Continuação das transferências de dados aplicáveis a todos os Serviços de Limite de Dados da UE

Existem cenários em que a Microsoft continuará a transferir dados para fora do Limite de Dados da UE para cumprir os requisitos operacionais dos serviços cloud, em que os dados armazenados na Fronteira de Dados da UE serão acedidos remotamente por pessoal localizado fora da Fronteira dos Dados da UE e onde a utilização dos Serviços de Limite de Dados da UE por parte de um cliente resultará na transferência de dados para fora do Limite de Dados da UE para alcançar os resultados pretendidos pelo cliente. A Microsoft garante que quaisquer Dados do Cliente, dados pessoais pseudonimizados e Transferências de dados de Serviços Profissionais fora do Limite de Dados da UE estão protegidos por salvaguardas de segurança detalhadas nos nossos contratos de serviços e documentação do produto.

Acesso remoto aos dados armazenados e processados no Limite de Dados da UE

Os serviços cloud da Microsoft são criados, operados, mantidos em segurança e mantidos por equipas especializadas de todo o mundo para fornecer aos clientes o mais elevado nível de qualidade de serviço, suporte, segurança e fiabilidade. Este modelo (conhecido como modelo do Microsoft DevOps) coloca os programadores e a equipa de operações em conjunto a trabalhar em conjunto para criar, manter e fornecer continuamente os serviços. Esta secção descreve como a Microsoft minimiza este acesso remoto aos Dados do Cliente, aos dados pessoais pseudonimizados e aos Dados dos Serviços Profissionais e restringe esse acesso quando tem de ocorrer.

A Microsoft utiliza uma abordagem multicamadas para proteger os Dados do Cliente, os dados pessoais pseudonimizados e os Dados de Serviços Profissionais contra o acesso não autorizado por parte do pessoal da Microsoft, que consiste tanto dos funcionários da Microsoft como das respetivas subsidiárias e do pessoal contratado de organizações de terceiros que ajudam os funcionários da Microsoft. Para aceder aos Dados do Cliente, aos dados pessoais pseudoanonimizados ou aos Dados dos Serviços Profissionais, o pessoal da Microsoft tem de ter um marcar em bom estado de funcionamento, além de utilizar a autenticação multifator como parte dos requisitos de segurança padrão da Microsoft.

Quando o pessoal da Microsoft precisa de aceder aos Dados do Cliente, aos dados pessoais pseudoanonimizados ou aos Dados dos Serviços Profissionais armazenados em sistemas Microsoft dentro do Limite de Dados da UE fora do limite (considerado uma transferência de dados ao abrigo da legislação europeia sobre privacidade, embora os dados permaneçam na infraestrutura do datacenter da Microsoft no Limite de Dados da UE), dependemos de tecnologia que garante que este tipo de transferência é seguro, com acesso controlado e sem armazenamento persistente no ponto de acesso remoto. Quando tal transferência de dados é necessária, a Microsoft utiliza a encriptação de última geração para proteger os Dados do Cliente, os dados pessoais pseudonimizados e os Dados de Serviços Profissionais inativos e em trânsito. Para obter mais informações, veja Descrição geral da gestão de chaves e encriptação.

Como a Microsoft protege os Dados do Cliente

Concebemos os nossos serviços e processos para maximizar a capacidade de o pessoal do DevOps operar os serviços sem precisar de acesso aos Dados do Cliente, empregando ferramentas automatizadas para identificar e reparar problemas. Em casos raros, quando um serviço está inativo ou precisa de uma reparação que não pode ser efetuada com ferramentas automatizadas, o pessoal autorizado da Microsoft pode necessitar de acesso remoto aos dados armazenados dentro do Limite de Dados da UE, incluindo os Dados do Cliente. Não existe acesso predefinido aos Dados do Cliente; O acesso é fornecido ao pessoal da Microsoft apenas quando uma tarefa o requer. O acesso aos Dados do Cliente tem de ser para uma finalidade adequada, tem de estar limitado à quantidade e tipo de Dados do Cliente necessários para alcançar o objetivo adequado e onde o objetivo só pode ser alcançado através deste nível de acesso. A Microsoft utiliza aprovações de acesso just-in-time (JIT) que são concedidas apenas durante o tempo necessário para alcançar esse objetivo. A Microsoft também depende do controlo de acesso baseado em funções (RBAC), em que o acesso individual está sujeito a requisitos rigorosos, como o princípio de necessidade de saber, formação contínua obrigatória e supervisão por um ou mais gestores.

