COMPARATIVO NORMAS ISO 27000 VERSUS LGPD

Prévia do material em texto

CAPA
FACULDADE CRUZEIRO DO SUL – EAD
Programa de MBA em Segurança da Informação
COMPARATIVO:
 LGPD Versus ISO 27701 / 27001 / 27002
Análise comparativa da LGPD versus ISO 27701 / 27001 / 27702 apresentado a Normas
 em Segurança da Informação do programa de MBA em Segurança da Informação da 
Faculdade Cruzeiro do Sul – EAD, requisito obrigatório para entrega de tarefa.
 
Professor Me. Artur Ubaldo Marques Junior
Grupo 3
Marchelo Xavier Storino - RGM: 28691741
Jaqueline Noveli Ribeiro - RGM: 29308828
Leonice Cristina Pereira da Rocha - RGM: 29258928
 
COMPARATIVO
		COMPARATIVO LGPD VERSUS ISO 27701 / 27001 / 27002
		CAPÍTULOS - SEÇÕES - ARTIGOS E PARÁGRAFOS DA LGPD				SEÇÃO - SUBSEÇÃO - NORMAS ISO 27001 / 27002 / 27701
		CAPITULO	SEÇÃO	ARTIGO	PARÁGRAFO	SEÇÃO	SUBSEÇÃO	27701	SEÇÃO	SUBSEÇÃO	27001	SEÇÃO	SUBSEÇÃO	27002
		I - Disposições gerais		5º - Para os fins desta Lei, considera-se:	X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.	6.5.2 - Classificação da informação	6.5.2.1 - Classificação da informação	O controle, as diretrizes para implementação e outras informações estabelecidas na ABNT NBR ISO/IEC 27002:2013, 8.2.1, e as seguintes diretrizes adicionais, se aplicam.
As diretrizes adicionais para a implementação do controle 8.2.1, Classificação da informação, da ABNT NBR ISO/IEC 27002:2013, são:
Convém que o sistema de classificação da informação da organização considere explicitamente DP como parte do esquema que ela implementa. Considerar DP dentro de todo o sistema de classificação é importante para entender qual DP a organização trata (por exemplo, tipo, categorias especiais), onde tal DP é armazenado e os sistemas pelos quais ele pode fluir.	A.8.2 - Classificação da informação	A.8.2.1 - Classificação da informação	Controle
A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.	8.2 - Classificação da informação	8.2.1 - Classificação da informação	Controle
A informação deve ser classificada em termos
do seu valor, requisitos legais, sensibilidade e
criticidade para evitar modificação ou
divulgação não autorizada.
		II - Do tratamento de dados pessoais	I - Dos requisitos para o tratamento dos dados	9º - O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso.	§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.	7.2 - Condições para coleta e tratamento	7.2.1 - Identificação e documentação do propósito	Controle
Convém que a organização identifique e documente os propósitos específicos pelos quais os DP
serão tratados.
		II - Do tratamento de dados pessoais	II - Do tratamento de dados pessoais senssíveis	11º - O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses	II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para	7.2 - Condições para coleta e tratamento	7.2.2 - Identificação de bases legais	Controle
Convém que a organização determine, documente e esteja em compliance com a base legal pertinente
para o tratamento de DP, para os propósitos identificados.
		III - Dos direito do titular		18º - O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição	I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.	7.3 - Obrigações dos titulares de DP	7.3.7 - Obrigações dos controladores de DP para informar aos terceiros	Controle
Convém que a organização informe aos terceiros com quem o DP foi compartilhado sobre qualquer
modificação, cancelamento ou desaprovação pertinente ao DP compartilhado, e implemente políticas
e procedimentos apropriados e/ou mecanismos para fazê-lo.
		IV - Do tratamento de dados pessoais pelo poder público	II - Da responsabilidade	32º - A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.	-	6.15.1 - Compliance com requisitos legais e contratuais	6.15.1.1 - Identificação da legislação aplicável e de requisitos contratuais	O controle, as diretrizes para implementação e outras informações estabelecidas na ABNT NBR ISO/IEC 27002:2013, 18.1.1, e as seguintes diretrizes adicionais se aplicam.
