Termenii privind confidențialitatea și securitatea
Prevederi generale
Termenii privind confidențialitatea și securitatea erau incluși anterior în Anexa 1 la Termenii Serviciilor online.
Acest Act adițional privind protecția datelor cu caracter personal sau DPA (definit în Glosar) prevede obligațiile părților față de prelucrarea și securitatea Datelor Clientului, a Datelor Serviciilor profesionale și a Datelor cu caracter personal în legătură cu Produsele. Act adițional privind protecția datelor cu caracter personal poate fi descărcat aici https://aka.ms/DPA. În cazul unui conflict sau al unei inconsecvențe între Termenii DPA și oricare alți termeni din contractul de licențiere al Clientului (inclusiv acești termeni), vor prevala Termenii DPA.
Serviciile online excluse din DPA
Cu excepția prevederilor conținute în Termenii specifici Produsului, termenii DPA nu se aplică pentru: Platforma de gestionare a activelor mobile Hărți Bing, serviciul Tranzacții și utilizatori Hărți Bing, Serviciile de căutare Bing, Serviciile Azure AI în containere instalate pe dispozitivele hardware dedicate ale Clientului, Microsoft Copilot cu protecția datelor comerciale (cunoscut anterior sub denumirea de Bing Chat Enterprise), GitHub Offerings, LinkedIn Sales Navigator, Microsoft Defender pentru IoT (cu excepția caracteristicilor conectate la cloud), Azure SQL Edge, Azure Stack HCI, Hubul Azure Stack, serviciul Conexiune de date Microsoft Graph pentru ISV, Microsoft Genomics și Visual Studio App Center Test. Fiecare dintre aceste Servicii Online este guvernat de termenii privind confidențialitatea și securitatea din Termenii specifici Produsului aplicabili.
Produsele software excluse din DPA
Cu excepția prevederilor conținute în Termenii specifici Produsului, termenii DPA nu se aplică pentru: caracteristicile bazate pe internet în cadrul Produselor software, Sistemul de operare desktop Windows, Windows Server și aceste produse software ca parte a altor produse. Fiecare dintre aceste Produse este reglementat de termenii privind confidențialitatea și securitatea din Termenii specifici Produsului aplicabili.
Produsele care nu aparțin companiei Microsoft
Utilizarea de către Client a Produselor care nu aparțin companiei Microsoft (definite în Termenii universali ai licenței pentru Serviciile online) este reglementată de termeni separați, inclusiv de termeni diferiți privind confidențialitatea și securitatea.
Excluderea unor regiuni geografice din Termenii DPA
Pentru serviciile online Dynamics 365 și Power Platform, termenii specifici din DPA din Anexa A care afirmă că „Microsoft stochează copii ale Datelor Clientului și ale procedurilor de recuperare a datelor în altă locație decât cea în care se află echipamentele principale care prelucrează Datele Clientului” nu sunt valabili pentru următoarele regiuni geografice: Emiratele Arabe Unite și Africa de Sud.
Servicii Online principale
Termenul „Servicii online Core” se aplică exclusiv serviciilor din tabelul de mai jos, cu excepția Versiunilor de examinare.
| Servicii online | |
|---|---|
| Serviciile principale Microsoft Dynamics 365 | Următoarele servicii, fiecare fiind considerat un serviciu independent sau inclus într-un plan sau într-o aplicație Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations și Dynamics 365 Sales. Serviciile principale Dynamics 365 nu includ (1) serviciile Dynamics 365 pentru dispozitivele sau programele software acceptate, care includ, dar fără limitare, Dynamics 365 pentru aplicații, tablete, telefoane sau oricare dintre acestea; (2) LinkedIn Sales Navigator sau (3), exceptând prevederile exprese din termenii de licențiere pentru serviciul respectiv, orice alt serviciu furnizat de altă firmă și oferit cu sau legat de serviciile principale Dynamics 365. |
| Serviciile Office 365 | Următoarele servicii, fiecare fiind considerat un serviciu independent sau inclus într-un plan sau într-o suită Office 365 sau Microsoft 365: Cortana, Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (clasic), Microsoft Teams, Microsoft To-Do, Microsoft Defender pentru Office 365, Office for the web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise și Microsoft Copilot pentru Microsoft 365. Serviciile Office 365 nu includ Microsoft 365 Apps for enterprise, nicio porțiune a serviciului PSTN care funcționează în afara controlului Microsoft, niciun produs software client și nici alte servicii ale unor mărci distincte, disponibile în cadrul unui plan sau al unei suite Office 365 sau Microsoft 365, cum ar fi Bing sau un serviciu marcat „pentru Office 365”. |
