Residência dos dados no Azure

O Azure tem mais regiões globais do que qualquer outro fornecedor de cloud, oferecendo o dimensionamento e a residência dos dados de que precisa para aproximar as aplicações aos utilizadores de todo o mundo.

Como cliente, mantém a propriedade dos dados de cliente, os quais são constituídos pelo conteúdo, pessoal e de outro tipo, que fornece para armazenamento e alojamento nos serviços do Azure. A Microsoft não procederá ao armazenamento nem ao processamento dos dados de cliente fora da área geográfica especificada por si, exceto no que respeita alguns serviços não regionais. O controlo sobre todas as áreas geográficas adicionais onde decidir implementar as suas soluções ou replicar os seus dados também é seu.

Onde a funcionalidade de um serviço precisar de replicação de dados global, os detalhes estão disponíveis abaixo.

  • A Microsoft protege os seus dados com recurso a várias camadas de protocolos de segurança e encriptação. Veja uma descrição geral de como a Microsoft utiliza a encriptação para proteger os seus dados.

    Por predefinição, as Chaves Geridas pela Microsoft protegem os seus dados, sendo que os dados de cliente que permaneçam em qualquer suporte de dados físico são sempre encriptados com os protocolos de encriptação em conformidade com o FIPS 140-2. Os clientes também podem utilizar chaves geridas pelo cliente (CMK), encriptação dupla e/ou módulos de hardware de segurança (HSM) para garantir uma maior proteção dos dados.

    Todo o tráfego de dados entre datacenters é protegido com as Normas de Segurança IEEE 802.1AE MAC, o que impede ataques "man-in-the-middle" físicos. Para manter a resiliência, a Microsoft utiliza caminhos de rede variáveis que, por vezes, atravessam fronteiras geográficas, mas a replicação dos dados dos clientes entre regiões é sempre transmitida através de ligações de rede encriptadas.

    Além disso, para minimizar o risco para a privacidade, a Microsoft gera "identificadores de pseudónimos" que permitem à Microsoft garantir um serviço cloud global (o que inclui o funcionamento e a melhoria de serviços, faturação e proteção contra fraude). Seja qual for o caso, os identificadores de pseudónimos não podem ser utilizados para identificar diretamente um indivíduo, além de que o acesso aos dados de cliente que identificam os indivíduos estão sempre protegidos da forma supramencionada.

  • Todos os serviços do Azure podem ser utilizados em conformidade com o RGPD. Se um cliente que utilize os serviços do Azure optar por transferir conteúdo que contenha dados pessoais para outro país, será responsabilidade do mesmo ter em consideração os requisitos legais que se aplicam a essas transferências. A Microsoft fornece aos clientes serviços e recursos para os ajudar a estar em conformidade com os requisitos do RGPD que se possam aplicar às respetivas operações.

    Alguns serviços online da Microsoft partilham dados com terceiros que atuam como suas subcontratantes. A Lista de Subcontratantes Ulteriores dos Serviços Online da Microsoft divulgada ao público identifica os subcontratantes ulteriores autorizados a processar dados de cliente ou dados pessoais. Esses subcontratantes ulteriores estão contratualmente obrigados a cumprir ou a exceder os compromissos contratuais que a Microsoft garante aos seus clientes.

    A Microsoft não irá fornecer a qualquer terceiro (a) acesso direto, de linha geral ou irrestrito aos dados dos clientes; (b) as chaves de encriptação da plataforma utilizada para proteger os dados ou a capacidade de romper a encriptação; ou (c) acesso aos dados se a Microsoft estiver ciente de que os dados serão utilizados para fins diferentes dos mencionados no pedido da entidade terceira. Pode encontrar mais informações sobre a forma como a Microsoft aborda a divulgação legal dos dados de cliente face a exigências de organismos públicos aqui.

A maioria dos serviços do Azure permitem-lhe especificar a região na qual os dados do cliente vão ser armazenados e processados. A Microsoft pode replicar para outras regiões para fins de resiliência de dados, mas não armazenará nem processará os dados dos clientes fora da Área Geográfica selecionada. O próprio utilizador e os seus utilizadores podem mover, copiar ou aceder aos dados de cliente em qualquer localização globalmente.

Mais informações sobre a localização dos dados do cliente

Armazenamento de dados para serviços regionais

A maior parte dos serviços do Azure são implementados a nível regional e permitem ao cliente especificar a região na qual os serviços vão ser implementados. Os exemplos desses serviços do Azure incluem máquinas virtuais, armazenamento e Base de Dados SQL. Para obter uma lista completa dos serviços regionais, veja Produtos disponíveis por região.

A Microsoft poderá copiar dados dos clientes entre regiões de uma Área Geográfica específica para efeitos de redundância de dados ou outros fins operacionais. Por exemplo, o armazenamento georredundante replica dados de blobs, ficheiros, filas e tabelas entre duas regiões da mesma Área Geográfica para garantir uma maior durabilidade dos dados em caso de desastre grave no datacenter.

