Política de privacidade do F‑Secure Elements for Microsoft 365

Maio de 2021

 

Em resumo

O F‑Secure Elements for Microsoft 365 é um serviço de segurança baseado na nuvem criado para mitigar riscos em e-mails comerciais nas organizações, fornecendo proteção efetiva contra ameaças em mensagens de e-mail do Microsoft 365, ataques avançados de phishing e conteúdo e URLs maliciosos. Além das mensagens de e-mail, outros itens do Exchange, como tarefas, compromissos da agenda, contatos e notas, são inspecionados para verificar se há conteúdo e URLs maliciosos.

  • O foco da coleta de dados é detectar conteúdo malicioso nas caixas de correio dos usuários, não informações pessoais sobre os indivíduos.
  • Muitos dos dados processados e coletados permanecem no locatário do Microsoft O65 da empresa do cliente

Em detalhes

Esta política específica do serviço se concentra nos itens que acreditamos serem os mais relevantes para você. Tais itens são, em particular, 1) o tipo de dados pessoais e privados que o serviço coleta, 2) para que os usamos, 3) nossa justificativa, 4) divulgações típicas e 5) por quanto tempo os armazenamos. Mais informações sobre esses tópicos, bem como sobre outros aspectos (direitos dos titulares dos dados, informações de contato, etc.) do processamento de dados pessoais também estão disponíveis nos links incorporados.

Quais dados são processados e para quê eles são usados

Segurança

O F‑Secure Elements for Microsoft 365 processa conteúdo como, por exemplo, mensagens de e-mail, compromissos da agenda, tarefas, contatos e grupos em caixas de correio do Microsoft 365 de funcionários da empresa, que são definidos na política de segurança e têm uma licença válida.

Durante o processamento desses dados, a solução analisa anexos de arquivos, links da web (URLs) incluídos no corpo das mensagens e algumas partes dos cabeçalhos das mensagens. Para identificar ameaças de segurança, os anexos de arquivos e URLs são enviados para o Security Cloud da F‑Secure para análise de reputação e análise avançada de ameaças.

O Security Cloud da F‑Secure é um sistema de reputação e análise de ameaças baseado na nuvem que verifica os dados em busca de conteúdo malicioso ou perigoso. Os dados enviados ao Security Cloud são sempre anonimizados e não podem ser vinculados a um usuário individual de nenhuma maneira.

Se for detectado qualquer conteúdo perigoso (por exemplo, anexo ou URL malicioso), a solução move ou copia todo o objeto ou as partes afetadas para a pasta de quarentena escondida, localizada no locatário do Microsoft 365 do cliente. As propriedades relevantes dos itens de quarentena, por exemplo, caixa de correio do usuário, endereços do remetente e do destinatário, assunto do item, nome da pasta e nome do anexo e URL perigoso, são salvos no banco de dados de quarentena.

Dos usuários que administram a solução no portal do F‑Secure Elements for Microsoft 365, são armazenadas informações de contato (endereço de e-mail) e credenciais (nome de usuário, senha), que são usadas para gerenciar o acesso do administrador ao portal.

Dos dados coletados pela atividade de verificação, os resultados são disponibilizados aos usuários que administram a solução no portal do F‑Secure Elements for Microsoft 365. Os resultados podem incluir:

  • nome da caixa de correio do usuário em que a mensagem ou o item com conteúdo perigoso foi encontrado;
  • endereço de e-mail do remetente (metadados de mensagem);
  • endereços de e-mail do destinatário (metadados de mensagem);
  • assunto da mensagem ou item (metadados de mensagem);
  • cabeçalhos da mensagem de e-mail (metadados de mensagem);
  • nome da pasta em que o conteúdo perigoso foi encontrado (metadados de mensagem);
  • nomes dos arquivos em que o conteúdo perigoso foi encontrado;
  • links da web (URLs) considerados perigosos.

