Escolar Documentos
Profissional Documentos
Cultura Documentos
Versão 1.0
16 de janeiro de 2020
O conteúdo deste documento não tem força e efeito de lei e não tem
a intenção de vincular o público de forma alguma.
Machine Translated by Google
Sumário executivo
Durante mais de duas décadas, a Internet e as tecnologias de informação associadas impulsionaram inovação, valor económico
e melhoria sem precedentes nos serviços sociais. Muitos destes benefícios são alimentados por dados sobre indivíduos que fluem através de
um ecossistema complexo. Como resultado, os indivíduos podem não ser capazes de compreender as potenciais consequências para a sua
privacidade à medida que interagem com sistemas, produtos e serviços. Ao mesmo tempo, as organizações podem não perceber toda a
extensão destas consequências para os indivíduos, para a sociedade ou para as suas empresas, o que pode afetar as suas
marcas, os seus resultados financeiros e as suas perspetivas futuras de crescimento.
Seguindo um processo transparente e baseado em consenso, incluindo partes interessadas públicas e privadas para produzir esta
ferramenta voluntária, o Instituto Nacional de Padrões e Tecnologia (NIST) está publicando este
Estrutura de privacidade: uma ferramenta para melhorar a privacidade por meio do gerenciamento de riscos empresariais (estrutura
de privacidade), para permitir melhores práticas de engenharia de privacidade que apoiem conceitos de privacidade por design e ajudem as
organizações a proteger a privacidade dos indivíduos. O Privacy Framework pode apoiar organizações em:
• Construir a confiança dos clientes, apoiando a tomada de decisões éticas no design ou implantação de produtos e serviços que otimize
os usos benéficos dos dados e, ao mesmo tempo, minimize as consequências adversas para a privacidade dos indivíduos e a
sociedade como um todo;1
• Cumprir as obrigações de conformidade atuais, bem como produtos e serviços preparados para o futuro para cumprir essas
obrigações num ambiente tecnológico e político em mudança; e
Obter benefícios dos dados e, ao mesmo tempo, gerir os riscos para a privacidade dos indivíduos não é adequado para soluções que sirvam
para todos. Tal como na construção de uma casa, onde os proprietários tomam decisões sobre a disposição e o design enquanto se baseiam
numa base bem concebida, a proteção da privacidade deve permitir escolhas individuais, desde que mitigações eficazes dos riscos de
privacidade já estejam incorporadas nos produtos e serviços. A Estrutura de Privacidade – por meio de uma abordagem baseada em riscos e
resultados – é flexível o suficiente para atender diversas necessidades de privacidade, permitir soluções mais inovadoras e eficazes
que podem levar a melhores resultados para indivíduos e organizações, e manter-se atualizado com as tendências tecnológicas, como
a proteção artificial. inteligência e a Internet das Coisas.
O Quadro de Privacidade segue a estrutura do Quadro para Melhorar a Segurança Cibernética de Infraestruturas Críticas (Quadro de
Segurança Cibernética) [1] para facilitar o uso de ambas as estruturas juntas. Tal como o Quadro de Segurança Cibernética, o Quadro de
Privacidade é composto por três partes: Núcleo, Perfis e Níveis de Implementação. Cada componente reforça a gestão do risco de
privacidade através da ligação entre os impulsionadores do negócio e da missão, as funções e responsabilidades organizacionais e as
atividades de proteção da privacidade.
• O Núcleo permite um diálogo – desde o nível executivo até ao nível de implementação/operações – sobre atividades importantes
de proteção da privacidade e resultados desejados.
1
Não existe um padrão objetivo para a tomada de decisões éticas; baseia-se nas normas, valores e expectativas
legais de uma determinada sociedade.
eu
Machine Translated by Google
Em resumo, o Privacy Framework destina-se a ajudar as organizações a construir melhores bases de privacidade, colocando o risco de
privacidade em paridade com o seu portfólio mais amplo de riscos empresariais.
Reconhecimentos
Esta publicação é o resultado de um esforço colaborativo entre o NIST e as partes interessadas organizacionais e individuais nos setores
público e privado. Ao desenvolver a Estrutura de Privacidade, o NIST contou com três workshops públicos, uma solicitação de informações
(RFI), uma solicitação de comentários (RFC), cinco webinars e centenas de interações diretas com as partes interessadas.2 O NIST
reconhece e agradece a todos aqueles que contribuíram para esta publicação.
2
Um arquivo de desenvolvimento completo pode ser encontrado em https://www.nist.gov/privacy-framework.
eu
Machine Translated by Google
Índice
Lista de Figuras
Figura 1: Núcleo, Perfis e Níveis de Implementação................................... .................................................. .... 2 Figura 2:
Relação entre riscos de segurança cibernética e privacidade.................................. .................................................. .. 3
Figura 3: Relação entre risco de privacidade e risco organizacional..................................... ............................ 4 Figura 4:
Estrutura central da estrutura de privacidade ............. .................................................. ........................................ 6 Figura 5:
Usando funções para gerenciar a segurança cibernética e Riscos de privacidade.................................................. .................
7 Figura 6: Relacionamento entre Núcleo e Perfis........................ .................................................. .................... 8 Figura 7:
Colaboração nocional e fluxos de comunicação dentro de uma organização................. .........................10 Figura 8:
Relacionamentos do ecossistema de processamento de dados................. .................................................. .........................13
Lista de mesas
Tabela 1: Função da estrutura de privacidade e identificadores exclusivos de categoria ................................... ......................19
Tabela 2: Núcleo da Estrutura de Privacidade ...................... .................................................. ................................................20
Tabela 3 : Engenharia de Privacidade e Objetivos de Segurança......................................... .............................................34
iii
Machine Translated by Google
A privacidade é um desafio porque não só é um conceito abrangente que ajuda a salvaguardar valores importantes como a
3
autonomia e a dignidade humanas, mas também porque os meios para alcançá-la podem variar.
Por exemplo, a privacidade pode ser alcançada através do isolamento, da limitação da observação ou do controlo dos indivíduos sobre
4
facetas das suas identidades (por exemplo, corpo, dados, reputação). Além disso, a autonomia e a dignidade humanas não são
construtos fixos e quantificáveis; eles são filtrados pela diversidade cultural e pelas diferenças individuais. Esse
A natureza ampla e mutável da privacidade torna difícil comunicar claramente sobre os riscos de privacidade dentro e entre organizações
e com indivíduos. O que falta é uma linguagem comum e uma ferramenta prática que seja flexível o suficiente para atender às
diversas necessidades de privacidade.
Esta estrutura voluntária de privacidade do NIST: uma ferramenta para melhorar a privacidade por meio do gerenciamento
de riscos empresariais (estrutura de privacidade) destina-se a ser amplamente utilizada por organizações de todos os tamanhos
e independente de qualquer tecnologia, setor, lei ou jurisdição específica. Usando uma abordagem comum – adaptável
às funções de qualquer organização no ecossistema de processamento de dados – o objetivo da Estrutura de Privacidade é
ajudar as organizações a gerenciar os riscos de privacidade:
• Incentivar a colaboração da força de trabalho entre organizações - por exemplo, entre executivos,
jurídico e tecnologia da informação (TI) — por meio do desenvolvimento de Perfis, seleção de níveis e obtenção de resultados.
3
Autonomia e dignidade são conceitos abordados na Declaração Universal dos Direitos Humanos das Nações Unidas em https://
www.un.org/en/universal-declaration-human-rights/.
4
Existem muitas publicações que fornecem um tratamento aprofundado sobre os antecedentes da privacidade
ou diferentes aspectos do conceito. Para dois exemplos, consulte Solove D (2010) Understanding Privacy
(Harvard University Press, Cambridge, MA), https://ssrn.com/abstract=1127888; e Selinger E, Hartzog W (2017)
Obscurity and Privacy, Spaces for the Future: A Companion to Philosophy of Technology, eds Pitt J, Shew A
(Taylor & Francis, New York, NY), Capítulo 12, 1ª Ed., https ://doi.org/10.4324/9780203735657.
1
Machine Translated by Google
• Um Perfil representa as atividades atuais de privacidade ou os resultados desejados de uma organização. Para desenvolver um Perfil,
uma organização pode revisar todos os resultados e atividades no Núcleo para determinar quais são mais importantes para focar
com base nos direcionadores de negócios ou missão, função(ões) do ecossistema de processamento de dados, tipos de
processamento de dados e características individuais. necessidades de privacidade. Uma organização pode criar ou adicionar
funções, categorias e subcategorias conforme necessário. Os perfis podem ser usados para identificar oportunidades para
melhorar a postura de privacidade, comparando um perfil “atual” (o estado “como está”) com um perfil “alvo” (o estado “futuro”).
Os perfis podem ser usados para realizar autoavaliações e para comunicar dentro de uma organização ou entre
organizações sobre como os riscos de privacidade estão sendo gerenciados.
• Os Níveis de Implementação (“Níveis”) fornecem um ponto de referência sobre como uma organização vê
risco de privacidade e se possui processos e recursos suficientes para gerenciar esse risco.
Os níveis refletem uma progressão de respostas informais e reativas para abordagens ágeis e informadas sobre riscos. Ao
selecionar os níveis, uma organização deve considerar o(s) seu(s) perfil(s)-alvo e como a realização pode ser apoiada ou
dificultada pelas suas práticas atuais de gestão de risco, o grau de integração do risco de privacidade no seu portfólio de gestão de
risco empresarial, as suas relações com o ecossistema de processamento de dados, e sua composição de força de trabalho
e programa de treinamento.
