Termos de Privacidade e Segurança
Disposições Gerais
Os Termos de Segurança e Privacidade anteriormente estavam no Anexo 1 dos Termos de Serviços Online.
O Adendo de Proteção de Dados ou DPA (definido no Glossário) estabelece as obrigações das partes com relação ao processamento e à segurança dos Dados do Cliente, Dados de Serviços Profissionais e dos Dados Pessoais pelos Produtos. O Adendo de Proteção de Dados pode ser baixado aqui https://aka.ms/DPA. Em caso de conflitos ou inconsistência entre o DPA e quaisquer outros termos no contrato de licenciamento do Cliente (incluindo estes Termos), o DPA prevalecerá.
Serviços Online excluídos do DPA
Exceto conforme previsto nos Termos Específicos do Produto, os termos do DPA não se aplicam a: Plataforma de Gerenciamento de Ativos Móveis do Bing Mapas, Transações e Usuários do Bing Mapas, Serviços de Pesquisa do Bing, Serviços de IA do Azure em contêineres instalados em hardware dedicado do Cliente, Microsoft Copilot com proteção de dados comerciais (anteriormente conhecido como Bing Chat Enterprise), Ofertas do GitHub, LinkedIn Sales Navigator, Microsoft Defender para IoT (excluindo quaisquer recursos conectados à nuvem), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, conexão de dados do Microsoft Graph para ISVs, Microsoft Genomics e Visual Studio App Center Test. Cada um desses Serviços Online é regido pelos termos de privacidade e segurança nos Termos Específicos do Produto aplicáveis.
Produtos de Software excluídos do DPA
Exceto conforme previsto nos Termos Específicos do Produto, os termos do DPA não se aplicam a: Recursos baseados na Internet em Produtos de Software, Sistema Operacional Windows Desktop, Windows Server e esses Produtos de Software como parte de outros Produtos. Cada um desses Produtos é regido pelos termos de privacidade e segurança nos Termos Específicos do Produto aplicáveis.
Produtos que Não Sejam da Microsoft
Termos separados, incluindo outros termos de privacidade e segurança, regem o uso que o Cliente faz de Produtos que Não Sejam da Microsoft (conforme definido nos Termos Universais de Licença para Serviços Online).
Exclusões em Áreas Geográficas dos Termos do DPA
Para serviços online do Dynamics 365 e da Plataforma Power, os termos específicos do DPA, conforme descritos no Apêndice A que afirmam que “A Microsoft armazena cópias dos Dados do Cliente e os procedimentos de recuperação de dados em outro local que não seja onde se localiza o computador principal que processa os Dados do Cliente”, não se aplicam às seguintes regiões geográficas: Emirados Árabes Unidos e África do Sul.
Serviços Online Principais
O termo “Principais Serviços Online” aplica-se apenas aos serviços na tabela abaixo, excluindo todas as Visualizações Prévias.
| Serviços Online | |
|---|---|
| Microsoft Dynamics 365 Core Services | Os seguintes serviços, cada um como um serviço independente ou conforme incluído em um aplicativo ou plano com a marca Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations, and Dynamics 365 Sales. O Dynamics 365 Core Services não inclui (1) Dynamics 365 Services para softwares ou dispositivos com suporte, que incluem, entre outros, Dynamics 365 para aplicativos, tablets, smartphones ou outros; (2) LinkedIn Sales Navigator ou (3) exceto conforme expressamente definido nos termos de licenciamento para o serviço correspondente, qualquer outro serviço com uma marca separada disponibilizado juntamente ou conectado com os Dynamics 365 Core Services. |
| Serviços do Office 365 | Os seguintes serviços, cada um como um serviço independente ou conforme incluído em um pacote ou plano com a marca Office 365 ou Microsoft 365: Cortana, Sistema de Proteção de Dados do Cliente, Arquivamento de Exchange Online, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender para Office 365, Office para a web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise e Microsoft Copilot para Microsoft 365. Os Serviços do Office 365 não incluem os Microsoft 365 Apps para empresas, nenhuma parte de um serviço PSTN que opera fora do controle da Microsoft, nenhum software do cliente nem serviços de outras marcas disponibilizados com um pacote ou plano do Office 365 ou Microsoft 365, como o serviço Bing ou outro serviço com a marca “para Office 365”. |
