SlideShare uma empresa Scribd logo

Checklist lgpd

A
anselmo333

Este documento apresenta uma lista de itens para verificar o cumprimento da norma ISO/IEC 27701 sobre privacidade e proteção de dados pessoais. A lista inclui controles relacionados a aquisição, desenvolvimento e manutenção de sistemas, compartilhamento e transferência de dados, conformidade e contexto da organização. Os itens devem ser marcados como aceitos, pendentes ou corrigidos.

Dispositivos e hardware
1 de 5
Baixar para ler offline
Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Aquisição, desenvolvimento e manutenção de sistemas 6.11.2.1 - Política de Desenvolvimento Seguro A organização, caso aplicável, deve estabelecer uma Política de Desenvolvimento Seguro que contribua ativamente para os aspectos de privacy by design e privacy by default. (Este controle é adicional a seção 14.2.1, 14.2.5, 14.2.7 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Aquisição, desenvolvimento e manutenção de sistemas 6.11.3.1 - Proteção dos dados para teste A organização deve garantir que os testes em sistemas são realizados apenas com Dados Pessoais ou Informações sintéticas. Onde o uso de Dados Pessoais ou informações sintéticas não puder ser evitado, convém que sejam implementadas as mesmas medidas técnicas e organizacionais vigentes em Ambiente de Produção. (Este controle é adicional a seção 14.3.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compartilhamento, transferência e descarte de dados pessoais B.8.5.1 - Bases para a transferência de dados pessoais entre jurisdições A organização deve informar ao cliente em um tempo hábil sobre as bases para a transferência de dados pessoais entre jurisdições e de qualquer mudança pretendida nesta questão, de modo que o cliente tenha a capacidade de contestar estas mudanças ou rescindir o contrato. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.2 - Países e organizações internacionais para os quais o dados pessoais podem ser transferidos A organização deve especificar e documentar os países e as organizações internacionais para os quais dados pessoais possam, possivelmente, ser transferidos. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.3 - Registros de dados pessoais divulgados para terceiros A organização deve registrar a divulgação de dados pessoais para terceiros, incluindo quais dados pessoais foram divulgados, para quem e quando. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.4 - Notificação de solicitações de divulgação de dados pessoais A organização deve notificar ao cliente sobre quaisquer solicitações legalmente obrigatórias para a divulgação de dados pessoais. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.5 - Divulgações legalmente obrigatórias de dados pessoais A organização deve rejeitar quaisquer solicitações para a divulgação de dados pessoais que não sejam legalmente obrigatórias, consultar o cliente em questão antes de realizar quaisquer divulgações do dados pessoais e aceitar quaisquer solicitações contratualmente acordadas para a divulgação de dados pessoais, que sejam autorizadas pelo respectivo cliente. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.6 - Divulgação de subcontratados usados para tratar dados pessoais A organização deve divulgar para o cliente qualquer uso de subcontratados para tratar dados pessoais, antes do uso. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.7 - Contratação de um subcontratado para tratar dados pessoais A organização deve somente contratar um subcontratado para tratar dados pessoais com base no contrato do cliente. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.8 - Mudança de subcontratado para tratar dados pessoais A organização deve, no caso de ter uma autorização geral por escrito, informar o cliente de quaisquer alterações pretendidas relativas à adição ou substituição de subcontratados no tratamento de dados pessoais, dando assim ao cliente a oportunidade de se opor a essas alterações. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.1 - Identificando as bases para a transferência de dados pessoais entre jurisdições A organização deve identificar e documentar as bases relevantes para a transferência de dados pessoais entre jurisdições. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.2 - Países e organizações internacionais para os quais dados pessoais podem ser transferidos A organização deve especificar e documentar os países e as organizações internacionais para os quais o dados pessoais possam possivelmente ser transferidos. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.3 - Registros de transferência de dados pessoais A organização deve registrar a transferência de dados pessoais para ou de terceiros e assegurar a cooperação com essas partes para apoiar futuras solicitações relativas às obrigações para os titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.4 - Registro de divulgação de dados pessoais para terceiros A organização deve registrar a divulgação de dados pessoais para terceiros, incluindo qual dados pessoais foi divulgado, para quem e quando. Médio ISO/IEC 27701 Controladores Compliance 6.15.1.1 - Identificação da legislação aplicável e de requisitos contratuais A organização deve identifiar quaisquer sanções legais potenciais (que podem resultar de algumas obrigações que têm sido omitidas) relativas ao tratamento de dados pessoais, incluindo multas substanciais oriundas diretamente da autoridade de supervisão local. (Este controle é adiconal a seção 18.1.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compliance 6.15.1.3 - Proteção de registros Pode ser requerida a análise crítica de políticas e de procedimentos atuais e históricos (por exemplo, nos casos em que o cliente entre em litígio e em uma investigação por uma autoridade de supervisão). a organização deve reter cópias de seus procedimentos e políticas de privacidade associados, por um período conforme especificado na sua programação de retenção. Isto inclui a retenção de versões anteriores destes documentos, quando eles são atualizados. (Este controle é adicional a seção 18.1.3 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compliance 6.15.2 - Análise crítica da S.I. Quando uma organização estiver atuando como um Operadores de dados pessoais, e onde auditorias individuais de clientes forem impraticáveis ou puderem aumentar os riscos a segurança, convém que a organização disponibilize aos clientes, antes de celebrar e durante a duração de um contrato, evidências independentes de que a segurança de informação está implementada e é operada de acordo com os procedimentos e as políticas da organização. (Este controle é adiconal a seção 18.2.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido
Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Compliance 6.15.2.3 - Análise crítica técnica do compliance Como parte das análises críticas técnicas do compliance com as normas e políticas de segurança, convém que a organização inclua métodos de análise crítica destas ferramentas e componentes relacionados ao tratamento de dados pessoais. (Este controle é adiconal a seção 18.2.3 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Condições para coleta e tratamento A.7.2.1 - Identificação e documentação do propósito específicos A organização deve identificar e documentar os propósitos específicos pelos quais os dados pessoais serão tratados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.2 - Identificação de bases legais A organização deve determinar, documentar e estar em compliance com a base legal pertinente para o tratamento de dados pessoais para os propósitos identificados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.3 - Determinando quando e como o consentimento deve ser obtido A organização deve determinar e documentar um processo pelo qual ela possa demonstrar se, quando e como o consentimento para o tratamento de dados pessoais foi obtido dos titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.4 - Obtendo e registrando o consentimento A organização deve obter e registrar o consentimento dos titulares de dados pessoais de acordo com os processos documentados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.5 - Avaliação de impacto de privacidade A organização deve avaliar a necessidade para, e implementar onde apropriado, uma avaliação de impacto de privacidade quando novos tratamentos de dados pessoais ou mudanças ao tratamento existente de dados pessoais forem planejados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.6 - Contratos com Operadoreses de dados pessoais A organização deve ter um contrato por escrito com qualquer Operadores de dados pessoais que ela utilize, e deve assegurar que os seus contratos com os Operadoreses de dados pessoais contemplem a implementação de controles apropriados, conforme descrito no Anexo B da ISO/IEC 27701. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.7 - Controlador conjunto de dados pessoais A organização deve determinar as responsabilidades e respectivos papéis para o tratamento de dados pessoais (incluindo a proteção de dados pessoais e os requisitos de segurança) com qualquer controlador conjunto de dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.8 - Registros relativos ao tratamento de dados pessoais A organização deve determinar e manter de forma segura os registros necessários ao suporte às suas obrigações para o tratamento do dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento B.8.2.1 - Acordos com o cliente A organização deve assegurar, onde pertinente, que o contrato para tratar dados pessoais considera os papéis da organização em fornecer assistência com as obrigações do cliente (considerando a natureza do tratamento e a informação disponível para a organização). Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.2 - Propósitos da organização A organização deve assegurar que os dados pessoais tratados em nome do cliente sejam apenas tratados para o propósito expresso nas instruções documentadas do cliente. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.3 - Uso de marketing e propaganda A organização não pode utilizar os dados pessoais tratados sob um contrato para o propósito de marketing e propaganda, sem o estabelecimento de que um consentimento antecipado foi obtido do titular de dados pessoais apropriado. A organização não pode fornecer este consentimento como uma condição para o recebimento do serviço. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.4 - Violando instruções A organização deve informar ao cliente se, na sua opinião, uma instrução de tratamento viola uma regulamentação e/ou legislação aplicável. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.5 - Obrigações do cliente A organização deve fornecer ao cliente informações apropriadas de tal modo que o cliente possa demonstrar compliance com suas obrigações. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.6 - Registros relativos ao tratamento de dados pessoais A organização deve determinar e manter os registros necessários para apoiar a demonstração do compliance com suas obrigações (como especificado no contrato aplicável) para tratamento de dados pessoais realizado em nome do cliente. Médio ISO/IEC 27701 Operadores Contexto da Organização 5.2.1 - Entendendo a organização e seu contexto A organização deve determinar o seu papel como um controlador de dados pessoais (incluindo a condição de controlador conjunto de dados pessoais) e/ou como um Operadores de dados pessoais. Determinando os seus fatores externos e internos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de privacidade. Onde a organização atua em ambos os papéis (isto é, como um controlador e como um Operadores), papéis separados devem ser determinados, cada qual estando sujeito a um conjunto separado de controles. O papel da organização pode ser diferente para cada situação do tratamento dos dados pessoais, uma vez que isto depende de quem determina os propósitos e meios de tratamento. (Este é um requisito adicional a seção 4.1 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Contexto da Organização 5.2.2 - Entendendo as necessidades e as expectativas das partes interessadas A organização deve incluir como partes interessadas, mas não se limitando a: titulares, autoridades supervisoras, controladores de dados pessoais, Operadoreses de dados pessoas e seus subcontratados no seu sistema de gestão de S.I.. (Este é um requisito adicional a seção 4.2 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001
Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Controle de Acesso 6.6.2.2 - Provisionamento de acesso para usuários A organização deve possuir processos ou procedimentos para provisionar o acesso para usuários aos recursos que processem Dados Pessoais (por exemplo, todo acesso a recursos que processem Dados Pessoais deve ser aprovado pelo gestor da área; não reemitir logins e senhas, etc.. (Este controle é adicional a seção 9.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Criptografia 6.7.1.1 - Política para o uso de controles criptográficos A organização deve garantir que os canais de comunicação por onde podem transitar dados pessoais, ou que os recursos (sistemas, pastas de rede, dispositivos removíveis) que possam estar processando dados pessoais, recebam a criptografia adequada. (Este controle é adicional a seção 10.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.2.1 - Classificação da Informação A organização deve estabelecer e publicar uma Política que oriente seus funcionários sobre a maneira correta de se classificar uma informação diante de seu conteúdo e relevância para o negócio. (Este é um requisito adicional a seção 8.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.2.2 - Rótulos e tratamento da informação Todas as informações produzidas na organização, inclusive àquelas que incluam dados pessoais devem ser devidamente classificadas e rotuladas. (Este é um requisito adicional a seção 8.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.1 - Gerenciamento de Mídias A organização deve documentar qualquer uso de mídia removível e/ou de dispositivos para o armazenamento de dados pessoais. Mídia removível que é levada para fora do ambiente físico da organização está propensa à perda, dano e acesso inapropriado. Criptografar a mídia removível aumenta o nível de proteção para o dados pessoais, o que leva à redução dos riscos de privacidade e de segurança, caso a mídia removível seja comprometida. (Este controle é adicional a seção 8.3.1, da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.2 - Descarte de Mídias Onde mídias removíveis que armazenam dados pessoais forem descartadas, convém que procedimentos de descarte seguros sejam incluídos na informação documentada e implementados para assegurar que dados pessoais armazenados previamente não sejam acessíveis. Este controle é adicional a seção 8.3.2 da ABNT NBR ISO/IEC 27002:2013. Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.3 - Transferência Física de Mídias Quando mídias físicas são usadas para transferência da informação, a organizaçao deve registrar as entradas e saídas das mídias físicas contendo dados pessoais, incluindo o tipo de mídia física, o receptor/remetente autorizado, a data e o horário, e o número da mídia física. (Este controle é adicional a seção 8.3.3 da ISO/IEC 27001). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Incidentes de S.I. 6.13.1.1 - Responsabilidades e procedimentos A organização deve definir um procedimento formal de Gestão de Incidentes que inclua papéis, responsabilidades e procedimentos, seja para tratar de incidentes de S.I. ou incidentes que envolvam Dados Pessoais. (Este controle é adiconal a seção 16.1.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Incidentes de S.I. 6.13.1.5 - Resposta aos incidentes de S.I. Todos os incidentes reportados devem ser solucionados em tempo hábil. Quando um incidente envolver Dados Pessoais, uma análise crítica deve ser conduzida a fim de avaliar impactos e tempo de resposta. Os procedimentos de respostas deve incluir notificações relevantes de registros, se necessário, pois, algumas jurisdições estabelecem quando convém que a violação seja notificada à autoridade. (Este controle é adiconal a seção 16.1.5 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Liderança 5.3.3 - Determinando o escopo do sistema de gestão da S.I. Incluir o tratamento de dados pessoais no escopo do sistema de gestão da S.I. definido. Esta inclusão pode requerer uma revisão do escopo. (Este é um requisito adicional a seção 4.3 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Obrigações para titulares de dados pessoais A.7.3.1 - Determinando e cumprindo as obrigações para os titulares de dados pessoais A organização deve determinar e documentar suas obrigações regulatórias, legais e de negócios para os titulares de dados pessoais, relativas ao tratamento de seus dados pessoais e fornecer meios para atender a estas obrigações. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.2 - Determinando as informações para os titulares de dados pessoais A organização deve determinar e documentar a informação a ser fornecida aos titulares de dados pessoais, relativa ao tratamento de seus dados pessoais, e o tempo de tal disponibilização. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.3 - Fornecendo informações aos titulares de dados pessoais A organização deve fornecer aos titulares de dados pessoais, de forma clara e facilmente acessível, informações que identifiquem o controlador de dados pessoais e descrevam o tratamento de seus dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.4 - Fornecendo mecanismos para modificar ou cancelar o consentimento A organização deve fornecer mecanismos para os titulares de dados pessoais para modificar ou cancelar os seus consentimentos. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.5 - Fornecendo mecanismos para negar o consentimento ao tratamento de dados pessoais A organização deve fornecer mecanismos para os titulares de dados pessoais para negar o consentimento ao tratamento do seu dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.6 - Acesso, correção e/ou exclusão A organização deve implementar políticas, procedimentos e/ou mecanismos para atender às suas obrigações para os titulares de dados pessoais acessarem, corrigirem e/ou excluírem os seus dados pessoais. Médio ISO/IEC 27701 Controladores
Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Obrigações para titulares de dados pessoais A.7.3.7 - Obrigações dos controladores de dados pessoais para informar aos terceiros A organização deve informar aos terceiros com quem o dados pessoais foi compartilhado sobre qualquer modificação, cancelamento ou desaprovação pertinente ao dados pessoais compartilhado, e implementar políticas e procedimentos apropriados e/ou mecanismos para fazê-lo. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.8 - Fornecendo cópia do dados pessoais tratado A organização deve ser capaz de fornecer uma cópia do dados pessoais que é tratado, quando requerido pelo titular de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.9 - Tratamento de solicitações A organização deve definir e documentar políticas e procedimentos para tratamento e respostas, a solicitações legítimas dos titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.10 - Tomada de decisão automatizada A organização deve identificar e considerar as obrigações, incluindo obrigações legais, para os titulares de dados pessoais, como resultado das decisões feitas pela organização que estejam relacionadas ao titular de dados pessoais, baseadas unicamente no tratamento automatizado de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais B.8.3.1 - Obrigações para os titulares de dados pessoais A organização deve fornecer ao cliente meios para estar em compliance com suas obrigações relativas aos titulares de dados pessoais. Médio ISO/IEC 27701 Operadores Organização da S.I. 6.3.1.1 - Responsabilidades e papéis da S.I. A organização deverá designar uma pessoa ou uma área com o preparo necessário para responder formalmente diante do órgão regulador a respeito de qualquer incidente envolvendo Dados Pessoais. Recomenda-se que o encarregado reporte-se diretamente ao nível gerencial apropriado a fim de assegurar uma efetiva gestão de riscos de privacidade. (Este é um requisito adicional a seção 6.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Organização da S.I. 6.3.2.1 - Política para o uso de dispositivo móvel A organização deve estabelecer uma Política que regule o uso de dispositivos móveis para fins profissionais e relativos ao negócio, entendendo a importância de assegurar que o uso dos mesmos não conduza a um comprometimento dos dados pessoais. (Este é um requisito adicional a seção 6.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Planejamento 5.4.1.2 - Avaliação de riscos de S.I. Criar uma metodologia de avaliação de riscos que considere riscos de segurança e privacidade. Para tratar os riscos, os controles determinados no Anexo A da ABNT NBR ISO/IEC 27001:2013 e dos Anexos A e B da ISO/IEC 27701 devem ser considerados e justificados na declaração de aplicabilidade (Este controle é adicional a seção ABNT NBR ISO/IEC 27001:2013, 6.1.2 c) 1), 6.1.2 d) 1) , 6.1.3 c) 6.1.3 d) 1). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Políticas de S.I. 6.2.1.1 - Políticas para S.I. Definir políticas de privacidade que estabeleçam diretrizes quanto à forma de coleta, finalidade e forma de processamento de Dados Pessoais que possa vigorar de forma interna e externa na organização. (Este é um requisito adicional a seção 5.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Privacy by design e Privacy by Default A.7.4.1 - Limite de coleta A organização deve limitar a coleta de dados pessoais a um mínimo que seja relevante, proporcional e necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.2 - Limite de tratamento A organização deve limitar o tratamento de dados pessoais de tal forma que seja adequado, relevante e necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.3 - Precisão e qualidade A organização deve assegurar e documentar que o dados pessoais é preciso, completo e atualizado, como é necessário para os propósitos aos quais ele é tratado, por meio do ciclo de vida do dados pessoais. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.4 - Objetivos de minimização de dados pessoais A organização deve definir e documentar os objetivos da minimização dos dados e quais mecanismos (como a anonimização) são usados para atender àqueles objetivos. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.5 - Anonimização e exclusão de dados pessoais ao final do tratamento A organização deve excluir dados pessoais ou entregá-lo na forma que não permita a identificação ou reidentificação dos titulares de dados pessoais, uma vez que o dados pessoais original não é mais necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.6 - Arquivos temporários A organização deve assegurar que os arquivos temporários criados como um resultado de tratamento de dados pessoais sejam descartados (por exemplo, apagados ou destruídos)seguindo procedimentos documentados dentro de um período documentado, especificado. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.7 - Retenção A organização não pode reter o dados pessoais por um tempo maior do que é necessário para os propósitos para os quais o dados pessoais é tratado. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.8 - Descarte A organização deve ter políticas, procedimentos e/ou mecanismos documentados para o descarte de dados pessoais. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.9 - Controles de transmissão de dados pessoais A organização deve tratar dados pessoais transmitido (por exemplo, enviado para outra organização) que trafegue por uma rede de transmissão de dados, com controles apropriados concebidos para assegurar que os dados alcancem seus destinos pretendidos. Médio ISO/IEC 27701 Controladores
Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Privacy by design e Privacy by Default B.8.4.1 - Arquivos temporários A organização deve assegurar que os arquivos temporários criados como um resultado do tratamento de dados pessoais sejam descartados (por exemplo, apagados ou destruídos) seguindo os procedimentos documentados, dentro de um período especificado e documentado. Médio ISO/IEC 27701 Operadores Privacy by design e Privacy by Default B.8.4.2 - Retorno, transferência ou descarte de dados pessoais A organização deve fornecer a capacidade de retornar, transferir e/ou descartar dados pessoais de uma maneira segura. Deve também tornar sua política disponível para o cliente. Médio ISO/IEC 27701 Operadores Privacy by design e Privacy by Default B.8.4.3 - Controles de transmissão de dados pessoais A organização deve sujeitar dados pessoais transmitidos sobre uma rede de transmissão de dados a controles apropriados projetados, para assegurar que os dados alcancem seus destinos pretendidos. Médio ISO/IEC 27701 Operadores Relacionamento na cadeia de suprimento 6.12.1.2 - Identificar S.I. nos Fornecedores A organização deve especificar nos acordos com fornecedores se o dado pessoal é tratado e as medidas mínimas técnicas e organizacionais que o fornecedor precisa atender para que a organização cumpra com as suas as obrigações de proteção de dados pessoais e S.I.. Estes acordos estabelecem as responsabilidades entre a organização, seus parceiros, seus fornecedores e seus terceiros aplicáveis (clientes, fornecedores etc.),levando em conta o tipo de dado pessoal tratado. (Este controle é adicional a seção 15.1.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança das Operações 6.9.3.1 - Política de Backup A organização deve estabelecer uma política que considere os requisitos para cópia de segurança, recuperação e restauração de dados pessoais. (Este controle é adicional a seção 12.3.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança das Operações 6.9.4.1 - Registro de eventos As bases de processamento de Dados Pessoais da organização deve conter recursos de rastreabilidade de ações implementado, a fim de identificar as atividades realizadas por um usuário ou por um determinado grupo de usuários. O acesso a estes registros de eventos (logs) devem ser controlados. Quando possivel, os registros de eventos (logs) devem gravar o acesso ao dado pessoal, incluindo por quem, quando, qual titular do dado pessoal foi acessado e quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões), como um resultado do evento. (Este controle é adicional a seção 12.4.1 e 12.4.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança em recursos humanos 6.4.2.2 - Conscientizar, treinar e educar em S.I. Devem ser aplicados, de forma regular, treinamentos e ações de conscientização aos funcionários, sempre levando em consideração a S.I. e a Proteção de Dados Pessoais. (Este é um requisito adicional a seção 7.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança física e do ambiente 6.8.2.7 - Reutilização ou descarte seguro de equipamentos A organização deve assegurar que, quando um espaço de armazenamento é realocado, qualquer dados pessoais previamente guardado naquele espaço de armazenamento não seja acessível. Este controle é adicional a seção 11.2.7 da ABNT NBR ISO/IEC 27002:2013. Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança física e do ambiente 6.8.2.9 - Política de Tela e Mesa Limpa A organização deve estabelecer e divulgar internamente uma Política que contenha diretrizes de Tela e Mesa Limpa, restringindo, por exemplo, a exposição de material físico que contenha Dados Pessoais ao mínimo necessário para atender ao propósito do tratamento identificado. (Este controle é adicional a seção 11.2.9 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança nas comunicações 6.10.2.1 - Políticas e procedimentos para transferência de informações A organização deve considerar procedimentos para assegurar que regras relativas ao tratamento de dados pessoais são mandatórias por todo o sistema e fora dele, onde aplicável. (Este controle é adicional a seção 13.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança nas comunicações 6.10.2.4 - Acordos de Confidencialidade e Não-Divulgação A organização deve assegurar que os indivíduos que operam sob seu controle com acesso aos dados pessoais estejam sujeitos a um acordo obrigatório de confidencialidade (parceiros, fornecedores e prestadores de serviços, por exemplo). ( Este controle é adicional a seção 13.2.4 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002

