Você está na página 1de 12

Questões de Privacidade

Gestão de informações pessoais


com a ISO/IEC 27701
Um whitepaper do BSI para os negócios
Questões de privacidade

Introdução
A digitalização, globalização e personalização dos serviços, desde a marcação de uma consulta médica até o
serviço bancário pela Internet, levaram a uma maior recolha e processamento de informações pessoais do
que nunca antes. E esta tendência está crescendo à medida que surgem oportunidades para novos serviços,
e novos intervenientes entram no mercado.

Existem agora tantas plataformas diferentes que as pessoas utilizam Dentro da Europa, a introdução do Regulamento Geral de
como parte da sua rotina diária onde são recolhidas informações Proteção de Dados (GDPR) proporciona uma harmonização
pessoais, tais como o crescimento de aplicativos móveis, esquemas das leis de privacidade de dados que refletem as realidades do
de fidelização, dispositivos conectados e publicidade baseada em mundo digital em que vivemos atualmente.
localização. Isto significa que estamos entregando nossos dados
regularmente sem pensar, criando mais fluxos de dados do que Muitos outros países, como a Coreia, Austrália e China, também
nunca. E quer se trate de sites de encontros, fornecedores de estão criando legislação de proteção de dados. Em antecipação
telecomunicações ou organizações de serviço público, mal passa ao crescente ambiente regulatório e à necessidade de um
um dia quando você olha para as notícias e não vê referência conjunto comum de conceitos para abordar a proteção de
a uma violação de dados onde os registros pessoais foram dados pessoais, a Organização Internacional de Normalização
comprometidos. Isto só tem aumentado o foco nas questões que (ISO) e a Comissão Eletrotécnica Internacional (IEC) tomaram
envolvem o uso indevido de informações pessoais, o que significa a iniciativa de criar normas para fornecer tal orientação. Essas
que as organizações não podem se dar ao luxo de ser complacentes. normas têm o benefício de fornecer estruturas para ajudar
as organizações a demonstrar a proteção de dados pessoais
Uma maior consciência destas questões tem levado a uma e a conformidade da privacidade com diferentes leis em um
crescente preocupação, tanto entre indivíduos como entre cenário regulatório em mudança. A certificação também pode
governos, sobre como os dados pessoais são recolhidos, utilizados ser uma ferramenta útil para que as organizações agreguem
e protegidos; em resposta, alguns governos propuseram ou credibilidade ao seu compromisso com a privacidade e
promulgaram novos regulamentos destinados a fornecer obrigações relacionadas.
orientações e requisitos para o tratamento de dados pessoais.
bsigroup.com

Gestão de informações pessoais


Dado o ambiente dinâmico no qual operamos, a necessidade de orientação sobre como as organizações devem gerenciar e
processar dados para reduzir o risco à informação pessoal está se tornando mais importante. A orientação, na forma de uma nova
norma internacional, sobre como as organizações devem gerenciar informações pessoais e ajudar a demonstrar a conformidade
com regulamentos de privacidade atualizados em todo o mundo é, portanto, muito poderosa. É por isso que a ISO/IEC 27701 para a
gestão de privacidade de informações foi desenvolvida.

O que é a ISO/IEC 27701?


Esta nova norma internacional é oficialmente chamada ISO/IEC 27701 é uma extensão de privacidade para ISO/IEC 27001
ISO/IEC 27701 (Técnicas de segurança - Extensão para e ISO/IEC 27002 e fornece orientações adicionais para a proteção
ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de da privacidade, que é potencialmente afetada pela recolha e
privacidade - Requisitos e diretrizes). processamento de informações pessoais. O objetivo do projeto
é melhorar o SGSI existente com requisitos adicionais a fim de
estabelecer, implementar, manter e melhorar continuamente
Como muitas organizações implementaram um Sistema de Gestão um Sistema de Gerenciamento de Informações de Privacidade
de Segurança da Informação (SGSI) baseado na ISO/IEC 27001 e (SGPIPP). O padrão delineia uma estrutura para controladores de
utilizando a orientação da ISO/IEC 27002, é um passo natural para informações pessoais identificáveis (IPI) e processadores de IPI para
fornecer orientação para a proteção da privacidade que se baseia gerenciar controles de privacidade de forma que o risco aos direitos
nesta forte base. de privacidade individuais seja reduzido (consulte a Tabela 1). Esses
requisitos e orientações adicionais são escritos de forma que sejam
práticos e utilizáveis por organizações de todos os tamanhos e
ambientes culturais..

