Visão geral do gerenciamento de dados e privacidade
Como a Microsoft aborda a privacidade dos clientes?
O compromisso da Microsoft em proteger os dados do cliente está definido nos Termos do Produto e no DPA (Data Protection Addendum). A base da abordagem da Microsoft para a privacidade baseia-se nos seguintes princípios: controle do cliente, transparência, segurança, defesa de dados de acesso de terceiros, nenhuma segmentação baseada em conteúdo e conformidade com leis e regulamentos relevantes. Para obter mais informações, consulte Privacidade na Microsoft e noRelatório de Privacidade da Microsoft para saber mais sobre a abordagem da Microsoft para proteger a privacidade.
Como a Microsoft implementa seus compromissos de privacidade?
A Microsoft mantém a Política de Privacidade Corporativa da Microsoft e o Microsoft Privacy Standard para garantir que cumpramos nossos compromissos de privacidade em toda a empresa. A Microsoft tem conselhos de governança, conselhos e comitês para dar suporte à adoção e implementação consistentes e compatíveis de nossos requisitos de privacidade corporativa. O programa de privacidade da Microsoft começa com um modelo de governança "hub e spoke", onde a responsabilidade pela conformidade é compartilhada em toda a empresa, algumas são centralizadas e outras são distribuídas. O "hub" da equipe de privacidade corporativa da Microsoft é o grupo CELA (Assuntos Corporativos, Externos e Jurídicos). Os "spokes" residem nos grupos funcionais e de engenharia da empresa.
A Microsoft também tem padrões de tratamento de dados em vigor que fornecem diretrizes sobre como gerenciar cada tipo de classificação de dados em atividades ou cenários específicos, incluindo requisitos para atender às obrigações descritas nos Termos de Produto e DPA.
Como a Microsoft coleta e processa dados do cliente?
O ciclo de vida dos dados descreve como a Microsoft processa dados com base nas diretrizes do cliente e em conformidade com as leis de segurança e privacidade aplicáveis, conforme observado nos Termos de Produto e DPA. Os estágios do ciclo de vida dos dados incluem coleta, processamento, armazenamento, compartilhamento de terceiros (quando aplicável), retenção, transferência e exclusão. A abordagem de privacidade da Microsoft informa cada estágio do ciclo de vida dos dados para proteger a privacidade de nossos clientes.
A Microsoft limita a coleta de dados do cliente a três categorias de dados: Dados do Cliente, Dados Pessoais e Dados de Serviços Profissionais, conforme definido na DPA. A Microsoft usa e processa dados dessas categorias para fornecer produtos e serviços de acordo com instruções documentadas de seus clientes e para incidentes de operações comerciais para fornecer os produtos e serviços. Descrições específicas dessas atividades de uso e processamento são definidas na DPA em seções, "Processamento para Fornecer ao Cliente os Produtos e Serviços" e "Incidente de Processamento para Operações Empresariais para Fornecer produtos e serviços ao cliente", respectivamente.
Como a Microsoft lida com o compartilhamento de terceiros?
O compartilhamento de terceiros é o compartilhamento ou a divulgação de dados para terceiros. A Microsoft só compartilhará dados quando autorizada pelo cliente ou obrigada a fazê-lo por lei aplicável. A Microsoft não concede a nenhum governo (incluindo aplicação da lei ou outras entidades governamentais) acesso direto ou livre aos dados do cliente. Para obter mais informações, consulte o Relatório de Solicitações de Aplicação da Lei e o Relatório de Ordem de Segurança Nacional dos EUA para saber como a Microsoft responde às solicitações governamentais para acessar dados.
A Microsoft usa subprocessadores ou subcontratados?
Para obter informações sobre como a Microsoft gerencia fornecedores, consulte Página Gerenciamento de Fornecedores .
Quem tem acesso aos dados do cliente na Microsoft?
Para saber como a Microsoft gerencia o acesso aos dados do cliente, consulte Página Gerenciamento de Identidade e Acesso .
Onde estão localizados os dados do cliente?
Para Serviços Online Principais, confira nossos compromissos descritos nos Termos do Produto e na DPA para encontrar as informações mais atualizadas sobre o local dos dados do cliente.
Conforme descrito no DPA dos Principais Serviços Online, a Microsoft armazena os Dados do Cliente em repouso em determinadas áreas geográficas principais (cada uma, uma Geo) conforme estabelecido nos Termos do Produto. Para serviços comerciais no escopo do Limite de Dados da Ue da Microsoft, a Microsoft armazena e processa os Dados do Cliente na União Europeia, conforme estabelecido nos Termos do Produto. A Microsoft não controla nem limita as regiões das quais os usuários finais do Cliente ou do Cliente podem acessar ou mover dados do cliente.
Visite Privacidade da Microsoft – Onde estão seus dados localizados para saber mais.
Para serviços do Azure e M365, visite a residência de dados do Azure e os locais de dados M365.
Outros locais de dados de serviços:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Identidade Política de Dados Pessoais
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Serviços Profissionais da Microsoft
- Proteção contra Ameaças da Microsoft
Limite de dados da UE da Microsoft
Em 6 de maio de 2021, a Microsoft anunciou o Limite de Dados da UE para o Microsoft Cloud, o novo compromisso da Microsoft com os clientes na Europa. O Limite de Dados da UE é um limite geograficamente definido no qual a Microsoft se comprometeu a armazenar e processar dados de clientes para nossos principais serviços online, incluindo Azure, Dynamics 365, Power Platform e Microsoft 365, sujeitos a circunstâncias limitadas em que os dados do cliente continuarão a ser transferidos fora do Limite de Dados da UE.
Saiba mais em:
Como a Microsoft exclui os dados do cliente quando um cliente deixa o serviço?
O Padrão de Tratamento de Dados da Microsoft especifica quanto tempo os dados do cliente são mantidos após a exclusão. Quando um cliente encerra sua assinatura, a Microsoft retém os dados do cliente em uma conta de função limitada por 90 dias para permitir que o cliente extraia os dados. Após o término do período de retenção de 90 dias, a Microsoft excluirá os dados do cliente, a menos que autorizado a retê-los ou seja necessário retê-los por lei. No máximo 180 dias após a expiração ou término de uma assinatura do Microsoft serviços online, a Microsoft desabilita a conta e exclui todos os dados do cliente da conta. Depois que o período máximo de retenção de todos os dados tiver decorrido, os dados são renderizados comercialmente irrecuperáveis.
A Microsoft também exclui todos os dados de diagnóstico e gerados pelo serviço como parte do ciclo de vida padrão de dados da Microsoft, a menos que os dados sejam necessários para manter a segurança e a estabilidade do serviço. Para qualquer assinatura, um assinante pode entrar em contato com Suporte da Microsoft e solicitar o desprovisionamento de assinatura acelerada. Quando um cliente usa esse processo, todos os dados do usuário são excluídos três dias após o administrador inserir o código de bloqueio fornecido pela Microsoft. Essa exclusão inclui dados no SharePoint Online e Exchange Online em espera ou armazenados em caixas de correio inativas.
A Microsoft segue as diretrizes do NIST SP-800-88 para a destruição de dispositivos capazes de armazenar dados, conforme descrito no artigo Destruição de dispositivos com dados .
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são auditados regularmente para conformidade com regulamentos e certificações externas. Consulte a tabela a seguir para validação de controles relacionados à privacidade.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27018 Instrução de Aplicabilidade Certificado |
A-2.1: Finalidade do processador PII de nuvem pública | 6 de novembro de 2023 |
| ISO 27701 Instrução de Aplicabilidade Certificado |
Todos os controles | 6 de novembro de 2023 |
| SOC 1 | DS-15: término/expiração da assinatura do cliente SDL-1: metodologia SDL (Ciclo de Vida do Desenvolvimento de Segurança) LA-4: proteção de dados confidenciais do cliente |
17 de novembro de 2023 |
| SOC 2 SOC 3 |
DS-15: término/expiração da assinatura do cliente SDL-1: metodologia SDL (Ciclo de Vida do Desenvolvimento de Segurança) LA-4: proteção de dados confidenciais do cliente SOC2-1: Classificação de ativos SOC2-7: obrigações de confidencialidade e segurança publicadas |
17 de novembro de 2023 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27018 Instrução de Aplicabilidade Certificado |
A-2.1: Finalidade do processador PII de nuvem pública | março de 2024 |
| ISO 27701 Instrução de Aplicabilidade Certificado |
Todos os controles | março de 2024 |
| SOC 2 | CA-12: SLAs (contratos de nível de serviço) CA-17: Política de segurança da Microsoft CA-25: atualizações da estrutura de controle |
23 de janeiro de 2024 |
Recursos
- Centro de Confiança da Microsoft: princípios de privacidade: princípios de privacidade
- Conformidade com os requisitos de transferência da UE para dados pessoais no Microsoft Cloud
- Informações de privacidade e proteção de dados dos Serviços Profissionais da Microsoft
- Perguntas frequentes sobre a avaliação de impacto da transferência de dados
- Data Residency, soberania de dados e conformidade na Nuvem da Microsoft
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de