Os caminhos e os espaços para o cabeamento estruturado

A NBR 16415 de 10/2021 – Caminhos e espaços para cabeamento estruturado especifica a estrutura e os requisitos para os caminhos e espaços, dentro ou entre edifícios, para troca de informações e cabeamento estruturado, de acordo com a NBR 14565. Também influencia a alocação de espaço no interior do edifício e abrange os edifícios monousuários e multiusuários. Não abrange os aspectos de segurança do projeto do edifício, medidas de contenção de incêndio ou sistemas de telecomunicações que requeiram quaisquer tipos especiais de medidas de segurança. Os requisitos de segurança elétrica, de incêndio e de compatibilidade eletromagnética estão fora do escopo dessa norma.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como devem ser projetadas as caixas de passagem e de emenda?

Como devem ser os espaços que contêm distribuidores?

Onde devem ser posicionados os pontos de terminação?

Como deve ser feita a seleção de estruturas de caminhos?

Para conformidade com esta norma, os requisitos descritos nessa norma e nos seus Anexos A a D devem ser atendidos. Toda infraestrutura metálica, os componentes e os suportes devem ser aterrados e equipotencializados. As especificações de segurança pessoal e do trabalho estão fora do escopo desta norma.

O projetista deve seguir as normas de segurança aplicáveis ao local das instalações. A figura abaixo mostra as relações entre os elementos dos caminhos e os espaços para cabeamento estruturado dentro de um edifício monousuário.

Existem alguns critérios que se aplicam a todos os espaços de telecomunicações. Eles não podem estar localizados em saídas de emergência e áreas sujeitas à inundação e infiltração de água. Os subsolos de edifícios devem ser evitados. Os sistemas de drenagem no piso são recomendados se houver risco de ingresso de água no espaço.

Os espaços devem estar livres de encanamentos de água ou dreno que não sejam requeridos para suportar os equipamentos ali instalados. Um encanamento de dreno deve ser considerado dentro das salas de telecomunicações em caso de risco de entrada de água nestes espaços e devem ser vedados para prevenir o ingresso de contaminantes, pragas, propagação de chamas, gases tóxicos, etc. O piso, as paredes e o teto devem ser construídos de modo a reduzir a quantidade de pó e outros contaminantes no interior do espaço e devem ser selecionados materiais de piso com propriedades antiestáticas.

Deve-se levar em consideração a demanda inicial e a expansão futura e evitar áreas que possam limitar a expansão, como poços de elevadores, caixas de escadas e paredes fixas. Os limites de carga de piso não podem ser excedidos durante a construção e operação e os acabamentos devem ser de cor clara para melhorar a iluminação do espaço. Na construção, devem oferecer níveis adequados de segurança e acesso restrito para o cabeamento estruturado, e a sinalização deve ser feita de acordo com a política de segurança da organização.

As classificações de risco de áreas que contêm equipamentos ativos ópticos, bem como cabeamento óptico, devem ser tratadas de acordo com a IEC 60825-2 para a determinação de práticas adequadas de instalação e identificação e a implementação adequada dos requisitos desta norma deve considerar que as instalações elétricas, a equipotencialização e as medidas de proteção contra sobretensões sejam observadas. O conceito mecânico, ingresso, climático/químico, eletromagnético (MICE) deve ser aplicado ao ambiente industrial conforme a NBR 16521, devendo ser usado para descrever o ambiente no qual o cabeamento ou partes do cabeamento forem instalados.

A infraestrutura para o cabeamento deve ser selecionada para oferecer proteção ambiental suficiente para que o cabeamento atenda aos requisitos de desempenho de transmissão. O acesso aos caminhos entre edifícios é feito nos espaços de telecomunicações e estruturas, como caixas de passagem e inspeção, poços de visita, etc.

Todas as aberturas para acesso aos espaços e estruturas devem manter as características ambientais. A entrada de cabo nos espaços e infraestruturas deve prover suporte para prevenir sua dobra excessiva e oferecer alívio de tensão conforme especificação ou instruções dos fabricantes.

O material usado na construção de espaços e estruturas deve ser especificado para resistir à deterioração causada por irradiação solar. Os poços de visita devem ser projetados para garantir a manutenção do raio mínimo de curvatura dos cabos a serem instalados. Quando vários tipos de cabos ou várias especificações de raio mínimo de curvatura estiverem envolvidos, o maior raio deve ser considerado no projeto.

Essas estruturas devem ser grandes o suficiente para conter gabinetes, bastidores e acessórios de suporte, se necessário. O roteamento de cabos pelos poços de visita deve permitir que a instalação esteja em conformidade com os seguintes requisitos: os cabos devem ser instalados em primeiro lugar nos níveis mais altos; os cabos não podem ser entrelaçados; devem ser utilizados suportes para evitar que os cabos fiquem depositados na base do poço; não pode ser mantido excesso de cabos no poço, além da reserva técnica; deve ser mantida uma área interna para permitir serviços de manutenção; as tampas e os acessos aos poços de visita devem ser vedados para evitar a infiltração de contaminantes e pragas.

Quando os espaços e estruturas forem projetados para conter equipamentos ativos, a temperatura e umidade devem ser mantidas para permitir a operação contínua dos ativos e a alimentação elétrica para a carga suportada deve estar disponível. Os espaços que contêm distribuidores devem ter portas de acesso com no mínimo 1,0 m de largura e 2,10 m de altura.

A altura livre mínima do piso elevado em salas nas quais os segmentos de cabos são encaminhados a gabinetes ou racks por caminhos sob o piso deve ser de 0,3 m. A intensidade de luz nas salas que contêm distribuidores deve ser de 500 lux no plano horizontal e 200 lux no vertical, medida a 1,0 m do piso acabado, nas partes frontal e posterior dos gabinetes e racks. Considerar iluminação auxiliar para os serviços de terminação de cabos.

As salas que contêm equipamentos ativos devem: oferecer controle de temperatura e umidade relativa do ar para a carga térmica instalada; oferecer alimentação elétrica adequada para a carga instalada; ter os interruptores de luz acessíveis com acionamento manual próximos à entrada da sala. Para detalhes, consultar o projeto elétrico do espaço.

A sala de entrada é o local que recebe os cabos de backbone de campus, de edifício e das operadoras. Deve-se levar em consideração que esse espaço necessita de alimentação elétrica em conformidade com a NBR 5410. A infraestrutura de entrada é de responsabilidade do proprietário do edifício.

A decisão quanto ao projeto desse espaço deve levar em consideração os critérios de segurança, quantidade de cabos, tipo de protetores, tamanho do edifício e localização física dentro do edifício. Um espaço para serviços por antena deve ser projetado e deve estar localizado próximo ao pátio de antenas.

Se dispositivos de interface de rede e equipamentos de telecomunicações forem requeridos na sala de entrada, deve haver um espaço adicional, que pode combinar as características de uma sala de entrada e de uma sala de equipamentos. A sala de entrada deve abrigar apenas instalações diretamente relacionadas ao sistema de cabeamento estruturado e aos seus sistemas de suporte.

A entrada da antena é um espaço destinado aos equipamentos e conexões para os sistemas de antenas, devendo estar localizado em posição mais próxima possível das antenas e suas estruturas verticais. Este espaço é mostrado na figura acima e deve ser dimensionado conforme especificado na Tabela A.1, disponível na norma. O espaço pode ser aberto e, se fechado, recomenda-se que o pé-direito atenda às especificações e instruções de projeto.

Deve haver conexão física com os shafts ou prumadas do edifício. Deve-se levar em consideração que este espaço necessita de alimentação elétrica em conformidade com a NBR 5410. As salas de equipamentos normalmente contêm uma grande parte dos equipamentos de telecomunicações, terminações de cabos e distribuidores. Elas podem ser consideradas salas para atendimento de todo o edifício ou campus.

Uma sala de equipamentos deve ser climatizada e pode exercer as funções de qualquer espaço de telecomunicações. Deve-se levar em consideração que este espaço necessita de alimentação elétrica em conformidade com a NBR 5410. Recomenda-se que a sala de equipamentos seja implementada em localidades não sujeitas à interferência eletromagnética.

Uma atenção especial deve ser dada aos transformadores elétricos, poços de distribuição de energia elétrica, motores, geradores, reatores de lâmpadas, equipamentos de radiologia, transmissores de rádio, bem como outras fontes potenciais de interferência. Uma sala de equipamentos deve: ser dimensionada para atender aos requisitos dos equipamentos de telecomunicações, redes, terminações dos cabos e distribuidores; ter no mínimo 0,07 m² para cada 10 m² de espaço de área de trabalho, quando equipamentos de uso específico não forem conhecidos; levar em consideração os distribuidores horizontais e de backbone, conexões aos equipamentos, áreas para manutenção, espaços livres e circulação de pessoas.

Em edifícios de uso especial, como, por exemplo, hospitais, hotéis, universidades etc., o tamanho da sala de equipamentos deve ser dimensionado com base no número conhecido de áreas de trabalho em relação à área útil do pavimento. Essa sala deve ser dedicada à função de telecomunicações e redes, bem como abrigar apenas os equipamentos diretamente relacionados ao sistema de cabeamento estruturado e telecomunicações; ter o acesso restrito ao pessoal autorizado e, quando possível, ficar em um edifício de múltiplos pavimentos, recomendando-se que a sala de equipamentos seja localizada no pavimento intermediário para possibilitar um fácil acesso do cabeamento às salas de telecomunicações localizadas nos outros pavimentos.

Além disso, deve estar localizada em uma área acessível aos elevadores de carga para entrega de equipamentos de grande porte. O acesso para a entrada de equipamentos de grande porte na sala de equipamentos deve ser previsto na fase de projeto. A sala de telecomunicações deve estar preparada para a instalação de equipamentos de telecomunicações, terminações de cabos e distribuidores.

Recomenda-se que a sala de telecomunicações esteja localizada o mais próximo possível do centro da área atendida e dos caminhos do edifício, como shaft ou prumada. Os caminhos horizontais devem terminar na sala de telecomunicações, localizada no mesmo pavimento da área atendida ou em pavimentos adjacentes. Considera-se pavimento adjacente aquele imediatamente acima ou abaixo do pavimento onde se encontra uma sala de telecomunicações.

A sala de telecomunicações deve ser dedicada à função de telecomunicações e respectivas instalações e não pode ser compartilhada com outros sistemas do edifício. Devem ser disponibilizadas tomadas elétricas dedicadas em circuitos separados para conectar equipamentos ativos, em quantidade e localização adequadas às necessidades do projeto elétrico.

