Trace Id is missing
Pular para o conteúdo principal
Microsoft 365
Entrar

Central de confiabilidade: Informações sobre segurança, privacidade e conformidade para Office 365 e Microsoft Dynamics CRM Online

Conformidade regulamentar

A Microsoft está comprometida com a transparência para ajudar os clientes a cumprirem suas necessidades normativas?

Sim. Nossos clientes do Office 365 e do Microsoft Dynamics CRM Online em todo o mundo estão sujeitos a várias leis e regulamentos diferentes. Os requisitos legais em um país/região ou setor podem ser inconsistentes com os requisitos legais aplicáveis em qualquer outro lugar. Como um provedor de serviços globais na nuvem, devemos executar nossos serviços com práticas operacionais comuns e recursos em vários clientes e jurisdições. Para ajudar nossos clientes a agirem de acordo com seus próprios requisitos, desenvolvemos nossos serviços com requisitos de privacidade e segurança em mente, e nossos recursos integrados permitem cumprir uma ampla variedade de mandados de privacidade e regulamentos.

No entanto, fica a critério de nossos clientes avaliarem nossas ofertas em relação a seus próprios requisitos, a fim de que possam determinar se nossos serviços atendem às suas necessidades normativas. Estamos comprometidos em fornecer a nossos clientes informações detalhadas sobre nossos serviços na nuvem, a fim de ajudá-los a fazer suas próprias avaliações normativas.

As informações sobre certificações que podem auxiliar na conformidade regulamentar estão localizadas na seção Segurança, auditorias e certificações.

O Office 365 e o Microsoft Dynamics CRM Online estão em conformidade com as obrigações normativas?

É sua obrigação estar em conformidade com suas obrigações normativas. Fornecemos a você informações para ajudá-lo a fazer isso.

Estamos comprometidos com a conformidade com as leis de privacidade e proteção de dados geralmente aplicáveis aos provedores de serviços de TI. Se você estiver sujeito a requisitos jurisdicionais ou do setor, precisará fazer sua própria avaliação de sua capacidade de conformidade, mas os clientes em muitos setores e localizações geográficas detectaram que eles podem usar o Office 365 e o Microsoft Dynamics CRM Online de uma forma que permaneça em conformidade com os regulamentos aplicáveis, desde que utilizem os serviços de forma apropriadas às suas circunstâncias específicas.

Por exemplo, as organizações cobertas pela Diretiva de Proteção de Dados da União Europeia devem ter seu próprio programa de treinamento, segurança e políticas vigente, a fim de garantirem que sua equipe não use os serviços do Office 365 e do Microsoft Dynamics CRM Online de forma que viole a diretiva. O Office 365 e o Microsoft Dynamics CRM Online farão nossa parte ao cumprirem as promessas contratuais que fizemos, ajudando assim você a se manter em conformidade.

Por exemplo, um cliente na União Europeia pode armazenar uma lista de clientes que inclui informações de contato. O Office 365 e o Microsoft Dynamics CRM Online têmprocedimentos de segurança vigentes para garantir que a equipe da Microsoft não acesse nem divulgue inadequadamente essas informações. No entanto, um dos funcionários do cliente, que é um usuário do Microsoft Exchange Online, pode usar o serviço para enviar essa lista de clientes para um comerciante sem o consentimento apropriado. Qualquer violação resultante dos requisitos de proteção de dados na União Europeia decorrente do Office 365 e do Microsoft Dynamics CRM Online tendo seguido as instruções do cliente - a saber, ao fazer com que um e-mail seja enviado no curso ordinário de fornecer os serviços - é responsabilidade do cliente.

Se eu estiver na Europa, o uso do Office 365 e do Microsoft Dynamics CRM Online, por mim, será legal?

Sob a Diretiva de Proteção de Dados na União Europeia e nosso compromisso contratual, o Office 365 e o Microsoft Dynamics CRM Online agem como zeladores de seus dados, essencialmente um subcontratado (a lei nos chama de "processador de dados").

Você, o cliente, tem a propriedade de seus dados e a responsabilidade sob a lei para garantir que estamos seguindo as regras e é legal para você enviar dados pessoais para nós (a lei o chama de "controlador de dados"). Você deve determinar para seus negócios, em sua situação específica, se pode usar nossos serviços para processar e armazenar seus dados pessoais.

Os requisitos da Diretiva de Proteção de Dados na União Europeia foram considerados para o projeto e a operação de nossos serviços para uso normal, e monitoramos continuamente essa área quanto às alterações pertinentes para a evolução dos serviços.

A Microsoft também é autocertificada pelo programa Safe Harbor dos EUA e da UE, e pelo praticamente idêntico Safe Harbor dos EUA e da Suíça, conforme acordado pelo Departamento de Comércios dos EUA e pela UE e Suíça, respectivamente. Como resultado, somos obrigados a cumprir os requisitos da Diretiva de Proteção de Dados na União Europeia e podemos transferir legalmente os dados para fora da UE para fornecer os serviços do Office 365 e do Microsoft Dynamics CRM Online. O certificado Safe Harbor da Microsoft pode ser encontrado em http://safeharbor.export.gov/. Entendemos que alguns clientes podem precisar de garantias mais robustas do que a autocertificação do Safe Harbor pode oferecer, é por isso que desejamos assinar as Cláusulas Modelo da UE (também conhecidas como as “Cláusulas Contratuais Padrão”) com todos os clientes. Para mais informações sobre a transferência de dados para fora da UE, consulte a seção Mapas de dados da Central de confiabilidade.

