SlideShare uma empresa Scribd logo
1 de 5
Baixar para ler offline
Pendente
Aceito
Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade
Aquisição, desenvolvimento e manutenção de
sistemas
6.11.2.1 - Política de Desenvolvimento Seguro
A organização, caso aplicável, deve estabelecer uma Política de Desenvolvimento Seguro que contribua
ativamente para os aspectos de privacy by design e privacy by default. (Este controle é adicional a seção 14.2.1,
14.2.5, 14.2.7 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Aquisição, desenvolvimento e manutenção de
sistemas
6.11.3.1 - Proteção dos dados para teste
A organização deve garantir que os testes em sistemas são realizados apenas com Dados Pessoais ou
Informações sintéticas. Onde o uso de Dados Pessoais ou informações sintéticas não puder ser evitado, convém
que sejam implementadas as mesmas medidas técnicas e organizacionais vigentes em Ambiente de Produção.
(Este controle é adicional a seção 14.3.1 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Compartilhamento, transferência e descarte de
dados pessoais
B.8.5.1 - Bases para a transferência de dados pessoais
entre jurisdições
A organização deve informar ao cliente em um tempo hábil sobre as bases para a transferência de dados
pessoais entre jurisdições e de qualquer mudança pretendida nesta questão, de modo que o cliente tenha a
capacidade de contestar estas mudanças ou rescindir o contrato.
Médio ISO/IEC 27701 Operadores
Compartilhamento, transferência e descarte de
dados pessoais
B.8.5.2 - Países e organizações internacionais para os
quais o dados pessoais podem ser transferidos
A organização deve especificar e documentar os países e as organizações internacionais para os quais dados
pessoais possam, possivelmente, ser transferidos.
Médio ISO/IEC 27701 Operadores
Compartilhamento, transferência e descarte de
dados pessoais
B.8.5.3 - Registros de dados pessoais divulgados para
terceiros
A organização deve registrar a divulgação de dados pessoais para terceiros, incluindo quais dados pessoais
foram divulgados, para quem e quando.
Médio ISO/IEC 27701 Operadores
Compartilhamento, transferência e descarte de
dados pessoais
B.8.5.4 - Notificação de solicitações de divulgação de
dados pessoais
A organização deve notificar ao cliente sobre quaisquer solicitações legalmente obrigatórias para a divulgação
de dados pessoais.
Médio ISO/IEC 27701 Operadores
Compartilhamento, transferência e descarte de
dados pessoais
B.8.5.5 - Divulgações legalmente obrigatórias de dados
pessoais
A organização deve rejeitar quaisquer solicitações para a divulgação de dados pessoais que não sejam
legalmente obrigatórias, consultar o cliente em questão antes de realizar quaisquer divulgações do dados
pessoais e aceitar quaisquer solicitações contratualmente acordadas para a divulgação de dados pessoais, que
sejam autorizadas pelo respectivo cliente.
Médio ISO/IEC 27701 Operadores
Compartilhamento, transferência e descarte de
dados pessoais
B.8.5.6 - Divulgação de subcontratados usados para
tratar dados pessoais
A organização deve divulgar para o cliente qualquer uso de subcontratados para tratar dados pessoais, antes do
uso.
Médio ISO/IEC 27701 Operadores
Compartilhamento, transferência e descarte de
dados pessoais
B.8.5.7 - Contratação de um subcontratado para tratar
dados pessoais
A organização deve somente contratar um subcontratado para tratar dados pessoais com base no contrato do
cliente.
Médio ISO/IEC 27701 Operadores
Compartilhamento, transferência e descarte de
dados pessoais
B.8.5.8 - Mudança de subcontratado para tratar dados
pessoais
A organização deve, no caso de ter uma autorização geral por escrito, informar o cliente de quaisquer
alterações pretendidas relativas à adição ou substituição de subcontratados no tratamento de dados pessoais,
dando assim ao cliente a oportunidade de se opor a essas alterações.
Médio ISO/IEC 27701 Operadores
Compartilhamento, transferência e divulgação
de dados pessoais
A.7.5.1 - Identificando as bases para a transferência de
dados pessoais entre jurisdições
A organização deve identificar e documentar as bases relevantes para a transferência de dados pessoais entre
jurisdições.
Médio ISO/IEC 27701 Controladores
Compartilhamento, transferência e divulgação
de dados pessoais
A.7.5.2 - Países e organizações internacionais para os
quais dados pessoais podem ser transferidos
A organização deve especificar e documentar os países e as organizações internacionais para os quais o dados
pessoais possam possivelmente ser transferidos.
Médio ISO/IEC 27701 Controladores
Compartilhamento, transferência e divulgação
de dados pessoais
A.7.5.3 - Registros de transferência de dados pessoais
A organização deve registrar a transferência de dados pessoais para ou de terceiros e assegurar a cooperação
com essas partes para apoiar futuras solicitações relativas às obrigações para os titulares de dados pessoais.
Médio ISO/IEC 27701 Controladores
Compartilhamento, transferência e divulgação
de dados pessoais
A.7.5.4 - Registro de divulgação de dados pessoais para
terceiros
A organização deve registrar a divulgação de dados pessoais para terceiros, incluindo qual dados pessoais foi
divulgado, para quem e quando.
Médio ISO/IEC 27701 Controladores
Compliance
6.15.1.1 - Identificação da legislação aplicável e de
requisitos contratuais
A organização deve identifiar quaisquer sanções legais potenciais (que podem resultar de algumas obrigações
que têm sido omitidas) relativas ao tratamento de dados pessoais, incluindo multas substanciais oriundas
diretamente da autoridade de supervisão local. (Este controle é adiconal a seção 18.1.1 ABNT NBR ISO/IEC
27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Compliance 6.15.1.3 - Proteção de registros
Pode ser requerida a análise crítica de políticas e de procedimentos atuais e históricos (por exemplo, nos casos
em que o cliente entre em litígio e em uma investigação por uma autoridade de supervisão). a organização
deve reter cópias de seus procedimentos e políticas de privacidade associados, por um período conforme
especificado na sua programação de retenção. Isto inclui a retenção de versões anteriores destes documentos,
quando eles são atualizados. (Este controle é adicional a seção 18.1.3 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Compliance 6.15.2 - Análise crítica da S.I.
Quando uma organização estiver atuando como um Operadores de dados pessoais, e onde auditorias
individuais de clientes forem impraticáveis ou puderem aumentar os riscos a segurança, convém que a
organização disponibilize aos clientes, antes de celebrar e durante a duração de um contrato, evidências
independentes de que a segurança de informação está implementada e é operada de acordo com os
procedimentos e as políticas da organização. (Este controle é adiconal a seção 18.2.1 ABNT NBR ISO/IEC
27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida
Checklist - LGPD
Aceito/Pendente/Corrigido
Pendente
Aceito
Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade
Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida
Checklist - LGPD
Aceito/Pendente/Corrigido
Compliance 6.15.2.3 - Análise crítica técnica do compliance
Como parte das análises críticas técnicas do compliance com as normas e políticas de segurança, convém que a
organização inclua métodos de análise crítica destas ferramentas e componentes relacionados ao tratamento
de dados pessoais. (Este controle é adiconal a seção 18.2.3 ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Condições para coleta e tratamento
A.7.2.1 - Identificação e documentação do propósito
específicos
