Termos de Privacidade e Segurança
Geral
Anteriormente, os Termos de Privacidade e Segurança estavam contidos no Anexo 1 dos Termos dos Serviços Online.
A Adenda à Proteção de Dados, ou DPA (definida no Glossário) estabelece as obrigações das partes relativamente ao tratamento e à segurança dos Dados do Cliente, Dados de Serviços Profissionais e Dados Pessoais pelos Produtos. A Adenda de Proteção de Dados pode ser transferida aqui https://aka.ms/DPA. Em caso de conflito ou inconsistência entre a DPA e quaisquer outros termos no contrato de licenciamento do Cliente (incluindo os presentes termos), prevalecerão os Termos da DPA.
Exclusão dos Serviços Online da DPA
Salvo o disposto nos Termos Específicos do Produto, os termos da DPA não são aplicáveis ao seguinte: Bing Maps Mobile Asset Management Platform, Bing Maps Transactions and Users, Serviços de Pesquisa do Bing, Serviços de IA do Azure nos contentores instalados no hardware dedicado do Cliente, Microsoft Copilot com proteção de dados comercial (anteriormente conhecido como Bing Chat Enterprise), Ofertas do GitHub, LinkedIn Sales Navigator, Microsoft Defender para IoT (excluindo quaisquer funcionalidades ligadas à nuvem), SQL do Azure no Edge, Azure Stack Hub, Ligação de dados do Microsoft Graph para ISVs, Microsoft Genomics e Visual Studio App Center Test. Cada um destes Serviços Online é regulado pelos termos de privacidade e segurança nos Termos Específicos do Produto aplicáveis.
Produtos de Software excluídos da DPA
Salvo o disposto nos Termos Específicos do Produto, os termos da DPA não são aplicáveis ao seguinte: Funcionalidades baseadas na Internet nos Produtos de Software, Sistema Operativo de Estação de Trabalho Windows, Windows Server e os presentes Produtos de Software como parte de outros Produtos. Cada um destes Produtos é regulado pelos termos de privacidade e segurança nos Termos Específicos do Produto aplicáveis.
Produtos Que Não Sejam da Microsoft
Os termos em separado, incluindo os termos de privacidade e segurança diferentes, regulam a utilização, por parte do Cliente, dos Produtos que Não Sejam da Microsoft (conforme definido nos Termos de Licenciamento Universal para os Serviços Online).
Exclusões Geográficas dos Termos da DPA
Para o Dynamics 365 e os serviços online do Power Platform, os termos específicos da DPA conforme são estabelecidos no Apêndice A que indicam que “A Microsoft armazena cópias dos Dados do Cliente e procedimentos de recuperação de dados num local diferente do local onde se encontra o equipamento informático principal que trata os Dados do Cliente”, não são aplicáveis às seguintes geografias: Emirados Árabes Unidos e África do Sul.
Serviços Online Principais
O termo “Serviços Online Principais” aplica-se apenas aos serviços na tabela abaixo, excluindo quaisquer Pré-visualizações.