As tomadas elétricas de uso geral devem ser consideradas em circuitos separados dos dedicados aos equipamentos de telecomunicações. Para a distribuição elétrica, ver a NBR 5410. O projeto da sala de telecomunicações deve considerar um sistema de ventilação ou de climatização.

Para áreas de edifício onde é difícil adicionar tomadas de telecomunicações após a instalação inicial, considerar no mínimo duas localidades separadas para tomadas de telecomunicações na etapa de projeto, para cada área de trabalho. As tomadas devem ser localizadas de forma a oferecer a máxima flexibilidade para mudança dentro da área de trabalho, por exemplo, em paredes opostas em um espaço privado do escritório.

As localidades para as tomadas de telecomunicações podem ser adequadas ao leiaute do mobiliário do escritório. No mínimo uma tomada de alimentação elétrica deve ser instalada próxima a cada tomada de telecomunicações, conforme especificado no projeto elétrico. Os caminhos independentes e diretos devem ser providos em áreas com altas demandas de equipamentos de telecomunicações, como centros de controle, sala de servidores etc., para atendimento de salas de telecomunicações e salas de equipamentos.

IEC 60884-3-1: os requisitos para tomadas que incorporam fonte de alimentação USB

A IEC 60884-3-1:2021 – Plugs and socket-outlets for household and similar purposes – Part 3-1: Particular requirements for socket-outlets incorporating USB power supplyaplica-se a tomadas fixas ou portáteis apenas para ca, com ou sem contato de aterramento, com uma tensão nominal superior a 50 V, mas não superior a 440 V e uma corrente nominal não superior a 32 A, destinadas a usos domésticos e similares, internos ou externos, incorporando fonte de alimentação USB. Esse documento define os requisitos de segurança e EMC para tomadas que incorporam fonte de alimentação USB. As especificações, o desempenho e os requisitos dimensionais das tecnologias USB não são cobertos por este documento. Eles são definidos na (s) parte (s) relevante (s) da IEC 62680.

Conteúdo da norma

PREFÁCIO …………………….. 4

1 Escopo ………………………. 6

2 Referências normativas ……………… 6

3 Termos e definições ………….. 7

4 Requisitos gerais ……………….. 8

5 Observações gerais sobre os testes……………… 8

6 Avaliações …………………… 10

7 Classificação …………………… 11

8 Marcação …………………… 11

9 Verificação das dimensões …………………. 12

10 Proteção contra choque elétrico ………….. 12

11 Provisão para aterramento ……….. 13

12 Terminais e terminações …………………… 13

13 Construção de tomadas fixas …………….. 14

14 Construção de plugues e tomadas portáteis……….. 14

15 Tomadas intertravadas ……………. 15

16 Resistência ao envelhecimento, proteção fornecida por gabinetes e resistência à umidade…………………. 15

17 Resistência de isolamento e força elétrica………. 15

18 Operação de contatos de aterramento ………. 16

19 Aumento de temperatura ………….. 16

20 Capacidade de interrupção ……………… 18

21 Operação normal ………………… 18

22 Força necessária para retirar o plugue……….. 19

23 Cabos flexíveis e sua conexão ……………. 19

24 Resistência mecânica …………… 19

25 Resistência ao calor ……………… 20

26 Parafusos, peças portadoras de corrente e conexões….21

27 Distâncias de fuga, folgas e distâncias por meio de composto de vedação ……………….. 21

28 Resistência do material isolante ao calor anormal, ao fogo e ao rastreamento ……………… 21

29 Resistência à ferrugem……………. 21

30 Testes adicionais em pinos fornecidos com luvas isolantes…… 21

31 Requisitos EMC …………. 21

32 Requisitos de campos eletromagnéticos (electromagnetic fields – EMF) ……… 26

101 Condições anormais …………….. 26

102 Requisitos particulares para o circuito de alimentação USB…………………… 28

Anexos………………………. 31

Anexo AA (informativo) Testes de rotina relacionados à segurança para controle de teste de força elétrica – Teste de força elétrica da fonte de alimentação USB………. 32

Bibliografia ……………………. 34

Os conceitos normativos para a governança da segurança da informação

Em sua nova edição, a NBR ISO/IEC 27014 de 09/2021 – Segurança da informação, segurança cibernética e proteção da privacidade – Governança da segurança da informação fornece orientação sobre conceitos, objetivos e processos para a governança da segurança da informação pela qual as organizações podem avaliar, direcionar, monitorar e comunicar as atividades relacionadas à segurança da informação dentro da organização. O público-alvo é o órgão diretivo e Alta Direção; aqueles que são responsáveis por avaliar, direcionar e monitorar um sistema de gestão da segurança da informação (SGSI) com base na NBR ISO/IEC 27001:2013; os responsáveis pela gestão da segurança da informação que ocorre fora do escopo de um SGSI com base na NBR ISO/IEC 27001:2013, mas dentro do escopo da governança.

Este documento é aplicável a todos os tipos e tamanhos de organizações. Todas as referências a um SGSI neste documento se aplicam a um SGSI com base na NBR ISO/IEC 27001:2013. Ele tem foco nos três tipos de organizações SGSI apresentados no Anexo B. Entretanto, pode também ser utilizado por outros tipos de organizações.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como se deve assegurar a conformidade com os requisitos internos e externos?

Como monitorar o processo de governança?

O que significa comunicar o processo de governança bidirecional?

Quais são os requisitos do órgão diretivo sobre sistema de gestão de segurança da informação (SGSI)?

A segurança da informação é uma questão-chave para as organizações, amplificada por rápidos avanços em metodologias e tecnologias de ataque, e com correspondente aumento por pressões regulatórias. A falha de controles de segurança da informação de uma organização pode ter muitos impactos adversos na organização e em suas partes interessadas incluindo, mas não limitado à perda de confiança.

A governança da segurança da informação é a utilização de recursos para assegurar a implementação efetiva de segurança da informação, fornecendo garantia de que as diretivas a respeito de segurança da informação são seguidas; e o órgão diretivo recebe relatórios confiáveis e relevantes sobre as atividades relacionadas à segurança da informação. Isso auxilia o órgão diretivo a tomar decisões a respeito de objetivos estratégicos para a organização, ao fornecer informação sobre segurança da informação que pode afetar esses objetivos.

Também garante que a estratégia de segurança da informação esteja alinhada com os objetivos gerais da entidade. Os gestores e outros que trabalhem nas organizações precisam entender: os requisitos de governança que afetam seu trabalho; e como cumprir requisitos de governança que requerem deles uma ação.

Este documento descreve como a governança da segurança da informação opera dentro de um SGSI, com base na NBR ISO/IEC 27001, e como essas atividades podem se relacionar com outras atividades de governança que operam fora do escopo de um SGSI. Ele destaca quatro processos principais de avaliar, direcionar, monitorar e comunicar nos quais um SGSI pode ser estruturado dentro de uma organização e sugere abordagens para integrar a governança da segurança da informação nas atividades de governança organizacional em cada um desses processos.

Finalmente, o Anexo A descreve as relações entre governança organizacional, governança da tecnologia da informação e governança da segurança da informação. O SGSI cobre toda a organização, por definição (ver ISO/IEC 27000). Ele pode abranger toda a entidade ou parte dela.

A governança da segurança da informação é o meio pelo qual o órgão diretivo de uma organização fornece a orientação geral e controle das atividades que afetam a segurança das informações de uma organização. Essa direção e esse controle se concentram nas circunstâncias em que uma segurança da informação inadequada pode afetar adversamente a capacidade da organização de atingir seus objetivos gerais.

É comum que um órgão diretivo atinja seus objetivos de governança por meio de: fornecimento de orientação através do estabelecimento de estratégias e políticas; monitoramento do desempenho da organização; e a avaliação das propostas e planos desenvolvidos pelos gestores. A gestão da segurança da informação está associada à garantia do cumprimento dos objetivos da organização descritos nas estratégias e políticas estabelecidas pelo órgão diretivo.

Isso pode incluir a interação com o órgão diretivo por meio de: fornecimento de propostas e planos para consideração do órgão diretivo; e o fornecimento de informações ao órgão diretivo sobre o desempenho da organização. A governança eficaz da segurança da informação requer que tanto os membros do órgão diretivo quanto os gestores cumpram suas respectivas funções de maneira consistente. A NBR ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação no contexto de uma organização.

Também inclui requisitos para avaliação e tratamento de riscos de segurança da informação ajustados às necessidades da organização. A NBR ISO/IEC 27001 não usa o termo governança, mas especifica uma série de requisitos que são atividades de governança. A lista a seguir fornece exemplos dessas atividades. As referências à organização e à Alta Direção são, conforme observado anteriormente, associadas ao escopo de um SGSI com base na NBR ISO/IEC 27001.

Existem muitas áreas de governança em uma entidade, incluindo segurança da informação, tecnologia da informação, saúde e segurança, qualidade e finanças. Cada área de governança é um componente dos objetivos gerais de governança de uma entidade e, portanto, convém que esteja alinhada com a disciplina da entidade. Os escopos dos modelos de governança às vezes se sobrepõem.

Um SGSI se concentra na gestão de riscos relacionados à informação. Não aborda diretamente as questões como lucratividade, aquisição, uso e realização de ativos, ou a eficiência de outros processos, embora convenha que apoie quaisquer objetivos organizacionais nessas questões. Para estabelecer a segurança da informação abrangente e integrada em toda a entidade, a governança da segurança da informação deve assegurar que os objetivos da segurança da informação sejam abrangentes e integrados.

Convém que a segurança da informação seja tratada em nível de entidade, com a tomada de decisão levando em consideração as prioridades da entidade. Convém que as atividades relacionadas à segurança física e lógica sejam coordenadas de perto. Isso não requer, no entanto, um único conjunto de medidas de segurança ou um único sistema de gestão da segurança da informação (SGSI) em toda a entidade.

Para garantir a segurança da informação em toda a entidade, convém que a responsabilidade e a responsabilização pela segurança da informação sejam estabelecidas em toda a extensão das atividades de uma entidade. Isto pode se estender além das fronteiras geralmente percebidas de uma entidade, por exemplo, para incluir as informações armazenadas ou transferidas por entidades externas.

Para a tomar as decisões usando uma abordagem baseada em risco, convém que a governança da segurança da informação seja baseada em obrigações de compliance e também em decisões baseadas em risco específicas da entidade. Convém que a determinação de quanta segurança é aceitável seja baseada no apetite de risco de uma entidade, incluindo perda de vantagem competitiva, riscos de compliance e de obrigação legal, interrupções operacionais, danos à reputação e perda financeira.

