Conformidade de Segurança e Privacidade
Levamos a sério nossa responsabilidade de proteger a confidencialidade, a disponibilidade e a integridade dos seus dados, por isso contamos com as seguintes certificações:
ISO/IEC 27701:2019
A ISO 27701:2019 é uma extensão da ISO/IEC 27001 e da ISO/IEC 27002 para Gestão de Informações de Privacidade — Requisitos e Diretrizes. Ela fornece orientações adicionais para a proteção da privacidade e para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Informações de Privacidade (PIMS).
A ISO 27701 comprova que as informações pessoais são processadas em conformidade com a legislação aplicável de dados e privacidade, bem como com requisitos contratuais. Ela amplia as medidas técnicas de implementação da segurança da informação para incluir e abordar também os requisitos de privacidade. Em essência, é uma estrutura para que as organizações gerenciem riscos de privacidade e implementem medidas adequadas, com foco em informações pessoais.
A norma ajuda as empresas a se alinharem às regulamentações globais de privacidade e aprimora as práticas de proteção de dados. Ela exige a avaliação sistemática dos riscos de privacidade, a implementação de controles abrangentes de privacidade e a gestão contínua para manter a certificação.
O objetivo é garantir medidas eficazes de privacidade e fortalecer a confiança dos clientes nas práticas de proteção de dados.
ISO 27001:2013
A ISO/IEC 27001:2013 é uma norma de gestão de segurança que especifica as melhores práticas de gestão de segurança e controles abrangentes de segurança, seguindo as orientações de melhores práticas da ISO 27002. Esta é uma norma internacional de segurança amplamente reconhecida. A certificação nessa norma exige que nós:
- Avalíamos sistematicamente nossos riscos de segurança da informação, levando em conta o impacto de ameaças e vulnerabilidades para a empresa
- Desenhemos e implementemos um conjunto abrangente de controles de segurança da informação e outras formas de gestão de riscos para lidar com os riscos de segurança da empresa e da arquitetura
- Adotemos um processo de gestão abrangente para garantir que os controles de segurança da informação atendam continuamente às nossas necessidades de segurança da informação
A chave para a certificação contínua segundo essa norma é a gestão eficaz de um programa rigoroso de segurança. O Sistema de Gestão de Segurança da Informação (ISMS) exigido por essa norma define como gerenciamos continuamente a segurança de forma holística e abrangente. A certificação ISO 27001 é especificamente focada no ISMS da D2L e mede como nossos processos internos seguem a norma ISO. A certificação significa que um auditor independente terceirizado e acreditado realizou uma avaliação de nossos processos e controles e confirmou que eles operam em conformidade com a abrangente norma de certificação ISO 27001.
ISO 27018:2019
A ISO/IEC 27018:2019 estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementar medidas de proteção de Informações de Identificação Pessoal (PII), de acordo com os princípios de privacidade da ISO/IEC 29100 para o ambiente de computação em nuvem pública.
Em particular, a ISO/IEC 27018:2019 especifica diretrizes baseadas na ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de PII que possam ser aplicáveis no contexto dos ambientes de risco de segurança da informação de um provedor de serviços de nuvem pública.
ISO 27017:2015
A ISO/IEC 27017 fornece diretrizes para controles de segurança da informação aplicáveis ao fornecimento e ao uso de serviços em nuvem, oferecendo:
orientações adicionais de implementação para controles relevantes especificados na ISO/IEC 27002;
controles adicionais com orientações de implementação relacionados especificamente a serviços em nuvem.
Esta recomendação fornece controles e orientações de implementação tanto para provedores de serviços em nuvem quanto para clientes de serviços em nuvem.
TX-RAMP
O Texas Risk and Authorization Management Program — ou TX-RAMP — tem como objetivo oferecer uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de serviços de computação em nuvem utilizados por agências estaduais do Texas, incluindo instituições públicas de ensino superior.
Essa certificação significa que o D2L Brightspace pode continuar operando no Texas com agências estaduais e instituições de ensino. O TX-RAMP complementa as certificações de segurança já existentes da D2L, incluindo ISO 27001, ISO 27017, ISO 27018 e ISO 27701. Essa norma internacional de segurança amplamente reconhecida exige que a D2L mantenha uma gestão contínua e eficaz de um programa rigoroso de segurança.
Registro de Segurança, Confiança e Garantia (STAR) da Cloud Security Alliance (CSA)
Como parte do programa de Autoavaliação do Security, Trust and Assurance Registry (STAR) da Cloud Security Alliance (CSA), a D2L envia um relatório de autoavaliação, o Consensus Assessments Initiative Questionnaire (CAIQ), que documenta nossa conformidade com as melhores práticas publicadas pela CSA.
O programa STAR inclui um registro gratuito que documenta os controles de segurança fornecidos pela D2L para gerenciar nossas instâncias em nuvem. Esse registro, acessível publicamente, foi desenvolvido para que os usuários de nossos serviços em nuvem possam avaliar nossas práticas específicas de segurança e auxiliar nossos clientes atuais e potenciais a responderem às suas dúvidas de segurança.
O Consensus Assessments Initiative Questionnaire (CAIQ) oferece formas aceitas pelo setor para documentar quais controles de segurança existem em nossa oferta de Software como Serviço (SaaS).
Uma cópia do CAIQ da D2L está localizada em : https://cloudsecurityalliance.org/star-registrant/desire2learn
I2 Cloud Scorecard
Como participante do Internet2 Cloud Scorecard, a D2L disponibilizou informações comuns de segurança e conformidade em um único local de fácil consulta. Você pode visualizar o D2L Brightspace Cloud Scorecard. O questionário do Cloud Scorecard, desenvolvido por instituições de ensino superior, agora está disponível para que instituições de pesquisa e educação possam avaliar padrões com eficiência.
O scorecard é uma autoavaliação preenchida com base em normas e melhores práticas desenvolvidas pela comunidade de pesquisa e educação. Sua instituição pode usar os padrões do scorecard para comparar ou avaliar serviços com base em critérios essenciais.
SOC 1® Type II & SOC 2® Type II
Os relatórios de Controles de Organização de Serviços (SOC) são relatórios de análise independentes, realizados por terceiros, que demonstram como a D2L atende aos principais controles e objetivos de conformidade. O objetivo desses relatórios é ajudar você e seus auditores a entender os controles estabelecidos pela D2L para apoiar as operações e a conformidade.
Os relatórios SOC da D2L incluem quatro dos Princípios de Serviços Confiáveis: Segurança, Confidencialidade, Integridade de Processamento e Disponibilidade.
Para solicitar uma cópia do(s) nosso(s) relatório(s) SOC mais recente(s), entre em contato com seu representante de conta.