| Servicii Microsoft 365 Compliance | Următoarele servicii, fiecare fiind considerat un serviciu independent sau inclus într-un plan sau într-o suită Microsoft 365: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery și Microsoft Purview Audit, Microsoft Priva Privacy Risk Management și Microsoft Priva Subject Rights Request. |
| Serviciile de bază Microsoft Azure | Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network și VPN Gateway. |
| Microsoft Defender for Cloud Apps | Segmentul de servicii în cloud al Microsoft Defender for Cloud Apps (fostul Microsoft Cloud App Security). |
| Serviciile online Microsoft Intune | Segmentul de servicii în cloud de la Microsoft Intune. |
| Serviciile principale Microsoft Power Platform | Următoarele servicii, fiecare fiind considerat un serviciu independent sau inclus într-un plan sau într-o suită Office 365 sau Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages și Microsoft Copilot Studio. Serviciile principale Microsoft Power Platform nu includ produsele software client, inclusiv, dar fără limitare, Power BI Report Server, aplicațiile mobile Power BI, PowerApps sau Microsoft Power Automate, Power BI Desktop sau Power Apps Studio. |
| Servicii Microsoft Defender pentru punct final | Segmentul de servicii în cloud de la Microsoft Defender pentru punct final. |
| Microsoft Defender pentru identitate | Segmentul de servicii în cloud de la Microsoft Defender pentru identitate. |
| Microsoft Defender XDR | Segmentul de servicii în cloud de la Microsoft Defender XDR. |
| Windows 365 | Segmentul de servicii în cloud de la Windows 365, cu excepția sistemului de operare Windows care funcționează pe computerele cu Windows 365 Cloud. |
Practicile și politicile de securitate pentru Serviciile online de bază
Pe lângă măsurile și practicile de securitate pentru Serviciile online din DPA, fiecare Serviciu Online de bază respectă standardele și cadrele de control indicate în tabelul de mai jos și implementează și menține măsurile de securitate menționate în Anexa A a DPA pentru protecția Datelor Clientului.
| Serviciu online | SSAE 18 SOC 1 tip II | SSAE 18 SOC 2 tip II |
|---|---|---|
| Serviciile Office 365 | Da | Da |
| Servicii Microsoft 365 Compliance | Da | Da |
| Serviciile principale Microsoft Dynamics 365 | Da | Da |
| Serviciile de bază Microsoft Azure | Variază* | Variază* |
| Microsoft Defender for Cloud Apps | Da | Da |
| Serviciile online Microsoft Intune | Da | Da |
| Serviciile principale Microsoft Power Platform | Da | Da |
| Servicii Microsoft Defender pentru punct final | Da | Da |
| Microsoft Defender pentru identitate | Da | Da |
| Microsoft Defender XDR | Da | Da |
| Windows 365 | Da | Da |
*Domeniul curent este detaliat în raportul de audit și prezentat pe scurt în Centrul de autorizare Microsoft.
Locația Datelor Clientului în repaus pentru Serviciile Online de bază
Pentru Serviciile Online de bază, Microsoft va stoca în repaus Datele Clientului în anumite zone geografice majore (fiind denumite Zonă geografică), după cum urmează, cu excepția dacă este prevăzut altceva în termenii specifici Serviciilor Online:
- Serviciile Office 365. În cazul în care Clientul asigură accesul entității găzduite în Australia, Brazilia, Canada, Uniunea Europeană, Franța, Germania, India, Japonia, Norvegia, Qatar, Africa de Sud, Coreea de Sud, Suedia, Elveția, Regatul Unit, Emiratele Arabe Unite sau Statele Unite ale Americii, Microsoft va stoca următoarele Date ale Clientului în repaus doar în cadrul Zonei geografice respective: (1) conținutul cutiei poștale Exchange Online (corpul e-mailului, intrările în calendar și conținutul atașărilor de e-mail), (2) conținutul site-ului SharePoint Online și fișierele stocate în acest site, (3) fișierele încărcate pe OneDrive for Business, (4) mesajele prin chat Microsoft Teams (inclusiv mesajele private, mesajele pe canal, mesajele privind ședințele și imaginile utilizate în chat) și, pentru clienții care utilizează Microsoft Stream (clasic) (pe SharePoint), înregistrările ședințelor și (5) orice conținut stocat al interacțiunilor cu Microsoft Copilot for Microsoft 365, în măsura în care nu este inclus în angajamentele anterioare. În cazul în care Clientul achiziționează un abonament Advanced Data Residency, apoi Microsoft stochează anumite Date ale Clientului în repaus în zonele geografice aplicabile în conformitate cu această secțiune și secțiunea „Prezentarea generală a Advanced Data Residency și a angajamentelor” din documentația produsului la adresa https://aka.ms/adroverview.