Convém que a gestão de riscos de segurança da informação seja consistente em toda a entidade e inclua considerações sobre os impactos financeiros, operacionais e reputacionais adversos de violações e de não compliance. Além disso, convém que a gestão de riscos de segurança da informação seja integrada com a abordagem de gestão de riscos geral da entidade, a fim de que não seja feita isoladamente e não cause confusão, por exemplo, mapear para a metodologia da entidade ou capturar informação estratégica de riscos no registro de risco da entidade.

Convém que recursos apropriados para implementar a gestão de riscos de informação sejam alocados como parte do processo de governança da segurança. Para definir o direcionamento de aquisições, o impacto do risco de segurança da informação deve ser avaliado de forma adequada ao empreender novas atividades, incluindo, mas não se limitando a, qualquer investimento, compra, fusão, adoção de nova tecnologia, acordos de terceirização e contrato com fornecedores externos.

A fim de otimizar a aquisição de segurança da informação para apoiar os objetivos da entidade, convém que o órgão diretivo garanta que a segurança da informação seja integrada aos processos existentes da entidade, incluindo gerenciamento de projetos, aquisições, despesas financeiras, compliance legal e regulatório e gestão de riscos estratégicos. Convém que a Alta Direção de cada SGSI estabeleça uma estratégia de segurança da informação com base nos objetivos organizacionais, garantindo a harmonização entre os requisitos da entidade e os requisitos de segurança da informação organizacional, atendendo, assim, às necessidades atuais e em evolução das partes interessadas. O órgão diretivo dentro de uma entidade realiza os processos de avaliar, direcionar, monitorar e comunicar. A figura abaixo mostra a relação entre esses processos.

A definição de organização assume que a Alta Direção está sempre totalmente envolvida na operação da organização. Uma entidade pode ter mais de um SGSI e pode haver partes de uma entidade, às quais se aplica a governança, que não fazem parte de um SGSI. Pode-se dizer que avaliar é o processo de governança que considera a realização atual e prevista dos objetivos com base nos processos atuais e nas mudanças planejadas, e determina onde quaisquer ajustes são necessários para otimizar a realização dos objetivos estratégicos futuros.

Para executar o processo de avaliar, convém que o órgão diretivo da entidade: assegure que as iniciativas levem em consideração os riscos e as oportunidades pertinentes; responda às medições e aos relatórios de segurança da informação e do SGSI, especificando e priorizando objetivos no contexto de cada SGSI (o que inclui a consideração dos requisitos de fora do escopo do SGSI); e convém que a Alta Direção de cada SGSI: assegure que a segurança da informação apoie e sustente adequadamente os objetivos da entidade; submeta à aprovação do órgão diretivo novos projetos de segurança da informação com impacto significativo.

Direcionar é o processo de governança pelo qual o órgão diretivo dá orientação sobre os objetivos e a estratégia da entidade. Direcionar pode incluir mudanças nos níveis de recursos, alocação de recursos, priorização de atividades, aprovações de políticas, aceitação de riscos materiais e planos de gerenciamento de riscos.

Para executar o processo direcionar, convém que o órgão diretivo: estabeleça a direção estratégica geral e os objetivos da entidade; estabeleça o apetite de risco da entidade; aprove a estratégia de segurança da informação; e convém que a Alta Direção de cada SGSI: aloque investimentos e recursos adequados; alinhe os objetivos de segurança da informação organizacional com os objetivos da entidade; aloque funções e responsabilidades para segurança da informação; e estabeleça uma política de segurança da informação.

REVISTA DIGITAL ADNORMAS – Edição 177 | Ano 4 | 23 Setembro 2021

Acesse a versão online: https://revistaadnormas.com.br       Revista AdNormas - Ed 177 Ano 4
Edição 177 | Ano 4 | 23 Setembro 2021
ISSN: 2595-3362 Acessar edição
Capa da edição atual
Confira os 12 artigos desta edição:
A gestão dos sistemas de informação de serviços de pagamento de terceiros
A certificação para os prestadores de serviços da indústria petroquímica
A jornada da liderança humanizada
A proteção contra incêndio por chuveiros automáticos para áreas de armazenamento
A gestão das boas práticas de combate à degradação da terra e desertificação
O desempenho de reação ao fogo de produtos à base de PVC em edificações
Target Adnormas
Qualidade de vida: como envelhecer de maneira saudável
Análise dos sistemas completos: mecânicos, elétricos, eletrônicos e software
A segurança das máquinas serra de fita para metais
A manutenção, a inspeção e o descarte dos cabos de fibras
A economia que vem do Sol
A conformidade dos recipientes de 16 kg e 20 kg de GLP para empilhadeiras

REVISTA DIGITAL ADNORMAS – Edição 175 | Ano 4 | 9 Setembro 2021

Acesse a versão online: https://revistaadnormas.com.br       Revista AdNormas - Ed 175 Ano 4
Edição 175 | Ano 4 | 9 Setembro 2021
ISSN: 2595-3362 Acessar edição
Capa da edição atual
Confira os 12 artigos desta edição:
A gestão dos incidentes de segurança da informação
O potencial do biogás no setor agropecuário brasileiro
Saiba como definir o preço do seu produto ou serviço
Como recuperar as válvulas automáticas, registros e engates de botijão de GLP
Os desafios em prol do meio ambiente no marco legal do saneamento
Os requisitos de qualidade dos maçaricos para solda, aquecimento e corte
Target Adnormas
As proteções da mão dianteira em motosserras manuais portáteis
As metodologias ágeis contribuem no planejamento de uma empresa de logística
A Qualidade dos implantes de metais absorvíveis
A importância de detectar o elo fraco para um negócio sustentável
A conformidade das placas vinílicas para revestimento de pisos e paredes
A importância da logística para o sucesso do e-commerce

Os riscos das estações transmissoras de radiocomunicações para o ser humano

A NBR IEC 62232 de 07/2021 – Determinação da intensidade de campo de RF, densidade de potência e SAR na proximidade das estações base de radiocomunicações com o objetivo de avaliar a exposição humana fornece métodos para a determinação da intensidade de campo eletromagnético na faixa de radiofrequências (RF) e da taxa de absorção específica (SAR) nas proximidades das estações transmissoras de radiocomunicações (ETR), com o objetivo de avaliar a exposição humana. Este documento: considera a ETR radiando intencionalmente em uma ou mais frequências na faixa de 110 MHz a 100 GHz, usando uma ou mais antenas; considera o impacto das fontes presentes no ambiente na exposição à RF pelo menos na faixa de frequências de 100 kHz a 300 GHz; especifica os métodos a serem usados para a avaliação da exposição à RF para as seguintes aplicações da determinação da conformidade, a saber: conformidade do produto – determinação de informações de fronteira de conformidade de um produto de uma ETR antes de ser colocado no mercado; conformidade da instalação do produto – determinação dos níveis totais de exposição à RF em áreas acessíveis de uma ETR e outras fontes relevantes antes de entrar em operação; determinação da exposição à RF in situ – medição dos níveis de exposição à RF in situ nas proximidades de uma instalação de uma ETR, após a entrada em operação do produto; descreve várias metodologias de medição e computacionais de intensidade de campo de RF e SAR, com orientações sobre a sua aplicabilidade tanto nas avaliações in situ da ETR instalada, como e nas avaliações baseadas em laboratório; descreve como os avaliadores, com um nível de conhecimento suficiente, estabelecem os seus procedimentos de avaliação específicos e apropriados para a sua finalidade de avaliação; fornece orientações sobre como relatar, interpretar e comparar resultados de diferentes metodologias de avaliação e, onde a finalidade da avaliação o exigir, determinar uma decisão justificada em relação a um valor-limite; fornece descrições curtas dos exemplos de casos informativos fornecidos no Relatório Técnico complementar IEC TR 62669.

Confira algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais os símbolos e termos abreviados usados nessa norma?

Como fazer a seleção da área de determinação?

Como devem ser feitas as medições da total exposure ratio – TER (razão de exposição total) gerais?

Como usar os métodos computacionais para avaliar o nível de exposição?

Esse documento aborda a avaliação dos níveis de intensidade de campo eletromagnético na faixa de radiofrequências (RF), densidade de potência ou taxa de absorção específica (SAR), nas proximidades das estações transmissoras de radiocomunicações (ETR), também chamadas de produto ou equipamento sob ensaio (ESE), radiando intencionalmente na frequência de 11O MHz a 100 GHz, de acordo com o escopo (ver Seção 1). Não trata da avaliação de densidade de corrente cujas diretrizes de exposição geralmente não são consideradas relevantes ao se avaliarem os campos de RF na faixa de frequência de operação da ETR pretendida.

Este documento especifica os métodos de avaliação de exposição à RF a serem usados para conformidade do produto, conformidade da instalação do produto e determinação da exposição à RF in situ. Este documento não determina limites de exposição humana, também chamados de limites de exposição. Ao efetuar a determinação da exposição à RF, o avaliador se refere ao conjunto de limites de exposição aplicáveis em que a exposição ocorre. As Seções 2, 3 e 4 tratam de referências normativas, termos e definições e símbolos e termos abreviados, respectivamente.

A Seção 5 fornece um guia rápido e detalhes sobre como usar este documento. A Seção 6 descreve as três principais áreas de aplicação deste documento: métodos de avaliação de exposição à RF para conformidade do produto, conformidade da instalação do produto e determinação da exposição à RF in situ. Detalhes adicionais são fornecidos no Anexo C.

A Seção 7 fornece diretrizes sobre como selecionar o método de avaliação. Detalhes adicionais são fornecidos no Anexo A. A Seção 8 estabelece os métodos de avaliação da exposição à RF a serem utilizados e faz referência a mais detalhes nos Anexos B e F. A Seção 9 trata da estimativa da incerteza e faz referência ao Anexo E para mais detalhes.

A Seção 1 descreve os requisitos do relatório para a avaliação ou determinação. Os Anexos e a Bibliografia são referenciados extensivamente para fornecer esclarecimentos ou orientações úteis. Orientações adicionais podem ser encontradas no IEC TR 62669, que inclui o conjunto de estudos de caso que fornece exemplos práticos da aplicação deste documento.

Dados os diferentes tipos de métodos de avaliação da exposição humana a campos eletromagnéticos e suas complexidades inerentes, este documento contém uma quantidade significativa de detalhes técnicos. Embora esses detalhes sejam necessários, cuidados devem ser tomados para se estratificar a apresentação das informações, com conteúdo amplamente separado em processos, detalhes e informações adicionais.