A organização deve identificar e documentar os propósitos específicos pelos quais os dados pessoais serão
tratados.
Médio ISO/IEC 27701 Controladores
Condições para coleta e tratamento A.7.2.2 - Identificação de bases legais
A organização deve determinar, documentar e estar em compliance com a base legal pertinente para o
tratamento de dados pessoais para os propósitos identificados.
Médio ISO/IEC 27701 Controladores
Condições para coleta e tratamento
A.7.2.3 - Determinando quando e como o consentimento
deve ser obtido
A organização deve determinar e documentar um processo pelo qual ela possa demonstrar se, quando e como
o consentimento para o tratamento de dados pessoais foi obtido dos titulares de dados pessoais.
Médio ISO/IEC 27701 Controladores
Condições para coleta e tratamento A.7.2.4 - Obtendo e registrando o consentimento
A organização deve obter e registrar o consentimento dos titulares de dados pessoais de acordo com os
processos documentados.
Médio ISO/IEC 27701 Controladores
Condições para coleta e tratamento A.7.2.5 - Avaliação de impacto de privacidade
A organização deve avaliar a necessidade para, e implementar onde apropriado, uma avaliação de impacto de
privacidade quando novos tratamentos de dados pessoais ou mudanças ao tratamento existente de dados
pessoais forem planejados.
Médio ISO/IEC 27701 Controladores
Condições para coleta e tratamento A.7.2.6 - Contratos com Operadoreses de dados pessoais
A organização deve ter um contrato por escrito com qualquer Operadores de dados pessoais que ela utilize, e
deve assegurar que os seus contratos com os Operadoreses de dados pessoais contemplem a implementação
de controles apropriados, conforme descrito no Anexo B da ISO/IEC 27701.
Médio ISO/IEC 27701 Controladores
Condições para coleta e tratamento A.7.2.7 - Controlador conjunto de dados pessoais
A organização deve determinar as responsabilidades e respectivos papéis para o tratamento de dados pessoais
(incluindo a proteção de dados pessoais e os requisitos de segurança) com qualquer controlador conjunto de
dados pessoais.
Médio ISO/IEC 27701 Controladores
Condições para coleta e tratamento
A.7.2.8 - Registros relativos ao tratamento de dados
pessoais
A organização deve determinar e manter de forma segura os registros necessários ao suporte às suas
obrigações para o tratamento do dados pessoais.
Médio ISO/IEC 27701 Controladores
Condições para coleta e tratamento B.8.2.1 - Acordos com o cliente
A organização deve assegurar, onde pertinente, que o contrato para tratar dados pessoais considera os papéis
da organização em fornecer assistência com as obrigações do cliente (considerando a natureza do tratamento e
a informação disponível para a organização).
Médio ISO/IEC 27701 Operadores
Condições para coleta e tratamento B.8.2.2 - Propósitos da organização
A organização deve assegurar que os dados pessoais tratados em nome do cliente sejam apenas tratados para
o propósito expresso nas instruções documentadas do cliente.
Médio ISO/IEC 27701 Operadores
Condições para coleta e tratamento B.8.2.3 - Uso de marketing e propaganda
A organização não pode utilizar os dados pessoais tratados sob um contrato para o propósito de marketing e
propaganda, sem o estabelecimento de que um consentimento antecipado foi obtido do titular de dados
pessoais apropriado. A organização não pode fornecer este consentimento como uma condição para o
recebimento do serviço.
Médio ISO/IEC 27701 Operadores
Condições para coleta e tratamento B.8.2.4 - Violando instruções
A organização deve informar ao cliente se, na sua opinião, uma instrução de tratamento viola uma
regulamentação e/ou legislação aplicável.
Médio ISO/IEC 27701 Operadores
Condições para coleta e tratamento B.8.2.5 - Obrigações do cliente
A organização deve fornecer ao cliente informações apropriadas de tal modo que o cliente possa demonstrar
compliance com suas obrigações.
Médio ISO/IEC 27701 Operadores
Condições para coleta e tratamento
B.8.2.6 - Registros relativos ao tratamento de dados
pessoais
A organização deve determinar e manter os registros necessários para apoiar a demonstração do compliance
com suas obrigações (como especificado no contrato aplicável) para tratamento de dados pessoais realizado
em nome do cliente.
Médio ISO/IEC 27701 Operadores
Contexto da Organização 5.2.1 - Entendendo a organização e seu contexto
A organização deve determinar o seu papel como um controlador de dados pessoais (incluindo a condição de
controlador conjunto de dados pessoais) e/ou como um Operadores de dados pessoais. Determinando os seus
fatores externos e internos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar
os resultados pretendidos do seu sistema de gestão de privacidade.
Onde a organização atua em ambos os papéis (isto é, como um controlador e como um Operadores), papéis
separados devem ser determinados, cada qual estando sujeito a um conjunto separado de controles. O papel
da organização pode ser diferente para cada situação do tratamento dos dados pessoais, uma vez que isto
depende de quem determina os propósitos e meios de tratamento. (Este é um requisito adicional a seção 4.1
da ABNT NBR ISO/IEC 27001:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27001
Contexto da Organização
5.2.2 - Entendendo as necessidades e as expectativas das
partes interessadas
A organização deve incluir como partes interessadas, mas não se limitando a: titulares, autoridades
supervisoras, controladores de dados pessoais, Operadoreses de dados pessoas e seus subcontratados no seu
sistema de gestão de S.I.. (Este é um requisito adicional a seção 4.2 da ABNT NBR ISO/IEC 27001:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27001
Pendente
Aceito
Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade
Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida
Checklist - LGPD
Aceito/Pendente/Corrigido
Controle de Acesso 6.6.2.2 - Provisionamento de acesso para usuários
A organização deve possuir processos ou procedimentos para provisionar o acesso para usuários aos recursos
que processem Dados Pessoais (por exemplo, todo acesso a recursos que processem Dados Pessoais deve ser
aprovado pelo gestor da área; não reemitir logins e senhas, etc.. (Este controle é adicional a seção 9.2.2 da
ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Criptografia 6.7.1.1 - Política para o uso de controles criptográficos
A organização deve garantir que os canais de comunicação por onde podem transitar dados pessoais, ou que os
recursos (sistemas, pastas de rede, dispositivos removíveis) que possam estar processando dados pessoais,
recebam a criptografia adequada. (Este controle é adicional a seção 10.1.1 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Ativos 6.5.2.1 - Classificação da Informação
A organização deve estabelecer e publicar uma Política que oriente seus funcionários sobre a maneira correta
de se classificar uma informação diante de seu conteúdo e relevância para o negócio. (Este é um requisito
adicional a seção 8.2.1 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Ativos 6.5.2.2 - Rótulos e tratamento da informação
Todas as informações produzidas na organização, inclusive àquelas que incluam dados pessoais devem ser
devidamente classificadas e rotuladas. (Este é um requisito adicional a seção 8.2.2 da ABNT NBR ISO/IEC
27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Ativos 6.5.3.1 - Gerenciamento de Mídias
A organização deve documentar qualquer uso de mídia removível e/ou de dispositivos para o armazenamento
de dados pessoais. Mídia removível que é levada para fora do ambiente físico da organização está propensa à
perda, dano e acesso inapropriado. Criptografar a mídia removível aumenta o nível de proteção para o dados
