Mapeamento entre GDPR e ISO 27001: A ISO 27001 é Suficiente para a Conformidade com o GDPR?

O GDPR e a ISO 27001 são dois padrões de conformidade significativos que têm muito em comum. Ambos visam fortalecer a data security e mitigar o risco de data breaches, e ambos exigem que as organizações garantam a confidencialidade, integridade e disponibilidade de dados sensíveis. A ISO 27001 é um dos padrões de melhores práticas mais detalhados, e de fato, o Artigo 24 do GDPR especifica que a adesão a códigos de conduta e certificações aprovadas, como a ISO 27001, pode ser usada como um elemento de demonstração de conformidade. Não é de admirar que eu ouça frequentemente perguntas como, “Estou totalmente em conformidade com o GDPR se já sou certificado pela ISO 27001?”

No entanto, o GPDR tem um escopo muito mais amplo e uma compreensão mais fundamental da segurança e privacidade dos dados. Neste post do blog, vou responder a várias perguntas frequentes sobre ISO 27001 e GDPR, para que você possa entender melhor as semelhanças e diferenças entre essas normas e decidir como poderia usar o framework ISO 27001 para passar nas auditorias de GDPR compliance:

• O que é o GDPR?
• O que é ISO 27001?
• Quais são as semelhanças entre ISO 27001 e GDPR?
• A conformidade com a ISO 27001 garante a conformidade com o GDPR?

O que é o GDPR?

O General Data Protection Regulation (GDPR) é um padrão de conformidade que visa fortalecer a proteção de dados; aplica-se a todas as organizações — dentro ou fora da UE — que armazenam ou processam os dados pessoais de residentes da UE. O padrão entrará em vigor em 25 de maio de 2018 e já está mudando a maneira como as empresas lidam com a proteção de dados. O GDPR amplia os direitos dos indivíduos com respeito aos seus dados pessoais, exige novas abordagens (por exemplo, proteção de dados por concepção e por padrão) e envolve grandes penalidades para violações.

Os requisitos mais críticos do GDPR incluem:

1. Âmbito mais amplo de dados que requerem proteção

O GDPR protege um vasto conjunto de dados, incluindo não apenas informações pessoais como nomes, identidades e números de Segurança Social, mas também dados médicos, dados biométricos, opiniões políticas e mais (Artigos 5–11).

2. Consentimento explícito necessário para uso dos dados

O Artigo 6 do GDPR exige que as organizações obtenham consentimento explícito para a coleta e uso dos dados dos indivíduos. Para cumprir esse requisito, as organizações precisam preservar evidências documentadas de que o consentimento foi dado e provar que todas as solicitações de consentimento são claras e concisas.

3. Direitos ampliados dos titulares dos dados

O Capítulo 3 fornece uma longa lista de regras para ajudar as pessoas a obterem um melhor controle sobre seus dados. Os residentes da UE terão o direito de obter informações sobre se seus dados pessoais estão sendo processados (Artigo 15), transferir facilmente seus dados entre provedores de serviços (Artigo 20) e se opor ao processamento de seus dados (Artigo 21). Um dos requisitos mais significativos do GDPR é o “direito de ser esquecido” (Artigo 17), que permite que os indivíduos forcem as empresas a apagar seus dados de todos os sistemas. O GDPR é, possivelmente, o único padrão de conformidade que coloca o poder nas mãos dos consumidores e coloca seus interesses acima dos interesses das organizações, e as empresas que estão se preparando para o GDPR já veem a diferença:

Kyle Reyes, Administrador de Sistemas de Infraestrutura, Midland Information Resources

4. Multas elevadas por não conformidade

Fines for compliance failures are 2–4% of the company’s annual worldwide turnover or €10-20 million, whichever is higher. The most serious violations include accidental destruction, loss, change or transmission of personal data, as well as failure to demonstrate explicit consent for data processing (Articles 83–84).

5. Regras rigorosas de notificação de violação de dados

De acordo com o Artigo 33, os controladores de dados devem reportar violações de dados às autoridades supervisoras dentro de 72 horas após a descoberta. Se uma empresa não cumprir, deve fornecer razões válidas para o atraso. Isso é significativamente menos tempo do que o exigido por qualquer padrão de conformidade dos EUA (como HIPAA ou SOX).

O que é ISO 27001?

ISO 27001 (formalmente conhecida como ISO/IEC 27001:2013) é um padrão internacional de segurança da informação que fornece requisitos para implementar, manter e melhorar um sistema de gestão de segurança da informação (ISMS). Um ISMS é uma estrutura de políticas e procedimentos que inclui os controles legais, técnicos e físicos envolvidos nos processos de IT risk management de uma empresa. Fatores que afetam a implementação do ISMS incluem os objetivos da organização, requisitos de segurança, tamanho e estrutura.

Seguir as melhores práticas da ISO 27001 ajuda as organizações a enfrentar riscos de segurança, proteger dados sensíveis e identificar o escopo e as limitações de seus programas de segurança. A norma se aplica a uma ampla gama de organizações, como empresas, grupos governamentais, instituições acadêmicas e organizações sem fins lucrativos.