Recomendados

LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASWellington Monaco
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
 
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...Wellington Monaco
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...Wellington Monaco
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...Wellington Monaco
 

Recomendados

LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASWellington Monaco
 
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
 
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...Wellington Monaco
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...Wellington Monaco
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...Wellington Monaco
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOWellington Monaco
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão DocumentalDaniel Gorita
 
LGPD Apostila
LGPD ApostilaLGPD Apostila
LGPD ApostilaAlbertoMonteiroNeto1
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...Wellington Monaco
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOAdriano Martins Antonio
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By DesignDouglas Siviotti
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaGraziela Brandão
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEIWellington Monaco
 
Privacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoPrivacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoDouglas Siviotti
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Joao Galdino Mello de Souza
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD DescomplicadaMaicon Alvim
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPDDouglas Siviotti
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaRosalia Ometto
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 

Mais conteúdo relacionado

Mais procurados

LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...Wellington Monaco
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOWellington Monaco
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão DocumentalDaniel Gorita
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...Wellington Monaco
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOAdriano Martins Antonio
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaGraziela Brandão
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEIWellington Monaco
 
Privacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoPrivacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoDouglas Siviotti
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Joao Galdino Mello de Souza
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD DescomplicadaMaicon Alvim
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPDDouglas Siviotti
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaRosalia Ometto
 

Mais procurados (20)

LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão Documental
 
LGPD Apostila
LGPD ApostilaLGPD Apostila
LGPD Apostila
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPO
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By Design
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
 
Privacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoPrivacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do Produto
 
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
Lei geral de proteção de dados por Kleber Silva e Ricardo Navarro (Pise4)
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD Descomplicada
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPD
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
 

Semelhante a Checklist lgpd

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
14 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 201614 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 2016Renato Paço
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS OverviewUlisses Castro
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócioPrivacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócioDebora Modesto
 
Frameworks_Privacidade.pdf
Frameworks_Privacidade.pdfFrameworks_Privacidade.pdf
Frameworks_Privacidade.pdfCarla Reis
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?WordCamp Floripa
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013Felipe Prado
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarArthur Tofolo Washington
 

Semelhante a Checklist lgpd (20)

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
14 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 201614 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 2016
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócioPrivacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
 
Frameworks_Privacidade.pdf
Frameworks_Privacidade.pdfFrameworks_Privacidade.pdf
Frameworks_Privacidade.pdf
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 

Mais de anselmo333

NR-35 - SLIDES COM PRIMEIROS SOCORROS.ppt
NR-35 - SLIDES COM PRIMEIROS SOCORROS.pptNR-35 - SLIDES COM PRIMEIROS SOCORROS.ppt
NR-35 - SLIDES COM PRIMEIROS SOCORROS.pptanselmo333
 
