Locais de dados da União Europeia

Seus dados são seus negócios

A Microsoft reconhece a importância de manter a privacidade e a confidencialidade dos seus dados corporativos. Seus dados pertencem a você e você pode acessá-los, modificá-los ou excluí-los a qualquer momento. A Microsoft não usará seus dados sem o seu consentimento e, quando tivermos o seu consentimento, usamos seus dados para fornecer somente os serviços que você escolheu. Se você sair de um dos nossos serviços, garantiremos sua propriedade contínua dos dados, seguindo padrões e processos estritos para remover os dados de nossos sistemas.

Observação

Dados do cliente (também chamados de "seus dados" ou "seus dados comerciais") significam todos os dados, incluindo arquivos de texto, som, vídeo ou imagem e software que você fornece à Microsoft ou que é fornecido em seu nome por meio do uso da Microsoft serviços online corporativos, excluindo Serviços Profissionais da Microsoft. Inclui conteúdo de cliente, que é o que você carrega para armazenamento ou processamento e aplicativos carregados para distribuição por meio de um serviço de nuvem empresarial da Microsoft. Por exemplo, o conteúdo do cliente inclui email e anexos do Exchange Online, conteúdo do site do SharePoint Online ou conversas de mensagens instantâneas.

Armazenamento e processamento de dados

Quando você usa os serviços do Microsoft 365, começamos com a suposição de que nossos clientes empresariais gostariam de ter seus dados corporativos armazenados e processados próximos de casa. Sempre que possível, fazemos isso. Para manter seus dados em centros de dados mais próximos a você, armazenaremos seus dados com base no local de negócios que você forneceu ao criar seu locatário. Para escolher locais de armazenamento que sejam significativos para os negócios de sua organização, você pode criar quantos locatários desejar para sua organização.

Onde os dados da UE são armazenados

Temos centros de dados geográficos na Alemanha e na França que permitem que você armazene dados em seu país se sua empresa estiver localizada lá. Nossos centros de dados da União Europeia estão localizados na Áustria, Finlândia, França, Irlanda e Países Baixos. Seus dados para os seguintes serviços serão hospedados nos seguintes locais com base no endereço de cobrança escolhido:

Nome do serviço Local para locatários criados com um endereço de cobrança na França Local para locatários criados com um endereço de cobrança na Alemanha Local para locatários criados com um endereço para cobrança em todos os outros países da UE
Exchange Online França Alemanha União Europeia
OneDrive for Business França Alemanha União Europeia
SharePoint Online França Alemanha União Europeia
Skype for Business União Europeia União Europeia União Europeia
Microsoft Teams França Alemanha União Europeia
Office Online & Mobile França Alemanha União Europeia
Proteção do Exchange Online França Alemanha União Europeia
Intune União Europeia União Europeia União Europeia
MyAnalytics França Alemanha União Europeia
Planner União Europeia União Europeia União Europeia
Yammer União Europeia União Europeia União Europeia
Serviços do OneNote França Alemanha União Europeia
Stream União Europeia União Europeia União Europeia
Quadro de comunicações União Europeia União Europeia União Europeia
Formulários União Europeia União Europeia União Europeia

Observação

Se você tem uma assinatura do Office 365 Education com um endereço de cobrança na França ou Alemanha, os dados podem estar armazenados em nossos centros de dados da União Europeia. Para os locais de dados locatários fora da UE, confira Onde seus dados do cliente Microsoft 365 estão armazenados.

Onde os dados da UE são computados

Quando você inicia o uso de qualquer um dos serviços acima, as computações necessárias para fornecer o serviço para seus dados armazenados em um dos nossos centros de dados europeus (ou no seu país) ocorrerão dentro desse mesmo limite geográfico, a menos que seja necessária uma transferência temporária de dados para executar a computação em um centro de dados da Microsoft localizado mais distante.

Se uma transferência temporária for necessária, sempre empregaremos criptografia de última geração na transferência e sempre devolveremos seus dados ao local de armazenamento de dados escolhido imediatamente depois. Nos baseamos na nossa conformidade com as leis europeias através das Cláusulas Contratuais Padrão (SCCs) para essas transferências temporárias, juntamente com nossas medidas complementares para garantir que os dados estejam protegidos.

Para saber mais, confira Cláusulas no Modelo da União Europeia.

Observação

Os dados do cliente para o Sway e o Workplace Analytics serão armazenados e calculados nos Estados Unidos, caso você opte por usar esses serviços.

Os serviços do Microsoft 365 podem consultar e armazenar partes de informações de dados de diretório/identidade do locatário em regiões diferentes das da UE, onde necessário, para facilitar determinados cenários. Por exemplo, em cenários de roteamento de emails entre várias regiões, roteamento e autenticação de chamadas, os sistemas do Microsoft 365 podem precisar de informações sobre os destinatários da UE para direcionarem essas solicitações corretamente. Os sistemas do Microsoft 365 também dependem do Azure Active Directory para as funções de identidade e autenticação. Para saber mais, veja Armazenamento de dados de identidade para clientes europeus no Azure Active Directory.

Como a Microsoft protege seus dados

Medidas de segurança

A Microsoft protege seus dados usando várias camadas de protocolos de segurança e criptografia. Obtenha uma visão geral dos recursos de segurança de dados da Microsoft no artigo de criptografia do Microsoft 365.

Por padrão, as Teclas Gerenciadas pela Microsoft protegem os dados dos seus clientes. Os dados que persistem em qualquer mídia física são sempre criptografados usando protocolos de criptografia compatíveis com FIPS 140-2. Você também pode usar chaves gerenciadas pelo cliente (CMK), criptografia dupla e/ou módulos de segurança de hardware (HSMs) para aumentar a proteção de dados.

