policy Enterprise

Política de Utilização da Nuvem

Assegure uma utilização segura, conforme e eficaz de serviços de nuvem com governação clara, controlos robustos e papéis definidos para cada ambiente.

Visão geral

A Política de Utilização da Nuvem define requisitos obrigatórios para a utilização segura e conforme de todos os serviços de nuvem, definindo papéis, controlos e governação para cada ambiente.

Segurança de nuvem abrangente

Impõe controlos baseados no risco, proteção de dados e conformidade contínua em todos os modelos e prestadores de serviços terceiros de serviços de nuvem.

Governação centralizada

Inclui um Registo de Serviços de Nuvem e responsabilização clara pela seleção do fornecedor, ciclo de vida e gestão de exceções às políticas.

Controlos de acesso rigorosos

Aplica autenticação multifator, controlo de acesso baseado em funções (RBAC), SSO e o princípio do menor privilégio para todas as contas privilegiadas e contas administrativas de nuvem.

Ler visão geral completa
A Política de Utilização da Nuvem (P27) fornece uma norma unificada e obrigatória para adotar, gerir e governar serviços de computação em nuvem, abrangendo os modelos Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Software-as-a-Service (SaaS). O seu objetivo é assegurar que toda a utilização organizacional de plataformas de nuvem é segura, está em conformidade com as obrigações regulamentares relevantes e suporta a eficiência operacional e a inovação, protegendo a confidencialidade, integridade e disponibilidade dos ativos de informação. O âmbito da política é abrangente, aplicando-se a todos os trabalhadores e prestadores de serviços, fornecedores terceiros e consultores envolvidos em qualquer provisionamento de acessos, configuração, administração ou utilização de serviços de nuvem. Este alcance estende-se a implementações de nuvem pública, privada, híbrida e comunitária, abrange todas as classificações de dados e inclui explicitamente tanto ambientes internos como ambientes alojados por fornecedores, bem como a prevenção de shadow IT e a utilização de nuvem pessoal para fins de negócio. Os principais objetivos da política incluem: definir orientações e linhas de base claras para a adoção de nuvem, minimizar riscos operacionais e regulamentares (como configurações incorretas, violação de dados e acesso não autorizado) e impor controlos robustos de segurança e privacidade através de obrigações contratuais, avaliação contínua e direitos de auditoria para todos os fornecedores de nuvem. A política exige a manutenção central de um Registo de Serviços de Nuvem, supervisionado pelo Diretor de Segurança da Informação (CISO), que cataloga fornecedores aprovados, tipos de serviço, classificações de risco, proprietários de negócio e atributos contratuais, suportando uma gestão rigorosa do ciclo de vida e monitorização contínua da conformidade. Os papéis e responsabilidades são delineados com precisão, atribuindo funções de gestão e supervisão à alta direção, ao Diretor de Segurança da Informação (CISO), ao Arquiteto de Segurança de Nuvem, às Operações de TI, à aquisição, ao Jurídico e Conformidade, aos Proprietários dos ativos de informação e aos utilizadores finais. A política aplica controlos técnicos e procedimentais rigorosos: gestão de identidades e acessos baseada em identidade (com controlo de acesso baseado em funções (RBAC) e autenticação multifator obrigatórios para contas administrativas), configurações de segurança de referência, cifragem (utilizando normas aprovadas pelo NIST), requisitos de registo de auditoria e integração de serviços de nuvem com sistemas de Security Information and Event Management (SIEM). Os contratos com fornecedores de nuvem devem abordar direitos de auditoria, prazos de notificação de violações notificáveis, devolução/eliminação de dados e monitorização contínua da conformidade. Os dados só podem ser transferidos para a nuvem após classificação de dados, e as transferências transfronteiriças devem cumprir regulamentos estabelecidos como o GDPR. A gestão de riscos é central: quaisquer desvios exigem exceções documentadas, planos de tratamento de riscos detalhados, aprovação pelo Diretor de Segurança da Informação (CISO) ou pelo Arquiteto de Segurança de Nuvem e revisão multinível para cenários de alto risco. A governação contínua é assegurada através de monitorização contínua da conformidade regular, integração com resposta a incidentes (escalonada através da Política de Resposta a Incidentes (P30)), revisões anuais e atualizações intercalares motivadas por resultados de incidentes, migração de sistemas ou alterações às políticas. Violações das disposições da política, como a utilização de contas de nuvem não autorizadas ou a negligência de controlos exigidos, desencadeiam um conjunto de consequências, desde formação até ação jurídica ou cessação. A Política de Utilização da Nuvem interliga-se com políticas relacionadas de segurança da informação, gestão de alterações, classificação e tratamento da informação, controlos criptográficos, registo e monitorização, resposta a incidentes e auditoria, reforçando ainda mais o seu papel como a base autoritativa de governação de nuvem.

