Trace Id is missing
Avançar para o conteúdo principal
Microsoft 365
Iniciar sessão

Centro de Fidedignidade: Informações de Segurança, Privacidade e Conformidade do Office 365 e do Microsoft Dynamics CRM Online

Conformidade regulamentar

A Microsoft está empenhada na transparência para ajudar os clientes a cumprir as necessidades regulamentares?

Sim. Os clientes do Office 365 e do Microsoft Dynamics CRM Online em todo o mundo estão sujeitos a diferentes leis e regulamentos. Os requisitos legais num país/região ou indústria podem ser inconsistentes com os requisitos legais aplicáveis noutro país/região. Como fornecedor de serviços globais em nuvem, temos de executar os nossos serviços com práticas operacionais e funcionalidades comuns em vários clientes e jurisdições. Para ajudar os nossos clientes a cumprirem os seus próprios requisitos, criámos os nossos serviços com base em requisitos de privacidade e segurança comuns e as nossas funcionalidades incorporadas permitem a conformidade com uma vasta variedade de regulamentos e mandatos de privacidade.

No entanto, em última análise, cabe aos clientes avaliar as ofertas tendo em consideração os seus próprios requisitos, para que possam determinar se os serviços satisfazem as suas necessidades regulamentares. Estamos empenhados em fornecer aos nossos clientes informações detalhadas sobre os nossos serviços em nuvem para os ajudar a efetuar as suas próprias avaliações regulamentares.

Encontrará informações sobre certificações, que podem ser úteis para o ajudar na conformidade regulamentar, na secção Segurança, auditorias e certificação.

O Office 365 e o Microsoft Dynamics CRM Online estão em conformidade com as minhas obrigações regulamentares?

É obrigação do cliente cumprir as suas próprias obrigações regulamentares. Fornecemos-lhe informações que o ajudam a assegurar esse cumprimento.

Comprometemos-nos a cumprir as leis de privacidade e de proteção de dados geralmente aplicáveis aos fornecedores de serviços de TI. Se estiver sujeito a requisitos da indústria ou de jurisdição, terá de efetuar a sua própria avaliação em termos de conformidade, mas os clientes de vários setores e áreas geográficas concluíram que podem utilizar o Office 365 e o Microsoft Dynamics CRM Online de forma a cumprir os regulamentos aplicáveis, desde que utilizem os serviços de forma adequada às respetivas circunstâncias específicas.

Por exemplo, as organizações abrangidas pela Diretiva de Proteção de Dados da UE deverão ter as suas próprias políticas, segurança e programas de formação para assegurar que o seu pessoal não utiliza o serviço Office 365 ou o Microsoft Dynamics CRM Online em violação da Diretiva. O Office 365 e o Microsoft Dynamics CRM Online farão a nossa parte, cumprindo as promessas feitas pela Microsoft, ajudando-o a manter a conformidade.

Para dar um exemplo, um cliente da União Europeia (UE) pode armazenar uma lista de clientes, incluindo informações de contacto. O Office 365 e o Microsoft Dynamics CRM Onlinetêmprocedimentos de segurança para assegurar que o pessoal da Microsoft não acede nem divulga estas informações inadequadamente. No entanto, um dos funcionários do cliente que é utilizador do Microsoft Exchange Online pode utilizar o serviço para enviar essa lista de clientes a um comerciante sem o devido consentimento. Qualquer violação dos requisitos de proteção de dados da UE resultante do facto de o Office 365 e o Microsoft Dynamics CRM Online terem seguido a direção do cliente - nomeadamente, enviando um e-mail durante o curso normal do fornecimento dos serviços - é da responsabilidade do cliente.

Se estiver na Europa, posso utilizar legalmente o Office 365 e o Microsoft Dynamics CRM Online?

Ao abrigo da Diretiva de Proteção de Dados da UE e do nosso contrato, o Office 365 e o Microsoft Dynamics CRM Online atuam como custódia dos dados, essencialmente um subcontratante (a lei designa-nos como "processador de dados").

O cliente tem a propriedade final dos dados e a responsabilidade, ao abrigo da lei, de assegurar que estamos a seguir as regras e que o envio de dados pessoais para nós é legal (a lei designa o cliente como "controlador de dados"). Cabe ao cliente determinar, tendo em conta a empresa e a sua situação específica, se pode utilizar os nossos serviços para processar e armazenar os seus dados pessoais.

Os requisitos da Diretiva de Proteção de Dados da UE têm sido considerados na criação e no funcionamento dos nossos serviços para uma utilização normal e monitorizamos continuamente esta área relativamente a alterações relevantes para a evolução dos serviços.

A Microsoft possui ainda certificação nos programas Porto Seguro da UE - EUA e no quase idêntico Porto Seguro da Suíça - EUA, conforme acordado entre o Departamento de Comércio dos EUA e a UE e Suíça, respetivamente. Como resultado, somos obrigados a cumprir os requisitos da Diretiva de Proteção de Dados da UE e podemos legalmente transferir dados para fora da UE para fornecer serviços do Office 365 e do Microsoft Dynamics CRM Online. A certificação Porto Seguro da Microsoft pode ser encontrada em http://safeharbor.export.gov/. Compreendemos que alguns clientes podem precisar de garantias mais robustas do que a que a certificação Porto Seguro fornece e, devido a tal, estamos dispostos a assinar as Cláusulas do Modelo da UE (também denominadas de "Cláusulas Contratuais Padrão") com todos os clientes. Para mais informações sobre a transferência de dados para fora da UE, consulte a secção de Mapas de Dados do Centro de Fidedignidade.

