Pular para o conteúdo principal
Microsoft 365
Assinar

Preparação para uma nova era no regulamento de privacidade com o Microsoft Cloud

Por

A Microsoft possui ampla experiência em proteção de dados, defesa da privacidade e conformidade com regulamentos complexos. A Microsoft cumpre um conjunto de princípios de privacidade e oferece Cláusulas modelo da UE a todos os clientes. Acreditamos que o Regulamento Geral sobre a Proteção de Dados (RGPD) é um passo importante para esclarecer e promover os direitos de privacidade individuais.

À medida que a data de aplicação do RGPD se aproxima, sua organização logo poderá ter que demonstrar que tomou as medidas apropriadas para proteger os dados pessoais de seus clientes em resposta a auditorias regulatórias e solicitações de informações.

A implementação de controles de segurança apropriados é um passo fundamental para demonstrar responsabilidade. De igual importância é implementar os processos corretos, como responder a uma Solicitação de titular de dados (DSR) e fornecer uma notificação de violação, que ajudem você a cumprir o RGPD e a conquistar a confiança dos clientes.

Hoje, estamos anunciando vários recursos novos para ajudar você a responder às obrigações do RGPD com o Microsoft Cloud. Essas atualizações incluem:

  • Visualização pública de novos recursos de privacidade no Microsoft Cloud.
  • Novos recursos para ajudar com DSRs nos serviços do Microsoft Cloud para RGPD.
  • Novos recursos de gerenciamento de acesso privilegiado prontos para auditoria no Office 365.
  • Permitir que um único locatário do Office 365 se estenda por várias regiões geográficas de datacenters do Office 365.

Continue lendo para saber mais detalhes e conhecer várias outras atualizações.

Aprimore sua capacidade de cumprir as obrigações do RGPD com o Portal de Confiança do Serviço

Como suporte ao RGPD, hoje estamos anunciando a visualização pública de novas ferramentas e recursos relacionados ao RGPD, incluindo DSRs e notificações de violação de dados para Office 365, Dynamics 365, Azure, Windows, Intune e Serviços Profissionais no Portal de Confiança do Serviço.

Os recursos do RGPD incluem a documentação sobre notificações de violação de dados, que descreve quando e como a Microsoft notificará você e outras pessoas sobre violações de dados pessoais, quais informações a Microsoft fornecerá e as ferramentas que você pode usar para ajudar a garantir que as pessoas certas na sua organização sejam notificadas.

Centralizamos todos os nossos recursos de DSR em uma única página, que fornece ferramentas que você pode usar no Centro de Conformidade e Segurança do Office 365 e no Azure Admin Center, além de documentos para orientar você pelo processo de localização, exportação e remoção de dados de um serviço do Microsoft Cloud.

Para saber mais, acesse Recursos de privacidade do Portal de Confiança do Serviço.

Resposta a DSRs nos serviços do Microsoft Cloud

Para oferecer suporte a DSRs nos serviços do Microsoft Cloud, estamos implementando vários recursos novos, incluindo uma guia Privacidade de Dados no Office 365, um portal de DSR do Azure e novos recursos de pesquisa de DSR no Dynamics 365.

  • Guia Privacidade de Dados do Office 365: para ajudar você a gerenciar com eficácia as DSRs relacionadas ao Office 365, adicionamos a guia Privacidade de Dados (na visualização) ao Centro de Conformidade e Segurança do Office 365. Na guia Privacidade de Dados, você encontrará uma seção dedicada ao RGPD, que inclui documentação e recursos para ajudá-lo em sua jornada com o RGPD, bem como uma guia dedicada à execução de uma DSR.

A nova experiência de DSR foi desenvolvida com o intuito de fornecer as ferramentas para criação de um caso para solicitação de titular de dados, pesquisar e refinar dados relevantes em locais do Office 365, como o Exchange, o SharePoint, o OneDrive, os Grupos e agora o Microsoft Teams, além de exportar dados.

Um cenário de DSR que uma organização pode encontrar é quando um funcionário que está deixando a empresa solicita a entrega dos dados dele. Como forma de auxílio nesse e em outros cenários semelhantes, o recurso de Retenção baseada em eventos da Gestão de Dados Avançada já está em disponibilidade geral para clientes do Office 365 E5.

Saiba mais sobre a guia Privacidade de Dados no Office 365 e a Retenção baseada em eventos na Gestão de Dados Avançada nas notícias da Tech Community.

Veja como funciona a experiência de DSR no Office 365 no vídeo da Mecânica:

 

  • Portal de DSR do Azure: planejamos liberar a capacidade de processar DSRs do Azure antes do prazo de conformidade com o RGPD de 25 de maio de 2018. Os administradores de locatário do Azure terão uma ferramenta simples e poderosa para processar rapidamente a DSR do RGPD. Com o portal de DSR do Azure, os administradores de locatário poderão identificar informações associadas a um usuário e, em seguida, corrigir, alterar, excluir ou exportar os dados do usuário. Os administradores também poderão identificar informações associadas a um titular de dados e executar DSRs em relação a registros gerados pelo sistema (dados que a Microsoft gera para fornecer determinado serviço).

Portal de DSR do Azure para ajudar a processar um DSR.

Para saber mais, acesse o blog do Azure.

