A Microsoft permite-lhe saber se alguém acedeu aos seus dados principais.
A Microsoft sabe que, na nuvem, o acesso aos dados é uma preocupação importante. Significa saber que poderá aceder aos seus dados quando necessitar e saber se alguém acedeu aos mesmos.
A posição da Microsoft relativamente ao acesso é a seguinte:
| Tipo de Dados Controlados | Instruções | |
| Microsoft Online Services | Criação de Utilizadores no Portal e Reposição de Palavras-passe | Contactar o Suporte Técnico do Microsoft Online Services |
| Exchange Online | Acesso à Caixa de Correio do Exchange3 | Visitar o Painel de Controlo do Exchange (hiperligação disponível na página Vista de Administração do Portal do Microsoft Online Services [Requer início de sessão]). |
| SharePoint Online | Site SharePoint e Acesso ao Armazenamento | Contactar o Suporte Técnico do Microsoft Online Services |
| Microsoft Dynamics CRM Online | Microsoft Dynamics CRM Online | Contactar o Suporte Técnico do Microsoft Online Services |
Notas:
1Os dados principais são dados para os quais os clientes podem ter uma maior expetativa de confidencialidade e que, quando o serviço é utilizado normalmente, são transferidos de forma encriptada através da Internet. Incluem especificamente o corpo e os anexos das mensagens de correio eletrónico do Exchange Online, conteúdo do site e corpo dos ficheiros do SharePoint Online, mensagens instantâneas, conversações de voz e dados de negócio do CRM sobre as suas interações com clientes finais.
2Parceiros: os Relatórios sobre Revendedores (nos casos em que o cliente adquiriu os serviços através de um revendedor e é faturado pelo revendedor), parceiros VOIP ACS e serviços associados, como Research in Motion (para o serviço Hosted BlackBerry®), não estão disponíveis devido à natureza do acesso aos dados pertencentes a estas partes no decurso normal da utilização dos serviços.
3Para os clientes empresariais que tenham activado o centro de administração FOPE, o acesso administrativo do correio em fila de espera no centro de administração não é reportável.
Por definição, os administradores de bases de dados têm acesso a todos os recursos numa base de dados, incluindo dados dos clientes. No entanto, a Microsoft proíbe estritamente o acesso aos dados dos clientes para finalidades diferentes das necessidades empresariais, tais como a optimização do desempenho das bases de dados ou a migração dos clientes de uma base de dados para outra.
A tabela seguinte detalha os diferentes níveis de acesso para diferentes tipos de dados:
| Dados de Utilização | Dados de Livros de Endereços | Dados do Cliente (excluindo Dados do Cliente Principais *) | Dados do Cliente Principais | |
| Equipa de Resposta de Operações (limitada apenas a pessoal fundamental) | Sim. | Sim, conforme necessário. | Sim, conforme necessário. | Sim, a título excepcional. |
| Organização de Suporte | Sim, apenas conforme necessário em resposta a uma Consulta de Suporte. | Sim, apenas conforme necessário em resposta a uma Consulta de Suporte. | Sim, apenas conforme necessário em resposta a uma Consulta de Suporte. | Não. |
| Engenharia | Sim. | Sem Acesso Directo. Podem Ser Transferidos Durante a Resolução de Problemas. | Sem Acesso Directo. Podem Ser Transferidos Durante a Resolução de Problemas. | Não. |
| Parceiros | Com permissão do cliente. Ver Parceiro para mais informações. | Com permissão do cliente. Ver Parceiro para mais informações. | Com permissão do cliente. Ver Parceiro para mais informações. | Com permissão do cliente. Ver Parceiro para mais informações. |
| Outras Pessoas na Microsoft | Não. | Não (Sim para Clientes do Office 365 para pequenas empresas para efeitos de marketing). | Não. | Não. |
*Os Dados do Cliente Principais incluem o corpo e os anexos das mensagens de correio eletrónico do Exchange Online, conteúdo do site e corpo dos ficheiros do SharePoint Online, mensagens instantâneas, conversações de voz e dados de negócio do CRM sobre as suas interações com clientes finais.
Os clientes podem aceder e controlar os seus dados através dos protocolos padrão e dos mecanismos de acesso definidos nas descrições do serviço.
No final de uma subscrição do cliente ou utilização do serviço, o cliente pode sempre exportar os seus dados. Os detalhes completos estão contidos nos Direitos de Utilização de Produto (que constituem a origem autoritativa sobre este tópico). No entanto, por uma questão de comodidade, as disposições actuais disponibilizadas após o lançamento do Office 365 estão incluídas abaixo:
Expiração ou Cessação do Serviço Online. Após a expiração ou cessação da subscrição do serviço online, o Adquirente tem de contactar a Microsoft e informá-la se pretende:
Isenção de Responsabilidade pela Eliminação dos Dados do Cliente. O Adquirente concorda que, para além do descrito nestes termos, a Microsoft não tem obrigação de continuar a manter, exportar ou devolver os dados do cliente. O Adquirente concorda que a Microsoft não será de forma alguma responsável pela eliminação dos dados do cliente em conformidade com estes termos.