pessoais, o que leva à redução dos riscos de privacidade e de segurança, caso a mídia removível seja
comprometida. (Este controle é adicional a seção 8.3.1, da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Ativos 6.5.3.2 - Descarte de Mídias
Onde mídias removíveis que armazenam dados pessoais forem descartadas, convém que procedimentos de
descarte seguros sejam incluídos na informação documentada e implementados para assegurar que dados
pessoais armazenados previamente não sejam acessíveis. Este controle é adicional a seção 8.3.2 da ABNT NBR
ISO/IEC 27002:2013.
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Ativos 6.5.3.3 - Transferência Física de Mídias
Quando mídias físicas são usadas para transferência da informação, a organizaçao deve registrar as entradas e
saídas das mídias físicas contendo dados pessoais, incluindo o tipo de mídia física, o receptor/remetente
autorizado, a data e o horário, e o número da mídia física. (Este controle é adicional a seção 8.3.3 da ISO/IEC
27001).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Incidentes de S.I. 6.13.1.1 - Responsabilidades e procedimentos
A organização deve definir um procedimento formal de Gestão de Incidentes que inclua papéis,
responsabilidades e procedimentos, seja para tratar de incidentes de S.I. ou incidentes que envolvam Dados
Pessoais. (Este controle é adiconal a seção 16.1.1 ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Incidentes de S.I. 6.13.1.5 - Resposta aos incidentes de S.I.
Todos os incidentes reportados devem ser solucionados em tempo hábil. Quando um incidente envolver Dados
Pessoais, uma análise crítica deve ser conduzida a fim de avaliar impactos e tempo de resposta. Os
procedimentos de respostas deve incluir notificações relevantes de registros, se necessário, pois, algumas
jurisdições estabelecem quando convém que a violação seja notificada à autoridade. (Este controle é adiconal
a seção 16.1.5 ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Liderança
5.3.3 - Determinando o escopo do sistema de gestão da
S.I.
Incluir o tratamento de dados pessoais no escopo do sistema de gestão da S.I. definido. Esta inclusão pode
requerer uma revisão do escopo. (Este é um requisito adicional a seção 4.3 da ABNT NBR ISO/IEC 27001:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27001
Obrigações para titulares de dados pessoais
A.7.3.1 - Determinando e cumprindo as obrigações para
os titulares de dados pessoais
A organização deve determinar e documentar suas obrigações regulatórias, legais e de negócios para os
titulares de dados pessoais, relativas ao tratamento de seus dados pessoais e fornecer meios para atender a
estas obrigações.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais
A.7.3.2 - Determinando as informações para os titulares
de dados pessoais
A organização deve determinar e documentar a informação a ser fornecida aos titulares de dados pessoais,
relativa ao tratamento de seus dados pessoais, e o tempo de tal disponibilização.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais
A.7.3.3 - Fornecendo informações aos titulares de dados
pessoais
A organização deve fornecer aos titulares de dados pessoais, de forma clara e facilmente acessível, informações
que identifiquem o controlador de dados pessoais e descrevam o tratamento de seus dados pessoais.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais
A.7.3.4 - Fornecendo mecanismos para modificar ou
cancelar o consentimento
A organização deve fornecer mecanismos para os titulares de dados pessoais para modificar ou cancelar os
seus consentimentos.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais
A.7.3.5 - Fornecendo mecanismos para negar o
consentimento ao tratamento de dados pessoais
A organização deve fornecer mecanismos para os titulares de dados pessoais para negar o consentimento ao
tratamento do seu dados pessoais.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais A.7.3.6 - Acesso, correção e/ou exclusão
A organização deve implementar políticas, procedimentos e/ou mecanismos para atender às suas obrigações
para os titulares de dados pessoais acessarem, corrigirem e/ou excluírem os seus dados pessoais.
Médio ISO/IEC 27701 Controladores
Pendente
Aceito
Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade
Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida
Checklist - LGPD
Aceito/Pendente/Corrigido
Obrigações para titulares de dados pessoais
A.7.3.7 - Obrigações dos controladores de dados pessoais
para informar aos terceiros
A organização deve informar aos terceiros com quem o dados pessoais foi compartilhado sobre qualquer
modificação, cancelamento ou desaprovação pertinente ao dados pessoais compartilhado, e implementar
políticas e procedimentos apropriados e/ou mecanismos para fazê-lo.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais A.7.3.8 - Fornecendo cópia do dados pessoais tratado
A organização deve ser capaz de fornecer uma cópia do dados pessoais que é tratado, quando requerido pelo
titular de dados pessoais.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais A.7.3.9 - Tratamento de solicitações
A organização deve definir e documentar políticas e procedimentos para tratamento e respostas, a solicitações
legítimas dos titulares de dados pessoais.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais A.7.3.10 - Tomada de decisão automatizada
A organização deve identificar e considerar as obrigações, incluindo obrigações legais, para os titulares de
dados pessoais, como resultado das decisões feitas pela organização que estejam relacionadas ao titular de
dados pessoais, baseadas unicamente no tratamento automatizado de dados pessoais.
Médio ISO/IEC 27701 Controladores
Obrigações para titulares de dados pessoais B.8.3.1 - Obrigações para os titulares de dados pessoais
A organização deve fornecer ao cliente meios para estar em compliance com suas obrigações relativas aos
titulares de dados pessoais.
Médio ISO/IEC 27701 Operadores
Organização da S.I. 6.3.1.1 - Responsabilidades e papéis da S.I.
A organização deverá designar uma pessoa ou uma área com o preparo necessário para responder
formalmente diante do órgão regulador a respeito de qualquer incidente envolvendo Dados Pessoais.
Recomenda-se que o encarregado reporte-se diretamente ao nível gerencial apropriado a fim de assegurar uma
efetiva gestão de riscos de privacidade. (Este é um requisito adicional a seção 6.1.1 da ABNT NBR ISO/IEC
27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Organização da S.I. 6.3.2.1 - Política para o uso de dispositivo móvel
A organização deve estabelecer uma Política que regule o uso de dispositivos móveis para fins profissionais e
relativos ao negócio, entendendo a importância de assegurar que o uso dos mesmos não conduza a um
comprometimento dos dados pessoais. (Este é um requisito adicional a seção 6.2.1 da ABNT NBR ISO/IEC
27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Planejamento 5.4.1.2 - Avaliação de riscos de S.I.
Criar uma metodologia de avaliação de riscos que considere riscos de segurança e privacidade. Para tratar os
riscos, os controles determinados no Anexo A da ABNT NBR ISO/IEC 27001:2013 e dos Anexos A e B da ISO/IEC
27701 devem ser considerados e justificados na declaração de aplicabilidade (Este controle é adicional a seção
ABNT NBR ISO/IEC 27001:2013, 6.1.2 c) 1), 6.1.2 d) 1) , 6.1.3 c) 6.1.3 d) 1).
Médio ISO/IEC 27701 Extensão ISO/IEC 27001
Políticas de S.I. 6.2.1.1 - Políticas para S.I.
Definir políticas de privacidade que estabeleçam diretrizes quanto à forma de coleta, finalidade e forma de