| Serviços Online | |
|---|---|
| Serviços Principais do Microsoft Dynamics 365 | Os seguintes serviços, cada um como um serviço autónomo ou incluído num plano ou aplicação com a marca Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations e Dynamics 365 Sales. O Dynamics 365 Core Services não inclui (1) os Serviços do Dynamics 365 para o software ou os dispositivos suportados, que incluam, entre outros, o Dynamics 365 para aplicações, tablets ou telemóveis; (2) LinkedIn Sales Navigator; ou (3) exceto conforme expressamente definido nos termos de licenciamento para o serviço correspondente, qualquer outro serviço com marca separada disponibilizado com o Dynamics 365 Core Services ou a ele associado. |
| Serviços do Office 365 | Os seguintes serviços, cada um como um serviço autónomo ou incluído num conjunto de aplicações ou plano do Office 365 ou do Microsoft 365: Cortana, Sistema de Proteção de Dados do Cliente, Arquivo de Exchange Online, Proteção do Exchange Online, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Clássico), Microsoft Teams, Microsoft To-Do, Microsoft Defender para Office 365, Office na Web, OneDrive para Empresas, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise e Microsoft Copilot para Microsoft 365. Os Serviços do Office 365 não incluem o Microsoft 365 Apps para Grandes Empresas, qualquer parte de um serviço RTPC que opera fora do controlo da Microsoft, qualquer software de cliente ou qualquer serviço de marca em separado disponibilizado com um conjunto de aplicações, ou plano de marca do Office 365 ou do Microsoft 365, como o serviço Bing ou um serviço de marca para o “Office 365”. |
| Serviços de Conformidade do Microsoft 365 | Os seguintes serviços, cada um como um serviço autónomo ou incluído num conjunto de aplicações ou plano do Microsoft 365: Sistema de Proteção de Dados do Cliente do Microsoft Purview, Prevenção de Perda de Dados do Microsoft Purview, Chave de Cliente do Microsoft Purview, Gestão do Ciclo de Vida dos Dados do Microsoft Purview, Barreiras de informações do Microsoft Purview, Gestão de Acesso Privilegiado do Microsoft Purview, Gestor de Conformidade do Microsoft Purview, Proteção de Informações do Microsoft Purview, Microsoft Information Governance, Microsoft Purview-Gestão de Risco Interno, Conformidade de Comunicações do Microsoft Purview, Gestão de Registos do Microsoft Purview, Deteção de Dados Eletrónicos do Microsoft Purview e Auditoria do Microsoft Purview, Gestão de Riscos de Privacidade Microsoft Priva e Pedidos de Titulares de Dados Microsoft Priva. |
| Serviços Principais do Microsoft Azure | IA do Azure, Azure Active Directory B2C, Detetor de Anomalias, API Management, Serviços Aplicacionais (Aplicações API, Logic Apps, Aplicações Móveis, WebJobs, Funções), Lab Services, Gateway de Aplicação, Azure Monitor, Automatização, Azure API for FHIR, Azure App Configuration, Serviço de bot de IA do Azure, Cache do Azure para Redis, Pesquisa de IA do Azure, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Base de Dados do Azure para MySQL, Base de Dados do Azure para PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Inteligência de documentos de IA do Azure, Serviços de Dados de Saúde do Azure, Leitura Avançada de IA do Azure, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Assistente de Métricas de IA do Azure, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Mapa de Dados do Microsoft Purview, Catálogo de Dados do Microsoft Purview, Informações do Património de Dados do Microsoft Purview, Políticas de Dados do Microsoft Purview, Partilha de Dados do Microsoft Purview, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Serviços Cloud, Imagem Digitalizada, Content Moderator, Visão Personalizada de IA do Azure, Data Factory, Data Lake Analytics, Data Lake Store, Hubs de Eventos, Express Route, Face, HDInsight, Importar/Exportar, Hub IoT, Key Vault, Language Understanding, Balanceador de Carga, Azure Machine Learning Studio (classic), Serviços de Multimédia, Portal do Microsoft Azure, Hubs de Notificação, Personalizador de IA do Azure, Power BI Embedded, Criador de FAQ, Microsoft Defender para a Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, Base de Dados SQL, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Análise de Texto, Gestor de Tráfego, Tradutor de IA do Azure, Máquinas Virtuais, Conjuntos de Dimensionamento de Máquinas Virtuais, Rede Virtual e Gateway de VPN. |
| Microsoft Defender for Cloud Apps | A parte do serviço cloud do Microsoft Defender for Cloud Apps (anteriormente, Microsoft Cloud App Security). |
| Serviços Online do Microsoft Intune | A parte do serviço cloud do Microsoft Intune. |
| Microsoft Power Platform Core Services | Os seguintes serviços, cada um como um serviço autónomo ou incluído num conjunto de aplicações ou plano do Office 365 ou do Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages e Microsoft Copilot Studio. O Microsoft Power Platform Core Services não inclui qualquer software de cliente, incluindo, entre outros, o Power BI Report Server, Power BI, PowerApps ou aplicações móveis do Microsoft Power Automate, Power BI Desktop ou Power Apps Studio. |
| Serviços do Microsoft Defender para Endpoint | A parte dos serviços em nuvem do Microsoft Defender para Endpoint. |
| Microsoft Defender para Identidade | A parte dos serviços em nuvem do Microsoft Defender para Identidade. |
| Microsoft Defender XDR | A parte do serviço cloud do Microsoft Defender XDR. |
| Windows 365 | A parte do serviço cloud do Windows 365, excluindo o sistema operativo Windows em execução em PCs na Nuvem do Windows 365. |
Práticas e Políticas de Segurança para os Serviços Online Principais
Além das práticas e políticas de segurança para os Serviços Online na DPA, cada Serviço Online Principal também está em conformidade com as normas de controlo e as diretrizes mostradas na tabela abaixo, além de implementar e manter as medidas de segurança estabelecidas no Apêndice A da DPA para a proteção dos Dados do Cliente.
