Residência de dados no Azure

O Azure tem mais regiões globais do que qualquer outro provedor de nuvem, oferecendo a escala e as opções de residência de dados necessárias para levar os aplicativos para mais perto dos seus usuários em todo o mundo.

Como cliente, você mantém a propriedade dos dados de cliente – o conteúdo e os dados pessoais ou de outra natureza que você fornece para processamento, armazenamento e hospedagem nos Serviços do Azure. A Microsoft não armazenará nem processará dados do cliente fora da geografia especificada, exceto para determinados serviços não regionais. Você também está no controle de outras geografias em que decidir implantar suas soluções ou replicar seus dados.

Nos locais em que a funcionalidade do serviço exige a replicação de dados globais, os detalhes estão disponíveis abaixo.

  • A Microsoft protege seus dados usando várias camadas de protocolos de segurança e criptografia. Obtenha uma visão geral de como a Microsoft usa a criptografia para proteger seus dados.

    Por padrão, as Chaves Gerenciadas pela Microsoft protegem seus dados, e os dados do cliente que persistem em qualquer mídia física são sempre criptografados usando protocolos de criptografia em conformidade com o FIPS 140-2. Os clientes também podem empregar CMKs (chaves gerenciadas pelo cliente), criptografia dupla e/ou HSMs (módulos de segurança de hardware) para aumentar a proteção de dados.

    Todo o tráfego de dados em movimento entre os datacenters é protegido por meio dos padrões de segurança IEEE 802.1AE MAC, impedindo ataques físicos "man-in-the-middle". Para manter a resiliência, a Microsoft usa caminhos de rede variáveis que, às vezes, cruzam limites geográficos, mas a replicação de dados do cliente entre regiões é sempre transmitida em conexões de rede criptografadas.

    Além disso, para minimizar o risco à privacidade, a Microsoft gera identificadores de pseudônimos que permitem que ela ofereça um serviço de nuvem global (incluindo operação e aprimoramento de serviços, cobrança e proteção contra fraudes). Em todos os casos, os identificadores de pseudônimos não podem ser usados para identificar diretamente um indivíduo, e o acesso aos dados do cliente que identificam indivíduos é sempre protegido conforme descrito acima.

  • Todos os serviços do Azure podem ser usados em conformidade com o GDPR. Se os clientes que usam os serviços do Azure optarem por transferir conteúdo com os dados pessoais entre bordas, eles precisarão considerar os requisitos legais aplicáveis a tais transferências. A Microsoft fornece aos clientes serviços e recursos para ajudá-los a cumprir os requisitos de GDPR que podem se aplicar às operações deles.

    Alguns serviços online da Microsoft compartilham dados com terceiros que atuam como subprocessadores. A Lista de Subprocessadores do Microsoft Online Services divulgada publicamente identifica os subprocessadores autorizados a processar dados do cliente ou dados pessoais. Todos esses subprocessadores são contratualmente obrigados a atender ou exceder os compromissos contratuais que a Microsoft faz com os clientes dela.

    A Microsoft não fornecerá a nenhum terceiro (a) acesso direto, geral ou irrestrito aos dados dos clientes; (b) chaves de criptografia de plataforma usadas para proteger dados ou a capacidade de quebrar a criptografia; ou (c) acesso aos dados caso a Microsoft saiba que tais dados seriam usados para propósitos além daqueles mencionados na solicitação do terceiro. Informações adicionais sobre a abordagem da Microsoft para a divulgação legal de dados do cliente em relação às demandas governamentais estão disponíveis aqui.

A maioria dos serviços do Azure permite que você especifique a região em que os dados do cliente serão armazenados e processados. A Microsoft poderá replicar os dados para outras regiões de modo a alcançar a resiliência de dados, mas não armazenará nem processará os dados do cliente fora da área geográfica selecionada. Você e os seus usuários podem mover, copiar ou acessar os seus dados do cliente de qualquer localização globalmente.

Mais informações sobre a localização de dados do cliente

Armazenamento de dados para serviços regionais

A maioria dos serviços do Azure é implantada regionalmente e permite que o cliente especifique a região na qual o serviço será implantado. Alguns exemplos desses serviços do Azure, incluem máquinas virtuais, armazenamento e Banco de Dados SQL. Para obter uma lista completa dos serviços regionais, consulte Produtos disponíveis por região.

A Microsoft poderá copiar os dados do cliente entre as regiões em determinada área geográfica para redundância de dados e outros fins operacionais. Por exemplo, o armazenamento com redundância geográfica replica dados de blob, de arquivo, de fila e de tabela entre duas regiões da mesma área geográfica, de modo a fornecer durabilidade aprimorada de dados no caso de um desastre de grandes proporções em um datacenter.