| Serviços de Conformidade do Microsoft 365 | Os seguintes serviços, cada um como um serviço independente ou conforme incluído em um pacote ou plano com a marca Microsoft 365: Customer Lockbox do Microsoft Purview, Prevenção da Perda de Dados do Microsoft Purview, Chave de Cliente do Microsoft Purview, Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview, Barreiras de Informações do Microsoft Purview, Privileged Access Management do Microsoft Purview, Gerente de Conformidade do Microsoft Purview, Proteção de Informações do Microsoft Purview, Governança de Informações da Microsoft, Gerenciamento de Risco Interno do Microsoft Purview, Conformidade de Comunicações do Microsoft Purview, Gerenciamento de Registros do Microsoft Purview, Descoberta Eletrônica do Microsoft Purview e Auditoria do Microsoft Purview, Gerenciamento de Riscos de Privacidade do Microsoft Priva e Solicitação de Direitos de Assunto do Microsoft Priva. |
| Serviços Principais do Microsoft Azure | IA do Azure, Azure Active Directory B2C, Detector de Anomalias, Gerenciamento de API, Serviço de Aplicativo (Aplicativos de API, Aplicativos Lógicos, Aplicativos Móveis, Aplicativos Web, WebJobs, Functions), Lab Services, Gateway de Aplicativo, Azure Monitor, Automação, API do Azure para FHIR, Configuração de Aplicativos do Azure, Azure AI Bot Service, Cache do Azure para Redis, Azure AI Search, Serviços de Comunicação do Azure, Aplicativos de Contêiner do Azure, Instâncias de Contêiner do Azure, Registro de Contêiner do Azure (ACR), Azure Cosmos DB, Azure Data Explorer, Banco de Dados do Azure para MySQL, Banco de Dados do Azure para PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Grade de Eventos do Azure, Microsoft Fabric, Firewall do Azure, Inteligência de Documentos da IA do Azure, Serviços de Dados de Saúde do Azure, Leitura Avançada da IA do Azure, Azure Kubernetes Service, Grafana Gerenciado pelo Azure, Aprendizado de Máquina do Azure, Assistente de Métricas da IA do Azure, Azure NetApp Files, Serviço OpenAI do Azure, Azure Red Hat OpenShift, Solução VMware no Azure, Mapa de Dados do Microsoft Purview, Catálogo de Dados do Microsoft Purview, Data Estate Insights do Microsoft Purview, Políticas de Dados do Microsoft Purview, Compartilhamento de Dados do Microsoft Purview, Azure Resource Manager, Aplicativos Spring do Azure, Azure Time Series Insights, Indexadores de Vídeo da IA do Azure, Azure Web PubSub, Backup, Lote, Serviços de Nuvem, Pesquisa Visual Computacional, Content Moderator, Visão Personalizada da IA do Azure, Data Factory, Data Lake Analytics, Data Lake Store, Hubs de Eventos, Rota Expressa, Face, HDInsight, Importação/Exportação, Hub IoT, Cofre de Chaves, Reconhecimento de Linguagem, Balanceador de Carga, Estúdio do Azure Machine Learning (clássico), Serviços de Mídia, Portal do Microsoft Azure, Hubs de Notificação, Personalizador da IA do Azure, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Barramento de Serviço, Service Connector, Service Fabric, Serviço do Azure SignalR, Recuperação de Sites, Serviços de Fala, SQL Database, Instância Gerenciada do SQL, SQL Server Stretch Database, Armazenamento, StorSimple, Stream Analytics, Synapse Analytics, Análise de Texto, Gerenciador de Tráfego, Tradutor da IA do Azure, Máquinas Virtuais, Conjuntos de Dimensionamento de Máquinas Virtuais, Rede Virtual e Gateway de VPN. |
| Microsoft Defender for Cloud Apps | A parte do serviço em nuvem do Microsoft Defender for Cloud Apps (anteriormente chamado Microsoft Cloud App Security). |
| Serviços Online do Microsoft Intune | A parte do serviço em nuvem do Microsoft Intune. |
| Serviços Principais da Microsoft Power Platform | Os seguintes serviços, cada um como um serviço independente ou conforme incluído em um pacote ou plano com a marca Office 365 ou Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages e Microsoft Copilot Studio. Os Serviços Principais da Microsoft Power Platform não incluem nenhum software para cliente, incluindo, entre outros, Servidor de Relatórios do Power BI, os aplicativos móveis Power BI, PowerApps ou Microsoft Power Automate, Power BI Desktop ou Power Apps Studio. |
| Microsoft Defender para Serviços de Ponto de Extremidade | A parte dos serviços em nuvem do Microsoft Defender para Ponto de Extremidade. |
| Microsoft Defender for Identity | A parte dos serviços em nuvem do Microsoft Defender for Identity. |
| Microsoft Defender XDR | A parte do serviço em nuvem do Microsoft Defender XDR. |
| Windows 365 | A parte do serviço de nuvem do Windows 365, excluindo o sistema operacional Windows em execução em PCs na nuvem do Windows 365. |
Práticas e Políticas de Segurança para Serviços Online Principais
Além das práticas e políticas de segurança para Serviços Online contidos no DPA, cada Serviço Online Principal também cumpre os padrões de controle e estruturas mostrados na tabela abaixo, bem como implementa e mantém as medidas de segurança estabelecidas no Apêndice A do DPA para a proteção dos Dados do Cliente.