| Serviço Online | SSAE 18 SOC 1 Tipo II | SSAE 18 SOC 2 Tipo II |
|---|---|---|
| Serviços do Office 365 | Sim | Sim |
| Serviços de Conformidade do Microsoft 365 | Sim | Sim |
| Serviços Principais do Microsoft Dynamics 365 | Sim | Sim |
| Serviços Principais do Microsoft Azure | Varia* | Varia* |
| Microsoft Defender for Cloud Apps | Sim | Sim |
| Serviços Online do Microsoft Intune | Sim | Sim |
| Microsoft Power Platform Core Services | Sim | Sim |
| Serviços do Microsoft Defender para Endpoint | Sim | Sim |
| Microsoft Defender para Identidade | Sim | Sim |
| Microsoft Defender XDR | Sim | Sim |
| Windows 365 | Sim | Sim |
*O âmbito atual encontra-se descrito no relatório de auditoria e resumido no Centro de Fidedignidade da Microsoft.
Localização dos Dados do Cliente Inativos para os Serviços Online Principais
Para os Serviços Online Principais, a Microsoft armazenará os Dados do Cliente inativos em determinadas áreas geográficas principais (cada uma, uma Região Geográfica), da seguinte forma, salvo indicação em contrário prevista nos termos específicos do Serviço Online:
- Serviços do Office 365. Se o Cliente fornecer o respetivo inquilino na Austrália, Brasil, Canadá, União Europeia, França, Alemanha, Índia, Japão, Noruega, Catar, África do Sul, Coreia do Sul, Suécia, Suíça, Reino Unido, Emirados Árabes Unidos ou Estados Unidos, a Microsoft armazenará os seguintes Dados do Cliente inativos apenas nessa Região Geográfica: (1) conteúdo da caixa de correio do Exchange Online (corpo do e-mail, entradas de calendário e o conteúdo dos anexos de e-mail), (2) conteúdo do site do SharePoint Online e os ficheiros armazenados nesse site, (3) ficheiros carregados para o OneDrive para Empresas, (4) mensagens de chat do Microsoft Teams (incluindo as mensagens privadas, mensagens de canal, mensagens de reunião e imagens utilizadas nos chats) e, para os clientes que utilizam o Microsoft Stream (Clássico) (no SharePoint), as gravações de reuniões e (5) qualquer conteúdo armazenado das interações com o Microsoft Copilot para Microsoft 365, na medida em que não esteja incluído nos compromissos anteriores. Se o Cliente adquirir uma subscrição do Advanced Data Residency, a Microsoft irá armazenar determinados Dados do Cliente em repouso na Região Geográfica aplicável, em conformidade com a presente secção e a secção “Compromissos da Residência dos Dados Avançada” da documentação do produto em https://aka.ms/adroverview.
- Serviços Online do Microsoft Intune. Quando o Cliente fornece uma conta de inquilino do Microsoft Intune para implementação numa Região Geográfica disponível, então, para esse serviço, a Microsoft armazenará os Dados do Cliente inativos nessa Região Geográfica especificada, exceto conforme expresso em contrário no Centro de Fidedignidade do Microsoft Intune.
- Microsoft Power Platform Core Services. Quando o Cliente fornece um Serviço Principal do Power Platform para implementação numa Região Geográfica disponível, então, para esse serviço, a Microsoft armazenará os Dados do Cliente inativos nessa Região Geográfica especificada, exceto conforme descrito no Centro de Fidedignidade do Microsoft Power Platform.