Na Seção 5, informações básicas de processo são fornecidas sob duas perspectivas: em 5.2, descreve-se a estrutura do documento, quando aplicado na realização de uma avaliação; em 5.3, tem-se uma abordagem baseada na utilização básica do documento em situações como na determinação de uma fronteira de conformidade. O guia rápido fornece uma visão geral do processo de avaliação como um fluxograma.

O guia rápido mostrado na figura acima descreve o processo de avaliação juntamente com as etapas de avaliação explicadas nessa norma. Essa sequência envolve a determinação do objetivo da avaliação, método(s) de avaliação, bem como a extrapolação, média espacial, média do tempo e soma de múltiplas frequências. As etapas da incerteza e do relatório completam o processo de avaliação.

Existem três aplicações principais de avaliação de exposição à RF estabelecidas neste documento. Conformidade do produto: determinação das informações de fronteira de conformidade de um produto estação transmissora de radiocomunicação (ETR) antes de ser colocado no mercado. Conformidade com a instalação do produto: determinação dos níveis totais de exposição à RF em áreas acessíveis a partir de um produto ETR e outras fontes relevantes antes da entrada em serviço do produto. Determinação da exposição à RF in situ: medição dos níveis de exposição à radio frequency – RF (rádio frequência) nas proximidades de uma instalação ETR, após a instalação e a operação do produto.

A Seção 7 fornece diretrizes sobre como selecionar o método de avaliação. As agências reguladoras nacionais podem ter requisitos diferentes que substituam os especificados neste documento. Um Relatório Técnico da IEC dedicado, IEC TR 62669, contém exemplos de avaliação trabalhada de sites típicos de ETR, usando vários métodos descritos neste documento. Os locais de exemplo incluem telhados, torres, postes, pequenas células e células internas.

Cada estudo de caso foi escolhido para ilustrar locais típicos de ETR e tarefas comuns de avaliação. Alguns dos estudos de caso demonstraram vários métodos de avaliação. No entanto, na maioria dos cenários, apenas um método seria necessário para concluir uma avaliação. O IEC TR 62669 foi desenvolvido para atender à IEC 62232:2011. Uma nova versão do IEC TR 62669 está atualmente em desenvolvimento, para refletir os procedimentos de avaliação atualizados neste documento.

Para o processo de avaliação da conformidade de produto, normalmente, é necessário que um fabricante ou outra entidade legal que coloque um produto ETR no mercado forneça informações de exposição à RF, incluindo fronteiras de conformidade aplicáveis (zonas de exclusão), para o usuário final do produto. A fronteira de conformidade deve ser estabelecida para os limites de exposição à RF aplicáveis, usando métodos de determinação de intensidade de campo, densidade de potência ou SAR.

As informações de fronteira de conformidade são normalmente determinadas para várias configurações típicas selecionadas do produto ETR (banda de frequência, número de transmissores, largura de banda, antena, alimentador, etc.), assumindo condições de espaço livre e com a potência máxima para cada configuração. O estabelecimento de fronteiras de conformidade pode ser um dos vários requisitos ou métodos relacionados à conformidade do produto.

Quando um produto está em conformidade com a IEC 62479 e essa se aplica, dependendo do reconhecimento da agência reguladora nacional envolvida, nenhuma fronteira de conformidade é necessária. Caso contrário, a fronteira de conformidade será avaliada de acordo com essa norma.

As medições de taxa de absorção específica (SAR) ou de densidade de potência (dependendo da faixa de frequência) são a técnica de avaliação mais apropriada para determinar informações precisas sobre a fronteira de conformidade (CB) para os equipamentos projetados para dispositivos independentes pequenos e antenas de estação transmissora de múltiplos elementos menores ou iguais a 1,5 m. Exemplos desse tipo de equipamento incluem os de médio alcance, área local ou estação residencial, pico-célula e microcélula 3GPP TS 25. 1 04, 3GPP TS 36. 1 04. Como alternativa, a SAR pode ser calculado usando equações de estimativa ou usando métodos computacionais avançados.

Para todos os produtos ETR, em particular os equipamentos de macrocélulas, mas também equipamentos de pequenas áreas de cobertura, avaliações de intensidade de campo ou densidade de potência são aplicáveis. Podem ser usadas medições de laboratório ou cálculos. Como alternativa, a SAR pode ser calculado usando equações de estimativa ou métodos computacionais avançados.

A fronteira de conformidade mais precisa (menor) é obtida como uma isosuperfície, com o valor da isosuperfície fornecido pelo limite de exposição à RF aplicável. Nesse caso, a forma da fronteira de conformidade deve ser descrita com precisão, por exemplo, em termos de uma função matemática z = f (x,y). A fronteira de conformidade isosuperficial pode ser incluída em volumes de geometria mais simples para determinar fronteiras de conformidade mais conservadoras.

As formas de fronteira de conformidade válidas não se limitam a esses exemplos. As fronteiras de conformidade cilíndricas, em forma de caixa ou truncados , devem ser geradas medindo a intensidade de campo de RF em direções adequadas em relação à antena transmissora (por exemplo, frontal, traseira, lateral e acima/abaixo) e comparando a intensidade de campo de RF obtida com limites de exposição aplicáveis (intensidade de campo de RF ou densidade de potência).

A densidade de potência ou a intensidade de campo devem ser calculadas em uma região ao redor da antena da estação-base, para se obter a máxima potência transmitida possível usando as equações indicadas nessa norma. Com base nessa avaliação, as fronteiras de conformidade na forma de vários sólidos podem ser determinadas. Como alternativa, o algoritmo básico pode ser usado para obter uma fronteira de conformidade isosuperfície, usando o limite de exposição à RF aplicável como o valor da isosuperfície.

As fronteiras de conformidade mais simples e mais conservadoras podem ser obtidas inscrevendo a isosuperfície obtida em vários sólidos. Após a criação de um modelo numérico preciso, os campos ao redor da antena da estação-base devem ser calculados para a potência máxima possível transmitida.

Uma fronteira de conformidade isosuperficial pode ser obtida em um pós-processamento usando o limite de exposição à RF aplicável como o valor da isosuperfície. Fronteiras de conformidade mais simples e mais conservadoras podem ser obtidas inscrevendo a isosuperfície obtida em vários sólidos.

Um operador de rede ou outra entidade legal que pretenda colocar um produto ETR em operação geralmente precisa avaliar os níveis de intensidade de campo de RF. Normal mente, essas avaliações são realizadas em áreas acessíveis e nas proximidades da estação-base, para verificar a conformidade com os regulamentos e limites de exposição à RF aplicáveis.

Nessa avaliação, é necessário considerar as contribuições de outras fontes relevantes e os possíveis efeitos do ambiente. Devem ser empreendidos esforços razoáveis para considerar outras fontes pertinentes. Os níveis de exposição à RF do produto ETR e de outras fontes pertinentes devem ser determinados à potência máxima de transmissão do equipamento (teórica ou real), usando medições ou cálculos.

As contribuições de várias fontes devem ser determinadas usando equações de soma.  Onde um novo produto é instalado, o procedimento deve ser usado para avaliar a exposição à RF, levando em consideração outras fontes de RF nas proximidades. Para permitir avaliações precisas e eficientes, diferentes rotas são possíveis, dependendo das características da instalação do produto.

Em alguns casos específicos, é possível um processo de avaliação simplificado da instalação do produto sem a necessidade de realizar medições ou cálculos. Um processo simplificado de instalação do produto se aplica quando não são necessárias medições ou cálculos detalhados para estabelecer a conformidade da instalação do produto.

O processo de avaliação simplificado é baseado em características facilmente acessíveis da configuração da instalação, como a potência equivalente isotrópica radiada (EIRP), direção do lóbulo principal, fronteira de conformidade e posições de instalação dos transmissores/antenas em relação às áreas acessíveis para o produto e outras fontes relevantes, quando aplicável. Para a implementação do processo de avaliação simplificado, devem ser usadas as especificações do produto fornecidas pelo (s) equipamento (s) e/ou fabricante (s) de antena (s), em particular as dimensões de potência transmitida, ganho de antena e fronteiras de conformidade avaliadas.

A avaliação da instalação do produto não será necessária se o produto estiver em conformidade com a IEC 62479 ou se as dimensões da fronteira de conformidade do produto forem zero. Para os produtos com diretividade de antena de 30 dB ou superior (por exemplo, antena parabólica), a avaliação da instalação do produto não é necessária, se não houver acesso dentro das dimensões da fronteira de conformidade.

Para esses produtos, a antena geralmente é instalada para manter as condições da linha de visada, a fim de impedir que o link do rádio seja interrompido. As classes de instalação do produto para as quais um processo simplificado de avaliação de instalação é aplicável podem ser desenvolvidas com base nos limites de exposição aplicáveis.

Por exemplo, para as classes determinadas podem ser usados limites de exposição para o público em geral, baseados na lnternational Commission on Non-lonizing Radiation Protection (ICNIRP). As justificativas usadas para estabelecer essas classes são apresentadas no Anexo C. Se houver vários itens de equipamento localizados no mesmo local que o produto, os critérios de EIRP se aplicam à soma do EIRP de todos os equipamentos localizados.

O conteúdo e a estrutura dos avisos de privacidade online

A NBR ISO/IEC 29184 de 06/2021 – Tecnologia da informação – Avisos de privacidade online e consentimento especifica os controles que formatam o conteúdo e a estrutura dos avisos de privacidade online, bem como o processo de solicitação de consentimento para coletar e tratar dados pessoais (DP) de titulares de DP. Este documento é aplicável em qualquer contexto online onde um controlador de DP ou qualquer outra entidade tratando DP informa os titulares de DP sobre o tratamento.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feito o fornecimento de informações sobre qual conta o titular de DP está usando?

Qual deve ser o consentimento separado para elementos necessários e opcionais de DP?

Quando a organização deve obter a renovação do consentimento?

Como deve ser feita a identificação de qual conta o titular de DP está usando?

A maior disponibilidade de infraestruturas de comunicação, como conexões de banda larga residenciais e a internet global, o crescimento no uso de smartphones e outros dispositivos (por exemplo, wearables technologies) que coletam detalhes das atividades dos indivíduos e as melhorias na capacidade de tratamento de informações permitiram um alcance muito mais amplo de coleta e análise de informações pessoais. Essas melhorias tecnológicas oferecem uma melhor perspectiva de vida mais conveniente para o consumidor, novas oportunidades de negócios, serviços mais atraentes e mais valor agregado.

Por outro lado, os consumidores estão cada vez mais cientes da privacidade e questionam o impacto da privacidade da coleta e uso de dados pessoais (DP) por serviços online. Essa crítica geralmente é relacionada à falta de uma explicação clara de como seus DP são tratados, armazenados, mantidos e gerenciados.