- Serviciile online Microsoft Intune. În cazul în care Clientul asigură accesul unui cont al entității găzduite Microsoft Intune într-o Zonă geografică disponibilă, atunci, pentru serviciul respectiv, Microsoft va stoca Datele Clientului în repaus în Zona geografică respectivă, cu excepția prevederilor descrise în Centrul de autorizare Microsoft Intune.
- Serviciile principale Microsoft Power Platform. În cazul în care Clientul asigură distribuirea unui Serviciu principal Microsoft Power Platform într-o Zonă geografică disponibilă, atunci, pentru serviciul respectiv, Microsoft va stoca Datele Clientului în repaus în Zona geografică respectivă, cu excepția prevederilor descrise în Centrul de autorizare pentru Microsoft Power Platform.
- Serviciile de bază Microsoft Azure. În cazul în care Clientul configurează implementarea unui anumit serviciu într-o Zonă geografică, Microsoft va stoca Datele Clientului în repaus în Zona geografică specificată. Anumite servicii pot să nu-i permită Clientului să configureze implementări într-o anumită regiune geografică sau în afara Statelor Unite ale Americii și pot să stocheze copii de rezervă în alte locații. Pentru mai multe detalii, consultați Centrul de autorizare Microsoft (pe care Microsoft îl poate actualiza la anumite intervale de timp, dar unde nu va adăuga excepții pentru serviciile existente în versiunea generală).
- Microsoft Defender for Cloud Apps. În cazul în care Clientul asigură accesul entității găzduite în Uniunea Europeană sau Statele Unite ale Americii, Microsoft va stoca Datele Clientului în repaus doar în Zona geografică respectivă, cu excepția prevederilor descrise în Centrul de autorizare Microsoft Defender for Cloud Apps.
- Serviciile principale Microsoft Dynamics 365. În cazul în care Clientul asigură distribuirea unui Serviciu Core Dynamics 365 într-o Zonă geografică disponibilă, atunci, pentru serviciul respectiv, Microsoft va stoca Datele Clientului în repaus în Zona geografică respectivă, cu excepția prevederilor descrise în Centrul de autorizare Microsoft Dynamics 365.
- Servicii Microsoft Defender pentru punct final. În cazul în care Clientul asigură accesul unui cont al entității găzduite Microsoft Defender pentru punct final într-o Zonă geografică disponibilă, atunci, pentru serviciul respectiv, Microsoft va stoca Datele Clientului în repaus în Zona geografică respectivă, cu excepția prevederilor descrise în Centrul de autorizare Microsoft Defender pentru punct final.
- Microsoft Defender pentru identitate. În cazul în care Clientul asigură accesul unui cont al entității găzduite Microsoft Defender pentru identitate într-o Zonă geografică disponibilă, atunci, pentru serviciul respectiv, Microsoft va stoca Datele Clientului în repaus în Zona geografică respectivă, cu excepția prevederilor descrise în Centrul de autorizare Microsoft Defender pentru identitate.
- Microsoft Defender XDR. În cazul în care Clientul asigură accesul unui cont al entității găzduite Microsoft Defender XDR într-o Zonă geografică disponibilă, atunci, pentru serviciul respectiv, Microsoft va stoca Datele Clientului în repaus în Zona geografică respectivă, cu excepția prevederilor descrise în Centrul de autorizare Microsoft Defender XDR.
- Windows 365. Dacă o entitate găzduită Windows 365 este distribuită într-o Zonă geografică disponibilă, atunci, pentru entitatea găzduită respectivă, Microsoft va stoca Datele Clientului în repaus în Zona geografică respectivă. În cazul în care Clientul asigură accesul aceleiași entități găzduite la computerele cu Windows 365 Cloud în alte Zone geografice disponibile, atunci, pentru fiecare computer cu Windows 365 Cloud, Microsoft va stoca Datele Clientului Cloud în repaus în Zona geografică respectivă.
