Governação de regiões de cloud para o RGPD da UE, NIS2 e DORA
Às 08:17 de uma terça-feira de manhã, Maria, CISO de uma fintech europeia em rápido crescimento, recebe a mensagem que todos os clientes cloud regulados acabam por recear.
A equipa de Compras reencaminha um aviso breve do fornecedor:
“O nosso prestador de analytics na cloud vai mover a telemetria dos clientes da UE para uma nova região por motivos de desempenho. Afirmam que não há impacto na segurança. Podemos aprovar?”
Antes de Maria responder, chega uma segunda notificação do principal prestador de serviços cloud. Com efeitos a 90 dias, o fornecedor irá “otimizar o seu modelo global de suporte” encaminhando tickets de suporte de Nível 2 através de um novo subcontratante subsequente. Uma revisão rápida mostra que esse subcontratante subsequente está sediado num país sem decisão de adequação ao abrigo do RGPD da UE.
Às 09:00, jurídico, privacidade, resiliência, Compras, engenharia cloud e conformidade financeira já estão na conversa. O Encarregado da Proteção de Dados pergunta se é necessária uma Avaliação de Impacto da Transferência. O gestor de resiliência pergunta se a nova região afeta o plano de recuperação de um serviço crítico. O responsável de conformidade financeira pergunta se o fornecedor consta do registo DORA de terceiros de TIC. A equipa cloud verifica o plano de dados de produção e percebe que a questão é mais ampla do que analytics. Cópias de segurança, logs operacionais, tickets de suporte, exportações de data lake, acesso break-glass e acesso de subcontratantes podem estar todos dentro do âmbito.
Este é o verdadeiro problema de governação cloud em 2026.
A maioria das organizações tem uma política cloud. Muitas têm um registo de fornecedores. Algumas têm uma avaliação de transferências ao abrigo do RGPD da UE. Menos organizações conseguem responder, com evidência, à pergunta de auditoria mais difícil:
Onde residem exatamente os dados regulados e o tratamento crítico de TIC, quem pode aceder a partir de onde, o que acontece durante o failover e que controlo contratual impede o fornecedor de alterar a resposta sem aprovação?
Isto é governação de regiões de cloud. Não é uma simples caixa de verificação jurídica. É um sistema de controlo vivo que atravessa a ISO/IEC 27001:2022, os controlos cloud e de fornecedores da ISO/IEC 27002:2022, a responsabilização do RGPD da UE, a resiliência de serviços da NIS2 e a supervisão de terceiros de TIC prevista em DORA.
A residência dos dados é agora um controlo operacional
Durante anos, o “alojamento apenas na UE” foi tratado como uma cláusula num acordo de tratamento de dados. Isso já não é suficiente. Um programa moderno de residência dos dados na cloud e de governação de regiões deve cobrir, no mínimo, seis camadas operacionais:
- Regiões primárias de armazenamento e computação em produção.
- Regiões de cópia de segurança, arquivo e recuperação de desastre.
- Localizações de dados de logs, monitorização, SIEM e observabilidade.
- Acesso de suporte, incluindo administração remota e acesso break-glass.
- Subcontratantes subsequentes e subcontratantes, incluindo serviços geridos e componentes de marketplace.
- Caminhos de transferência de dados entre ambientes, API, plataformas de analytics e ferramentas de suporte ao cliente.
O RGPD da UE torna isto inevitável porque os dados pessoais podem incluir identificadores em linha, endereços IP, identificadores de conta de cliente, registos de utilizadores, identificadores de dispositivo, metadados operacionais e registos de suporte. O tratamento também é definido de forma ampla, incluindo armazenamento, acesso, utilização, divulgação, apagamento e destruição. “Só enviamos logs” não é uma exceção segura se esses logs contiverem identificadores.
O Article 5 do RGPD da UE também inclui o princípio da responsabilização. Os responsáveis pelo tratamento não devem apenas cumprir os princípios da licitude, lealdade, transparência, limitação das finalidades, minimização dos dados, limitação da conservação, integridade e confidencialidade. Devem também conseguir demonstrar conformidade. A governação de regiões de cloud é uma das formas de tornar essa demonstração concreta.
A NIS2 estende o problema da privacidade para a resiliência. Nos termos do Article 21, as entidades essenciais e importantes devem implementar medidas técnicas, operacionais e organizacionais adequadas para gerir riscos para as redes e sistemas de informação utilizados nas suas operações ou na prestação de serviços. As medidas listadas incluem segurança da cadeia de fornecimento, continuidade de negócio, gestão de cópias de segurança, recuperação de desastre, gestão de crise, controlo de acesso, gestão de ativos, cifragem e avaliação da eficácia. Se uma decisão sobre uma região de cloud afetar a disponibilidade ou a recuperação de um serviço dentro do âmbito, não é apenas uma matéria de proteção de dados. É uma matéria de resiliência.
