Entenda quais são os objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública.
A NBR ISO/IEC 27018 de 03/2021 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública. Em particular, este documento especifica diretrizes com base na NBR ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de DP que podem ser aplicáveis dentro do contexto do (s) ambiente (s) de risco de segurança da informação de um provedor de serviços em nuvem pública.
Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que fornecem serviços de tratamento de informações, como operadores de DP, por meio da computação em nuvem sob contrato para outras organizações. As diretrizes deste documento também podem ser pertinentes para organizações que atuam como controladores de DP. Os controladores de DP, entretanto, podem estar sujeitos à legislação, regulamentos e obrigações adicionais de proteção de DP, não aplicáveis aos operadores de DP. Este documento não se destina a abranger estas obrigações adicionais.
Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:
Como deve ser feita a separação dos ambientes de desenvolvimento, teste e operação?
Quais são as políticas e procedimentos para transferência de informações?
O que deve ser feito para a gestão de incidentes de segurança da informação?
Os provedores de serviços em nuvem que tratam dados pessoais (DP) sob contrato com seus clientes têm que operar seus serviços de forma a permitir que ambas as partes atendam aos requisitos da legislação e aos regulamentos aplicáveis que abrangem a proteção de DP. Os requisitos e a forma como os requisitos são divididos entre o provedor de serviços em nuvem e seus clientes variam de acordo com a jurisdição legal e de acordo com os termos do contrato entre o provedor de serviços em nuvem e o cliente.
A legislação que regula como os DP podem ser tratados (ou seja, coletados, utilizados, transferidos e descartados) é algumas vezes referida como legislação de proteção de dados. Os DP são algumas vezes referidos como dados pessoais ou informações pessoais. As obrigações que incidem sobre um operador de DP variam de jurisdição para jurisdição, sendo um desafio para as empresas que fornecem serviços de computação em nuvem os operarem multinacionalmente.
Um provedor de serviços em nuvem pública é um operador de DP quando ele trata DP de acordo com as instruções de um cliente que utiliza serviços em nuvem. O cliente que utiliza serviços em nuvem, que tem o relacionamento contratual com o operador de DP em nuvem pública, pode variar de uma pessoa física, um titular de DP, tratando sua própria DP na nuvem, até uma organização, um controlador de DP, que trata o DP relativo a muitos titulares de DP.
O cliente que utiliza serviços em nuvem pode autorizar um ou mais usuários para serviço em nuvem associados a ele a utilizar os serviços disponibilizados sob seu contrato com o operador de DP em nuvem pública. Observar que o cliente que utiliza serviços em nuvem tem autoridade sobre o tratamento e uso dos dados.
Um cliente que utiliza serviços em nuvem, que também é um controlador de DP, pode estar sujeito a um conjunto mais amplo de obrigações que regulam a proteção de DP do que o operador de DP em nuvem pública. A manutenção da distinção entre o controlador de DP e o operador de DP depende de o operador de DP em nuvem pública não ter objetivos de tratamento de dados diferentes dos estabelecidos pelo cliente que utiliza serviços em nuvem em relação ao DP que ele trata e às operações necessárias para atingir os objetivos do cliente que utiliza serviços em nuvem.
Quando o operador de DP em nuvem pública estiver tratando de dados da conta do cliente que utiliza serviços em nuvem, ele pode estar atuando como um controlador de DP para esta finalidade. Este documento não abrange esta atividade. A intenção deste documento, quando utilizado em conjunto com os objetivos e controles de segurança da informação descritos na NBR ISO/IEC 27002, é criar um conjunto comum de categorias e controles de segurança que possam ser implementados por um provedor de serviços de computação em nuvem pública que atua como um operador de DP.
Este documento tem os seguintes objetivos: auxiliar o provedor de serviços em nuvem pública a atender às obrigações aplicáveis ao atuar como um operador de DP, se estas obrigações incidirem sobre o operador de DP diretamente ou por contrato; permitir que o operador de DP em nuvem pública seja transparente em assuntos relevantes, de modo que os clientes possam selecionar serviços de tratamento de DP baseados em nuvem bem controlados; auxiliar o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública a realizarem um acordo contratual; prover aos clientes que utilizam serviços em nuvem um mecanismo para o exercício de direitos e responsabilidades de auditoria e conformidade, nos casos em que auditorias individuais do cliente que utiliza serviços em nuvem de dados hospedados em um ambiente de servidor virtualizado (nuvem) com várias partes possam ser impraticáveis tecnicamente e possam aumentar os riscos a estes controles de segurança de rede física e lógica no local.