Tabela 1 - Funções de gestão de informação pessoal

Controlador IPI Processador IPI


Recolhe informação pessoal e determina os fins para os Processa informações pessoais em nome e somente de
quais são processadas. acordo com as instruções do controlador IPI.
Mais de uma organização pode agir como controlador IPI,
muitas vezes conhecido como co-controlador, e é aqui que
os acordos de partilha de dados podem ser necessários.

Como a ISO/IEC 27701 ajuda os Controladores IPI Como a ISO/IEC 27701 ajuda os Processadores IPI

• Fornece orientação sobre as melhores práticas • Fornece orientação sobre as melhores práticas
• Proporciona transparência entre os controladores IPI • Dá garantias aos clientes de que o IPI é gerido
eficazmente
• Fornece uma forma eficaz de gerir os processos de IPI

3
Questões de privacidade

ISO/IEC 27701 desenvolvendo a norma


A ISO/IEC 27701 foi elaborada pelo Grupo de Trabalho ISO/IEC responsável pela ‘Tecnologias de Gestão de Identidade e
Privacidade’. Seu desenvolvimento foi liderado por um Editor de Projeto nomeado pelo BSI e o BSI foi nomeado pelo Governo do
Reino Unido como o Organismo Nacional de Normas e representou os interesses do Reino Unido tanto na ISO como na IEC.

Pretende-se que as organizações se certifiquem para a ISO/IEC 27701 como uma extensão do sistema de gestão ISO/IEC 27001. Em
outras palavras, as organizações que pretendem buscar uma certificação ISO/IEC 27701 também precisarão de uma certificação ISO/
IEC 27001. Isso demonstra o compromisso tanto com a segurança da informação quanto com a gestão da privacidade.

Como a ISO/IEC 27701 se encaixa


Os requisitos e orientações para a proteção de informações (incluindo os que utilizam processadores IPI subcontratados).
pessoais variam de acordo com o contexto da organização e Uma organização que cumpra os requisitos da ISO/IEC 27701 irá
onde as leis e regulamentos nacionais são aplicáveis. A ISO/ gerar provas documentadas de como ela trata o processamento
IEC 27001 exige que este contexto seja compreendido e levado de informações pessoais. Estas provas podem ser utilizadas para
em conta. A ISO/IEC 27701 torna-se mais específica. Ela inclui facilitar acordos com parceiros comerciais onde o processamento
mapeamentos para: de informações pessoais é mutuamente relevante. Isto também
pode ajudar nas relações com outras partes interessadas. O uso da
• o quadro e os princípios de privacidade definidos em ISO/IEC 27701 em conjunto com a ISO/IEC 27001 pode, se desejado,
ISO/IEC 29100 fornecer uma verificação independente dessas evidências, embora
• ISO/IEC 27018 e ISO/IEC 29151, ambas focadas em IPI a conformidade com esses documentos não possa ser considerada
como conformidade com leis e regulamentos.
No entanto, todos estes mapeamentos precisam ser
interpretados para ter em conta as leis e regulamentos locais.
Vale ressaltar também que a ISO/IEC 27701 é aplicável a todas
as organizações que atuam como processadores, controladores
Benefícios da ISO/IEC 27701
ou ambos; a ISO/IEC 27018 se aplica especificamente aos
• Permite transparência entre as partes interessadas
provedores públicos de cloud computing.
• Ajuda a construir confiança
• Oferece uma abordagem mais colaborativa
A BS 10012:2017+A1:2018* é uma norma publicada específica
• Acordos comerciais mais eficazes
para o Reino Unido. Fornece um quadro de melhores práticas
• Funções e responsabilidades mais claras
para um sistema de gestão de informação pessoal que está
• Reduz a complexidade pela integração com
alinhado com os princípios da União Europeia (UE) GDPR. Uma
• ISO/IEC 27001
das principais distinções entre a ISO/IEC 27701 e a BS 10012 é
que a ISO/IEC 27701 está estruturada para que o SGPIP possa ser
considerado uma extensão aos requisitos e controles do SGSI.
*Uma emenda à BS10012:2017 foi publicada em 2018 (BS 10012+A1:2018).
Esta emenda cobre pequenas mudanças em algumas cláusulas da
A ISO/IEC 27701 pode ser utilizada por controladores IPI (incluindo BS10012:2017; estas mudanças foram feitas para refletir a Lei de Proteção de
os que são controladores IPI conjuntos) e processadores IPI Dados do Reino Unido de 2018.
bsigroup.com