Para as entidades financeiras, DORA eleva ainda mais o nível de exigência. DORA aplica-se desde 17 de janeiro de 2025 e estabelece requisitos para a gestão do risco de TIC, comunicação de incidentes, testes de resiliência operacional digital, gestão de riscos de terceiros de TIC e acordos contratuais. O Article 28 exige que as entidades financeiras giram o risco de terceiros de TIC como parte integrante do quadro de gestão do risco de TIC, mantenham registos dos acordos contratuais, avaliem o risco de concentração e planeiem a saída para funções críticas ou importantes. O Article 30 exige clareza contratual sobre localizações de serviço e de tratamento de dados, direitos de auditoria e de acesso, suporte a incidentes, subcontratação, recuperação, devolução e transição de saída.
DORA funciona como o regime setorial específico para entidades financeiras, enquanto a NIS2 continua a ser relevante em toda a cadeia de fornecimento mais ampla, especialmente para prestadores de serviços de computação em cloud, prestadores de centros de dados e prestadores de serviços geridos. Um único subcontratante subsequente não validado pode, portanto, criar um efeito dominó sobre resiliência financeira, segurança da cadeia de fornecimento e obrigações de privacidade.
Em termos simples, se uma organização regulada não consegue governar onde ocorre o seu tratamento na cloud, não consegue governar de forma credível o risco de terceiros de TIC.
Use a ISO 27001 como âncora do sistema de gestão
A ISO/IEC 27001:2022 fornece a estrutura para transformar a confusão sobre residência de dados num sistema de gestão controlado.
As cláusulas 4.1 a 4.4 exigem que a organização defina o SGSI no seu contexto, incluindo questões internas e externas, requisitos das partes interessadas, obrigações legais, regulamentares e contratuais, interfaces e dependências com outras organizações. Para a governação de regiões de cloud, o âmbito do SGSI deve incluir explicitamente serviços cloud, tratamento de TIC externalizado, dependências de serviços críticos e fluxos de dados regulados.
As cláusulas 5.1 a 5.3 tornam a liderança responsável. A alta direção deve alinhar a Política de Segurança da Informação e os objetivos com a orientação estratégica, disponibilizar recursos, atribuir responsabilidades e assegurar que o desempenho do SGSI é reportado. É aqui que a residência cloud se torna um tema de gestão e de conselho de administração, especialmente para entidades NIS2, em que os órgãos de gestão devem aprovar e supervisionar medidas de gestão de riscos de cibersegurança, e para entidades financeiras abrangidas por DORA, em que o órgão de gestão é responsável pela governação do risco de TIC.
As cláusulas 6.1.1 a 6.1.3 fornecem o motor de risco. A organização precisa de um processo repetível de avaliação de riscos, proprietários de riscos, critérios de impacto e probabilidade, opções de tratamento, controlos selecionados, uma Declaração de Aplicabilidade e aceitação do risco residual. Uma alteração de região de cloud não deve ser aprovada por correio eletrónico informal. Deve desencadear uma avaliação de riscos ou uma revisão de alteração quando afetar dados regulados, funções críticas, fornecedores ou pressupostos de continuidade.
A cláusula 8.1 transforma o planeamento em controlo operacional. Os processos devem ser implementados, controlados, documentados, alterados de forma gerida e estendidos a produtos e serviços fornecidos externamente que sejam relevantes para o SGSI. As cláusulas 8.2 e 8.3 exigem reavaliação e tratamento em intervalos planeados ou quando ocorram alterações significativas. Migração de região de cloud, replicação de cópias de segurança, uma nova plataforma de logs ou uma alteração de subcontratante subsequente de suporte são todos candidatos a reavaliação.
O conjunto de controlos da ISO/IEC 27002:2022 fornece então a família prática de controlos. Os controlos mais relevantes incluem:
- 5.9 Inventário da informação e de outros ativos associados.
- 5.14 Transferência de informação.
- 5.15 Controlo de acesso.
- 5.19 Segurança da informação nas relações com fornecedores.
- 5.20 Tratamento da segurança da informação nos acordos com fornecedores.
- 5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores.
- 5.23 Segurança da informação na utilização de serviços cloud.
- 5.29 Segurança da informação durante interrupções.
- 5.30 Preparação das TIC para a continuidade de negócio.
- 5.31 Requisitos legais, estatutários, regulamentares e contratuais.
- 5.34 Privacidade e proteção de informações pessoais identificáveis (PII).
- 5.36 Conformidade com políticas, regras e normas de segurança da informação.
- 8.11 Mascaramento de dados.
- 8.12 Prevenção de fuga de dados.
- 8.13 Cópia de segurança da informação.
- 8.15 Logs.
- 8.16 Atividades de monitorização.
- 8.20 Segurança de redes.
- 8.24 Utilização de criptografia.
- 8.25 Ciclo de vida de desenvolvimento seguro.
- 8.27 Arquitetura segura de sistemas e princípios de engenharia.
- 8.32 Gestão de alterações.
O Zenith Controls: The Cross-Compliance Guide da Clarysec Zenith Controls trata o controlo 5.23 da ISO/IEC 27002:2022, segurança da informação na utilização de serviços cloud, como um controlo preventivo que suporta confidencialidade, integridade e disponibilidade, com capacidade operacional na segurança das relações com fornecedores e em domínios de governação, ecossistema e proteção. O guia liga o 5.23 ao 5.19 relações com fornecedores, 5.14 transferência de informação, 5.9 inventário de ativos, 8.11 e 8.12 mascaramento de dados e prevenção de fuga de dados, 8.20 segurança de redes e 8.25 ciclo de vida de desenvolvimento seguro.
Uma observação-chave do Zenith Controls é:
“Os prestadores de serviços cloud (CSP) funcionam como fornecedores críticos e, por isso, aplicam-se todos os controlos relativos à seleção de fornecedores, contratação e gestão de riscos ao abrigo do 5.19. No entanto, o 5.23 vai mais longe ao abordar riscos específicos da cloud, como multi-tenancy, transparência sobre a localização dos dados e modelos de responsabilidade partilhada.”
Esta frase capta a mudança de governação. Um prestador cloud não é apenas mais um fornecedor. É frequentemente o local onde reside o tratamento regulado.
As armadilhas ocultas da residência: cópias de segurança, logs, suporte e subcontratantes subsequentes
A maioria das falhas de residência dos dados não começa na base de dados de produção. Começa em sistemas de suporte que nunca foram devidamente incluídos na revisão dos fluxos de dados.
As cópias de segurança são o exemplo clássico. Uma plataforma SaaS pode operar em Frankfurt ou Dublin, enquanto as cópias de segurança automatizadas são replicadas noutro local por razões de resiliência ou de custo. Se a cópia de segurança contiver dados pessoais, registos de clientes, logs de autenticação ou histórico de transações reguladas, a região da cópia de segurança é relevante. Ao abrigo do Article 21 da NIS2, a gestão de cópias de segurança e a recuperação de desastre fazem parte da linha de base de segurança. Ao abrigo de DORA, a continuidade de funções críticas ou importantes e as estratégias de saída testadas exigem conhecimento das localizações de recuperação e das dependências de recuperação.
Os logs são outro ponto fraco. As equipas de segurança centralizam telemetria em serviços SIEM, observabilidade e data lake. Esses logs podem incluir endereços IP, identificadores de utilizador, ações de administradores, metadados de pagamento, tentativas falhadas de autenticação, identificadores de conta de cliente ou dados de rastreio de suporte. Se os logs passarem para um serviço global de monitorização, a organização pode ter criado uma transferência transfronteiriça sem se aperceber.
A Política de logs e monitorização para PME da Clarysec Logging and Monitoring Policy - SME aborda diretamente a evidência de fornecedores:
“Os contratos devem exigir que os fornecedores retenham logs durante pelo menos 12 meses e forneçam acesso mediante pedido”
Esta citação vem da secção “Requisitos de governação”, cláusula 5.5.1.3 da política. Para a governação da residência dos dados, a mesma revisão contratual deve confirmar onde esses logs são retidos, quem pode aceder-lhes e se a evidência de logs está disponível durante uma investigação de incidente ou um pedido de esclarecimento regulamentar.
O acesso de suporte é mais subtil. Um fornecedor pode alojar dados na UE, enquanto engenheiros de suporte fora da UE conseguem aceder a ambientes de clientes, snapshots de bases de dados, pacotes de diagnóstico ou anexos de tickets. A aceitabilidade depende dos dados envolvidos, do mecanismo de transferência, da função, das salvaguardas contratuais, dos controlos de acesso e dos logs. A arquitetura pode ser regional, mas o modelo de acesso humano pode ser global.
Os subcontratantes subsequentes criam o último ponto cego. O seu fornecedor direto pode depender de infraestrutura cloud, redes de distribuição de conteúdos, bases de dados geridas, plataformas de tickets, serviços de analytics, equipas de suporte offshore ou fornecedores de segurança. O Article 29 de DORA exige a avaliação dos riscos de subcontratação, fornecedores de países terceiros, restrições de recuperação de dados, conformidade com a proteção de dados e cadeias complexas de subcontratação. O Article 21 da NIS2 exige que as entidades considerem as práticas de cibersegurança dos fornecedores diretos e prestadores de serviços. O RGPD da UE exige que os subcontratantes giram subcontratantes subsequentes de forma a preservar a capacidade do responsável pelo tratamento de cumprir as suas obrigações.
A Política de segurança de terceiros e fornecedores para PME da Clarysec Third-Party and Supplier Security Policy - SME torna isto prático:
“Quando os fornecedores forem obrigados a armazenar dados fora das instalações, a empresa deve obter garantias relativas à proteção de dados, segurança física e localização geográfica do armazenamento (por exemplo, alojamento apenas na UE quando exigido pelo RGPD da UE).”
Isto vem da secção “Requisitos de implementação da política”, cláusula 6.2.4 da política. A mesma política também exige:
“Restrições a subcontratação adicional sem aprovação”
Esta citação vem da secção “Requisitos de governação”, cláusula 5.3.5 da política. Em conjunto, estas cláusulas transformam a residência dos dados num fluxo de trabalho de gestão de fornecedores, não numa preferência de Compras.
Transforme a política em governação aplicável de regiões de cloud
A governação de regiões de cloud deve ser aplicável, sujeita a revisão e auditável.
Para PME, a Política de Utilização da Cloud para PME Cloud Usage Policy - SME define a linha de base:
“As práticas de residência dos dados e privacidade cumprem os requisitos legais aplicáveis (por exemplo, RGPD da UE)”
Isto vem da secção “Requisitos de governação”, cláusula 5.2.3 da política. A mesma política exige que os registos de governação cloud incluam:
“O país ou região onde os dados são armazenados”
Esta citação vem da secção “Requisitos de governação”, cláusula 5.3.4 da política.
Para organizações de maior dimensão, a Política de Utilização da Cloud Cloud Usage Policy é mais explícita sobre a aplicação contratual:
“Os requisitos de residência dos dados devem ser impostos contratualmente (por exemplo, armazenamento apenas na UE para dados regulados pelo RGPD da UE).”
Isto vem da secção “Requisitos de implementação da política”, cláusula 6.6.2 da política. Também afirma:
“As transferências transfronteiriças de dados devem cumprir o Capítulo V do RGPD da UE e, quando aplicável, o Article 28 de DORA.”
Isto vem da secção “Requisitos de implementação da política”, cláusula 6.6.3 da política.
A versão empresarial também dá atenção a:
“Garantias de residência dos dados e de propriedade dos dados”
Esta citação vem da secção “Papéis e responsabilidades”, cláusula 4.5.1.2 da política.
A Política de segurança de terceiros e fornecedores Third party and supplier security policy acrescenta a camada contratual ao exigir:
“Requisitos de tratamento de dados, incluindo localização de armazenamento, controlos de acesso e cláusulas de devolução ou destruição”
Esta citação vem da secção “Requisitos de governação”, cláusula 5.3.2 da política.
Por fim, a Política de Conformidade Legal e Regulamentar Legal and Regulatory Compliance Policy identifica alterações que devem desencadear revisão de conformidade, incluindo:
“Alterações a mecanismos de transferência de dados, subcontratantes subsequentes ou fluxos de dados transfronteiriços”
Isto vem da secção “Requisitos de governação”, cláusula 5.3.1.1 da política.
Estes documentos não devem funcionar como ficheiros separados. Num SGSI maduro, tornam-se um único modelo operacional: inventário cloud, registo de fluxos de dados, registo de fornecedores, matriz contratual, avaliação de riscos, revisão de transferências, aprovação de alterações e pacote de evidência de auditoria.
Crie um Registo de Governação de Regiões de Cloud
Um registo prático transforma a residência cloud de pressuposto em evidência. Comece por um serviço crítico orientado para o cliente, especialmente um que seja provavelmente abrangido pela NIS2, por diligência devida de clientes DORA ou por escrutínio do RGPD da UE.
| Campo de evidência | O que registar | Porque é relevante |
|---|---|---|
| Nome do serviço | Conta cloud, ferramenta SaaS, base de dados, plataforma de logs ou serviço de fornecedor | Estabelece o inventário e o âmbito |
| Categoria de dados | Dados pessoais, dados de categorias especiais, logs de segurança, dados confidenciais de clientes ou metadados operacionais | Suporta o RGPD da UE, a classificação e os controlos de fornecedores |
| Função de negócio | Produção, cópia de segurança, monitorização, suporte, analytics ou recuperação de desastre | Liga a utilização cloud à criticidade e à continuidade |
| Região primária | País, região de cloud ou jurisdição de alojamento | Confirma o compromisso principal de residência |
| Região de cópia de segurança ou failover | Localizações de recuperação, replicação e arquivo | Previne transferências ocultas e lacunas de resiliência |
| Modelo de acesso de suporte | Países, equipas, processo de acesso privilegiado e controlos break-glass | Captura o risco de transferência associado ao acesso humano |
| Subcontratantes subsequentes | Fornecedores a jusante e estado de aprovação | Suporta a supervisão de fornecedores e a revisão de subcontratação DORA |
| Referência da cláusula contratual | DPA, MSA, SLA, anexo de segurança ou termos cloud | Demonstra a aplicabilidade contratual |
| Mecanismo de transferência | Adequação, mecanismo aprovado, localização, exceção aprovada ou ausência de transferência | Suporta a responsabilização ao abrigo do RGPD da UE |
| Evidência de monitorização | Capturas de ecrã, políticas cloud, logs, relatórios do CSP, relatórios de auditoria e datas de revisão | Suporta testes de auditoria |
| Proprietário do risco | Proprietário de negócio ou técnico identificado | Permite a propriedade do risco ISO e a aceitação do risco residual |
| Última revisão de alteração | Data, ticket de alteração, aprovação e resultado da reavaliação | Demonstra controlo contínuo, não documentação estática |
Agora ligue o registo à implementação.
No Zenith Blueprint: An Auditor’s 30-Step Roadmap da Clarysec Zenith Blueprint, a fase Controls in Action, Passo 23, centra-se nos controlos organizacionais 5.19 a 5.37, incluindo acordos com fornecedores e governação de serviços cloud. O Blueprint alerta que os acordos com fornecedores devem cobrir mais do que confidencialidade genérica:
“Em muitos setores, os acordos com fornecedores também definem propriedade dos dados e jurisdição. Onde são tratados os dados? Quem mantém o controlo? Existem restrições de transferência? Existem controlos específicos de cloud (como segmentação de dados, propriedade de chaves ou limitações geográficas)? Estes elementos não são apenas jurídicos; são questões operacionais de segurança, especialmente em setores regulados.”
A mesma fase e passo aborda a gestão de alterações de fornecedores:
“A maioria das relações com fornecedores começa com boas intenções. Uma revisão aprofundada, expectativas claras, acordos assinados (ver 5.20), talvez até uma lista de verificação de segurança. Mas o que acontece um ano depois, quando o fornecedor propõe mover os seus dados para uma nova região cloud?”
Esse é o problema da terça-feira de manhã de Maria. O registo dá ao CISO uma forma de responder antes de aprovar a mudança.
O Zenith Blueprint também clarifica o significado de governação do controlo cloud 5.23:
“Um bucket de armazenamento mal configurado, um painel de gestão exposto publicamente ou permissões excessivas numa configuração de IAM cloud não são falhas da cloud. São falhas de governação.”
Na fase Controls in Action, Passo 22, o Blueprint aborda a transferência de informação e afirma:
“Se dados pessoais estiverem a ser transferidos além-fronteiras, o método deve cumprir obrigações de privacidade e legais, não apenas preferências internas.”
Esta linha é importante para as equipas cloud. Cifragem, API seguras e conectividade privada são necessárias, mas não substituem a governação legal e regulamentar das transferências.
Realize o primeiro workshop de evidência de 90 minutos
Não comece por mapear toda a empresa. Comece por um serviço crítico e realize um workshop focado com engenharia cloud, Compras, jurídico, privacidade, resiliência e operações de segurança.
Primeiro, liste todos os componentes cloud ou de fornecedor que armazenam, tratam, transmitem, fazem cópias de segurança, monitorizam ou suportam o serviço. Inclua sistemas menores, como monitorização de disponibilidade, anexos de tickets, rastreio de erros, ferramentas de partilha de ecrã para suporte e exportações de diagnóstico.
Segundo, marque cada categoria de dados. Se a equipa disser “apenas metadados”, questione o pressuposto. Metadados ainda podem ser dados pessoais ou dados confidenciais de clientes.
Terceiro, verifique a região com base em evidência. Utilize a configuração da consola cloud, políticas de cópia de segurança, definições de tenancy do SIEM, anexos do DPA, listas de subcontratantes subsequentes, termos contratuais, documentação de acesso de suporte e relatórios de auditoria do CSP. Não se baseie apenas em garantias comerciais.
Quarto, registe lacunas no Registo de Riscos do SGSI. Exemplos incluem “região de replicação de cópias de segurança não restringida contratualmente”, “acesso de suporte a partir de país terceiro sem fluxo de aprovação documentado”, “logs SIEM retidos globalmente”, “lista de subcontratantes subsequentes não identifica a região de alojamento” ou “registo DORA não distingue dependência de função crítica ou importante”.
Quinto, decida o tratamento. Os tratamentos podem incluir aditamento contratual, bloqueio de região, notificação ao cliente, cifragem com chaves geridas pelo cliente, tokenização, minimização de logs, aprovação de novo fornecedor, atualização da estratégia de saída ou aceitação do risco residual pelo proprietário do risco.
Sexto, preserve a evidência. Os auditores não perguntarão apenas o que foi decidido. Perguntarão como sabe que foi implementado.