Este documento pode auxiliar ao prover uma estrutura de conformidade comum para os provedores de serviços em nuvem pública, especialmente aqueles que operam em um mercado multinacional. Ele é projetado para que as organizações o utilizem como uma referência para selecionar controles de proteção de DP dentro do processo de implementação de um sistema de gestão de segurança da informação de computação em nuvem, com base na NBR ISO/IEC 27001, ou como documento de orientação para implementação de controles de proteção de DP comumente aceitos por organizações que atuam como operadores de DP em nuvem pública.
Em particular, este documento foi baseado na NBR ISO/IEC 27002, levando em consideração o (s) ambiente (s) de risco específico (s) decorrente (s) dos requisitos de proteção de DP que podem ser aplicados aos provedores de serviços de computação em nuvem pública que atuam como operadores de DP. Normalmente, uma organização que implementa a NBR ISO/IEC 27001 está protegendo seus próprios ativos de informação.
Entretanto, no contexto dos requisitos de proteção de DP para um provedor de serviços em nuvem pública que atua como um operador de DP, a organização está protegendo os ativos de informação que são confiados a ela pelos seus clientes. A implementação dos controles da NBR ISO/IEC 27002 pelo operador de DP em nuvem pública é adequada para esta finalidade e necessária.
Este documento incrementa os controles da NBR ISO/IEC 27002 para acomodar a natureza distribuída do risco e a existência de uma relação contratual entre o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública. Este documento incrementa os controles da NBR ISO/IEC 27002 de duas maneiras: as diretrizes para implementação aplicáveis à proteção de DP em nuvem pública são providas para determinados controles existentes na NBR ISO/IEC 27002; e o Anexo A que fornece um conjunto de controles adicionais e diretrizes associadas, destinados a tratar dos requisitos de proteção de DP em nuvem pública não abordados pelo conjunto de controle existente na NBR ISO/IEC 27002.
A maioria dos controles e diretrizes deste documento também se aplicará a um controlador de DP. Entretanto, o controlador de DP, na maioria dos casos, estará sujeito às obrigações adicionais não especificadas neste documento. É essencial que uma organização identifique seus requisitos para a proteção de DP.
Existem três fontes principais de requisitos, conforme descrito a seguir. Os requisitos legais, estatutários, regulatórios e contratuais, em que uma fonte é representada pelos requisitos e obrigações legais, estatutários, regulatórios e contratuais que uma organização, seus parceiros comerciais, contratados e provedores de serviços têm que atender, e suas responsabilidades socioculturais e seu ambiente operacional.
Convém observar se a legislação, regulamentos e cláusulas contratuais realizados pelo operador de DP podem requerer a seleção de controles específicos e também podem necessitar de critérios específicos para a implementação destes controles. Estes requisitos podem variar de uma jurisdição para outra.
Os riscos que são outras fontes derivadas da avaliação de riscos à organização associados aos DP, levando em consideração a estratégia e os objetivos globais de negócio da organização. Por meio de uma avaliação de riscos, as ameaças são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado.
A NBR ISO/IEC 27005 fornece as diretrizes sobre a gestão de riscos na segurança da informação, incluindo recomendações sobre a avaliação do risco, aceitação do risco, comunicação do risco, monitoramento do risco e análise crítica do risco. A NBR ISO/IEC 29134 fornece diretrizes sobre a avaliação do impacto de privacidade.
Quanto às políticas corporativas, enquanto muitos aspectos abrangidos por uma política corporativa são derivados de obrigações legais e socioculturais, uma organização também pode escolher, voluntariamente, ir além dos critérios que são derivados dos requisitos legais. Os controles podem ser selecionados deste documento (que inclui, por referência, os controles da NBR ISO/IEC 27002, criando um conjunto combinado de controle de referência para o setor ou aplicação especificado pelo escopo).
Se requerido, os controles também podem ser selecionados de outros conjuntos de controle, ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. Um serviço de tratamento de DP fornecido por um operador de DP em nuvem pública pode ser considerado uma aplicação de computação em nuvem em vez de um setor por si só. Entretanto, o termo específicos do setor é utilizado neste documento, uma vez que este é o termo convencional utilizado em outras normas da série ISO/IEC 27000.
A seleção de controles depende de decisões organizacionais com base nos critérios para aceitação do risco, nas opções para tratamento do risco e na abordagem geral da gestão de riscos aplicada à organização, e de acordos contratuais, de seus clientes e de seus fornecedores. A seleção de controles também está sujeita aos regulamentos e legislações nacionais e internacionais pertinentes.