- Serviços Principais do Microsoft Azure. Se o Cliente configurar um determinado serviço para ser implementado numa Região Geográfica, para esse serviço, a Microsoft armazenará os Dados do Cliente inativos na Região Geográfica especificada. Determinados serviços poderão não permitir que o Cliente configure a implementação numa determinada Região Geográfica fora dos Estados Unidos e poderão armazenar cópias de segurança noutras localizações. Consulte o Centro de Fidedignidade da Microsoft (que a Microsoft pode atualizar periodicamente, mas a Microsoft não adicionará exceções aos Serviços existentes na disponibilização geral) para obter mais detalhes.
- Microsoft Defender for Cloud Apps. Se o Cliente fornecer o respetivo inquilino na União Europeia ou nos Estados Unidos, a Microsoft armazenará os Dados do Cliente inativos apenas nessa Região Geográfica, exceto conforme descrito no Centro de Fidedignidade do Microsoft Defender for Cloud Apps.
- Serviços Principais do Microsoft Dynamics 365. Quando o Cliente fornece um Serviço Principal do Dynamics 365 para implementação numa Região Geográfica disponível, então, para esse serviço, a Microsoft armazenará os Dados do Cliente inativos nessa Região Geográfica especificada, exceto conforme descrito no Centro de Fidedignidade do Microsoft Dynamics 365.
- Serviços do Microsoft Defender para Endpoint. Quando o Cliente fornece um inquilino do Microsoft Defender para Endpoint para implementação numa Região Geográfica disponível, então, para esse serviço, a Microsoft armazenará os Dados do Cliente inativos nessa Região Geográfica especificada, exceto conforme expresso no Centro de Fidedignidade do Microsoft Defender para Endpoint.
- Microsoft Defender para Identidade. Quando o Cliente fornece um inquilino do Microsoft Defender para Identidade para implementação numa Região Geográfica disponível, então, para esse serviço, a Microsoft armazenará os Dados do Cliente inativos nessa Região Geográfica especificada, exceto conforme expresso no Centro de Fidedignidade do Microsoft Defender para Identidade.
- Microsoft Defender XDR. Quando o Cliente fornece um inquilino do Microsoft Defender XDR para implementação numa Região Geográfica disponível, então, para esse serviço, a Microsoft armazenará os Dados do Cliente inativos nessa Região Geográfica especificada, exceto conforme expresso em contrário no Centro de Fidedignidade do Microsoft Defender XDR.
- Windows 365. Quando um inquilino do Windows 365 é implementado numa Área Geográfica disponível, então, para esse inquilino, a Microsoft irá armazenar os Dados do Cliente inativos nessa Área Geográfica especificada. Se o Cliente aprovisionar PCs na Nuvem do Windows 365 no mesmo inquilino para diferentes Áreas Geográficas disponíveis, então, para cada PC na Nuvem, a Microsoft irá armazenar os Dados do Cliente do PC em Nuvem inativos nessa Área Geográfica especificada.
Serviços do EU Data Boundary
O termo “EU Data Boundary” designa os computadores, o ambiente informático e os datacenters físicos da Microsoft localizados exclusivamente na União Europeia (UE) e na Associação Europeia de Comércio Livre (EFTA). O termo "Serviços do EU Data Boundary" aplica-se exclusivamente aos Serviços Online na tabela abaixo, excluindo quaisquer Pré-visualizações.
