Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 1

Abordagem da Microsoft para a conformidade na nuvem Computação confiável da Microsoft

Sumário executivo A Microsoft reconhece que a confiança é necessária para que organizações e indivíduos consigam adotar e aproveitar totalmente os serviços de nuvem. A Microsoft tem o compromisso de oferecer aos clientes as informações sobre conformidade necessárias para que eles confiem na Microsoft como seu provedor de serviços de nuvem (CSP) preferido. Embora a nuvem seja abstrata, a abordagem da Microsoft de entregar uma nuvem confiável não é. Ela se baseia em muitos anos de experiência; um compromisso com os princípios de segurança, privacidade e transparência; e em práticas líderes do setor. O termo “conformidade” é usado com frequência, conforme cresce a adoção da nuvem. Ele é usado de diferentes maneiras referentes aos serviços de nuvem, principalmente como uma ferramenta na avaliação deles e como forma de descrever as expectativas sobre como eles são operados. Diversos fatores tornam a conformidade importante quando os clientes avaliam os serviços de nuvem Microsoft:

1) Os clientes devem atender às suas próprias necessidades de conformidade: os clientes detêm suas próprias obrigações de conformidade quando usam serviços em nuvem. Essas obrigações podem ser provenientes de exigências internas ou regulamentações externas e padrões industriais. Isso resulta na confiança sobre a capacidade do CSP. A capacidade do CSP se torna parte do conjunto completo de recursos que o cliente representa. Isso é fundamentado pela validação de terceiros das habilidades declaradas da Microsoft, expostas na forma de certificações e atestados. Essas certificações e atestados, junto aos compromissos contratuais, são compartilhados com os

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 2

clientes da Microsoft, além de serem a base de confiança para representações de seu conjunto completo de recursos de conformidade. A conformidade, neste sentido, é uma forma de verificação que a Microsoft compilou com um conjunto de exigências regulatórias, padrões industriais e decisões comerciais, que podem ser confiados por seus clientes pelas declarações de conformidade.

2) A conformidade costuma ser vista como um substituto da representação da Microsoft quanto à confiabilidade de seus serviços de nuvem: os clientes da Microsoft têm a opção de verificar as reivindicações dos serviços de nuvem confiáveis da Microsoft como maneira de fundamentar suas decisões de risco sobre a adoção e as operações contínuas dos serviços de nuvem Microsoft. Isso possibilita aos clientes verificar se a Microsoft está cumprindo suas promessas quanto à segurança, privacidade e confiabilidade de seus serviços de nuvem.

3) A Microsoft deve obedecer às exigências em razão dos mercados e indústrias nos quais opera: a Microsoft deve demonstrar que obedece a determinados padrões industriais e regulamentações por conta dos mercados e indústrias em que opera. Reguladores, organizações industriais e clientes da Microsoft esperam que a empresa atenda a esses requisitos. Por exemplo, os clientes e a indústria de cartões de crédito esperam que a Microsoft atenda ao Payment Card Industry Data Security Standard, já que a Microsoft processa seus cartões de crédito quando compram serviços de nuvem.

4) A Microsoft deve verificar a política e as exigências corporativas de seu ambiente: a Microsoft a conformidade para fins internos, por exemplo, para avaliar se a empresa opera de maneira conivente com suas próprias políticas e exigências corporativas. A conformidade, neste sentido, é uma ferramenta que a Microsoft usa para controlar riscos internos.

Este artigo descreve a abordagem da Microsoft sobre a conformidade na nuvem para atender a todas as necessidades mencionadas acima. As práticas de conformidade na nuvem da Microsoft podem ser divididas em três áreas principais, conforme exibe o diagrama abaixo: 1. Como criar uma base para a conformidade. 2. Como ajudar os clientes a atender às necessidades de conformidade. 3. Parceria com os líderes do setor, reguladores e legisladores.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 3

