.2.2) | Os clientes devem identificar as partes que possam ter um papel ou interesse no processamento de dados pessoais (por exemplo, reguladores, auditores, titulares de dados, processadores de dados pessoais contratados) e estar cientes dos requisitos para envolver essas partes onde necessário. | Como a Microsoft incorpora os modos de exibição de todos os interessados em consideração aos riscos envolvidos no processamento de dados pessoais. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Determinar o escopo do sistema de gerenciamento de segurança de informações (5.2.3, 5.2.4) | Como parte de qualquer programa geral de segurança ou privacidade que um cliente pode ter, ele deve incluir o processamento de dados pessoais e os requisitos relacionado a isso. | Como os serviços Microsoft incluem o processamento de dados pessoais no gerenciamento de segurança de informações e em programas de privacidade. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] - Relatório de Auditoria ISO 27001 [10] |
(32)(2) |
| Planejamento (5.3) | Os clientes devem considerar a manipulação de dados pessoais como parte de qualquer avaliação de risco que concluem e aplicar os controles considerados necessários para reduzir o risco relacionado aos dados pessoais que eles controlam. | Como os serviços Microsoft consideram os riscos específicos do processamento de dados pessoais como parte de seu programa geral de privacidade e segurança. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] |
(32)(1)(b), (32)(2) |
| Políticas de segurança da informação (6.2) | O cliente deve incrementar as políticas existentes de segurança de informação de modo a incluir a proteção de dados pessoais, incluindo as políticas necessárias para conformidade com qualquer legislação aplicável. | Políticas da Microsoft para segurança de informações e medidas específicas para a proteção de informações pessoais. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] - Relatório de Auditoria ISO 27001 [10] |
24(2) |
| Considerações para o cliente da organização da segurança de informações (6.3) | O cliente deve, dentro de sua organização, definir responsabilidades pela segurança e proteção de dados pessoais. Isso pode incluir o estabelecimento de funções específicas para supervisionar assuntos relacionados à privacidade, incluindo um DPO. Treinamento apropriado e apoio administrativo devem ser fornecidos para dar suporte a essas funções. | A Microsoft publicou informações do Diretor de Proteção dos Dados da Microsoft, a natureza das suas funções, estrutura de relatórios e informações de contato. - Informações do DPO da Microsoft [13] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Segurança dos recursos humanos (6.4) | O cliente deve determinar e atribuir a responsabilidade de fornecer treinamento relevante relacionado à proteção de dados pessoais. | Uma descrição geral da função do Responsável pela Proteção de Dados da Microsoft, da natureza das suas funções, da estrutura de relatórios e das informações de contacto. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Descrição do Programa de Treinamento e Reconhecimento [3] |
(39)(1)(b) |
| Classificação de informações (6.5.1) | O cliente deve considerar explicitamente os dados pessoais como parte de um esquema de classificação de dados. | Como a Microsoft considera dados pessoais na classificação de dados, na marcação e no acompanhamento de informações. - Informações importantes dos Serviços Professional da Microsoft para Avaliações do Impacto sobre a Proteção dos Dados do Cliente [9] |
(39)(1)(b) |
| Gerenciamento de mídia removível (6.5.2) | O cliente deve determinar as políticas internas para o uso de mídia removível no que se refere à proteção de dados pessoais (por exemplo, dispositivos de criptografia). | Como os serviços Microsoft protegem a segurança de informações pessoais em qualquer mídia removível. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(32)(1)(a), (5)(1)(f) |
| Transferência de mídia física (6.5.3) | O cliente deve determinar políticas internas para proteger dados pessoais ao transferir mídia física (por exemplo, criptografia). | Como os serviços da Microsoft protegem os dados pessoais durante qualquer transferência de mídia física. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(32)(1)(a), (5)(1)(f) |
| Gerenciamento de acesso de usuário (6.6.1) | O cliente deve estar ciente de suas responsabilidades para controlar o acesso dentro do serviço que estão usando e gerenciar as responsabilidades de modo adequado, usando as ferramentas disponíveis. | As ferramentas fornecidas pelo serviços Microsoft para ajudar a impor o controle de acesso. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Registro e cancelamento de registro de usuários (6.6.2) | O cliente deve gerenciar o registro e o cancelamento de registro de usuários dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | As ferramentas fornecidas pelo serviços Microsoft para ajudar a impor o controle de acesso. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Provisionamento de acesso de usuários (6.6.3) | O cliente deve gerenciar os perfis de usuário, especialmente para acesso autorizado a dados pessoais dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte ao controle de acesso formal para dados pessoais, incluindo IDs de usuário, funções e o registro e o cancelamento de registro de usuários. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Gerenciamento de acesso privilegiado (6.6.4) | O cliente deve gerenciar as IDs de usuário para facilitar o controle de acesso (especialmente a dados pessoais) dentro do serviço que utilizam usando as ferramentas disponíveis para eles. | Como os serviços Microsoft dão suporte ao controle de acesso formal para dados pessoais, incluindo IDs de usuário, funções e o registro e o cancelamento de registro de usuários. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Procedimentos de segurança de logon (6.6.5) | O cliente deve utilizar os mecanismos fornecidos no serviço para garantir a proteção dos recursos de logon para os usuários sempre que for necessário. | Como os serviços Microsoft oferecem suporte a políticas de controle de acesso internas relacionadas a dados pessoais. – Quem pode acessar seus dados e em que condições [6] |
