Fornecedores

• Certifique-se de que todos os contratos com fornecedores incluam cláusulas específicas sobre a proteção de dados pessoais.

• Exija que o fornecedor declare conformidade com a LGPD e adote boas práticas de segurança.

• Inclua termos que definam responsabilidades em caso de vazamento de dados ou descumprimento da lei.

• Se o fornecedor utilizar subcontratados, assegure-se de que eles também cumpram as exigências da LGPD.

• Inclua cláusulas contratuais que obriguem o fornecedor a supervisionar e garantir a conformidade de seus parceiros

• Verifique se o fornecedor possui políticas claras de privacidade e proteção de dados.

• Peça evidências de práticas de segurança, como certificações (ISO 27001, por exemplo) ou auditorias regulares.

• Solicite informações sobre como os dados serão armazenados, tratados e descartados.

• Limite o acesso do fornecedor aos dados estritamente necessários para a execução do serviço.

• Monitore como os dados são manipulados e compartilhe apenas o essencial para a operação.

• Exija que o fornecedor utilize sistemas seguros, como criptografia e autenticação multifator.

• Limite o acesso do fornecedor aos dados estritamente necessários para a execução do serviço.

• Monitore como os dados são manipulados e compartilhe apenas o essencial para a operação.

• Exija que o fornecedor utilize sistemas seguros, como criptografia e autenticação multifator.

• Realize auditorias regulares ou solicite relatórios para garantir que o fornecedor mantenha práticas de segurança alinhadas à LGPD.

• Monitore os serviços prestados para identificar riscos potenciais relacionados à proteção de dados.

• Oriente os fornecedores sobre as obrigações da LGPD e como suas práticas impactam sua organização.

• Ofereça orientações para alinhar suas práticas aos requisitos da lei.

Para os serviços de Provedor de e-mail, clientes que hoje possuem o sistema de arquivos em nuvem e trabalham basicamente com serviços Microsoft e Google, seguem os links para consultas a respeito da LGPD de cada plataforma.

Google : Mecanismos de Segurança do Google Workspace

1. Segurança Física e Infraestrutura

• Os data centers do Google contam com segurança física reforçada: monitoramento 24x7, acesso controlado por biometria e estrutura redundante em várias regiões: EUA e Europa.

• Toda a infraestrutura :servidores, rede e hardware  é própria e otimizada pelo Google.

2. Criptografia

• Os dados ficam criptografados tanto em repouso quanto em trânsito (TLS).

• Também há suporte ao uso de S/MIME para criptografia ponta-a-ponta em e-mails (opcional).:

3. Gerenciamento de Identidade e Acesso

• Autenticação em duas etapas (2FA) disponível para todos os usuários.

• Suporte a chaves de segurança físicas (FIDO/U2F - ex: tokens,cartões e/ou biometrias).

• Integração com SSO via SAML 2.0 (ex: login com conta de rede/AD).

4. Administração e Controles

• Console de administração centralizado, com registro de logs e auditorias.

• DLP (Data Loss Prevention): disponível apenas para clientes da edição Enterprise. Permite criar regras para evitar vazamento de dados sensíveis.

• Gerenciamento de dispositivos móveis (MDM): permite aplicar políticas de segurança em celulares e tablets.

5. Proteção contra Ameaças

• Filtros avançados contra spam, phishing e malware, com inteligência artificial.

• Proteções específicas para links e anexos suspeitos.

• Sandbox para análise de arquivos (recurso também exclusivo da edição Enterprise).

6. Privacidade e Conformidade

• O Google Workspace segue normas internacionais como ISO 27001, SOC 2/3, GDPR, HIPAA, entre outras.

• Os dados dos usuários não são utilizados para fins publicitários.

• A plataforma mantém total transparência quanto ao armazenamento e uso dos dados.

 Links Oficiais do Google Workspace

• Segurança do Google Workspace (Visão Geral Oficial)
  https://workspace.google.com/security/

• Centro de Confiança do Google (Trust Center)
  https://cloud.google.com/security

• Criptografia no Google Cloud
  https://cloud.google.com/security/encryption

• Conformidade e Certificações do Google Workspace
  https://cloud.google.com/security/compliance

• Documentação técnica sobre Segurança do Workspace (Admin Help)
  https://support.google.com/a/topic/7585307

Microsoft 365 : Mecanismos de Segurança dos serviços Microsoft Office 365

1. Segurança Física e de Infraestrutura

• Os data centers da Microsoft contam com segurança física avançada, controle de acesso rigoroso, monitoramento 24x7 e redundância geográfica.