A F‑Secure processa os dados para proteger as redes de destino, os dispositivos e os dados ali existentes. Especificamente:

  • para bloquear conteúdo perigoso real ou em potencial em tráfego de e-mail de entrada, saída e interno;
  • para detectar atividade maliciosa e suspeita nas caixas de correio dos usuários;
  • para detectar outras ameaças e ataques de segurança contra ou via serviços do Microsoft 365;
  • para analisar os dados de serviço e segurança coletados com o objetivo de melhorar os recursos de detecção de serviços da F‑Secure, com ênfase na melhoria da funcionalidade, usabilidade e detecção desse serviços.

O portal do F‑Secure Elements for Microsoft 365 coleta dados de telemetria não identificáveis sobre o uso de seus recursos para fins de melhoria dos serviços, cujo envio o administrador pode optar por desativar, nas configurações da política.

A F‑Secure verifica seu endereço de e-mail regularmente para ver se há violações de dados. Ela trabalha com um fornecedor terceirizado para detectar e coletar informações sobre violações relacionadas ao endereço de e-mail que a F‑Secure monitora para você.

Contato

Os dados pessoais dos contatos da empresa cliente são processados conforme explicado na Política de Privacidade Corporativa.

Princípios legais

Tanto a F‑Secure quanto a empresa do cliente operam como controladores independentes nas respectivas áreas de processamento de dados que ocorre no contexto dos serviços.

Na medida em que os dados processados pela F‑Secure nos serviços são identificáveis para um indivíduo, os serviços processam os dados para salvaguardar os seguintes interesses legítimos;

  • fornecer serviços da F‑Secure para proteger a rede e os dispositivos de nossos clientes, bem como a confidencialidade e a disponibilidade dos dados ali contidos;
  • possibilitar que a F‑Secure detecte novas ameaças e tendências relevantes à segurança entre todos os clientes de modo que nossos serviços possam estar preparados para as crescentes ameaças;
  • permitir que a F‑Secure forneça uma estrutura de segurança centralizada em vários continentes para um grande número de clientes e parceiros.

O processamento de dados realizado pelo serviço é indispensável para a proteção eficiente dos dados da empresa cliente na organização do Microsoft 365. Ainda que as configurações do serviço individual possam permitir que um administrador de TI/Microsoft 365 limite o processamento de dados de segurança pela F‑Secure, esses ajustes não são recomendados, já que comprometem a realização dos objetivos dos serviços descritos acima.

Transferências e divulgações

Os dados apresentados no portal de serviço ficam visíveis para o administrador de TI da sua empresa, seja ele externo ou interno. Se a administração de TI da empresa for terceirizada, os dados também ficarão disponíveis para o parceiro terceirizado ("parceiro distribuidor/revendedor" da F‑Secure), para que ele possa fornecer suporte aos nossos serviços de TI correspondentes para sua empresa.

Saiba mais

Vendas e entrega

Nós trocamos (divulgamos e recebemos) alguns dos seus dados pessoais com nossos parceiros de distribuição (revendedores de serviços corporativos de TI, operadores, lojas on-line, etc.) que comercializam, distribuem, administram e fornecem suporte aos nossos serviços. Oferecemos a essas empresas o acesso a tais dados pessoais, dos quais elas precisam para as atividades acordadas. A lógica desse compartilhamento de dados é fornecer uma experiência do consumidor perfeita. Isso inclui atividades como gestão de clientes, serviço de suporte, gerenciamento de incidentes e resolução de problemas, marketing direto e faturamento.

É possível que nossos parceiros de distribuição tenham um relacionamento pré-existente com você ou, no caso de nossos serviços corporativos, com seu empregador. Esses parceiros e clientes corporativos processam seus dados pessoais como entidades independentes, com base nas respectivas políticas de privacidade aplicáveis. Independentemente disso, nossos parceiros de distribuição e clientes corporativos também precisam cumprir os contratos e a legislação ao processar dados pessoais. Cada entidade é, por padrão, independentemente responsável pelo próprio processamento de dados pessoais, para os próprios fins.

Subcontratação

Podemos transferir ou divulgar seus dados pessoais para subcontratadas e empresas do grupo F‑Secure que nos ajudam a criar os serviços.