Este documento especifica controles e informações adicionais associadas para as organizações: fornecerem a base para a apresentação de informações claras e de fácil compreensão para indivíduos cujos DP são coletados, sobre como a organização trata seus DP (por exemplo, ao fornecer serviços a consumidores ou em uma relação de trabalho); e obterem o consentimento dos titulares de DP de maneira justa, demonstrável, transparente, inequívoca e revogável (retirável). O objetivo geral é permitir que os titulares de DP compreendam e ajam de acordo com as implicações dos tratamentos de DP, como a probabilidade e severidade de qualquer potencial impacto que o tratamento possa ter, assim como as consequências diretas e/ou indiretas do tratamento.

As organizações que desejarem demonstrar conformidade com este documento devem registrar para cada controle da Seção 5: se o controle se aplica; quando houver razões que possam justificar a não aplicação do controle, que a justificativa seja documentada e validada; como a implementação do controle é verificada e validada. Providenciar avisos onde for necessário, em uma linguagem apropriada para os titulares de DP, em um momento que permita que os titulares de DP exerçam de forma consciente o consentimento, em locais onde sejam facilmente reconhecidos pelos titulares de DP, e com referências que forneçam acesso a material suplementar, incluindo avisos prévios e suas respostas.

Assim, a organização deve identificar situações em que o fornecimento de aviso seja necessário e deve fornecer aviso aos titulares de DP sempre que necessário. O aviso deve fornecer a todas as partes interessadas, incluindo de fora da organização, as práticas de privacidade da organização, bem como outras informações relevantes, como detalhes de contato, incluindo a identidade e o endereço do controlador de DP, e pontos de contato dos quais titulares de DP possam obter informações adicionais (ver Anexo A).

Exibir um aviso visual é uma forma de fornecer aviso. Para acessibilidade, leitores automatizados de tela para avisos visuais ou avisos diretamente audíveis podem ser apropriados para auxiliar os deficientes visuais. Outras formas de aviso também podem ser apropriadas. Convém que a organização forneça um aviso aos titulares de DP.

O aviso pode ser necessário, entre outras situações, quando a organização planeja coletar novos DP (do titular de DP ou de outra fonte) ou quando planeja usar DP já coletados para novas finalidades. A organização deve fornecer o aviso de uma forma que seja clara e fácil de entender para os titulares de DP visados. O aviso deve ser facilmente legível e em uma linguagem concisa que uma pessoa sem qualquer formação jurídica ou técnica possa razoavelmente compreender.

O aviso deve ser redigido de acordo com as categorias ou tipos particulares de titulares de DP (por exemplo, subgrupos sociais desfavorecidos). A organização deve fornecer a notificação no (s) idioma (s) de acordo com as expectativas de idioma do titular visado. Por exemplo, a organização pode apresentar ao titular de DP uma lista de idiomas suportados exibidos nos respectivos idiomas e permitir que o titular de DP escolha o idioma. Exibir o nome de cada idioma no próprio idioma é importante, pois o titular de DP pode não ser capaz de reconhecê-lo se for apresentado em outro idioma.

Um navegador da web tem uma configuração de preferência para um idioma preferido e pode ser usado para essa finalidade. No entanto, pode não ser uma boa ideia depender exclusivamente da preferência de idioma do navegador, já que o titular de DP pode estar usando um computador compartilhado.

A organização deve determinar e documentar o momento apropriado (por exemplo, imediatamente antes de coletar os DP) para fornecer aviso aos titulares de DP quando a atividade em questão for relevante para os interesses de privacidade dos titulares de DP. Quando uma organização fornece um aviso ao titular de DP e, então, coleta os DP posteriormente, incluindo casos em que os dados são coletados de outra fonte, o momento do aviso e a coleta de DP podem diferir significativamente.

A organização deve avisar onde o uso de DP pode ter efeitos inesperados ou significativos sobre os titulares de DP. Se uma organização pretende coletar DP adicionais, convém que ela forneça um aviso adicional. A organização deve fornecer avisos de maneira apropriada para o produto ou serviço em questão, de forma que os titulares de DP possam encontrar e acessar os avisos eletronicamente e facilmente, inclusive em locais online.

Os locais online apropriados podem incluir, sem se limitar a, links nas páginas iniciais da organização em seus websites ou na página de destino, a página inicial de aplicativos móveis, formulários online ou em portais de captura. Em alguns casos, os DP podem ser tratados sem interação prévia com o titular de DP.

Do ponto de vista dos titulares de DP, seria muito difícil até mesmo descobrir quem está tratando seus dados e, portanto, não ajuda postar o aviso de privacidade apenas no site da organização. É útil ter um lugar onde um titular de DP possa ir e obter os avisos de privacidade destas organizações.

Assim, quando aplicável e viável, convém que a organização considere o uso de um repositório comum acessível ao público, onde as partes interessadas possam facilmente encontrar e acessar os avisos relevantes. A organização deve determinar como o aviso é fornecido e tornado acessível em relação ao momento de tratamento.

A organização pode implementar o controle usando diferentes técnicas: avisos em camadas, painéis, avisos just in time e ícones, e pode fornecer avisos em um formato legível por máquina para quem o software que o está apresentando ao titular de DP possa analisá-lo para otimizar a interface do usuário e ajudar os titulares de DP a tomar decisões. Se a organização implementar o controle usando um aviso em camadas, convém que a primeira camada detalhe algo inesperado ou coisas que possam impactar significativamente um titular de DP, com esse impacto determinado na avaliação descrita na apresentação da descrição da finalidade.

Convém que as outras camadas forneçam avisos de todas as atividades de coleta e/ou tratamento, a fim de fornecer aos titulares de DP informações detalhadas dessas atividades. Convém que as organizações exibam a primeira camada de cada aviso de forma que os titulares de DP possam lê-lo o mais rápido possível. Convém que não abranja mais do que algumas telas.

Devido às restrições de volume, pode não ser possível exibir todo o conteúdo em uma tela. Nesse caso, convém que as organizações exibam o resumo primeiro. No contexto de dispositivos móveis e smartphones, para melhor legibilidade, seria útil introduzir uma abordagem multicamadas para aviso e consentimento, apresentando um texto curto, com informações-chave e com um link para o texto completo do aviso/consentimento.

Quando as organizações exibem elementos de DP a serem coletados, convém que elas os exibam em grupos, com aqueles que têm o maior impacto potencial sobre a privacidade sendo listados primeiro para que os titulares de DP possam reconhecer claramente as diferenças. Convém que as organizações disponibilizem conteúdo, incluindo informações relevantes omitidas da primeira tela ou das telas subsequentes, disponível para referência pelos titulares de DP, se assim o desejarem.

No caso de notificação online, popups e detalhamentos podem ser usados para exibir o conteúdo. Os titulares de DP podem ter dificuldade em ler uma grande quantidade de termos e condições em um contrato, especialmente quando estão prestes a realizar uma determinada ação. Avisos legíveis por máquina podem ser fornecidos em um formato padronizado XML ou JSON.

Ao fazer isso, torna-se possível para os dispositivos selecionar itens apropriadamente e exibir gráficos e ícones quando aplicável. No entanto, as organizações precisam observar que a interpretação da representação gráfica pelo titular de DP pode diferir significativamente, dependendo das origens culturais.

Orientações para a região ou cultura em questão podem ser criadas para evitar que os titulares de DP se confundam. A organização deve incluir no aviso como os DP serão utilizados. Informações adicionais dos DP podem ser usados como estão; usados após algum tratamento (por exemplo, derivação, inferência, desidentificação ou combinação com outros dados); combinados com outros dados (por exemplo, geolocalizados, por meio do uso de cookies, de terceiros); usados por técnicas automatizadas de tomada de decisão (por exemplo, criação de perfil, classificação).

Se algum tratamento (por exemplo, desidentificação, agregação) for aplicado aos DP antes do uso, é desejável indicar quais tipos de transformações estão sendo aplicadas. Se uma organização for transferir DP a um terceiro, o aviso deve incluir, direta ou indiretamente: para quem os DP serão transferidos; a (s) localização (ões) geográfica (s) para onde os DP serão transferidos e quaisquer mudanças na (s) jurisdição (ões) legal (ais) que possam surgir; para que finalidade os DP serão transferidos; os impactos negativos sobre o titular de DP, ou riscos destes impactos causados pela transferência de dados; e a proteção relacionada à transferência (por exemplo, proteção de confidencialidade e integridade).

Embora a organização precise identificar e fornecer notificação de destinatários terceiros individuais, ela pode especificar um grupo de destinatários usando critérios claramente definidos quando apropriado. O consentimento explícito pode ser necessário, entre outras coisas: quando a organização planeja coletar DP sensíveis; quando a organização planeja usar DP sensíveis já coletados para novos fins; se a coleta ou novas finalidades causam ou indicam um impacto negativo particularmente alto no titular de DP ou um risco particularmente alto deste impacto.

A organização pode ser solicitada para obter consentimento em relação à coleta de DP dos titulares de DP pela legislação de proteção/ privacidade de dados relevante. O consentimento pode ser exigido, entre outras coisas, quando a organização planeja coletar novos DP ou quando planeja usar DP já coletados para novos fins.

O consentimento não é a única base legal para o tratamento de DP e, portanto, nem sempre exigido. Em algumas jurisdições, outras bases legais incluem: a necessidade contratual; o cumprimento das obrigações legais; o interesse vital; o interesse público; e os interesses legítimos.

A medição de atenuação do cabeamento de fibra óptica

A NBR 16869-2 de 04/2021 – Cabeamento estruturado – Parte 2: Ensaio do cabeamento óptico se aplica à medição de atenuação do cabeamento de fibra óptica instalado usando fibra óptica monomodo e multimodo. Este cabeamento pode incluir fibras ópticas monomodo e multimodo, conectores, acopladores, emendas e outros dispositivos passivos. O cabeamento pode ser instalado em uma variedade de ambientes, incluindo comercial, data centers, residencial e industrial, assim como outros ambientes de planta externa.

Especifica sistemas e métodos para a inspeção do cabeamento de fibra óptica projetado de acordo com normas de cabeamento estruturado, incluindo as NBR 14565, NBR 16665, NBR 16624 e NBR 16521. O equipamento de ensaio especificado nesta norma tem uma interface para conector com uma única fibra óptica ou com duas fibras.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são as abreviaturas e os símbolos usados nessa norma?

Qual deve ser a caracterização do enlace com OTDR usando cabo de lançamento e cordão terminal?

Quais são os requisitos de conector de referência não LC?