5
Consulte a análise resumida das respostas à solicitação de informações da estrutura de privacidade do NIST [2] na p. 7.
2
Machine Translated by Google
sobre gerenciamento de riscos de privacidade. O Apêndice D fornece informações adicionais sobre as principais práticas de gestão de riscos de
privacidade.
consiste em considerar os eventos de privacidade como potenciais problemas que os indivíduos podem enfrentar decorrentes de operações de sistemas, produtos
ou serviços com dados, sejam em formato digital ou não digital, ao longo de um ciclo de vida completo, desde a recolha de dados até à eliminação.
A Estrutura de Privacidade descreve essas operações de dados no singular como uma ação de dados e coletivamente como processamento de dados. Os
problemas que os indivíduos podem enfrentar como resultado do processamento de dados podem ser expressos de várias
Ação de dados maneiras, mas o NIST descreve-os como variando desde efeitos do tipo dignidade, como constrangimento ou
estigmas, até danos mais tangíveis, como discriminação, perdas económicas ou danos físicos.6
Uma operação do
ciclo de vida de dados,
incluindo, entre outros,
A base para os problemas que os indivíduos podem enfrentar pode variar. Conforme ilustrado na Figura 2, os
coleta, retenção, registro,
problemas surgem como um efeito adverso do processamento de dados que as organizações realizam para cumprir
geração, transformação,
a sua missão ou objectivos empresariais. Um exemplo são as preocupações que certas comunidades tinham sobre
uso, divulgação,
a instalação de “medidores inteligentes” como parte da Smart Grid, um esforço tecnológico nacional para aumentar a
compartilhamento,
transmissão e descarte. eficiência energética.7 A capacidade destes medidores de coletar, registrar e distribuir informações altamente granulares
sobre o uso de eletricidade doméstica poderia fornecer informações sobre o comportamento das pessoas dentro de
6
O NIST criou um catálogo ilustrativo de problemas para uso na avaliação de riscos à privacidade. Consulte Metodologia de avaliação de
risco de privacidade do NIST [3]. Outras organizações podem ter criado outras categorias de problemas, ou podem referir-se a eles como
consequências adversas ou danos.
7
Veja, por exemplo, Relatório Interagências ou Interno (IR) do NIST 7628 Revisão 1 Volume 1, Diretrizes para Segurança Cibernética de Redes
Inteligentes: Volume 1 – Estratégia, Arquitetura e Requisitos de Alto Nível de Segurança Cibernética de Redes Inteligentes em [4]
pág. 26.
8
Consulte NIST IR 8062, Uma introdução à engenharia de privacidade e gerenciamento de riscos em sistemas federais em [5] p. 2.
Para tipos adicionais de riscos de privacidade associados a efeitos adversos do processamento de dados sobre os indivíduos, consulte
o Apêndice E do NIST IR 8062.
3
Machine Translated by Google
funcionando conforme pretendido, mas o processamento de dados pode fazer com que as pessoas se sintam vigiadas.
Num mundo cada vez mais conectado, alguns problemas podem surgir simplesmente das interações dos indivíduos com sistemas, produtos
e serviços, mesmo quando os dados processados não estão diretamente ligados a indivíduos identificáveis. Por exemplo, as tecnologias das
cidades inteligentes poderiam ser utilizadas para alterar ou influenciar o comportamento das pessoas, nomeadamente onde ou como se
9 Também podem surgir problemas quando há perda de
deslocam na cidade.
confidencialidade, integridade ou disponibilidade em algum momento do processamento de dados, como roubo de dados por invasores
externos ou acesso ou uso não autorizado de dados por funcionários. A Figura 2 mostra esses tipos de eventos de privacidade relacionados
à segurança cibernética como a sobreposição entre os riscos de privacidade e de segurança cibernética.
Depois que uma organização puder identificar a probabilidade de qualquer problema decorrente do processamento de dados, ao qual a
Estrutura de Privacidade se refere como uma ação de dados problemática, ela poderá avaliar o impacto caso a ação de dados problemática
ocorra. Esta avaliação de impacto é onde o risco de privacidade e o risco organizacional
cruzar. Os indivíduos, quer individualmente quer em grupos (inclusive a nível social), experimentam o impacto direto dos problemas. Como
resultado dos problemas que os indivíduos enfrentam, uma organização pode sofrer impactos como custos de não conformidade, perda de
receita resultante do abandono de produtos e serviços pelo cliente ou danos à reputação de sua marca externa ou cultura interna. As organizações
geralmente gerenciam esses tipos de impactos no nível de gestão de riscos empresariais; ao ligar os problemas que os indivíduos enfrentam
a estes impactos organizacionais bem compreendidos, as organizações podem colocar o risco de privacidade em paridade com outros riscos
que estão a gerir no seu portfólio mais amplo e conduzir a uma tomada de decisão mais informada sobre a alocação de recursos para
fortalecer os programas de privacidade. A Figura 3 ilustra esta relação entre risco de privacidade e risco organizacional.
9
Consulte Newcombe T (2016) Crescimento das preocupações com segurança, privacidade e governança sobre tecnologias de cidades inteligentes.
Tecnologia Governamental. Disponível em http://www.govtech.com/Security-Privacy-Governance-Concerns-About-Smart-City-
Technologies-Grow.html .
10
Ver Autoridade Europeia para a Proteção de Dados (2019) Necessidade e Proporcionalidade. Disponível em
https://edps.europa.eu/data-protection/our-work/subjects/necessity-proportionality_en.
4
Machine Translated by Google
priorizar e responder ao risco de privacidade de diferentes maneiras, dependendo do impacto potencial para os indivíduos
11
e impactos resultantes para as organizações. As abordagens de resposta incluem:
• Mitigar o risco (por exemplo, as organizações podem ser capazes de aplicar medidas técnicas e/ou políticas para
os sistemas, produtos ou serviços que minimizam o risco em um grau aceitável);
• Transferir ou compartilhar o risco (por exemplo, os contratos são um meio de compartilhar ou transferir risco para
outras organizações, os avisos de privacidade e os mecanismos de consentimento são um meio de partilhar riscos com
indivíduos);
• Evitar o risco (por exemplo, as organizações podem determinar que os riscos superam os benefícios e renunciar ou encerrar o
processamento de dados); ou
• Aceitar o risco (por exemplo, as organizações podem determinar que os problemas para os indivíduos são mínimos ou improváveis de
ocorrer, portanto os benefícios superam os riscos e não é necessário investir recursos na mitigação).
As avaliações dos riscos de privacidade são particularmente importantes porque, como referido acima, a privacidade é uma condição que
salvaguarda múltiplos valores. Os métodos para salvaguardar estes valores podem diferir e, além disso, podem estar em tensão entre si.
Dependendo dos seus objetivos, se uma organização estiver tentando alcançar a privacidade
ao limitar a observação, isso pode levar à implementação de medidas como arquiteturas de dados distribuídas ou técnicas criptográficas que
melhoram a privacidade e que ocultam dados até mesmo da organização. Se uma organização também tentar permitir o controlo
individual, as medidas poderão entrar em conflito. Por exemplo, se um indivíduo solicitar acesso aos dados, a organização poderá não ser
capaz de produzir os dados se os dados tiverem
foram distribuídos ou criptografados de maneiras que a organização não pode acessar. As avaliações de risco de privacidade podem ajudar
uma organização a compreender, num determinado contexto, os valores a proteger, os métodos a empregar e como equilibrar a implementação
de diferentes tipos de medidas.
Por último, as avaliações de risco de privacidade ajudam as organizações a distinguir entre risco de privacidade e risco de conformidade.
Identificar se o processamento de dados pode criar problemas para os indivíduos, mesmo quando uma organização pode estar em total
conformidade com as leis ou regulamentos aplicáveis, pode ajudar na tomada de decisões éticas no design ou implantação de sistemas,
produtos e serviços. Embora não exista um padrão objectivo para a tomada de decisões éticas, esta baseia-se nas normas, valores e
expectativas legais de uma determinada sociedade. Isso facilita
otimizar usos benéficos dos dados e, ao mesmo tempo, minimizar consequências adversas para a privacidade dos indivíduos e a sociedade
como um todo, bem como evitar perdas de confiança que prejudicam a reputação das organizações, retardam a adoção ou causam o
abandono de produtos e serviços.
Consulte o Apêndice D para obter mais informações sobre os aspectos operacionais da avaliação de riscos de privacidade.
11 Consulte a Publicação Especial do NIST (SP) 800-39, Gerenciando Riscos de Segurança da Informação: Organização, Missão e
Visão do Sistema de Informação [6].
5
Machine Translated by Google
• O Apêndice A apresenta o Núcleo da Estrutura de Privacidade em formato tabular: Funções, Categorias e Subcategorias.
• O Apêndice D considera as principais práticas que contribuem para uma gestão bem-sucedida dos riscos de privacidade.
A Estrutura de Privacidade fornece uma linguagem comum para compreender, gerenciar e comunicar riscos de privacidade às partes
interessadas internas e externas. É adaptável às funções de qualquer organização no ecossistema de processamento de dados. Pode ser
usado para ajudar a identificar e priorizar ações para reduzir o risco de privacidade e é uma ferramenta para alinhar abordagens políticas,
comerciais e tecnológicas para gerenciar esse risco.