Sempre que os dados pessoais dos nossos clientes precisam ser divulgados para nossas subcontratadas, nós exigimos, em nossos contratos com elas, que essas informações sejam usadas unicamente para o fornecimento dos serviços acordados (por exemplo, para resolver um caso de suporte, enviá-las a parceiros de logística para a entrega do produto ou enviar correspondência de marketing em nosso nome). Exigimos que nossos subcontratados processem dados relativos ao usuário de maneira consistente com as declarações neste documento.

Transferências internacionais

A F‑Secure opera globalmente. Consequentemente, algumas de nossas afiliadas, subcontratadas, distribuidores e parceiros estão localizadas fora do Espaço Econômico Europeu para garantir o alcance e a disponibilidade global de nossos serviços. É possível ver os locais das afiliadas da F‑Secure nas páginas públicas da web da F‑Secure

Quando transferimos dados pessoais para fora do Espaço Econômico Europeu, garantimos que essas transferências de dados pessoais sejam feitas de acordo com os requisitos da lei. Fazemos isso impondo salvaguardas técnicas e contratuais apropriadas às subcontratadas e empresas do grupo F‑Secure, por exemplo, usando cláusulas de transferência de dados aprovadas pela União Europeia. O conteúdo fixo de tais cláusulas está disponível aqui.

Fazemos transferências globais ou internacionais de dados somente por bons motivos e depois de avaliar o risco resultante para privacidade.

Nós armazenamos os dados mais confidenciais de clientes na Finlândia ou no Espaço Econômico Europeu e os mantemos sob nosso controle.

Outros usos e divulgações

Há circunstâncias não cobertas por esta política de privacidade em que o uso ou a divulgação de dados pessoais podem ser justificados ou permitidos, ou em que podemos ser obrigados pela legislação aplicável a divulgar informações sem obter seu consentimento ou independentemente do fornecimento de serviços.

Por exemplo, o cumprimento de uma ordem judicial ou um mandado emitido por autoridades da jurisdição relevante que exija a produção de informações.

Da mesma forma, pode haver outras circunstâncias em que haja um interesse legítimo justificável de divulgar conjuntos limitados de informações a terceiros. Por exemplo, casos em que precisamos nos proteger de responsabilidade ou para impedir atividades fraudulentas, em que analisamos o uso de nossos produtos para garantir que eles estejam funcionando da maneira esperada e que somos capazes de reagir a experiências adversas, quando é necessário resolver ou conter um problema permanente ou quando precisamos atender aos requisitos legítimos de informações de nossas seguradoras ou agências reguladoras governamentais. Em qualquer um desses casos, agiremos de acordo com as leis aplicáveis.

Também podemos precisar transferir seus dados pessoais como parte de uma transação corporativa, como uma venda, fusão, cisão ou outra reorganização societária da F‑Secure, em que as informações são fornecidas à nova entidade controladora no curso regular de negócios. O grupo F‑Secure divulga e transfere dados internamente, conforme exigido pelo nosso modelo operacional atual. No entanto, limitamos as divulgações internamente apenas às empresas do grupo, unidades, equipes e indivíduos que precisam conhecer essas informações para os fins de processamento.

Ponderamos cuidadosamente cada exigência de divulgação e levamos em consideração a possibilidade de tais solicitações de divulgação ao decidir onde e como armazenamos seus dados pessoais.

Fontes

Embora coletemos a maioria dos dados mencionados acima diretamente de você e de seu dispositivo, também recebemos dados de nossas afiliadas, parceiros de distribuição (como operadoras e varejistas) e entidades corporativas de quem você comprou esses serviços. Essas entidades talvez sejam nossas revendedoras, mas também incluem nossos parceiros externos de lojas on-line. Também adquirimos alguns dados pessoais básicos (dados de pedidos em compras) e dados de análise agregados de lojas de aplicativos nos quais nossos serviços são vendidos. Algumas outras fontes talvez incluam subcontratados que tenham fornecido a você nossos serviços de suporte ou parceiros de publicidade que tenham nos ajudado a conduzir nossas atividades de marketing.

Fazemos isso para criar uma experiência do cliente sem dificuldades e para ter as informações necessárias para solucionar casos de suporte.