O pessoal da Microsoft que tem acesso aos Dados do Cliente opera a partir de estações de trabalho de administração segura (SAWs). As SAWs são computadores de função limitada que reduzem o risco de comprometimento de software maligno, ataques de phishing, sites falsos e ataques pass-the-hash (PtH), entre outros riscos de segurança, e são ativados com contramedidas destinadas a dificultar a transferência de dados. Por exemplo, o pessoal da Microsoft que trabalha em SAWs tem acesso restrito à Internet nesses dispositivos e não consegue aceder a suportes de dados externos ou amovíveis porque essas capacidades estão bloqueadas na implementação SAW. O programa microsoft SAW e de ambiente de alto risco recebeu prémios CSO50 de csoonline.com em 2022, 2020 e 2019.

Além dos controlos descritos anteriormente, os clientes podem estabelecer controlos de acesso adicionais para muitos serviços cloud da Microsoft ao ativar o Sistema de Proteção de Dados do Cliente. A implementação da funcionalidade Sistema de Proteção de Dados do Cliente varia ligeiramente por serviço, mas o Sistema de Proteção de Dados do Cliente geralmente garante que o pessoal da Microsoft não consegue aceder aos Dados do Cliente para realizar operações de serviço sem a aprovação explícita do cliente. Veja Microsoft Purview Customer Lockbox, Customer Lockbox for Microsoft Azure e Securely access customer data using Customer Lockbox in Power Platform and Dynamics 365 (Sistema de Proteção de Dados do Cliente do Microsoft Azure) e Securely access customer data using Customer Lockbox in Power Platform and Dynamics 365 (Sistema de Proteção de Dados do Cliente em ação).

O acesso aos Dados do Cliente também é registado e monitorizado pela Microsoft. A Microsoft realiza auditorias regulares para rever e confirmar que as medidas de gestão de acesso estão a funcionar de acordo com os requisitos de política, incluindo os compromissos contratuais da Microsoft.

Como a Microsoft protege dados pessoais pseudonimizados em registos gerados pelo sistema

Atualmente, para aceder a dados pessoais pseudoanonimizados armazenados no Limite de Dados da UE, o pessoal da Microsoft pode utilizar um SAW ou uma infraestrutura de ambiente de trabalho virtual (VDI). As medidas de segurança específicas de SAW descritas na secção anterior também se aplicam ao utilizar um SAW para aceder a dados pessoais pseudonimizados. Ao utilizar um VDI para aceder a dados pessoais pseudonimizados no Limite de Dados da UE, a Microsoft impõe limitações de acesso para fornecer um ambiente seguro para o acesso aos dados. Tal como acontece com as SAWs, a lista de utilitários permitidos nas VDIs é limitada e está sujeita a rigorosos testes de segurança antes de ser certificada para ser executada nas VDIs. Quando é utilizado um VDI, os dados pessoais pseudonimizados na Fronteira dos Dados da UE são acedidos através de máquinas virtuais alojadas numa máquina física localizada na Fronteira de Dados da UE e não persistem dados fora da Fronteira dos Dados da UE.

De acordo com as nossas políticas padrão, as transferências em massa de dados fora do Limite de Dados da UE são proibidas e os utilizadores de VDI só podem aceder a destinos de URL pré-aprovados. Além disso, o pessoal da Microsoft que utiliza o ambiente VDI não tem acesso administrativo às máquinas físicas localizadas no Limite de Dados da UE.