• As funções organizam
Proteger-P
atividades fundamentais de privacidade
no mais alto nível. Eles ajudam uma
Figura 4: Estrutura central do quadro de privacidade
organização a expressar a sua gestão de
riscos de privacidade, compreendendo e gerenciando o processamento de dados, permitindo decisões de gestão de riscos ,
determinando como interagir com os indivíduos e melhorando ao aprender com atividades anteriores. Eles não se destinam a formar
um caminho serial ou levar a um estado final estático desejado. Em vez disso, as Funções devem ser desempenhadas de forma
simultânea e contínua para formar ou melhorar uma cultura operacional que aborde a natureza dinâmica do risco de privacidade.
• Categorias são subdivisões de uma Função em grupos de resultados de privacidade estreitamente ligados às necessidades
programáticas e atividades específicas.
• As subcategorias dividem ainda mais uma categoria em resultados específicos de atividades técnicas e/ou de gestão. Fornecem um
conjunto de resultados que, embora não sejam exaustivos, ajudam a apoiar a obtenção dos resultados em cada categoria.
As cinco funções, Identificar-P, Governar-P, Controlar-P, Comunicar-P e Proteger-P, definidas abaixo, podem ser usadas para gerenciar
riscos de privacidade decorrentes do processamento de dados.12 O Protect-P está especificamente focado no gerenciamento de riscos
associados a eventos de privacidade relacionados à segurança cibernética (por exemplo, violações de privacidade). O Quadro de
Segurança Cibernética, embora se destine a cobrir todos os tipos de incidentes de cibersegurança, pode ser
12
O “-P” no final de cada nome de função indica que ela pertence ao Privacy Framework para evitar confusão
com as funções do Cybersecurity Framework.
6
Machine Translated by Google
riscos associados a
as funções da
• Identifique-P – Desenvolver o entendimento organizacional para gerenciar riscos de privacidade para indivíduos
As atividades da Função Identifique-P são fundamentais para o uso eficaz da Estrutura de Privacidade. Inventariar as circunstâncias sob
as quais os dados são processados, compreender os interesses de privacidade dos indivíduos servidos ou afetados direta ou indiretamente por uma
organização e realizar avaliações de risco permitem que uma organização compreenda o ambiente de negócios em que opera e identifique e
compreensão contínua das prioridades de gestão de riscos da organização que são informadas pelo risco de privacidade.
A função Govern-P é igualmente fundamental, mas concentra-se em atividades de nível organizacional, como o estabelecimento de valores e
políticas de privacidade organizacional, a identificação de requisitos legais/regulatórios e a compreensão da tolerância ao risco organizacional
que permitem a uma organização concentrar e priorizar seus esforços, de forma consistente com seus estratégia de gerenciamento de riscos e
necessidades de negócios.
A Função Control-P considera o gerenciamento do processamento de dados do ponto de vista de organizações e indivíduos.
• Comunicar-P – Desenvolver e implementar atividades apropriadas para permitir que organizações e indivíduos tenham uma compreensão confiável
A função Communicate-P reconhece que tanto as organizações como os indivíduos podem precisar de saber como os dados são processados
A função Protect-P cobre a proteção de dados para evitar eventos de privacidade relacionados à segurança cibernética,
7
Machine Translated by Google
Perfis
Os perfis são uma seleção de funções, categorias e subcategorias específicas do núcleo que uma organização priorizou para ajudá-
la a gerenciar riscos à privacidade. Os perfis podem ser usados para descrever o estado atual e o estado alvo desejado de atividades de
privacidade específicas. Um Perfil Atual indica os resultados de privacidade que uma organização está alcançando atualmente,
enquanto um Perfil Alvo indica os resultados necessários para atingir as metas desejadas de gerenciamento de riscos de privacidade.
As diferenças entre os dois Perfis permitem que uma organização identifique lacunas, desenvolva um plano de ação para melhoria e avalie os
recursos que seriam necessários (por exemplo, pessoal, financiamento) para alcançar resultados de privacidade. Isto constitui a
base do plano de uma organização para reduzir o risco de privacidade de uma forma priorizada e com boa relação custo-benefício. Os
perfis também podem ajudar na comunicação de riscos dentro e entre organizações, ajudando-as a compreender e comparar o estado atual
e desejado dos resultados de privacidade.
PERFIS
A Estrutura de Privacidade não prescreve
modelos de perfil para permitir flexibilidade na Identificar-P
ESSENCIAL
implementação.
Governar-P
LAUTA
De acordo com a abordagem baseada no risco
do Quadro de Privacidade, as organizações Identificar-P Proteger-P
podem não precisar de alcançar todos os
Governar-P
resultados ou atividades refletidos no Núcleo. Identificar-P
Ao desenvolver um Perfil, uma Controle-P
Governar-P
organização pode selecionar ou adaptar as Comunicar-P
OVLA
Funções, Categorias e Subcategorias Controle-P
Proteger-P
às suas necessidades específicas, incluindo o
Comunicar-P
desenvolvimento de suas próprias
Funções, Categorias, Proteger-P
Conforme ilustrado na Figura 6, não há uma ordem especificada de desenvolvimento de Perfis. Uma organização pode primeiro
desenvolver um Perfil Alvo para se concentrar nos resultados desejados para a privacidade e depois desenvolver um Perfil Atual para
identificar lacunas; alternativamente, uma organização pode começar por identificar as suas actividades actuais e depois considerar
como ajustar essas actividades ao seu Perfil Alvo. Uma organização pode optar por desenvolver vários Perfis para diferentes funções,
sistemas, produtos ou serviços, ou categorias de indivíduos (por exemplo, funcionários, clientes) para permitir uma melhor priorização de
atividades e resultados onde possa haver diferentes graus de risco de privacidade. Organizações de um determinado setor industrial ou com
atividades similares
as funções no ecossistema de processamento de dados podem coordenar-se para desenvolver Perfis comuns.
Níveis de implementação
Os níveis apoiam a tomada de decisões organizacionais sobre como gerir o risco de privacidade, tendo em conta a natureza dos riscos de
privacidade gerados pelos sistemas, produtos ou serviços de uma organização e a suficiência dos processos e recursos que uma organização
possui para gerir esses riscos. Ao selecionar os níveis, uma organização deve considerar o(s) seu(s) perfil(s)-alvo e como a realização
pode ser apoiada ou prejudicada pelas suas práticas atuais de gestão de risco, pelo grau de integração da privacidade
8
Machine Translated by Google
risco em seu portfólio de gerenciamento de riscos corporativos, em seus relacionamentos com o ecossistema de processamento de dados e em
sua composição de força de trabalho e programa de treinamento.
Existem quatro níveis distintos, parcial (nível 1), informado sobre risco (nível 2), repetível (nível 3) e adaptativo (nível 4), cujas descrições estão
no Apêndice E. Os níveis representam uma progressão, embora não obrigatória. um. Embora as organizações do Nível 1 provavelmente
se beneficiem da mudança para o Nível 2, nem todas as organizações precisam atingir os níveis 3 ou 4 (ou podem se concentrar apenas
em determinadas áreas desses níveis).
A progressão para níveis mais elevados é apropriada quando os processos ou recursos de uma organização no seu nível atual podem ser
insuficientes para ajudá-la a gerir os seus riscos de privacidade.
Uma organização pode usar os níveis para comunicar internamente sobre as alocações de recursos necessários para progredir para um nível
mais alto ou como referências gerais para avaliar o progresso na sua capacidade de gerenciar riscos de privacidade. Uma organização também
pode usar Tiers para compreender a escala de recursos e processos de outras organizações no ecossistema de processamento de dados e
como eles se alinham com as prioridades de gestão de riscos de privacidade da organização. No entanto, a implementação bem-sucedida da
Estrutura de Privacidade baseia-se na obtenção dos resultados descritos no(s) Perfil(s) Alvo(s) de uma organização e não na determinação
do Nível.
9
Machine Translated by Google
As lacunas nos mapeamentos também podem ser usadas para identificar onde padrões, diretrizes e práticas adicionais
ou revisadas ajudariam uma organização a atender às necessidades emergentes. Uma organização que implemente uma
determinada subcategoria, ou desenvolva uma nova subcategoria, poderá descobrir que não há orientação suficiente para
uma actividade ou resultado relacionado. Para atender a essa necessidade, uma organização pode colaborar com líderes
de tecnologia e/ou órgãos de padronização para elaborar, desenvolver e coordenar padrões, diretrizes ou práticas.