Exemplos típicos de fontes de terceiros são:

  • informações das suas compras feitas em nossa loja externa da Web.
  • adquirimos suas credenciais de dados de login anteriores de nosso parceiro de revenda de operadora, para que possamos fornecer nosso serviço a você diretamente.
  • adquirimos seus dados de contato dos registros de gerentes corporativos para fins de marketing, e
  • quando você usa sua conta de mídia social para se inscrever em nossos serviços, também podemos coletar o endereço de e‑mail da sua conta para autenticar seu registro e entrar em contato com você.

Terceiros

Nossos serviços são fornecidos em conjunto com nossos parceiros, e nossos serviços e sites podem incorporar ou operar com serviços de terceiros. Este documento de privacidade se aplica apenas a dados pessoais, desde que esses dados estejam dentro do domínio de influência da F‑Secure. Quando seus dados pessoais são processados por outras entidades para os fins independentes delas, essa outra parte é responsável pelo processamento de seus dados pessoais de forma justificada de acordo com as respectivas políticas, bem como pelo cumprimento de seus direitos de acordo com as leis de proteção de dados.

O mais frequente em tais cenários é o seguinte:

  • Loja on-line. Nossa loja on-line é parcialmente administrada por um revendedor terceiro. Embora os dados que você informou na fase de registro sejam administrados de acordo com as políticas da F‑Secure, as políticas dos nossos fornecedores de lojas on-line são aplicadas à compra propriamente dita e às atividades relacionadas.
  • Consultas de localização de dispositivo. Quando você consulta a localização do seu dispositivo por meio dos nossos serviços, o fornecedor de mapas precisa processar os dados geográficos relacionados. Até a data de publicação desta política, a F‑Secure usa os mapas do Google nos nossos recursos de pesquisa e localização de dispositivo. As políticas de privacidade do Google serão aplicadas de acordo o uso que você fizer dos recursos.

Retenção

Dados controlados pelo cliente

Itens de quarentena e propriedades relacionadas são removidos com base na política definida pelo cliente.

Dados controlados pela F‑Secure

Os dados ficam armazenados por certo período para o fornecimento do serviço para a empresa cliente e ficam visíveis no portal F‑Secure Elements for Microsoft 365 pela mesma duração. Após o término da licença ou do acordo de serviço com o cliente, esses dados são retidos no armazenamento da F‑Secure por quatro meses, antes da exclusão final e anonimização.

Dados de segurança anônimos e dados estatísticos são armazenados em servidores da F‑Secure sem uma data final definida, desde que os dados continuem a ser úteis para o fim pelo qual foram coletados.

Os outros tipos de dados (por exemplo, dados de suporte técnico, informações de contato) mencionados acima são armazenados pelo período de tempo definido nas respectivas políticas de privacidade, após o qual são excluídos ou anonimizados.

Saiba mais

Este texto complementa os tempos de retenção específicos do serviço. A regra padrão de acordo com a lei é que os dados pessoais devem ser excluídos ou tornados anônimos quando não forem mais necessários para o propósito.

No entanto, alguns dados pessoais precisam ser armazenados por períodos mais longos, o que pode variar por diversas razões.

Entre os motivos típicos de desvio do tempo inicial de retenção, estão os seguintes exemplos.

  • períodos de carência e backups (por exemplo, manter seus dados pessoais armazenados por um período determinado após o término de sua assinatura, para que possamos proteger os dados contra exclusão incorreta);
  • caso a legislação aplicável exija que nós armazenemos dados (por exemplo, para acompanhar a compra e o pagamento dos nossos serviços);
  • permitir que busquemos soluções disponíveis ou limitar eventuais danos que possamos sofrer (por exemplo, devido a uma disputa ou investigação em andamento);
  • resolver ou conter um problema recorrente ou ter informações suficientes para responder a futuros problemas (por exemplo, seu tíquete de suporte relacionado a um problema que não foi permanentemente corrigido durante seu período como cliente);
  • impedir atividade fraudulenta (por exemplo, impor uma proibição na nossa comunidade);
  • seus dados pessoais são incorporados a outros dados para um propósito secundário (por exemplo, retenção de registros);
  • outras circunstâncias semelhantes, em que exista a necessidade legítima de armazenamento contínuo dos dados pessoais.