Quando os controles neste documento não forem selecionados, é necessário que esta informação seja documentada, com justificativa pela omissão. Além disso, a seleção e a implementação de controles dependem da função real do provedor de nuvem pública no contexto de toda a arquitetura de referência de computação em nuvem (ver ISO/IEC 17789). Muitas organizações diferentes podem ser envolvidas no fornecimento de serviços de infraestrutura e de aplicação em um ambiente de computação em nuvem.
Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma categoria de serviço específica da arquitetura de referência de computação em nuvem. Em outros casos, pode haver funções compartilhadas na implementação de controles de segurança. Os acordos contratuais precisam especificar claramente as responsabilidades de proteção de DP de todas as organizações envolvidas em prover ou utilizar os serviços em nuvem, incluindo o operador de DP em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem.
Os controles neste documento podem ser considerados princípios de diretrizes e aplicáveis à maioria das organizações. Eles são explicados com mais detalhes a seguir, juntamente com as diretrizes para implementação. A implementação pode ser simplificada se os requisitos para a proteção de DP tiverem sido considerados no projeto do sistema de informações, serviços e operações do operador de DP em nuvem pública. Esta consideração é um elemento do conceito que é muitas vezes denominado Privacidade por Projeto.
Este documento pode ser considerado um ponto de partida para o desenvolvimento de diretrizes de proteção de DP. É possível que nem todos os controles e diretrizes contidos neste código de prática sejam aplicáveis. Além disso, controles e diretrizes adicionais não incluídos neste documento podem ser requeridos.
Quando documentos forem desenvolvidos contendo diretrizes ou controles adicionais, pode ser útil incluir referências cruzadas às Seções deste documento, quando aplicável, para facilitar a verificação da conformidade por auditores e parceiros de negócio. Os DP têm um ciclo de vida natural, desde a sua criação e origem, armazenamento, tratamento, uso e transmissão, até a sua eventual destruição ou obsolescência.
Os riscos aos DP podem variar durante o seu tempo de vida, porém a proteção de DP permanece importante em algumas etapas de todos os estágios. Os requisitos de proteção de DP precisam ser levados em consideração quando os sistemas de informações existentes e novos forem gerenciados por meio do seu ciclo de vida. Este documento possui uma estrutura similar à da NBR ISO/IEC 27002.
Nos casos em que os objetivos e controles especificados na NBR ISO/IEC 27002 são aplicáveis sem a necessidade de quaisquer informações adicionais, somente uma referência à NBR ISO/IEC 27002 é fornecida. Controles adicionais e diretrizes para implementação associadas, aplicáveis à proteção de DP para provedores de serviços de computação em nuvem, são descritos no Anexo A.
Nos casos em que os controles necessitam de orientações adicionais aplicáveis à proteção de DP para provedores de serviços de computação em nuvem, isto é provido sob o título Orientações para implementação da proteção de DP em nuvem pública. Em alguns casos, outras informações relevantes que incrementem as orientações adicionais são fornecidas, sob o título outras informações para proteção de DP em nuvem pública.
Conforme mostrado na tabela abaixo, estas orientações e informações específicas do setor estão incluídas nas categorias especificadas na NBR ISO/IEC 27002. Os números das Seções, que foram alinhados com os números das Seções correspondentes na NBR ISO/IEC 27002, estão indicados na tabela abaixo. Este documento deve ser utilizado em conjunto com a NBR ISO/IEC 27001, e os controles adicionais especificados no Anexo A devem ser considerados para adoção como parte do processo de implementação de um sistema de gestão de segurança da informação baseado na NBR ISO/IEC 27001.
De acordo com a NBR ISO/IEC 27002, cada categoria de controle principal contém: um objetivo do controle, declarando o que é para ser alcançado; e um ou mais controles que podem ser aplicados para alcançar o objetivo do controle. As descrições do controle estão estruturadas conforme o descrito a seguir.
O controle estabelece a declaração de controle específica para atender ao objetivo do controle. As diretrizes para implementação da proteção de DP em nuvem pública proveem informações mais detalhadas para apoiar a implementação do controle e atender aos objetivos do controle. As diretrizes podem não ser totalmente adequadas ou suficientes em todas as situações e podem não atender aos requisitos específicos de controle da organização. Os controles alternativos ou adicionais, ou outras formas de tratamento de risco (evitando, transferindo ou aceitando riscos) podem, portanto, ser apropriados.
Outras informações para proteção de DP em nuvem pública proveem informações adicionais que podem ser consideradas, como considerações legais e referências a outras normas. O controle e as diretrizes para implementação associadas e outras informações especificadas na NBR ISO/IEC 27002 são aplicáveis. As seguintes diretrizes específicas do setor também são aplicáveis.