Mapeie um conjunto de evidência para ISO, RGPD da UE, NIS2, DORA e NIST CSF 2.0
Um programa forte de governação de regiões de cloud evita trabalho duplicado de conformidade. A mesma evidência pode suportar várias obrigações se estiver estruturada corretamente.
| Área de controlo | Perspetiva ISO/IEC 27001:2022 e ISO/IEC 27002:2022 | Perspetiva RGPD da UE | Perspetiva NIS2 | Perspetiva DORA | Perspetiva NIST CSF 2.0 |
|---|---|---|---|---|---|
| Inventário cloud e fluxos de dados | Âmbito do SGSI, 5.9 inventário de ativos, 5.23 governação de serviços cloud, 5.31 requisitos legais | Responsabilização, registos de tratamento, integridade e confidencialidade | Gestão de ativos, análise de riscos, segurança da cadeia de fornecimento | Ativos de TIC, dependências e acordos contratuais | ID.AM gestão de ativos e GV.SC gestão de riscos da cadeia de fornecimento |
| Governação de regiões e cópias de segurança | 5.23 utilização de serviços cloud, 8.13 cópia de segurança da informação, 5.30 preparação das TIC, 5.22 gestão de alterações de fornecedores | Limitação da conservação, controlos de transferência, segurança do tratamento | Continuidade de negócio, gestão de cópias de segurança e recuperação de desastre | Continuidade de funções críticas ou importantes e planeamento de saída | PR.DS segurança dos dados e RC.RP execução do plano de recuperação de incidentes |
| Contratos com fornecedores | 5.19 relações com fornecedores, 5.20 acordos com fornecedores, 5.22 monitorização de fornecedores | Obrigações de subcontratantes, supervisão de subcontratantes subsequentes e salvaguardas de transferência | Segurança da cadeia de fornecimento e qualidade do fornecedor | Articles 28 a 30 risco de terceiros de TIC e disposições contratuais | GV.SC diligência devida, contratos, monitorização e cessação |
| Acesso de suporte | 5.15 controlo de acesso, 8.15 logs, 8.16 atividades de monitorização, 8.32 gestão de alterações | Prevenção de acesso não autorizado e responsabilização | Controlo de acesso, autenticação multifator quando adequado e tratamento de incidentes | Controlos de risco de TIC, governação de acesso de terceiros e suporte a incidentes | PR.AA identidade e controlo de acesso e DE.CM monitorização contínua |
| Evidência de incidentes e violações | 5.24 a 5.28 gestão de incidentes, 8.15 logs, 8.16 atividades de monitorização | Avaliação e notificação de violação de dados pessoais | Alerta precoce, notificação de incidentes e reporte final de incidentes significativos | Classificação de incidentes graves de TIC e suporte ao reporte | RS.MA gestão de incidentes, RS.AN análise, RS.CO comunicação e RS.MI mitigação |
O NIST CSF 2.0 é útil como camada de integração. A sua função GOVERN alinha-se com obrigações legais, regulamentares, contratuais e de privacidade, apetite ao risco, responsabilização, políticas e supervisão. A sua categoria GV.SC de cadeia de fornecimento mapeia bem para as expectativas DORA relativas a terceiros de TIC, para os requisitos de cadeia de fornecimento da NIS2 e para os controlos ISO de fornecedores.
O COBIT 2019 e uma perspetiva de auditoria ISACA testam frequentemente os mesmos factos através de objetivos de governação: propriedade, direitos de decisão, otimização do risco, desempenho de fornecedores, realização de benefícios e garantia. Um revisor com abordagem COBIT pode não começar por “qual é a região cloud configurada?”. Pode começar por “quem tem autoridade para aprovar uma alteração de região, como é escalado o risco e como sabe a gestão que os fornecedores cloud permanecem dentro da tolerância?”
É por isso que o modelo da Clarysec captura proprietários, pontos de aprovação, evidência contratual e reporte à gestão, não apenas definições técnicas.
Prepare-se para as perguntas do auditor
A governação de regiões de cloud é um exemplo perfeito de como diferentes auditores analisam o mesmo controlo a partir de ângulos distintos.
Um auditor ISO/IEC 27001:2022 começará pelo âmbito, requisitos das partes interessadas, avaliação de riscos e Declaração de Aplicabilidade. Perguntará se os requisitos legais, regulamentares e contratuais estão identificados, se os controlos cloud e de fornecedores estão incluídos, se os riscos foram avaliados, se os controlos estão implementados e se a evidência é retida. Poderá selecionar um serviço cloud como amostra e pedir a revisão de onboarding, cláusulas contratuais, configuração de região, revisão de monitorização e aprovação de alteração.