  • Recursos de pesquisa de DSR do Dynamics 365: para ajudar os clientes a responder a DSRs no Dynamics 365, estamos oferecendo dois novos recursos de pesquisa: Pesquisa de relevância e Relatório de Pesquisa de Pessoas. A Pesquisa de relevância fornece uma maneira rápida e simples de encontrar o que você está procurando e é promovida pela Pesquisa do Azure. O Relatório de Pesquisa de Pessoas oferece um conjunto predefinido de entidades extensíveis, criadas pela Microsoft, para identificar dados pessoais usados para definir uma pessoa e as funções às quais ela pode ser atribuída.

Tratamento de violações de dados de acordo com os novos regulamentos do RGPD

De acordo com o RGPD, as organizações devem atender a requisitos mais rigorosos no caso de uma violação de dados. Isso inclui notificar tanto os reguladores quanto os afetados por uma violação, geralmente dentro de 72 horas após tomar conhecimento de uma violação de dados. O Microsoft 365 possui um conjunto robusto de recursos que podem ajudar a proteger, detectar e responder a violações de dados. Por exemplo, a ATP (Proteção Avançada contra Ameaças) do Office 365 protege o ecossistema do Office 365 de uma organização ao ajudar a impedir que e-mails maliciosos ou arquivos essenciais comprometam a conta de um usuário. O Windows Defender ATP se concentra na proteção contra arquivos maliciosos baseados na Web ou em impedir que malwares de dispositivos corrompam uma conta de usuário.

Anexos Seguros do ATP bloqueando um anexo de email malicioso.

Caso a Microsoft identifique uma violação de dados pessoais conforme definido pelo RGPD, notificaremos o administrador do locatário. Além disso, recomendamos que você designe um alias de contato de privacidade no Azure Active Directory, que também será notificado juntamente com os administradores.

Coleta, processamento e revisão do consentimento do usuário com o Azure Active Directory

Com o RGPD, as empresas agora precisam ter uma maneira de processar o consentimento de um usuário, além de ter relatórios prontos para auditoria. Com os termos de uso do Azure Active Directory, as organizações agora têm uma maneira fácil de coletar, processar e revisar o consentimento do usuário. Você pode exigir que um usuário visualize e concorde com os termos de uso da sua organização antes que ele possa acessar um aplicativo. ​Os termos podem ser qualquer documento relevante para as políticas comerciais ou legais da sua organização.

Exemplo de termos de uso do Azure Active Directory em vários idiomas.

Para saber mais, consulte nossa documentação sobre os termos de uso do Azure Active Directory.

Use os controles prontos para auditoria para ter acesso administrativo privilegiado

Enquanto as organizações procuram minimizar o risco de violações de dados das ameaças a contas privilegiadas, elas também estão descobrindo que precisam responder aos reguladores e fornecer uma trilha documentada do acesso privilegiado, que descreva o cenário de como os dados de um cliente são acessados. Para ajudar as organizações a proteger seus dados e responder a essas obrigações de conformidade, hoje estamos lançando novos recursos de gerenciamento de acesso privilegiado no Microsoft 365, que fornecem controles de acesso prontos para auditoria com limite de tempo e podem limitar o escopo do acesso aos dados.

Com o gerenciamento de acesso privilegiado no Office 365, você pode proteger melhor seus dados rastreando ou impondo um fluxo de trabalho de aprovação que abranja suas tarefas de alto risco no Office 365. Por exemplo, privilégios gerais de administrador permitem que os administradores executem tarefas que podem fornecer acesso irrestrito a dados organizacionais, como uma regra de diário, que pode enviar e-mails para uma caixa de correio externa e remover dados confidenciais não detectados. O gerenciamento de acesso privilegiado no Office 365 permite aplicar políticas que exigem aprovação antes que qualquer pessoa possa executar essas tarefas de alto risco. As solicitações de acesso podem ser aprovadas de forma automática ou manual, e toda essa atividade é registrada e auditável. Assista a este vídeo para saber mais:

Estamos animados com o lançamento da visualização pública do gerenciamento de acesso privilegiado no Office 365. Para começar, acesse a página Versões prévias do Office (insira o código PAM044) e leia os detalhes nas notícias da Tech Community.

Abordagem de requisitos globais de residência de dados

Cada vez mais, governos, reguladores de terceiros e requisitos de conformidade corporativa estão decretando diretrizes de residência de dados para abordar questões de privacidade. Essas diretrizes restringem o fluxo livre de informações entre fronteiras e exigem que os dados de uma organização sejam armazenados dentro de regiões geográficas definidas. Embora o RGPD não exija a residência de dados, muitos clientes nos informam que precisam da flexibilidade de armazenar seus dados em determinadas regiões geográficas para atender aos requisitos de residência de dados regionais, setoriais ou organizacionais.

O recurso Multi-Geo Capabilities permite que um único locatário do Office 365 se estenda por várias áreas geográficas de datacenters do Office 365 e oferece aos clientes a capacidade de armazenar dados do Office 365 em repouso, por funcionário, nas regiões geográficas escolhidas. O recurso Multi-Geo foi lançado para Exchange Online e OneDrive for Business. Saiba mais em “Obter controles de locais de dados globais com o recurso Multi-Geo Capabilities no Office 365”.

Comece agora sua jornada pelo RGPD com a Microsoft Cloud

Não importa onde você esteja nos seus esforços de RGPD, estamos aqui para ajudá-lo em sua jornada rumo à conformidade com o RGPD e a ter vários recursos disponíveis para que você possa começar hoje mesmo:

Saiba mais sobre como a Microsoft pode ajudar você a se preparar para o RGPD.

— Alym Rayani, diretor do Microsoft 365