Para validar que os controles operacionais adequados da de notificação de violação de dados da GDPR.
norma são implementados de forma consistente e para Mas a norma não contém uma notificação específica de
cumprir os requisitos de conformidade dos regulamentos de 72 horas, como exigido por lei. Para que os profissionais
privacidade relevantes, devem ser tomadas medidas para: demonstrem que a organização implementou um sistema de
gestão que cumpre este requisito particular da GDPR, devem
1. mapear os requisitos regulamentares relevantes em mostrar aos auditores que as organizações têm um processo
relação aos controles das normas uniforme que notificaria as pessoas em causa e os reguladores
2. enumerar os requisitos regulamentares específicos que de privacidade dentro de 72 horas após a confirmação da
ainda não foram totalmente capturados pelos controles violação ou tem um processo para determinar se a violação
padrão e as condições às quais os requisitos se tornam envolve cidadãos europeus ou se o processamento de dados
aplicáveis violado ocorreu na Europa e, em caso afirmativo, acionar a
3. incorporar o acima exposto no processo de avaliação de notificação dentro do prazo exigido.
risco no ciclo de auditoria
O mapeamento da norma em relação aos regulamentos e a
Um bom exemplo a examinar são os controles de enumeração de requisitos regulamentares únicos e condições
gerenciamento de violação de dados na ISO/IEC 27701 e os aplicáveis são os mecanismos necessários para que os
requisitos de notificação de violação (artigo 33) na GDPR. Por controladores e processadores possam utilizar a ISO/IEC 27701
todas as medidas, os controles de gerenciamento de incidentes para verificar a conformidade regulamentar em relação a vários
de segurança da norma mapeiam diretamente com os requisitos regulamentos de privacidade.

5
Privacy matters

Leis de privacidade de dados


Como o desafio aumenta para as organizações para manter devem também ser preservados no que respeita às atividades
os dados seguros e minimizar o risco de uma violação, não de tratamento de dados e à livre circulação de informações
é surpreendente ver as leis de privacidade evoluindo para pessoais entre os Estados-Membros da UE. O tratamento de
acompanhar as mudanças no cenário empresarial. Mais dados deve ser efetuado em benefício das pessoas singulares a
notavelmente, o GDPR da UE tem recebido muita atenção. quem os dados pertencem. Existem leis semelhantes em todo o
mundo para proteger as informações pessoais e os direitos dos
A GDPR é a lei da UE para a preservação dos direitos e cidadãos, incluindo alguns requisitos específicos do setor, tais
liberdades fundamentais que todos têm o direito à proteção das como os cuidados de saúde, o comércio varejista e bancos.
informações pessoais que lhes dizem respeito. Estes direitos

Setor da saúde
Como um setor que recolhe algumas das informações pessoais mais sensíveis, as leis de proteção de dados
específicas dos cuidados de saúde são muito proeminentes. Por exemplo, existe o Código de Saúde Pública
francês (artigo L.1111-8) que exige que os prestadores de serviços que hospedam certos tipos de dados de saúde/
médicos sejam acreditados para esta atividade. E o Health Insurance Portability and Accountability Act nos
Estados Unidos estabelece o padrão para a proteção de dados de pacientes sensíveis e exige que os planos de
saúde dos EUA, as câmaras de compensação e os prestadores de cuidados de saúde, ou qualquer organização ou
indivíduo que atue como fornecedor ou subcontratado com acesso a informações pessoais de saúde, cumpram.

É também importante destacar o Mercado Único Digital Facilita o processamento e o comércio transfronteiriço de
Europeu. Esta é uma política, anunciada em 2015, que dados. No entanto, as diferenças nas leis de privacidade
abrange o marketing digital, o comércio eletrônico e as de dados entre os estados membros da Europa foram
telecomunicações. O seu objetivo é abrir oportunidades para reconhecidas como uma barreira para que o Mercado Único
pessoas e empresas, derrubando barreiras existentes. Tem três Digital Europeu fosse um sucesso. Portanto, a introdução da
pilares fundamentais: GDPR para ajudar a harmonizar a privacidade dos dados em
toda a Europa é uma mudança positiva.
• Acesso a produtos e serviços online
• Condições para que as redes e serviços
digitais cresçam e prosperem
• O crescimento da economia digital europeia
bsigroup.com