Uma autoridade de controlo de proteção de dados ou um revisor do RGPD da UE concentrar-se-á nos dados pessoais. Perguntará que dados pessoais são tratados, onde são armazenados, a partir de onde são acedidos, que subcontratantes e subcontratantes subsequentes estão envolvidos, se os mecanismos de transferência estão documentados, se é necessária uma Avaliação de Impacto da Transferência e se estão em vigor medidas técnicas e organizativas adequadas. Logs, dados de suporte e cópias de segurança recebem frequentemente atenção porque as organizações os subestimam.
Um auditor NIS2 ou autoridade competente focar-se-á nos serviços dentro do âmbito. Analisará a responsabilização da gestão ao abrigo do Article 20, medidas de gestão de riscos ao abrigo do Article 21, continuidade, gestão de cópias de segurança, recuperação de desastre, tratamento de incidentes, segurança da cadeia de fornecimento, controlo de acesso, gestão de ativos e avaliação da eficácia.
Um supervisor DORA ou uma equipa de auditoria interna procurará governação do risco de TIC, supervisão pelo órgão de gestão, o registo de informações relativo a acordos com terceiros de TIC, mapeamento de funções críticas ou importantes, risco de concentração, risco de subcontratação, localizações de tratamento de dados, direitos de auditoria, suporte à comunicação de incidentes, testes de continuidade e planos de saída. DORA é clara: o outsourcing não transfere a responsabilização.
O Zenith Controls ajuda os líderes de segurança a preparar estes estilos de auditoria porque referencia relações entre controlos. Para o controlo 5.20 da ISO/IEC 27002:2022, tratamento da segurança da informação nos acordos com fornecedores, o Zenith Controls liga-o ao 5.19 relações com fornecedores, 5.14 transferência de informação, 5.22 monitorização de fornecedores, 5.11 devolução de ativos e 5.36 conformidade com políticas, regras e normas. Para o controlo 5.22, monitorização, revisão e gestão de alterações dos serviços de fornecedores, liga a supervisão contínua de fornecedores ao 5.29 segurança durante interrupções, 8.8 gestão de vulnerabilidades técnicas, 5.15 controlo de acesso, 8.27 arquitetura segura de sistemas e princípios de engenharia e 5.36 conformidade.
Esta visão transversal de controlos é importante porque uma alteração de região nunca é apenas uma alteração de região. Pode alterar o risco de fornecedor, o risco de transferência, o risco de acesso, o risco de continuidade, a evidência de resposta a incidentes e a conformidade contratual.
Use esta lista de verificação CISO de 2026 antes de aprovar uma alteração cloud
Use esta lista de verificação antes de aprovar qualquer nova região de cloud, caminho de tratamento transfronteiriço, localização de cópia de segurança, plataforma de logs, modelo de suporte ou alteração de fornecedor crítico de TIC.
| Pergunta | Evidência a solicitar | Intenção do controlo |
|---|---|---|
| Que dados serão armazenados, tratados, registados em logs ou sujeitos a cópia de segurança? | Classificação de dados, diagrama de fluxo de dados, campos de amostra e esquema de logs | Prevenir exposição oculta de dados pessoais ou críticos |
| Que países ou regiões de cloud são utilizados para produção, cópia de segurança e suporte? | Configuração cloud, declaração de região do fornecedor, anexo do DPA e modelo de suporte | Confirmar as localizações reais de residência e acesso |
| A localização é vinculativa contratualmente? | MSA, DPA, SLA, anexo de segurança, termos cloud e cláusula de subcontratante subsequente | Tornar a governação de regiões aplicável |
| O fornecedor pode alterar regiões ou subcontratantes subsequentes sem aprovação? | Termos de notificação de alteração, fluxo de aprovação e processo de notificação de subcontratantes subsequentes | Prevenir desvios silenciosos |
| Os logs e os dados de monitorização estão incluídos? | Tenancy do SIEM, definições de observabilidade, cláusula de retenção e logs de acesso | Incluir a telemetria operacional no âmbito |
| O acordo suporta obrigações de incidentes NIS2 ou DORA? | Cláusula de notificação de incidentes, contactos de escalonamento, acesso a evidência e registos de teste | Permitir reporte regulamentar tempestivo |
| Existe um plano de saída ou recuperação para funções críticas? | Plano de saída, teste de restauro de cópia de segurança, plano de fornecedor alternativo e cláusula de devolução de dados | Reduzir risco de continuidade e de concentração |
| A avaliação de riscos foi atualizada? | Registo de riscos do SGSI, aprovação do risco residual e atualização da Declaração de Aplicabilidade, se necessário | Manter a governação ISO atualizada |
Se a resposta a qualquer pergunta for “assumimos”, o controlo não é suficientemente maduro para operações reguladas.
O roteiro de remediação
O caminho de remediação é prático quando está ancorado no SGSI.