(5)(1)(f) |
| Criptografia (6.7) | O cliente deve determinar quais os dados que podem ter de ser encriptados e se o serviço que está a utilizar oferece esta capacidade. O cliente deve utilizar a encriptação conforme necessário, utilizando as ferramentas disponíveis para o mesmo. | Como os serviços Microsoft dão suporte à criptografia e apresentação sob pseudônimo para reduzir o risco de processamento de dados pessoais. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(32)(1)(a) |
| Descarte seguro e reutilização de equipamento (6.8.1) | Quando o cliente usa serviços de computação na nuvem (PaaS, SaaS, IaaS), devem compreender como o provedor de nuvem garante que os dados pessoais sejam apagados do espaço de armazenamento antes de esse espaço ser atribuído a outro cliente. | Como os Serviços Professionais da Microsoft garantem que os dados pessoais serão apagados de equipamento armazenamento antes desse equipamento ser transferido ou reutilizado, ao utilizar os serviços de computação em nuvem do Microsoft Azure durante os serviços profissionais. – Documentação de Segurança dos Serviços Professionais da Microsoft [2] |
(5)(1)(f) |
| Política de área de trabalho e tela limpos (6.8.2) | O cliente deve considerar os riscos em torno de material impresso que exibe dados pessoais, e restringir potencialmente a criação desse material. Quando o sistema em uso fornecer a capacidade de restringir isso (por exemplo, configurações para impedir a impressão ou a cópia/colagem de dados confidenciais), o cliente deverá considerar a necessidade de usar esses recursos. | O que a Microsoft implementa para gerenciar a cópia impressa. – A Microsoft realiza esses controles internamente, confira Serviços Profissionais Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade [11] - Conjunto de Controle RGPD dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Separação de ambientes operacionais e de desenvolvimento e teste (6.9.1) | O cliente deve considerar as implicações de uso de dados pessoais em ambientes de desenvolvimento e teste dentro da organização. | Como a Microsoft garante que dados pessoais sejam protegidos nos ambientes de desenvolvimento e teste. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Backup de informações (6.9.2) | O cliente deve garantir que use os recursos fornecidos pelo sistema para criar redundâncias em seus dados e testar conforme o necessário. | Como a Microsoft garante a disponibilidade de dados que podem incluir dados pessoais, como a precisão dos dados restaurados é garantida, e as ferramentas e procedimentos que os serviços da Microsoft fornecem para permitir o backup e a restauração de dados. - Documentação de Gerenciamento de Continuidade de Negócios do Microsoft Enterprise [5] |
(32)(1)(c), (5)(1)(f) |
| Log de eventos (6.9.3) | O cliente deve compreender as funcionalidades de registro em log fornecidas pelo sistema e utilizar esses recursos para garantir que eles possam registrar as ações relacionadas a dados pessoais consideradas necessárias. | Os dados que o serviço Microsoft registra para você, incluindo as atividades do usuário, exceções, as falhas e os eventos de segurança de informações, e como você pode acessar esses logs para usar como parte da manutenção de seus registros. – Documentação de Segurança de Serviços Professionais da Microsoft [2] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Proteção de informações registradas (6.9.4) | O cliente deve considerar os requisitos para proteger informações de registo que possam conter dados pessoais ou que possam conter registos relacionados com o processamento de dados pessoais. Quando o sistema em utilização fornece capacidades para proteger registos, o cliente deve utilizar estas capacidades sempre que necessário. | Como a Microsoft protege logs que podem conter dados pessoais. – Documentação de Segurança de Serviços Professionais da Microsoft[2] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Procedimentos e políticas de transferência de informações (6.10) | O cliente deve ter procedimentos para casos em que os dados pessoais possam ser transferidos em suportes de dados físicos (como um disco rígido a ser movido entre servidores ou instalações). Estes podem incluir registos, autorizações e controlo. Quando um processador de terceiros ou outro processador pode estar a transferir suportes de dados físicos, o cliente deve certificar-se de que a organização tem procedimentos em vigor para garantir a segurança dos dados pessoais. | Como os serviços Microsoft transferem mídia física que pode conter dados pessoais, incluindo as circunstâncias em que a transferência pode ocorrer e as medidas de proteção direcionadas para proteger os dados. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f) |