Os requisitos mais críticos da ISO 27001 incluem:

1. Gestão de ativos

As organizações são obrigadas a alcançar e manter a proteção adequada dos ativos organizacionais, o que significa que precisam identificar seus ativos e documentar regras para o uso aceitável das informações (Controles A.8). Além disso, todas as informações devem ser classificadas em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização.

2. Segurança operacional

Este amplo conjunto de controles descreve procedimentos operacionais básicos e responsabilidades, como a separação dos ambientes de desenvolvimento, teste e operação; gestão de mudanças; e documentação dos procedimentos operacionais (A.12).

3. Controle de acesso

Esta família de controles (A.9) fornece diretrizes para controlar o uso de dados dentro da organização e prevenir o acesso não autorizado a sistemas operacionais, serviços em rede, instalações de processamento de informações e assim por diante. Isso envolve regras para gerenciamento de acesso de usuários, gerenciamento de direitos de acesso privilegiado, responsabilidades dos usuários e controle de acesso a sistemas e aplicações.

4. Gestão de incidentes de segurança da informação

A família de controles A.16 descreve as regras para relatar eventos e fraquezas de segurança de TI, gerenciar incidentes de segurança de TI e aprimorar esses processos. As organizações devem garantir que os incidentes de segurança sejam comunicados de maneira que permita uma resposta rápida e eficaz.

5. Segurança dos recursos humanos

A família de controles A.7 exige que as organizações garantam que os funcionários e contratados estejam cientes e cumpram suas responsabilidades de segurança da informação. As organizações precisam fornecer aos membros da equipe treinamento de conscientização e tomar medidas disciplinares formais contra funcionários que cometam uma violação de segurança da informação.

6. Continuidade dos negócios

Este conjunto de controles (A.17) descreve os aspectos de segurança da informação da gestão de continuidade dos negócios. As organizações precisam determinar os requisitos para a continuidade da gestão de segurança da informação em situações adversas, documentar e manter os controles de segurança para garantir o nível necessário de continuididade e verificar esses controles regularmente.

Mapeando a ISO 27001 para o GDPR: Quais são as semelhanças?

Existem muitas áreas em que a ISO 27001 e o GDPR se sobrepõem. A maioria delas está relacionada à segurança da informação: a ISO 27001 especifica regras semelhantes para a proteção de dados como as descritas nos artigos 5, 24, 25, 28, 30 e 32 do GDPR. Aqui estão apenas alguns pontos que coincidem em ambas as normas:

Confidencialidade, disponibilidade e integridade dos dados

O Artigo 5 do GPDR especifica princípios gerais para o processamento de dados, como proteção contra “processamento não autorizado ou ilegal, perda acidental, destruição ou dano”. Diretrizes mais detalhadas são fornecidas no Artigo 32, que estipula que as organizações são obrigadas a implementar, operar e manter medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, como criptografia, resiliência dos sistemas e serviços de processamento, a capacidade de restaurar a disponibilidade dos dados pessoais de maneira oportuna, e mais.

Da mesma forma, vários controles na ISO 27001 visam ajudar as organizações a garantir a confidencialidade, disponibilidade e integridade dos dados. A partir da Cláusula 4, a ISO 27001 exige que as organizações identifiquem questões internas e externas que possam impactar seus programas de segurança. A Cláusula 6 exige que elas determinem seus objetivos de segurança de TI e criem um programa de segurança que as ajudará a alcançar esses objetivos. A Cláusula 8 estabelece padrões para a manutenção contínua do programa de segurança e exige que as organizações documentem seu programa de segurança para demonstrar conformidade regulatória.

Avaliação de risco

Tanto a ISO 27001 quanto o GDPR exigem uma abordagem baseada em risco para a segurança dos dados. O Artigo 35 do GDPR exige que as empresas realizem avaliações de impacto na proteção de dados para avaliar e identificar riscos aos dados dos indivíduos. Esta avaliação de risco do GDPR é obrigatória antes de realizar o processamento de alto risco, como o monitoramento sistemático de dados extremamente sensíveis.

A ISO 27001 também aconselha as organizações a realizar uma avaliação de risco completa para identificar ameaças e vulnerabilidades que possam afetar seus ativos (Cláusula 6.1.2), e a selecionar medidas de segurança da informação apropriadas com base nos resultados dessa avaliação de risco (Cláusula 6.1.3).

Gestão de fornecedores

A cláusula 8 da ISO 27001 exige que as organizações identifiquem quais ações de processamento são terceirizadas e garantam que sejam capazes de manter essas ações sob controle. A cláusula A.15 oferece orientações específicas sobre relacionamentos com fornecedores e exige que as organizações monitorem e revisem a entrega de serviços dos fornecedores.

Questões semelhantes são abordadas no Artigo 28 do GDPR, que exige que os controladores de dados garantam termos contratuais e assegurações dos processadores, criando um “acordo de processamento de dados”.

