Leis e NormasSegurança patrimonial e eletrônica

A proteção de informações de identificação pessoal

NBR ISO/IEC 27018 de 10/2018: a proteção das Informações de Identificação Pessoal (PII)

Equipe Target

A NBR ISO/IEC 27018 de 10/2018 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadores de PII estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteger as Informações de Identificação Pessoal (personally identifiable information – PII) de acordo com os princípios de privacidade descritos na ISO/IEC 29100, para o ambiente de computação em nuvem pública. Em particular, esta norma especifica diretrizes com base na NBR ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de PII que podem ser aplicáveis dentro do contexto do (s) ambiente (s) de risco de segurança da informação de um provedor de serviços em nuvem pública.

Esta norma é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que fornecem serviços de processamento de informações, como processadores de PII, por meio da computação em nuvem sob contrato para outras organizações. As diretrizes desta norma também podem ser relevantes para organizações que atuam como controladores de PII, entretanto, os controladores de PII podem estar sujeitos à legislação, regulamentos e obrigações adicionais de proteção de PII, não se aplicando aos processadores de PII. Esta norma não se destina a abranger estas obrigações adicionais.

Os provedores de serviços em nuvem que processam PII sob contrato com seus clientes têm que operar seus serviços de forma a permitir que ambas as partes atendam aos requisitos da legislação e regulamentos aplicáveis que abrangem a proteção de PII. Os requisitos e a forma como os requisitos são divididos entre o provedor de serviços em nuvem e seus clientes variam de acordo com a jurisdição legal, e de acordo com os termos do contrato entre o provedor de serviços em nuvem e o cliente.

A legislação que regula como a PII é permitida para ser processada (ou seja, coletada, utilizada, transferida e descartada) é algumas vezes referida como legislação de proteção de dados; a PII é algumas vezes referida como dados pessoais ou informações pessoais. As obrigações que incidem sobre um processador de PII variam de jurisdição para jurisdição, sendo um desafio para empresas que fornecem serviços de computação em nuvem os operarem multinacionalmente.

Um provedor de serviços em nuvem pública é um “processador de PII” quando ele processa PII de acordo com as instruções de um cliente que utiliza serviços em nuvem. O cliente que utiliza serviços em nuvem, que tem o relacionamento contratual com o processador de PII em nuvem pública, pode variar de uma pessoa física, um “titular de PII”, processando sua própria PII na nuvem, até uma organização, um “controlador de PII”, que processa a PII relativa a muitos titulares de PII.

O cliente que utiliza serviços em nuvem pode autorizar um ou mais usuários para serviço em nuvem associados a ele para utilizar os serviços disponibilizados sob seu contrato com o processador de PII em nuvem pública. Observar que o cliente que utiliza serviços em nuvem tem autoridade sobre o processamento e uso dos dados. Um cliente que utiliza serviços em nuvem, que também é um controlador de PII, pode estar sujeito a um conjunto mais amplo de obrigações que regulam a proteção de PII do que o processador de PII em nuvem pública.

A manutenção da distinção entre o controlador de PII e o processador de PII depende do processador de PII em nuvem pública que não tenha objetivos de processamento de dados diferentes dos estabelecidos pelo cliente que utiliza serviços em nuvem em relação à PII que ele processa e às operações necessárias para atingir os objetivos do cliente que utiliza serviços em nuvem. Quando o processador de PII em nuvem pública estiver processando dados da conta do cliente que utiliza serviços em nuvem, ele pode estar atuando como um controlador de PII para esta finalidade. Esta norma não abrange esta atividade.

A intenção desta norma, quando utilizada em conjunto com os objetivos e controles de segurança da informação descritos na NBR ISO/IEC 27002, é criar um conjunto comum de categorias e controles de segurança que possam ser implementados por um provedor de serviços de computação em nuvem pública que atua como um processador de PII. Esta norma tem alguns o objetivos. Por exemplo, auxiliar o provedor de serviços em nuvem pública a atender às obrigações aplicáveis ao atuar como um processador de PII, se estas obrigações incidirem sobre o processador de PII diretamente ou por contrato.

Permitir que o processador de PII em nuvem pública seja transparente em assuntos relevantes, de modo que os clientes que utilizam serviços em nuvem possam selecionar serviços de processamento de PII bem controlados com base na nuvem. Auxiliar o cliente que utiliza serviços em nuvem e o processador de PII em nuvem pública a realizarem um acordo contratual. Prover aos clientes que utilizam serviços em nuvem um mecanismo para o exercício de direitos e responsabilidades de auditoria e conformidade nos casos onde auditorias individuais do cliente que utiliza serviços em nuvem de dados hospedados em um ambiente de servidor virtualizado (nuvem) com várias partes possam ser impraticáveis tecnicamente e possam aumentar os riscos a estes controles de segurança de rede física e lógica no local.

