Estamos comprometidos com a transparência para ajudá-lo a cumprir suas necessidades normativas.
Nossos clientes no mundo inteiro estão sujeitos a muitas leis e regulamentos diferentes. Os requisitos legais em um país ou setor podem ser inconsistentes com requisitos legais aplicáveis em qualquer outro lugar. Como um provedor de serviços globais em nuvem, devemos executar nossos serviços com práticas operacionais comuns e recursos em vários clientes e jurisdições. Para ajudar nossos clientes a cumprir com seus próprios requisitos, criamos nossos serviços considerando requisitos comuns de privacidade e segurança. No entanto, fica a critério de nossos clientes avaliar nossas ofertas em relação a seus próprios requisitos, a fim de que possam determinar se nossos serviços satisfazem às suas necessidades normativas. Estamos comprometidos em fornece a nossos clientes informações detalhadas sobre nossos serviços em nuvem, a fim de ajudá-los a fazer suas próprias avaliações normativas.
Informações sobre certificações que podem auxiliar na conformidade normativa estão localizadas na seção Segurança, Auditorias e Certificação.
É sua obrigação estar em conformidade com suas obrigações normativas. Fornecemos a você informações para ajudá-lo a fazer isso. Estamos comprometidos com a conformidade com leis de privacidade e proteção de dados geralmente aplicáveis a provedores de serviços de TI. Se você estiver sujeito a requisitos jurisdicionais ou do setor, você precisará fazer sua própria avaliação de sua capacidade de conformidade, mas Clientes em muitos setores e localizações geográficas detectaram que eles podem usar o Microsoft Online Services de uma forma que permaneça em conformidade com regulamentos aplicáveis, desde que utilizem os serviços de forma apropriadas às suas circunstâncias específicas.
Por exemplo, as organizações cobertas pela Diretiva de Proteção de Dados da União Europeia devem ter seu próprio programa de treinamento, segurança e políticas vigentes, a fim de garantir que sua equipe não use o serviço Microsoft Online Services de forma que viole a Diretiva. O Microsoft Online Services fará nossa parte ao cumprir as promessas que fizemos, ajudando assim você a se manter em conformidade.
Para fornecer um exemplo, um cliente na União Europeia pode armazenar uma lista de clientes, incluindo informações de contato. O Microsoft Online Services tem procedimentos de segurança vigentes para garantir que a equipe da Microsoft não acesse nem divulgue inadequadamente essas informações. No entanto, um dos funcionários do Cliente, que é um usuário do Microsoft Exchange Online, pode usar o serviço para enviar essa lista de clientes para um comerciante, sem o consentimento apropriado. Qualquer violação resultante de requisitos de proteção de dados na União Europeia decorrente de Microsoft Online Services tendo seguido as instruções do cliente - a saber, ao fazer com que um email seja enviado no curso ordinário de fornecer os serviços - é responsabilidade do cliente.
Sob a lei de Proteção de Dados na União Europeia e nosso acordo contratual, o Microsoft Online Services age como um zelador de seus dados, essencialmente um subcontratado (a lei nos chama de "processador de dados"). Você, o cliente, tem a propriedade final nos dados e a responsabilidade sob a lei para garantir que estamos seguindo as regras e é legal para você enviar dados pessoais para nós (a lei chama você de "controlador de dados"). Você deve determinar para seus negócios, em sua situação específica, se você pode usar nossos serviços para processar e armazenar seus dados pessoais.
Os requisitos da Diretiva de Proteção de Dados na União Europeia foram considerados para o projeto e a operação de nossos serviços para uso normal, e monitoramos continuamente essa área quanto a alterações pertinentes para a evolução dos serviços.
A Microsoft também é um membro do programa Safe Harbor dos EUA, como acordado pelo Departamento de Comércio dos Estados Unidos e União Europeia. Isso nos obriga diretamente a seguir os requisitos da Diretiva de Proteção de Dados na União Europeia, bem como nos permite transferir dados para fora da União Europeia, a fim de fornecer o Microsoft Online Services. A Microsoft se autocertificou sob o Safe Harbor dos EUA do Departamento de Comércio americano e Safe Harbor praticamente idêntico da Suíça. A certificação de Safe Harbor da Microsoft pode ser encontrada em http://safeharbour.export.gov/. Para obter mais informações sobre a transferência de dados para fora da União Europeia, consulte a seção Limites Geográficos da Central de Confiabilidade.
Em alguns países, também aderimos aos requisitos de segurança para armazenamento de dados pessoais confidenciais, como definido por lei.
Se você tiver preocupações devido às regras em seu país ou o tipo de dados que está armazenando, ou gostaria de mais informações sobre as práticas e os recursos compatíveis do Microsoft Online Services, você poderá contatar o Suporte se não conseguir localizar essas informações na documentação do serviço. Na extensão em que não enfraqueça nossa segurança para relevar informações úteis, faremos isso para ajudá-lo a fazer sua própria determinação em relação à capacidade de aceitação da implementação do Microsoft Online Services em relação a seus requisitos.
Você deve ler a pergunta frequente acima e compreender que apenas por que o Microsoft Online Services permite que sua organização cumpra com leis de privacidade não significa que sua organização esteja em conformidade - pode haver etapas adicionais que você precisa realizar, como aplicar as políticas corretas da empresa e treinar funcionários sobre boas práticas recomendadas. Além disso, dependendo do seu país, poderá haver etapas adicionais que você precisará cumprir com a lei local, como preencher informações com sua Agência de Proteção de Dados.
Para obter mais informações, consulte a Pergunta frequente sobre HIPAA/HITECH.
O Microsoft Online Services ajuda os clientes a cumprir os requisitos de segurança do GLBA ao fornecer proteções técnicas e organizacionais, a fim de ajudar os clientes a manter a segurança e impedir o uso não autorizado. A Microsoft pode fornecer, mediante solicitação, um relatório de resumo de uma certificação de terceiro por um auditor independente.
O Microsoft Online Services não é compatível com o processamento, a transmissão ou o armazenamento de dados regidos por PCI, como números de cartão de crédito. O padrão de PCI não se aplica ao Microsoft Online Services, pois o armazenamento de dados e o processamento de cartão de crédito não são uma função oferecida pelo Microsoft Online Services. O Microsoft Online Services não aplica controles e políticas de segurança aplicáveis definidos pelas práticas recomendadas do setor, como ISO 27001 e outros.
No entanto, observe que os sistemas de pagamento, cobrança e pedidos do Microsoft Online Services, que processam dados de cartão de crédito, estão em conformidade com o PCI de nível um, e os clientes podem usar cartões de crédito para pagar os serviços com confiança.
Não, o Microsoft Online Services, como processador de dados, não é registrado com autoridades da União Europeia os dados de clientes que ele processa em nome de seus clientes.