Veja os seguintes recursos para obter mais informações sobre as tecnologias utilizadas para proteger os Dados do Cliente e os dados pessoais pseudoanonimizados:

• Utilizar máquinas virtuais blindadas para ajudar a proteger recursos de valor elevado
• Quatro práticas operacionais que a Microsoft utiliza para proteger a plataforma do Azure
• Controlo de acesso do engenheiro de serviços do Microsoft 365
• O que é a infraestrutura de ambiente de trabalho virtual (VDI)?

Como a Microsoft protege os Dados dos Serviços Profissionais

O acesso aos Dados de Serviços Profissionais por pessoal da Microsoft durante uma cativação de suporte dos Serviços Online está limitado a sistemas de gestão de suporte aprovados que utilizam controlos de segurança e autenticação, incluindo autenticação de dois fatores e ambientes virtualizados, conforme necessário. Ao aceder aos Dados dos Serviços Profissionais dentro do Limite de Dados da UE, o pessoal da Microsoft utiliza um SAW ou um VDI. As medidas de segurança específicas de SAW e VDI descritas nas secções anteriores também se aplicam ao utilizar um SAW ou um VDI para aceder aos Dados dos Serviços Profissionais dentro do Limite de Dados da UE. O pessoal da Microsoft só pode aceder a Dados de Serviços Profissionais associados a um compromisso de suporte específico ao fornecer a justificação comercial necessária e obter a aprovação do gestor. Os dados são encriptados em trânsito e inativos.

Transferências de dados iniciadas pelo cliente

Transfers customers initiate as part of service capabilities (Transferências que os clientes iniciam como parte das capacidades de serviço)

O Limite de Dados da UE não se destina a interferir ou restringir os resultados de serviço que os clientes pretendem quando utilizam os nossos serviços. Assim, se um administrador ou utilizador do cliente tomar uma ação nos serviços que iniciam uma transferência de dados para fora do Limite de Dados da UE, a Microsoft não restringirá a origem dessas transferências iniciadas pelo cliente; fazê-lo iria perturbar as operações comerciais normais para os clientes. As transferências de dados iniciadas pelo utilizador fora do Limite de Dados da UE podem ocorrer por vários motivos, por exemplo:

• Um utilizador acede a dados armazenados dentro do Limite de Dados da UE ou interage com um serviço fora da área limite de dados da UE.
• Um utilizador opta por comunicar com outros utilizadores fisicamente localizados fora do Limite de Dados da UE. Os exemplos incluem o envio de um e-mail ou mensagem SMS, o início de uma conversa ou comunicação por voz do Teams, como uma chamada de Rede Telefónica Pública Comutado (RTPC), voice mail, reuniões geográficas cruzadas, etc.
• Um utilizador configura um serviço para mover dados para fora do Limite de Dados da UE.
• Um utilizador opta por combinar os Serviços de Limites de Dados da UE com outras ofertas da Microsoft ou de terceiros ou experiências ligadas sujeitas a termos separados dos que se aplicam aos Serviços de Limites de Dados da UE (por exemplo, ao utilizar uma experiência opcional apoiada pelo Bing disponível através das Aplicações do Microsoft 365 ou através de um conector disponível para sincronizar dados de um Serviço de Limites de Dados da UE com uma conta que o utilizador possa ter com um fornecedor diferente da Microsoft).
• Um administrador de cliente opta por ligar os Serviços de Limites de Dados da UE a outros serviços oferecidos pela Microsoft ou por terceiros, em que esses outros serviços estão sujeitos a termos separados dos que se aplicam aos Serviços de Limite de Dados da UE (por exemplo, ao configurar um Serviço de Limites de Dados da UE para enviar consultas para o Bing ou ao estabelecer uma ligação entre um Serviço de Limite de Dados da UE e um serviço alojado num fornecedor diferente da Microsoft com o Bing) que o cliente também tem uma conta).
• Um utilizador adquire e utiliza uma aplicação de uma loja de aplicações apresentada num Serviço de Limites de Dados da UE (a loja Teams, por exemplo), em que a aplicação está sujeita a termos separados dos aplicáveis ao Serviço de Limites de Dados da UE, como o contrato de licença de utilizador final do fornecedor de aplicações.
• Uma organização pede ou subscreve serviços de segurança profissionais, em que a Microsoft age numa capacidade de centro de operações de segurança remota ou realiza análises forenses em nome (e como parte) do grupo de segurança da organização.