Quais são as configurações de cabeamento?

Qual deve ser a referência para a configuração C com o método de dois cordões de ensaio?

A atenuação é a perda de potência de um sinal devido à sua propagação por um meio físico qualquer. Os sistemas de ensaio definidos nesta norma compreendem o equipamento de ensaio local e o equipamento de ensaio remoto (quando necessário), incluindo a fibra de lançamento, cordões de ensaio e acopladores que permitem a conexão do equipamento de ensaio ao cabeamento a ser ensaiado, conforme mostrado na figura abaixo.

Os métodos desta norma podem ser aplicados aos ensaios do cabeamento de fibra óptica plástica. As fibras ópticas plásticas de categoria A4 são especificadas na IEC 60793-2-40. O sistema de ensaio e, especialmente, os acopladores e conectores de referência, afetam a incerteza da medição de atenuação para um determinado componente ou canal óptico.

Inserir óptica2

O equipamento de ensaio deve ser calibrado utilizando procedimentos conforme as IEC 61315, IEC 61746-1 e IEC 61746-2 ou procedimentos especificados pelo fabricante do equipamento de ensaio, mantendo o certificado de calibração válido. O equipamento de rede deve ser desconectado do cabeamento a ser ensaiado.

Poeira e outros contaminantes nas interfaces do cabeamento a ser ensaiado, fibra de lançamento, cordões de ensaio e interface do equipamento de ensaio podem gerar resultados imprecisos e, em alguns casos, danificar uma conexão. As faces dos conectores da fibra de lançamento, cordões de ensaio e conectores do cabeamento a ser ensaiado devem ser inspecionadas em conformidade com a IEC 61300-3-35.

Quando sujas ou contaminadas, devem ser limpas e inspecionadas novamente. Quando danificadas ou não atenderem aos requisitos da IEC 61300-3-35, devem ser substituídas. Efeitos externos (ambientais, eletromagnéticos ou físicos) podem afetar o equipamento de ensaio e influenciar os resultados medidos. Equipamentos de ensaio devem ser operados segundo as especificações do fabricante. Resultados marginais não são admitidos em ensaios do cabeamento óptico.

A documentação do ensaio do cabeamento óptico deve conter: os detalhes dos parâmetros medidos; a configuração de ensaio; as informações do equipamento de ensaio: o fabricante e tipo (arranjo LSPM ou OTDR), o número de série e certificado de calibração válido, o comprimentos de onda,; as características do cabeamento óptico: categoria de desempenho, tipo de fibra (OM1 a OM5, OS1 ou OS2) e as características dos conectores e acopladores; os detalhes de obtenção da referência para o ensaio (ver Seção 6); os detalhes sobre o sentido da medição; a data e o horário do ensaio; o  operador do ensaio; e o resultado da medição.

As fibras ópticas multimodo devem ser medidas com fontes de luz do tipo LED e as fibras ópticas monomodo devem ser medidas com fontes de luz do tipo laser. Fontes VCSEL não podem ser usadas para a medição de atenuação de fibras ópticas. O equipamento de ensaio deve ser capaz de registrar os valores medidos de atenuação óptica com no mínimo duas casas decimais de precisão (por exemplo: –14,32 dBm, 2,19 dBm).

Quando o arranjo LSPM for utilizado para medir a atenuação de um enlace ou canal óptico, sua faixa de tolerância de precisão deve ser de ± 0,20 dB e, quando utilizado para a verificação de campo de conectores de referência, deve ser inferior a 0,20 dB. O power meter deve: ser capaz de medir a escala de potência normalmente associada ao cabeamento; atender aos requisitos de calibração da IEC 61315; ter uma superfície de detecção de dimensão suficiente para capturar toda a potência de luz colocada na fibra óptica.

Se um pigtail óptico for utilizado, convém que o diâmetro do núcleo da fibra óptica que o compõe seja suficiente para capturar toda a potência proveniente do cordão de ensaio. O arranjo LSPM deve ser utilizado de acordo com o manual de instruções fornecido pelo fabricante.

O OTDR utilizado para o ensaio do cabeamento e componentes ópticos multimodo deve estar em conformidade com os comprimentos de onda de 850 ± 30 e 1.300 ± 30, e quando utilizado para o ensaio do cabeamento e componentes ópticos monomodo, com os comprimentos de onda de 1.310 ± 30 e 1.550 ± 30. O ensaio com OTDR deve ser feito com uma fibra de lançamento na extremidade, onde se encontra o equipamento, e com um cordão terminal, na extremidade oposta.

A caracterização do cabeamento por meio de um OTDR com uma fibra de lançamento e um cordão terminal: produz a caracterização unidirecional; oferece uma medição de continuidade para o cabeamento ensaiado; oferece informações sobre a qualidade geral de ambas as interfaces local e remota do cabeamento ensaiado, a qualidade do cabo instalado e qualquer hardware de conexão presente na instalação; oferece uma medição quantitativa de ambas as interfaces local e remota do cabeamento ensaiado utilizando as medições realizadas em cada sentido.

O hardware de conexão conectado ao cabeamento a ser ensaiado (fibra de lançamento e cordão terminal) com o hardware de conexão que termina os cordões de ensaio de substituição e quaisquer adaptadores de hardware de conexão utilizados como parte dos métodos de ensaio especificados nesta norma: devem ter o mesmo desempenho de transmissão (ou superior) que o hardware de conexão que termina o cabeamento ensaiado; devem ter a face do conector com raio, curvatura e posição da fibra controlados: conforme a IEC 62664-1-1, para conectores LC duplex multimodo, conforme a IEC 60874-19-1, para conectores SC duplex multimodo, conforme a IEC 60874-14-3, para conectores SC duplex monomodo; devem ser similares, conforme definido pelo fornecedor quando as especificações da IEC não assegurarem interoperabilidade (as únicas interfaces especificadas para interoperabilidade são cobertas na série IEC 62664 sobre as especificações de fabricação de conectores LC).

Onde utilizados, os acopladores devem ser de referência em conformidade com a especificação da IEC para produto: conforme a IEC 62664-1-1, para conectores LC duplex multimodo, conforme a IEC 60874-14-3, para conectores SC simplex monomodo. A inspeção e o ensaio das fibras de lançamento, cordões de ensaio e adaptadores deve ser feita em conformidade com o Anexo G, antes que qualquer processo de medição de referência tenha sido executado.

No caso de interfaces MPO, não há acoplador e, portanto, não há influência no alinhamento final da conexão. Os cordões de ensaio devem ser: terminados em uma extremidade com um conector duplex ou dois simplex, adequados para conexão ao arranjo LSPM; terminados na extremidade oposta com um conector duplex ou dois simplex de referência compatíveis com a interface com o cabeamento a ser ensaiado.

O cordão de substituição deve ser terminado em ambas as extremidades com conectores de referência (para minimizar a incerteza dos resultados da medição) e compatível com as interfaces com o cabeamento instalado. A fibra óptica utilizada no cabo ou cordão de substituição deve ter a mesma dimensão do núcleo da fibra óptica do cabeamento ensaiado.

O reflectômetro óptico no domínio do tempo (Optical Time Domain Reflectometer –OTDR) deve apresentar a distribuição modal de lançamento especificada. Quando a distribuição modal de lançamento especificada do OTDR não for conhecida, um dispositivo adequado de controle de modo (mandril) deve ser utilizado para assegurar que a distribuição modal seja mantida.

A fibra de lançamento deve: ter comprimento superior à atenuação da zona morta do OTDR (ver Anexo F); ter comprimento suficiente para acomodar uma linha reta confiável no traço de retroespalhamento seguinte à zona morta do OTDR, de modo que medições confiáveis de atenuação sejam realizadas; ser terminada em uma extremidade com um ou mais conectores adequados para conexão ao OTDR; ser terminada na extremidade oposta.

Esta norma especifica os seguintes métodos de ensaio: o método de um cordão (ver Anexo A); o método de três cordões (ver Anexo B); método de dois cordões (ver Anexo C); o método do cordão de equipamento (ver Anexo D); e o método de ensaio com OTDR (ver Anexo E). Os primeiros quatro métodos são executados com arranjos LSPM, para medir a atenuação do cabeamento ensaiado.

A principal diferença funcional entre esses métodos é a forma como a referência da medição de atenuação é obtida e, portanto, a inclusão ou exclusão da atenuação associada às conexões nas extremidades do cabeamento ensaiado. O método de um cordão inclui a atenuação associada às conexões em ambas as extremidades, o método de três cordões exclui a atenuação das conexões de ambas as extremidades e o método de dois cordões inclui a atenuação associada a uma das conexões do cabeamento ensaiado.

O método do cordão de equipamento inclui a atenuação associada às conexões entre os cordões de equipamento e o cabeamento, porém exclui a atenuação associada aos plugues que serão conectados ao equipamento. A atenuação máxima especificada para o cabeamento, obtida pelo balanço de perda de potência óptica ou atenuação do canal, normalmente exclui as conexões com o equipamento ativo.

Portanto, a utilização do método do cordão de equipamento é adequada quando o cabeamento é conectado diretamente ao equipamento ativo, desde que o padrão de conexão permita. O método de ensaio com OTDR injeta pulsos de luz de curta duração no cabeamento ensaiado e mede a potência retroespalhada como função do atraso de propagação ou comprimento do segmento de fibra óptica.

Este método permite a medição da atenuação do cabeamento instalado e de componentes individuais e não necessita que uma referência seja obtida. Os requisitos para a fibra de lançamento e cordões de ensaio são especificados em 6.3.3.5 e E.2.3. O OTDR é utilizado para identificar falhas no canal óptico, serviços de manutenção e avaliação de parâmetros de transmissão, uma vez que o cabeamento é mapeado por meio de traços característicos na tela do OTDR que podem ser analisados para destacar qualquer alteração no cabeamento ensaiado.

A proteção de dados pessoais (DP) em nuvens públicas

Entenda quais são os objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública.

A NBR ISO/IEC 27018 de 03/2021 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública. Em particular, este documento especifica diretrizes com base na NBR ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de DP que podem ser aplicáveis dentro do contexto do (s) ambiente (s) de risco de segurança da informação de um provedor de serviços em nuvem pública.

Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que fornecem serviços de tratamento de informações, como operadores de DP, por meio da computação em nuvem sob contrato para outras organizações. As diretrizes deste documento também podem ser pertinentes para organizações que atuam como controladores de DP. Os controladores de DP, entretanto, podem estar sujeitos à legislação, regulamentos e obrigações adicionais de proteção de DP, não aplicáveis aos operadores de DP. Este documento não se destina a abranger estas obrigações adicionais.