processamento de Dados Pessoais que possa vigorar de forma interna e externa na organização. (Este é um
requisito adicional a seção 5.1.1 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Privacy by design e Privacy by Default A.7.4.1 - Limite de coleta
A organização deve limitar a coleta de dados pessoais a um mínimo que seja relevante, proporcional e
necessário para os propósitos identificados.
Médio ISO/IEC 27701 Controladores
Privacy by design e Privacy by Default A.7.4.2 - Limite de tratamento
A organização deve limitar o tratamento de dados pessoais de tal forma que seja adequado, relevante e
necessário para os propósitos identificados.
Médio ISO/IEC 27701 Controladores
Privacy by design e Privacy by Default A.7.4.3 - Precisão e qualidade
A organização deve assegurar e documentar que o dados pessoais é preciso, completo e atualizado, como é
necessário para os propósitos aos quais ele é tratado, por meio do ciclo de vida do dados pessoais.
Médio ISO/IEC 27701 Controladores
Privacy by design e Privacy by Default A.7.4.4 - Objetivos de minimização de dados pessoais
A organização deve definir e documentar os objetivos da minimização dos dados e quais mecanismos (como a
anonimização) são usados para atender àqueles objetivos.
Médio ISO/IEC 27701 Controladores
Privacy by design e Privacy by Default
A.7.4.5 - Anonimização e exclusão de dados pessoais ao
final do tratamento
A organização deve excluir dados pessoais ou entregá-lo na forma que não permita a identificação ou
reidentificação dos titulares de dados pessoais, uma vez que o dados pessoais original não é mais necessário
para os propósitos identificados.
Médio ISO/IEC 27701 Controladores
Privacy by design e Privacy by Default A.7.4.6 - Arquivos temporários
A organização deve assegurar que os arquivos temporários criados como um resultado de tratamento de dados
pessoais sejam descartados (por exemplo, apagados ou destruídos)seguindo procedimentos documentados
dentro de um período documentado, especificado.
Médio ISO/IEC 27701 Controladores
Privacy by design e Privacy by Default A.7.4.7 - Retenção
A organização não pode reter o dados pessoais por um tempo maior do que é necessário para os propósitos
para os quais o dados pessoais é tratado.
Médio ISO/IEC 27701 Controladores
Privacy by design e Privacy by Default A.7.4.8 - Descarte
A organização deve ter políticas, procedimentos e/ou mecanismos documentados para o descarte de dados
pessoais.
Médio ISO/IEC 27701 Controladores
Privacy by design e Privacy by Default A.7.4.9 - Controles de transmissão de dados pessoais
A organização deve tratar dados pessoais transmitido (por exemplo, enviado para outra organização) que
trafegue por uma rede de transmissão de dados, com controles apropriados concebidos para assegurar que os
dados alcancem seus destinos pretendidos.
Médio ISO/IEC 27701 Controladores
Pendente
Aceito
Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade
Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida
Checklist - LGPD
Aceito/Pendente/Corrigido
Privacy by design e Privacy by Default B.8.4.1 - Arquivos temporários
A organização deve assegurar que os arquivos temporários criados como um resultado do tratamento de dados
pessoais sejam descartados (por exemplo, apagados ou destruídos) seguindo os procedimentos documentados,
dentro de um período especificado e documentado.
Médio ISO/IEC 27701 Operadores
Privacy by design e Privacy by Default
B.8.4.2 - Retorno, transferência ou descarte de dados
pessoais
A organização deve fornecer a capacidade de retornar, transferir e/ou descartar dados pessoais de uma
maneira segura. Deve também tornar sua política disponível para o cliente.
Médio ISO/IEC 27701 Operadores
Privacy by design e Privacy by Default B.8.4.3 - Controles de transmissão de dados pessoais
A organização deve sujeitar dados pessoais transmitidos sobre uma rede de transmissão de dados a controles
apropriados projetados, para assegurar que os dados alcancem seus destinos pretendidos.
Médio ISO/IEC 27701 Operadores
Relacionamento na cadeia de suprimento 6.12.1.2 - Identificar S.I. nos Fornecedores
A organização deve especificar nos acordos com fornecedores se o dado pessoal é tratado e as medidas
mínimas técnicas e organizacionais que o fornecedor precisa atender para que a organização cumpra com as
suas as obrigações de proteção de dados pessoais e S.I.. Estes acordos estabelecem as responsabilidades entre
a organização, seus parceiros, seus fornecedores e seus terceiros aplicáveis (clientes, fornecedores
etc.),levando em conta o tipo de dado pessoal tratado. (Este controle é adicional a seção 15.1.2 da ABNT NBR
ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Segurança das Operações 6.9.3.1 - Política de Backup
A organização deve estabelecer uma política que considere os requisitos para cópia de segurança, recuperação
e restauração de dados pessoais. (Este controle é adicional a seção 12.3.1 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Segurança das Operações 6.9.4.1 - Registro de eventos
As bases de processamento de Dados Pessoais da organização deve conter recursos de rastreabilidade de
ações implementado, a fim de identificar as atividades realizadas por um usuário ou por um determinado grupo
de usuários. O acesso a estes registros de eventos (logs) devem ser controlados. Quando possivel, os registros
de eventos (logs) devem gravar o acesso ao dado pessoal, incluindo por quem, quando, qual titular do dado
pessoal foi acessado e quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões),
como um resultado do evento. (Este controle é adicional a seção 12.4.1 e 12.4.2 da ABNT NBR ISO/IEC
27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Segurança em recursos humanos 6.4.2.2 - Conscientizar, treinar e educar em S.I.
Devem ser aplicados, de forma regular, treinamentos e ações de conscientização aos funcionários, sempre
levando em consideração a S.I. e a Proteção de Dados Pessoais. (Este é um requisito adicional a seção 7.2.2 da
ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Segurança física e do ambiente
6.8.2.7 - Reutilização ou descarte seguro de
equipamentos
A organização deve assegurar que, quando um espaço de armazenamento é realocado, qualquer dados
pessoais previamente guardado naquele espaço de armazenamento não seja acessível. Este controle é
adicional a seção 11.2.7 da ABNT NBR ISO/IEC 27002:2013.
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Segurança física e do ambiente 6.8.2.9 - Política de Tela e Mesa Limpa
A organização deve estabelecer e divulgar internamente uma Política que contenha diretrizes de Tela e Mesa
Limpa, restringindo, por exemplo, a exposição de material físico que contenha Dados Pessoais ao mínimo
necessário para atender ao propósito do tratamento identificado. (Este controle é adicional a seção 11.2.9 da
ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Segurança nas comunicações
6.10.2.1 - Políticas e procedimentos para transferência de
informações
A organização deve considerar procedimentos para assegurar que regras relativas ao tratamento de dados
pessoais são mandatórias por todo o sistema e fora dele, onde aplicável. (Este controle é adicional a seção
13.2.1 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002
Segurança nas comunicações 6.10.2.4 - Acordos de Confidencialidade e Não-Divulgação
A organização deve assegurar que os indivíduos que operam sob seu controle com acesso aos dados pessoais
estejam sujeitos a um acordo obrigatório de confidencialidade (parceiros, fornecedores e prestadores de
serviços, por exemplo). ( Este controle é adicional a seção 13.2.4 da ABNT NBR ISO/IEC 27002:2013).
Médio ISO/IEC 27701 Extensão ISO/IEC 27002