Cumprir pedidos de direitos dos titulares dos dados do RGPD em todo o mundo

A Microsoft implementou sistemas para permitir que os nossos clientes respondam a pedidos de direitos dos titulares dos dados (DSRs) ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD), por exemplo, para eliminar dados pessoais em resposta a um pedido nos termos do artigo 17.º do RGPD, uma vez que os clientes determinam que é adequado e estes sistemas estão disponíveis para clientes em todo o mundo. Para permitir que os nossos clientes mantenham a conformidade com o RGPD, os sinais de DSR que incluem identificadores de utilizador têm de ser processados globalmente para garantir que todos os dados relacionados com um titular dos dados são eliminados ou exportados conforme pedido. Quando o nosso cliente determina que a eliminação de dados é adequada em resposta a um titular dos dados que pede que os dados pessoais sejam eliminados, todos os dados pessoais relacionados com esse titular dos dados têm de ser localizados e eliminados de todos os arquivos de dados da Microsoft, dentro e fora do Limite de Dados da UE. Da mesma forma, quando um pedido de exportação é submetido por um administrador do cliente, a Microsoft tem de exportar para a localização de armazenamento especificada pelo administrador do cliente, mesmo que esteja fora do Limite de Dados da UE, todos os dados pessoais sobre esse titular dos dados. Para obter mais informações, veja Pedidos de Titulares de Dados e rGPD e CCPA.

Dados dos Serviços Profissionais

Serviços de consultoria

Dados de Serviços Profissionais fornecidos à Microsoft para serviços de consultoria da Microsoft, que consistem em planeamento, aconselhamento, orientação, migração de dados, implementação e solução/serviços de desenvolvimento de software não estão no âmbito do Limite de Dados da UE. Estes Dados de Serviços Profissionais para serviços de consultoria estão atualmente armazenados em datacenters da Microsoft baseados em Estados Unidos e são acedidos pela equipa que o cliente interage para fornecer os serviços.

VDI

Para investigar e remediar alguns casos de suporte ao cliente, o pessoal da Microsoft pode aceder aos Dados dos Serviços Profissionais através de um VDI alojado num computador físico localizado fora do Limite de Dados da UE. O pessoal da Microsoft também pode aceder a dados pessoais pseudonimizados em registos gerados pelo sistema através de VDIs fora do Limite de Dados da UE para investigar e remediar alguns problemas do cliente. Ambos os cenários resultam no processamento temporário de Dados de Serviços Profissionais fora do Limite de Dados da UE; no entanto, os dados não persistem fora do Limite de Dados da UE.

Títulos de casos de suporte técnico

Os títulos de casos de suporte técnico, considerados Dados de Serviços Profissionais, desempenham um papel crucial na gestão e encaminhamento eficazes de casos de suporte na Microsoft. Estes títulos são utilizados em vários sistemas e ferramentas para melhorar a eficiência operacional e a entrega de serviços. Isto inclui encaminhamento de casos eficiente, diagnóstico e resolução de problemas, deteção de picos, triagem e atribuição de prioridades e avaliação de pedidos de serviço. O título do caso de suporte técnico fornecido pelo cliente ou gerado pela Microsoft em nome do cliente pode ser armazenado em datacenters fora do Limite de Dados da UE.