A Microsoft não armazenará nem processará os dados dos clientes fora da Área Geográfica especificada pelo cliente sem a sua permissão, exceto no que respeita aos seguintes serviços regionais:

  • Serviços Cloud do Azure, que fazem a cópia de segurança dos pacotes de implementação de software de funções de trabalho e da Web no Estados Unidos, independentemente da área da implementação.
  • Language Understanding, que pode armazenar os dados de aprendizagem ativa nos Estados Unidos, na Europa ou na Austrália, consoante as regiões de criação que o cliente utiliza. Saiba mais
  • Azure Machine Learning, que pode armazenar texto de forma livre que o cliente fornecer (como nomes de áreas de trabalho, grupos de recursos, experimentações, ficheiros e imagens) e parâmetros de experimentações nos Estados Unidos.
  • O Azure Databricks, que armazena os dados de identidade e certos nomes de tabela e informações do caminho do objeto nos Estados Unidos.
  • Azure Sentinel
  • Consola de Série do Azure, que armazena todos os dados inativos dos clientes na Área Geográfica selecionada pelo cliente; contudo, quando utilizada através do portal do Azure, pode processar comandos da consola e respostas fora dessa Área com a finalidade única de proporcionar a experiência de Consola dentro do portal.
  • Pré-visualização, versão beta, ou outros serviços de pré-lançamento, que normalmente armazenam os dados dos clientes nos Estados Unidos, mas que podem, no entanto, armazená-los a nível global.

Os clientes podem configurar os seguintes serviços do Azure, escalões ou planos para armazenar os dados dos clientes numa única região apenas:

1Atualmente, a residência dos dados numa região única é fornecida por predefinição apenas na Região do Sudeste Asiático (Singapura) da Geografia Ásia-Pacífico e na Região Sul do Brasil (Estado de São Paulo) da Geografia Brasil. Para todas as outras regiões, os dados de cliente são armazenados na Área Geográfica.

2Atualmente, a residência dos dados numa região única é fornecida por predefinição apenas na Região do Sudeste Asiático (Singapura) da Geografia Ásia-Pacífico. Para todas as outras regiões, os dados de cliente são armazenados na Área Geográfica.

3A funcionalidade de pré-visualização de possibilitar o armazenamento dos dados de cliente numa única região está atualmente disponível apenas na Região Sudeste Asiático (Singapura) da Área Geográfica da Ásia-Pacífico e na Região Sul BR (Estado de São Paulo) da Área Geográfica do Brasil. Para todas as outras regiões, os dados de cliente são armazenados na Área Geográfica.

4Para o Azure Databricks, os dados de identidade, certos nomes de tabela e informações do caminho do objeto são armazenados nos Estados Unidos. A capacidade de possibilitar o armazenamento de todos os outros dados de cliente numa única região está atualmente disponível na Região Sudeste Asiático (Singapura) da Área Geográfica da Ásia-Pacífico e na Região Sul BR (Estado de São Paulo) da Área Geográfica do Brasil. Para todas as outras regiões, os dados de cliente são armazenados na Área Geográfica (sujeito à exceção mencionada anteriormente).

5O ZRS Clássico armazena os dados em várias regiões.

Armazenamento de dados para serviços não regionais

Determinados serviços do Azure não permitem que o cliente especifique a região na qual o serviço vai ser implementado. Esses serviços podem armazenar ou processar os dados de cliente em qualquer datacenter da Microsoft, salvo expresso em contrário.

  • Rede de Entrega de Conteúdos do Azure, que disponibiliza um serviço de colocação em cache global e armazena os dados dos clientes em localizações limítrofes de todo o mundo.
  • Azure Active Directory (Azure AD), que pode armazenar dados do Azure AD a nível global. Esta premissa não se aplica às implementações do Azure AD nos Estados Unidos (neste caso, os dados do Azure AD são armazenados exclusivamente nos Estados Unidos) e na Europa (onde os dados do Azure AD são armazenados na Europa ou nos Estados Unidos). Saiba mais
  • Multi-Factor Authentication do Azure, que armazena dados de autenticação nos Estados Unidos; Saiba mais
  • Centro de Segurança do Azure, que pode armazenar uma cópia dos dados de cliente relacionados com segurança, recolhidos a partir de ou relacionados com um recurso do cliente (como uma máquina virtual ou um inquilino do Azure AD):

    (a) na mesma Região Geográfica desse recurso, exceto nas Regiões Geográficas nas quais a Microsoft ainda não implementou o Centro de Segurança, caso em que é armazenada uma cópia desses dados nos Estados Unidos; e

    (b) nos casos em que o Centro de Segurança utiliza outro Serviço Online da Microsoft para processar esses dados, pode armazená-los de acordo com as regras de geolocalização desse outro Serviço Online.

  • Serviços que disponibilizam funções de encaminhamento global sem que os próprios processem ou armazenem os dados dos clientes. Entre estes serviços, incluem-se o Gestor de Tráfego do Azure, que disponibiliza balanceamento de carga entre diferentes regiões, e o DNS do Azure, que fornece serviços de nomes de domínio com encaminhamento para diferentes regiões.

Para obter uma lista completa dos serviços não regionais, veja Produtos disponíveis por região e selecione Não Regionais.