Visão geral do gerenciamento de dados e privacidade
Como é que a Microsoft aborda a privacidade dos clientes?
A Microsoft está empenhada em proteger os dados dos clientes, conforme descrito nos Termos do Produto e na Adenda à Proteção de Dados (DPA). A base da abordagem da Microsoft à privacidade para clientes comerciais baseia-se nos seguintes princípios: controlar os seus dados, saber onde os seus dados estão localizados e como são utilizados, segurança dos seus dados inativos e em trânsito, e defender dados de acesso de terceiros.
Como é que a Microsoft implementa os compromissos de privacidade?
A Microsoft mantém os seus compromissos de privacidade através da Política de Privacidade Empresarial da Microsoft e do Microsoft Privacy Standard. Para garantir a adoção consistente e conforme destes requisitos, a Microsoft criou conselhos de governação, conselhos e comissões. O nosso programa de privacidade utiliza um modelo de governação "hub-and-spoke", onde as responsabilidades de conformidade são partilhadas em toda a empresa. O "hub" é o grupo CELA (Assuntos Empresariais, Externos e Jurídicos), que inclui o Diretor de Privacidade, responsável pela governação da privacidade. Além disso, temos um Responsável designado pela Proteção de Dados (DPO ) da União Europeia (UE) para cumprir os requisitos de privacidade específicos da UE. Os "spokes" estão dentro dos nossos grupos de engenharia e funcionais e são responsáveis pela implementação dos requisitos de privacidade.
A Microsoft cumpre os seus requisitos de privacidade através de auditorias e certificações de terceiros, tais como ISO 27018 e ISO 27701.
Como é que a Microsoft recolhe e processa os dados dos clientes?
O DPA define três categorias de dados: Dados do Cliente, Dados Pessoais e Dados de Serviços Profissionais.
A Microsoft processa dados destas categorias para fornecer produtos e serviços de acordo com as instruções documentadas dos clientes e para operações empresariais. Resumindo, a Microsoft processa dados para entrega de serviços, resolução de problemas, manutenção e melhorias. Os dados não são utilizados para criação de perfis de utilizador, publicidade ou investigação de mercado.
As descrições detalhadas destas atividades encontram-se nas secções DPA "Processing to Provide Customer the Products and Services" (Processamento para Fornecer Produtos e Serviços ao Cliente) e "Processing for Business Operations Incident to Providing the Products and Services to Customer".
Como é que a Microsoft garante a confidencialidade dos dados dos clientes?
O modelo de governação de privacidade da Microsoft garante que os controlos de privacidade protegem a confidencialidade dos dados dos clientes. Estes controlos são detalhados nos nossos relatórios de terceiros, como ISO 27001 e 27701, acessíveis através do Portal de Confiança do Serviço. Estes relatórios abrangem controlos sobre minimização, retenção/eliminação de dados, localização e transferência e partilha, entre outros.
Algumas medidas-chave a ter em conta são:
- Acesso aos dados: a Microsoft assume que todos os dados dos clientes incluem dados pessoais e aplica as salvaguardas adequadas sem aceder aos dados para verificar o respetivo conteúdo.
- Processamento de Dados: a Microsoft pseudonimiza e agrega dados para proteger a confidencialidade. Veja o DPA para obter mais detalhes.
- Isolamento de Dados: a Microsoft utiliza técnicas de isolamento de dados para separar os inquilinos da cloud, garantindo que os clientes só podem aceder aos seus próprios dados. Para saber como os conteúdos dos clientes estão isolados ou segregados, visite o artigo Descrição geral da arquitetura . Além disso, a Microsoft proíbe a utilização de dados de clientes em ambientes de teste.
O que faz a Microsoft para proteger os dados dos clientes?
Conforme descrito no DPA, a Microsoft tem salvaguardas para proteger os dados dos clientes. Vários artigos no Service Assurance fornecem uma descrição geral destas salvaguardas. Veja secções como Encriptação, Gestão de Acesso, Datacenter e Segurança de Rede , Gestão de Pessoal e Fornecedor eGestão de Vulnerabilidades.
Como é que a Microsoft lida com a partilha de dados de terceiros?
O compartilhamento de terceiros é o compartilhamento ou a divulgação de dados para terceiros. A Microsoft só partilhará dados quando autorizado pelo cliente ou for obrigado a fazê-lo pela lei aplicável. A Microsoft não concede a nenhum governo (incluindo aplicação da lei ou outras entidades governamentais) acesso direto ou livre aos dados do cliente. Para obter mais informações, consulte o Relatório de Pedidos de Aplicação da Lei e o Relatório de Ordem de Segurança Nacional dos EUA para saber como a Microsoft responde aos pedidos governamentais para aceder aos dados.
A Microsoft utiliza subprocessadores ou subcontratantes?
Para obter informações sobre como a Microsoft gere fornecedores, consulte a página Gestão de Fornecedores .
Quem tem acesso aos dados dos clientes na Microsoft?
Para saber como a Microsoft gere o acesso aos dados dos clientes, veja a página Gestão de Identidades e Acessos .
Onde estão localizados os dados do cliente?
Para o Core Online Services, veja os nossos compromissos descritos nos Termos do Produto e no DPA para encontrar as informações mais atualizadas sobre a localização dos dados do cliente.
Conforme descrito no DPA para os Principais Serviços Online, a Microsoft armazena Dados de Cliente inativos em determinadas áreas geográficas principais (cada uma, uma Geo), conforme estabelecido nos Termos do Produto. Para serviços comerciais no âmbito do Limite de Dados da UE da Microsoft, a Microsoft armazena e processa os Dados dos Clientes na União Europeia, conforme estabelecido nos Termos do Produto. A Microsoft não controla nem limita as regiões a partir das quais os utilizadores finais do Cliente ou do Cliente podem aceder ou mover Dados do Cliente.