Casos escalados para engenheiros de produtos

Se um engenheiro de suporte não conseguir resolve um caso diretamente, poderá ter de o escalar para a equipa do produto para uma resolução de problemas adicional. Nesses casos, os Dados de Serviços Profissionais para um caso de suporte podem ser armazenados em datacenters fora do Limite de Dados da UE. Estes dados podem incluir a descrição do caso de suporte e os passos de reprodução. O acesso aos Dados dos Serviços Profissionais para resolve o caso está descrito em Acesso remoto aos dados armazenados e processados no Limite de Dados da UE anteriormente neste artigo.

Mensagens de voz do cliente em casos de suporte

Quando um cliente chama a Microsoft para obter suporte e deixa um voicemail para um agente de suporte, o voicemail, considerados Dados de Serviços Profissionais, pode ser armazenado fora do Limite de Dados da UE. Estão em curso trabalhos para armazenar voicemails no Limite de Dados da UE.

Proteger os clientes

Para proteger contra ameaças globais de cibersegurança, a Microsoft tem de executar operações de segurança globalmente. Para tal, a Microsoft transfere (conforme detalhado em Operações de segurança mais adiante neste artigo) dados pessoais pseudoanonimizados e Dados de Serviços Profissionais fora do Limite de Dados da UE e, em situações raras, dados limitados do cliente. Os atores maliciosos estão a operar globalmente, a lançar ataques geograficamente distribuídos, a utilizar tácticas furtivas coordenadas e a fugir à deteção. Analisar dados de ameaças contextuais através de limites geográficos permite que os serviços de segurança da Microsoft protejam os clientes ao fornecer deteções de segurança automatizadas, proteções e resposta de alta qualidade.

Os resultados desta análise de limites cruzados alimentam vários cenários de proteção, incluindo alertar os clientes de atividades maliciosas, ataques ou tentativas de violação.

Ter fortes proteções de segurança em vigor beneficia os nossos clientes e o ecossistema informático e suporta obrigações regulamentares na segurança dos Dados do Cliente, dados pessoais pseudonimizados, Dados de Serviços Profissionais e infraestrutura crítica. Em conformidade com o RGPD e com a Carta dos Direitos Fundamentais da UE, a abordagem da Microsoft fornece valor ao promover a privacidade, a proteção de dados e a segurança.

O acesso aos Dados de Cliente limitados, aos dados pessoais pseudoanonimizados e aos Dados dos Serviços Profissionais transferidos para fora da UE para operações de segurança é restringido ao pessoal de segurança da Microsoft e a utilização está restrita a fins de segurança, incluindo detetar, investigar, mitigar e responder a incidentes de segurança. Os Dados de Cliente Transferidos, os dados pessoais pseudonimizados e os Dados dos Serviços Profissionais são protegidos através de restrições de encriptação e acesso. Para obter informações adicionais sobre controlos de acesso, veja Acesso remoto aos dados armazenados e processados no Limite de Dados da UE anteriormente neste artigo.

Exemplos de capacidades destinadas ao cliente fornecidas pela Microsoft através da utilização dos sinais de limite cruzado incluem:

• Para fornecer proteção contra ameaças de segurança modernas sofisticadas, a Microsoft baseia-se nas suas capacidades de análise avançada, incluindo inteligência artificial, para analisar dados agregados relacionados com segurança, incluindo registos de atividades, para proteger, detetar, investigar, responder e remediar estes ataques. Os Dados de Cliente Limitados, os dados pessoais pseudonimizados consolidados globalmente e os Dados de Serviços Profissionais são utilizados para criar resumos estatísticos para reduzir resultados falsos positivos, melhorar a eficácia e criar modelos exclusivos de machine learning para deteções avançadas de ameaças conhecidas e desconhecidas quase em tempo real. Os modelos globais permitem-nos ajustar e ativar modelos personalizados para operações específicas. Sem esta capacidade de análise centralizada em dados globais, a eficiência destes serviços seria significativamente degradada e não conseguiríamos proteger os nossos clientes nem proporcionar uma experiência de utilizador consistente.
• A cloud de hiperescala permite uma análise diversificada e contínua de registos gerados pelo sistema relacionados com segurança sem conhecimento prévio de um ataque específico. Em muitos casos, os registos globais gerados pelo sistema permitem que a Microsoft ou os seus clientes parem ataques anteriormente desconhecidos, enquanto noutros casos a Microsoft e os clientes podem utilizar registos gerados pelo sistema para identificar ameaças que não foram detetadas inicialmente, mas que podem ser encontradas mais tarde com base em novas informações sobre ameaças.
• Detetar um utilizador empresarial comprometido ao identificar inícios de sessão numa única conta a partir de várias regiões geográficas, num breve período (conhecido como ataques de "viagem impossível"). Para ativar a proteção contra estes tipos de cenários, os produtos de segurança da Microsoft (e, conforme aplicável, as equipas de operações de segurança e informações sobre ameaças) processam e armazenam dados, como Microsoft Entra registos gerados pelo sistema de autenticação centralmente nas áreas geográficas.
• Detetar a transferência de dados exfiltração da empresa, ao agregar vários sinais de acesso malicioso ao armazenamento de dados a partir de várias localizações, uma técnica utilizada por atores maliciosos para voar sob o radar de deteção (conhecidos como ataques "baixos e lentos").

Para minimizar o impacto de privacidade deste trabalho, as equipas de caçadores de ameaças de segurança da Microsoft limitam as transferências contínuas para registos gerados pelo sistema e informações de configuração do serviço necessárias para detetar e investigar indicadores iniciais de atividade maliciosa ou violação. Os dados pseudoanonimizados incluídos e os Dados dos Serviços Profissionais são consolidados e armazenados principalmente no Estados Unidos, mas podem incluir outras regiões de datacenter em todo o mundo para trabalhos de deteção de ameaças, conforme descrito anteriormente. Os dados pessoais pseudoanonimizados são transferidos e protegidos de acordo com os termos do DPA e os compromissos contratuais aplicáveis. Nos casos raros em que os Dados do Cliente ou os Dados dos Serviços Profissionais são acedidos ou transferidos como resultado de uma investigação de segurança, é feito através de aprovações e controlos elevados, conforme estabelecido nas secções Como a Microsoft protege os Dados do Cliente e Como a Microsoft protege os Dados dos Serviços Profissionais anteriormente neste artigo.

Operações de segurança

As operações de segurança da Microsoft utilizam uma coleção de serviços internos para monitorizar, investigar e responder a ameaças que os clientes das plataformas enfrentam para as suas operações diárias. Os dados pessoais pseudonimizados com limites geográficos, Dados de Cliente limitados ou Dados de Serviços Profissionais limitados processados para estas operações ajudam a bloquear tentativas maliciosas contra a infraestrutura de cloud e o Microsoft serviços online.

Dados pessoais pseudonimizados e Dados de Serviços Profissionais processados para fins de segurança são transferidos para qualquer região do Azure em todo o mundo. Isto permite que as operações de segurança da Microsoft, como o Centro de Resposta de Segurança da Microsoft (MSRC), forneçam serviços de segurança 24 horas por dia, 365 dias por ano de forma eficiente e eficaz em resposta a ameaças a nível mundial. Os dados são utilizados na monitorização, investigações e resposta a incidentes de segurança na plataforma, produtos e serviços da Microsoft, protegendo os clientes e a Microsoft de ameaças à sua segurança e privacidade. Por exemplo, quando um endereço IP ou número de telefone é determinado como sendo utilizado em atividades fraudulentas, é publicado globalmente para bloquear o acesso de quaisquer cargas de trabalho que o utilizem.