| Serviço Online | SSAE 18 SOC 1 Tipo II | SSAE 18 SOC 2 Tipo II |
|---|---|---|
| Serviços do Office 365 | Sim | Sim |
| Serviços de Conformidade do Microsoft 365 | Sim | Sim |
| Microsoft Dynamics 365 Core Services | Sim | Sim |
| Serviços Principais do Microsoft Azure | Variáveis* | Variáveis* |
| Microsoft Defender for Cloud Apps | Sim | Sim |
| Serviços Online do Microsoft Intune | Sim | Sim |
| Serviços Principais da Microsoft Power Platform | Sim | Sim |
| Microsoft Defender para Serviços de Ponto de Extremidade | Sim | Sim |
| Microsoft Defender for Identity | Sim | Sim |
| Microsoft Defender XDR | Sim | Sim |
| Windows 365 | Sim | Sim |
*O escopo atual é detalhado no relatório de auditoria e resumido na Central de Confiabilidade da Microsoft.
Local dos Dados do Cliente em Repouso para Serviços Online Principais
Com relação aos Principais Serviços Online, a Microsoft armazenará os Dados do Cliente em repouso em determinadas áreas geográficas importantes (individualmente, Área Geográfica) da seguinte forma, exceto se for estabelecido de outra forma nos termos específicos do Serviço Online:
- Serviços do Office 365. Se o Cliente provisionar seu locatário na Austrália, no Brasil, no Canadá, na União Europeia, na França, na Alemanha, na Índia, no Japão, na Noruega, no Catar, na África do Sul, na Coreia do Sul, na Suécia, na Suíça, no Reino Unido, nos Emirados Árabes Unidos ou nos Estados Unidos, a Microsoft armazenará os seguintes Dados do Cliente em repouso somente nessa Região: (1) conteúdo da caixa de correio do Exchange Online (corpo do email, entradas do calendário e o conteúdo dos anexos de email), (2) conteúdo do site do SharePoint Online e os arquivos armazenados nesse site, (3) arquivos carregados no OneDrive for Business, (4) mensagens de bate-papo do Microsoft Teams (incluindo mensagens privadas, mensagens de canal, mensagens de reunião e imagens usadas em bate-papos) e para clientes que usam gravações de reuniões do Microsoft Stream (Classic) (no SharePoint) e (5) qualquer conteúdo armazenado de interações com o Microsoft Copilot para Microsoft 365 na medida não incluída nos compromissos anteriores. Se o Cliente adquirir uma assinatura de Residência de Dados Avançada, a Microsoft armazenará determinados Dados do Cliente inativos na área geográfica aplicável de acordo com esta seção e a seção “Compromissos de Residência de Dados Avançada” da documentação do produto em https://aka.ms/adroverview.
- Serviços Online do Microsoft Intune. Quando o Cliente fornecer uma conta de locatário do Microsoft Intune a ser implantando em uma Área Geográfica disponível, a Microsoft armazenará, para esse serviço, os Dados do Cliente em repouso nessa Área Geográfica específica, exceto conforme descrito no Microsoft Intune Trust Center.
- Serviços Principais da Microsoft Power Platform. Quando o Cliente fornecer um Serviço Principal da Power Platform a ser implantando em uma Área Geográfica disponível, a Microsoft armazenará, para esse serviço, os Dados do Cliente inativos dentro dessa Área Geográfica específica, exceto conforme descrito no Microsoft Power Platform Trust Center.