Visite Privacidade da Microsoft - Onde estão os seus dados localizados para saber mais.
Para os serviços do Azure e do M365, visite Residência dos dados do Azure e localizações de dados do M365.
Outras localizações de dados de serviços:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Política de Dados Pessoais do Microsoft Defender para Identidade
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Serviços Profissionais da Microsoft
- Proteção contra Ameaças da Microsoft
Qual é o Limite de Dados da UE da Microsoft?
O Limite de Dados da UE é um compromisso dos Serviços Online da Microsoft que fornece aos clientes da UE e da EFTA um maior controlo e transparência sobre onde os seus dados são armazenados e processados. A partir de 1 de janeiro de 2023, a Microsoft irá oferecer aos clientes a capacidade de armazenar e processar os seus dados de clientes dentro do Limite de Dados da UE para os serviços microsoft 365, Azure, Power Platform e Dynamics 365. Com esta versão, a Microsoft expande os compromissos de armazenamento e processamento locais existentes, reduzindo consideravelmente os fluxos de dados para fora da Europa e baseando-se nas nossas soluções de residência de dados líderes do setor.
Nas próximas fases do Limite de Dados da UE, a Microsoft expandirá a solução de Limite de Dados da UE para incluir o armazenamento e o processamento de categorias adicionais de dados pessoais, incluindo dados fornecidos ao receber suporte técnico.
Saiba mais em:
Como é que a Microsoft elimina os dados dos clientes quando um cliente sai do serviço?
Quando um cliente termina a subscrição, a Microsoft retém os dados do cliente numa conta de função limitada durante 90 dias, permitindo ao cliente extrair os dados. Após este período, a Microsoft elimina os dados, a menos que a retenção seja autorizada ou exigida por lei. No máximo 180 dias após o fim de uma subscrição, a Microsoft desativa a conta e elimina todos os dados, tornando-a irrecuperável.
A Microsoft também elimina dados pessoais nos registos gerados pelo sistema. Para qualquer assinatura, um assinante pode entrar em contato com Suporte da Microsoft e solicitar o desprovisionamento de assinatura acelerada. Quando um cliente utiliza este processo, todos os dados de utilizador são eliminados 3 dias após o administrador introduzir o código de bloqueio fornecido pela Microsoft. Esta eliminação inclui dados no SharePoint Online e Exchange Online em suspensão ou armazenados em caixas de correio inativas.
A Microsoft segue as diretrizes do NIST SP-800-88 para a destruição de dispositivos capazes de armazenar dados, conforme descrito no artigo Data-bearing device destruction (Destruição de dispositivos portadores de dados ).
A Microsoft fornece orientações aos clientes sobre a conformidade com o RGPD?
A Microsoft mantém documentação de orientação para ajudar os clientes na sua função de controlador de dados. Alguns dos principais recursos do RGPD a ter em conta podem ser encontrados abaixo; No entanto, os clientes devem consultar os seus próprios profissionais legais e de conformidade para compreender e implementar as suas obrigações do RGPD.
- Descrição Geral do Regulamento Geral sobre a Proteção de Dados
- Análise de Impacto da Proteção de Dados
- Solicitações de Entidades de Dados
- Notificação de falha
- Avaliação do Impacto da Proteção de Dados (DPIA)
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Consulte a tabela seguinte para obter a validação de controlos relacionados com a privacidade.
Azure e Dynamics 365
Auditorias externas | Section | Data do relatório mais recente |
---|---|---|
ISO 27018 Declaração de Aplicabilidade Certificado |
A-2.1: Objetivo do processador PII da cloud pública | 8 de abril de 2024 |
ISO 27701 Declaração de Aplicabilidade Certificado |
Todos os controlos | 8 de abril de 2024 |
SOC 1 | DS-15: Cessação/expiração da subscrição do cliente SDL-1: Metodologia do Ciclo de Vida de Desenvolvimento de Segurança (SDL) LA-4: Proteção de dados confidenciais do cliente |
16 de agosto de 2024 |
SOC 2 SOC 3 |
DS-15: Cessação/expiração da subscrição do cliente SDL-1: Metodologia do Ciclo de Vida de Desenvolvimento de Segurança (SDL) LA-4: Proteção de dados confidenciais do cliente SOC2-1: Classificação de ativos SOC2-7: Obrigações de confidencialidade e segurança publicadas |
20 de maio de 2024 |
Microsoft 365
Auditorias externas | Section | Data do relatório mais recente |
---|---|---|
ISO 27018 Declaração de Aplicabilidade Certificado |
A-2.1: Objetivo do processador PII da cloud pública | Março de 2024 |
ISO 27701 Declaração de Aplicabilidade Certificado |
Todos os controlos | Março de 2024 |
SOC 2 | CA-12: Contratos de nível de serviço (SLAs) CA-17: Política de segurança da Microsoft CA-25: Atualizações da arquitetura de controlo |
23 de janeiro de 2024 |
Recursos
- Centro de Confiança da Microsoft: Princípios de Privacidade: Princípios de Privacidade
- Conformidade com os requisitos de transferência da UE para dados pessoais na Microsoft Cloud
- Informações de privacidade e proteção de dados dos Serviços Profissionais da Microsoft
- FAQ da Avaliação do Impacto da Transferência de Dados
- Data Residency, Soberania de Dados e Conformidade na Microsoft Cloud