Além disso, a Microsoft, por padrão, usa o protocolo Transport Layer Security (TLS) para criptografar dados quando estão viajando entre os serviços em nuvem e os clientes. Os serviços da Microsoft negociam uma conexão TLS com sistemas cliente que se conectam aos serviços do Microsoft 365.

Para evitar o acesso físico não autorizado aos datacenters, empregamos processos e controles operacionais rigorosos que incluem monitoramento de vídeo 24 horas por dia, 7 dias por semana, pessoal e processos de segurança treinados e controles de acesso multifator biométrico ou de cartão inteligente. Após o fim da vida útil, os discos de dados serão destruídos e destruídos. Se um drive de disco usado no armazenamento sofrer uma falha de hardware ou alcançar o fim da vida útil, ele será apagado ou destruído com segurança. Os dados no drive são completamente substituídos para garantir que os dados não possam ser recuperados de forma alguma. Quando esses dispositivos estiverem descomissionados, eles serão triturados e destruídos de acordo com o NIST SP 800-88 R1, Diretrizes para a Limpeza de Mídia. Os registros da destruição são mantidos e revisados como parte do processo de auditoria e conformidade da Microsoft. Todos os serviços do Microsoft 365 utilizam o armazenamento de mídia aprovado e os serviços de gerenciamento de alienação.

Contato técnico

Além das proteções físicas e tecnológicas, a Microsoft toma fortes medidas para ajudar a proteger os dados do seu cliente contra o acesso não autorizado por funcionários da Microsoft e subcontratados. O acesso aos dados do cliente por operações da Microsoft e pessoal de suporte é negado por padrão. Quase todas as operações de serviço executadas pela Microsoft são totalmente automatizadas e o envolvimento humano é altamente controlado e dissociado de dados de clientes.

Em casos raros, um engenheiro da Microsoft precisa acessar os dados dos clientes. Normalmente, isso só é necessário se você solicitar a assistência da Microsoft para resolver um problema do cliente. O acesso aos dados de clientes é altamente restringido por controles de acesso baseado em função, autenticação multifator, minimização de dados e outros controles. Todo o acesso a dados de cliente é estritamente registrado e a Microsoft e terceiros realizam auditorias regulares (além de auditorias de exemplo) para comprovar que todos os acessos sejam apropriados.

Os clientes podem usar as teclas gerenciadas pelo cliente para evitar que seus dados possam ser lidos em caso de acesso não autorizado. A criptografia por parte do servidor e do cliente pode contar com teclas gerenciadas pelo cliente ou teclas fornecidas pelo cliente. Em ambos os casos, a Microsoft não tem acesso a chaves de criptografia e não pode descriptografar os dados. Uma auditoria SOC por um auditor filiado à AICPA é realizada duas vezes ao ano para verificar a eficácia de nossos controles de segurança no escopo de auditoria. O relatório de atestado do SOC 2 Tipo 2 publicado pelo auditor explica em que circunstâncias o acesso aos dados do cliente pode ocorrer e como.

Além de armazenar e processar seus dados quando você usa os serviços online, a Microsoft gera dados de serviço para monitorar a saúde do sistema e executar operações de serviço, como solução de problemas. Como medida de proteção de privacidade, a Microsoft gera e se baseia nos identificadores de pseudônimos nesse serviço, geramos dados para que seja possível distinguir um usuário de outro sem identificar os usuários. Identificadores pseudônimos não identificam diretamente uma pessoa, e as informações que permitem mapear identificadores pseudônimos para usuários reais são protegidas como parte de seus dados.

Para saber mais, confira Quem pode acessar seus dados e em que termos e Sub-processadores e Privacidade de Dados.

Como a Microsoft lida com solicitações governamentais

Se um governo desejar dados de clientes, ele deve seguir os processos legais aplicáveis. A Microsoft deve receber um mandado ou pedido judicial de conteúdo ou uma intimação para informações de assinantes ou outros dados sem conteúdo.

  • Todas as solicitações devem direcionar contas e identificadores específicos.
  • A equipe de conformidade legal da Microsoft analisa todas as solicitações para garantir que sejam válidas, rejeita aquelas que não são válidas e fornece somente os dados especificados.
  • Caso a Microsoft tenha sido forçada por lei a divulgar os dados dos clientes, você será notificado e receberá uma cópia da solicitação, a menos que a Microsoft tenha permissão legal para fazê-lo.
  • A Microsoft conduz uma revisão legal local de cada solicitação recebida comparando com leis e padrões locais. A Microsoft também revisa periodicamente seus processos de triagem em todo o mundo para garantir que os procedimentos judiciais locais estejam sendo seguidos e sua declaração global de direitos humanos está sendo aplicada.

Para obter mais informações sobre o compromisso da Microsoft de contestar pedidos de acordo com o GDPR da UE, veja Novas Etapas para Defender Seus Dados.

Quando os órgãos governamentais ou entidades de cumprimento da lei fazem uma solicitação legal de dados de clientes, a Microsoft está comprometida com a transparência e limita o que é divulgado. Duas vezes por ano, publicamos o número de requisitos legais para dados de clientes que recebemos de entidades de cumprimento da lei em todo o mundo. Confira Relatório de Solicitações de Aplicação da Lei. Esse relatório não divulga as especificações de qualquer demanda específica, incluindo o problema do cliente. Duas vezes por ano, também publicamos dados sobre as demandas jurídicas recebidas do governo dos Estados Unidos. Confira Relatório de Ordens de Segurança Nacional dos EUA para obter o relatório mais recente.

Para saber mais, confira Perguntas Frequentes sobre as solicitações de cumprimento da lei e do governo, incluindo perguntas sobre a lei da Nuvem.

Recursos adicionais