Para as diretrizes para implementação da proteção de DP em nuvem pública, convém que as políticas de segurança da informação sejam incrementadas por uma declaração referente ao suporte e comprometimento em atingir o compliance com a legislação e os termos contratuais de proteção de DP aplicáveis acordados entre o operador de DP em nuvem pública e seus clientes (clientes que utilizam serviços em nuvem).
Convém que os acordos contratuais atribuam claramente as responsabilidades entre o operador de DP em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem, levando em consideração o tipo de serviço em nuvem em questão (por exemplo, um serviço de uma categoria IaaS, PaaS ou SaaS da arquitetura de referência de computação em nuvem).
Por exemplo, a atribuição de responsabilidade pelos controles da camada de aplicação pode diferir, dependendo se o operador de DP em nuvem pública está fornecendo um serviço de SaaS ou, em vez disso, está fornecendo um serviço de PaaS ou IaaS sobre o qual o cliente que utiliza serviços em nuvem pode construir ou estender em camadas suas próprias aplicações. Em algumas jurisdições, o operador de DP em nuvem pública está diretamente sujeito à legislação de proteção de DP.
Em outros locais, a legislação de proteção de DP é aplicável somente ao controlador de DP. Um mecanismo para assegurar que o operador de DP em nuvem pública está obrigado a apoiar e gerenciar o compliance é provido pelo contrato entre o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública.
O contrato pode requerer conformidade com auditoria independente, aceitável ao cliente que utiliza serviços em nuvem, por exemplo, por meio da implementação dos controles pertinentes neste documento e na NBR ISO/IEC 27002. Para as diretrizes para implementação da proteção de DP em nuvem pública, convém que medidas sejam implementadas para conscientizar os funcionários da organização, quando pertinente, sobre as possíveis consequências ao operador de DP em nuvem pública (por exemplo, consequências legais, perda de negócio e danos à marca ou de reputação), ao membro da equipe (por exemplo, consequências disciplinares) e ao titular de DP (por exemplo, consequências físicas, materiais e emocionais) na violação das regras e procedimentos de privacidade ou de segurança, especialmente aqueles que tratam da manipulação de DP.
Para as outras informações para proteção de DP em nuvem pública, em algumas jurisdições, o operador de DP em nuvem pública pode estar sujeito a sanções legais, incluindo multas substanciais diretamente da autoridade local de proteção de DP. Em outras jurisdições, convém que o uso de normas como este documento, na preparação do contrato entre o operador de DP em nuvem pública e o cliente que utiliza serviços em nuvem, auxilie a estabelecer uma base para sanções contratuais por violação de regras e procedimentos de segurança.
No contexto das categorias de serviço da arquitetura de referência de computação em nuvem, o cliente que utiliza serviços em nuvem pode ser responsável por alguns ou todos os aspectos do gerenciamento de acesso para usuários que utilizam serviços em nuvem sob seu controle. Quando apropriado, convém que o operador de DP em nuvem pública permita que o cliente que utiliza serviços em nuvem gerencie o acesso dos usuários sob seu controle, por exemplo, fornecendo direitos administrativos para gerenciar ou encerrar o acesso.
Convém que os procedimentos para registro e cancelamento do usuário tratem a situação quando o controle de acesso do usuário estiver comprometido, como a corrupção ou o comprometimento de senhas ou outros dados de registro do usuário (por exemplo, como resultado de uma divulgação involuntária). As jurisdições individuais podem impor requisitos específicos relativos à frequência de verificações para credenciais de autenticação não utilizadas.
Convém que as organizações que operam nessas jurisdições assegurem que elas atendam a estes requisitos. Convém que o operador de DP em nuvem pública forneça informações ao cliente que utiliza serviços em nuvem referentes às circunstâncias em que ele utiliza a criptografia para proteger os DP que ele trata.
Convém que o operador de DP em nuvem pública também forneça informações ao cliente que utiliza serviços em nuvem sobre quaisquer capacidades que ele fornece que possam auxiliar o cliente que utiliza serviços em nuvem a aplicar sua própria proteção criptográfica. Em algumas jurisdições, pode ser requerido aplicar a criptografia para proteger tipos específicos de DP, como dados de saúde relativos a um titular de DP, números de registro de residentes, números de passaporte e números de licença de motorista.
Filed under: Defesa do consumidor, direito do cidadão, gestão da qualidade, Internet, normalização, propriedade intelectual, segurança da informação, Tecnologia da Informação (TI), Telecomunicações | Leave a comment »
qualidadeonline's Blog 