- Serviços Principais do Microsoft Azure. Se o Cliente configurar um determinado serviço a ser implantando em uma Área Geográfica, para esse serviço, a Microsoft armazenará os Dados do Cliente em repouso na Área Geográfica especificada. Determinados serviços podem não permitir que o Cliente configure a implantação em uma Área Geográfica específica ou fora dos Estados Unidos e poderão armazenar backups em outros locais. Para obter mais detalhes, consulte a Central de Confiabilidade da Microsoft (que a Microsoft poderá atualizar periodicamente, mas a Microsoft não adicionará exceções para Serviços existentes na versão geral).
- Microsoft Defender for Cloud Apps. Se o Cliente provisionar seu locatário na União Europeia ou nos Estados Unidos, a Microsoft armazenará os Dados do Cliente em repouso somente nessa Área Geográfica, exceto conforme descrito na Central de Confiabilidade do Microsoft Defender for Cloud Apps.
- Microsoft Dynamics 365 Core Services. Quando o Cliente fornecer um Dynamics 365 Core Service a ser implantando em uma Área Geográfica disponível, a Microsoft armazenará, para esse serviço, os Dados do Cliente inativos dentro dessa Área Geográfica específica, exceto conforme descrito no Microsoft Dynamics 365 Trust Center.
- Microsoft Defender para Serviços de Ponto de Extremidade. Quando o Cliente fornecer um locatário do Microsoft Defender para Ponto de Extremidade a ser implantado em uma Área Geográfica disponível, a Microsoft armazenará, para esse serviço, os Dados do Cliente em repouso nessa Área Geográfica específica, exceto conforme descrito na Central de Confiabilidade do Microsoft Defender para Ponto de Extremidade.
- Microsoft Defender for Identity. Quando o Cliente fornecer um locatário do Microsoft Defender for Identity a ser implantado em uma Área Geográfica disponível, a Microsoft armazenará, para esse serviço, os Dados do Cliente em repouso nessa Área Geográfica específica, exceto conforme descrito na Central de Confiabilidade do Microsoft Defender for Identity.
- Microsoft Defender XDR. Quando o Cliente fornecer um locatário do Microsoft Defender XDR a ser implantado em uma Área Geográfica disponível, a Microsoft armazenará, para esse serviço, os Dados do Cliente em repouso nessa Área Geográfica específica, exceto conforme descrito na Central de Confiabilidade do Microsoft Defender XDR.
- Windows 365. Quando um locatário do Windows 365 é implantado em uma área geográfica disponível, para esse locatário, a Microsoft armazenará os Dados do Cliente em repouso nessa área geográfica especificada. Se o Cliente provisionar PCs na nuvem do Windows 365 dentro do mesmo locatário para diferentes regiões disponíveis, então, para cada PC na nuvem, a Microsoft armazenará os Dados do Cliente do PC na nuvem em repouso dentro dessa região especificada.
Serviços de Limite de Dados da União Europeia
O termo “Limite de Dados da União Europeia” engloba computadores, o ambiente de computação e os data centers físicos da Microsoft localizados exclusivamente na União Europeia (UE) e na Associação Europeia de Livre Comércio (EFTA). O termo “Serviços de Limite de Dados da União Europeia” aplica-se apenas aos Serviços Online na tabela abaixo, excluindo todas as Visualizações Prévias.
| Serviços de Limite de Dados da União Europeia | |
|---|---|
| Azure | Serviços do Azure que permitem a implantação em uma região dentro do Limite de Dados da União Europeia e os seguintes serviços não regionais: Azure Active Directory B2C, Assistente do Azure, Serviço de Bot do Azure, Cloud Shell, Serviços de Comunicação do Azure, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Serviço de Kubernetes do Azure no Azure Stack HCI, Azure Lighthouse, Migrações para Azure, Azure Monitor, Azure Resource Mover, Integridade do Serviço do Azure, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Área de Trabalho Virtual do Azure, Construtor de Imagens de VM do Azure, Power BI Embedded, Gerenciador de Tráfego, Tradutor |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Sistema de Proteção de Dados do Cliente, Exchange Online, Arquivamento do Exchange Online para Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (no SharePoint), Microsoft Teams, Microsoft To-Do, Office para a web, Serviços Online prestados como parte dos Aplicativos do Microsoft 365, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Microsoft Copilot for Microsoft 365, Conformidade de Comunicações, Descoberta Eletrônica e Auditoria, Gerenciamento de Riscos Internos, Barreiras de Informações, Prevenção contra Perda de Dados do Microsoft Purview, Microsoft Intune, Gerenciamento de Risco de Privacidade Microsoft Priva, Gerenciamento de Direitos do Titular Microsoft Priva, Respostas do Microsoft Viva, Conexões do Microsoft Viva, Engajar do Microsoft Viva, Microsoft Viva Glint, Objetivos do Microsoft Viva, Insights do Microsoft Viva, Aprendizagem do Microsoft Viva, Microsoft Viva Pulse, Microsoft Copilot para Vendas e Tópicos do Microsoft Viva |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Localização dos Dados do Cliente para Serviços de Limite de Dados da União Europeia
Para os Serviços de Limite de Dados da União Europeia, a Microsoft armazenará e processará Dados do Cliente e Dados Pessoais no Limite de Dados da União Europeia, conforme detalhado abaixo.