Em alguns países/regiões, também cumprimos os requisitos de segurança para armazenamento de dados pessoais confidenciais, conforme definido por lei. Se tiver preocupações devido às regras no seu país/região ou ao tipo de dados que está a armazenar ou se pretender mais informações sobre as práticas e funcionalidades suportadas do Office 365 ou do Microsoft Dynamics CRM Online, pode contactar o Suporte caso não consiga localizar essas informações na documentação do serviço. Na medida em que a divulgação de informações úteis não constitua um fator de vulnerabilidade para a segurança, iremos efetuá-lo para o ajudar na sua própria determinação sobre a aceitabilidade da implementação do Office 365 ou do Microsoft Dynamics CRM Online relativamente aos seus requisitos.

Deverá ler as perguntas comuns acerca da Conformidade acima e compreender que o facto de o Office 365 e o Microsoft Dynamics CRM Online permitirem à sua organização cumprir leis de privacidade, por si só, não significa que a sua organização esteja em conformidade; poderão existir passos adicionais que terá de seguir, como aplicar as políticas empresariais adequadas e dar formação a funcionários sobre boas práticas de privacidade. De igual modo, consoante o país/região, poderão existir passos adicionais que terá de seguir para cumprir a legislação local, como registar informações na agência de proteção de dados.

Os dados do cliente processados pelo Office 365 ou pelo Microsoft Dynamics CRM Online estão registados nas autoridades da UE?

Não. O Office 365 e o Microsoft Dynamics CRM Online, como processadores de dados, não efetuam o registo dos dados do cliente processados em nome dos respetivos clientes nas autoridades da UE.

+ O Office 365 e o Microsoft Dynamics CRM Online estão em conformidade com os requisitos do HIPAA (Health Insurance Portability and Accountability Act)? A Microsoft assinará um BAA (Business Associate Agreement) do HIPAA?

Ajudamos os nossos clientes a estarem em conformidade com o HIPAA e estamos dispostos a assinar um BAA do HIPAA com todos os clientes. Consulte as FAQ sobre HIPAA/HITECH para mais informações.

O Office 365 ou o Microsoft Dynamics CRM Online está em conformidade com o GLBA (Gramm Leach Bliley Act)?

O Office 365 e o Microsoft Dynamics CRM Online ajudam os clientes a cumprir os requisitos de segurança do GLBA, fornecendo salvaguardas técnicas e organizacionais para os ajudar a manter a segurança e a evitar a utilização não autorizada.

A Microsoft pode fornecer aos clientes, mediante pedido, um relatório de resumo de uma certificação de terceiros através de um auditor independente.

O Office 365 ou o Microsoft Dynamics CRM Online está em conformidade com a norma PCI DSS (Payment Card Industry Data Security Standard)? É possível utilizar dados de cartões de crédito no serviço?

O Office 365 e o Microsoft Dynamics CRM Online não suportam o processamento, a transmissão ou o armazenamento de dados regidos pela norma PCI, como números de cartões de crédito.

A norma PCI não é aplicável ao Office 365 ou ao Microsoft Dynamics CRM Online, porque o processamento de cartões de crédito e o armazenamento de dados não é uma função disponibilizada pelo Office 365 ou pelo Microsoft Dynamics CRM Online. O Office 365 e o Microsoft Dynamics CRM Online aplicam políticas e controlos de segurança definidos pelas melhores práticas do setor, como a norma ISO 27001, entre outras.

No entanto, tenha em atenção que os sistemas de encomenda, faturação e pagamento do Office 365 e do Microsoft Dynamics CRM Online, que processam dados de cartões de crédito, possuem Conformidade PCI de Nível Um e os clientes podem utilizar cartões de crédito para pagar serviços em segurança.

O Office 365 está em conformidade com o FERPA (Family Educational Rights and Privacy Act)?

Enquanto que uma instituição educacional possui várias obrigações sob o FERPA, a Microsoft estipula que os termos contratuais chave que regem a utilização e divulgação de registos educacionais podem ser armazenados no Office 365, permitindo às instituições educacionais utilizar o Office 365 como parte de uma estratégia de conformidade mais abrangente do FERPA.

O FERPA requer que qualquer agência ou instituição educacional que recebe financiamento do Departamento de Educação dos EUA deve proteger os direitos de privacidade dos estudantes ao salvaguardar os "registos educacionais" de serem utilizados ou divulgados sem consentimento. O guia do Departamento de Educação esclarece que as comunicações por e-mail são consideradas registos educacionais sujeitos ao FERPA e que os fornecedores de e-mail em nuvem devem estar restringidos de forma semelhante na forma como utilizam ou divulgam informações em e-mails e documentos. 

O FERPA requer que um fornecedor de serviços em nuvem aceite que os "registos educacionais" contidos nos e-mails ou outros documentos eletrónicos do corpo docente, funcionários e estudantes apenas serão utilizados para a finalidade restrita de fornecer os serviços em nuvem e que tal informação não seja examinada ou utilizada para suportar e manter atividades comerciais como publicidade. A Microsoft fornece às instituições educacionais um caminho para a conformidade com o FERPA, ao aceitar ser considerado um "funcionário da escola" sujeito ao FERPA com "interesses educacionais legitimados" nos dados da instituição e ao aceitar cumprir as limitações e requisitos impostos pelo FERPA a funcionários da escola, incluindo aceitar que não irá examinar e-mails ou documentos da instituição para fins de publicidade.