Em alguns países/regiões, também aderimos aos requisitos de segurança para o armazenamento de dados pessoais confidenciais, como definidos por lei. Se você tiver preocupações devido às regras em seu país/região ou ao tipo de dados que está armazenando, ou gostaria de mais informações sobre as práticas e os recursos compatíveis do Office 365 ou do Microsoft Dynamics CRM Online, poderá contatar o Suporte se não conseguir localizar essas informações na documentação do serviço. Na medida em que não enfraqueça nossa segurança para relevar informações úteis, faremos isso para ajudá-lo a fazer sua própria determinação em relação à aceitação da implementação do Office 365 ou do Microsoft Dynamics CRM Online em relação aos seus requisitos.

Você deve ler as perguntas frequentes sobre Conformidade acima e compreender que só porque o Office 365 e o Microsoft Dynamics CRM Online permitem que sua organização cumpra as leis de privacidade, não significa que sua organização esteja em conformidade - pode haver etapas adicionais que você precisa realizar, como aplicar as políticas corretas da empresa e treinar os funcionários sobre as boas práticas recomendadas. Além disso, dependendo do seu país/região, poderá haver etapas adicionais que você precisará cumprir com a lei local, como preencher informações com sua agência de proteção de dados.

Os dados do cliente que são processados pelo Office 365 ou pelo Microsoft Dynamics CRM Online são registrados com as autoridades da UE?

Não, o Office 365 e o Microsoft Dynamics CRM Online, como processadores de dados, não registram com as autoridades da UE os dados de clientes que processamos em nome dos clientes.

O Office 365 e o Microsoft Dynamics CRM Online estão em conformidade com os requisitos da lei americana HIPAA (Health Insurance Portability and Accountability Act)? A Microsoft assinará um BAA (Contrato de Associado Comercial) do HIPAA?

Ajudamos nossos clientes a cumprirem o HIPAA e desejamos assinar um BAA do HIPAA com todos os clientes. Consulte a seção Pergunta frequente sobre HIPAA/HITECH para mais informações.

O Office 365 ou o Microsoft Dynamics CRM Online está em conformidade com o GLBA (Gramm Leach Bliley Act)?

O Office 365 e o Microsoft Dynamics CRM Online ajudam os clientes a cumprirem os requisitos de segurança do GLBA ao fornecer proteções técnicas e organizacionais, a fim de ajudar os clientes a manterem a segurança e impedir o uso não autorizado.

A Microsoft pode fornecer aos clientes, mediante solicitação, um relatório de resumo de uma certificação de terceiros por um auditor independente.

O Office 365 ou o Microsoft Dynamics CRM Online está em conformidade com o PCI DSS (Padrão de Segurança de Dados do Setor de Cartão de Pagamento)? Posso hospedar os dados do cartão de crédito em seu serviço?

O Office 365 e o Microsoft Dynamics CRM Online não são compatíveis com o processamento, a transmissão ou o armazenamento de dados regidos por PCI, como números do cartão de crédito.

O padrão PCI não se aplica ao Office 365 ou ao Microsoft Dynamics CRM Online porque o processamento do cartão de crédito e o armazenamento de dados não são funções oferecidas pelo Office 365 ou pelo Microsoft Dynamics CRM Online. O Office 365 e o Microsoft Dynamics CRM Online utilizam controles e políticas de segurança aplicáveis definidos pelas práticas recomendadas do setor, como ISO 27001 e outros.

No entanto, observe que os sistemas de pagamento, cobrança e pedidos do Office 365 e do Microsoft Dynamics CRM Online, que processam dados do cartão de crédito, estão em conformidade com o PCI de nível um e os clientes podem usar cartões de crédito para pagar os serviços com confiança.

O Office 365 está em conformidade com a FERPA?

Embora uma instituição educacional tenha muitas e variadas obrigações de acordo com a FERPA, a Microsoft estipula os principais termos contratuais que governam o uso e a divulgação dos registros educacionais que podem ser armazenados no Office 365, permitindo que as instituições educacionais utilizem o Office 365 como parte de uma estratégia mais ampla de conformidade à FERPA.

A FERPA requer que qualquer agência ou instituição educacional que receba fundos do Departamento de Educação dos EUA proteja os direitos de privacidade dos estudantes salvaguardando os “registros educacionais” do uso ou da divulgação sem consentimento. A orientação do Departamento de Educação especifica que as comunicações por e-mail são consideradas registros educacionais sujeitos à FERPA e que os provedores de e-mail na nuvem devem ser restringidos de maneira similar ao modo como eles usam ou divulgam as informações em e-mails e documentos. 

A FERPA requer que um provedor na nuvem concorde que os “registros educacionais” contidos em e-mails e outros documentos eletrônicos de alunos e membros do corpo docente serão usados somente para a finalidade estrita de fornecer o serviço na nuvem e que tais informações não serão verificadas ou usadas para dar suporte e manter atividades comerciais, como publicidade. A Microsoft fornece às instituições educacionais uma rota para a conformidade com a FERPA, ao concordar em ser considerada uma “instituição de ensino oficial” sujeita à FERPA com “interesses educacionais legítimos” nos dados da instituição e ao concordar em agir de acordo com as limitações e os requisitos impostos pela FERPA para as instituições de ensino oficiais, incluindo concordar que ela não verificará documentos ou e-mails institucionais para fins de publicidade.