Entender os requisitos do subprocessador da Microsoft
A Microsoft processa muitos tipos de dados como parte do fornecimento de serviços de nuvem para nossos clientes. Categorizaremos os dados processados para garantir que eles sejam tratados com as proteções de segurança e privacidade apropriadas. Categorias de dados processados pela Microsoft são definidas no DPA (Microsoft Products and Services Data Protection).
Quando a Microsoft utiliza um fornecedor para fornecer um aspecto de nossos Serviços Online que pode exigir que o fornecedor processe esses dados, o fornecedor é identificado como um "subprocessador" (de acordo com a terminologia GDPR). Todos os subprocessadores que processam "Dados Pessoais" e "Dados Confidenciais da Microsoft" devem aderir ao Programa SSPA (Microsoft Supplier Security and Privacy Assurance) antes de serem autorizados a processar dados em nome da Microsoft.
Tipos de dados compartilhados com a Microsoft
Os Dados Pessoais são definidos como qualquer informação relacionada a uma pessoa natural identificada ou identificável, também conhecida como o titular dos dados. Os Dados Pessoais podem se enquadrar em quatro categorias de dados separadas e distintas:
- Os dados do cliente são todos os dados, incluindo todos os arquivos de texto, som, vídeo ou imagem e software fornecidos à Microsoft por ou em nome do Cliente por meio do uso do Serviço Online, excluindo os Dados dos Serviços Profissionais da Microsoft.
- Os Dados gerados pelo serviço incluem todos os dados "derivados" ou "gerados" pela Microsoft por meio da operação de um serviço online. A Microsoft agrega esses dados de nossos serviços online e os usa para garantir que o desempenho, a segurança, o dimensionamento e outros serviços que afetam a experiência do cliente estejam operando nos níveis que nossos clientes exigem.
- Os dados de diagnóstico incluem todos os dados "coletados" ou "obtidos" de aplicativos instalados localmente para uso em conexão com o serviço online corporativo da Microsoft. São usados para ajudar a Microsoft a garantir que o software cliente seja seguro e funcione corretamente.
- Dados de serviços profissionais significam todos os dados, incluindo todo texto, som, vídeo, arquivos de imagem ou software, que são fornecidos à Microsoft, por ou em nome de um cliente (ou que o Cliente autoriza a Microsoft a obter de um Produto) ou obtido ou processado por ou em nome da Microsoft por meio de um compromisso com a Microsoft para obter serviços profissionais. Os Dados dos Serviços Profissionais incluem dados de suporte fornecidos à Microsoft durante o suporte técnico para um serviço online.
- Os Dados Confidenciais da Microsoft referem-se a qualquer informação que, se comprometida por meio de confidencialidade ou integridade, possa resultar em uma reputação significativa ou perda financeira para a Microsoft. Isso pode incluir informações sobre o desenvolvimento, teste ou fabricação de produtos da Microsoft, chaves de licença e materiais de marketing de pré-lançamento.
| Tipos de dados | Definição |
|---|---|
| Dados do cliente | Fornecido pelo cliente |
| Dados de diagnóstico | Coletado ou obtido do software instalado pelo Cliente |
| Dados gerados pelo serviço | Gerado ou derivado pela Microsoft |
| Dados de serviços profissionais Dados de suporte |
Fornecido pelo cliente em conexão com serviços profissionais Um subconjunto de dados de serviços profissionais fornecidos pelo Cliente em conexão com o suporte técnico |
| Dados pessoais | Qualquer um dos tipos de dados definidos acima relacionados a uma pessoa natural identificada ou identificável |
Programa SSPA (Garantia de Privacidade e Segurança do Fornecedor) da Microsoft
O programa Microsoft Supplier Security and Privacy Assurance (SSPA) é um programa corporativo projetado para padronizar e fortalecer as práticas de manipulação de dados definindo requisitos de privacidade e segurança para fornecedores da Microsoft. O programa SSPA exige que os fornecedores demonstrem conformidade com as políticas estritas de privacidade e segurança da Microsoft, obrigações legais e expectativas do cliente. Para proteger os dados confiados aos nossos fornecedores, a Microsoft exige que todos os subprocessadores que processam Dados Pessoais ou Dados Confidenciais da Microsoft cumpram o programa SSPA.
O programa SSPA inclui um conjunto de controles de segurança e privacidade que devem ser implementados por subprocessadores antes de processar dados em nome da Microsoft. Definimos esses controles nos Requisitos de Proteção de Dados (DPR). Todos os subprocessadores registrados no programa SSPA devem examinar e atestar sua conformidade com os controles de DPR aplicáveis antes de iniciar o trabalho contratado. Além disso, os subprocessadores devem concluir um autoteste de conformidade com a DPR anualmente. Dependendo do nível de risco associado aos dados processados e serviços fornecidos pelo subprocessador, podem ser necessários requisitos adicionais. Abordaremos esses requisitos adicionais mais adiante neste módulo.
A conformidade do subprocessador com os requisitos do programa SSPA é controlada nas ferramentas de compra da Microsoft. As ferramentas de compra não permitem que os compromissos com subprocessadores avancem até que todos os requisitos sejam concluídos. A falha em manter a conformidade com os requisitos do SSPA faz com que o subprocessador seja impedido de acessar ou processar dados em nome da Microsoft.