Esta norma não substitui a legislação e os regulamentos aplicáveis, porém pode auxiliar provendo uma estrutura de conformidade comum para provedores de serviços em nuvem pública, especialmente aqueles que operam em um mercado multinacional. É projetada para que as organizações a utilizem como uma referência para selecionar controles de proteção de PII dentro do processo de implementação de um sistema de gestão de segurança da informação de computação em nuvem com base na NBR ISO/IEC 27001, ou como documento de orientação para implementação de controles de proteção de PII comumente aceitos para organizações que atuam como processadores de PII em nuvem pública.

Em particular, esta norma foi baseada na NBR ISO/IEC 27002, levando em consideração o (s) ambiente (s) de risco específico decorrente (s) dos requisitos de proteção de PII que podem ser aplicados aos provedores de serviços de computação em nuvem pública que atuam como processadores de PII. Normalmente, uma organização que implementa a NBR ISO/IEC 27001 está protegendo seus próprios ativos de informação.

Entretanto, no contexto dos requisitos de proteção de PII para um provedor de serviços em nuvem pública que atua como um processador de PII, a organização está protegendo os ativos de informação que são confiados a ela pelos seus clientes. A implementação dos controles da NBR ISO/IEC 27002 pelo processador de PII em nuvem pública é adequada para esta finalidade e necessária.

Esta norma incrementa os controles da NBR ISO/IEC 27002 para acomodar a natureza distribuída do risco e a existência de uma relação contratual entre o cliente que utiliza serviços em nuvem e o processador de PII em nuvem pública. Incrementa os controles da NBR ISO/IEC 27002 de duas maneiras: as diretrizes para implementação aplicáveis à proteção de PII em nuvem pública são providas para determinados controles existentes da NBR ISO/IEC 27002, e o Anexo A provê um conjunto de controles adicionais e diretrizes associadas destinados a tratar dos requisitos de proteção de PII em nuvem pública não abordados pelo conjunto de controle existente da NBR ISO/IEC 27002.

A maioria dos controles e diretrizes nesta norma também se aplicará a um controlador de PII. Entretanto, o controlador de PII, na maioria dos casos, estará sujeito às obrigações adicionais não especificadas nesta norma. É essencial que uma organização identifique seus requisitos para a proteção de PII.

Existem três fontes principais de requisitos, conforme descrito abaixo. Requisitos Legais, Estatutários, Regulamentares e Contratuais: uma fonte é representada pelos requisitos e obrigações legais, estatutários, regulamentares e contratuais que uma organização, seus parceiros comerciais, contratados e provedores de serviços têm que atender, e suas responsabilidades socioculturais e seu ambiente operacional. Convém que seja observado se a legislação, regulamentos e cláusulas contratuais realizados pelo processador de PII podem requerer a seleção de controles específicos e também podem necessitar de critérios específicos para a implementação destes controles. Estes requisitos podem variar de uma jurisdição para outra.

Riscos: outra fonte é derivada da avaliação de riscos à organização associada à PII, levando em consideração a estratégia e os objetivos globais de negócio da organização. Por meio de uma avaliação de riscos, as ameaças são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado. A NBR ISO/IEC 27005 provê diretrizes sobre a gestão de riscos na segurança da informação, incluindo recomendações sobre a avaliação do risco, aceitação do risco, comunicação do risco, monitoramento do risco e análise crítica do risco. A ISO/IEC 29134 provê diretrizes sobre a avaliação do impacto à privacidade.

Políticas corporativas: enquanto muitos aspectos abrangidos por uma política corporativa são derivados de obrigações legais e socioculturais, uma organização também pode escolher voluntariamente para ir além dos critérios que são derivados dos requisitos já descritos. Os controles podem ser selecionados desta norma (que inclui, por referência, os controles da NBR ISO/IEC 27002, criando um conjunto combinado de controle de referência para o setor ou aplicação especificado pelo escopo).

Se requeridos, os controles também podem ser selecionados de outros conjuntos de controle, ou novos controles podem ser projetados para atender às necessidades específicas, conforme apropriado. Um serviço de processamento de PII fornecido por um processador de PII em nuvem pública pode ser considerado uma aplicação de computação em nuvem em vez de um setor por si só.