Introdução A computação em nuvem traz diversos benefícios. Por exemplo, uma pesquisa da Microsoft mostra que setenta por cento das pequenas e médias empresas que usam serviços de nuvem reinvestiram o dinheiro economizado ao migrar para a nuvem em desenvolvimento de produtos, inovação, marketing e expansão. Noventa e um por cento dos entrevistados alegam que a segurança foi positivamente afetada pela adoção da tecnologia de nuvem. Mais amplamente, a nuvem possibilita que as organizações aumentem a agilidade, mantenham-se atualizadas quanto às últimas tecnologias, dimensionem para atender às necessidades dinâmicas e estimulem uma força de trabalho cada vez mais móvel para que haja produtividade em qualquer lugar. Uma grande variedade de organizações dos setores público e privado adotou os serviços de nuvem Microsoft sem deixar de atender às necessidades de conformidade. Essas organizações aproveitam os significativos investimentos da Microsoft em segurança, privacidade e confiabilidade - investimentos que raramente conseguem fazer por conta própria. Isso possibilita às organizações usarem os serviços de nuvem Microsoft para reinvestir recursos em áreas que são estratégicas às suas missões. Para organizações com exigências de conformidade internas ou externas, a escolha de um CSP requer bastante consideração. Em muitos casos, os serviços do CSP se tornam parte da cadeia de conformidade do cliente, resultando em obrigações compartilhadas. O CSP pode até fornecer acordos de conformidade contratuais específicos, como, por exemplo, quando uma organização precisa de um Health Insurance Portability and Accountability Act Business Associate Agreement (HIPAA-BAA).

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 4

Quanto mais complexas forem as necessidades de conformidade de uma organização, mais importante será o fato de o CSP demonstrar parceria e oferecer flexibilidade para permitir que a organização atenda a essas necessidades. Tendo o CSP correto como parceiro, praticamente qualquer organização é capaz de aproveitar a computação em nuvem. As organizações devem usar um amplo conjunto de critérios ao avaliar a segurança, a privacidade e os recursos de conformidade do CSP, incluindo respostas dele às seguintes perguntas:

• Ele conta com um histórico comprovado de entrega de serviços de nuvem seguros e confiáveis, desenvolvidos com proteção e privacidade dos dados?

• Ele adquiriu verificação e validação independentes de terceiros que sejam relevantes para as necessidades de conformidade dos seus clientes?

• Seus clientes têm flexibilidade e opções de recursos para atender às exigências de conformidade específicas?

• Quanto eles investem no desenvolvimento e aprimoramento dos processos e tecnologias de segurança, privacidade e conformidade para atender aos padrões cada vez mais dinâmicos do mundo todo?

• Ele é transparente quanto aos recursos de conformidade de nuvem? Quais as responsabilidades compartilhadas com os clientes?

• O CSP ajuda os clientes a cumprir com suas próprias exigências de conformidade?

• Ele demonstra liderança ao participar do desenvolvimento e da melhoria contínua de padrões industriais relevantes à conformidade dos serviços de nuvem?

Neste artigo, discutimos sobre como a abordagem da Microsoft sobre a conformidade na nuvem permite atender a esses importantes critérios como um CSP comprometido com a entrega de serviços de nuvem confiáveis. A Microsoft adota a segurança, a privacidade e a conformidade como responsabilidades compartilhadas com os clientes. A Microsoft ajuda a reduzir a sobrecarga financeira de segurança e conformidade dos clientes usando ferramentas, processos e controles internos, investindo sempre em uma base tecnológica segura e proporcionando aos clientes a flexibilidade de implementar suas próprias abordagens de conformidade.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 5

Como criar uma base para a conformidade Os serviços de nuvem Microsoft priorizam os recursos de segurança, privacidade e confiabilidade de suas tecnologias, pessoas e processos. Ao priorizar esses recursos entre todas as suas ofertas, a Microsoft reduz os riscos corporativos e técnicos de todos os seus clientes, posicionando-se, junto aos clientes, para conseguir obter certificados e atestados com mais facilidade.

