Páginas

setembro 13, 2019

[Segurança] Normas ISO e ABNT sobre Privacidade

A ISO (International Organization for Standardization), em conjunto com a ABNT (Associação Brasileira de Normas Técnicas) possui várias normas relacionadas a privacidade de dados, que ajudam muito as empresas que estão se esforçando para se adaptarem a GDPR e a LGPD.

As normas mais relevantes são as seguintes:
  • ABNT NBR 16167:2013 - Segurança da Informação — Diretrizes para classificação, rotulação e tratamento da informação
    • Norma Brasileira que descreve como deve ser uma política de classificação da informação;
    • Publicada em 04/04/2013, essa Norma Brasileira, criada pela ABNT, está em processo de revisão;
    • Objetivo: "Esta Norma estabelece as diretrizes básicas para classificação, rotulação e tratamento das informações de acordo com sua sensibilidade e criticidade para a Organização, visando o estabelecimento de níveis adequados de proteção."
  • ISO/IEC 27018:2019 - Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
    • Publicada no início deste ano, em 15/01/2019, essa Norma está em processo de adoção pela ABNT. A versão anterior da norma está traduzida para o Português, disponível pela ABNT como ABNT NBR ISO/IEC 27018:2018 (Tecnologia da informação - Técnicas de segurança - Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadores de PII);
    • Objetivo: "This document establishes commonly accepted control objectives, controls and guidelines for implementing measures to protect Personally Identifiable Information (PII) in line with the privacy principles in ISO/IEC 29100 for the public cloud computing environment. In particular, this document specifies guidelines based on ISO/IEC 27002, taking into consideration the regulatory requirements for the protection of PII which can be applicable within the context of the information security risk environment(s) of a provider of public cloud services. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which provide information processing services as PII processors via cloud computing under contract to other organizations. The guidelines in this document can also be relevant to organizations acting as PII controllers. However, PII controllers can be subject to additional PII protection legislation, regulations and obligations, not applying to PII processors. This document is not intended to cover such additional obligations."
  • ISO/IEC 27701:2019 - Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines
    • Versão Brasileira: ABNT NBR ISO/IEC 27701:2019 - Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes (Publicada em 25/11/2019)
    • Norma novinha, sua versão original em Inglês foi publicada em 05/08/2019. Com 66 páginas, ela mapeia os requisitos e controles da 27001 e 27002 e identifica os cuidados adicionais de privacidade que devem ser tomados;
    • Objetivo:: "This document specifies requirements and provides guidance for establishing, implementing, maintaining and continually improving a Privacy Information Management System (PIMS) in the form of an extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy management within the context of the organization. This document specifies PIMS-related requirements and provides guidance for PII controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which are PII controllers and/or PII processors processing PII within an ISMS."
  • ISO/IEC 29100:2011 - Information technology - Security techniques - Privacy framework
    • Essa norma fornece uma estrutura de privacidade, as terminologias comuns relativas à privacidade, define os atores e seus papéis quanto ao tratamento dos dados pessoais e descreve orientações sobre a salvaguarda da privacidade;
    • Embora seja de 2011 (publicada em 05/12/2011), essa Norma está em processo de adoção pela ABNT;
    • Objetivo: "ISO/IEC 29100:2011 provides a privacy framework which specifies a common privacy terminology; defines the actors and their roles in processing personally identifiable information (PII); describes privacy safeguarding considerations; and provides references to known privacy principles for information technology. ISO/IEC 29100:2011 is applicable to natural persons and organizations involved in specifying, procuring, architecting, designing, developing, testing, maintaining, administering, and operating information and communication technology systems or services where privacy controls are required for the processing of PII."
  • ISO/IEC 29134:Information technology-Security techniques: Guidelines for privacy impact assessment
  • ISO/IEC 29151:Information Technology – Security Techniques – Code of Practice for Personally Identifiable Information Protection
Essas normas ISO 29100, 27701 e 27018, junto com a norma ABNT 16167 fornecem subsídios para apoiar as empresas que estão se adequando a LGPD, garantindo padrões internacionais a serem seguidos nessa jornada.

Para saber mais:
Post atualizado em 27/11/2019.

Nenhum comentário:

Postar um comentário