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser feita a separação dos ambientes de desenvolvimento, teste e operação?

Quais as diretrizes para os registros de eventos na implementação da proteção de DP em nuvem pública?

Quais são as políticas e procedimentos para transferência de informações?

O que deve ser feito para a gestão de incidentes de segurança da informação?

Os provedores de serviços em nuvem que tratam dados pessoais (DP) sob contrato com seus clientes têm que operar seus serviços de forma a permitir que ambas as partes atendam aos requisitos da legislação e aos regulamentos aplicáveis que abrangem a proteção de DP. Os requisitos e a forma como os requisitos são divididos entre o provedor de serviços em nuvem e seus clientes variam de acordo com a jurisdição legal e de acordo com os termos do contrato entre o provedor de serviços em nuvem e o cliente.

A legislação que regula como os DP podem ser tratados (ou seja, coletados, utilizados, transferidos e descartados) é algumas vezes referida como legislação de proteção de dados. Os DP são algumas vezes referidos como dados pessoais ou informações pessoais. As obrigações que incidem sobre um operador de DP variam de jurisdição para jurisdição, sendo um desafio para as empresas que fornecem serviços de computação em nuvem os operarem multinacionalmente.

Um provedor de serviços em nuvem pública é um operador de DP quando ele trata DP de acordo com as instruções de um cliente que utiliza serviços em nuvem. O cliente que utiliza serviços em nuvem, que tem o relacionamento contratual com o operador de DP em nuvem pública, pode variar de uma pessoa física, um titular de DP, tratando sua própria DP na nuvem, até uma organização, um controlador de DP, que trata o DP relativo a muitos titulares de DP.

O cliente que utiliza serviços em nuvem pode autorizar um ou mais usuários para serviço em nuvem associados a ele a utilizar os serviços disponibilizados sob seu contrato com o operador de DP em nuvem pública. Observar que o cliente que utiliza serviços em nuvem tem autoridade sobre o tratamento e uso dos dados.

Um cliente que utiliza serviços em nuvem, que também é um controlador de DP, pode estar sujeito a um conjunto mais amplo de obrigações que regulam a proteção de DP do que o operador de DP em nuvem pública. A manutenção da distinção entre o controlador de DP e o operador de DP depende de o operador de DP em nuvem pública não ter objetivos de tratamento de dados diferentes dos estabelecidos pelo cliente que utiliza serviços em nuvem em relação ao DP que ele trata e às operações necessárias para atingir os objetivos do cliente que utiliza serviços em nuvem.

Quando o operador de DP em nuvem pública estiver tratando de dados da conta do cliente que utiliza serviços em nuvem, ele pode estar atuando como um controlador de DP para esta finalidade. Este documento não abrange esta atividade. A intenção deste documento, quando utilizado em conjunto com os objetivos e controles de segurança da informação descritos na NBR ISO/IEC 27002, é criar um conjunto comum de categorias e controles de segurança que possam ser implementados por um provedor de serviços de computação em nuvem pública que atua como um operador de DP.

Este documento tem os seguintes objetivos: auxiliar o provedor de serviços em nuvem pública a atender às obrigações aplicáveis ao atuar como um operador de DP, se estas obrigações incidirem sobre o operador de DP diretamente ou por contrato; permitir que o operador de DP em nuvem pública seja transparente em assuntos relevantes, de modo que os clientes possam selecionar serviços de tratamento de DP baseados em nuvem bem controlados; auxiliar o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública a realizarem um acordo contratual; prover aos clientes que utilizam serviços em nuvem um mecanismo para o exercício de direitos e responsabilidades de auditoria e conformidade, nos casos em que auditorias individuais do cliente que utiliza serviços em nuvem de dados hospedados em um ambiente de servidor virtualizado (nuvem) com várias partes possam ser impraticáveis tecnicamente e possam aumentar os riscos a estes controles de segurança de rede física e lógica no local.

Este documento pode auxiliar ao prover uma estrutura de conformidade comum para os provedores de serviços em nuvem pública, especialmente aqueles que operam em um mercado multinacional. Ele é projetado para que as organizações o utilizem como uma referência para selecionar controles de proteção de DP dentro do processo de implementação de um sistema de gestão de segurança da informação de computação em nuvem, com base na NBR ISO/IEC 27001, ou como documento de orientação para implementação de controles de proteção de DP comumente aceitos por organizações que atuam como operadores de DP em nuvem pública.

Em particular, este documento foi baseado na NBR ISO/IEC 27002, levando em consideração o (s) ambiente (s) de risco específico (s) decorrente (s) dos requisitos de proteção de DP que podem ser aplicados aos provedores de serviços de computação em nuvem pública que atuam como operadores de DP. Normalmente, uma organização que implementa a NBR ISO/IEC 27001 está protegendo seus próprios ativos de informação.

Entretanto, no contexto dos requisitos de proteção de DP para um provedor de serviços em nuvem pública que atua como um operador de DP, a organização está protegendo os ativos de informação que são confiados a ela pelos seus clientes. A implementação dos controles da NBR ISO/IEC 27002 pelo operador de DP em nuvem pública é adequada para esta finalidade e necessária.

Este documento incrementa os controles da NBR ISO/IEC 27002 para acomodar a natureza distribuída do risco e a existência de uma relação contratual entre o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública. Este documento incrementa os controles da NBR ISO/IEC 27002 de duas maneiras: as diretrizes para implementação aplicáveis à proteção de DP em nuvem pública são providas para determinados controles existentes na NBR ISO/IEC 27002; e o Anexo A que fornece um conjunto de controles adicionais e diretrizes associadas, destinados a tratar dos requisitos de proteção de DP em nuvem pública não abordados pelo conjunto de controle existente na NBR ISO/IEC 27002.

A maioria dos controles e diretrizes deste documento também se aplicará a um controlador de DP. Entretanto, o controlador de DP, na maioria dos casos, estará sujeito às obrigações adicionais não especificadas neste documento. É essencial que uma organização identifique seus requisitos para a proteção de DP.

Existem três fontes principais de requisitos, conforme descrito a seguir. Os requisitos legais, estatutários, regulatórios e contratuais, em que uma fonte é representada pelos requisitos e obrigações legais, estatutários, regulatórios e contratuais que uma organização, seus parceiros comerciais, contratados e provedores de serviços têm que atender, e suas responsabilidades socioculturais e seu ambiente operacional.

Convém observar se a legislação, regulamentos e cláusulas contratuais realizados pelo operador de DP podem requerer a seleção de controles específicos e também podem necessitar de critérios específicos para a implementação destes controles. Estes requisitos podem variar de uma jurisdição para outra.

Os riscos que são outras fontes derivadas da avaliação de riscos à organização associados aos DP, levando em consideração a estratégia e os objetivos globais de negócio da organização. Por meio de uma avaliação de riscos, as ameaças são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado.

A NBR ISO/IEC 27005 fornece as diretrizes sobre a gestão de riscos na segurança da informação, incluindo recomendações sobre a avaliação do risco, aceitação do risco, comunicação do risco, monitoramento do risco e análise crítica do risco. A NBR ISO/IEC 29134 fornece diretrizes sobre a avaliação do impacto de privacidade.

Quanto às políticas corporativas, enquanto muitos aspectos abrangidos por uma política corporativa são derivados de obrigações legais e socioculturais, uma organização também pode escolher, voluntariamente, ir além dos critérios que são derivados dos requisitos legais. Os controles podem ser selecionados deste documento (que inclui, por referência, os controles da NBR ISO/IEC 27002, criando um conjunto combinado de controle de referência para o setor ou aplicação especificado pelo escopo).

Se requerido, os controles também podem ser selecionados de outros conjuntos de controle, ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. Um serviço de tratamento de DP fornecido por um operador de DP em nuvem pública pode ser considerado uma aplicação de computação em nuvem em vez de um setor por si só. Entretanto, o termo específicos do setor é utilizado neste documento, uma vez que este é o termo convencional utilizado em outras normas da série ISO/IEC 27000.

A seleção de controles depende de decisões organizacionais com base nos critérios para aceitação do risco, nas opções para tratamento do risco e na abordagem geral da gestão de riscos aplicada à organização, e de acordos contratuais, de seus clientes e de seus fornecedores. A seleção de controles também está sujeita aos regulamentos e legislações nacionais e internacionais pertinentes.

Quando os controles neste documento não forem selecionados, é necessário que esta informação seja documentada, com justificativa pela omissão. Além disso, a seleção e a implementação de controles dependem da função real do provedor de nuvem pública no contexto de toda a arquitetura de referência de computação em nuvem (ver ISO/IEC 17789). Muitas organizações diferentes podem ser envolvidas no fornecimento de serviços de infraestrutura e de aplicação em um ambiente de computação em nuvem.

Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma categoria de serviço específica da arquitetura de referência de computação em nuvem. Em outros casos, pode haver funções compartilhadas na implementação de controles de segurança. Os acordos contratuais precisam especificar claramente as responsabilidades de proteção de DP de todas as organizações envolvidas em prover ou utilizar os serviços em nuvem, incluindo o operador de DP em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem.

Os controles neste documento podem ser considerados princípios de diretrizes e aplicáveis à maioria das organizações. Eles são explicados com mais detalhes a seguir, juntamente com as diretrizes para implementação. A implementação pode ser simplificada se os requisitos para a proteção de DP tiverem sido considerados no projeto do sistema de informações, serviços e operações do operador de DP em nuvem pública. Esta consideração é um elemento do conceito que é muitas vezes denominado Privacidade por Projeto.

Este documento pode ser considerado um ponto de partida para o desenvolvimento de diretrizes de proteção de DP. É possível que nem todos os controles e diretrizes contidos neste código de prática sejam aplicáveis. Além disso, controles e diretrizes adicionais não incluídos neste documento podem ser requeridos.

Quando documentos forem desenvolvidos contendo diretrizes ou controles adicionais, pode ser útil incluir referências cruzadas às Seções deste documento, quando aplicável, para facilitar a verificação da conformidade por auditores e parceiros de negócio. Os DP têm um ciclo de vida natural, desde a sua criação e origem, armazenamento, tratamento, uso e transmissão, até a sua eventual destruição ou obsolescência.

Os riscos aos DP podem variar durante o seu tempo de vida, porém a proteção de DP permanece importante em algumas etapas de todos os estágios. Os requisitos de proteção de DP precisam ser levados em consideração quando os sistemas de informações existentes e novos forem gerenciados por meio do seu ciclo de vida. Este documento possui uma estrutura similar à da NBR ISO/IEC 27002.