PCMSO Drogaria Imperial.pdf
PCMSO Drogaria Imperial.pdfPCMSO Drogaria Imperial.pdf
PCMSO Drogaria Imperial.pdfanselmo333
 
LTCAT DROGARIA IMPERIAL LTDA.pdf
LTCAT DROGARIA IMPERIAL LTDA.pdfLTCAT DROGARIA IMPERIAL LTDA.pdf
LTCAT DROGARIA IMPERIAL LTDA.pdfanselmo333
 
Modelo de acordo
Modelo de acordoModelo de acordo
Modelo de acordoanselmo333
 
Atestado de capacidade tecnica consultoria
Atestado de capacidade tecnica consultoria Atestado de capacidade tecnica consultoria
Atestado de capacidade tecnica consultoria anselmo333
 
Relatório de vendas diáias
Relatório de vendas diáiasRelatório de vendas diáias
Relatório de vendas diáiasanselmo333
 
Cartilha credito imobiliario
Cartilha credito imobiliarioCartilha credito imobiliario
Cartilha credito imobiliarioanselmo333
 
Cms files 6588_1444602474_me_missao-visao-valores
Cms files 6588_1444602474_me_missao-visao-valoresCms files 6588_1444602474_me_missao-visao-valores
Cms files 6588_1444602474_me_missao-visao-valoresanselmo333
 
Engenharia de Segurança do trabalho
Engenharia de Segurança do trabalhoEngenharia de Segurança do trabalho
Engenharia de Segurança do trabalhoanselmo333
 

Mais de anselmo333 (9)

NR-35 - SLIDES COM PRIMEIROS SOCORROS.ppt
NR-35 - SLIDES COM PRIMEIROS SOCORROS.pptNR-35 - SLIDES COM PRIMEIROS SOCORROS.ppt
NR-35 - SLIDES COM PRIMEIROS SOCORROS.ppt
 
PCMSO Drogaria Imperial.pdf
PCMSO Drogaria Imperial.pdfPCMSO Drogaria Imperial.pdf
PCMSO Drogaria Imperial.pdf
 
LTCAT DROGARIA IMPERIAL LTDA.pdf
LTCAT DROGARIA IMPERIAL LTDA.pdfLTCAT DROGARIA IMPERIAL LTDA.pdf
LTCAT DROGARIA IMPERIAL LTDA.pdf
 
Modelo de acordo
Modelo de acordoModelo de acordo
Modelo de acordo
 
Atestado de capacidade tecnica consultoria
Atestado de capacidade tecnica consultoria Atestado de capacidade tecnica consultoria
Atestado de capacidade tecnica consultoria
 
Relatório de vendas diáias
Relatório de vendas diáiasRelatório de vendas diáias
Relatório de vendas diáias
 
Cartilha credito imobiliario
Cartilha credito imobiliarioCartilha credito imobiliario
Cartilha credito imobiliario
 
Cms files 6588_1444602474_me_missao-visao-valores
Cms files 6588_1444602474_me_missao-visao-valoresCms files 6588_1444602474_me_missao-visao-valores
Cms files 6588_1444602474_me_missao-visao-valores
 
Engenharia de Segurança do trabalho
Engenharia de Segurança do trabalhoEngenharia de Segurança do trabalho
Engenharia de Segurança do trabalho
 