A remoção final da sua conta pode ser atrasada para evitar interromper suas outras interações conosco. Esse é o caso quando você tem uma conta F‑Secure (por exemplo, você assinou nossos serviços de consumidor com seu endereço de e‑mail) e também i) possui uma conta da Comunidade F‑Secure ou ii) continua a assinar nossas mensagens de marketing. A política de exclusão de conta da Comunidade F‑Secure está definida nos respectivos termos de serviço. Você pode cancelar nossas mensagens de marketing a qualquer momento.

Se o usuário adquiriu o serviço por meio de nossas operadoras parceiras, a exclusão da conta é controlada por essa operadora. Quando a parceira nos notifica de que a assinatura foi encerrada, a F‑Secure remove a conta e exclui ou anonimiza os dados pessoais relacionados à conta. Essa remoção leva à exclusão ou anonimização de todos os dados pessoais relacionados à conta.

Se recebemos suas informações ao fornecer suporte técnico, as informações serão armazenadas desde que o respectivo caso de suporte permaneça sem solução. Uma vez que o caso for resolvido, as informações será gradualmente excluídas ou anonimizada dentro de dois anos após o encerramento do caso.

Os dados de análise coletados com o consentimento do usuário são retidos para fins estatísticos e não são excluídos na remoção de dados pessoais e da conta do usuário. Depois que a conta for finalizada, os dados de análise não poderão ser vinculados a um usuário identificável.

Dados que não contenham informações pessoais (por exemplo, dados analíticos agregados) são retidos pelo tempo que forem úteis para o propósito para o qual foram coletados.

Segurança

Informações sobre práticas de segurança que empregamos para manter seus dados seguros.

Saiba mais

Aplicamos medidas de segurança estritas para proteger a confidencialidade, integridade e disponibilidade de seus dados pessoais quando os transferimos, armazenamos ou processamos.

Usamos medidas de segurança técnicas, administrativas e físicas para reduzir o risco de perda, uso indevido ou acesso, divulgação ou modificação de seus dados pessoais sem autorização.

Todos os dados pessoais são armazenados em servidores seguros operados pela F‑Secure ou por nossos parceiros, com acesso limitado apenas ao pessoal autorizado.

Seus direitos

Informações sobre direitos estatutários e como entrar em contato.

Saiba mais

Você detém o direito aos dados que temos sobre você. Particularmente, você tem os seguintes direitos em relação aos dados pessoais que mantemos sobre você:

  • Acesso e retificação. Você tem o direito de nos perguntar quais dados pessoais nós temos sobre você e de obter uma cópia dos dados que podemos identificar como pertencentes a você nesse contexto. Caso você encontre quaisquer erros (por exemplo, informações obsoletas) nesses dados, pedimos que entre em contato com nosso centro de atendimento ao cliente para resolver o problema. Alguns dos nossos portais de serviço permitem que você atualize suas informações como cliente. Para tanto, você deve atualizar quaisquer alterações ocorridas em seus dados pessoais, por exemplo, mudança de endereço ou de e‑mail, Caso não consiga atualizar as alterações, informe-nos sobre as alterações necessárias.
  • Objeção. Você tem o direito de se opor a um processamento específico de dados pessoais, incluindo, por exemplo, o processamento de seus dados pessoais para fins de marketing ou quando, de alguma forma, nós baseamos nosso processamento dos seus dados em um interesse legítimo. Nesse caso, você precisa estabelecer um razão legalmente válida para sua objeção.
  • Direito a ser esquecido. Você tem o direito de solicitar que deixemos de armazenar seus dados pessoais e que eles sejam apagados. Nesse caso, você precisa estabelecer uma justificativa legalmente válida para seu pedido.
  • Portabilidade. Você também tem o direito de receber os dados pessoais que você mesmo forneceu, relativamente a um contrato ou seu consentimento. Você pode solicitar os dados em um formato estruturado de uso corrente e legível por máquina e, ainda, que os dados sejam transmitidos para outro responsável pelo processamento, sempre que tecnicamente possível.
  • Retirada de consentimento. Em casos em que o processamento ocorra com base em seu consentimento, você tem o direito de retirar seu consentimento a qualquer momento, por meio de definições relevantes. No caso de dados analíticos identificáveis dos serviços, essas definições podem ser encontradas na interface de usuário do serviço. Você também tem o direito de desativar as comunicações de marketing por meio do centro de preferências, o qual pode ser acessado pelo link.
  • Restrições. Se você estabelecer que os dados que temos sobre você estão incorretos ou que não temos direitos legais de usá-los, poderá solicitar que interrompamos o processamento dos seus dados pessoais e que eles simplesmente fiquem armazenados até que o problema seja resolvido.

