Entender os requisitos do subprocessador da Microsoft
A Microsoft processa muitos tipos de dados como parte do fornecimento de serviços de nuvem para nossos clientes. Categorizaremos os dados processados para garantir que eles sejam tratados com as proteções de segurança e privacidade apropriadas. As categorias de dados processados pela Microsoft são definidas na Adenda à Proteção de Dados (DPA) dos Produtos e Serviços microsoft.
Quando a Microsoft utiliza um fornecedor para fornecer um aspeto dos nossos Serviços Online que pode exigir que o fornecedor processe esses dados, o fornecedor é identificado como um "subprocessador" (de acordo com a terminologia do RGPD). Todos os subprocessadores que processam "Dados Pessoais" e "Dados Confidenciais da Microsoft" têm de cumprir o Programa de Segurança e Privacidade (SSPA) do Fornecedor Microsoft antes de serem autorizados a processar dados em nome da Microsoft.
Tipos de dados compartilhados com a Microsoft
Os Dados Pessoais são definidos como quaisquer informações relacionadas com uma pessoa singular identificada ou identificável, também conhecida como titular dos dados. Os Dados Pessoais podem enquadrar-se em quatro categorias de dados separadas e distintas:
- Os dados do cliente são todos os dados, incluindo todos os ficheiros de texto, som, vídeo ou imagem e software fornecidos à Microsoft por ou em nome do Cliente através da utilização do Serviço Online, excluindo os Dados dos Serviços Profissionais da Microsoft.
- Os Dados gerados pelo serviço incluem todos os dados "derivados" ou "gerados" pela Microsoft por meio da operação de um serviço online. A Microsoft agrega esses dados de nossos serviços online e os usa para garantir que o desempenho, a segurança, o dimensionamento e outros serviços que afetam a experiência do cliente estejam operando nos níveis que nossos clientes exigem.
- Os dados de diagnóstico incluem todos os dados "coletados" ou "obtidos" de aplicativos instalados localmente para uso em conexão com o serviço online corporativo da Microsoft. São usados para ajudar a Microsoft a garantir que o software cliente seja seguro e funcione corretamente.
- Os dados dos serviços profissionais significam todos os dados, incluindo todo o texto, som, vídeo, ficheiros de imagem ou software, que são fornecidos à Microsoft, por ou em nome de um Cliente (ou que o Cliente autoriza a Microsoft a obter a partir de um Produto) ou obtidos ou processados por ou em nome da Microsoft através de um compromisso com a Microsoft para obter Serviços Profissionais. Os Dados dos Serviços Profissionais incluem dados de suporte fornecidos à Microsoft durante o suporte técnico para um serviço online.
- Os Dados Confidenciais da Microsoft referem-se a quaisquer informações que, se comprometidas através de meios de confidencialidade ou integridade, possam resultar em perdas financeiras ou de reputação significativas para a Microsoft. Isto pode incluir informações sobre o desenvolvimento, teste ou fabrico de produtos Microsoft, chaves de licença e materiais de marketing de pré-lançamento.
| Tipos de dados | Definição |
|---|---|
| Dados do cliente | Fornecido pelo Cliente |
| Dados de diagnóstico | Recolhido ou obtido a partir de software instalado pelo Cliente |
| Dados gerados pelo serviço | Gerado ou derivado pela Microsoft |
| Dados de serviços profissionais Dados de suporte |
Fornecido pelo Cliente em ligação com os Serviços Profissionais Um subconjunto de dados de serviços profissionais fornecidos pelo Cliente em relação ao suporte técnico |
| Dados pessoais | Qualquer um dos tipos de dados definidos acima relacionados com uma pessoa natural identificada ou identificável |
Programa SSPA (Garantia de Privacidade e Segurança do Fornecedor) da Microsoft
O programa Microsoft Supplier Security and Privacy Assurance (SSPA) é um programa corporativo projetado para padronizar e fortalecer as práticas de manipulação de dados definindo requisitos de privacidade e segurança para fornecedores da Microsoft. O programa SSPA exige que os fornecedores demonstrem conformidade com as políticas estritas de privacidade e segurança da Microsoft, obrigações legais e expectativas do cliente. Para proteger os dados confiados aos nossos fornecedores, a Microsoft requer que todos os subprocessadores que processam Dados Pessoais ou Dados Confidenciais da Microsoft cumpram o programa SSPA.
O programa SSPA inclui um conjunto de controles de segurança e privacidade que devem ser implementados por subprocessadores antes de processar dados em nome da Microsoft. Definimos estes controlos nos Requisitos de Proteção de Dados (DPR). Todos os subprocessadores registrados no programa SSPA devem examinar e atestar sua conformidade com os controles de DPR aplicáveis antes de iniciar o trabalho contratado. Além disso, os subprocessadores devem concluir um autoteste de conformidade com a DPR anualmente. Dependendo do nível de risco associado aos dados processados e aos serviços fornecidos pelo subprocessador, poderão ser necessários requisitos adicionais. Abordaremos esses requisitos adicionais mais adiante neste módulo.
A conformidade do subprocessador com os requisitos do programa SSPA é controlada nas ferramentas de compra da Microsoft. As ferramentas de compra não permitem que os compromissos com subprocessadores avancem até que todos os requisitos sejam concluídos. A falha em manter a conformidade com os requisitos do SSPA faz com que o subprocessador seja impedido de acessar ou processar dados em nome da Microsoft.