Checklist lgpd

  • 1. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Aquisição, desenvolvimento e manutenção de sistemas 6.11.2.1 - Política de Desenvolvimento Seguro A organização, caso aplicável, deve estabelecer uma Política de Desenvolvimento Seguro que contribua ativamente para os aspectos de privacy by design e privacy by default. (Este controle é adicional a seção 14.2.1, 14.2.5, 14.2.7 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Aquisição, desenvolvimento e manutenção de sistemas 6.11.3.1 - Proteção dos dados para teste A organização deve garantir que os testes em sistemas são realizados apenas com Dados Pessoais ou Informações sintéticas. Onde o uso de Dados Pessoais ou informações sintéticas não puder ser evitado, convém que sejam implementadas as mesmas medidas técnicas e organizacionais vigentes em Ambiente de Produção. (Este controle é adicional a seção 14.3.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compartilhamento, transferência e descarte de dados pessoais B.8.5.1 - Bases para a transferência de dados pessoais entre jurisdições A organização deve informar ao cliente em um tempo hábil sobre as bases para a transferência de dados pessoais entre jurisdições e de qualquer mudança pretendida nesta questão, de modo que o cliente tenha a capacidade de contestar estas mudanças ou rescindir o contrato. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.2 - Países e organizações internacionais para os quais o dados pessoais podem ser transferidos A organização deve especificar e documentar os países e as organizações internacionais para os quais dados pessoais possam, possivelmente, ser transferidos. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.3 - Registros de dados pessoais divulgados para terceiros A organização deve registrar a divulgação de dados pessoais para terceiros, incluindo quais dados pessoais foram divulgados, para quem e quando. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.4 - Notificação de solicitações de divulgação de dados pessoais A organização deve notificar ao cliente sobre quaisquer solicitações legalmente obrigatórias para a divulgação de dados pessoais. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.5 - Divulgações legalmente obrigatórias de dados pessoais A organização deve rejeitar quaisquer solicitações para a divulgação de dados pessoais que não sejam legalmente obrigatórias, consultar o cliente em questão antes de realizar quaisquer divulgações do dados pessoais e aceitar quaisquer solicitações contratualmente acordadas para a divulgação de dados pessoais, que sejam autorizadas pelo respectivo cliente. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.6 - Divulgação de subcontratados usados para tratar dados pessoais A organização deve divulgar para o cliente qualquer uso de subcontratados para tratar dados pessoais, antes do uso. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.7 - Contratação de um subcontratado para tratar dados pessoais A organização deve somente contratar um subcontratado para tratar dados pessoais com base no contrato do cliente. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.8 - Mudança de subcontratado para tratar dados pessoais A organização deve, no caso de ter uma autorização geral por escrito, informar o cliente de quaisquer alterações pretendidas relativas à adição ou substituição de subcontratados no tratamento de dados pessoais, dando assim ao cliente a oportunidade de se opor a essas alterações. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.1 - Identificando as bases para a transferência de dados pessoais entre jurisdições A organização deve identificar e documentar as bases relevantes para a transferência de dados pessoais entre jurisdições. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.2 - Países e organizações internacionais para os quais dados pessoais podem ser transferidos A organização deve especificar e documentar os países e as organizações internacionais para os quais o dados pessoais possam possivelmente ser transferidos. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.3 - Registros de transferência de dados pessoais A organização deve registrar a transferência de dados pessoais para ou de terceiros e assegurar a cooperação com essas partes para apoiar futuras solicitações relativas às obrigações para os titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.4 - Registro de divulgação de dados pessoais para terceiros A organização deve registrar a divulgação de dados pessoais para terceiros, incluindo qual dados pessoais foi divulgado, para quem e quando. Médio ISO/IEC 27701 Controladores Compliance 6.15.1.1 - Identificação da legislação aplicável e de requisitos contratuais A organização deve identifiar quaisquer sanções legais potenciais (que podem resultar de algumas obrigações que têm sido omitidas) relativas ao tratamento de dados pessoais, incluindo multas substanciais oriundas diretamente da autoridade de supervisão local. (Este controle é adiconal a seção 18.1.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compliance 6.15.1.3 - Proteção de registros Pode ser requerida a análise crítica de políticas e de procedimentos atuais e históricos (por exemplo, nos casos em que o cliente entre em litígio e em uma investigação por uma autoridade de supervisão). a organização deve reter cópias de seus procedimentos e políticas de privacidade associados, por um período conforme especificado na sua programação de retenção. Isto inclui a retenção de versões anteriores destes documentos, quando eles são atualizados. (Este controle é adicional a seção 18.1.3 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compliance 6.15.2 - Análise crítica da S.I. Quando uma organização estiver atuando como um Operadores de dados pessoais, e onde auditorias individuais de clientes forem impraticáveis ou puderem aumentar os riscos a segurança, convém que a organização disponibilize aos clientes, antes de celebrar e durante a duração de um contrato, evidências independentes de que a segurança de informação está implementada e é operada de acordo com os procedimentos e as políticas da organização. (Este controle é adiconal a seção 18.2.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido
  • 2. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Compliance 6.15.2.3 - Análise crítica técnica do compliance Como parte das análises críticas técnicas do compliance com as normas e políticas de segurança, convém que a organização inclua métodos de análise crítica destas ferramentas e componentes relacionados ao tratamento de dados pessoais. (Este controle é adiconal a seção 18.2.3 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Condições para coleta e tratamento A.7.2.1 - Identificação e documentação do propósito específicos A organização deve identificar e documentar os propósitos específicos pelos quais os dados pessoais serão tratados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.2 - Identificação de bases legais A organização deve determinar, documentar e estar em compliance com a base legal pertinente para o tratamento de dados pessoais para os propósitos identificados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.3 - Determinando quando e como o consentimento deve ser obtido A organização deve determinar e documentar um processo pelo qual ela possa demonstrar se, quando e como o consentimento para o tratamento de dados pessoais foi obtido dos titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.4 - Obtendo e registrando o consentimento A organização deve obter e registrar o consentimento dos titulares de dados pessoais de acordo com os processos documentados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.5 - Avaliação de impacto de privacidade A organização deve avaliar a necessidade para, e implementar onde apropriado, uma avaliação de impacto de privacidade quando novos tratamentos de dados pessoais ou mudanças ao tratamento existente de dados pessoais forem planejados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.6 - Contratos com Operadoreses de dados pessoais A organização deve ter um contrato por escrito com qualquer Operadores de dados pessoais que ela utilize, e deve assegurar que os seus contratos com os Operadoreses de dados pessoais contemplem a implementação de controles apropriados, conforme descrito no Anexo B da ISO/IEC 27701. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.7 - Controlador conjunto de dados pessoais A organização deve determinar as responsabilidades e respectivos papéis para o tratamento de dados pessoais (incluindo a proteção de dados pessoais e os requisitos de segurança) com qualquer controlador conjunto de dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.8 - Registros relativos ao tratamento de dados pessoais A organização deve determinar e manter de forma segura os registros necessários ao suporte às suas obrigações para o tratamento do dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento B.8.2.1 - Acordos com o cliente A organização deve assegurar, onde pertinente, que o contrato para tratar dados pessoais considera os papéis da organização em fornecer assistência com as obrigações do cliente (considerando a natureza do tratamento e a informação disponível para a organização). Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.2 - Propósitos da organização A organização deve assegurar que os dados pessoais tratados em nome do cliente sejam apenas tratados para o propósito expresso nas instruções documentadas do cliente. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.3 - Uso de marketing e propaganda A organização não pode utilizar os dados pessoais tratados sob um contrato para o propósito de marketing e propaganda, sem o estabelecimento de que um consentimento antecipado foi obtido do titular de dados pessoais apropriado. A organização não pode fornecer este consentimento como uma condição para o recebimento do serviço. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.4 - Violando instruções A organização deve informar ao cliente se, na sua opinião, uma instrução de tratamento viola uma regulamentação e/ou legislação aplicável. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.5 - Obrigações do cliente A organização deve fornecer ao cliente informações apropriadas de tal modo que o cliente possa demonstrar compliance com suas obrigações. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.6 - Registros relativos ao tratamento de dados pessoais A organização deve determinar e manter os registros necessários para apoiar a demonstração do compliance com suas obrigações (como especificado no contrato aplicável) para tratamento de dados pessoais realizado em nome do cliente. Médio ISO/IEC 27701 Operadores Contexto da Organização 5.2.1 - Entendendo a organização e seu contexto A organização deve determinar o seu papel como um controlador de dados pessoais (incluindo a condição de controlador conjunto de dados pessoais) e/ou como um Operadores de dados pessoais. Determinando os seus fatores externos e internos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de privacidade. Onde a organização atua em ambos os papéis (isto é, como um controlador e como um Operadores), papéis separados devem ser determinados, cada qual estando sujeito a um conjunto separado de controles. O papel da organização pode ser diferente para cada situação do tratamento dos dados pessoais, uma vez que isto depende de quem determina os propósitos e meios de tratamento. (Este é um requisito adicional a seção 4.1 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Contexto da Organização 5.2.2 - Entendendo as necessidades e as expectativas das partes interessadas A organização deve incluir como partes interessadas, mas não se limitando a: titulares, autoridades supervisoras, controladores de dados pessoais, Operadoreses de dados pessoas e seus subcontratados no seu sistema de gestão de S.I.. (Este é um requisito adicional a seção 4.2 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001
  • 3. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Controle de Acesso 6.6.2.2 - Provisionamento de acesso para usuários A organização deve possuir processos ou procedimentos para provisionar o acesso para usuários aos recursos que processem Dados Pessoais (por exemplo, todo acesso a recursos que processem Dados Pessoais deve ser aprovado pelo gestor da área; não reemitir logins e senhas, etc.. (Este controle é adicional a seção 9.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Criptografia 6.7.1.1 - Política para o uso de controles criptográficos A organização deve garantir que os canais de comunicação por onde podem transitar dados pessoais, ou que os recursos (sistemas, pastas de rede, dispositivos removíveis) que possam estar processando dados pessoais, recebam a criptografia adequada. (Este controle é adicional a seção 10.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.2.1 - Classificação da Informação A organização deve estabelecer e publicar uma Política que oriente seus funcionários sobre a maneira correta de se classificar uma informação diante de seu conteúdo e relevância para o negócio. (Este é um requisito adicional a seção 8.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.2.2 - Rótulos e tratamento da informação Todas as informações produzidas na organização, inclusive àquelas que incluam dados pessoais devem ser devidamente classificadas e rotuladas. (Este é um requisito adicional a seção 8.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.1 - Gerenciamento de Mídias A organização deve documentar qualquer uso de mídia removível e/ou de dispositivos para o armazenamento de dados pessoais. Mídia removível que é levada para fora do ambiente físico da organização está propensa à perda, dano e acesso inapropriado. Criptografar a mídia removível aumenta o nível de proteção para o dados pessoais, o que leva à redução dos riscos de privacidade e de segurança, caso a mídia removível seja comprometida. (Este controle é adicional a seção 8.3.1, da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.2 - Descarte de Mídias Onde mídias removíveis que armazenam dados pessoais forem descartadas, convém que procedimentos de descarte seguros sejam incluídos na informação documentada e implementados para assegurar que dados pessoais armazenados previamente não sejam acessíveis. Este controle é adicional a seção 8.3.2 da ABNT NBR ISO/IEC 27002:2013. Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.3 - Transferência Física de Mídias Quando mídias físicas são usadas para transferência da informação, a organizaçao deve registrar as entradas e saídas das mídias físicas contendo dados pessoais, incluindo o tipo de mídia física, o receptor/remetente autorizado, a data e o horário, e o número da mídia física. (Este controle é adicional a seção 8.3.3 da ISO/IEC 27001). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Incidentes de S.I. 6.13.1.1 - Responsabilidades e procedimentos A organização deve definir um procedimento formal de Gestão de Incidentes que inclua papéis, responsabilidades e procedimentos, seja para tratar de incidentes de S.I. ou incidentes que envolvam Dados Pessoais. (Este controle é adiconal a seção 16.1.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Incidentes de S.I. 6.13.1.5 - Resposta aos incidentes de S.I. Todos os incidentes reportados devem ser solucionados em tempo hábil. Quando um incidente envolver Dados Pessoais, uma análise crítica deve ser conduzida a fim de avaliar impactos e tempo de resposta. Os procedimentos de respostas deve incluir notificações relevantes de registros, se necessário, pois, algumas jurisdições estabelecem quando convém que a violação seja notificada à autoridade. (Este controle é adiconal a seção 16.1.5 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Liderança 5.3.3 - Determinando o escopo do sistema de gestão da S.I. Incluir o tratamento de dados pessoais no escopo do sistema de gestão da S.I. definido. Esta inclusão pode requerer uma revisão do escopo. (Este é um requisito adicional a seção 4.3 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Obrigações para titulares de dados pessoais A.7.3.1 - Determinando e cumprindo as obrigações para os titulares de dados pessoais A organização deve determinar e documentar suas obrigações regulatórias, legais e de negócios para os titulares de dados pessoais, relativas ao tratamento de seus dados pessoais e fornecer meios para atender a estas obrigações. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.2 - Determinando as informações para os titulares de dados pessoais A organização deve determinar e documentar a informação a ser fornecida aos titulares de dados pessoais, relativa ao tratamento de seus dados pessoais, e o tempo de tal disponibilização. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.3 - Fornecendo informações aos titulares de dados pessoais A organização deve fornecer aos titulares de dados pessoais, de forma clara e facilmente acessível, informações que identifiquem o controlador de dados pessoais e descrevam o tratamento de seus dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.4 - Fornecendo mecanismos para modificar ou cancelar o consentimento A organização deve fornecer mecanismos para os titulares de dados pessoais para modificar ou cancelar os seus consentimentos. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.5 - Fornecendo mecanismos para negar o consentimento ao tratamento de dados pessoais A organização deve fornecer mecanismos para os titulares de dados pessoais para negar o consentimento ao tratamento do seu dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.6 - Acesso, correção e/ou exclusão A organização deve implementar políticas, procedimentos e/ou mecanismos para atender às suas obrigações para os titulares de dados pessoais acessarem, corrigirem e/ou excluírem os seus dados pessoais. Médio ISO/IEC 27701 Controladores
