Política de Subcontratante de Dados Pessoais na Nuvem

A Política de Subcontratante de Dados Pessoais na Nuvem define requisitos obrigatórios de privacidade para serviços na nuvem em que a organização atua como subcontratante de dados pessoais ou subcontratante subsequente. O seu âmbito inclui SaaS, PaaS, IaaS, aplicações alojadas, nuvem gerida, suporte na nuvem, armazenamento na nuvem, análise de dados na nuvem e serviços de infraestrutura na nuvem que tratam dados pessoais em nome de clientes. A política foi concebida para manter o tratamento na nuvem alinhado com acordos documentados com clientes, instruções dos clientes, instruções de subcontratantes a montante, acordos com subcontratantes subsequentes, configuração de região de cloud, acesso para suporte na nuvem, administração do serviço, cópia de segurança, replicação, registo, monitorização, apagamento, devolução, apoio em caso de violação de dados, suporte de auditoria e obrigações de assistência ao cliente. Uma finalidade central da política é o controlo orientado por evidência. Antes da integração de clientes ou de qualquer alteração material do serviço, o Responsável de Privacidade / Gestor do PIMS deve registar cada serviço de tratamento de dados pessoais na nuvem, função de tratamento, fonte de instrução do cliente, categorias de dados pessoais, categorias de titulares dos dados, finalidade do serviço, localização do tratamento, dependência de subcontratante subsequente, dependência de apagamento e indicador de transferência em REG02 e REG08. A política também exige que a aplicabilidade dos controlos do subcontratante na nuvem seja registada em REG03, que o encaminhamento de transferências e localizações seja captado em REG09 quando relevante, que os incidentes de dados pessoais na nuvem sejam geridos através de REG10 e que a monitorização, exceções, disputas, resultados de validação e ações corretivas sejam tratados através de REG12. Isto mantém as obrigações do subcontratante na nuvem integradas no conjunto existente de políticas do PIMS e evita a criação de registos separados para contratos, serviços, isolamento entre tenants, acesso, logs, apagamento, suporte, auditorias, violações de dados ou subcontratantes subsequentes. A política estabelece requisitos práticos ao longo do ciclo de vida do serviço na nuvem. Exige instruções documentadas do cliente ou do subcontratante a montante antes do início do tratamento, revisão de instruções que aparentem ser inconsistentes com obrigações ou com o âmbito de serviço aprovado, e aprovação antes de quaisquer dados pessoais de clientes serem tratados fora das instruções documentadas. Também aborda a configuração da nuvem e a evidência de segurança ao exigir limites de responsabilidade partilhada, validação do isolamento entre tenants, acesso administrativo controlado, revisão trimestral de acessos privilegiados e da cobertura de logs, separação de ambientes, e localizações registadas de cópias de segurança, replicação, armazenamento de logs e acesso para suporte. Estes requisitos estão deliberadamente ligados aos controlos de segurança de dados pessoais existentes, em vez de substituírem a Política de Segurança e Controlo de Acesso de Dados Pessoais mais ampla. A governação de subcontratantes subsequentes e da cadeia de fornecimento na nuvem é tratada como uma obrigação essencial do subcontratante. O Proprietário de Fornecedor / Aquisição deve registar subcontratantes subsequentes na nuvem, prestadores de infraestrutura, prestadores de alojamento, prestadores de serviços geridos, prestadores de suporte e outras dependências materiais de serviços na nuvem antes da utilização. A política exige evidência de autorização do cliente ou fundamento de autorização documentado, obrigações em cadeia relativas a privacidade, segurança, assistência, incidentes, devolução, apagamento, suporte de auditoria e transferências, e registos de localizações de serviço, localizações de suporte remoto, regiões de alojamento e encaminhamento de transferência ulterior. Também exige a notificação ao cliente de alterações previstas de subcontratantes subsequentes na nuvem dentro do prazo de aviso contratualmente exigido e, pelo menos, uma revisão anual dos registos ativos de subcontratantes subsequentes na nuvem e dependências na nuvem. A política também abrange assistência ao cliente, suporte de auditoria, interface de violação de dados, apagamento e saída. As obrigações de assistência ao cliente relativas a pedidos de exercício de direitos, apagamento, retificação, limitação, acesso, auditoria, apoio a AIPD e apoio em caso de violação de dados devem ser registadas antes da execução do contrato ou da ativação do serviço. O apoio a pedidos de exercício de direitos solicitado pelo cliente deve ser concluído no prazo acordado com o cliente, os pedidos de assistência relativos a AIPD ou avaliações com impacto significativo na privacidade devem ser revistos no prazo de dez dias úteis, e os pedidos de assistência em atraso ou contestados devem ser acompanhados. Para a saída, a política exige evidência da capacidade de exportação, devolução, transferência ou apagamento antes da integração ou de uma alteração material do serviço, conclusão nos prazos acordados com o cliente, inclusão de sistemas em produção, cópias de segurança, réplicas, logs, ficheiros temporários, ambientes de staging e cópias de suporte, e tratamento de não conformidade quando as obrigações não possam ser concluídas atempadamente. A governação é reforçada através de revisões trimestrais da completude da evidência, revisões anuais da política e de subcontratantes subsequentes, amostragem de auditoria, métricas, ações de aplicação e aprovação da alta direção para exceções e revisões materiais.