Fortalecendo a responsabilidade
A responsabilização é geralmente considerada um princípio fundamental de privacidade, embora conceitualmente não seja
exclusiva da privacidade.13 A responsabilização ocorre em toda a organização e pode ser expressa em vários graus de
abstração, por exemplo, como um
COLABORAÇÃO
valor cultural, como políticas e procedimentos
de governança, ou como relações de Seleção de níveis e desenvolvimento de perfil
rastreabilidade entre requisitos e
controles de privacidade. A gestão de
riscos de privacidade pode ser um meio de
apoiar a responsabilização em todos
Senior Processo de negócio Implementação/
os níveis organizacionais, pois conecta
Nível executivo Nível de gerente Nível de Operações
executivos seniores, que podem
Responsabilidades: Responsabilidades: Responsabilidades:
comunicar os valores de privacidade e
• Expressar prioridades • Desenvolver • Implemento
tolerância ao risco de uma organização, para
de missão, Perfis Perfis •
aqueles que estão no nível de tolerância a
• Alocar orçamento Monitorar
gerenciamento de negócios/processos, riscos, valores de
privacidade • Seleção de nível progresso
que podem colaborar no organizacional e orçamento de informação • Realizar avaliações de
desenvolvimento e implementação • Aceitar/recusar
risco de privacidade
decisões de risco
de políticas e procedimentos de governança
que apoiam os valores de privacidade
organizacional. Essas políticas e Postura de privacidade, mudanças nos riscos, progresso da
procedimentos podem então ser comunicados aos que estão no implementação e atividades de gerenciamento de incidentes
nível de implementação/operações, COMUNICAÇÃO
13
Ver, por exemplo, Organização para a Cooperação e Desenvolvimento Económico (OCDE) (2013) Diretrizes da OCDE sobre a Proteção da
Privacidade e Fluxos Transfronteiriços de Dados Pessoais, disponível em https://www.oecd.org/
internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofper
sonaldata.htm; Organização Internacional de Normalização (ISO)/Comissão Eletrotécnica Internacional (IEC) (2011) ISO/ IEC 29100:2011 –
Tecnologia da informação – Técnicas de segurança – Estrutura de privacidade (ISO, Genebra, Suíça), disponível em https://standards.iso. org/
ittf/PubliclyAvailableStandards/
c045123_ISO_IEC_29100_2011.zip; e Alliance of Automobile Manufacturers, Inc., Association of Global Automakers, Inc. (2014) Consumer
Privacy Protection Principles: Privacy Principles for Vehicle Technologies and Services, disponível em https://autoalliance.org/wp-content/uploads/
2017/ 01/Consumer_Privacy_Principlesfor_VehicleTechnologies_Services-03-21-19.pdf.
10
Machine Translated by Google
O nível de implementação/operações também seleciona, implementa e avalia controles como as medidas técnicas e políticas que atendem
aos requisitos de privacidade e relata o progresso, lacunas e deficiências, gerenciamento de incidentes e mudanças nos riscos de
privacidade para que aqueles no nível de gerente de negócios/processos e os executivos seniores podem compreender melhor e
responder adequadamente.
A Figura 7 fornece uma representação gráfica desta colaboração e comunicação bidirecional e como os elementos da Estrutura de
Privacidade podem ser incorporados para facilitar o processo. Desta forma, as organizações podem utilizar o Quadro de
Privacidade como uma ferramenta para apoiar a responsabilização. Eles também podem usar a Estrutura de Privacidade em conjunto
com outras estruturas e orientações que fornecem práticas adicionais para alcançar a responsabilização dentro e entre organizações.
14
Utilizando um modelo simples de fases “pronto, definido, pronto”, o Quadro de Privacidade pode apoiar a criação de um novo programa
de privacidade ou a melhoria de um programa existente. À medida que uma organização passa por estas fases, pode utilizar
referências informativas para fornecer orientação sobre como priorizar ou alcançar resultados. Consulte a seção 3.1 para obter mais
informações sobre referências informativas. Além disso, um repositório pode ser encontrado em
https://www.nist.gov/privacy-framework.
Definir
Uma organização completa seu Perfil Atual indicando quais resultados de Categoria e Subcategoria das Funções restantes estão sendo
alcançados. Se um resultado for parcialmente alcançado, a observação deste facto ajudará a apoiar os passos subsequentes, fornecendo
informações de base. Informada pelas atividades em Identificar e Governar, tais como valores e políticas de privacidade
organizacional, tolerância ao risco organizacional e resultados de avaliação de risco de privacidade, uma organização completa o seu Perfil
Alvo focado na avaliação das Categorias e Subcategorias que descrevem os resultados de privacidade desejados. Uma organização
também pode desenvolver suas próprias funções, categorias e subcategorias adicionais para dar conta de riscos organizacionais
exclusivos. Também pode considerar influências e requisitos de partes interessadas externas, como
14
Veja, por exemplo, NIST SP 800-37, Rev. 2, Estrutura de gerenciamento de riscos para sistemas e organizações de informação:
uma abordagem de ciclo de vida de sistema para segurança e privacidade [7]; e Organização para o Avanço de Padrões de
Informação Estruturada (OASIS) (2016) Modelo e Metodologia de Referência de Gerenciamento de Privacidade (PMRM)
Versão 1.0, https://docs.oasis-open.org/pmrm/PMRM/v1.0/PMRM-v1.0.pdf.
15
Para obter informações adicionais, consulte a etapa “Preparar”, Seção 3.1, NIST SP 800-37, Rev.
11
Machine Translated by Google
clientes empresariais e parceiros ao criar um perfil de destino. Uma organização pode desenvolver vários Perfis para apoiar as suas
diferentes linhas de negócios ou processos, que podem ter diferentes necessidades de negócios e tolerâncias de risco associadas.
Uma organização compara o Perfil Atual e o Perfil Alvo para determinar lacunas. Em seguida, cria um plano de acção priorizado para colmatar
lacunas – reflectindo os vectores da missão, os custos e benefícios e os riscos – para alcançar os resultados do Perfil Alvo. Uma
organização que utilize o Quadro de Cibersegurança e o Quadro de Privacidade em conjunto pode desenvolver planos de ação integrados.
Em seguida, determina os recursos, incluindo as necessidades de financiamento e de mão de obra, necessários para resolver as
lacunas, o que pode informar a seleção de um nível apropriado. Usar Perfis dessa maneira incentiva uma organização a tomar decisões
informadas sobre atividades de privacidade, apoia o gerenciamento de riscos e permite que uma organização execute melhorias
direcionadas e econômicas.
Ir
Com o plano de ação “definido”, uma organização prioriza quais ações tomar para resolver quaisquer lacunas e, em seguida, ajusta suas
práticas de privacidade atuais para atingir o Perfil Alvo.16
Uma organização pode passar pelas fases de forma não sequencial, conforme necessário, para avaliar e melhorar continuamente sua
postura de privacidade. Por exemplo, uma organização pode descobrir que a repetição mais frequente da fase Pronto melhora a qualidade das
avaliações de risco de privacidade. Além disso, uma organização pode monitorizar o progresso através de atualizações iterativas do
Perfil Atual ou do Perfil Alvo para se ajustar às alterações dos riscos, comparando posteriormente o Perfil Atual com o Perfil Alvo.
As avaliações dos riscos de privacidade centram-se normalmente no ciclo de vida dos dados, as fases pelas quais os dados passam,
muitas vezes caracterizadas como criação ou recolha, processamento, disseminação, utilização, armazenamento e eliminação, incluindo
destruição e eliminação. Alinhar o SDLC e o ciclo de vida dos dados, identificando e compreendendo como os dados são
processados durante todas as fases do SDLC, ajuda as organizações a gerir melhor os riscos de privacidade e informa a seleção e
implementação de controlos de privacidade para cumprir os requisitos de privacidade.
16 NIST SP 800-37, Rev. 2 [7] fornece informações adicionais sobre as etapas a serem executadas no plano de ação, incluindo seleção
de controle, implementação e avaliação para preencher quaisquer lacunas.
17 Dentro do SDLC, as organizações podem empregar uma variedade de metodologias de desenvolvimento (por exemplo, cascata, espiral
ou ágil).
12
Machine Translated by Google
consumidores. As funções na Figura 8 pretendem ser classificações nocionais. Na prática, as funções de uma entidade podem ser
legalmente codificadas – por exemplo, algumas leis classificam as organizações como controladoras ou processadores de dados – ou as
classificações podem ser derivadas de designações de setores industriais.
Ao desenvolver um ou mais Perfis relevantes para a(s) sua(s) função(ões), uma entidade pode utilizar o Quadro de Privacidade para considerar
como gerir o risco de privacidade não só no que diz respeito às suas próprias prioridades, mas também em relação à forma como as medidas
que pode tomar afetam outras pessoas. gestão do risco de privacidade pelas entidades do ecossistema de processamento de dados. Por exemplo:
• Uma organização que toma decisões sobre como coletar e usar dados sobre indivíduos pode usar um Perfil para expressar requisitos de
privacidade a um provedor de serviços externo (por exemplo, um provedor de nuvem para o qual está exportando dados); o
prestador de serviços externo que trata os dados poderá utilizar o seu Perfil para demonstrar as medidas que adotou para tratar os dados
de acordo com as obrigações contratuais.
• Uma organização pode expressar sua postura de privacidade por meio de um Perfil Atual para relatar resultados ou comparar com requisitos
de aquisição.
• Um setor industrial pode estabelecer um Perfil comum que pode ser usado pelos seus membros para
personalize seus próprios perfis.
• Um fabricante pode usar um Perfil Alvo para determinar as capacidades a serem incorporadas em seus produtos
para que seus clientes empresariais possam atender às necessidades de privacidade de seus usuários finais.
• Um desenvolvedor pode usar um perfil de destino para considerar como projetar um aplicativo que permita proteções de privacidade
quando usado em ambientes de sistema de outras organizações.
A Estrutura de Privacidade fornece uma linguagem comum para comunicar os requisitos de privacidade às entidades do ecossistema de
processamento de dados. A necessidade desta comunicação pode ser particularmente
13
Machine Translated by Google
notável quando o ecossistema de processamento de dados ultrapassa as fronteiras nacionais, como acontece com as
transferências internacionais de dados. As práticas organizacionais que apoiam a comunicação podem incluir:
• Promulgar requisitos de privacidade por meio de acordo formal (por exemplo, contratos, acordos multipartidários
enquadramentos);
Em circunstâncias em que não seja possível impor um conjunto de requisitos de privacidade ao fornecedor, o objectivo
deverá ser tomar a melhor decisão de compra entre vários fornecedores, dada uma lista cuidadosamente
determinada de requisitos de privacidade. Muitas vezes, isto significa algum grau de compensação, comparando
vários produtos ou serviços com lacunas conhecidas no Perfil. Se o sistema, produto ou serviço adquirido
não atendesse a todos os objetivos descritos no Perfil, uma organização poderia abordar o risco residual através de
medidas de mitigação ou outras ações de gestão.
14
Machine Translated by Google
Referências
[1] Instituto Nacional de Padrões e Tecnologia (2018) Estrutura para Melhorar a Segurança Cibernética de
Infraestruturas Críticas, Versão 1.1. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD). https://doi.org/
10.6028/NIST.CSWP.04162018
[2] Instituto Nacional de Padrões e Tecnologia (2019) Análise resumida das respostas à solicitação de informações da estrutura
de privacidade do NIST. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD).
https://www.nist.gov/sites/default/files/documents/2019/02/27/
rfi_response_análise_privacyframework_2.27.19.pdf _
[3] Instituto Nacional de Padrões e Tecnologia (2019) Metodologia de Avaliação de Risco de Privacidade do
NIST (PRAM). (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD).
https://www.nist.gov/itl/applied-cybersecurity/privacy-engineering/resources
[4] Painel de Interoperabilidade de Redes Inteligentes — Comitê de Segurança Cibernética de Redes Inteligentes (2014)
Diretrizes para Segurança Cibernética de Redes Inteligentes: Volume 1 - Estratégia, Arquitetura e Requisitos de Alto
Nível de Segurança Cibernética de Redes Inteligentes. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Relatório Interagências ou Interno do NIST (IR) 7628, Rev. 1.
https://doi.org/10.6028/NIST.IR.7628r1
[5] Brooks SW, Garcia ME, Lefkovitz NB, Lightman S, Nadeau EM (2017) Uma introdução à engenharia de privacidade e
gerenciamento de riscos em sistemas federais. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
NIST Interagências ou Relatório Interno (IR) 8062. https://doi.org/10.6028/NIST.IR.8062
15
Machine Translated by Google
[12] Iniciativa Conjunta de Transformação da Força-Tarefa (2012) Guia para a realização de avaliações de risco.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-30, Rev. 1. https://doi.org/10.6028/NIST.SP.800-30r1
[13] “Definições”, Título 44 Código dos EUA, Sec. 3542. Edição de 2011. https://
www.govinfo.gov/app/details/USCODE-2011-title44/USCODE-2011-title44-chap35-
subchapIII-sec3542
16
Machine Translated by Google
• O Núcleo não é uma lista de verificação de ações a serem executadas. Uma organização seleciona subcategorias
consistentes com sua estratégia de risco para proteger a privacidade dos indivíduos, conforme observado nas
declarações de categoria. Uma organização pode não precisar alcançar todos os resultados ou atividades refletidos no Núcleo.
Espera-se que uma organização utilize Perfis para selecionar e priorizar as Funções, Categorias e Subcategorias que melhor
atendem às suas necessidades específicas, considerando seus objetivos, função(ões) no ecossistema de processamento de dados
ou setor industrial, requisitos legais/regulatórios e indústria. melhores práticas, prioridades de gerenciamento de riscos e
necessidades de privacidade de indivíduos que são atendidos ou afetados direta ou indiretamente pelos sistemas, produtos ou
serviços de uma organização.
• Não é obrigatório alcançar um resultado na sua totalidade. Uma organização pode usar seus Perfis para expressar o alcance parcial de
um resultado, já que nem todos os aspectos de um resultado podem ser relevantes para ela gerenciar o risco de privacidade, ou
uma organização pode usar um Perfil Alvo para expressar um aspecto de um resultado que ela não faz. atualmente têm capacidade
para alcançar.
• Pode ser necessário considerar vários resultados em combinação para gerenciar adequadamente
risco de privacidade. Por exemplo, uma organização que responde a solicitações de acesso a dados de indivíduos pode selecionar
para seu Perfil tanto a Subcategoria CT.DM-P1: “Elementos de dados podem ser acessados para revisão” quanto a Categoria
“Gerenciamento de Identidade, Autenticação e Controle de Acesso” (PR.AC-P)
para garantir que apenas o indivíduo a quem os dados pertencem tenha acesso.
Implementação: O formato tabular do Núcleo não pretende sugerir uma ordem de implementação específica ou implicar um grau de
importância entre as Funções, Categorias e Subcategorias.
A implementação pode ser não sequencial, simultânea ou iterativa, dependendo do estágio do SDLC, do status do programa de privacidade, da
escala da força de trabalho ou da(s) função(ões) de uma organização no ecossistema de processamento de dados. Além disso, o Núcleo
não é exaustivo; é extensível, permitindo que organizações, setores e outras entidades adaptem ou adicionem funções, categorias e
subcategorias adicionais aos seus perfis.
Funções:
• Funções do Ecossistema: O Núcleo destina-se a ser utilizado por qualquer organização ou entidade, independentemente da(s) sua(s)
função(ões) no ecossistema de processamento de dados. Embora o Quadro de Privacidade não classifique as funções do
ecossistema, uma organização deve rever o Núcleo do seu ponto de vista no ecossistema.
As funções de uma organização podem ser legalmente codificadas – por exemplo, algumas leis classificam as organizações como
controladoras ou processadores de dados – ou as classificações podem ser derivadas de designações industriais. Como
os elementos principais não são atribuídos por função no ecossistema, uma organização pode usar seus perfis para selecionar
funções, categorias e subcategorias que sejam relevantes para sua(s) função(ões).
• Funções Organizacionais: Diferentes partes da força de trabalho de uma organização podem assumir a responsabilidade por
diferentes categorias ou subcategorias. Por exemplo, o departamento jurídico pode ser responsável por realizar atividades sob
“Políticas, Processos e Procedimentos de Governança” enquanto o departamento de TI trabalha em “Inventário e Mapeamento”.
Idealmente, o Core incentiva a colaboração entre organizações para desenvolver Perfis e alcançar resultados.
17
Machine Translated by Google
Escalabilidade: Certos aspectos dos resultados podem ser formulados de forma ambígua. Por exemplo, os resultados podem incluir
termos como “comunicado” ou “divulgado” sem indicar a quem as comunicações ou divulgações estão a ser feitas. A ambigüidade é
intencional para permitir que uma ampla gama de organizações com diferentes casos de uso determine o que é apropriado ou necessário em
um determinado contexto.
Repositório de Recursos: Recursos independentes que podem fornecer mais informações sobre como priorizar ou alcançar resultados
podem ser encontrados em https://www.nist.gov/privacy-framework.
• Conforme observado na seção 2.1, as organizações podem usar as cinco funções da Estrutura de Privacidade — Identificar-P, Governar-
P, Controlar-P, Comunicar-P e Proteger-P — para gerenciar riscos de privacidade decorrentes do processamento de dados. O
Protect-P concentra-se especificamente no gerenciamento de riscos associados a eventos de privacidade relacionados à
segurança (por exemplo, violações de privacidade). Para apoiar ainda mais o gerenciamento de riscos associados a eventos de
privacidade relacionados à segurança, as organizações podem optar por usar as funções Detectar, Responder e Recuperar
da Estrutura de Segurança Cibernética. Por esta razão, estas Funções estão incluídas na Tabela 1, mas estão esmaecidas.
Alternativamente, as organizações podem usar todas as cinco funções da estrutura de segurança cibernética em conjunto
com Identificar-P, Governar-P, Controlar-P e Comunicar-P para abordar coletivamente os riscos de privacidade e segurança.
Consulte a Figura 5 para ver um exemplo ilustrado de como as funções de ambas as estruturas podem ser usadas em diversas
combinações para gerenciar diferentes aspectos dos riscos de privacidade e segurança cibernética.
• Certas funções, categorias ou subcategorias podem ser idênticas ou terem sido adaptadas da Estrutura de Segurança Cibernética. A
legenda a seguir pode ser usada para identificar esse relacionamento na Tabela 2. Um cruzamento completo entre as duas
estruturas pode ser encontrado no repositório de recursos em https://www.nist.gov/privacy-framework.
Identificadores principais: para facilidade de uso, cada componente do núcleo recebe um identificador exclusivo. Cada função e categoria
possui um identificador alfabético exclusivo, conforme mostrado na Tabela 1. As subcategorias dentro de cada categoria possuem um
número adicionado ao identificador alfabético; o identificador exclusivo para cada subcategoria está incluído na Tabela 2.
18
Machine Translated by Google
PR.MA-P Manutenção
RS.CO Comunicações
RS.AN Análise
RS.MI Mitigação
RS.IM Melhorias
RC.IM Melhorias
RC.CO Comunicações
19
Machine Translated by Google
decorrentes de ID.IM-P3: São inventariadas as categorias de indivíduos (por exemplo, clientes, funcionários
dados ou possíveis funcionários, consumidores) cujos dados estão sendo processados.
em processamento.
para informar funções de privacidade, ID.BE-P3: Os sistemas/produtos/serviços que apoiam as prioridades organizacionais são
responsabilidades e riscos identificados e os principais requisitos comunicados.
decisões de gestão .