Computação confiável da Microsoft Computação confiável (TwC) é a iniciativa de colaboração da Microsoft, em longo prazo, de criar e entregar experiências de seguras, privadas e confiáveis para todos. A Microsoft acredita fundamentalmente que os dados dos clientes e as informações pessoais devam ser protegidos. Ela adere a práticas empresariais que promovem confiança e se concentram em sólida engenharia e práticas recomendadas operacionais que garantem que os produtos e serviços sejam cada vez mais confiáveis, seguros e compatíveis. Uma das principais maneiras pelas quais a Computação confiável (TwC) impacta diretamente a disponibilidade da conformidade dos serviços de nuvem é desenvolvendo estruturas e ferramentas que orientam como a Microsoft projeta, constrói e opera suas ofertas, incluindo serviços de nuvem. A primeira delas é o Security Development Lifecycle (SDL), exigido na Microsoft há uma década e compartilhado abertamente com a indústria e os clientes. O SDL incorpora as exigências de segurança no processo de desenvolvimento de software do início ao fim. Cada serviço de nuvem Microsoft usa o SDL para aprimorar e verificar seus recursos de segurança, privacidade e conformidade. O SDL é revisado e atualizado regularmente, conforme novas ameaças e exigências são identificadas. Para acompanhar o ritmo acelerado do desenvolvimento e implantação baseados na nuvem, a Microsoft desenvolveu uma versão da metodologia SDL chamada SDL for Agile. A orientação SDL for Agile está disponível para download gratuito a desenvolvedores que criam aplicativos em nuvem no Microsoft Azure e outras plataformas de nuvem, ou em projetos de desenvolvimento de software, em que a metodologia de desenvolvimento ágil é empregada. Muitas ameaças são direcionadas a vulnerabilidades nos softwares, mas outras atacam a fragilidade operacional. Por isso a Microsoft criou a estrutura Operational Security Assurance (OSA). A OSA suporta o monitoramento contínuo, identifica riscos operacionais, fornece diretrizes de segurança operacional e valida se as diretrizes estão sendo seguidas. A OSA ajuda a tornar a infraestrutura de nuvem da Microsoft mais resiliente a ataques, reduzindo o tempo necessário para proteger, detectar e responder às ameaças à segurança.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 6

Investimento em conformidade e inovação A Microsoft investe pesado em uma estrutura de conformidade unificada com base no padrão ISO/IEC 27001:2005, bem como em padrões industriais, como SSAE 16/ISAE 3402 SOC 1, AT 101 SOC 2, PCI-DSS e FISMA/FedRAMP (baseado no NIST SP 800-53). Por meio de processos e ferramentas, a Microsoft mapeia os elementos de controle para as responsabilidades de engenharia e operações, identifica e trata gaps e reduz retrabalhos quando uma única atividade de controle é capaz de mapear exigências semelhantes entre diversos padrões. Esse mapeamento muda o foco das exigências de auditoria específicas para controles lógicos, possibilitando às equipes se concentrar na criação de atividades de controle efetivas. A estrutura de controle permite que a Microsoft desenvolva uma programação de auditoria previsível, prepare-se para diversas auditorias com uma única revisão de disponibilidade de atividade de controle anual e simplifique a conformidade entre diversas regulamentações, hoje e no futuro.

Certificações de terceiros Um CSP se torna parte da cadeia de conformidade da organização. Além de certificar suas pessoas, processos e tecnologias, a organização deve verificar se o CSP dispõe de certificações relevantes. A base da tecnologia confiável da Microsoft e a inovação do processo de conformidade permitem a ele liderar os serviços de nuvem ao deter certificações de terceiros. Sua abordagem simplificada sobre conformidade possibilita acelerar a certificação e entregar serviços que estejam em conformidade para mais clientes e em mais ambientes regulatórios. Por exemplo:

• A Microsoft foi a primeira grande fornecedora de nuvem a receber certificação ISO 27001, um padrão internacional de segurança de informações.

• O primeiro FISMA Authority to Operate (ATO) da Microsoft foi concedido em 2010. Desde então, o Office 365, o Microsoft Azure e o Global Foundation Services (GFS) receberam ATOs de diversas agências federais.

• Com o Microsoft Azure e o GFS, a Microsoft recebeu um Provisional Authority to Operate (P-ATO) do Federal Risk and Authorization Management Program (FedRAMP) Joint Authorization Board. O GFS General Support System P-ATO abrange serviços compartilhados em nove data centers da Microsoft localizados nos Estados Unidos, incluindo Califórnia, Illinois, Iowa, Texas, Virginia e Washington.

• Em 2012, a Microsoft se tornou uma das primeiras da indústria a concluir com êxito os atestados SOC 2 Type 2 e SOC Type 3 para GFS. O Microsoft Azure conseguiu um atestado SOC 2.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 7

• A Microsoft foi a primeiro grande CSP de produtividade a oferecer um HIPAA BAA a entidades de saúde com acesso a Informações protegidas de saúde (Protected Health Information - PHI).

• As Cláusulas do modelo da União Europeia (UE) documentam o compromisso da Microsoft com o controle dos dados de acordo com as Diretivas de proteção dos dados da UE. A Microsoft convida reguladores a revisar sua abordagem para obedecer às Cláusulas do modelo da UE, algo que poucos provedores de nuvem têm vontade de fazer, e a Microsoft fez melhorias com base no feedback do regulador. Os serviços de nuvem da Microsoft—incluindo o Azure, o Office 365 e o Dynamics CRM Online—se tornaram os primeiros e principais serviços a disponibilizar as Cláusulas do modelo da UE a clientes empresariais.