Os analistas de segurança acedem a dados consolidados a partir de localizações em todo o mundo, uma vez que a MSRC tem um modelo de operação "follow-the-sun", com conhecimentos distribuídos e competências para fornecer monitorização e resposta contínuas para investigações de segurança, incluindo, mas não se limitando aos seguintes cenários:

• O cliente identificou atividades maliciosas no respetivo inquilino ou subscrições e contactou o suporte da Microsoft para obter ajuda para resolver o incidente.
• O MSRC tem uma indicação clara de comprometimento num inquilino, subscrição ou recurso do cliente e notifica o cliente, ajuda a investigar e a responder ao incidente, após a aprovação do cliente.
• Durante uma investigação de incidente, caso seja identificado um incidente de segurança com impacto no cliente, o Centro de Resposta de Segurança da Microsoft (MSRC) conduzirá, de acordo com um protocolo rigoroso, uma investigação mais aprofundada para facilitar a notificação e a resposta ao incidente de segurança.
• Partilha de informações sobre ameaças e detalhes de investigação entre as equipas de segurança interna da Microsoft para resposta ágil e remediação.

Para obter informações adicionais sobre controlos de acesso, veja Acesso remoto aos dados armazenados e processados no Limite de Dados da UE anteriormente neste artigo.

Informações sobre Ameaças de Segurança

Os serviços de Informações sobre Ameaças da Microsoft monitorizam, investigam e respondem a ameaças que enfrentam ambientes de clientes. Os dados recolhidos para investigações de segurança podem incluir dados pessoais pseudonimizados em registos gerados pelo sistema, Dados de Cliente limitados e Dados de Serviços Profissionais limitados. Estes dados são utilizados para ajudar a bloquear tentativas maliciosas contra as infraestruturas de cloud dos nossos clientes e fornecer informações sobre ameaças oportunas e indicações de comprometimento às organizações, ajudando-as a aumentar o seu nível de proteção.

Para investigações de ameaças em que são detetadas provas de uma Ameaça do Estado da Nação ou de outras ações maliciosas por atores sofisticados, as equipas da Microsoft recolhem informações sobre ameaças, como o Centro de Informações sobre Ameaças da Microsoft (MSTIC), alertam os clientes sobre a atividade anotada. O MSTIC pode identificar atividades maliciosas através de registos gerados pelo sistema globalmente e dados de diagnóstico recolhidos de vários produtos e serviços Microsoft, em conjunto com a análise de especialistas por pessoal do MSTIC.

O acesso por equipas de analistas dispersas geograficamente a registos gerados pelo sistema globalmente para fins de segurança é extremamente importante para a identificação oportuna de um ataque ou violação, proporcionando uma investigação não interrompida. Os analistas do MSTIC possuem conhecimentos e competências específicos do atacante que não podem simplesmente ser replicados noutras regiões, uma vez que podem ter conhecimentos específicos do adversário regional. Como resultado, as operações de análise do MSTIC cruzam necessariamente limites geopolíticos para fornecer aos clientes o nível mais elevado de conhecimentos. Para obter informações adicionais sobre controlos de acesso, veja Acesso remoto aos dados armazenados e processados no Limite de Dados da UE anteriormente neste artigo.

Fornecer aos clientes as melhores informações sobre ameaças requer que o MSTIC tire partido dos sinais globais para cenários como:

• Atividades maliciosas do Estado-Nação que são utilizadas para atingir objetivos de inteligência nacional.
• Atividades maliciosas do Estado-Nação que utilizam software maligno e táticas de mercadorias em ataques destrutivos e irrecuperáveis ou são utilizadas para mascarar a identidade do atacante (sinalizador falso) e proporcionam uma negação plausível. Atividades criminosas maliciosas que são utilizadas em esquemas ilícitos de extorsão financeira (por exemplo, ataques de ransomware contra recursos críticos civis ou infraestruturas).