Notificação de violação

De acordo com os Artigos 33–34 do GDPR, as empresas devem notificar as autoridades dentro de 72 horas após a descoberta de uma violação de dados pessoais. Os titulares dos dados também devem ser notificados sem demora indevida, mas somente se os dados representarem um “risco elevado para os direitos e liberdades dos titulares dos dados”.

A cláusula A.16 da ISO 27001, que aborda controles de gerenciamento de incidentes de segurança da informação, não especifica um prazo exato para notificação de violação de dados, mas diz que as organizações devem relatar incidentes de segurança prontamente e comunicar esses eventos de maneira que permita que “ações corretivas oportunas sejam tomadas.”

Proteção de dados por concepção e por padrão

O Artigo 25 do GDPR afirma que as empresas precisam implementar medidas técnicas e organizacionais durante a fase de design de todos os projetos para que possam garantir a privacidade dos dados desde o início (“proteção de dados por concepção”). Além disso, as organizações devem proteger a privacidade dos dados por padrão e garantir que apenas as informações necessárias para cada finalidade específica do processamento sejam utilizadas (“proteção de dados por padrão”).

Na ISO 27001, requisitos semelhantes são descritos nas Cláusulas 4 e 6. A Cláusula 4 exige que as organizações entendam o escopo e o contexto dos dados que coletam e processam, enquanto a Cláusula 6 recomenda que realizem avaliações regulares de risco de segurança para garantir a eficácia do seu programa de gestão de segurança.

Registro de informações

O artigo 30 do GDPR exige que as organizações mantenham registros de suas atividades de processamento, incluindo as categorias de dados, o propósito do processamento e uma descrição geral das medidas de segurança técnicas e organizacionais relevantes.

Da mesma forma, a ISO 27001 afirma que as organizações devem documentar seus processos de segurança, bem como os resultados de suas avaliações de risco de segurança e tratamento de risco (Cláusula 8). De acordo com o Controle A.8, os ativos de informação devem ser inventariados e classificados, proprietários de ativos devem ser designados e procedimentos para uso aceitável de dados devem ser definidos.

A conformidade com a ISO 27001 garante a conformidade com o GDPR?

Como você pode ver, a certificação com a ISO 27001 pode simplificar o processo de alcançar a conformidade com o GDPR compliance. No entanto, existem várias diferenças entre essas normas. O GDPR é um padrão global que fornece uma visão estratégica de como as organizações precisam garantir a privacidade dos dados. A ISO 27001 é um conjunto de melhores práticas com um foco específico na segurança da informação; ela oferece conselhos práticos sobre como proteger as informações e reduzir ameaças cibernéticas. Ao contrário do GDPR, ela não cobre diretamente as seguintes questões associadas à privacidade dos dados, que estão descritas no Capítulo 3 do GDPR (Data Subject Rights):

• Consentimento — Os controladores de dados devem provar que os titulares dos dados concordaram com o processamento dos seus dados pessoais (Artigos 7 e 8). O pedido de consentimento deve ser apresentado de forma facilmente acessível, com o propósito do processamento de dados anexado. Os titulares dos dados também têm o direito de retirar o seu consentimento a qualquer momento.
• Portabilidade de dados — Os indivíduos têm o direito de obter e reutilizar seus dados pessoais para seus próprios fins em diferentes serviços, bem como transmitir esses dados para outro controlador sem impedimentos para a usabilidade (Artigo 20).
• O direito de ser esquecido — Os indivíduos têm o direito de ter seus dados pessoais apagados ou interromper a disseminação dos mesmos sem demora (Artigo 17).
• O direito à restrição do processamento — Os indivíduos têm o direito de limitar a maneira como uma organização utiliza seus dados pessoais se os dados foram processados ilegalmente ou se o indivíduo contestar a precisão dos dados (Artigo 18).
• Direito de oposição — Os titulares dos dados têm o direito de se opor ao processamento de dados para marketing direto, desempenho de tarefas legais ou fins de pesquisa e estatísticas (Artigo 21).
• Transferências internacionais de dados pessoais — As organizações devem garantir que as transferências internacionais de dados sejam realizadas de acordo com as regras aprovadas pela Comissão Europeia (Artigo 46).

Em resumo

Como podemos ver, o GDPR foca na privacidade dos dados e na proteção das informações pessoais; exige que as organizações se esforcem mais para obter consentimento explícito para a coleta de dados e garantir que todos os dados sejam processados de maneira lícita. No entanto, falta detalhes técnicos sobre como manter um nível apropriado de segurança dos dados ou mitigar ameaças internas e externas. Neste contexto, a ISO 27001 é útil: Ela fornece orientações práticas sobre como desenvolver políticas claras e abrangentes para minimizar os riscos de segurança que podem levar a incidentes de segurança.

Embora a conformidade com a ISO 27001 não garanta a conformidade com o GDPR, é um passo valioso. As organizações devem considerar a obtenção da certificação ISO 27001 para garantir que suas medidas de segurança sejam suficientemente fortes para proteger dados sensíveis.