Avançar para o conteúdo principal
Microsoft 365
Subscrever

Preparação para uma nova era de regulamentos de privacidade com a Microsoft Cloud

Por

A Microsoft tem uma vasta experiência na proteção de dados, defesa da privacidade e conformidade com regulamentos complexos. A Microsoft adere a um conjunto de princípios de privacidade e oferece Cláusulas-tipo da UE a todos os clientes. Acreditamos que o Regulamento Geral Sobre a Proteção de Dados (RGPD) é um passo importante para esclarecer e implementar direitos de privacidade individuais.

À medida que a data de imposição do RGPD se aproxima, a sua organização poderá ter de demonstrar que efetuou os passos adequados para proteger os dados pessoais dos seus clientes em resposta a auditorias regulamentares e pedidos de informações.

A implementação de controlos de segurança adequados é um passo fundamental para demonstrar essa responsabilidade. É igualmente importante implementar os processos corretos, tal como responder a Pedidos de Titulares De Dados (DSR) e fornecer notificações de violações de dados, para o ajudar a estar em conformidade com o RGPD e ganhar a confiança dos seus clientes.

Estamos a anunciar funcionalidades e recursos novos para o ajudar a responder às obrigações do RGPD com a Microsoft Cloud. Estas atualizações incluem:

  • Pré-visualização pública de novos recursos de privacidade na Microsoft Cloud.
  • Novas funcionalidades para ajudar com DSRs nos serviços Microsoft Cloud para o RGPD.
  • Novas funcionalidades de gestão de acesso privilegiado prontas para auditorias no Office 365.
  • Permitir que um único inquilino do Office 365 abranja múltiplas regiões geográficas do datacenter do Office 365.

Continue a ler para obter mais detalhes e muitas outras atualizações.

Melhorar a capacidade de cumprir as obrigações do RGPD com o Portal de Confiança do Serviço

Para suportar o RGPD, estamos a anunciar a pré-visualização pública de novos recursos e ferramentas relacionados com o RGPD, incluindo DSRs e notificações de violação de dados, para o Office 365, Dynamics 365, Azure, Windows, Intune e Serviços Profissionais no Portal de Confiança do Serviço.

Os recursos do RGPD incluem documentação sobre notificações de violação de dados, que descrevem quando e como a Microsoft irá notificar o utilizador e outras pessoas sobre violações de dados pessoais, que informações é que a Microsoft irá fornecer e as ferramentas que pode utilizar para ajudar a garantir que as pessoas certas na sua organização são notificadas.

Centralizámos todos os nossos recursos de DSR numa única página, que fornece ferramentas que pode utilizar no Centro de Conformidade e Segurança do Office 365 e no Centro de Administração do Azure, juntamente com documentos para o guiar ao longo do processo de localizar, exportar e apagar dados de um serviço Microsoft Cloud.

Aceda aos recursos de privacidade do Portal de Confiança do Serviço para obter mais informações.

Responder a DSRs nos serviços Microsoft Cloud

Para suportar DSRs nos serviços Microsoft Cloud, estamos a implementar várias funcionalidades novas, incluindo o separador Privacidade de Dados no Office 365, um portal de DSR do Azure e novas funcionalidades de pesquisa de DSR no Dynamics 365.

  • Separador Privacidade de Dados do Office 365 – para o ajudar a gerir de forma eficiente os DSRs relacionados com o Office 365, adicionámos o separador Privacidade de Dados (em pré-visualização) ao Centro de Conformidade e Segurança do Office 365. No separador Privacidade de Dados, encontrará uma secção dedicada ao RGPD, que inclui documentação e recursos para o ajudar no seu percurso rumo à conformidade com o RGPD, bem como um separador dedicado à execução de um DSR.

A nova experiência de DSR foi concebida para lhe fornecer as ferramentas necessárias para criar um processo para um pedido do titular de dados, procurar e refinar dados relevantes em localizações do Office 365 – como o Exchange, SharePoint, OneDrive, Grupos e agora o Microsoft Teams – e exportar os dados.

Um cenário de DSR que pode ocorrer numa organização é quando um colaborador que está prestes a sair da empresa pede que os seus dados lhe sejam fornecidos. Para obter ajuda com este cenário e outros semelhantes, a funcionalidade de retenção baseada em eventos da Gestão de Dados Avançada está disponível para clientes do Office 365 E5.

Saiba mais sobre o separador Privacidade de Dados no Office 365 e sobre a Retenção baseada em eventos na Gestão de Dados Avançada no blogue da Tech Community.

Para ver como funciona a experiência de DSR no Office 365, veja o vídeo do Microsoft Mechanics:

 

  • Portal de DSR do Azure – planeamos lançar uma funcionalidade que permite processar DSRs do Azure antes de 25 de maio de 2018 (prazo limite para estar em conformidade com o RGPD). Os administradores do inquilino do Azure terão uma ferramenta simples mas avançada para processar rapidamente o DSR para o RGPD. Com o portal de DSR do Azure, os administradores do inquilino podem identificar informações associadas a um utilizador e, em seguida, corrigir, alterar, eliminar ou exportar os dados do utilizador. Os administradores também podem identificar informações associadas a um titular de dados e poderão executar DSRs com base em registos gerados pelo sistema (dados que a Microsoft gera para fornecer um determinado serviço).

Portal de DSR do Azure para ajudar a processar um DSR.

Para saber mais, visite o blogue do Azure.