Servicii cu limită de date în UE
Termenul „Servicii cu limită de date în UE” se referă la computerele Microsoft, mediul informatic și la centrele de date fizice situate exclusiv în Uniunea Europeană (UE) și în Asociația Europeană a Liberului Schimb (AELS). Termenul „Servicii cu limită de date în UE” se aplică exclusiv Serviciilor online din tabelul de mai jos, cu excepția Versiunilor de examinare.
| Servicii cu limită de date în UE | |
|---|---|
| Azure | Serviciile Azure care permit utilizarea într-o regiune din cadrul limitei de date care se aplică în UE și următoarele servicii din afara regiunii: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Serviciul Azure Kubernetes pentru Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Customer Lockbox, Exchange Online, Exchange Online Archiving pentru Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (clasic) (pe SharePoint), Microsoft Teams, Microsoft To-Do, Office for the web, Servicii online furnizate ca parte a Microsoft 365 Apps, OneDrive pentru Business, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Microsoft Copilot pentru Microsoft 365, Communications Compliance, eDiscovery and Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Gestionarea riscurilor privind confidențialitatea Priva, Gestionarea drepturilor persoanelor vizate Priva, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales și Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Locația Datelor Clientului pentru Serviciile cu limită de date în UE
Pentru serviciile cu limită de date în UE, Microsoft va stoca și va prelucra Datele Clientului și Datele cu caracter personal din cadrul limitei de date care se aplică în UE, conform detaliilor de mai jos.
Clientul trebuie să configureze Serviciile cu limită de date în UE după cum urmează:
- Pentru Azure, Clientul trebuie să implementeze serviciul într-o regiune Azure situată în cadrul limitei de date care se aplică în UE. Pentru mai multe informații, consultați Locația datelor în Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Pentru serviciile care nu permit utilizarea într-o anumită zonă Azure, Clientul trebuie să urmeze instrucțiunile din Configurarea serviciilor Azure din afara regiunii pentru limita de date în UE (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Pentru Dynamics 365 și Power Platform, în cazul în care Clientul furnizează unei entități găzduite o adresă de facturare din UE sau AELS, acea entitate găzduită se va încadra în domeniul de aplicare pentru limita de date care se aplică în UE, în cazul în care Clientul își creează, de asemenea, toate mediile într-o zonă geografică din cadrul limitei de date din UE.
- Pentru Microsoft 365, în cazul în care Clientul furnizează unei entități găzduite din UE sau AELS, acea entitate găzduită se va încadra în domeniul de aplicare pentru limita de date din UE, cu excepția entităților găzduite unde Clientul a achiziționat și licența suplimentară Multi-Geo Capabilities din cadrul Microsoft 365, care le permite clienților să extindă prezența entității găzduite în Microsoft 365 în mai multe regiuni geografice și țări (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Utilizarea Serviciilor cu limită de date în UE poate avea drept consecință un număr limitat de transferuri ale Datelor Clientului sau ale Datelor cu caracter personal în afara limitei de date care se aplică în UE, stabilite mai jos și detaliate suplimentar în documentația privind transparența pentru limita de date care se aplică în UE, aflată la adresa https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn sau într-o locație ulterioară. Transferurile de acest tip vor fi efectuate în conformitate cu Actul adițional privind protecția datelor cu caracter personal și Termenii produsului.
- Acces de la distanță. Personalul Microsoft situat în afara limitei de date din UE poate accesa de la distanță sistemele de prelucrare a datelor din limita de date care se aplică în UE, după cum este necesar pentru a administra, depana și asigura Serviciile cu limită de date.
- Transferurile inițiate de clienți. Clienții pot iniția transferuri în afara limitei de date din UE, cum ar fi accesând Serviciile cu limită de date din UE din locațiile aflate în afara limitei de date din UE, trimițând un e-mail către un destinatar aflat în afara limitei de date din UE sau utilizând Serviciile cu limită de date în combinație cu alte servicii care nu se află în limita de date din UE.
- Protejarea clienților. Microsoft transferă un număr limitat de date în afara limitei de date din UE după cum este necesar, pentru a detecta și proteja Clienții de amenințări la adresa securității.
- Datele din director. Microsoft poate copia din director un număr limitat de date Microsoft Entra din Microsoft Entra ID (inclusiv numele de utilizator și adresa de e-mail) în afara limitei de date din UE pentru furnizarea serviciului.
- Tranzitarea rețelei. Pentru a reduce latența de rutare și pentru a menține rezistența la rutare, Microsoft utilizează căi de rețea variabile care pot duce ocazional la tranzitul datelor în afara limitei de date din UE.
- Calitatea și gestionarea serviciilor și a platformelor. Atunci când sunt necesare pentru monitorizarea și menținerea calității serviciilor sau asigurarea acurateței măsurilor statistice privind utilizarea sau performanța serviciilor, Datele cu caracter personal pseudonimizate pot fi transferate în afara limitei de date din UE.
- Transferuri specifice serviciilor. Pentru informații despre transferurile aplicabile și specifice Serviciilor cu limită de date din UE, consultați documentația privind transparența la care se face referire mai sus.