Nos casos em que os objetivos e controles especificados na NBR ISO/IEC 27002 são aplicáveis sem a necessidade de quaisquer informações adicionais, somente uma referência à NBR ISO/IEC 27002 é fornecida. Controles adicionais e diretrizes para implementação associadas, aplicáveis à proteção de DP para provedores de serviços de computação em nuvem, são descritos no Anexo A.

Nos casos em que os controles necessitam de orientações adicionais aplicáveis à proteção de DP para provedores de serviços de computação em nuvem, isto é provido sob o título Orientações para implementação da proteção de DP em nuvem pública. Em alguns casos, outras informações relevantes que incrementem as orientações adicionais são fornecidas, sob o título outras informações para proteção de DP em nuvem pública.

Conforme mostrado na tabela abaixo, estas orientações e informações específicas do setor estão incluídas nas categorias especificadas na NBR ISO/IEC 27002. Os números das Seções, que foram alinhados com os números das Seções correspondentes na NBR ISO/IEC 27002, estão indicados na tabela abaixo. Este documento deve ser utilizado em conjunto com a NBR ISO/IEC 27001, e os controles adicionais especificados no Anexo A devem ser considerados para adoção como parte do processo de implementação de um sistema de gestão de segurança da informação baseado na NBR ISO/IEC 27001.

De acordo com a NBR ISO/IEC 27002, cada categoria de controle principal contém: um objetivo do controle, declarando o que é para ser alcançado; e um ou mais controles que podem ser aplicados para alcançar o objetivo do controle. As descrições do controle estão estruturadas conforme o descrito a seguir.

O controle estabelece a declaração de controle específica para atender ao objetivo do controle. As diretrizes para implementação da proteção de DP em nuvem pública proveem informações mais detalhadas para apoiar a implementação do controle e atender aos objetivos do controle. As diretrizes podem não ser totalmente adequadas ou suficientes em todas as situações e podem não atender aos requisitos específicos de controle da organização. Os controles alternativos ou adicionais, ou outras formas de tratamento de risco (evitando, transferindo ou aceitando riscos) podem, portanto, ser apropriados.

Outras informações para proteção de DP em nuvem pública proveem informações adicionais que podem ser consideradas, como considerações legais e referências a outras normas. O controle e as diretrizes para implementação associadas e outras informações especificadas na NBR ISO/IEC 27002 são aplicáveis. As seguintes diretrizes específicas do setor também são aplicáveis.

Para as diretrizes para implementação da proteção de DP em nuvem pública, convém que as políticas de segurança da informação sejam incrementadas por uma declaração referente ao suporte e comprometimento em atingir o compliance com a legislação e os termos contratuais de proteção de DP aplicáveis acordados entre o operador de DP em nuvem pública e seus clientes (clientes que utilizam serviços em nuvem).

Convém que os acordos contratuais atribuam claramente as responsabilidades entre o operador de DP em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem, levando em consideração o tipo de serviço em nuvem em questão (por exemplo, um serviço de uma categoria IaaS, PaaS ou SaaS da arquitetura de referência de computação em nuvem).

Por exemplo, a atribuição de responsabilidade pelos controles da camada de aplicação pode diferir, dependendo se o operador de DP em nuvem pública está fornecendo um serviço de SaaS ou, em vez disso, está fornecendo um serviço de PaaS ou IaaS sobre o qual o cliente que utiliza serviços em nuvem pode construir ou estender em camadas suas próprias aplicações. Em algumas jurisdições, o operador de DP em nuvem pública está diretamente sujeito à legislação de proteção de DP.

Em outros locais, a legislação de proteção de DP é aplicável somente ao controlador de DP. Um mecanismo para assegurar que o operador de DP em nuvem pública está obrigado a apoiar e gerenciar o compliance é provido pelo contrato entre o cliente que utiliza serviços em nuvem e o operador de DP em nuvem pública.

O contrato pode requerer conformidade com auditoria independente, aceitável ao cliente que utiliza serviços em nuvem, por exemplo, por meio da implementação dos controles pertinentes neste documento e na NBR ISO/IEC 27002. Para as diretrizes para implementação da proteção de DP em nuvem pública, convém que medidas sejam implementadas para conscientizar os funcionários da organização, quando pertinente, sobre as possíveis consequências ao operador de DP em nuvem pública (por exemplo, consequências legais, perda de negócio e danos à marca ou de reputação), ao membro da equipe (por exemplo, consequências disciplinares) e ao titular de DP (por exemplo, consequências físicas, materiais e emocionais) na violação das regras e procedimentos de privacidade ou de segurança, especialmente aqueles que tratam da manipulação de DP.

Para as outras informações para proteção de DP em nuvem pública, em algumas jurisdições, o operador de DP em nuvem pública pode estar sujeito a sanções legais, incluindo multas substanciais diretamente da autoridade local de proteção de DP. Em outras jurisdições, convém que o uso de normas como este documento, na preparação do contrato entre o operador de DP em nuvem pública e o cliente que utiliza serviços em nuvem, auxilie a estabelecer uma base para sanções contratuais por violação de regras e procedimentos de segurança.

No contexto das categorias de serviço da arquitetura de referência de computação em nuvem, o cliente que utiliza serviços em nuvem pode ser responsável por alguns ou todos os aspectos do gerenciamento de acesso para usuários que utilizam serviços em nuvem sob seu controle. Quando apropriado, convém que o operador de DP em nuvem pública permita que o cliente que utiliza serviços em nuvem gerencie o acesso dos usuários sob seu controle, por exemplo, fornecendo direitos administrativos para gerenciar ou encerrar o acesso.

Convém que os procedimentos para registro e cancelamento do usuário tratem a situação quando o controle de acesso do usuário estiver comprometido, como a corrupção ou o comprometimento de senhas ou outros dados de registro do usuário (por exemplo, como resultado de uma divulgação involuntária). As jurisdições individuais podem impor requisitos específicos relativos à frequência de verificações para credenciais de autenticação não utilizadas.

Convém que as organizações que operam nessas jurisdições assegurem que elas atendam a estes requisitos. Convém que o operador de DP em nuvem pública forneça informações ao cliente que utiliza serviços em nuvem referentes às circunstâncias em que ele utiliza a criptografia para proteger os DP que ele trata.

Convém que o operador de DP em nuvem pública também forneça informações ao cliente que utiliza serviços em nuvem sobre quaisquer capacidades que ele fornece que possam auxiliar o cliente que utiliza serviços em nuvem a aplicar sua própria proteção criptográfica. Em algumas jurisdições, pode ser requerido aplicar a criptografia para proteger tipos específicos de DP, como dados de saúde relativos a um titular de DP, números de registro de residentes, números de passaporte e números de licença de motorista.

IEC 60794-1-2: os procedimentos para o ensaio de cabo ótico

Essa norma, publicada pela International Electrotechnical Commission (IEC) em 2021, aplica-se a cabos de fibra óptica para uso com equipamentos e dispositivos de telecomunicações que empregam técnicas semelhantes e a cabos que possuem uma combinação de fibras ópticas e condutores elétricos. Um objetivo deste documento é definir os requisitos gerais e orientação de metodologia aplicável a todos os métodos de ensaio de cabo da IEC 60794-1 (todas as partes).

A IEC 60794-1-2:2021 – Optical fibre cables – Part 1-2: Generic specification – Basic optical cable test procedures – General guidance aplica-se a cabos de fibra óptica para uso com equipamentos e dispositivos de telecomunicações que empregam técnicas semelhantes e a cabos que possuem uma combinação de fibras ópticas e condutores elétricos. Um objetivo deste documento é definir os requisitos gerais e orientação de metodologia aplicável a todos os métodos de ensaio de cabo da IEC 60794-1 (todas as partes).

Um segundo objetivo deste documento é fornecer ao usuário final uma visão geral dos diferentes métodos de ensaio contidos nas diferentes partes da série IEC 60794-1, numerada -Xnn. A tabela abaixo mostra as diferentes partes.

Esta quinta edição cancela e substitui a quarta edição publicada em 2017. Esta edição constitui uma revisão técnica. Esta edição inclui a seguinte mudança técnica significativa em relação à edição anterior: a adição de tabelas de referência cruzada listando os novos números de método de ensaio e os números de método de ensaio anteriores.

Conteúdo da norma

PREFÁCIO…………………. 3

INTRODUÇÃO……………… 5

1 Escopo……………………. 6

2 Referências normativas……. ….. 7

3 Termos e definições…….. …… 7

4 Orientação geral……… ……….. 7

4.1 Formato do procedimento de ensaio………………. 7

4.2 Condições atmosféricas padrão ………………….. 7

4.3 Símbolos e termos abreviados ……………………….. 8

4.4 Aspectos ambientais e de segurança…………………. 8

4.5 Calibração…………….. ………………… 8

4.5.1 Processo de calibração………….. 8

4.5.2 Avaliação de incertezas………………………. 8

4.6 Pré-condicionamento………………………… …… 9

4.7 Guia para amostragem de qualificação……………….. 9

4.8 Condições óticas de lançamento………………………. 9

4.9 Comprimentos de onda de ensaio óptico padrão………………. 9

Anexo A (informativo) Referências cruzadas entre os números dos métodos de ensaio novos e antigos ……….. 10

Bibliografia………………….. 16

Tabela 1 – Visão geral do documento ………………. … 6

Tabela 2 – Comprimentos de onda de ensaio óptico padrão……………… 9

Tabela 3 – Comprimentos de onda de ensaio óptico alternativo……………………… 9

Tabela A.1 – Série IEC 60794-1-1xx ………………….. 10

Tabela A.2 – Série IEC 60794-1-2xx…………………….. 11

Tabela A.3 – Série IEC 60794-1-3xx……………………… 12

Tabela A.4 – Série IEC 60794-1-4xx……………………. 12

Tabela A.5 – Números de método IEC 60794-1-21……….. 12

Tabela A.6 – Números do método IEC 60794-1-22…………. 14

Tabela A.7 – Números do método IEC 60794-1-23………….. 14

Tabela A.8 – Números de método IEC 60794-1-24………… 15

Esses documentos definem os procedimentos de teste a serem usados no estabelecimento de requisitos uniformes para as propriedades geométricas, de transmissão, de material, mecânicas, de envelhecimento (exposição ambiental) e climáticas de cabos de fibra óptica, e requisitos elétricos quando apropriado. Ao longo dos documentos, o termo cabo óptico também pode incluir unidades de fibra óptica, unidades de fibra de microduto, etc. O objetivo secundário deste documento é fornecer ao usuário final uma orientação útil ao testar cabos de fibra óptica.