Central de Confiabilidade: Informações sobre Conformidade, Privacidade e Segurança do Microsoft Online Services.

Acesso Administrativo

Permitimos que você saiba se alguém acessou seus dados básicos.

Sabemos que na nuvem, o acesso a dados é a principal preocupação. Isso significa saber que você poderá acessar seus dados quando precisar fazê-lo, e saber se alguém os acessou.

Nossa posição sobre acesso é a seguinte:

Sempre fornecemos a você acesso aos dados de seus clientes.
O acesso a dados de clientes é rigidamente controlado e registrado, e auditorias de amostra são realizadas pela Microsoft e terceiros, para atestar que o acesso é somente para fins comerciais apropriados.
Reconhecemos a importância extra de dados básicos de seus clientes,¹ como corpo de email do Exchange Online e conteúdo de site da equipe do SharePoint Online. Se alguém - equipe da Microsoft, parceiros² ou seus próprios administradores - acessar dados básicos de seus usuários no serviço, poderemos fornecer a você um relatório sobre esse acesso, mediante solicitação. Dessa forma, você saberá quando seus dados podem ter sido acessados.

Como Visualizar o Acesso Administrativo a Dados

	Tipo de Dados Sendo Rastreados	Instruções
Microsoft Online Services	Criação de Usuários, Redefinições de Senha	Contate o Suporte Técnico do Microsoft Online Services
Exchange Online	Acesso à Caixa de Correio do Exchange³	Visite o Painel de Controle do Exchange (link disponível na página Visão Geral do Administrador do Portal do Microsoft Online Services [requer login]).
SharePoint Online	Acesso de Armazenamento, Site do SharePoint	Contate o Suporte Técnico do Microsoft Online Services
Microsoft Dynamics CRM Online	Acesso a dados básicos de clientes do CRM	Contate o Suporte Técnico do Microsoft Online Services

Observações:

¹Os dados básicos são dados para os quais os clientes podem ter uma expectativa maior de confidencialidade. Quando o serviço é usado normalmente, esses dados são transferidos criptografados pela Internet. Eles incluem especificamente corpo de email e anexos de email do Exchange Online, conteúdo do site do SharePoint Online, corpo de arquivo, mensagens instantâneas, conversas de voz e dados corporativos do CRM sobre as interações do seu cliente final.

²Parceiros: Relatórios sobre Revendedores (revendedor do qual o cliente adquiriu o serviço e é cobrado por ele), parceiros VOIP ACS e serviços associados, como Research in Motion (para o serviço Hosted BlackBerry®), não estão disponíveis devido à sua natureza do acesso a dados que essas partes têm no curso ordinário do uso dos serviços.

³Para clientes empresariais que habilitaram o centro de administração FOPE, o acesso administrativo de email em fila no centro de administração não pode ser reportado.

Pergunta frequente

Pergunta: quem tem direitos administrativos para o Microsoft Online Services? Há funcionários em tempo integral ou eles são contratados? Como a Microsoft pode impedir que os administradores acessem dados de clientes?

Os administradores de banco de dados, por definição, têm acesso a todos os recursos em um banco de dados - incluindo dados de clientes. No entanto, a Microsoft proíbe estritamente o acesso a dados de clientes para fins que não sejam necessidades comerciais, como ajuste de desempenho de bancos de dados ou migração de clientes de um banco de dados para outro.

A tabela a seguir detalha diferentes níveis de acesso para diferentes tipos de dados:

	Dados de Uso	Dados de Catálogo de Endereços	Dados de Clientes (excluindo-se Dados Básicos de Clientes^*)	Dados Básicos de Clientes
Equipe de Resposta de Operações (limitada somente à equipe principal)	Sim.	Sim, conforme o necessário.	Sim, conforme o necessário.	Sim, por exceção.
Organização de Suporte	Sim, somente conforme o necessário em resposta à Consulta de Suporte.	Sim, somente conforme o necessário em resposta à Consulta de Suporte.	Sim, somente conforme o necessário em resposta à Consulta de Suporte.	Não.
Engenharia	Sim.	Sem acesso direto. Podem ser transferidas durante resolução de problemas.	Sem acesso direto. Podem ser transferidas durante resolução de problemas.	Não.
Parceiros	Com permissão do cliente. Consulte o Parceiro para obter mais informações.	Com permissão do cliente. Consulte o Parceiro para obter mais informações.	Com permissão do cliente. Consulte o Parceiro para obter mais informações.	Com permissão do cliente. Consulte o Parceiro para obter mais informações.
Outros na Microsoft	Não.	Não (sim para o Office 365 para clientes de pequenas empresas, para fins de marketing).	Não.	Não.

^*Os dados básicos de clientes incluem anexos e corpo de email do Exchange Online, corpo de arquivo e conteúdo de site do SharePoint Online, mensagens instantâneas, conversas de voz e dados corporativos do CRM sobre as interações do seu cliente final.

Pergunta: o que a Microsoft faz para respaldar os direitos de seus clientes para acessar seus dados? O cliente terá acesso a qualquer momento a seus dados?

Os clientes poderão acessar e controlar seus dados através de protocolos padrão, bem como acessar mecanismos definidos nas descrições do serviço.

No final da assinatura ou uso do serviço do cliente, o cliente sempre poderá exportar seus dados. Os detalhes completos estão contidos nos Direitos de Uso de Produto (que é a fonte autoritativa desse tópico); no entanto, para conveniência, as cláusulas atuais, desde o lançamento do Office 365, são incluídas a seguir:

Expiração ou Término do Serviço Online. Mediante expiração ou término de sua assinatura de serviço online, você deve contatar a Microsoft e nos dizer se devemos:

(1) desabilitar sua conta e então excluir os dados de clientes; ou
(2) reter os dados de seus clientes em uma conta de função limitada por, pelo menos, 90 dias após a expiração ou término de sua assinatura (o "período de retenção"), a fim de que você possa extrair os dados.

Se você indicar (1), você não poderá extrair os dados de clientes de sua conta. Se você indicar (2), você nos reembolsará quaisquer custos aplicáveis. Se você não indicar (1) ou (2), reteremos os dados de clientes de acordo com (2).
Após a expiração do período de retenção, desabilitaremos sua conta e excluiremos os dados de clientes. As cópias de backup ou em cache serão eliminadas em 30 dias após o término do período de retenção.

Sem responsabilidade pela exclusão de dados de clientes. Você concorda que, salvo conforme descrito nestes termos, não temos obrigação de continuar retendo, exportando ou retornando os dados de clientes. Você concorda que não temos responsabilidade, qualquer que seja, pela exclusão dos dados de clientes de acordo com estes termos.

A Microsoft fornece vários avisos antes da exclusão de dados de clientes, a fim de que os clientes sejam informados e lembrados da próxima exclusão dos dados caso não ajam no período de tempo estipulado.

Na extensão em que um cliente precisar de ajuda para atender às solicitações de privacidade, conforme exigido por lei, sob muitos contratos os clientes podem contatar o Suporte ao Cliente da Microsoft para obter ajuda no acesso, alteração, exclusão ou bloqueio de dados de seus clientes. As solicitações que não puderem ser atendidas através de processos e ferramentas padrão poderão estar sujeitas a cobranças adicionais.

Pergunta: como posso garantir que somente usuários autorizados tenham acesso administrativo para atender às responsabilidades de seu cargo?

Todos os membros da equipe do Microsoft Online Services são responsáveis pelo manuseio de dados de clientes, o que significa que o acesso aos dados do Microsoft Online Services será concedido de forma que seja rastreável para um único usuário. Em outras palavras, a responsabilidade é aplicada através de um conjunto de controles de sistema, incluindo o uso de nomes de usuários exclusivos, controles de acesso a dados e auditoria. Ao contrário de nomes de usuários genéricos, como "Convidado" ou "Administrador", os nomes de usuários exclusivos são usados para aplicar responsabilidade ao identificar ações de usuários a uma pessoa específica (referida como "associação"). A autenticação de dois fatores, como logins com cartão inteligente usando certificados digitais ou tokens RSA, também é usada para fortalecer ainda mais essa associação.