  • Funcionalidades de pesquisa de DSR no Dynamics 365 – para ajudar os clientes a responder a DSRs no Dynamics 365, estamos a fornecer duas novas funcionalidades de pesquisa: Pesquisa por Relevância e Relatório de Pesquisa Pessoal. A Pesquisa por Relevância oferece uma forma rápida e simples de encontrar o que procura e tem tecnologia do Azure Search. O Relatório de Pesquisa Pessoal oferece um conjunto pré-configurado de entidades extensíveis, que a Microsoft criou para identificar dados pessoais que são utilizados para definir uma pessoa e as funções que podem ser atribuídas à mesma.

Processamento de violações de dados ao abrigo dos novos regulamentos do RGPD

Para o RGPD, as organizações têm de cumprir requisitos mais rigorosos caso ocorra uma violação de dados. Isto inclui notificar as autoridades de regulamentação e as pessoas afetadas pela violação, geralmente dentro de 72 horas após tomarem conhecimento de uma violação de dados. O Microsoft 365 tem um conjunto avançado de funcionalidades que podem ajudar a proteger, detetar e responder a violações de dados. Por exemplo, a Proteção Avançada Contra Ameaças do Office 365 (ATP) protege o ecossistema do Office 365 de uma organização ao ajudar a impedir que e-mails ou ficheiros empresariais importantes maliciosos comprometam a conta de um utilizador. O Windows Defender ATP foca-se na proteção contra software maligno em dispositivos ou ficheiros baseados na Web maliciosos que podem corromper a conta de um utilizador.

Anexos Seguros da ATP a bloquear um anexo de e-mail malicioso.

Se a Microsoft identificar uma violação de dados pessoais conforme definido pelo RGPD, iremos notificar o seu administrador de inquilinos. Além de notificar os administradores, recomendamos que indique um alias de contacto de privacidade no Azure Active Directory que também será notificado.

Recolher, processar e rever o consentimento do utilizador com o Azure Active Directory

Com o RGPD, agora as empresas precisam de uma forma de processar o consentimento de um utilizador, bem como ter relatórios prontos para auditoria. Com os termos de utilização do Azure Active Directory, agora as organizações têm uma forma simples de recolher, processar e rever o consentimento dos utilizadores. Pode exigir que um utilizador veja e autorize os termos de utilização da sua organização antes de poder aceder a uma aplicação. ​Os termos podem ser qualquer documento relevante para as políticas legais ou empresariais da sua organização.

Exemplo de termos de utilização do Azure Active Directory com múltiplos idiomas.

Para saber mais, reveja a nossa documentação sobre os Termos de utilização do Azure Active Directory.

Tirar partido de controlos prontos para auditoria para o acesso de administrador privilegiado

Embora as organizações procurem minimizar o risco de violações de dados de ameaças a contas privilegiadas, também precisam de responder às autoridades de regulamentação e fornecer um registo documentado de acesso privilegiado, o que demonstra como os dados de um cliente são acedidos. Para ajudar as organizações a protegerem os seus dados e responderem a estas obrigações de conformidade, hoje apresentamos novas funcionalidades de gestão de acesso privilegiado no Microsoft 365, que fornecem controlos de acesso prontos para auditoria com limite de tempo e que podem limitar o âmbito do acesso aos dados.

Com a gestão de acesso privilegiado no Office 365, pode proteger melhor os seus dados ao controlar ou impor um fluxo de trabalho de aprovação no âmbito das suas tarefas de risco elevado no Office 365. Por exemplo, os privilégios gerais de administração permitem que os administradores executem tarefas que podem fornecer acesso sem restrições aos dados organizacionais, tal como uma regra de diário, que pode enviar e-mails para uma caixa de correio externa e remover dados confidenciais não detetados. A gestão de acesso privilegiado no Office 365 permite-lhe aplicar políticas que exigem aprovação antes de qualquer pessoa poder executar estas tarefas de risco elevado. Os pedidos de acesso podem ser aprovados automaticamente ou manualmente e toda essa atividade é registada e auditável. Veja este vídeo para saber mais:

Estamos entusiasmados com o lançamento da pré-visualização pública da gestão de acesso privilegiado no Office 365. Para começar, aceda à página Office Previews (Pré-visualizações do Office) (introduza o código PAM044), e leia o blogue da Tech Community detalhado.

Cumprir os requisitos globais de residência de dados

Cada vez mais, os governos, autoridades de regulamentação de terceiros e requisitos de conformidade empresarial estão a aprovar diretrizes de residência de dados para abordar problemas de privacidade. Estas diretrizes restringem o fluxo livre de informações entre fronteiras e exigem que os dados de uma organização sejam armazenados em regiões geográficas definidas. Embora o RGPD não exija a residência de dados, muitos clientes dizem que precisam de flexibilidade para armazenar os seus dados em regiões geográficas selecionadas para cumprir requisitos de residência de dados organizacionais, setoriais ou regionais.

As Multi-Geo Capabilities permitem que um único inquilino do Office 365 abranja múltiplas regiões geográficas de datacenter do Office 365 e dão aos clientes a capacidade de armazenar os seus dados do Office 365 inativos nas regiões geográficas escolhidas por cada colaborador. As Multi-Geo Capabilities foram lançadas para o Exchange Online e OneDrive para Empresas. Leia o artigo “Get Global data location controls with Multi-Geo Capabilities in Office 365” (Obter controlos de localização de dados globais com as Multi-Geo Capabilities no Office 365) para obter mais informações.

Inicie já o seu percurso rumo à conformidade com o RGPD com a Microsoft Cloud

Independentemente da fase em que se encontre do percurso rumo à conformidade com o RGPD, estamos aqui para si e temos vários recursos disponíveis para o ajudar a começar:

Saiba mais sobre como a Microsoft pode ajudá-lo a preparar-se para o RGPD.

– Alym Rayani, diretor do Microsoft 365