A proteção de dados pessoais (DP) em nuvens públicas

Como deve ser feita a separação dos ambientes de desenvolvimento, teste e operação? Quais as diretrizes para os registros de eventos na implementação da proteção de DP em nuvem pública? Quais são as políticas e procedimentos para transferência de informações? O que deve ser feito para a gestão de incidentes de segurança da informação? Essas perguntas estão sendo respondidas na NBR ISO/IEC 27018 de 03/2021 - Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP.

31/03/2021 - Equipe Target

NBR ISO/IEC 27018 de 03/2021 - Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP

A NBR ISO/IEC 27018 de 03/2021 - Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores de DP estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteção de dados pessoais (DP), de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100, para o ambiente de computação em nuvem pública. Em particular, este documento especifica diretrizes com base na NBR ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de DP que podem ser aplicáveis dentro do contexto do (s) ambiente (s) de risco de segurança da informação de um provedor de serviços em nuvem pública.

Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que fornecem serviços de tratamento de informações, como operadores de DP, por meio da computação em nuvem sob contrato para outras organizações. As diretrizes deste documento também podem ser pertinentes para organizações que atuam como controladores de DP. Os controladores de DP, entretanto, podem estar sujeitos à legislação, regulamentos e obrigações adicionais de proteção de DP, não aplicáveis aos operadores de DP. Este documento não se destina a abranger estas obrigações adicionais.

Target Genius Respostas Diretas:

Como deve ser feita a separação dos ambientes de desenvolvimento, teste e operação?

Quais as diretrizes para os registros de eventos na implementação da proteção de DP em nuvem pública?

Quais são as políticas e procedimentos para transferência de informações?

O que deve ser feito para a gestão de incidentes de segurança da informação?

Os provedores de serviços em nuvem que tratam dados pessoais (DP) sob contrato com seus clientes têm que operar seus serviços de forma a permitir que ambas as partes atendam aos requisitos da legislação e aos regulamentos aplicáveis que abrangem a proteção de DP. Os requisitos e a forma como os requisitos são divididos entre o provedor de serviços em nuvem e seus clientes variam de acordo com a jurisdição legal e de acordo com os termos do contrato entre o provedor de serviços em nuvem e o cliente.

A legislação que regula como os DP podem ser tratados (ou seja, coletados, utilizados, transferidos e descartados) é algumas vezes referida como legislação de proteção de dados. Os DP são algumas vezes referidos como dados pessoais ou informações pessoais. As obrigações que incidem sobre um operador de DP variam de jurisdição para jurisdição, sendo um desafio para as empresas que fornecem serviços de computação em nuvem os operarem multinacionalmente.

Um provedor de serviços em nuvem pública é um operador de DP quando ele trata DP de acordo com as instruções de um cliente que utiliza serviços em nuvem. O cliente que utiliza serviços em nuvem, que tem o relacionamento contratual com o operador de DP em nuvem pública, pode variar de uma pessoa física, um titular de DP, tratando sua própria DP na nuvem, até uma organização, um controlador de DP, que trata o DP relativo a muitos titulares de DP.

O cliente que utiliza serviços em nuvem pode autorizar um ou mais usuários para serviço em nuvem associados a ele a utilizar os serviços disponibilizados sob seu contrato com o operador de DP em nuvem pública. Observar que o cliente que utiliza serviços em nuvem tem autoridade sobre o tratamento e uso dos dados.

Um cliente que utiliza serviços em nuvem, que também é um controlador de DP, pode estar sujeito a um conjunto mais amplo de obrigações que regulam a proteção de DP do que o operador de DP em nuvem pública. A manutenção da distinção entre o controlador de DP e o operador de DP depende de o operador de DP em nuvem pública não ter objetivos de tratamento de dados diferentes dos estabelecidos pelo cliente que utiliza serviços em nuvem em relação ao DP que ele trata e às operações necessárias para atingir os objetivos do cliente que utiliza serviços em nuvem.

Quando o operador de DP em nuvem pública estiver tratando de dados da conta do cliente que utiliza serviços em nuvem, ele pode estar atuando como...

Continuar lendo