Mecanismos de certificação para ajudar a demonstrar


o cumprimento das leis de proteção de dados
A GDPR incentiva o estabelecimento de mecanismos de certificação dados dos seus clientes? O risco é exacerbado à medida que mais
e selos e marcas de proteção de dados para ajudar a demonstrar o jogadores estão envolvidos. Uma empresa de marketing pode ser
cumprimento dos regulamentos das operações de processamento contratada para atingir clientes, talvez até para comprar anúncios
pelos controladores e processadores (GDPR (EU) 2016/679, Artigo em uma plataforma de mídia social. Um serviço de nuvem também
42). Além disso, tal certificação ou selo pode ser usado para pode ser utilizado pela empresa de marketing para armazenar e
mostrar que uma organização tomou as medidas certas para tratar processar dados relacionados a esta campanha de marketing. A
informações pessoais de uma forma alinhada com a GDPR.. certificação pode servir como uma verificação independente que
comprovará a eficácia do processo e controlará a organização
Mecanismos consistentes de certificação podem trazer para o para avaliar o risco de troca de informações pessoais entre as
quadro o importantíssimo fator “responsabilidade”, facilitando organizações ao longo da cadeia de fornecimento.
a redução de riscos e melhorando o livre fluxo de informações
pessoais. Isto ajuda as organizações a fornecer serviços úteis, ao No entanto, como ilustrado na Figura 2(a), se uma organização
mesmo tempo que aumenta a transparência do processo e mostra usa um esquema de certificação em uma jurisdição, e outra é
integridade aos clientes sobre a proteção de informações pessoais, certificada para um esquema diferente que é aplicável em outra
conforme ilustrado na Figura 2. jurisdição, isso pode não fornecer a garantia necessária ou nível
de confiança aos parceiros de negócios de que as informações
Também traz à superfície a importância do processamento de pessoais pertencentes aos seus clientes estão sendo tratadas
dados para a gestão da cadeia de fornecimento, uma vez que adequadamente. Dada a natureza global do negócio, é necessário
o controlador é responsável pelos dados desde o berço até à um mecanismo de garantia consistente e uniforme para mostrar
sepultura. Considere um produto como um cartão de crédito que é que as organizações cumprem os regulamentos, protegendo
co-branded por uma companhia aérea e um banco. As informações as informações pessoais e fornecendo um capacitador para o
dos clientes de ambos os lados precisariam ser trocadas para crescimento do negócio, como mostrado na Figura 2(b). Uma
identificar quais clientes provavelmente irão utilizar tal produto. certificação comum GDPR reconhecida em todas as jurisdições
A troca de informações pessoais de um cliente introduz um risco. do setor é necessária para mitigar o risco e diminuir as barreiras
Como cada lado verifica se o outro irá proteger adequadamente os ao comércio entre parceiros comerciais.

7
Questões de privacidade

Figure 2 – Permitindo o comércio através de mecanismos consistentes de certificação de


privacidade de dados.
(a) Certificação fragmentada entre organizações.

(b) Certificação consistente


bsigroup.com

Este sentimento é ecoado pela Agência da União Europeia recomenda que os organismos nacionais de certificação e
para a Segurança de Redes e Informação (ENISA) que publicou as autoridades de supervisão, sob a orientação e apoio da
recentemente recomendações sobre certificação para a GDPR Comissão Europeia e do Conselho Europeu para a Proteção
[ENISA]: Recomendação sobre a Certificação Europeia de de Dados, adotem uma abordagem comum em relação à
Proteção de Dados, Versão 1.0, Novembro de 2017; https:// criação e implementação de mecanismos de certificação GDPR.
www.enisa.europa.eu/publications/recommendations-on- Recomendam também que a abordagem seja escalável e que
european-data-protection-certification]. A ENISA afirma que a utilize critérios aprovados e amplamente adotados. A coerência
certificação, os selos e as marcas têm um papel significativo e harmonização dos mecanismos de certificação em toda
a desempenhar para que os controladores de dados possam a Europa são enfatizadas e a confiabilidade e transparência
alcançar e demonstrar a conformidade das suas operações são reforçadas como traços importantes do processo de
de processamento com as disposições da GDPR. A ENISA certificação.