Serviços em pré-visualização/avaliações

Apenas os serviços Pagos da Microsoft que estão geralmente disponíveis estão incluídos no Limite de Dados da UE. Os serviços que estão em pré-visualização ou disponibilizados como avaliações gratuitas não estão incluídos.

Serviços preteridos

Serviços que, a partir de 31 de dezembro de 2022, a Microsoft anunciou como preteridos não estão incluídos no Limite de Dados da UE. Os serviços cloud da Microsoft seguem a Política de Ciclo de Vida Moderna e, na maioria dos casos, quando anunciámos um serviço como preterido, também recomendamos uma oferta de produto alternativa ou sucessora que esteja no âmbito do Limite de Dados da UE. Por exemplo, Microsoft Stream (Clássico) é um serviço de vídeo empresarial para o Microsoft 365 que foi substituído por Stream (no SharePoint). Os clientes foram informados de que Stream (Clássico) estava a ser preterida a 15 de abril de 2024. Foram disponibilizadas orientações de migração e ferramentas de pré-visualização pública para ajudar os clientes a migrar para Stream (no SharePoint), que se encontra dentro do Limite de Dados da UE.

Software no local e aplicações cliente

Os dados armazenados em aplicações cliente e software no local não estão incluídos no Limite de Dados da UE, uma vez que a Microsoft não controla o que acontece nos ambientes no local dos clientes. Os dados de diagnóstico gerados a partir da utilização de aplicações cliente e software no local também não estão incluídos no Limite de Dados da UE.

Nota

Os registos gerados pelo sistema e os dados de diagnóstico da utilização de Microsoft 365 Apps (subscrição) estão incluídos no Limite de Dados da UE. Para obter mais informações, consulte Coleção de Telemetria do Microsoft 365.

Dados do diretório

A Microsoft pode replicar dados de diretório Microsoft Entra limitados de Microsoft Entra (incluindo o nome de utilizador e o endereço de e-mail) fora do Limite de Dados da UE para fornecer o serviço.

Trânsito de Rede

Para reduzir a latência de encaminhamento e manter a resiliência de encaminhamento, a Microsoft utiliza caminhos de rede variáveis que podem ocasionalmente resultar no encaminhamento do tráfego do cliente fora do Limite de Dados da UE. Isto pode incluir o balanceamento de carga por servidores proxy.

Qualidade, Resiliência e Gestão de Serviços e Plataformas

O pessoal da Microsoft pode exigir que alguns dados pessoais pseudoanonimizados de registos gerados pelo sistema e Dados de Serviços Profissionais de casos de suporte sejam consolidados globalmente para garantir que os serviços estão a ser executados de forma eficiente e para calcular e monitorizar métricas de qualidade global em tempo real para os serviços. Uma quantidade limitada de dados pessoais pseudonimizados, como IDs de objeto ou IDs exclusivos primários (PUIDs) e Dados de Serviços Profissionais, como IDs de controlo ou IDs de sessões de casos de suporte do Serviço Online, podem ser incluídos nestas transferências. Estes dados são utilizados para resolver vários problemas de operabilidade e gestão do serviço. Os exemplos incluem:

• Calcular o número de utilizadores afetados por um evento com impacto no serviço para determinar a sua difusão e gravidade ou calcular os utilizadores ativos mensais (MAU) e os utilizadores ativos diários (DAU) dos serviços para garantir que os cálculos de faturação com base nesses dados são completos e precisos. Os dados pessoais pseudonimizados transferidos para fins de cálculo mau e DAU são mantidos fora do Limite de Dados da UE durante apenas o tempo necessário para compilar análises agregadas.

• Uma quantidade limitada de dados pessoais pseudoanonimizados é enviada para datacenters localizados fora do Limite de Dados da UE para fins de validação da licença de subscrição de um cliente status.