As diretrizes adicionais para implementação do controle 18.1.1, Identificação da legislação aplicável e de requisitos contratuais, da ABNT NBR ISO/IEC 27002:2013, são:
Convém que a organização identifique quaisquer sanções legais potenciais (que podem resultar de algumas obrigações que têm sido omitidas) relativas ao tratamento de DP, incluindo multas substanciais oriundas diretamente da autoridade de supervisão local. Em algumas jurisdições, Normas, como este documento, podem ser usadas para formar a base para um contrato entre a organização e o cliente, estabelecendo as suas respectivas esponsabilidades de proteção, segurança e privacidade do DP. Os termos do contrato podem fornecer uma base para sanções contratuais, no caso de uma violação daquelas responsabilidades.	A.18.1 Conformidade com requisitos legais e contratuais	A.18.1.1 Identificação da legislação
aplicável e de requisitos
contratuais	Controle
Todos os requisitos legislativos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos, devem ser explicitamente identificados, documentados e mantidos
atualizados para cada sistema de innformação da organização.	18.1
Conformidade com requisitos legais e contratuais	18.1.1
Identificação da legislação aplicável e de requisitos contratuais	Controle
Convém que todos os requisitos legislativos estatutários, regulamentares e contratuais pertinentes, e o enfoque da organização para atender a esses requisitos, sejam explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.
Diretrizes para implementação:
Convém que os controles específicos e as responsabilidades individuais para atender a estes requisitos sejam definidos e documentados.
Convém que os gestores identifiquem toda a legislação aplicável à sua organização, para atender aos requisitos relativos ao seu tipo de negócio. Caso a organização realize negócios em outros países convém que os gestores considerem a conformidade em todos esses países.
		VI - Dos agentes de tratamento de dados pessoais	I - Do Controlador e do Operador37º - O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.	-	8.2 - Condições para coleta e tratamento	8.2.6 - Registros relativos ao tratamento de DP	Controle
Convém que a organização determine e mantenha os registros necessários para apoiar a demonstração do compliance com suas obrigações (como especificado no contrato aplicável) para tratamento de DP realizado em nome do cliente.
		VII - Da Segurança e das Boas Práticas	I - Da Segurança e do Sigilo de dados	48º - O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.	§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
	6.13.1 - Gestão de incidentes de segurança da informação e melhorias	6.13.1.5 - Resposta aos incidentes de segurança da informação	O controle, as diretrizes para implementação e outras informações estabelecidas na ABNT NBR ISO/IEC 27002:2013, 16.1.5, e as seguintes diretrizes adicionais se aplicam.
As diretrizes adicionais para implementação do controle 16.1.5, Resposta aos incidentes de segurança da informação, da ABNT NBR ISO/IEC 27002:2013, são:
Diretrizes para implementação para os controladores de DP um incidente que envolva DP pode desencadear uma análise crítica pela organização, como parte do seu processo de gestão de incidentes de segurança da informação, para determinar se uma violação envolvendo DP que requeira uma resposta foi tomada.
Um evento não necessariamente desencadeia tal análise crítica.
Quando ocorrer uma violação de DP, convém que procedimentos com respostas incluam notificações relevantes de registros.
Algumas jurisdições estabelecem casos quando convém que a violação seja notificada à autoridade de supervisão e quando convém que ela seja notificada aos titulares de DP.				16.1 Gestão de incidentes de segurança da informação e melhorias	16.1.5 Resposta aos incidentes de segurança da informação	Controle
Convém que incidentes de segurança da informação sejam reportados de acordo com procedimentos
documentados. 
Diretrizes para implementação:
Convém que incidentes de segurança da informação sejam reportados para um ponto de contato definido e outras pessoas relevantes da organização, ou ainda, partes externas (ver 16.1.1).
Convém que a notificação inclua os seguintes itens:
a) coleta de evidências, tão rápido quanto possível, logo após a ocorrência;
b) realização de análise forense de segurança da informação, conforme requerido (ver 16.1.7);
c) escalação, conforme requerido;
d) garantia de que todas as atividades de respostas envolvidas são adequadamente registradas para análise futura;
e) comunicação da existência de incidente de segurança da informação ou qualquer detalhe relevante para pessoas internas ou externas, ou organizações que precisam tomar conhecimento;
f) tratamento com as fragilidades de segurança da informação encontradas que causem ou contribuam para o incidente;
g) uma vez que o incidente foi, de forma bem sucedida, formalmente tratado, encerrar o incidente e registra-lo. 
		II - Do tratamento de dados pessoais	IV - Do Término do Tratamento de Dados	16º - Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:	I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.	7.4 - Privacy by Design e Privacy by Default	7.4.5 - Anonimização e Exclusão de DP ao final do tratamento 	Controle 
Convém que a organização ou exclua o DP ou entregue-o na forma que não permita a identificação ou reidentificação dos titulares de DP, uma vez que o DP original não é mais necessário para os propósitos identificados.
