Surfix obtém certificações ISO 27001 e ISO 27701

Imagem com fundo azul e selos da ISO 27001 e ISO 27701
Facebook
X | Twitter
LinkedIn
WhatsApp
Telegram

Índice

Além de ser o primeiro e único Data Center com certificação Tier III de Pernambuco, agora a Surfix também pode se orgulhar de obter as certificações ISO 27001 e ISO 27701.

A ISO 27001, bem como a ISO 27701, foram conferidas pela QMS Certification, organismo de certificação de origem australiana, com matriz nos EUA e atuação e presença global em mais de 30 países.

ISO 27001 e seus requisitos

A ISO 27001 é uma norma internacional que especifica os requisitos para a criação, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). 

Dessa forma, seu objetivo principal é garantir que as empresas que possuem a ISO 27001 têm todas as condições de segurança para proteger informações sensíveis de ameaças, como perda, roubo ou corrupção de dados. 

A ISO 27001 pode ser obtida por empresas de qualquer tamanho e setor, após passar por auditoria interna e de certificação, e abrange todos os tipos de informações: digitais, físicas, ou até conversas verbais.

Requisitos para obtenção da ISO 27001

Para conquistar a certificação da ISO 27001, a empresa precisa atender a uma série de requisitos estabelecidos pela norma. Esses requisitos se concentram principalmente na criação e operação de um SGSI robusto. Alguns dos principais pontos são:

  • Contexto da Organização: a empresa deve identificar questões internas e externas que possam impactar a segurança da informação e definir as partes interessadas e suas expectativas.
  • Liderança: a alta direção deve demonstrar comprometimento com a segurança da informação, assegurando que o SGSI seja integrado nos processos da organização. Eles devem também definir uma política de segurança da informação clara.
  • Planejamento: a organização deve planejar como abordar os riscos e oportunidades relacionados à segurança da informação, definindo medidas para tratá-los.
  • Suporte: recursos adequados (humanos, tecnológicos, etc.) devem ser fornecidos para manter o SGSI. Os colaboradores devem ser treinados e conscientizados sobre suas responsabilidades em relação à segurança da informação.
  • Operação: a empresa deve implementar os controles e medidas de segurança definidos, garantindo que todos os processos estejam protegidos conforme os requisitos da norma.
  • Avaliação de Desempenho: monitoramento contínuo é essencial. A organização deve medir, analisar e avaliar a eficácia do SGSI por meio de auditorias internas regulares.
  • Melhoria Contínua: é necessário que a organização trate as não conformidades e implemente ações corretivas para melhorar o SGSI ao longo do tempo.
  • Controles de Segurança (Anexo A): a ISO 27001 inclui também o Anexo A, que lista inúmeros controles de segurança, como controle de acesso, criptografia, segurança física, etc. Embora não seja obrigatório implementar todos, a empresa deve justificar quais são aplicáveis ao seu contexto e aos riscos identificados.

Benefícios da Certificação ISO 27001

  1. Melhoria na segurança de dados: Assegura que a organização adote as melhores práticas para proteger suas informações.
  2. Conformidade legal: Ajuda as empresas a cumprirem regulamentos de proteção de dados (como LGPD e GDPR).
  3. Vantagem competitiva: Ter a certificação ISO 27001 fortalece a imagem da empresa e ajuda a atrair clientes que valorizam a segurança da informação.
  4. Redução de riscos: Minimiza a possibilidade de ciberataques, vazamentos de dados e outras ameaças.

ISO 27701 e seus requisitos

A ISO 27701 é uma extensão da ISO 27001, que especifica os requisitos e orientações para a implementação de um Sistema de Gestão da Privacidade da Informação (SGPI). 

Assim, a certificação tem como propósito a proteção da privacidade e a gestão adequada de dados pessoais (PII – Personally Identifiable Information). A norma é projetada para ajudar as organizações a cumprirem regulamentos de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e a Lei Geral de Proteção de Dados (LGPD) no Brasil.