• O Microsoft Azure foi validado quanto à conformidade do PCI-DSS Nível 1 por um Assessor de segurança da qualidade (Qualified Security Assessor - QSA) independente.

• A Microsoft foi a primeiro CSP a concluir uma avaliação de terceiros sobre Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM), como parte de sua auditoria SOC 2 Type 2 do Microsoft Azure.

Microsoft Global Foundation Services A infraestrutura de data center da Microsoft atende a diversas indústrias do mundo todo, incluindo aquelas com os mais severos requisitos, como ISO, PCI-DSS e FedRAMP. A equipe GFS da Microsoft é responsável pelos data centers da empresa, incluindo redes, operações, segurança e conformidade. Essa infraestrutura é usada por todos os serviços de nuvem da Microsoft e atende mais de 20 milhões de empresas no mundo todo. O GFS combina diversas tecnologias e processos de segurança em uma abordagem de “defesa profunda”, possibilitando uma base para os serviços de nuvem Microsoft que seja segura, confiável, privada e pronta para a conformidade. O sucesso dessa abordagem é demonstrado pelo fato de que o GFS conseguiu a certificação ISO/IEC 27001:2005, os atestados SSAE 16/ISAE 3402 SOC 1, 2 e 3, uma Provisional Authority to Operate do Federal Risk and Authorization Program (FedRAMP) Joint Authorization Board e uma certificação PCI-DSS como fornecedor de infraestrutura. O GFS opera centenas de controles de segurança baseados em mais de 1.000 exigências exclusivas de auditoria. Os data centers da Microsoft estão estrategicamente localizados no mundo todo para aprimorar o desempenho e ajudar a garantir a resiliência do serviço. Eles foram desenvolvidos para proteger os serviços e os dados, melhorando a disponibilidade. São operados conforme as práticas recomendadas, como controle de acesso rigoroso e monitoramento 24 horas.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 8

Privacidade pelo design A Microsoft reconhece que os serviços de nuvem vêm gerando desafios únicos de privacidade e que o controle e a privacidade dos dados são geralmente aspectos críticos de conformidade. A Microsoft é exclusiva entre os principais CSPs em propiciar declarações de privacidade específicas aos serviços de nuvem e compromissos contratuais relacionados às limitações e proteções de uso dos dados. Com a Microsoft, os clientes podem esperar a Privacidade pelo design, que assegura que as proteções de privacidade sejam consistentemente implementadas entre os produtos da Microsoft, os serviços, as operações e a organização da equipe. Conforme a Privacidade pelo design, o acesso das equipes da Microsoft aos dados dos clientes é restrito. Os dados dos clientes são acessados apenas quando necessário para ajudar a resolver algum problema e melhorar os recursos que envolvem a detecção e a proteção contra ameaças. Para muitos clientes, conhecer e controlar o local de seus dados é um elemento importante da conformidade. A Microsoft possibilita às organizações escolher a área geográfica em que os dados residem. Os clientes também podem optar por localizar seus dados entre regiões dentro de uma área geográfica para certas finalidades, como a redundância de desempenho.1

Como ajudar os clientes a atender às necessidades de conformidade Transparência As verificações de terceiros reconhecidas pela indústria são importantes, mas os clientes também precisam que os CSPs sejam adequadamente transparentes quanto às suas atividades de conformidade. Isso permite aos clientes tomar decisões mais bem informadas a respeito de o provedor ser o correto para suas necessidades. A Microsoft fornece aos clientes informações atualizadas e detalhadas sobre seus serviços de nuvem para ajudá-los a fazer suas próprias avaliações de conformidade e saber se os serviços da Microsoft atendem aos critérios de suas próprias certificações. A Microsoft criou as Centrais de confiabilidade para o Microsoft Azure, Office 365, Windows Intune, e Dynamics CRM justamente para ajudar os clientes 1 Para obter os detalhes completos de como a Microsoft limita o uso dos dados dos clientes, consulte a Central de confiabilidade da pergunta em questão.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 9