Mais conteúdo relacionado

Mais procurados

LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
Rosalia Ometto
 

Mais procurados (20)

LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEILGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - ESTRUTURA DA LEI
 
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO ...LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO ...
LGPD | FASE-1: PREPARAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO ...
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO...LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD - SISTEMA DE GESTÃO...
LGPD | FASE-2: ORGANIZAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO...
 
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By Design
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Cartilha lgpd anahp
Cartilha lgpd   anahpCartilha lgpd   anahp
Cartilha lgpd anahp
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
LGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
 
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD...LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO |  SGPD...
LGPD | FASE-3: DESENVOLVIMENTO & IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD...
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
 
LGPD Apostila
LGPD ApostilaLGPD Apostila
LGPD Apostila
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD Descomplicada
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
 

Semelhante a Checklist lgpd

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 

Semelhante a Checklist lgpd (20)

Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
14 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 201614 passos para o RGPD - It insight Outubro 2016
14 passos para o RGPD - It insight Outubro 2016
 
Implementar LGPD em centro espirita.pptx
Implementar LGPD em centro espirita.pptxImplementar LGPD em centro espirita.pptx
Implementar LGPD em centro espirita.pptx
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócioPrivacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
Privacidade e proteção de dados: aspectos relevantes para a gestão de um negócio
 
Frameworks_Privacidade.pdf
Frameworks_Privacidade.pdfFrameworks_Privacidade.pdf
Frameworks_Privacidade.pdf
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
Amilton Justino apresenta GDPR/LGPD - A Solução está nos Plugins?
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
ISO IEC 27001 - 2013
ISO IEC 27001 - 2013ISO IEC 27001 - 2013
ISO IEC 27001 - 2013
 
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
2017 FÓRUM DE DIRECTORES DE AUDITORIA INTERNA
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 

Mais de anselmo333 (9)

NR-35 - SLIDES COM PRIMEIROS SOCORROS.ppt
NR-35  - SLIDES COM PRIMEIROS SOCORROS.pptNR-35  - SLIDES COM PRIMEIROS SOCORROS.ppt
NR-35 - SLIDES COM PRIMEIROS SOCORROS.ppt
 
PCMSO Drogaria Imperial.pdf
PCMSO Drogaria Imperial.pdfPCMSO Drogaria Imperial.pdf
PCMSO Drogaria Imperial.pdf
 
LTCAT DROGARIA IMPERIAL LTDA.pdf
LTCAT DROGARIA IMPERIAL LTDA.pdfLTCAT DROGARIA IMPERIAL LTDA.pdf
LTCAT DROGARIA IMPERIAL LTDA.pdf
 
Modelo de acordo
Modelo de acordoModelo de acordo
Modelo de acordo
 
Atestado de capacidade tecnica consultoria
Atestado de capacidade tecnica consultoria Atestado de capacidade tecnica consultoria
Atestado de capacidade tecnica consultoria
 
Relatório de vendas diáias
Relatório de vendas diáiasRelatório de vendas diáias
Relatório de vendas diáias
 
Cartilha credito imobiliario
Cartilha credito imobiliarioCartilha credito imobiliario
Cartilha credito imobiliario
 
Cms files 6588_1444602474_me_missao-visao-valores
Cms files 6588_1444602474_me_missao-visao-valoresCms files 6588_1444602474_me_missao-visao-valores
Cms files 6588_1444602474_me_missao-visao-valores
 
Engenharia de Segurança do trabalho
Engenharia de Segurança do trabalhoEngenharia de Segurança do trabalho
Engenharia de Segurança do trabalho
 