  • 4. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Obrigações para titulares de dados pessoais A.7.3.7 - Obrigações dos controladores de dados pessoais para informar aos terceiros A organização deve informar aos terceiros com quem o dados pessoais foi compartilhado sobre qualquer modificação, cancelamento ou desaprovação pertinente ao dados pessoais compartilhado, e implementar políticas e procedimentos apropriados e/ou mecanismos para fazê-lo. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.8 - Fornecendo cópia do dados pessoais tratado A organização deve ser capaz de fornecer uma cópia do dados pessoais que é tratado, quando requerido pelo titular de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.9 - Tratamento de solicitações A organização deve definir e documentar políticas e procedimentos para tratamento e respostas, a solicitações legítimas dos titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.10 - Tomada de decisão automatizada A organização deve identificar e considerar as obrigações, incluindo obrigações legais, para os titulares de dados pessoais, como resultado das decisões feitas pela organização que estejam relacionadas ao titular de dados pessoais, baseadas unicamente no tratamento automatizado de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais B.8.3.1 - Obrigações para os titulares de dados pessoais A organização deve fornecer ao cliente meios para estar em compliance com suas obrigações relativas aos titulares de dados pessoais. Médio ISO/IEC 27701 Operadores Organização da S.I. 6.3.1.1 - Responsabilidades e papéis da S.I. A organização deverá designar uma pessoa ou uma área com o preparo necessário para responder formalmente diante do órgão regulador a respeito de qualquer incidente envolvendo Dados Pessoais. Recomenda-se que o encarregado reporte-se diretamente ao nível gerencial apropriado a fim de assegurar uma efetiva gestão de riscos de privacidade. (Este é um requisito adicional a seção 6.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Organização da S.I. 6.3.2.1 - Política para o uso de dispositivo móvel A organização deve estabelecer uma Política que regule o uso de dispositivos móveis para fins profissionais e relativos ao negócio, entendendo a importância de assegurar que o uso dos mesmos não conduza a um comprometimento dos dados pessoais. (Este é um requisito adicional a seção 6.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Planejamento 5.4.1.2 - Avaliação de riscos de S.I. Criar uma metodologia de avaliação de riscos que considere riscos de segurança e privacidade. Para tratar os riscos, os controles determinados no Anexo A da ABNT NBR ISO/IEC 27001:2013 e dos Anexos A e B da ISO/IEC 27701 devem ser considerados e justificados na declaração de aplicabilidade (Este controle é adicional a seção ABNT NBR ISO/IEC 27001:2013, 6.1.2 c) 1), 6.1.2 d) 1) , 6.1.3 c) 6.1.3 d) 1). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Políticas de S.I. 6.2.1.1 - Políticas para S.I. Definir políticas de privacidade que estabeleçam diretrizes quanto à forma de coleta, finalidade e forma de processamento de Dados Pessoais que possa vigorar de forma interna e externa na organização. (Este é um requisito adicional a seção 5.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Privacy by design e Privacy by Default A.7.4.1 - Limite de coleta A organização deve limitar a coleta de dados pessoais a um mínimo que seja relevante, proporcional e necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.2 - Limite de tratamento A organização deve limitar o tratamento de dados pessoais de tal forma que seja adequado, relevante e necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.3 - Precisão e qualidade A organização deve assegurar e documentar que o dados pessoais é preciso, completo e atualizado, como é necessário para os propósitos aos quais ele é tratado, por meio do ciclo de vida do dados pessoais. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.4 - Objetivos de minimização de dados pessoais A organização deve definir e documentar os objetivos da minimização dos dados e quais mecanismos (como a anonimização) são usados para atender àqueles objetivos. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.5 - Anonimização e exclusão de dados pessoais ao final do tratamento A organização deve excluir dados pessoais ou entregá-lo na forma que não permita a identificação ou reidentificação dos titulares de dados pessoais, uma vez que o dados pessoais original não é mais necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.6 - Arquivos temporários A organização deve assegurar que os arquivos temporários criados como um resultado de tratamento de dados pessoais sejam descartados (por exemplo, apagados ou destruídos)seguindo procedimentos documentados dentro de um período documentado, especificado. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.7 - Retenção A organização não pode reter o dados pessoais por um tempo maior do que é necessário para os propósitos para os quais o dados pessoais é tratado. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.8 - Descarte A organização deve ter políticas, procedimentos e/ou mecanismos documentados para o descarte de dados pessoais. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.9 - Controles de transmissão de dados pessoais A organização deve tratar dados pessoais transmitido (por exemplo, enviado para outra organização) que trafegue por uma rede de transmissão de dados, com controles apropriados concebidos para assegurar que os dados alcancem seus destinos pretendidos. Médio ISO/IEC 27701 Controladores
  • 5. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Privacy by design e Privacy by Default B.8.4.1 - Arquivos temporários A organização deve assegurar que os arquivos temporários criados como um resultado do tratamento de dados pessoais sejam descartados (por exemplo, apagados ou destruídos) seguindo os procedimentos documentados, dentro de um período especificado e documentado. Médio ISO/IEC 27701 Operadores Privacy by design e Privacy by Default B.8.4.2 - Retorno, transferência ou descarte de dados pessoais A organização deve fornecer a capacidade de retornar, transferir e/ou descartar dados pessoais de uma maneira segura. Deve também tornar sua política disponível para o cliente. Médio ISO/IEC 27701 Operadores Privacy by design e Privacy by Default B.8.4.3 - Controles de transmissão de dados pessoais A organização deve sujeitar dados pessoais transmitidos sobre uma rede de transmissão de dados a controles apropriados projetados, para assegurar que os dados alcancem seus destinos pretendidos. Médio ISO/IEC 27701 Operadores Relacionamento na cadeia de suprimento 6.12.1.2 - Identificar S.I. nos Fornecedores A organização deve especificar nos acordos com fornecedores se o dado pessoal é tratado e as medidas mínimas técnicas e organizacionais que o fornecedor precisa atender para que a organização cumpra com as suas as obrigações de proteção de dados pessoais e S.I.. Estes acordos estabelecem as responsabilidades entre a organização, seus parceiros, seus fornecedores e seus terceiros aplicáveis (clientes, fornecedores etc.),levando em conta o tipo de dado pessoal tratado. (Este controle é adicional a seção 15.1.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança das Operações 6.9.3.1 - Política de Backup A organização deve estabelecer uma política que considere os requisitos para cópia de segurança, recuperação e restauração de dados pessoais. (Este controle é adicional a seção 12.3.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança das Operações 6.9.4.1 - Registro de eventos As bases de processamento de Dados Pessoais da organização deve conter recursos de rastreabilidade de ações implementado, a fim de identificar as atividades realizadas por um usuário ou por um determinado grupo de usuários. O acesso a estes registros de eventos (logs) devem ser controlados. Quando possivel, os registros de eventos (logs) devem gravar o acesso ao dado pessoal, incluindo por quem, quando, qual titular do dado pessoal foi acessado e quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões), como um resultado do evento. (Este controle é adicional a seção 12.4.1 e 12.4.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança em recursos humanos 6.4.2.2 - Conscientizar, treinar e educar em S.I. Devem ser aplicados, de forma regular, treinamentos e ações de conscientização aos funcionários, sempre levando em consideração a S.I. e a Proteção de Dados Pessoais. (Este é um requisito adicional a seção 7.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança física e do ambiente 6.8.2.7 - Reutilização ou descarte seguro de equipamentos A organização deve assegurar que, quando um espaço de armazenamento é realocado, qualquer dados pessoais previamente guardado naquele espaço de armazenamento não seja acessível. Este controle é adicional a seção 11.2.7 da ABNT NBR ISO/IEC 27002:2013. Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança física e do ambiente 6.8.2.9 - Política de Tela e Mesa Limpa A organização deve estabelecer e divulgar internamente uma Política que contenha diretrizes de Tela e Mesa Limpa, restringindo, por exemplo, a exposição de material físico que contenha Dados Pessoais ao mínimo necessário para atender ao propósito do tratamento identificado. (Este controle é adicional a seção 11.2.9 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança nas comunicações 6.10.2.1 - Políticas e procedimentos para transferência de informações A organização deve considerar procedimentos para assegurar que regras relativas ao tratamento de dados pessoais são mandatórias por todo o sistema e fora dele, onde aplicável. (Este controle é adicional a seção 13.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança nas comunicações 6.10.2.4 - Acordos de Confidencialidade e Não-Divulgação A organização deve assegurar que os indivíduos que operam sob seu controle com acesso aos dados pessoais estejam sujeitos a um acordo obrigatório de confidencialidade (parceiros, fornecedores e prestadores de serviços, por exemplo). ( Este controle é adicional a seção 13.2.4 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002