Portfólio de políticas do Microsoft Cloud for Sovereignty

O Azure oferece uma série de iniciativas integradas que se alinham com vários quadros de conformidade regulamentar e padrões do setor. Estas iniciativas abrangem aspectos críticos como proteção de dados, segurança de rede e controles de acesso. Ao impor configurações e controles robustos, você pode aprimorar a soberania e a posição de segurança dos recursos do Azure da sua organização e proteger dados confidenciais contra acesso não autorizado.

Microsoft Cloud for Sovereignty estende as iniciativas integradas Azure existentes e as iniciativas de políticas personalizadas adicionando regularmente mais iniciativas.

Iniciativas de políticas internas do Azure

As iniciativas de políticas integradas do Azure são um conjunto avançado de ferramentas que permite o controle centralizado dos recursos do Azure e a aplicação de configurações específicas. Essas iniciativas compreendem uma coleção de definições de políticas e apoiam a conformidade com diversas estruturas regulatórias, padrões do setor e melhores práticas de segurança.

As iniciativas oferecem uma abordagem simplificada e automatizada à governança, permitindo que as organizações gerenciem e monitorem a conformidade em grande escala. Para obter mais informações sobre as iniciativas da política, consulte O que é política do Azure?.

Azure iniciativas de políticas personalizadas

Azure As iniciativas personalizadas de políticas ajudam você a adaptar um conjunto de políticas especificamente aos requisitos exclusivos da sua organização, dando a você controle para aplicar os padrões e regras que melhor se adaptam ao seu ambiente. Microsoft Cloud for Sovereignty torna diversas iniciativas de políticas personalizadas e mapeamentos de conformidade acessíveis por meio do repositório industry-policy-portfolio no GitHub. As iniciativas da política do Microsoft Cloud for Sovereignty auxiliam na personalização de implantações para reduzir o tempo e a complexidade necessários para auditar ambientes e ajudam a atender às estruturas de conformidade regulatória estabelecidas e aos requisitos governamentais.

Iniciativas de políticas do Microsoft Cloud for Sovereignty

As iniciativas e mapeamentos de conformidade do Microsoft Cloud for Sovereignty, que expandem as iniciativas integradas do Azure, ajudam a automatizar a aplicação de políticas e a promover uma estrutura de governança robusta que reduz o risco de não conformidade. Além disso, as iniciativas também reforçam as medidas de proteção de dados. As organizações podem usar o grande conjunto de iniciativas integradas de conformidade regulatória disponíveis enquanto continuamos a expandir outras estruturas.

Iniciativas de políticas de conformidade regulatória

Microsoft Cloud for Sovereignty mantém diversas iniciativas de políticas de conformidade regulatória no repositório industry-policy-portfolio . Este portfólio contém uma coleção de iniciativas para ajudar você a iniciar sua jornada de conformidade.

Essas iniciativas estão disponíveis como iniciativas de políticas integradas e personalizadas Azure. Você pode encontrar as iniciativas de políticas integradas nas páginas do portal de políticas Azure. Para iniciativas personalizadas, você precisa implantar a iniciativa no locatário. Para obter mais informações, consulte o repositório industry-policy-portfolio . As iniciativas políticas e os arquivos contidos neste repositório pretendem servir como um ponto de partida. Esses arquivos não pretendem ser soluções finais ou abrangentes, mas sim recursos úteis para impulsionar seus esforços.

Além das iniciativas políticas, você pode encontrar informações sobre a estrutura política e políticas específicas para controlar o objetivo mapeamento no repositório industry-policy-portfolio .

O portfólio inclui estas iniciativas políticas:

• A Diretiva NIS2 (versão preliminar) melhora a segurança cibernética e a resiliência de infraestruturas críticas e serviços digitais em toda a União Europeia, garantindo um nível mais elevado de proteção contra ameaças cibernéticas.
• Medidas de Segurança de Alto Nível do Esquema Nacional de Segurança (ENS) da Espanha exigiram controles de segurança para organizações públicas e provedores de Tecnologia da Informação e Comunicação (TIC), garantindo a conformidade com os padrões espanhóis e da UE para dados e serviços proteger.
• O Manual de Segurança da Informação da Nova Zelândia (NZ ISM) visa estabelecer processos e controles para proteger informações e sistemas do Governo da Nova Zelândia.
• A linha de base de segurança da informação governamental (Baseline informatiebeveiliging Overheid ou BIO em holandês) é a estrutura de padrões fundamentais para segurança da informação em todos os níveis do governo holandês (governo central, municípios, províncias e conselhos de águas).
• A Estratégia Italiana de Nuvem contém as diretrizes estratégicas para a migração para a nuvem de dados e serviços digitais da Administração Pública Italiana, e a Agência Nacional de Segurança Cibernética (ACN) emitiu um conjunto de requisitos para a qualificação de Serviços de Nuvem e Infraestruturas de Serviços de Nuvem.
• Uma iniciativa de política personalizada do Azure e um mapeamento de controle que ajudam os clientes a cumprir as diretrizes definidas pela estrutura de controle de segurança cibernética CCM (Matriz de Controles de Nuvem) v4 da CSA (Cloud Security Alliance) para computação em nuvem.
• Microsoft Cloud for Sovereignty Políticas Globais de Base e as Microsoft Cloud for Sovereignty Políticas Confidenciais de Base.

Microsoft publicou recentemente mais duas iniciativas de políticas integradas de conformidade regulatória: as Microsoft Cloud for Sovereignty Políticas Globais de Base e as Microsoft Cloud for Sovereignty Políticas Confidenciais de Base.

Para obter mais informações sobre essas iniciativas de política de conformidade regulatória, consulte industry-policy-portfolio.

Iniciativas da política de Linha de Base de Soberania

As iniciativas de políticas do Microsoft Clouds for Sovereignty são projetadas principalmente para ajudar a demonstrar a conformidade com uma estrutura de controle de segurança específica. No entanto, a política de Linha de Base de Soberania é um conjunto especial de Iniciativas internas do Azure Policy destinadas a complementar as estruturas com controles de soberania.

Os controles de soberania ajudam no uso adequado de ofertas de Computação Confidencial do Azure que fornecem barreiras de proteção de dados além do que as estruturas de controle de segurança existentes normalmente exigem em uma maneira de fácil adoção para as organizações.

As iniciativas da política de Linha de Base de Soberania fornecem às organizações um método simples para configurar várias políticas do Azure de uma forma que aborde um ou mais dos objetivos de controle de soberania, listados a seguir:

• Os dados do cliente devem ser armazenados e processados inteiramente em datacenters localizados em regiões geopolíticas aprovadas com base nos requisitos definidos pelo cliente.
• Os clientes devem aprovar o acesso aos dados dos clientes por operadores de nuvem e de serviços gerenciados.
• Os dados confidenciais definidos pelo cliente só devem ser acessíveis de maneira criptografada para operadores de nuvem e de serviços gerenciados.
• O cliente deve ter controle exclusivo sobre a decisão de quais identidades podem acessar as chaves usadas para descriptografar dados confidenciais definidos pelo cliente.

Estes objetivos de controle são as melhores práticas recomendadas pelo Azure para abordar questões de soberania de dados, apoiando a utilização e configurações adequadas dentro de várias ofertas do Azure que armazenam ou processam dados de clientes. Se você achar que há outros objetivos de controle necessários para incluir na linha de base, crie uma solicitação de recurso.

As iniciativas da política de Linha de Base de Soberania vêm pré-instaladas com a Zona de Destino Soberana ou podem ser implantadas em qualquer locatário do Azure como uma Azure Policy interna.

As inciativas da política de Linha de Base de Soberania não substituem as iniciativas internas de conformidade regulatória nem são mapeadas diretamente para qualquer uma das estruturas. As organizações devem continuar a utilizar as suas iniciativas existentes para demonstrar a conformidade com todos os quadros regulamentares apropriados.

Para obter mais informações sobre como Microsoft vê a soberania dos dados, revise nossos white papers.

Importante

As organizações são totalmente responsáveis por garantir sua própria conformidade com todas as leis e regulamentos aplicáveis. As informações fornecidas neste documento não constituem aconselhamento jurídico e as organizações devem consultar seus consultores jurídicos para quaisquer dúvidas relacionadas à conformidade regulatória.

Confira também

• Definições de iniciativa integradas à política Azure
  
• O que é a política Azure?