20
Machine Translated by Google
prioridades (por exemplo, conformidade, finanças), ID.RA-P3: São identificadas possíveis ações de dados problemáticas e problemas associados.
reputação, força de trabalho e cultura.
21
Machine Translated by Google
estrutura de operacionais da organização são compreendidos e GV.PO-P2: Processos para incutir valores de privacidade organizacional no desenvolvimento
governança para informam o gerenciamento de riscos de privacidade. e operações de sistemas/produtos/serviços estão estabelecidos e em vigor.
permitir uma compreensão
contínua das prioridades GV.PO-P3: As funções e responsabilidades da força de trabalho são
de gestão de riscos da estabelecidas com respeito à privacidade.
organização que são GV.PO-P4: As funções e responsabilidades de privacidade são coordenadas e alinhadas
informadas pelo com terceiros interessados (por exemplo, prestadores de serviços, clientes,
risco de privacidade. parceiros).
GV.PO-P5: Os requisitos legais, regulatórios e contratuais relativos à privacidade
são compreendidos e gerenciados.
GV.PO-P6: Políticas, processos de governança e gestão de riscos ,
e os procedimentos abordam os riscos de privacidade.
Estratégia de Gestão de Risco (GV.RM-P): As GV.RM-P1: Os processos de gestão de riscos são estabelecidos, gerenciados e acordados
prioridades, restrições, tolerâncias de risco e suposições pelas partes interessadas organizacionais.
da organização são estabelecidas e usadas para GV.RM-P2: A tolerância ao risco organizacional é determinada e claramente expressa.
apoiar decisões de risco operacional .
GV.RM-P3: A determinação da tolerância ao risco da organização é informada pela(s)
sua(s) função(ões) no ecossistema de processamento de dados.
Conscientização e Treinamento (GV.AT-P): A força GV.AT-P1: A força de trabalho é informada e treinada sobre suas funções e
22
Machine Translated by Google
CONTROL-P (CT- Políticas, Processos e Procedimentos de CT.PO-P1: Políticas, processos e procedimentos para autorizar o processamento de dados
P): Desenvolver e Processamento de Dados (CT.PO-P): Políticas, (por exemplo, decisões organizacionais, consentimento individual), revogar autorizações e manter
implementar processos e procedimentos são mantidos e usados para autorizações estão estabelecidos e em vigor.
atividades gerenciar o processamento de dados (por exemplo,
apropriadas para permitir finalidade, escopo, funções e responsabilidades no CT.PO-P2: Políticas, processos e procedimentos para habilitação de dados
organizações ou ecossistema de processamento de dados e compromisso revisão, transferência, compartilhamento ou divulgação, alteração e exclusão são
indivíduos de gestão) consistente com a estratégia de estabelecidas e implementadas (por exemplo, para manter a qualidade dos dados, gerenciar
gerenciem dados com risco da organização para proteger a privacidade a retenção de dados).
granularidade dos indivíduos . CT.PO-P3: Políticas, processos e procedimentos para permitir as preferências e solicitações de
suficiente para processamento de dados dos indivíduos estão estabelecidos e em vigor.
23
Machine Translated by Google
Os dados são gerenciados de acordo com a CT.DM-P2: Os elementos de dados podem ser acessados para transmissão ou
privacidade dos indivíduos , aumentar a capacidade de CT.DM-P3: Elementos de dados podem ser acessados para alteração.
gerenciamento e permitir a implementação de princípios CT.DM-P4: Os elementos de dados podem ser acessados para exclusão.
de privacidade (por exemplo, participação individual, CT.DM-P5: Os dados são destruídos de acordo com a política.
qualidade dos dados, minimização de dados). CT.DM-P6: Os dados são transmitidos em formatos padronizados.
CT.DM-P7: Mecanismos para transmissão de permissões de processamento e valores de
dados relacionados com elementos de dados estão estabelecidos e em vigor.
CT.DM-P8: Os registros de auditoria/registro são determinados, documentados,
implementados e revisados de acordo com a política e incorporando o princípio
de minimização de dados.
CT.DM-P9: As medidas técnicas implementadas para gerenciar o processamento
de dados são testadas e avaliadas.
CT.DM-P10: As preferências de privacidade das partes interessadas são incluídas
nos objetivos de design algorítmico e os resultados são avaliados em relação a essas
preferências.
Processamento Dissociado (CT.DP-P): Soluções de CT.DP-P1: Os dados são processados para limitar a observabilidade e a vinculação (por exemplo,
processamento de dados aumentam a dissociabilidade as ações de dados ocorrem em dispositivos locais, criptografia que preserva a
consistente com o risco da organização privacidade).
estratégia para proteger a privacidade dos indivíduos e CT.DP-P2: Os dados são processados para limitar a identificação de indivíduos (por exemplo,
permitir a implementação de princípios de privacidade (por técnicas de privacidade de desidentificação, tokenização).
exemplo, minimização de dados). CT.DP-P3: Os dados são processados para limitar a formulação de inferências sobre o
comportamento ou as atividades dos indivíduos (por exemplo, o processamento de
dados é feito em arquiteturas descentralizadas e distribuídas).
CT.DP-P4: As configurações do sistema ou dispositivo permitem a coleta seletiva ou divulgação
de elementos de dados.
CT.DP-P5: Referências de atributos são substituídas por valores de atributos.
24
Machine Translated by Google
25
Machine Translated by Google
dispositivos autorizados e é gerenciado de forma consistente PR.AC-P2: O acesso físico aos dados e dispositivos é gerenciado.
com o risco avaliado PR.AC-P3: O acesso remoto é gerenciado.
de acesso não autorizado. PR.AC-P4: As permissões e autorizações de acesso são gerenciadas, incorporando os
princípios de privilégio mínimo e separação de funções.
26
Machine Translated by Google
Tecnologia de Proteção (PR.PT-P): PR.PT-P1: A mídia removível é protegida e seu uso restrito de acordo com a política.
As soluções técnicas de segurança são gerenciadas
para garantir a segurança e a resiliência dos sistemas/ PR.PT-P2: O princípio da menor funcionalidade é incorporado na configuração dos
produtos/serviços e dados associados, consistentes com sistemas para fornecer apenas capacidades essenciais.
políticas, processos, procedimentos e acordos PR.PT-P3: As redes de comunicações e controlo estão protegidas.
relacionados. PR.PT-P4: São implementados mecanismos (ex. failsafe, balanceamento de carga, hot
swap) para atingir requisitos de resiliência em situações normais e adversas.
27
Machine Translated by Google
Apêndice B: Glossário
Este apêndice define termos selecionados usados para os fins desta publicação.
Referência de Atributo Uma declaração que afirma uma propriedade de um assinante sem necessariamente
(NIST SP 800-63-3 [8]) conter informações de identidade, independente do formato. Por exemplo, para o atributo
“aniversário”, uma referência poderia ser “maior de 18 anos” ou “nascido em dezembro”.
Valor do atributo Uma declaração completa que afirma uma propriedade de um assinante, independente do
(NIST SP 800-63-3 [8]) formato. Por exemplo, para o atributo “aniversário”, um valor poderia ser “01/12/1980”
ou “1º de dezembro de 1980”.
Controle-P (Função) Desenvolver e implementar atividades apropriadas para permitir que organizações ou
indivíduos gerenciem dados com granularidade suficiente para gerenciar riscos de
privacidade.
(Quadro para Um evento de segurança cibernética que foi determinado como tendo impacto na organização,
Melhorando Crítico gerando a necessidade de resposta e recuperação.
A infraestrutura
Cibersegurança [1])
(OMB 17-12 [9]) Uma ocorrência que (1) comprometa real ou iminentemente, sem autoridade legal, a
integridade, confidencialidade ou disponibilidade de informações ou de um sistema de
informação; ou (2) constitui uma violação ou ameaça iminente de violação da lei, políticas
de segurança, procedimentos de segurança ou políticas de uso aceitável.
28
Machine Translated by Google
Ação de dados (adaptado Uma operação de ciclo de vida de dados de sistema/produto/serviço, incluindo, entre outros,
do NIST IR 8062 [5]) coleta, retenção, registro, geração, transformação, uso, divulgação, compartilhamento, transmissão
e descarte.
Elemento de dados O menor item de dados nomeado que transmite informações significativas.
Processamento de dados O conjunto coletivo de ações de dados (ou seja, o ciclo de vida completo dos dados,
(Adaptado do NIST IR 8062 incluindo, entre outros, coleta, retenção, registro, geração, transformação, uso, divulgação,
[5]) compartilhamento, transmissão e descarte).
Função Um componente do Núcleo que fornece o mais alto nível de estrutura para organizar atividades
básicas de privacidade em categorias e subcategorias.
Governar-P (Função) Desenvolver e implementar a estrutura de governança organizacional para permitir uma
compreensão contínua das prioridades de gestão de riscos da organização que são informadas pelo
risco de privacidade.
Identificar-P (Função) Desenvolva o entendimento organizacional para gerenciar riscos de privacidade para indivíduos
decorrentes do processamento de dados.
Nível de implementação Fornece um ponto de referência sobre como uma organização vê o risco de privacidade e se
possui processos e recursos suficientes para gerenciar esse risco.
Integridade Proteger contra modificação ou destruição inadequada de informações e inclui garantir o não
Linhagem O histórico de processamento de um elemento de dados, que pode incluir fluxos de dados ponto a
ponto e as ações de dados executadas no elemento de dados.