| Acordos de confidencialidade ou não divulgação (6.10.2) | O cliente deverá determinar a necessidade de acordos de confidencialidade ou o equivalente para indivíduos com acesso a ou responsabilidades relacionadas a dados pessoais. | Como os serviços Microsoft garantem que indivíduos com acesso autorizado a dados pessoais tenham compromisso com a confidencialidade. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] – Conjunto dos recursos de Controle dos Serviços Profissionais da Microsoft [4] |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Proteção de serviços de aplicativo em redes públicas (6.11.1) | O cliente deve compreender os requisitos de encriptação de dados pessoais, especialmente quando enviados através de redes públicas. Quando o sistema fornece mecanismos para encriptar dados, o cliente deve utilizar esses mecanismos sempre que necessário. | Descrição das medidas que os serviços Microsoft adotam para proteger dados em trânsito, incluindo a criptografia dos dados e como os serviços Microsoft protegem os dados que podem conter dados pessoais que passam por redes públicas de dados, incluindo as medidas de criptografia. – Documentação de Segurança de Serviços Professionais da Microsoft [2] |
(5)(1)(f), (32)(1)(a) |
| Princípios de proteção de engenharia de sistemas (6.11.2) | O cliente deve entender como os sistemas são projetados e desenvolvidos para considerar a proteção de dados pessoais. Quando um cliente utiliza um sistema projetado por terceiros, é sua responsabilidade garantir que essas proteções tenham sido consideradas. | Como os serviços Microsoft incluem princípios de proteção de dados pessoais como parte obrigatória de nossos princípios de proteção de design/engenharia. - Serviços Profissionais da Microsoft ISO/IEC 27001:2013 ISMS Declaração de Aplicabilidade[11] - O que é o Security Development Lifecycle ? |
(25)(1) |
| Relacionamentos com fornecedores (6.12) | O cliente deve garantir que quaisquer requisitos de segurança de informações e proteção de dados pessoais que sejam de responsabilidade de terceiros sejam abordados em informações contratuais ou outros acordos. Os acordos também devem abordar as instruções para processamento. | Como os serviços da Microsoft tratam da segurança e proteção de dados em contratos com nossos fornecedores e como garantimos que esses acordos sejam efetivamente implementados. – Quem pode acessar seus dados e em que condições [6] |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
| Gerenciamento de incidentes e melhorias de segurança de informações (6.13.1) | O cliente deve ter processos para determinar quando ocorreu uma violação de dados pessoais. | Como os serviços Microsoft determinam se um incidente de segurança é uma violação de dados pessoais, e como comunicamos a violação para você. - Notificação de Violação e Serviços Profissionais da Microsoft no RGPD [8] |
(33)(2) |
| Responsabilidades e procedimentos (durante incidentes de segurança de informações) (6.13.2) | O cliente deve compreender e documentar as suas responsabilidades durante uma falha de segurança de dados ou incidente de segurança que envolva dados pessoais. As responsabilidades podem incluir notificar as partes necessárias, comunicações com processadores ou outros terceiros e responsabilidades na organização do cliente. | Como notificar os serviços Microsoft se você detectar um incidente de segurança ou violação de dados pessoais. - Notificação de Violação e Serviços Profissionais da Microsoft no RGPD [8] |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Resposta a incidentes de segurança de informações (6.13.3) | O cliente deve ter processos para determinar quando ocorreu uma violação de dados pessoais. | Descrição das informações que os serviços Microsoft fornecem para ajudá-lo a decidir se ocorreu uma violação de dados pessoais. - Notificação de Violação e Serviços Profissionais da Microsoft no RGPD [8] |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Proteção de registros (6.15.1) | O cliente deve compreender os requisitos para os registros relacionados ao processamento de dados pessoais que precisam ser mantidos. | Como os serviços Microsoft armazenam registros relacionados ao processamento de dados pessoais. – Documentação de Segurança de Serviços Professionais da Microsoft [2] |
(5)(2), (24)(2) |
| Análise independente da segurança de informações (6.15.2) | O cliente deve estar ciente dos requisitos para avaliações da segurança do processamento de dados pessoais. Isso pode incluir auditorias internas ou externas ou outras medidas para avaliar a segurança do processamento. Quando o cliente depender de outra organização de terceiros para todo ou parte do processamento, ele deve coletar informações sobre essas avaliações realizadas por eles. | Como os serviços Microsoft testam e avaliam a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamento, incluindo auditorias de terceiros. – Adendo da Proteção de Dados de Serviços Profissionais da Microsoft [1] |
(32)(1)(d), (32)(2) |
| Análise técnica de conformidade (6.15.3) | O cliente deve entender os requisitos para testar e avaliar a segurança do processamento de dados pessoais. Isso pode incluir testes técnicos, como testes de penetração. Quando o cliente usar um sistema ou processador de terceiros, ele deverá entender quais são as suas responsabilidades relacionadas a proteger e testar a segurança (por exemplo, gerenciar configurações para proteger dados e testar essas configurações). Quando o terceiro é responsável por toda ou parte da segurança do processamento, o cliente deve entender que testes ou avaliações o terceiro realiza para garantir a segurança do processamento. | Como os serviços Microsoft são testados com base em segurança quanto aos riscos identificados, incluindo testes por terceiros e os tipos de testes técnicos. - Para obter uma lista de certificações externas, consulte Ofertas de Conformidade do Centro de Confiança da Microsoft [12] – Confira mais informações sobre testes de vulnerabilidades do aplicativo na Documentação de Segurança dos Serviços Profissionais da Microsoft. [2] |
(32)(1)(d), (32)(2) |