A ISO/IEC 27701 é um mecanismo potencial de certificação


A ISO/IEC 27701 aborda as recomendações acima, e está Além disso, a aplicação pretendida da ISO/IEC 27701 é
previsto que possa ser usada como base de um mecanismo aumentar o ISMS existente com controles específicos de
de certificação (conforme estipulado pelo artigo 42). Se usada privacidade e criar um SGPIP que permita uma gestão de
dessa forma, ela forneceria a prova necessária de que uma privacidade eficaz dentro de uma organização. Com uma rede
organização trata as informações pessoais de seus clientes em bem estabelecida de auditores que fornecem certificação
conformidade com a lei, inclusive para o caso de fluxos de dados contra a ISO/IEC 27001, que é comumente aceita como um
transfronteiriços. A ISO/IEC 27701 é aplicável a organizações padrão de sucesso para segurança da informação, a ISO/IEC
de todos os tamanhos e ambientes culturais. É para a recolha e 27701 está em uma posição muito boa para ser integrada aos
processamento de informações que identificam pessoalmente processos de auditoria existentes.
tanto os funcionários como os clientes. O conjunto de
controles em desenvolvimento amplia as medidas técnicas de A ISO/IEC 27701 foi desenvolvida através de reconhecidos
implementação da segurança da informação para também processos orientados por consenso; esta é uma das principais
atender aos requisitos de privacidade e, se implementado por tarefas no desenvolvimento da norma. Tem havido contributos
uma organização, pode ajudar a demonstrar a conformidade e análises de uma série de partes interessadas da indústria e
com as leis de privacidade de dados, como a GDPR. da regulamentação; isto inclui a participação e revisão pelo
Conselho Europeu de Proteção de Dados (anteriormente, o
Portanto, demonstrando a conformidade com os controles em Grupo de Trabalho do Artigo 29), constituído pelas Autoridades
ISO/IEC 27701 e gerar a documentação necessária como prova de Proteção de Dados (DPA) de todos os países da UE. As APD,
de como uma organização lida com IPI pode: bem como os organismos de acreditação de auditores, terão de
se certificar de que um mecanismo de certificação baseado na
• reduzir significativamente a carga de trabalho de conformidade, ISO/IEC 27701 assiste adequadamente as organizações de todos
negando a necessidade de suportar múltiplas certificações os setores industriais e de todas as dimensões para demonstrar
• aumentar a confiança entre organizações e clientes, a conformidade com os regulamentos de privacidade.
demonstrando o cumprimento das leis de privacidade de dados Além disso, um mecanismo de certificação deve atender às
• gerar evidências que os Data Protection Officers possam fornecer necessidades dos controladores e processadores, ambos com
à gerência sênior e aos membros do conselho para mostrar seu inúmeros controles definidos para eles na ISO/IEC 27701.
progresso no cumprimento das normas de privacidade
• aumentar as oportunidades de negócios e comércio através do
Mercado Único Digital da UE e fluxos de dados transfronteiriços

9
Questões de Privacidade

Importância do envolvimento das partes interessadas


Como mencionado anteriormente, a ISO/IEC 27701 é uma já com a ISO/IEC 27001 ISMS existente, todas estas partes
extensão da ISO/IEC 27001, e a norma está estruturada na interessadas estarão em ótima posição para trabalhar com
convenção de sistemas de gestão ISO (comumente referida a ISO/IEC 27701. Todas elas partilham objetivos comuns
como “Anexo SL”), permitindo que múltiplos sistemas de sobre gestão de informação pessoal e a necessidade de uma
gestão sejam implementados de forma mais eficiente por abordagem reconhecida para mostrar que esta está a ser
uma organização. A Figura 3 mostra o panorama das partes levada a sério, que é onde entra o papel da ISO/IEC 27701.
interessadas e a importância dos seus papéis. Ao trabalhar

Figura 3 – Imagem das partes interessadas para certificação baseada na ISO/IEC 27701 (fonte: Microsoft).

Implementar o
SGPIP
Processors
Ajudar a DPA e as autoridades
nacionais de acreditação a executar
os artigos 42 e 43 da GDPR  
Consultores
Objetivos comuns Implementar o
SGPIP
• Demonstrar a visibilidade do SGPIP em escala em todo o mercado.  
Controllers
• Encorajar a adoção da certificação pan-europeia GDPR.  
• Demonstrar ao mercado que os SGPIP
são uma prova abrangente do GDPR.

