São Paulo, SP 01415-906, Brasil
11 3158-1049
contato@fcnuvem.com.br

GDPR, Office 365 e Azure

A FC Nuvem está sempre antenada nas novidades e benefícios que o mundo digital pode oferecer. E é claro que quer te deixar por dentro também! Nosso blog está aqui para te instruir e informar.

GDPR, Office 365 e Azure

Tem se falado no GDPR, mas o que é o GDPR?
Primeiro vamos traduzir e colocar em uma linguagem com um entendimento básico. 
Em português é “Regulamento Geral de Proteção de Dados” (General Data Protection Regulation, GDPR) é a norma mais recente criada para fortalecer a proteção de dados pessoais de cidadãos da União Europeia, mas por que estas regulamentações estão sendo fundidas e regulamentadas aqui no Brasil? Simples, muitas regulamentações, médicas, bancárias, industriais e outras tem como base EUA e Europa. Softwares, dados e data centers, compliances e regras são todos originados no exterior e regimentados aqui no Brasil. 
No Brasil seguimos bastante informações e regras obrigatórias pela ABNT (Associação Brasileira de Normas Técnicas). 
Aqui no Brasil deve-se ter ativado a partir da data de 25 de Maio de 2018. 
O Banco Central já soltou uma portaria para que os bancos se adequem a regulamentação. Resolução 4.658 do Banco Central, o GDPR é a maior mudança em privacidade e segurança da informação das últimas décadas, substituindo o último acordo europeu, datado de 1995, por isso as organizações devem se atentar a todas as regras para garantir a conformidade, aMicrosoft tem feito isso desde que o acordo foi firmado, em 14 de abril de 2016 e foi a primeira provedora de nuvem global a oferecer termos e condições compatíveis com a nova regra em seus serviços, assim as soluções como Azure, Microsoft 365 e Dynamics 365, já estão adequadas, no entanto estar em conformidade com o GDPR vai além do uso de tecnologia, mas passa por processos internos, políticas e pessoas. 
Como mencionado acima o GDPR vai muito além da tecnologia, o Office 365 tem um link que te ajuda a entender melhor e ativar algumas resoluções sobre o GDPR. 

https://www.microsoft.com/pt-br/TrustCenter/CloudServices/office365/GDPR

Leia que é praticamente pauta obrigatória em algumas corporações como instituições financeiras e instituições de saúde. 
Mas como ativarei isso? Calma, como estou repetindo acima, é um tema extenso e precisa de tempo para entender, ou seja, é algo importante e em alguns casos obrigatório, no Office 365 alguns pontos quando você entra na Tenant. 

Veja em https://protection.office.com e seu nível de licenciamento atinge praticamente todos serviços do Office e seu ecossistema, mencionei o Azure no tema porque o Office 365 utiliza vários recursos do Azure como Azure AD, Azure Information Protection e outros então todo serviços cloud da Microsoft está engajado em Classificação da Informação: Ative a classificação da informação com botões de nível de importância dos documentos da organização, que pode ser público, interno, restrito ou confidencial. 

Criações de rótulos como acima são uns dos pontos. 
Em DLP (Data Loss Prevention) Prevenção de Perda de Dados, acredito que é um dos principais pontos do ecossistema que faz sentido ao GDPR. 

Essa ativação possui várias resoluções de regulamentações da Europa, EUA e do Brasil, algumas regulamentações por exemplo em Medical and Health. 

Na página de GDPR há várias orientações para você, que possui mais experiência para realizar as configurações, coletas de dados e geração de relatórios para ficar em compliance com as resoluções, basta ter a vontade de ler, que é extenso, entender como é o ecosistema e realizar as aplicações. 

Governança de Dados

A governança dos dados é um Dashboard que inicia a coletagem de informações das suas ativações para dar rumos de configurações e ativações e ajustes de resultados de melhorias na segurança dos dados, aqui você poderá verificar a retenção de dados. 

Privacidade dos Dados

Por fim já há um menu reforçando a privacidades dos dados com ênfase ao GDPR com todas as informações, orientações dos serviços do Office 365, Microsoft 365 e outros serviços do Azure, esses serviço atingem direto o Onedrive, Sharepoint, Office e Office Online, Exchange online e outros. 

Algumas orientações importantes:

O Microsoft Office 365 e as ferramentas relacionadas permitem proteger dados pessoais das seguintes maneiras: 

  • Ajustando as configurações de privacidade no Word, no Excel e no PowerPoint para limitar a conexão dos aplicativos do Office à Internet, tornar a marcação oculta visível e inspecionar e remover dados pessoais de documentos com o Inspetor de Documento
  • Limitando o acesso aos arquivos ou pastas compartilhados no OneDrive for Business e gerenciando quem pode exibir ou editar os arquivos. 
  • Usando a opção para criptografar documentos do Word, do Excel e do PowerPoint com proteção por senha
  • Usando o Azure Information Protection para criptografia e gerenciar direitos. 
  • Usando a opção de criptografia durante o Serviço de Importação de PST
  • Usando o Log de Auditoria Unificado para acompanhar e registrar atividades de processamento em todo o ambiente do Office 365, registrar a resolução de solicitações de direitos de entidades de dados e os eventos de log associados à alteração, a exclusão ou à transferência de dados pessoais e fornecer insight sobre os dados transferidos para terceiros por e-mail ou compartilhados usando o SharePoint Online e o OneDrive for Business. 
  • Usando o Acompanhamento de Mensagens do Exchange para determinar o destinatário de um e-mail e se ele foi recebido, rejeitado, adiado ou entregue. 
  • Usando a API de Atividade de Gerenciamento do Office 365 para identificar atividades de compartilhamento de usuários no Exchange Online e no SharePoint Online. 

Tema GDPR e Segurança

Como o tema é complicado, elaborei uma planilha que vale para aplicação de segurança no Office 365 e montei um POC, estou compartilhando a planilha para dividir os trabalhos de implantação e configuração. 

Pesquisei aqui no Brasil que consegue implantar e simente a Microsoft que presta consultoria através da CORP que tem condições técnicas de realizar a implantação. 

A planilha ajuda bastante para saber o que fazer. 

Segue o link:  https://1drv.ms/x/s!An-dPolj_Ee_hdUx_75nHFiPY-1qjQ  

Para ajudar os clientes que estão buscando informações que possam ajudar a realizar uma DPIA (Avaliação de Impacto de Proteção de Dados) que aborde seu uso do Office 365, a Microsoft fornece informações detalhadas sobre o processamento de dados do cliente e as medidas de segurança usadas para proteger esses dados, essas informações são acessíveis por meio do Microsoft Trust Center. 

  • Quais os dados a Microsoft coleta e processa de sistemas de clientes e usuários finais 
  • Como e para onde a Microsoft envia os dados dos clientes, incluindo localizações geográficas 
  • Subcontratados que têm acesso aos dados dos clientes 
  • Detalhes sobre as medidas de segurança do Azure administradas pela Microsoft 
  • Detalhes sobre o processo de revisões de privacidade da Microsoft, realizado por todos os produtos, incluindo todos os serviços do Azure. 

Além de mostrar como iniciar uma configuração de proteção e sobre GDPR, nas referências estão as fontes que usei para explanar e mostrar que o Office 365 e Azure está totalmente em compliance com GDPR. 

Referências

Autor: Fábio Silva

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *