Explorar os requisitos de controles de acesso do subprocessador
Se um subprocessador tiver "potencial para acessar" dados pessoais ou dados confidenciais da Microsoft, isso significa que eles podem processar esses dados sempre e como desejarem? A Microsoft permite que os subprocessadores processem dados, apenas para fornecer os serviços que a Microsoft os reteve para fornecer e eles são proibidos de usar os dados para qualquer outra finalidade. Os dados pessoais processados por subprocessadores geralmente são pseudonymizados ou des identificáveis, permitindo que os subprocessadores cumpram suas responsabilidades de trabalho sem acessar atributos identificáveis. A Microsoft exige que cada tipo de subprocessador use controles de acesso apropriados para proteger os dados que processam.
Tipos de subprocessadores
A Microsoft designou três categorias de subprocessadores:
- Tecnologia: Subprocessadores de terceiros que alimentam tecnologias integradas perfeitamente aos Serviços Online da Microsoft e, em parte, alimentam as funções de nuvem da Microsoft. Se você implantar um desses serviços, os subprocessadores identificados para esse serviço poderão processar, armazenar ou acessar dados do cliente ou dados pessoais enquanto ajudam a fornecer esse serviço.
- Auxiliares: Subprocessadores de terceiros que fornecem serviços que acompanham que ajudam a dar suporte, operar e manter os Serviços Online. Nesses casos, os subprocessadores identificados podem processar, armazenar ou acessar dados limitados do cliente ou dados pessoais enquanto fornecem seus serviços auxiliares.
- Equipe de contrato: Organizações que fornecem funcionários contratados que trabalham lado a lado com funcionários em tempo integral da Microsoft para dar suporte, operar e manter os Serviços Microsoft Online. Em todos esses casos, os Dados do Cliente ou Dados Pessoais residem apenas em instalações da Microsoft, em sistemas Microsoft e estão sujeitos a políticas e supervisão da Microsoft.
Além disso, as entidades de data center da Microsoft fornecem a infraestrutura do datacenter na qual os Serviços Online da Microsoft são executados. Os dados dentro dos datacenters são criptografados e nenhum pessoal dentro dos datacenters pode acessá-los.
Controles de acesso do subprocessador
Cada tipo de subprocessador na Microsoft impõe controles de acesso apropriados para proteger os dados pessoais e do cliente. Todos os subprocessadores são necessários para manter a segurança e a confidencialidade dos dados pessoais e do cliente e são contratualmente obrigados a atender aos rígidos requisitos de privacidade e segurança. Esses requisitos são equivalentes ou mais fortes do que os compromissos contratuais que a Microsoft faz aos seus clientes no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft.
Os funcionários do contrato estão sujeitos aos mesmos controles de acesso em vigor para funcionários em tempo integral da Microsoft, incluindo MFA (autenticação multifator), ZSA (Acesso Permanente Zero) e JIT (Just-In-Time) com JEA (Just-Enough-Access). Além disso, os subcontratados que trabalham em instalações ou usam equipamentos controlados pela Microsoft são contratualmente obrigados a seguir nossos padrões de privacidade e passar por treinamento regular de privacidade.
A tecnologia e os subprocessadores auxiliares são responsáveis pela implementação de controles de acesso em conformidade com os Requisitos de Proteção de Dados da Microsoft (DPR). Esses requisitos atendem ou excedem os compromissos contratuais que a Microsoft faz aos seus clientes em nossos Termos de Produto. Esses subprocessadores podem ter o potencial de acessar determinados dados restritos, como Dados pessoais ou cliente, para fornecer funções de suporte aos Serviços Do Microsoft Online. Contratos de subprocessador proíbem especificamente o uso de Dados Pessoais para qualquer outra finalidade. Além disso, os controles aplicáveis da DPR ajudam a proteger dados pessoais e de clientes contra acesso ou uso não autorizados. Em muitos casos, as tarefas que os subprocessadores executam podem ser realizadas com dados pseudônimos ou anonimizados.
Os subprocessadores também são necessários para atender aos requisitos de privacidade e segurança, incluindo aqueles relacionados à implementação de medidas técnicas e organizacionais apropriadas para proteger dados pessoais.