Checklist lgpd

  • 1. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Aquisição, desenvolvimento e manutenção de sistemas 6.11.2.1 - Política de Desenvolvimento Seguro A organização, caso aplicável, deve estabelecer uma Política de Desenvolvimento Seguro que contribua ativamente para os aspectos de privacy by design e privacy by default. (Este controle é adicional a seção 14.2.1, 14.2.5, 14.2.7 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Aquisição, desenvolvimento e manutenção de sistemas 6.11.3.1 - Proteção dos dados para teste A organização deve garantir que os testes em sistemas são realizados apenas com Dados Pessoais ou Informações sintéticas. Onde o uso de Dados Pessoais ou informações sintéticas não puder ser evitado, convém que sejam implementadas as mesmas medidas técnicas e organizacionais vigentes em Ambiente de Produção. (Este controle é adicional a seção 14.3.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compartilhamento, transferência e descarte de dados pessoais B.8.5.1 - Bases para a transferência de dados pessoais entre jurisdições A organização deve informar ao cliente em um tempo hábil sobre as bases para a transferência de dados pessoais entre jurisdições e de qualquer mudança pretendida nesta questão, de modo que o cliente tenha a capacidade de contestar estas mudanças ou rescindir o contrato. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.2 - Países e organizações internacionais para os quais o dados pessoais podem ser transferidos A organização deve especificar e documentar os países e as organizações internacionais para os quais dados pessoais possam, possivelmente, ser transferidos. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.3 - Registros de dados pessoais divulgados para terceiros A organização deve registrar a divulgação de dados pessoais para terceiros, incluindo quais dados pessoais foram divulgados, para quem e quando. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.4 - Notificação de solicitações de divulgação de dados pessoais A organização deve notificar ao cliente sobre quaisquer solicitações legalmente obrigatórias para a divulgação de dados pessoais. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.5 - Divulgações legalmente obrigatórias de dados pessoais A organização deve rejeitar quaisquer solicitações para a divulgação de dados pessoais que não sejam legalmente obrigatórias, consultar o cliente em questão antes de realizar quaisquer divulgações do dados pessoais e aceitar quaisquer solicitações contratualmente acordadas para a divulgação de dados pessoais, que sejam autorizadas pelo respectivo cliente. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.6 - Divulgação de subcontratados usados para tratar dados pessoais A organização deve divulgar para o cliente qualquer uso de subcontratados para tratar dados pessoais, antes do uso. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.7 - Contratação de um subcontratado para tratar dados pessoais A organização deve somente contratar um subcontratado para tratar dados pessoais com base no contrato do cliente. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e descarte de dados pessoais B.8.5.8 - Mudança de subcontratado para tratar dados pessoais A organização deve, no caso de ter uma autorização geral por escrito, informar o cliente de quaisquer alterações pretendidas relativas à adição ou substituição de subcontratados no tratamento de dados pessoais, dando assim ao cliente a oportunidade de se opor a essas alterações. Médio ISO/IEC 27701 Operadores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.1 - Identificando as bases para a transferência de dados pessoais entre jurisdições A organização deve identificar e documentar as bases relevantes para a transferência de dados pessoais entre jurisdições. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.2 - Países e organizações internacionais para os quais dados pessoais podem ser transferidos A organização deve especificar e documentar os países e as organizações internacionais para os quais o dados pessoais possam possivelmente ser transferidos. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.3 - Registros de transferência de dados pessoais A organização deve registrar a transferência de dados pessoais para ou de terceiros e assegurar a cooperação com essas partes para apoiar futuras solicitações relativas às obrigações para os titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Compartilhamento, transferência e divulgação de dados pessoais A.7.5.4 - Registro de divulgação de dados pessoais para terceiros A organização deve registrar a divulgação de dados pessoais para terceiros, incluindo qual dados pessoais foi divulgado, para quem e quando. Médio ISO/IEC 27701 Controladores Compliance 6.15.1.1 - Identificação da legislação aplicável e de requisitos contratuais A organização deve identifiar quaisquer sanções legais potenciais (que podem resultar de algumas obrigações que têm sido omitidas) relativas ao tratamento de dados pessoais, incluindo multas substanciais oriundas diretamente da autoridade de supervisão local. (Este controle é adiconal a seção 18.1.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compliance 6.15.1.3 - Proteção de registros Pode ser requerida a análise crítica de políticas e de procedimentos atuais e históricos (por exemplo, nos casos em que o cliente entre em litígio e em uma investigação por uma autoridade de supervisão). a organização deve reter cópias de seus procedimentos e políticas de privacidade associados, por um período conforme especificado na sua programação de retenção. Isto inclui a retenção de versões anteriores destes documentos, quando eles são atualizados. (Este controle é adicional a seção 18.1.3 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Compliance 6.15.2 - Análise crítica da S.I. Quando uma organização estiver atuando como um Operadores de dados pessoais, e onde auditorias individuais de clientes forem impraticáveis ou puderem aumentar os riscos a segurança, convém que a organização disponibilize aos clientes, antes de celebrar e durante a duração de um contrato, evidências independentes de que a segurança de informação está implementada e é operada de acordo com os procedimentos e as políticas da organização. (Este controle é adiconal a seção 18.2.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido
  • 2. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Compliance 6.15.2.3 - Análise crítica técnica do compliance Como parte das análises críticas técnicas do compliance com as normas e políticas de segurança, convém que a organização inclua métodos de análise crítica destas ferramentas e componentes relacionados ao tratamento de dados pessoais. (Este controle é adiconal a seção 18.2.3 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Condições para coleta e tratamento A.7.2.1 - Identificação e documentação do propósito específicos A organização deve identificar e documentar os propósitos específicos pelos quais os dados pessoais serão tratados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.2 - Identificação de bases legais A organização deve determinar, documentar e estar em compliance com a base legal pertinente para o tratamento de dados pessoais para os propósitos identificados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.3 - Determinando quando e como o consentimento deve ser obtido A organização deve determinar e documentar um processo pelo qual ela possa demonstrar se, quando e como o consentimento para o tratamento de dados pessoais foi obtido dos titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.4 - Obtendo e registrando o consentimento A organização deve obter e registrar o consentimento dos titulares de dados pessoais de acordo com os processos documentados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.5 - Avaliação de impacto de privacidade A organização deve avaliar a necessidade para, e implementar onde apropriado, uma avaliação de impacto de privacidade quando novos tratamentos de dados pessoais ou mudanças ao tratamento existente de dados pessoais forem planejados. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.6 - Contratos com Operadoreses de dados pessoais A organização deve ter um contrato por escrito com qualquer Operadores de dados pessoais que ela utilize, e deve assegurar que os seus contratos com os Operadoreses de dados pessoais contemplem a implementação de controles apropriados, conforme descrito no Anexo B da ISO/IEC 27701. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.7 - Controlador conjunto de dados pessoais A organização deve determinar as responsabilidades e respectivos papéis para o tratamento de dados pessoais (incluindo a proteção de dados pessoais e os requisitos de segurança) com qualquer controlador conjunto de dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento A.7.2.8 - Registros relativos ao tratamento de dados pessoais A organização deve determinar e manter de forma segura os registros necessários ao suporte às suas obrigações para o tratamento do dados pessoais. Médio ISO/IEC 27701 Controladores Condições para coleta e tratamento B.8.2.1 - Acordos com o cliente A organização deve assegurar, onde pertinente, que o contrato para tratar dados pessoais considera os papéis da organização em fornecer assistência com as obrigações do cliente (considerando a natureza do tratamento e a informação disponível para a organização). Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.2 - Propósitos da organização A organização deve assegurar que os dados pessoais tratados em nome do cliente sejam apenas tratados para o propósito expresso nas instruções documentadas do cliente. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.3 - Uso de marketing e propaganda A organização não pode utilizar os dados pessoais tratados sob um contrato para o propósito de marketing e propaganda, sem o estabelecimento de que um consentimento antecipado foi obtido do titular de dados pessoais apropriado. A organização não pode fornecer este consentimento como uma condição para o recebimento do serviço. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.4 - Violando instruções A organização deve informar ao cliente se, na sua opinião, uma instrução de tratamento viola uma regulamentação e/ou legislação aplicável. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.5 - Obrigações do cliente A organização deve fornecer ao cliente informações apropriadas de tal modo que o cliente possa demonstrar compliance com suas obrigações. Médio ISO/IEC 27701 Operadores Condições para coleta e tratamento B.8.2.6 - Registros relativos ao tratamento de dados pessoais A organização deve determinar e manter os registros necessários para apoiar a demonstração do compliance com suas obrigações (como especificado no contrato aplicável) para tratamento de dados pessoais realizado em nome do cliente. Médio ISO/IEC 27701 Operadores Contexto da Organização 5.2.1 - Entendendo a organização e seu contexto A organização deve determinar o seu papel como um controlador de dados pessoais (incluindo a condição de controlador conjunto de dados pessoais) e/ou como um Operadores de dados pessoais. Determinando os seus fatores externos e internos que são pertinentes para o seu contexto e que afetam a sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão de privacidade. Onde a organização atua em ambos os papéis (isto é, como um controlador e como um Operadores), papéis separados devem ser determinados, cada qual estando sujeito a um conjunto separado de controles. O papel da organização pode ser diferente para cada situação do tratamento dos dados pessoais, uma vez que isto depende de quem determina os propósitos e meios de tratamento. (Este é um requisito adicional a seção 4.1 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Contexto da Organização 5.2.2 - Entendendo as necessidades e as expectativas das partes interessadas A organização deve incluir como partes interessadas, mas não se limitando a: titulares, autoridades supervisoras, controladores de dados pessoais, Operadoreses de dados pessoas e seus subcontratados no seu sistema de gestão de S.I.. (Este é um requisito adicional a seção 4.2 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001
  • 3. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Controle de Acesso 6.6.2.2 - Provisionamento de acesso para usuários A organização deve possuir processos ou procedimentos para provisionar o acesso para usuários aos recursos que processem Dados Pessoais (por exemplo, todo acesso a recursos que processem Dados Pessoais deve ser aprovado pelo gestor da área; não reemitir logins e senhas, etc.. (Este controle é adicional a seção 9.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Criptografia 6.7.1.1 - Política para o uso de controles criptográficos A organização deve garantir que os canais de comunicação por onde podem transitar dados pessoais, ou que os recursos (sistemas, pastas de rede, dispositivos removíveis) que possam estar processando dados pessoais, recebam a criptografia adequada. (Este controle é adicional a seção 10.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.2.1 - Classificação da Informação A organização deve estabelecer e publicar uma Política que oriente seus funcionários sobre a maneira correta de se classificar uma informação diante de seu conteúdo e relevância para o negócio. (Este é um requisito adicional a seção 8.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.2.2 - Rótulos e tratamento da informação Todas as informações produzidas na organização, inclusive àquelas que incluam dados pessoais devem ser devidamente classificadas e rotuladas. (Este é um requisito adicional a seção 8.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.1 - Gerenciamento de Mídias A organização deve documentar qualquer uso de mídia removível e/ou de dispositivos para o armazenamento de dados pessoais. Mídia removível que é levada para fora do ambiente físico da organização está propensa à perda, dano e acesso inapropriado. Criptografar a mídia removível aumenta o nível de proteção para o dados pessoais, o que leva à redução dos riscos de privacidade e de segurança, caso a mídia removível seja comprometida. (Este controle é adicional a seção 8.3.1, da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.2 - Descarte de Mídias Onde mídias removíveis que armazenam dados pessoais forem descartadas, convém que procedimentos de descarte seguros sejam incluídos na informação documentada e implementados para assegurar que dados pessoais armazenados previamente não sejam acessíveis. Este controle é adicional a seção 8.3.2 da ABNT NBR ISO/IEC 27002:2013. Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Ativos 6.5.3.3 - Transferência Física de Mídias Quando mídias físicas são usadas para transferência da informação, a organizaçao deve registrar as entradas e saídas das mídias físicas contendo dados pessoais, incluindo o tipo de mídia física, o receptor/remetente autorizado, a data e o horário, e o número da mídia física. (Este controle é adicional a seção 8.3.3 da ISO/IEC 27001). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Incidentes de S.I. 6.13.1.1 - Responsabilidades e procedimentos A organização deve definir um procedimento formal de Gestão de Incidentes que inclua papéis, responsabilidades e procedimentos, seja para tratar de incidentes de S.I. ou incidentes que envolvam Dados Pessoais. (Este controle é adiconal a seção 16.1.1 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Incidentes de S.I. 6.13.1.5 - Resposta aos incidentes de S.I. Todos os incidentes reportados devem ser solucionados em tempo hábil. Quando um incidente envolver Dados Pessoais, uma análise crítica deve ser conduzida a fim de avaliar impactos e tempo de resposta. Os procedimentos de respostas deve incluir notificações relevantes de registros, se necessário, pois, algumas jurisdições estabelecem quando convém que a violação seja notificada à autoridade. (Este controle é adiconal a seção 16.1.5 ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Liderança 5.3.3 - Determinando o escopo do sistema de gestão da S.I. Incluir o tratamento de dados pessoais no escopo do sistema de gestão da S.I. definido. Esta inclusão pode requerer uma revisão do escopo. (Este é um requisito adicional a seção 4.3 da ABNT NBR ISO/IEC 27001:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Obrigações para titulares de dados pessoais A.7.3.1 - Determinando e cumprindo as obrigações para os titulares de dados pessoais A organização deve determinar e documentar suas obrigações regulatórias, legais e de negócios para os titulares de dados pessoais, relativas ao tratamento de seus dados pessoais e fornecer meios para atender a estas obrigações. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.2 - Determinando as informações para os titulares de dados pessoais A organização deve determinar e documentar a informação a ser fornecida aos titulares de dados pessoais, relativa ao tratamento de seus dados pessoais, e o tempo de tal disponibilização. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.3 - Fornecendo informações aos titulares de dados pessoais A organização deve fornecer aos titulares de dados pessoais, de forma clara e facilmente acessível, informações que identifiquem o controlador de dados pessoais e descrevam o tratamento de seus dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.4 - Fornecendo mecanismos para modificar ou cancelar o consentimento A organização deve fornecer mecanismos para os titulares de dados pessoais para modificar ou cancelar os seus consentimentos. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.5 - Fornecendo mecanismos para negar o consentimento ao tratamento de dados pessoais A organização deve fornecer mecanismos para os titulares de dados pessoais para negar o consentimento ao tratamento do seu dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.6 - Acesso, correção e/ou exclusão A organização deve implementar políticas, procedimentos e/ou mecanismos para atender às suas obrigações para os titulares de dados pessoais acessarem, corrigirem e/ou excluírem os seus dados pessoais. Médio ISO/IEC 27701 Controladores