Você pode exercer seus direitos com a nossa função de atendimento ao cliente. Os links para entrar em contato conosco estão na seção "Informações de contato".

Pode haver situações em que nossas obrigações de confidencialidade, nossos direitos de segredo profissional e/ou nossas obrigações de fornecer nossos serviços (por exemplo a seu empregador) nos proíbam de divulgar ou excluir seus dados pessoais ou, ainda, impeçam você de exercer seus direitos. Os direitos acima também dependem dos fundamentos legais que regem o processamento dos seus dados pessoais.

Se você tiver alguma reclamação sobre como processamos seus dados pessoais ou deseja receber mais informações, entre em contato conosco a qualquer momento. Se você acha que não estamos respeitando seus direitos estatutários, você tem o direito de apresentar uma reclamação junto a uma autoridade de supervisão. Na maioria dos casos, essa autoridade é o "Finnish Data Protection Ombudsman" (www.tietosuoja.fi).

Informações de contato

Se você tiver dúvidas ou preocupações sobre as questões discutidas nas nossas políticas de privacidade, entre em contato com:

F‑Secure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlândia

Como entrar em contato:

  • Se você é um cliente da nossa linha de produtos para o consumidor, entre em contato pelos nossos canais de suporte ao consumidor.
  • Se você é um cliente da nossa linha de produtos corporativos, entre em contato pelos canais de suporte corporativo.
  • Você pode entrar em contato com o Diretor de Proteção de Dados da F‑Secure, basta enviar uma mensagem para privacy@f-secure.com. Se você quiser exercer seus direitos como titular dos dados, use os links acima.

Geral

Informações sobre definições e gerenciamento de alterações.

Saiba mais

Definições

Isso é o que queremos dizer quando fazemos certas referências dentro dessa política.

"Cliente" e "usuário" referem-se ao usuário privado ou corporativo ou a quaisquer outros indivíduos que compram, registram-se para uso ou que usam nossos serviços, cujos dispositivos e tráfegos de dados estão protegidos por nossos serviços, e que podem ter enviado informações de identificação pessoal para nós. Essas informações podem ter sido enviadas por meio do uso de nossos serviços, sites, telefone, e‑mail, formulários de registro ou outros canais semelhantes.

"Dados pessoais" refere-se a quaisquer informações sobre indivíduos particulares que possam identificá-los ou identificar pessoas de suas famílias. Essas informações podem incluir nomes, e‑mails e endereços, números de telefone, informações de contas e cobranças e outras informações mais técnicas que possam ser vinculadas ao usuário, ao dispositivo dele ou ao comportamento de ambos, as quais processamos ao fornecermos nossos serviços.

"Serviços" refere-se a quaisquer serviços ou produtos fabricados ou distribuídos pela F‑Secure, incluindo softwares, soluções da web, ferramentas e serviços de suporte relacionados.

"Site" refere-se ao site f-secure.com ou a qualquer outro site que a F‑Secure hospede ou controle, incluindo subsites e portais de serviços baseados em navegadores.

Alterações

Esta versão da política esclarece, atualiza e substitui a versão anterior. Para manter este documento sempre atualizado, faremos alterações e adendos regularmente, também no futuro.

Publicaremos o documento alterado de privacidade em nosso site ou em outro ponto de interação disponibilizado anteriormente. Se as alterações forem significativas, também poderemos notificar você por outros meios. Todas as alterações serão aplicáveis a partir da data em que publicarmos o documento revisado de privacidade.