Requisitos da ISO 27701

A ISO 27701 estende os requisitos da ISO 27001, adicionando controles específicos relacionados à privacidade. Para implementar um Sistema de Gestão da Privacidade da Informação, as organizações devem seguir um conjunto de diretrizes, complementando seu Sistema de Gestão de Segurança da Informação (SGSI). Os principais requisitos incluem:

  • Contexto Organizacional e Partes Interessadas: as organizações precisam identificar todos os envolvidos no tratamento de dados pessoais, como controladores e processadores de dados. Devem também entender os requisitos regulatórios aplicáveis à privacidade de dados.
  • Políticas e Procedimentos de Privacidade: a empresa deve desenvolver políticas e procedimentos claros relacionados à privacidade de dados, que descrevam como a coleta, armazenamento, processamento e compartilhamento de dados pessoais são gerenciados de forma segura.
  • Funções e Responsabilidades: a organização deve definir papéis e responsabilidades relacionados à proteção de dados pessoais, incluindo a nomeação de um Encarregado de Proteção de Dados (Data Protection Officer, DPO), conforme necessário.
  • Identificação e Avaliação de Riscos de Privacidade: as organizações devem conduzir avaliações de risco relacionadas à privacidade, para identificar potenciais ameaças à segurança e ao tratamento de dados pessoais. Devem estabelecer controles para mitigar esses riscos.
  • Direitos dos Titulares de Dados: a organização precisa implementar processos que garantam os direitos dos titulares de dados (como o direito de acesso, correção, exclusão, entre outros) e assegurar que os dados pessoais sejam tratados conforme o consentimento apropriado.
  • Transparência e Comunicação: é necessário garantir que as partes interessadas sejam informadas sobre como seus dados pessoais estão sendo coletados e utilizados. A organização também deve manter uma comunicação clara sobre suas práticas de privacidade.
  • Gerenciamento de Incidentes de Privacidade: a organização deve ter um processo robusto para identificar, relatar e responder a incidentes de violação de dados pessoais, assegurando que todas as notificações legais sejam feitas conforme exigido pelos regulamentos.
  • Contratos com Terceiros: ao trabalhar com parceiros ou terceiros que tratam dados pessoais, a organização deve garantir que existam contratos e acordos que protejam os dados e definam as responsabilidades das partes envolvidas.
  • Treinamento e Conscientização: os colaboradores devem ser treinados em relação às políticas de privacidade e às melhores práticas para garantir a conformidade com a legislação de proteção de dados e os requisitos internos.
  • Controles: a ISO 27701 apresenta um conjunto de controles específicos para ajudar as organizações a atenderem aos requisitos de privacidade. Esses controles são divididos para dois tipos de entidades:
    • Controladores de Dados: São as organizações que determinam como e por que os dados pessoais serão processados.
    • Processadores de Dados: São as entidades que processam dados pessoais em nome de um controlador de dados.

Cada entidade deve seguir orientações e controles específicos de acordo com sua função na cadeia de tratamento de dados.

Benefícios da Certificação ISO 27701

  1. Conformidade com Leis de Privacidade: A certificação ajuda a garantir a conformidade com regulamentos como a GDPR e a LGPD, evitando multas e sanções legais.
  2. Melhora na Proteção de Dados Pessoais: A organização adota práticas avançadas de proteção de dados, minimizando o risco de vazamentos ou uso indevido de informações.
  3. Confiança dos Clientes: Demonstrar conformidade com a ISO 27701 aumenta a confiança dos clientes e partes interessadas, mostrando que a privacidade é uma prioridade.
  4. Vantagem Competitiva: Organizações certificadas pela ISO 27701 são mais atraentes para parceiros comerciais e clientes que dão valor à privacidade de dados, criando oportunidades de negócios.

Conclusão

A ISO 27001 e a ISO 27701 são um grande ganho para a Surfix e todos os seus clientes, sendo um verdadeiro motivo de orgulho. Elas indicam que a empresa atende não somente aos padrões de infraestrutura recomendados, mas também às elevadas diretrizes de Gestão de Segurança e Privacidade da Informação internacionais exigidas aos ambientes de TI.

Não encontrou o que precisava?

Se sua necessidade específica não foi mencionada aqui, não se preocupe. Clique aqui para falar com um de nossos especialistas, que estão prontos para atender e criar soluções sob medida para o seu negócio.