  • 4. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Obrigações para titulares de dados pessoais A.7.3.7 - Obrigações dos controladores de dados pessoais para informar aos terceiros A organização deve informar aos terceiros com quem o dados pessoais foi compartilhado sobre qualquer modificação, cancelamento ou desaprovação pertinente ao dados pessoais compartilhado, e implementar políticas e procedimentos apropriados e/ou mecanismos para fazê-lo. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.8 - Fornecendo cópia do dados pessoais tratado A organização deve ser capaz de fornecer uma cópia do dados pessoais que é tratado, quando requerido pelo titular de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.9 - Tratamento de solicitações A organização deve definir e documentar políticas e procedimentos para tratamento e respostas, a solicitações legítimas dos titulares de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais A.7.3.10 - Tomada de decisão automatizada A organização deve identificar e considerar as obrigações, incluindo obrigações legais, para os titulares de dados pessoais, como resultado das decisões feitas pela organização que estejam relacionadas ao titular de dados pessoais, baseadas unicamente no tratamento automatizado de dados pessoais. Médio ISO/IEC 27701 Controladores Obrigações para titulares de dados pessoais B.8.3.1 - Obrigações para os titulares de dados pessoais A organização deve fornecer ao cliente meios para estar em compliance com suas obrigações relativas aos titulares de dados pessoais. Médio ISO/IEC 27701 Operadores Organização da S.I. 6.3.1.1 - Responsabilidades e papéis da S.I. A organização deverá designar uma pessoa ou uma área com o preparo necessário para responder formalmente diante do órgão regulador a respeito de qualquer incidente envolvendo Dados Pessoais. Recomenda-se que o encarregado reporte-se diretamente ao nível gerencial apropriado a fim de assegurar uma efetiva gestão de riscos de privacidade. (Este é um requisito adicional a seção 6.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Organização da S.I. 6.3.2.1 - Política para o uso de dispositivo móvel A organização deve estabelecer uma Política que regule o uso de dispositivos móveis para fins profissionais e relativos ao negócio, entendendo a importância de assegurar que o uso dos mesmos não conduza a um comprometimento dos dados pessoais. (Este é um requisito adicional a seção 6.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Planejamento 5.4.1.2 - Avaliação de riscos de S.I. Criar uma metodologia de avaliação de riscos que considere riscos de segurança e privacidade. Para tratar os riscos, os controles determinados no Anexo A da ABNT NBR ISO/IEC 27001:2013 e dos Anexos A e B da ISO/IEC 27701 devem ser considerados e justificados na declaração de aplicabilidade (Este controle é adicional a seção ABNT NBR ISO/IEC 27001:2013, 6.1.2 c) 1), 6.1.2 d) 1) , 6.1.3 c) 6.1.3 d) 1). Médio ISO/IEC 27701 Extensão ISO/IEC 27001 Políticas de S.I. 6.2.1.1 - Políticas para S.I. Definir políticas de privacidade que estabeleçam diretrizes quanto à forma de coleta, finalidade e forma de processamento de Dados Pessoais que possa vigorar de forma interna e externa na organização. (Este é um requisito adicional a seção 5.1.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Privacy by design e Privacy by Default A.7.4.1 - Limite de coleta A organização deve limitar a coleta de dados pessoais a um mínimo que seja relevante, proporcional e necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.2 - Limite de tratamento A organização deve limitar o tratamento de dados pessoais de tal forma que seja adequado, relevante e necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.3 - Precisão e qualidade A organização deve assegurar e documentar que o dados pessoais é preciso, completo e atualizado, como é necessário para os propósitos aos quais ele é tratado, por meio do ciclo de vida do dados pessoais. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.4 - Objetivos de minimização de dados pessoais A organização deve definir e documentar os objetivos da minimização dos dados e quais mecanismos (como a anonimização) são usados para atender àqueles objetivos. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.5 - Anonimização e exclusão de dados pessoais ao final do tratamento A organização deve excluir dados pessoais ou entregá-lo na forma que não permita a identificação ou reidentificação dos titulares de dados pessoais, uma vez que o dados pessoais original não é mais necessário para os propósitos identificados. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.6 - Arquivos temporários A organização deve assegurar que os arquivos temporários criados como um resultado de tratamento de dados pessoais sejam descartados (por exemplo, apagados ou destruídos)seguindo procedimentos documentados dentro de um período documentado, especificado. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.7 - Retenção A organização não pode reter o dados pessoais por um tempo maior do que é necessário para os propósitos para os quais o dados pessoais é tratado. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.8 - Descarte A organização deve ter políticas, procedimentos e/ou mecanismos documentados para o descarte de dados pessoais. Médio ISO/IEC 27701 Controladores Privacy by design e Privacy by Default A.7.4.9 - Controles de transmissão de dados pessoais A organização deve tratar dados pessoais transmitido (por exemplo, enviado para outra organização) que trafegue por uma rede de transmissão de dados, com controles apropriados concebidos para assegurar que os dados alcancem seus destinos pretendidos. Médio ISO/IEC 27701 Controladores
  • 5. Pendente Aceito Causa Raiz Apontamento Descrição Severidade Categoria Status Aplicabilidade Esse documento é baseado na norma ABNT NBR ISO/IEC 27701:2019 versão corrigida Checklist - LGPD Aceito/Pendente/Corrigido Privacy by design e Privacy by Default B.8.4.1 - Arquivos temporários A organização deve assegurar que os arquivos temporários criados como um resultado do tratamento de dados pessoais sejam descartados (por exemplo, apagados ou destruídos) seguindo os procedimentos documentados, dentro de um período especificado e documentado. Médio ISO/IEC 27701 Operadores Privacy by design e Privacy by Default B.8.4.2 - Retorno, transferência ou descarte de dados pessoais A organização deve fornecer a capacidade de retornar, transferir e/ou descartar dados pessoais de uma maneira segura. Deve também tornar sua política disponível para o cliente. Médio ISO/IEC 27701 Operadores Privacy by design e Privacy by Default B.8.4.3 - Controles de transmissão de dados pessoais A organização deve sujeitar dados pessoais transmitidos sobre uma rede de transmissão de dados a controles apropriados projetados, para assegurar que os dados alcancem seus destinos pretendidos. Médio ISO/IEC 27701 Operadores Relacionamento na cadeia de suprimento 6.12.1.2 - Identificar S.I. nos Fornecedores A organização deve especificar nos acordos com fornecedores se o dado pessoal é tratado e as medidas mínimas técnicas e organizacionais que o fornecedor precisa atender para que a organização cumpra com as suas as obrigações de proteção de dados pessoais e S.I.. Estes acordos estabelecem as responsabilidades entre a organização, seus parceiros, seus fornecedores e seus terceiros aplicáveis (clientes, fornecedores etc.),levando em conta o tipo de dado pessoal tratado. (Este controle é adicional a seção 15.1.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança das Operações 6.9.3.1 - Política de Backup A organização deve estabelecer uma política que considere os requisitos para cópia de segurança, recuperação e restauração de dados pessoais. (Este controle é adicional a seção 12.3.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança das Operações 6.9.4.1 - Registro de eventos As bases de processamento de Dados Pessoais da organização deve conter recursos de rastreabilidade de ações implementado, a fim de identificar as atividades realizadas por um usuário ou por um determinado grupo de usuários. O acesso a estes registros de eventos (logs) devem ser controlados. Quando possivel, os registros de eventos (logs) devem gravar o acesso ao dado pessoal, incluindo por quem, quando, qual titular do dado pessoal foi acessado e quais mudanças (se houver alguma) foram feitas (adições, modificações ou exclusões), como um resultado do evento. (Este controle é adicional a seção 12.4.1 e 12.4.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança em recursos humanos 6.4.2.2 - Conscientizar, treinar e educar em S.I. Devem ser aplicados, de forma regular, treinamentos e ações de conscientização aos funcionários, sempre levando em consideração a S.I. e a Proteção de Dados Pessoais. (Este é um requisito adicional a seção 7.2.2 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança física e do ambiente 6.8.2.7 - Reutilização ou descarte seguro de equipamentos A organização deve assegurar que, quando um espaço de armazenamento é realocado, qualquer dados pessoais previamente guardado naquele espaço de armazenamento não seja acessível. Este controle é adicional a seção 11.2.7 da ABNT NBR ISO/IEC 27002:2013. Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança física e do ambiente 6.8.2.9 - Política de Tela e Mesa Limpa A organização deve estabelecer e divulgar internamente uma Política que contenha diretrizes de Tela e Mesa Limpa, restringindo, por exemplo, a exposição de material físico que contenha Dados Pessoais ao mínimo necessário para atender ao propósito do tratamento identificado. (Este controle é adicional a seção 11.2.9 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança nas comunicações 6.10.2.1 - Políticas e procedimentos para transferência de informações A organização deve considerar procedimentos para assegurar que regras relativas ao tratamento de dados pessoais são mandatórias por todo o sistema e fora dele, onde aplicável. (Este controle é adicional a seção 13.2.1 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002 Segurança nas comunicações 6.10.2.4 - Acordos de Confidencialidade e Não-Divulgação A organização deve assegurar que os indivíduos que operam sob seu controle com acesso aos dados pessoais estejam sujeitos a um acordo obrigatório de confidencialidade (parceiros, fornecedores e prestadores de serviços, por exemplo). ( Este controle é adicional a seção 13.2.4 da ABNT NBR ISO/IEC 27002:2013). Médio ISO/IEC 27701 Extensão ISO/IEC 27002