a entender os aspectos dos serviços de nuvem da Microsoft. Essas Centrais de confiabilidade concedem acesso a documentações relacionadas à conformidade e informações sobre como a Microsoft controla os dados armazenados de seus serviços de nuvem, incluindo princípios de privacidade, transparência, verificação independente e segurança. As Centrais de confiabilidade do Microsoft Azure, Office 365, Windows Intune e Dynamics CRM fornecem links para os painéis de clientes com informações atualizadas sobre o tempo de atividade dos serviços e o local dos dados. A Microsoft também participa de iniciativas do setor, incluindo sua associação com a Cloud Security Alliance (CSA). Organização independente do setor, a CSA desenvolveu uma estrutura de controles chamada Cloud Controls Matrix (CCM) e o Security, Trust & Assurance Registry (STAR) para capturar respostas detalhadas a mais de 100 perguntas de autoavaliação que são levantadas aos CSPs a respeito dos controles de segurança na nuvem. A Microsoft participou do desenvolvimento da CCM e mapeia a orientação da CSA, também concluindo sua própria auditoria detalhada baseada em CCM, disponível no registro STAR. Além de aperfeiçoar a confiança por meio da transparência, a Microsoft trabalha para fornecer aos clientes as ferramentas necessárias para atingir a conformidade em seus próprios termos. As organizações que desejam avaliar seu estado de segurança de TI, avaliar os benefícios da computação em nuvem e planejar a adoção e a conformidade podem usar a Ferramenta de disponibilidade de segurança na nuvem. Tomando como base respostas a algumas perguntas breves, a ferramenta gera um relatório personalizado conforme as necessidades da organização. Para obter mais informações, leia o white paper “The Microsoft Approach to Cloud Transparency.”

Escolha e flexibilidade Reconhecendo que a conformidade não é uma atividade de tamanho único, a Microsoft oferece opções e flexibilidade líderes da indústria, permitindo aos clientes usar os serviços de nuvem conforme seus padrões de segurança e conformidade. Em indústrias altamente regulamentadas ou que controlam dados altamente confidenciais, as organizações podem ser incumbidas por seus clientes, auditores ou políticas internas de manter alguns dados localmente. Caso uma oferta de nuvem não seja compatível com a tecnologia do local, as organizações não conseguem usá-la ou precisa manter os serviços de nuvem e do local em lugares separados. A Microsoft oferece soluções híbridas que combinam continuamente os softwares locais e os serviços de nuvem em soluções unificadas. Isso permite aos clientes migrar para a nuvem em seu próprio ritmo, além de simplificar a conformidade com um conjunto unificado de ferramentas de gerenciamento e auditoria.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 10

A Microsoft promove a interoperabilidade para deixar mais fácil e menos dispendioso para os clientes desenvolver e gerenciar ambientes de TI mesclados. Na nuvem, a Microsoft suporta padrões importantes que fornecem os blocos de construção para serviços de nuvem abertos e interoperáveis. Ela ainda suporta a opção do desenvolvedor de programar linguagens como Java, Android e Ruby, portabilidade dos dados e propriedade dos dados do cliente, onde quer que eles estejam.

Recursos de conformidade controlados pelo cliente Além dos controles robustos implementados na infraestrutura, a Microsoft continua sua prática estabelecida há tempos de desenvolver recursos relacionados à conformidade em produtos e serviços de nuvem específicos. Entre os exemplos estão:

• Rights Management Services (RMS): agora disponível na nuvem pelo Microsoft Azure, o RMS possibilita a aplicação de políticas de proteção aos documentos e registros confidenciais. Diferentemente das abordagens que tentam interromper o fluxo de informações em pontos de saída em uma organização, o software de gerenciamento de direitos funciona em níveis detalhados dentro das tecnologias de armazenamento dos dados. Os documentos são criptografados e o controle sobre quem pode descriptografá-los usa controles de acesso definidos na solução de controle de autenticação, como o serviço de diretório.

• Controles de identidade e acesso: a Microsoft oferece soluções de gerenciamento de identidade e acesso abrangentes e federadas para que os clientes usem no Microsoft Azure e outros serviços, como o Office 365, simplificando o gerenciamento de diversos ambientes e aplicativos e controlando o acesso do usuário entre diversos aplicativos.

• eDiscovery e Archiving: com ferramentas poderosas, que incluem arquivamento no local, retenção de processos, logs de auditoria e Pesquisa em diversas caixas de correio, o Office 365 ajuda as organizações a atender a padrões legais, regulatórios e industriais de conformidade.

• Prevenção de perda de dados (DLP): no Exchange Online, as regras de transporte podem ser usadas para controlar o fluxo das mensagens de email dentro e fora de uma organização. Por exemplo, as regras de transporte podem ser usadas para detectar e parar mensagens enviadas que contenham muitas informações de identificação pessoal, como números de segurança social.