| Serviços do EU Data Boundary | |
|---|---|
| Azure | Serviço do Azure que permitem a implementação numa região dentro do EU Data Boundary e os seguintes serviço não regionais: Azure Active Directory B2C, Assistente do Azure, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service no Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Gestor de Tráfego, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Sistema de Proteção de Dados do Cliente, Exchange Online, Arquivo de Exchange Online para Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Clássico) (no SharePoint), Microsoft Teams, Microsoft To-Do, Office na Web, Serviços Online fornecidos como parte do Microsoft 365 Apps, OneDrive para Empresas, SharePoint Online, Sway, Quadro, Yammer Enterprise, Microsoft Copilot para Microsoft 365, Conformidade com as Comunicações, Deteção de Dados Eletrónicos e Auditoria, Gestão de Risco Interno, Barreiras de Informações, Prevenção de Perda de Dados do Microsoft Purview, Microsoft Intune, Gestão de Riscos de Privacidade Priva, Gestão de Titulares de Dados Priva, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales e Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Localização dos Dados do Cliente para os Serviços do EU Data Boundary
Para os Serviços do EU Data Boundary, a Microsoft irá armazenar e tratar os Dados do Cliente e os Dados Pessoais dentro do EU Data Boundary, conforme detalhado em seguida.
O cliente deve configurar os Serviços do EU Data Boundary da seguinte forma:
- Para o Azure, o Cliente deve implementar o serviço numa região do Azure localizada no EU Data Boundary. Para mais informações, consulte Residência dos Dados no Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Para os serviços que não permitem a implementação numa região especificada do Azure, o Cliente deve seguir as instruções em Configurar serviços não regionais do Azure para o EU Data Boundary (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Para o Dynamics 365 e Power Platform, se o Cliente aprovisionar um inquilino com um endereço para faturação na UE ou na EFTA, esse inquilino estará dentro do âmbito para o EU Data Boundary se o Cliente também criar todos os respetivos ambientes numa Área Geográfica dentro do EU Data Boundary.
- Para o Microsoft 365, se o Cliente aprovisionar um inquilino com um endereço para faturação na UE ou na EFTA, esse inquilino estará dentro do âmbito para o EU Data Boundary, exceto para os inquilinos em que o Cliente também adquiriu o suplemento Funcionalidades Multigeográficas do Microsoft 365 que permite aos clientes expandir a presença do inquilino do Microsoft 365 para várias áreas geográficas ou países (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
A utilização dos Serviços do EU Data Boundary poderá resultar em transferências limitadas dos Dados do Cliente ou dos Dados Pessoais fora do EU Data Boundary, conforme estipulado abaixo e em maior detalhe na documentação sobre a transparência para o EU Data Boundary localizada em https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn ou numa localização sucessora. Estes tipos de transferências serão efetuados em conformidade com a Adenda de Proteção de Dados e os Termos de Produto.
- Acesso Remoto. O pessoal da Microsoft localizado fora do EU Data Boundary poderá aceder remotamente aos sistemas de tratamento de dados no EU Data Boundary, conforme necessário para operar, resolver os problemas e proteger os Serviços do EU Data Boundary.
- Transferências Iniciadas pelo Cliente. Os clientes poderão iniciar transferências fora do EU Data Boundary, como aceder aos Serviços do EU Data Boundary a partir de localizações fora do EU Data Boundary, enviar um e-mail para um destinatário localizado fora do EU Data Boundary ou utilizar os Serviços do EU Data Boundary em combinação com outros serviços que não estão no EU Data Boundary.
- Proteção dos Clientes. A Microsoft transfere dados limitados para fora do EU Data Boundary conforme seja necessário para detetar e proteger os Clientes contra as ameaças à segurança.
- Dados de Diretório. A Microsoft pode replicar os dados de diretório do Microsoft Entra limitados a partir do Microsoft Entra (incluindo o nome de utilizador e o endereço de e-mail) fora do EU Data Boundary para prestar o serviço.
- Trânsito de Rede. Para reduzir a latência de encaminhamento e para manter a resiliência do encaminhamento, a Microsoft utiliza caminhos de rede variáveis que poderão, ocasionalmente, resultar no trânsito de dados foram do EU Data Boundary.
- Qualidade e Gestão de Serviços e Plataformas. Quando for necessário para monitorizar e manter a qualidade do serviço ou para assegurar a exatidão das medidas estatísticas de utilização ou desempenho do serviço, poderão ser transferidos Dados Pessoais sob pseudónimo para fora do EU Data Boundary.
- Transferências Específicas do Serviço. Consulte a documentação sobre transparência referenciada acima para obter informações sobre as transferências aplicáveis aos Serviços do EU Data Boundary específicos.