Fornecer uma rede de Auditores e


Iniciar e realizar Consultores acreditados para assegurar
processos de certificação uma linha de base consistente em toda
Auditores DPAs a Europa e no Mundo
bsigroup.com

Conclusões
Para concluir, a gestão de informações pessoais em conformidade com o panorama
regulamentar em evolução é complexa, mas não pode ser ignorada. A proteção das
informações pessoais de um indivíduo é um dos seus direitos humanos fundamentais.
Existem leis em todo o mundo para proteger esses direitos num ambiente onde os
negócios e os dados relacionados à vida pessoal estão se tornando cada vez mais
globalizados. O GDPR europeu foi introduzido para assegurar que a recolha e o
processamento de informações que identificam pessoalmente são conduzidos de forma
legal e apoia os fluxos de dados transfronteiriços necessários para permitir o Mercado
Único Digital da UE.

A GDPR europeia reconhece que os mecanismos de certificação para demonstrar a


conformidade com os regulamentos vão muito longe para aumentar a confiança na
forma como as organizações tratam os dados pessoais, ao mesmo tempo que criam
oportunidades de negócio através da garantia entre organizações. Isto é especialmente
verdade se a certificação for implementada consistentemente entre os estados membros
da UE e para além das fronteiras da Europa para permitir o comércio e negócios globais.

A introdução da ISO/IEC 27701 é uma adição necessária ao portfólio de normas


existentes. A implementação dos controles especificados na ISO/IEC 27701 deve permitir
que uma organização documente evidências de como ela trata o processamento de
informações pessoais. Tais evidências podem ser usadas para facilitar acordos com
parceiros comerciais onde o processamento de informações pessoais é mutuamente
relevante e, no caso de obter um mecanismo de certificação amplamente aceito, pode
ajudar a demonstrar a conformidade com leis de proteção de dados, como a GDPR.

11
Privacy Matters

Por que o BSI?

BSI/UK/1591/SC/0719/EN/GRP
O BSI tem estado na vanguarda dos padrões de segurança da informação desde 1995, tendo produzido a primeira norma do mundo,
BS 7799, agora ISO/IEC 27001, a norma de segurança da informação mais popular do mundo. E não paramos por aí, abordando as
novas questões emergentes, como privacidade, cibersegurança e segurança na nuvem. É por isso que estamos em melhor posição
para ajudá-lo.

Trabalhando com mais de 86.000 clientes em 193 países, o BSI é uma empresa verdadeiramente internacional com habilidades
e experiência em vários setores, incluindo automotivo, aeroespacial, ambiente construído, alimentação e saúde. Através de sua
experiência em Desenvolvimento de Normas e Soluções de Conhecimento, Garantia e Serviços Profissionais, o BSI melhora o
desempenho dos negócios para ajudar os clientes a crescer de forma sustentável, gerenciar riscos e, finalmente, ser mais resiliente.

Nossos produtos e serviços

© 2019 The British Standards Institution. All Rights Reserved.


Conhecimento Assurance Conformidade
O núcleo do nosso negócio centra- A avaliação independente da Para experimentar benefícios reais a
se no conhecimento que criamos e conformidade de um processo longo prazo, nossos clientes precisam
transmitimos aos nossos clientes. ou produto com um determinado garantir o cumprimento contínuo de
Na área dos padrões, continuamos padrão garante que nossos clientes uma regulamentação, necessidade
a construir a nossa reputação como tenham um alto nível de excelência. do mercado ou padrão, de modo
um órgão especializado, reunindo Nós treinamos nossos clientes que se torne um hábito incorporado.
especialistas da indústria para moldar em técnicas de implementação e Fornecemos uma gama de serviços e
padrões a nível local, regional e auditoria de classe mundial para ferramentas de gestão diferenciadas
internacional. garantir que eles maximizem os que ajudam a facilitar este processo.
Na verdade, o BSI originalmente criou benefícios das normas.
oito das 10 principais normas de
sistemas de gestão do mundo.

Saiba mais sobre


a ISO/IEC 27701 com BSI

Ligue (11) 2148 9600


BSI Brasil
Rua Gomes de Carvalho, 1069 ou visite bsigroup.com/pt-BR/
Cj. 183/184
04547-004 Vila Olímpia
São Paulo - SP
bsibrasil@bsigroup.com