- Confirme que o âmbito do SGSI inclui serviços cloud, dependências críticas de TIC e tratamento de dados regulados.
- Crie o Registo de Governação de Regiões de Cloud para serviços prioritários.
- Mapeie cada serviço para categorias de dados, regiões, localizações de cópias de segurança, acesso de suporte e subcontratantes subsequentes.
- Reveja os acordos com fornecedores quanto a localização de armazenamento, transferência, auditoria, incidentes, subcontratação, devolução e cláusulas de destruição.
- Atualize o Registo de Riscos com lacunas, riscos de concentração e transferências não documentadas.
- Alinhe o registo DORA de terceiros de TIC e o mapeamento de dependências de serviços NIS2, quando aplicável.
- Valide a aplicação técnica, incluindo bloqueios de região, políticas de cópia de segurança, definições de logs, cifragem, controlos de acesso e gestão de chaves.
- Prepare um pacote de evidência de auditoria com capturas de ecrã, contratos, registos de risco, aprovações, atas de revisão e resultados dos testes.
- Estabeleça um gatilho de alteração para novas regiões, subcontratantes subsequentes, mecanismos de transferência ou alterações críticas de serviços de fornecedores.
- Reporte à gestão o risco de residência cloud, as exceções e as decisões de aceitação do risco residual.
Isto não é conformidade teórica. É a diferença entre um ambiente cloud capaz de resistir ao escrutínio de auditoria e outro que depende de garantias verbais.
O caso de negócio: soberania, resiliência e confiança
Os executivos por vezes veem a governação da residência dos dados como uma restrição à agilidade cloud. Na prática, uma governação madura de regiões melhora a agilidade porque as equipas conhecem as regras antes de comprar, construir ou migrar.
Uma equipa de produto consegue lançar mais rapidamente quando as regiões aprovadas são claras. Compras consegue negociar mais depressa quando as cláusulas obrigatórias já estão definidas. O jurídico consegue avaliar transferências mais rapidamente quando os fluxos de dados estão documentados. As operações de segurança conseguem investigar mais depressa quando as localizações dos logs e os direitos de acesso são conhecidos. O conselho de administração consegue tomar decisões de risco mais rapidamente quando o risco de concentração, o impacto na continuidade e a aceitação do risco residual estão visíveis.
Para os clientes, especialmente clientes regulados, isto torna-se um sinal de confiança. Um fornecedor SaaS que consegue explicar onde residem os dados, como são governadas as cópias de segurança, como é controlado o acesso de suporte, como são aprovados os subcontratantes subsequentes e como são revistas as alterações de região terá melhor desempenho do que um fornecedor que apenas diz “utilizamos um prestador cloud líder”.
Em 2026, essa distinção é relevante. A NIS2 trouxe a governação da cibersegurança para entidades essenciais e importantes em toda a UE. DORA tornou a supervisão de terceiros de TIC uma disciplina formal do setor financeiro. A responsabilização do RGPD da UE continua central. A ISO/IEC 27001:2022 fornece o sistema de gestão que mantém tudo alinhado.
Próximos passos com a Clarysec
Se a sua organização não consegue responder onde residem os dados regulados e o tratamento crítico de TIC em produção, cópias de segurança, logs, acesso de suporte e subcontratantes, este é o momento de fechar a lacuna.
A Clarysec pode ajudá-lo a criar um pacote de evidência de governação de regiões de cloud utilizando:
- Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint para implementação ISO faseada e preparação para auditoria.
- Zenith Controls: The Cross-Compliance Guide Zenith Controls para mapear controlos cloud e de fornecedores da ISO/IEC 27002:2022 para evidência operacional e expectativas entre referenciais.
- Política de Utilização da Cloud Cloud Usage Policy e Política de Utilização da Cloud para PME Cloud Usage Policy - SME para requisitos de residência dos dados na cloud.
- Política de segurança de terceiros e fornecedores Third party and supplier security policy e Política de segurança de terceiros e fornecedores para PME Third-Party and Supplier Security Policy - SME para contratos com fornecedores, subcontratação e garantia da localização geográfica de armazenamento.
- Política de logs e monitorização para PME Logging and Monitoring Policy - SME para retenção de logs e evidência de fornecedores.
- Política de Conformidade Legal e Regulamentar Legal and Regulatory Compliance Policy para gatilhos de revisão de conformidade em torno de mecanismos de transferência, subcontratantes subsequentes e fluxos de dados transfronteiriços.
Comece com um serviço crítico, um prestador cloud e um registo. Em poucos workshops, pode passar de pressupostos a evidência, e de conformidade fragmentada a resiliência cloud governada.
Descarregue o toolkit da Clarysec, solicite uma demonstração ou agende uma avaliação de governação de regiões de cloud para transformar os seus compromissos de residência cloud em evidência pronta para auditoria.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