Capacidade de gerenciamento Fornecer a capacidade de administração granular de dados, incluindo alteração, exclusão e
(adaptado do NIST IR 8062 [5]) divulgação seletiva.
Previsibilidade (Adaptado do Permitir suposições confiáveis por parte de indivíduos, proprietários e operadores sobre
NIST IR 8062 [5]) dados e seu processamento por um sistema, produto ou serviço.
29
Machine Translated by Google
Violação de privacidade (adaptado A perda de controle, comprometimento, divulgação não autorizada, aquisição não autorizada ou
do OMB M-17-12 [9]) qualquer ocorrência semelhante onde (1) uma pessoa que não seja um usuário autorizado acessa
ou potencialmente acessa dados ou (2) um usuário autorizado acessa dados para uma finalidade
diferente da autorizada.
Controle de privacidade (adaptado As salvaguardas administrativas, técnicas e físicas empregadas dentro de uma organização para
de NIST SP 800-37 [7]) satisfazer os requisitos de privacidade.
Avaliação de riscos de privacidade Um subprocesso de gerenciamento de riscos de privacidade para identificar e avaliar riscos de
privacidade específicos.
Risco de privacidade Um conjunto de processos interorganizacionais para identificar, avaliar e responder a riscos de
Gerenciamento privacidade.
Ação de dados problemática Uma ação de dados que pode causar um efeito adverso para os indivíduos.
(Adaptado do NIST IR 8062 [5])
Perfil Uma seleção de funções, categorias e subcategorias específicas do núcleo que uma organização
priorizou para ajudá-la a gerenciar riscos à privacidade.
Risco Uma medida da medida em que uma entidade está ameaçada por uma circunstância ou evento
(NIST SP 800-30 [12]) potencial e, normalmente, em função de: (i) os impactos adversos que surgiriam se a circunstância ou
evento ocorresse; e (ii) a probabilidade de ocorrência.
Tolerância de risco O nível de risco ou grau de incerteza que é aceitável para as organizações.
(NIST SP 800-39 [6])
Subcategoria As divisões adicionais de uma categoria em resultados específicos de atividades técnicas e/ou de
gestão.
30
Machine Translated by Google
Apêndice C: Siglas
Este apêndice define siglas selecionadas usadas na publicação.
31
Machine Translated by Google
componentes organizacionais de tomar as melhores decisões de risco que puderem dentro de suas capacidades.
Os recursos a seguir, embora não sejam exaustivos, constituem uma base para uma melhor tomada de decisões.
Estabelecer e permitir a compreensão interorganizacional de quem é responsável e quem tem responsabilidade pela gestão de
riscos de privacidade, bem como por outras tarefas de gestão de riscos em um
organização apoia uma melhor coordenação e responsabilização pela tomada de decisões. Além disso, um
uma ampla gama de perspectivas pode melhorar o processo de identificação, avaliação e resposta aos riscos de privacidade. Uma
equipa diversificada e multifuncional pode ajudar a identificar uma gama mais abrangente de riscos para a privacidade dos
indivíduos e a selecionar um conjunto mais amplo de mitigações. Determinar quais funções incluir nas discussões sobre gestão de
riscos depende do contexto e da composição organizacional, embora a colaboração entre os programas de privacidade e
segurança cibernética de uma organização seja importante. Se um indivíduo estiver sendo designado para diversas funções, deve-
se considerar o gerenciamento de possíveis conflitos de interesse.
A estratégia de gerenciamento de risco empresarial de uma organização ajuda a alinhar a missão e os valores de uma organização
com a tolerância, suposições, restrições e prioridades ao risco organizacional.
As limitações nos recursos para atingir a missão ou os objectivos empresariais e para gerir uma ampla carteira de riscos
provavelmente exigirão compensações. Permitir que o pessoal envolvido no processo de gestão de riscos de privacidade
compreenda melhor a tolerância ao risco de uma organização deve ajudar a orientar as decisões sobre como alocar recursos e
melhorar as decisões em torno da resposta ao risco.
As partes interessadas na privacidade são aquelas que têm interesse ou preocupação nos resultados de privacidade do sistema,
produto ou serviço. Por exemplo, as preocupações jurídicas provavelmente centram-se em saber se o sistema, produto ou
serviço está a funcionar de uma forma que faria com que uma organização não cumprisse as leis ou regulamentos de
privacidade ou os seus acordos comerciais. Os proprietários de empresas que desejam maximizar o uso podem estar
preocupados com a perda de confiança no sistema, produto ou serviço
32
Machine Translated by Google
devido à falta de privacidade. Os indivíduos cujos dados estão sendo processados ou que estão interagindo com o sistema, produto
ou serviço terão interesse em não enfrentar problemas ou consequências adversas. Compreender as partes interessadas
e os tipos de resultados de privacidade nos quais estão interessados facilitará a concepção de sistemas/produtos/serviços que
atendam adequadamente às necessidades das partes interessadas.
Os requisitos de privacidade no nível organizacional são um meio de expressar as obrigações legais, os valores de
privacidade e as políticas às quais uma organização pretende aderir. Compreender esses requisitos é fundamental para garantir
que o projeto do sistema/produto/serviço esteja em conformidade com suas obrigações. Os requisitos de privacidade em
nível organizacional podem ser derivados de diversas fontes, incluindo:
o Padrões relevantes; e
o Princípios de privacidade.
Os artefatos de design podem assumir muitas formas, como arquiteturas de design de sistemas ou diagramas de fluxo
de dados. Esses artefatos ajudam uma organização a determinar como seus sistemas, produtos e
os serviços funcionarão. Portanto, podem ajudar os programas de privacidade a compreender como os sistemas, produtos e
serviços precisam funcionar para que os controles ou medidas que ajudam a mitigar o risco de privacidade possam ser
selecionados e implementados de forma a manter a funcionalidade e ao mesmo tempo
protegendo a privacidade.
Os mapas de dados ilustram o processamento de dados e as interações dos indivíduos com sistemas, produtos e
Serviços. Um mapa de dados mostra o ambiente de processamento de dados e inclui os componentes através dos quais os
dados estão sendo processados ou com os quais os indivíduos estão interagindo, os proprietários ou operadores dos componentes, e
ações de dados discretas e os elementos de dados específicos que estão sendo processados. Os mapas de dados podem ser
ilustrados de diferentes maneiras e o nível de detalhe pode variar de acordo com as necessidades da organização. Um mapa de
dados pode ser sobreposto a artefatos de design de sistema/produto/serviço existentes para conveniência e facilidade de
comunicação entre componentes organizacionais. Conforme discutido abaixo, um mapa de dados é um artefato
importante na avaliação de riscos à privacidade.
33
Machine Translated by Google
Ao determinar as capacidades de privacidade, uma organização pode considerar quais dos objetivos de engenharia e segurança de
privacidade são mais importantes no que diz respeito à sua missão ou necessidades de negócios, tolerância ao risco e requisitos de privacidade
em nível organizacional (consulte Organização de recursos preparatórios acima). Nem todos os objectivos podem ser igualmente importantes,
ou podem ser necessárias soluções de compromisso entre eles. Embora as capacidades de privacidade informem a avaliação de riscos de
privacidade, apoiando decisões de priorização de riscos, as capacidades de privacidade também podem ser informadas pela avaliação de
riscos e ajustadas para apoiar a gestão de riscos de privacidade específicos ou abordar mudanças no ambiente, incluindo alterações de
design no sistema, produto ou serviço.
Relacionado ao Principal
Objetivo Definição Funções do
Objetivos
Capacidade de gerenciamento Fornecer a capacidade de administração Identificar-P, Governar-P,
granular de dados, incluindo coleta, alteração, exclusão e Controle-P
divulgação seletiva
Engenharia
Objetivos
Integridade Proteção contra modificação ou destruição inadequada Identificar-P, Governar-P,
de informações; inclui garantir o não repúdio e a autenticidade Proteger-P
das informações
18
Os objetivos da engenharia de privacidade são adaptados do NIST IR 8062 [5]. Os objetivos de segurança são do NIST
SP 800-37, Rev. 2 [7].
34
Machine Translated by Google
sistemas, produtos e serviços que estão mais atentos à privacidade dos indivíduos e são baseados em decisões de risco informadas.
Os modelos de risco definem os fatores de risco a serem avaliados e as relações entre esses fatores.20 Se uma organização não
estiver usando um modelo de risco predefinido, uma organização deve definir claramente quais fatores de risco avaliará e
as relações entre esses fatores. Embora a segurança cibernética tenha um modelo de risco amplamente utilizado baseado
nos fatores de risco de ameaças, vulnerabilidades,
probabilidade e impacto, não existe um modelo
Fatores de risco de privacidade:
de risco de privacidade comumente aceito. O NIST
Ação de dados problemáticos | Probabilidade | Impacto
desenvolveu um modelo de risco de privacidade
para calcular o risco com base na probabilidade de uma
ação de dados problemática multiplicada pelo impacto de uma ação de dados problemática; cada um dos três fatores
de risco é
explicado abaixo.
o Uma ação de dados problemática é qualquer ação que um sistema realiza para processar dados que pode resultar em um
problema para os indivíduos. As organizações consideram o tipo de problemas que são relevantes para a população de
indivíduos. Os problemas podem assumir qualquer forma e podem considerar a experiência dos indivíduos.21
o A probabilidade é definida como uma análise contextual de que uma ação de dados provavelmente criará um problema para um
conjunto representativo de indivíduos. O contexto pode incluir fatores organizacionais (por exemplo, localização
geográfica, a percepção pública sobre as organizações participantes no que diz respeito à privacidade), fatores do sistema
(por exemplo, a natureza e o histórico das interações dos indivíduos com o sistema, visibilidade do processamento de
dados para indivíduos e terceiros) ou fatores individuais (por exemplo, dados demográficos dos indivíduos, interesses ou
percepções de privacidade, sensibilidade dos dados).22 Um mapa de dados pode ajudar nesta análise contextual (consulte
Organização de recursos preparatórios).
o O impacto é uma análise dos custos caso o problema ocorra. Conforme observado na seção 1.2,
as organizações não enfrentam esses problemas diretamente. Além disso, as experiências dos indivíduos podem ser subjetivas.