Diagrama da Política

Diagrama da Política de Utilização da Nuvem que ilustra o registo centralizado de serviços, integração de fornecedores baseada no risco, controlos contratuais, salvaguardas técnicas, monitorização ativa e fluxo de trabalho de tratamento de exceções.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e regras de envolvimento

Devida diligência de fornecedores de nuvem

Controlo de acesso e requisitos de autenticação multifator

Registo de Serviços de Nuvem centralizado

Controlos de configuração e residência de dados

Integração com resposta a incidentes

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
5.235.245.25
NIST SP 800-53 Rev.5
AC-20SA-9(5)SC-12SC-13SC-14SC-15SC-16SC-17SC-18SC-19SC-20SC-21SC-22SC-23SC-24SC-25SC-26SC-27SC-28SR-5
EU GDPR
Article 28Article 32Chapter V
EU NIS2
Article 21(2)(f)Article 21(2)(i)
EU DORA
Article 5(2)Article 28
COBIT 2019
BAI04DSS01DSS05

Políticas relacionadas

Política de Monitorização de Auditoria e Conformidade

Suporta a prontidão para auditoria e a garantia contínua de que os controlos de nuvem são aplicados e monitorizados.

P01 Política de Segurança da Informação

Estabelece os princípios gerais que regem a operação segura de sistemas e serviços, que esta política aplica no contexto de nuvem.

P05 Política de Gestão de Mudanças

Todas as alterações de configuração de nuvem devem seguir os procedimentos de controlo de alterações descritos na P05.

Política de Classificação e Rotulagem de Dados

Determina como os dados são avaliados antes da transferência para a nuvem e como são aplicados controlos como cifragem e residência.

Política de Controlos Criptográficos

Fornece normas para cifragem, gestão de chaves e utilização de algoritmos criptográficos, aplicadas diretamente em configurações de serviços de nuvem.

Política de Registo e Monitorização

Especifica requisitos para recolha, retenção e análise de registos que devem ser aplicados em ambientes de nuvem.

Política de Resposta a Incidentes (P30)

Define escalonamento, contenção e ações de remediação para eventos de segurança relacionados com a nuvem.

Sobre as Políticas Clarysec - Política de Utilização da Nuvem

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escale com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e papéis indefinidos. Esta política foi concebida para ser a espinha dorsal operacional do seu programa de segurança. Atribuímos responsabilidades aos papéis específicos encontrados numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), as Equipas de TI e de Segurança da Informação e os comités relevantes, assegurando responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, auditar face a controlos específicos e personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Salvaguardas contratuais para fornecedores

Impõe cláusulas de direito de auditoria, residência de dados, prazos de notificação de violações notificáveis e continuidade do serviço em todos os contratos com fornecedores de nuvem.

Atribuição de papéis adaptada

Especifica responsabilidades para o Diretor de Segurança da Informação (CISO), Arquiteto de Segurança de Nuvem, Jurídico e Conformidade e Proprietários do serviço para gestão do ciclo de vida e conformidade.

Deteção automatizada de shadow IT

Exige monitorização ativa de rede, DNS e registos para identificar e responder à utilização não autorizada de nuvem.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade Governação

🏷️ Cobertura temática

Segurança de nuvem Gestão de conformidade Proteção de dados Gestão de riscos Gestão de risco de terceiros
€49

Compra única

Download instantâneo
Atualizações vitalícias
Cloud Usage Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7