A Microsoft não armazenará nem processará dados do cliente fora da área geográfica especificada pelo cliente, sem a sua permissão, com exceção dos seguintes serviços regionais:

  • Serviços de Nuvem do Azure, que fazem backup de pacotes de implantação de software de funções Web e de trabalho nos Estados Unidos, independentemente da região de implantação.
  • Reconhecimento Vocal, que pode armazenar dados de aprendizado ativo nos Estados Unidos, na Europa ou na Austrália com base nas regiões de criação usadas pelo cliente. Saiba mais
  • Azure Machine Learning, que poderá armazenar o texto com forma livre fornecido pelo cliente (por exemplo, nomes de workspaces, grupos de recursos, experimentos, arquivos e imagens) e parâmetros de experimentos nos Estados Unidos.
  • Azure Databricks, que armazena dados de identidade e alguns nomes de tabelas e informações de caminho do objeto nos Estados Unidos.
  • Azure Sentinel
  • Console serial do Azure, que armazena todos os dados do cliente em repouso na área geográfica selecionada pelo cliente, mas quando for usado por meio do portal do Azure, poderá processar comandos e respostas do console fora da área geográfica para a finalidade exclusiva de fornecer a experiência do Console no portal.
  • Serviços de visualização, beta ou outros serviços pré-lançados, que normalmente armazenam dados de cliente nos Estados Unidos e também globalmente.

Os clientes podem configurar os seguintes serviços, níveis ou planos do Azure para armazenar dados do cliente em uma só região:

1No momento, a residência de dados em uma só região é fornecida por padrão apenas na região Sudeste da Ásia (Singapura) na área geográfica do Pacífico Asiático e na região Sul do Brasil (estado de São Paulo) na área geográfica do Brasil. Para todas as outras regiões, os dados do cliente são armazenados na área geográfica.

2No momento, a residência de dados em uma só região é fornecida por padrão apenas na região Sudeste da Ásia (Singapura) na área geográfica do Pacífico Asiático. Para todas as outras regiões, os dados do cliente são armazenados na área geográfica.

3A versão prévia do recurso para habilitar o armazenamento de dados do cliente em uma só região está disponível apenas na região Sudeste da Ásia (Singapura) da área geográfica do Pacífico Asiático e na região Sul do Brasil (Estado de São Paulo) da área geográfica do Brasil. Para todas as outras regiões, os dados do cliente são armazenados na área geográfica.

4Para o Azure Databricks, os dados de identidade, alguns nomes de tabela e as informações de caminho do objeto são armazenadas nos Estados Unidos. A funcionalidade para habilitar o armazenamento de todos os outros dados do cliente em uma só região está disponível apenas na região Sudeste da Ásia (Singapura) da área geográfica do Pacífico Asiático e na região Sul do Brasil (Estado de São Paulo) da área geográfica do Brasil. Para todas as outras regiões, os dados do cliente são armazenados na área geográfica (sujeitos à exceção mencionada anteriormente).

5O ZRS Clássico armazena dados em várias regiões.

Armazenamento de dados para serviços não regionais

Determinados serviços do Azure não permitem que o cliente especifique a região em que o serviço será implantado. Esses serviços poderão armazenar ou processar dados do cliente em qualquer datacenter da Microsoft, a menos que especificado de outro modo.

  • A Rede de Distribuição de Conteúdo do Azure, que fornece um serviço de cache global e armazena os dados do cliente em locais de borda em todo o mundo.
  • O Azure AD (Azure Active Directory), que pode armazenar dados do Azure AD globalmente. Isso não se aplica às implantações do Azure AD nos Estados Unidos (onde os dados do Azure AD são armazenados unicamente nos Estados Unidos) e na Europa (onde os dados do Azure AD são armazenados na Europa e nos Estados Unidos). Saiba mais
  • Azure Multi-Factor Authentication, que armazena dados de autenticação nos Estados Unidos. Saiba mais
  • Central de Segurança do Azure, que poderá armazenar uma cópia dos dados do cliente relacionados à segurança, coletados de um recurso do cliente ou associados a ele (por exemplo, máquina virtual ou locatário do Azure AD):

    (a) na mesma área geográfica desse recurso, exceto nas áreas geográficas em que a Microsoft ainda implantará a Central de Segurança. Nesse caso, uma cópia desses dados será armazenada nos Estados Unidos; e

    (b) nos casos em que a Central de Segurança usar outro Serviço Online da Microsoft para processar esses dados, ela poderá armazená-los de acordo com as regras de geolocalização desse outro Serviço Online.

  • Os serviços que fornecem funções de roteamento global e não processam ou armazenam os dados do cliente por si próprios. Isso inclui o Gerenciador de Tráfego do Azure, que oferece balanceamento de carga entre regiões diferentes, e o Azure DNS, que fornece serviços de nome de domínio que são roteados para diferentes regiões.

Para obter uma lista completa de serviços não regionais, consulte Produtos disponíveis por região e selecione Não regional.