Assim, o impacto pode ser difícil de avaliar com precisão. As organizações devem
19
O NIST desenvolveu uma Metodologia de Avaliação de Riscos de Privacidade (PRAM) que pode ajudar as organizações a identificar,
avaliar e responder aos riscos de privacidade. É composto por um conjunto de planilhas disponíveis em [3].
20
Consulte NIST SP 800-30, Rev. 1, Guia para conduzir avaliações de risco [12] na p. 8.
21
Como parte de seu PRAM, o NIST criou um catálogo ilustrativo de ações de dados problemáticas e problemas a serem considerados
[3]. Outras organizações podem ter criado conjuntos de problemas adicionais ou podem referir-se a eles como consequências
adversas ou danos.
22 Consulte NIST PRAM para obter mais informações sobre fatores contextuais. Eu ia. na planilha 2.
35
Machine Translated by Google
considerar os melhores meios de internalizar o impacto para os indivíduos, a fim de priorizar e responder adequadamente
aos riscos de privacidade.23
• Abordagem de avaliação
A abordagem de avaliação é o mecanismo pelo qual os riscos identificados são priorizados. As abordagens de avaliação podem ser
24 25
categorizadas como quantitativas, semiquantitativas ou qualitativas.
Dados os limites aplicáveis dos recursos de uma organização, as organizações priorizam os riscos para facilitar a comunicação
26
sobre como responder.
Conforme descrito na secção 1.2.2, as abordagens de resposta incluem mitigação, transferência/partilha, prevenção ou
aceitação.27
Monitorando Mudanças
A gestão de riscos de privacidade não é um processo estático. Uma organização monitoriza como as mudanças no seu ambiente de
negócios – incluindo novas leis e regulamentos e tecnologias emergentes – e as alterações correspondentes nos seus sistemas,
produtos e serviços podem estar a afetar o risco de privacidade, e utiliza iterativamente as práticas neste apêndice para se ajustar em
conformidade. (GV.MT-P1)
23
O NIST PRAM utiliza custos organizacionais, como custos de não conformidade, custos diretos de negócios, custos de reputação e custos de cultura
interna, como direcionadores para considerar como avaliar o impacto individual. Eu ia. na Planilha 3, Guia Impacto.
24
Consulte NIST SP 800-30, Rev. 1, Guia para conduzir avaliações de risco em [12] p. 14.
25
O NIST PRAM usa uma abordagem semiquantitativa baseada em uma escala de 1 a 10.
26
O NIST PRAM fornece várias representações de priorização, incluindo um mapa de calor. Consulte [3] Planilha 3.
27
O NIST PRAM fornece um processo para responder aos riscos de privacidade priorizados. Eu ia. na planilha 4.
28 Consulte NIST SP 800-37, Rev. 2 [7].
29
Consulte NIST SP 800-53 conforme atualizado [10].
36
Machine Translated by Google
Camada 1: Parcial
• Processo de gerenciamento de riscos de privacidade – As práticas organizacionais de gerenciamento de riscos de privacidade não
são formalizadas e o risco é gerenciado de maneira ad hoc e, às vezes, reativa. A priorização das atividades de privacidade pode não
ser diretamente informada pelas prioridades de gestão de riscos organizacionais, avaliações de riscos de privacidade ou missão
ou objetivos comerciais.
• Programa Integrado de Gestão de Riscos de Privacidade – Há uma consciência limitada do risco de privacidade em
o nível organizacional. A organização implementa a gestão de riscos de privacidade de forma irregular, caso a caso, devido à
experiência variada ou às informações obtidas de fontes externas. A organização pode não ter processos que permitam o
compartilhamento de informações sobre o processamento de dados e os riscos de privacidade resultantes dentro da
organização.
• Relacionamentos do Ecossistema de Processamento de Dados – Há uma compreensão limitada do(s) papel(s) de uma organização
no ecossistema mais amplo em relação a outras entidades (por exemplo, compradores, fornecedores, prestadores de serviços,
associados de negócios, parceiros). A organização não possui processos para identificar como os riscos de privacidade
podem proliferar em todo o ecossistema ou para comunicar riscos ou requisitos de privacidade a outras entidades do ecossistema.
• Força de trabalho – Alguns funcionários podem ter uma compreensão limitada dos riscos de privacidade ou dos processos de gestão de
riscos de privacidade, mas não têm responsabilidades específicas de privacidade. Se disponível, o treinamento sobre
privacidade é ad hoc e o conteúdo não é atualizado com as melhores práticas.
• Processo de gerenciamento de riscos de privacidade – As práticas de gerenciamento de riscos são aprovadas pela administração, mas
podem não ser estabelecidas como política para toda a organização. A priorização das atividades de privacidade é diretamente
informada pelas prioridades de gestão de riscos organizacionais, avaliações de riscos de privacidade ou missão ou objetivos de
negócios.
• Relacionamentos do Ecossistema de Processamento de Dados – Existe alguma compreensão do(s) papel(s) de uma organização
no ecossistema mais amplo em relação a outras entidades (por exemplo, compradores, fornecedores, prestadores de serviços,
associados de negócios, parceiros). A organização está ciente do ecossistema de privacidade
riscos associados aos produtos e serviços que fornece e utiliza, mas não atua de forma consistente ou formal sobre
esses riscos.
• Força de trabalho – Existem funcionários com responsabilidades específicas em matéria de privacidade, mas também podem ter
responsabilidades não relacionadas com a privacidade. O treinamento sobre privacidade é realizado regularmente para o pessoal
de privacidade, embora não exista um processo consistente para atualizações sobre as melhores práticas.
37
Machine Translated by Google
Camada 3: Repetível
• Processo de gerenciamento de riscos de privacidade – As práticas de gerenciamento de riscos da organização são formalmente
aprovadas e expressas como política. As práticas de privacidade organizacional são atualizadas regularmente com base na
aplicação de processos de gestão de riscos a mudanças na missão ou nos objetivos de negócios
e um cenário de riscos, políticas e tecnologia em mudança.
• Programa Integrado de Gerenciamento de Riscos de Privacidade – Existe uma abordagem em toda a organização para
gerenciar riscos de privacidade. Políticas, processos e procedimentos baseados em riscos são definidos,
implementados conforme pretendido e revisados. Existem métodos consistentes para responder eficazmente às mudanças no risco.
A organização monitora de forma consistente e precisa os riscos à privacidade. Executivos seniores de privacidade e não-
privacidade comunicam-se regularmente sobre riscos de privacidade. Os executivos seniores garantem a consideração
da privacidade em todas as linhas de operação da organização.
• Força de trabalho – Pessoal dedicado à privacidade possui o conhecimento e as habilidades para desempenhar as funções e
responsabilidades designadas. Há treinamento regular e atualizado sobre privacidade para todo o pessoal.
Camada 4: Adaptável
• Processo de gerenciamento de riscos de privacidade – A organização adapta suas práticas de privacidade com base em
lições aprendidas com eventos de privacidade e identificação de novos riscos de privacidade. Através de um processo de melhoria
contínua que incorpora tecnologias e práticas de privacidade avançadas, a organização adapta-se ativamente a um cenário
político e tecnológico em mudança e responde de forma atempada e eficaz à evolução dos riscos de privacidade.
• Programa integrado de gerenciamento de riscos de privacidade – Existe uma abordagem em toda a organização para
gerenciar riscos de privacidade que utiliza políticas, processos e procedimentos baseados em riscos para lidar com ações
problemáticas de dados. A relação entre o risco de privacidade e os objetivos organizacionais é claramente compreendida e
considerada na tomada de decisões. Os executivos seniores monitoram o risco de privacidade no mesmo contexto que o risco
de segurança cibernética, o risco financeiro e outros riscos organizacionais. O orçamento organizacional é baseado na
compreensão do ambiente de risco atual e previsto e na tolerância ao risco. As unidades de negócios implementam
a visão executiva e analisam os riscos no nível do sistema no contexto das tolerâncias ao risco organizacional. A gestão do risco
de privacidade faz parte da cultura organizacional e evolui a partir de lições aprendidas e da consciência contínua do processamento
de dados e dos riscos de privacidade resultantes. A organização pode contabilizar de forma rápida e eficiente as mudanças nos
objetivos de negócio/missão na forma como o risco é abordado e comunicado.
38
Machine Translated by Google
• Força de trabalho – A organização possui conjuntos de habilidades de privacidade especializadas em toda a organização
estrutura; pessoal com perspectivas diversas contribui para a gestão de riscos de privacidade.
Existe treinamento regular, atualizado e especializado em privacidade para todo o pessoal. O pessoal de todos os níveis
compreende os valores de privacidade organizacional e o seu papel na sua manutenção.
39