A Microsoft fornece vários avisos antes de proceder à eliminação de dados dos clientes, para que os clientes sejam informados e lembrados da eliminação futura dos dados caso não actuem dentro do período de tempo estipulado.
Caso um cliente necessite de ajuda para efectuar pedidos de privacidade nos termos da lei, ao abrigo de vários contratos, os clientes podem contactar o Suporte ao Cliente da Microsoft para obter ajuda no acesso, alteração, eliminação ou bloqueio dos respectivos dados do cliente. Os pedidos que não possam ser efectuados através das ferramentas e dos processos padrão podem estar sujeitos a custos adicionais.
Todo o pessoal do Microsoft Online Services é responsável pelo processamento dos dados dos clientes, o que significa que o acesso aos dados do Microsoft Online Services é concedido de forma a ser monitorizado para um utilizador exclusivo. Por outras palavras, a responsabilidade é imposta através de um conjunto de controlos do sistema, incluindo a utilização de nomes de utilizador exclusivos, controlos de acesso a dados e auditorias. Ao contrário dos nomes de utilizador genéricos, como "Convidado" ou "Administrador", os nomes de utilizador exclusivos são utilizados para impor a responsabilidade identificando as ações do utilizador relativamente a uma pessoa específica (denominado "vínculo"). A autenticação por dois fatores, como inícios de sessão através de smart card utilizando certificados digitais ou tokens RSA, também é utilizada para reforçar este vínculo.
O Acesso do Utilizador aos dados também é limitado por uma função de utilizador, por exemplo, os administradores de sistema não têm acesso administrativo às bases de dados.
A Microsoft aplica controlos rigorosos para determinar a que funções de utilizador e utilizadores será concedido acesso aos dados do cliente. É necessário que os utilizadores preencham um formulário juntamente com uma justificação comercial para pedir o acesso. Isto tem de ser aprovado por um gestor do utilizador antes da concessão do acesso. Além disso, os níveis de acesso são revistos periodicamente para assegurar que apenas os utilizadores com justificação comercial adequada têm acesso aos sistemas.
Todos os centros de dados do Microsoft Online Services têm controlos de acesso biométricos, sendo que a maioria dos centros de dados utilizados para fornecer o Microsoft Online Services requerem impressões da palma da mão para obter acesso físico aos centros de dados. O acesso físico aos centros de dados do Microsoft Online Services é controlado por autenticação de duas camadas, incluindo leitores de acesso com cartão de proxy (distintivo de acesso com cartão) e leitores biométricos de geometria da mão.
Para informações adicionais sobre a abordagem do Microsoft Online Services referente aos dados do cliente, consulte a Política de Privacidade do Microsoft Online, as Directrizes de Privacidade da Microsoft para Desenvolvimento de Produtos e Serviços, a Descrição do Serviço de Segurança do Office 365 e o Documento Técnico de Privacidade do Microsoft Online.
Trimestralmente, o Responsável pela Segurança da Microsoft envia relatórios ao pessoal autorizado com autoridade para aprovar o acesso aos centros de dados. Os relatórios contêm a lista das pessoas que, à data, têm acesso aos centros de dados. O pessoal autorizado faz uma auditoria à lista para garantir que todas as pessoas ainda necessitam de acesso e têm o nível de acesso necessário para desempenhar a respectiva função. O pessoal autorizado tem de comunicar ao Responsável pela Segurança da Microsoft quaisquer alterações ou confirmar que não são necessárias quaisquer alterações.
Todos os funcionários da Microsoft nos EUA são obrigados a concluir com êxito uma verificação de antecedentes padrão como parte do processo de contratação. A verificação de antecedentes inclui a análise de informações relacionadas com habilitações, emprego e registo criminal do candidato.
Para além da verificação de antecedentes padrão aplicada a todo o pessoal novo da Microsoft, o pessoal novo e já existente com acesso a dados do cliente ou que efectue a gestão de controlos de acesso físicos e lógicos fundamentais, tem de submeter-se a verificações com base em listas de controlo de exportação: (as listas de controlo de exportação incluem a Lista do Departamento de Controlo de Activos Estrangeiros (OFAC), a Lista do Departamento da Indústria e Segurança (BIS) e a Lista de Pessoas Excluídas do Departamento de Controlo Comercial de Defesa (DDTC))
Também podem ser aplicadas verificações de antecedentes e informações adicionais, como verificações de cidadania e impressões digitais, se o pedido de acesso estiver relacionado com o ambiente federal.
Para proteger a privacidade dos funcionários, a Microsoft não partilha os resultados das verificações de antecedentes com os clientes.