• Dicas de política: o Exchange consegue automaticamente detectar informações corporativas confidenciais com base em políticas da empresa informadas a usuários do Outlook e do Outlook Web Application antes de eles clicarem em Enviar.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 11

Parceria com os líderes do setor A Microsoft encabeça mudanças novas e emergentes quanto às exigências da conformidade e participa de conversas que as modelam para o benefício de seus clientes. Ela ajuda os tomadores de decisões e reguladores a formular políticas de maneira que atendam às necessidades crescentes dos negócios, ainda mantendo altos padrões de segurança, privacidade e confiabilidade. Para promover uma abordagem baseada em padrões quanto à conformidade na nuvem, a Microsoft faz parte de organizações como a CSA. Ali, a Microsoft colabora com outros CSPs para desenvolver diretrizes e práticas recomendadas que informam sobre futuros padrões. A Microsoft interage proativamente com clientes do governo, atuando como conselheira de confiança quanto ao desenvolvimento e implementação de suas políticas e programas de segurança na nuvem. A Microsoft tem grande experiência em avaliações de conformidade de segurança para seus produtos e serviços, tanto nos EUA como em clientes públicos do mundo todo. Como arquitetos e protetores dos sistemas de nuvem, os governos confiam na Microsoft para informá-los a respeito de como garante a confidencialidade, a confiabilidade e a confiança de seus serviços online. A Microsoft trabalha com parceiros do governo, como o National Institute of Standards and Technology (NIST), a European Network and Information Security Agency (ENISA) e outros para saber como eles abordam os desafios de segurança associados à operação em um ambiente tradicional baseado em rede para nuvem. A Microsoft tem o compromisso de criar um caminho construtivo para chegar a um consenso sobre as medidas necessárias para reduzir riscos e chegar aos resultados desejados.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 12

Serviços de nuvem Microsoft dão opções aos clientes Em razão da abordagem abrangente que a Microsoft assume quanto a segurança, privacidade e confiabilidade, além de processos, tecnologias e certificações específicos à conformidade, ela é capaz de oferecer uma pilha completa de serviços de nuvem confiáveis. Os clientes podem optar por consumir infraestrutura, plataformas e serviços de software como um pacote completo da Microsoft, assegurando uma estrutura de controle comum e consistência entre os serviços. Essa abordagem reduz o número de dependências e riscos de conformidade entre os fornecedores que devem ser certificados, o que pode simplificar o processo de obtenção de conformidade e das certificações. Ao mesmo tempo, a Microsoft acredita na escolha do cliente e usa tecnologias de padrão industrial para apoiar a interoperabilidade com soluções de terceiros, além de fornecer recursos híbridos avançados para que os clientes possam migrar para a nuvem em seu próprio ritmo. Com a Microsoft, os clientes têm flexibilidade para adotar os componentes dos serviços de nuvem que ajudam nas metas de suas empresas e atendem aos requisitos de conformidade hoje, com a flexibilidade de mesclar serviços conforme a necessidade. Os serviços de nuvem têm potencial para gerar tremendo valor. Com a Microsoft, não só os problemas de conformidade são eliminados, mas muitas organizações também conseguem reduzir os riscos e os custos associados às atividades de conformidade, ainda melhorando a segurança, a confiabilidade e a privacidade. A Microsoft usa todos os recursos que tem à disposição para ingressar em um mundo em que todos os clientes consigam tirar proveito do poder da nuvem.

Sumário Sumário executivo 1

Introdução 3

Como ajudar os clientes a atender às necessidades de conformidade 8

Parceria com os líderes do setor 11

Serviços de nuvem Microsoft dão opções aos clientes 12

Computação confiável | Abordagem da Microsoft para a conformidade na nuvem 13

Agradecimentos Colaboradores e revisores Christine Aguirre Kevin Allison Mark Estberg Sarah Fender Adrienne Hall Carlene Heath Min Hyun Diane McDade Michael Mattmiller Chris Mullaney Paul Nicholas Ben Ravani Tim Rains Mike Reavey Greg Roberts Joe Scalone Frank Simorjay Shawn Veney Stevan Vidich

© 2014 Microsoft Corp. Todos os direitos reservados.

Este documento é fornecido "como está". As informações e as opiniões expressas neste

documento, incluindo URLs e outras referências a sites da Internet, podem ser modificadas

sem aviso. Você assume o risco de usá-lo. Este documento não fornece nenhum direito

legal para nenhuma propriedade intelectual de qualquer produto da Microsoft. Você pode

copiar e usar este documento para fins particulares de referência.