Diretrizes para implementação
Convém que a organização tenha mecanismos para excluir o DP quando nenhum tratamento adicional 
for antecipado. Alternativamente, algumas técnicas de anonimização podem ser usadas uma vez que 
os resultados dos dados anonimizados não podem permitir, de forma razoável, a reidentificação dos 
titulares de DP.
		VII - Da Segurança e das Boas Práticas	II - Das Boas Práticas e da Governança
	50º - Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.	§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.	5.2 - Contexto da organização	5.2.1 - Entendendo a organização e seu contexto	Um requisito adicional à ABNT NBR ISO/IEC 27001:2013, 4.1, é:
A organização deve determinar o seu papel como um controlador de DP (incluindo a condição de controlador conjunto de DP) e/ou como um operador de DP.
A organização deve determinar os fatores externos e internos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu SGPI. Por exemplo, isto
pode incluir:
— legislação de privacidade, se aplicável;
— legislação de privacidade aplicável;
ABNT NBR ISO/IEC 27701:2019
— decisões judiciais aplicáveis;
— contexto organizacional, governança, políticas e procedimentos aplicáveis;
— decisões administrativas aplicáveis;
— requisitos contratuais aplicáveis.
Onde a organização atua em ambos os papéis (por exemplo, como um controlador de DP e como um operador de DP), papéis separados devem ser determinados, cada qual estando sujeito a um conjunto
separado de controles.
NOTA O papel da organização pode ser diferente para cada situação do tratamento de DP, uma vez que isto depende de quem determina os propósitos e meios de tratamento.
	4 - Contexto da organização	4.1 -Entendendo a organização e seu contexto	A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da segurança da informação.
NOTA A determinação destas questões refere-se ao estabelecimento do contexto interno e externo da organização apresentado no item 5.3 da ABNT NBR ISO 31000 – Gestão de riscos – Princípios e diretrizes.
		VII - Da Segurança e das Boas Práticas	I - Da Segurança e do Sigilo de dados	46º - Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.	6.6.2 - Gerenciamento de acesso do usuário	6.6.2.1 - Regristro e cancelamento do usuário	O controle, as diretrizes para implementação e outras informações estabelecidas na ABNT NBR ISO/IEC 27002:2013, 9.2.1, e as seguintes diretrizes adicionais se aplicam.
As diretrizes adicionais para implementação do controle 9.2.1, Registro e cancelamento de usuário, da ABNT NBR ISO/IEC 27002:2013, são:
Convém que procedimentos para registro e cancelamento de usuários que administrem ou operem sistemas e serviços que tratam DP considerem a situação onde o controle de acesso do usuário para aqueles usuários esteja comprometido, como a corrupção ou o comprometimento de senhas ou outros registros de dados de usuários (por exemplo, como um resultado de uma divulgação inadvertida).
Convém que a organização não reemita aos usuários qualquer login expirado ou desativado dos sistemas e serviços que tratam D.P
No caso em que a organização fornece o tratamento de DP como um serviço, o cliente pode servresponsável por alguns ou todos os aspectos do gerenciamento do ID do usuário. Convém que estes casos sejam incluídos na informação documentada.
Algumas jurisdições impõem requisitos específicos em relação à frequência de verificação de credenciais de autenticação não usadas, relativas aos sistemas que tratam DP. Convém que as organizações que operam nestas jurisdições considerem oc ompliance com estes requisitos.	A9.2 - Gerenciamento de acesso do usuário	A.9.2.1 - Registro e cancelamento de usuário	Controle
Um processo formal de registro e cancelamento de usuário deve ser implementado para permitir atribuição de direitos de acesso.	9.2 - Gerenciamento do usuário	9.2.1 - Registro e cancelamento de usuário	Controle
Convém que um processo formal de registro e cancelamento de usuário seja implementado para permitir atribuição de direitos de acesso.
Diretrizes para implementação Convém que o processo para gerenciar o identificador de usuário (ID de usuário) inclua:
a) o uso de um ID de usuário único, para permitir relacionar os usuários com suas responsabilidades e ações; o uso compartilhado de ID de usuário somente será permitido, onde eles são necessários por razões operacionais ou de negócios e convém que seja aprovado e documentado;
b) a imediata remoção ou desabilitação do ID de usuário que tenha deixado a organização (ver 9.2.5);
c) a remoção e identificação, de forma periódica, ou a desabilitação de usuários redundantes com ID;
d) a garantia de que o ID de usuário redundante não é emitido para outros usuários;
Informações adicionais Fornecer ou revogar o acesso à informação ou aos recursos de processamento da informação, normalmente é um procedimento de duas etapas:
a)atribuir e permitir, ou revogar, um ID de um usuário;
b)fornecer, ou revogar, os direitos de acesso para este usuário de ID.