• A infraestrutura é própria e gerida pela Microsoft, com foco em resiliência e continuidade

2. Criptografia

• Criptografia em repouso com BitLocker e outras tecnologias de proteção de disco.

• Criptografia em trânsito com TLS.

• Suporte a S/MIME para e-mails com criptografia ponta-a-ponta (configurável).

• Recursos adicionais como Microsoft Purview Message Encryption, que permite criptografar e-mails e controlar permissões ( Somente para versões E5 ou E3 com add-on).

3. Gerenciamento de Identidade e Acesso

• Autenticação multifator (MFA) nativa via Azure AD.

• Suporte a autenticação com dispositivos físicos (FIDO2, chaves de segurança).

• Single Sign-On (SSO) com Azure AD, integração com Active Directory local.

• Políticas de acesso condicional (disponíveis a partir do Azure AD P1).

4. Administração e Controles

• Portal de administração centralizado (Microsoft 365 Admin Center e Security & Compliance Center).

• Logs de auditoria e trilhas de acesso.

• DLP (Data Loss Prevention): permite criar políticas para evitar o vazamento de informações sensíveis por e-mail, SharePoint, OneDrive e Teams (recurso incluído em E5 ou como add-on no E3).

• Gerenciamento de dispositivos com Microsoft Intune (parte do EMS ou Microsoft 365 Business Premium).

5. Proteção contra Ameaças

• Filtros anti-spam e anti-phishing com uso de inteligência artificial (Exchange Online Protection – incluso em todos os planos).
  Microsoft Defender for Office 365 (incluído no E5 ou como add-on):

  • Proteção contra links maliciosos (Safe Links).

  • Verificação de anexos (Safe Attachments).

  • Análise em sandbox para e-mails suspeitos.

  • Simulações de ataque (phishing, malware, etc).
    
    

6. Privacidade e Conformidade

• Conformidade com normas e certificações globais: ISO 27001, SOC 1/2/3, GDPR, HIPAA, FedRAMP, etc.

• Os dados dos clientes são usados exclusivamente para prestação de serviço (sem uso para fins publicitários).

• Transparência sobre processamento e localização dos dados.

• Recursos avançados com o Microsoft Purview: governança, auditoria, retenção e eDiscovery (dependendo do plano).
  
  

Links úteis para referência oficial:

• Segurança no Microsoft 365
  https://support.microsoft.com/pt-br/office/recursos-e-configura%C3%A7%C3%B5es-de-seguran%C3%A7a-7f0d4067-e88a-4a52-8613-3937ba29bda3

• Centro de Confiabilidade da Microsoft
  https://www.microsoft.com/pt-br/trust-center

• Criptografia de mensagens
  https://learn.microsoft.com/en-us/purview/email-encryption

• DLP no Microsoft Purview
  https://learn.microsoft.com/en-us/purview/dlp-learn-about-dlp

• Microsoft Defender for Office 365
  https://learn.microsoft.com/en-us/defender-office-365/mdo-about

Demais serviços Microsoft 

OneDrive: oferece diversas medidas de segurança para proteger seus dados:

• Verificação de vírus no download;

• Monitoramento de atividades suspeitas;

• Detecção e recuperação de ransomware;

• Histórico de versões;

• Links protegidos e com expiração;

• Notificação de exclusão em massa;

Cofre Pessoal: Área protegida que exige autenticação forte, como biometria ou códigos, com recursos como:

• Verificação direta no Cofre: Permite salvar fotos e documentos sensíveis diretamente no Cofre.

• Criptografia BitLocker;

• Bloqueio automático.

SharePoint: oferece uma ampla gama de recursos de segurança para proteger os dados e gerenciar o acesso, garantindo que as informações estejam seguras na nuvem e dentro da organização. Aqui estão os principais recursos de segurança do SharePoint:

• Controle de Acesso;

• Gerenciamento de Permissões;

• Acesso Condicional;

• Autenticação Multifator (MFA);

• Proteção de Dados;

• Criptografia;

• Rótulos de Sensibilidade;

• Gerenciamento de Direitos de Informação (IRM);

• Monitoramento e Detecção;

• Proteção contra Ameaças.