O Acesso de Usuário aos dados também é limitado por função de usuário, por exemplo, administradores de sistema não têm acesso administrativo a banco de dados.

A Microsoft aplica controles rígidos nos quais as funções de usuários e usuários recebem acesso a dados de clientes. Os usuários precisam concluir um formulário junto com justificativa comercial para solicitar acesso. Isso deve ser aprovado pelo gerente do usuário anterior antes de obter o acesso. Além disso, os níveis de acesso são revisados periodicamente, a fim de garantir que somente usuários que tenham justificativa comercial apropriada tenham acesso aos sistemas.

Pergunta: quais controles estão vigentes para restringir o acesso a meus dados?

Todos os data centers do Microsoft Online Services têm controles de acesso biométricos, com a maioria dos data centers usados para fornecer o Microsoft Online Services exigidos impressões digitais para obter acesso físico aos data centers. O acesso físico aos data centers do Microsoft Online Services é controlado pela autenticação de dois níveis, incluindo leitores de acesso de cartão proxy (requer selo de acesso de cartão) e leitores biométricos da geometria da mão.

Para obter mais informações em relação à abordagem do Microsoft Online Services a dados de clientes, consulte a política de privacidade online da Microsoft, as diretrizes de privacidade da Microsoft para serviços e produtos de desenvolvimento, a descrição do serviço de segurança do Office 365 e o White Paper sobre privacidade online da Microsoft.

Trimestralmente, o Responsável pela Segurança da Microsoft envia relatórios para a equipe autorizada, com autoridade para aprovar o acesso a data center. Os relatórios contêm a lista de pessoas que atualmente têm acesso aos data centers. A equipe autorizada auditará a lista, a fim de garantir que todas as pessoas ainda requeiram acesso e tenham, pelo menos, nível de acesso privilegiado necessário para realizar sua função. A equipe autorizada deverá retornar ao Responsável pela Segurança da Microsoft as alterações ou confirmação de que não são necessárias alterações.

Pergunta: que tipo de investigação de histórico a Microsoft realizará em relação a pessoas com direitos administrativos concedidos?

Todos os funcionários nos EUA da Microsoft devem concluir uma verificação padrão de histórico, como parte do processo de contratação. As verificações de histórico incluem revisão de informações em relação ao ensino, a contratações e ao histórico criminal do candidato.

Além da verificação padrão de histórico, que é aplicada a todos os novos membros da Microsoft, os membros novos e existentes com acesso a dados de clientes, ou que gerenciam controles de acesso lógico e físico, devem ser submetidos a verificações em relação a listas de controle de exportação: (as listas de controle de exportação incluem a OFAC (Office of Foreign Assets Control List), a BIS (Bureau of Industry and Security List) e a DDTC (Defense Trade Controls Debarred Persons List))

Os novos funcionários devem ser submetidos à triagem ao mesmo tempo que a verificação padrão da Microsoft.
Toda a equipe com acesso a dados de clientes deve ser submetida à verificação de histórico da Microsoft. Além disso, periodicamente, serão realizadas verificações de histórico adicionais.

Verificações de histórico e informações adicionais, como impressão digital e verificações de cidadania, também poderão se aplicar se a solicitação de acesso estiver relacionada a ambiente federal.

Para proteger a privacidade de seus funcionários, a Microsoft não compartilhará os resultados das verificações de histórico com clientes.

Recursos adicionais

Descrição do serviço de segurança do Microsoft Online Services [em inglês]
Guia de Continuidade do Serviço e Segurança do Microsoft Dynamics CRM Online [em inglês]
White Paper de 2011 sobre privacidade e proteção de dados do Microsoft Online Services [em inglês]