O Cliente deverá configurar os Serviços de Limite de Dados da União Europeia da seguinte forma:
- Para o Azure, o Cliente deve implantar o serviço em uma região do Azure localizada no Limite de Dados da União Europeia. Consulte Residência de Dados no Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) para obter mais informações. Para serviços que não permitem a implantação em uma região especificada do Azure, o Cliente deve seguir as instruções em Configuração de serviços não regionais do Azure para o Limite de Dados da União Europeia (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Para o Dynamics 365 e Plataforma Power, se o Cliente fornecer um locatário com um endereço de cobrança na União Europeia ou EFTA, esse locatário estará dentro do escopo do Limite de Dados da União Europeia se o Cliente também criar todos os seus ambientes dentro de uma Região Geográfica no Limite de Dados da União Europeia.
- Para o Microsoft 365, se o Cliente fornecer um locatário com um endereço de cobrança na União Europeia ou EFTA, esse locatário estará no escopo do Limite de Dados da União Europeia, exceto para esses locatários nos quais o Cliente também adquiriu o complemento Multi-Geo Capabilities do Microsoft 365 que permite aos clientes expandir a presença do locatário do Microsoft 365 para várias regiões geográficas ou países (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
O uso dos Serviços de Limite de Dados da União Europeia pode resultar em transferências limitadas de Dados do Cliente ou Dados Pessoais fora do Limite de Dados da União Europeia, conforme estabelecido abaixo e mais detalhado na documentação de transparência para o Limite de Dados da União Europeia localizada em https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn ou em um local sucessor. Tais transferências serão conduzidas de acordo com o Adendo de Proteção de Dados e os Termos do Produto.
- Acesso Remoto. A equipe da Microsoft localizada fora do Limite de Dados da União Europeia pode acessar remotamente os sistemas de processamento de dados no Limite de Dados da União Europeia conforme necessário para operar, solucionar problemas e proteger os Serviços de Limite de Dados da União Europeia.
- Transferências Iniciadas pelo Cliente. Os Clientes podem iniciar transferências fora do Limite de Dados da União Europeia, por exemplo, acessando os Serviços de Limite de Dados da União Europeia de locais fora do Limite de Dados da União Europeia, enviando um e-mail para um destinatário localizado fora do Limite de Dados da União Europeia ou usando os Serviços de Limite de Dados da União Europeia em combinação com outros serviços fora do Limite de Dados da União Europeia.
- Proteção dos Clientes. A Microsoft transfere dados limitados fora do Limite de Dados da União Europeia conforme necessário para detectar e proteger os Clientes contra ameaças de segurança.
- Dados do Diretório. A Microsoft pode replicar dados de diretório limitados do Microsoft Entra usando o Microsoft Entra ID (incluindo nome de usuário e endereço de email) fora do Limite de Dados da União Europeia para prestar o serviço.
- Trânsito de Rede. Para reduzir a latência de roteamento e manter a resiliência do roteamento, a Microsoft usa caminhos de rede variáveis que podem ocasionalmente resultar em trânsito de dados fora do Limite de Dados da União Europeia.
- Qualidade e Gestão de Serviços e Plataformas. Quando necessário para monitorar e manter a qualidade do serviço ou para garantir a precisão das medidas estatísticas de uso ou desempenho do serviço, Dados Pessoais sob pseudônimo podem ser transferidos para fora dos limites de dados da União Europeia.
- Transferências Específicas de Serviço. Consulte a documentação de transparência mencionada acima para obter informações sobre transferências aplicáveis a Serviços Específicos de Limite de Dados da União Europeia.