Entretanto, o termo “específicos do setor” é utilizado nesta norma, uma vez que este é o termo convencional utilizado em outras normas da série ISO/IEC 27000. A seleção de controles depende das decisões organizacionais com base nos critérios para aceitação do risco, opções para tratamento do risco e abordagem geral da gestão do risco aplicada à organização e, por meio de acordos contratuais, seus clientes e fornecedores, e também estará sujeita a todos os regulamentos e legislações nacionais e internacionais relevantes.

Quando os controles nesta norma não forem selecionados, isto precisa ser documentado com justificativa pela omissão. Além disso, a seleção e a implementação de controles dependem da função real do provedor de nuvem pública no contexto de toda a arquitetura de referência de computação em nuvem (ver ISO/IEC 17789). Muitas organizações diferentes podem ser envolvidas em fornecer serviços de infraestrutura e de aplicação em um ambiente de computação em nuvem.

Em algumas circunstâncias, controles selecionados podem ser exclusivos a uma categoria de serviço específica da arquitetura de referência de computação em nuvem. Em outros casos, pode haver funções compartilhadas na implementação de controles de segurança. Os acordos contratuais precisam especificar claramente as responsabilidades de proteção de PII de todas as organizações envolvidas em prover ou utilizar os serviços em nuvem, incluindo o processador de PII em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem.

Os controles nesta norma podem ser considerados princípios de diretrizes e aplicáveis à maioria das organizações. Eles são explicados com mais detalhes a seguir, juntamente com as diretrizes para implementação. A implementação pode ser simplificada se os requisitos para a proteção de PII tiverem sido considerados no projeto do sistema de informações, serviços e operações do processador de PII em nuvem pública. Esta consideração é um elemento do conceito que é muitas vezes denominada de “Privacidade por Projeto”. A bibliografia lista documentos relevantes, como a ISO/IEC 29101.

Esta norma possui uma estrutura similar à da NBR ISO/IEC 27002. Nos casos onde os objetivos e controles especificados na NBR ISO/IEC 27002 são aplicáveis sem a necessidade de quaisquer informações adicionais, somente uma referência à ABNT NBR ISO/IEC 27002 é fornecida. Controles adicionais e diretrizes para implementação associadas, aplicáveis à proteção de PII para provedores de serviços de computação em nuvem, são descritos no Anexo A (normativo).

Nos casos onde os controles necessitam de diretrizes adicionais aplicáveis à proteção de PII para provedores de serviços de computação em nuvem, isto é provido sob o título Diretrizes para implementação da proteção de PII em nuvem pública. Em alguns casos, outras informações relevantes que realçam as diretrizes adicionais são providas sob o título Outras informações para proteção de PII em nuvem pública.

Conforme mostrado na tabela, estas diretrizes e informações específicas do setor estão incluídas nas categorias especificadas na NBR ISO/IEC 27002. Os números da Seção, que foram alinhados com os números das Seções correspondentes na NBR ISO/IEC 27002, estão indicados na tabela.

Convém que os contratos entre o processador de PII em nuvem pública e quaisquer subcontratados que processam PII especifiquem as medidas técnicas e organizacionais mínimas que atendam à segurança da informação e às obrigações de proteção de PII do processador de PII em nuvem pública. Convém que estas medidas não sejam sujeitas à redução unilateral pelo subcontratado. O uso de subcontratados para armazenar cópias de segurança (backup) é abrangido por este controle (ver A.7.1).

Convém que o processador de PII em nuvem pública assegure que, sempre que o espaço de armazenamento de dados for atribuído a um cliente que utiliza serviços em nuvem, quaisquer dados que residem previamente nesse espaço de armazenamento não sejam visíveis a este cliente que utiliza serviços em nuvem. Mediante a exclusão por um usuário que utiliza serviços em nuvem de dados mantidos em um sistema de informações, questões de desempenho podem significar que o apagamento explícito destes dados é impraticável.

Isto cria o risco de que outro usuário pode ser capaz de ler os dados. Convém que este risco seja evitado por medidas técnicas específicas. Nenhuma diretriz específica é especialmente apropriada para tratar de todos os casos na implementação deste controle. Entretanto, como exemplo, algumas infraestruturas, plataformas ou aplicações em nuvem retornarão zeros se um usuário que utiliza serviços em nuvem tentar ler o espaço de armazenamento que não tenha sido sobregravado pelos próprios dados deste usuário.

FONTE: Equipe Target

Artigos Relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Close