Explorar os requisitos de controles de acesso do subprocessador
Se um subprocessador tiver "potencial para aceder" aos Dados Pessoais ou aos Dados Confidenciais da Microsoft, isso significa que pode processar esses dados sempre e como quiser? A Microsoft permite que os subprocessadores processem dados, apenas para fornecer os serviços que a Microsoft os reteve para fornecer e estão proibidos de utilizar os dados para qualquer outra finalidade. Os Dados Pessoais processados por subprocessadores são muitas vezes pseudonimizados ou não identificados, permitindo que os subprocessadores cumpram as responsabilidades dos seus trabalhos sem aceder a atributos identificáveis. A Microsoft requer que cada tipo de subprocessador utilize controlos de acesso adequados para proteger os dados que processam.
Tipos de subprocessadores
A Microsoft designou três categorias de subprocessadores:
- Tecnologia: Subprocessadores de terceiros que alimentam tecnologias totalmente integradas com o Microsoft Online Services e, em parte, alimentam as funções de cloud da Microsoft. Se implementar um destes serviços, os subprocessadores identificados para esse serviço poderão processar, armazenar ou aceder a Dados do Cliente ou Dados Pessoais, ajudando a fornecer esse serviço.
- Auxiliar: Subprocessadores de terceiros que fornecem serviços de acompanhamento que ajudam a suportar, operar e manter os Serviços Online. Nesses casos, os subprocessadores identificados podem processar, armazenar ou acessar dados limitados do cliente ou dados pessoais enquanto fornecem seus serviços auxiliares.
- Pessoal do Contrato: Organizações que fornecem pessoal contratado que trabalha lado a lado com funcionários a tempo inteiro da Microsoft para suportar, operar e manter o Microsoft Online Services. Em todos estes casos, os Dados do Cliente ou os Dados Pessoais residem apenas em instalações da Microsoft, em sistemas Microsoft e estão sujeitos a políticas e supervisão da Microsoft.
Além disso, as entidades do datacenter da Microsoft fornecem a infraestrutura do datacenter na qual o Microsoft Online Services é executado. Os dados nos datacenters são encriptados e nenhum pessoal dentro dos datacenters pode aceder aos mesmos.
Controles de acesso do subprocessador
Cada tipo de subprocessador na Microsoft impõe controles de acesso apropriados para proteger os dados pessoais e do cliente. Todos os subprocessadores são necessários para manter a segurança e a confidencialidade dos dados pessoais e do cliente e são contratualmente obrigados a atender aos rígidos requisitos de privacidade e segurança. Estes requisitos são equivalentes ou mais fortes do que os compromissos contratuais assumidos pela Microsoft com os seus clientes na Adenda à Proteção de Dados de Produtos e Serviços da Microsoft.
Os funcionários contratados estão sujeitos aos mesmos controlos de acesso em vigor para os funcionários a tempo inteiro da Microsoft, incluindo a autenticação multifator (MFA), o Acesso Permanente Zero (ZSA) e o Just-In-Time (JIT) com Acesso Just-Enough (JEA). Além disso, os subcontratados que trabalham em instalações ou usam equipamentos controlados pela Microsoft são contratualmente obrigados a seguir nossos padrões de privacidade e passar por treinamento regular de privacidade.
Os subprocessadores tecnológicos e auxiliares são responsáveis pela implementação de controlos de acesso em conformidade com os Requisitos de Proteção de Dados (DPR) da Microsoft. Estes requisitos cumprem ou excedem os compromissos contratuais assumidos pela Microsoft aos seus clientes nos nossos Termos de Produto. Estes subprocessadores podem ter o potencial de aceder a determinados dados restritos, como Dados Pessoais ou de Cliente, para fornecer funções de suporte aos Serviços Online da Microsoft. Os contratos de subprocessador proíbem especificamente a utilização de Dados Pessoais para qualquer outra finalidade. Além disso, os controlos aplicáveis da DPR ajudam a proteger o Cliente e os Dados Pessoais contra acesso ou utilização não autorizados. Em muitos casos, os subprocessadores de tarefas efetuados podem ser realizados com dados pseudonimizados ou anonimizados.
Os subprocessadores também são necessários para atender aos requisitos de privacidade e segurança, incluindo aqueles relacionados à implementação de medidas técnicas e organizacionais apropriadas para proteger dados pessoais.