Os funcionários da Microsoft podem ver meus dados no Azure?

Legalmente falando, eles não podem ler seus dados ou enviar seus dados para a aplicação da lei sem uma ordem judicial correta.

Solicitações de dados do cliente

As solicitações governamentais de dados de clientes devem estar em conformidade com as leis aplicáveis. É necessária uma intimação ou seu equivalente local para solicitar dados que não sejam de conteúdo, e um mandado, ordem judicial ou seu equivalente local é necessário para dados de conteúdo.

Por transparência da Microsoft, para ver o estado atual de quantas intimações de leis eles responderam por lá .

Você precisa escolher sabiamente sua região do Azure por esse motivo. No exemplo, a empresa HIPAA no Canadá teria que ser hospedada no Canadá, por exemplo, para seus dados.

Um funcionário desonesto da Microsoft pode ver seus dados. O processo lá é desconhecido, mas esse risco é o mesmo de qualquer hoster ou funcionário desonesto dentro de sua corporação.

Você está colocando seus dados no computador de outra pessoa e os dados podem ser acessados ​​de alguma forma. Em outras palavras, a resposta para sua pergunta exata é quase certa: Sim, alguns funcionários da Microsoft podem ver seus dados, mas fazem uma escolha ativa de não realizar as tarefas que permitiriam que eles o fizessem.

Uma questão mais ampla é quão grande é o risco de vazamento de tais dados. Minha opinião é que o risco é consideravelmente menor de que um funcionário da Microsoft tente acessar seus dados (e vazá-los) do que um erro de configuração ou software cometido por você como locatário disponibilizar esses dados a terceiros. Este último é o que costumamos ver quando se trata de vazamentos de dados que chegam às notícias.

Afirmo isso por experiência própria porque já trabalhei lá.

Internamente, a Microsoft é muito rigorosa quanto à proteção de dados de usuários e clientes e, ao contrário de outras grandes e conhecidas empresas da WEB, a Microsoft explicitamente NÃO verifica o conteúdo dos arquivos privados do usuário (por exemplo, seu e-mail Hotmail.com, os arquivos de dados da sua VM) para ser usado para marketing ou publicidade.

Qualquer funcionário que infrinja as regras internas para acessar os dados do usuário verá o PDQ da porta e provavelmente enfrentará consequências legais. E apenas um quadro restrito tem capacidade/acesso técnico para fazer isso.

Observe que "metadados" se enquadram em regras diferentes, sobre as quais a Microsoft é aberta, mas é rigorosa sobre quem pode realmente ver isso. Normalmente, ele é anonimizado em massa e classificado em algum banco de dados interno da empresa para que o pessoal de operações possa manter os sistemas funcionando. Essas pessoas se preocupam apenas com as estatísticas gerais, não com os dados reais do usuário (que normalmente não podem ver).

Os dados de licença de desenvolvedores SQL que você menciona são metadados (por exemplo, "dados de uso") e não os dados SQL do cliente.

Em suma, nenhum ser humano vai ler seus arquivos em um servidor da Microsoft, a menos que haja uma ordem judicial ou algum problema terrível de reparo do sistema que exija a inspeção de um arquivo específico (extremamente improvável). E em ambos os casos será um número limitado de globos oculares, e somente após as aprovações internas serem concedidas.

História verdadeira: nos velhos tempos (década de 1980), dois dos técnicos levavam periodicamente montes de discos rígidos antigos para o estacionamento e enfiavam uma estaca de ferrovia em cada um deles com uma marreta. Muito terapêutico. Como é isso para excluir arquivos?

Eles podem? Sim, os dados estão em seus servidores, que eles controlam.

Irão eles? Provavelmente não, exceto se eles tiverem uma razão (geralmente legal e você tem uma boa resposta sobre isso - lembre-se também de que existem casos legais que eles não podem divulgar). A probabilidade depende de como seus dados são interessantes ou problemáticos.

O que eles obtêm é utilizável? Essa parte depende de você: se você enviar dados em texto simples, sim, se você criptografar antes de enviar, não

Não encontrei detalhes exatos sobre as políticas de acesso interno da Microsoft, mas eles fornecem informações gerais em seu folheto "Considerações de privacidade na nuvem" (download do PDF, link da página Privacidade na Microsoft :

A Microsoft segue políticas e procedimentos rigorosos quando se trata de acessar seus dados. Automatizamos a maioria de nossas operações de serviço para que apenas um pequeno conjunto exija interação humana. A Microsoft opera com base na “necessidade de conhecimento”, o que significa que o acesso aos seus dados pelo pessoal da Microsoft é restrito e só pode ser acessado quando necessário para essa operação. Depois disso, os direitos de acesso são imediatamente revogados.

Além disso, os dados parecem ser excluídos e/ou destruídos adequadamente quando você solicita a exclusão. ("Pedido" aqui parece incluir coisas como liberar discos rígidos virtuais e ações semelhantes.)

Qual é a sua política de exclusão de dados? Você pode me garantir que será completamente removido? A Microsoft segue padrões rígidos para substituir o armazenamento antes da reutilização. Se você excluir seus dados ou rescindir seu contrato, garantiremos que seus dados sejam excluídos de acordo com seu contrato conosco. No caso de um disco rígido falhar, ele será fisicamente destruído de uma forma que impossibilita a recuperação de dados.

Dito isso, alguns dados do cliente parecem não se enquadrar nas políticas acima e você, como cliente, precisa entender o que é isso e ter cuidado com os dados que você envia que se enquadram nisso. A maior parte disso parece bastante óbvia, no entanto, um exemplo das categorias e definições de dados da Microsoft :

Metadados do objeto

As informações fornecidas por você ou em seu nome são usadas para identificar ou configurar recursos do Serviço Online, como software, sistemas ou contêineres, mas não incluem seu conteúdo ou identidades de usuário. Os exemplos incluem os nomes e as configurações técnicas de contas de armazenamento do Azure, máquinas virtuais, bancos de dados do Azure e coleções de dados (e de suas tabelas, títulos de coluna, rótulos e caminhos de documentos, conforme aplicável). Os clientes não devem incluir dados pessoais ou outras informações confidenciais nos metadados do objeto porque os metadados do objeto podem ser compartilhados em sistemas globais da Microsoft para facilitar as operações e a solução de problemas.

O documento principal sobre segurança e proteção de dados no Azure parece ser "Protegendo dados no Microsoft Azure" (download de PDF, vinculado como "Proteção de dados do Azure" no meio do gerenciamento de dados na Microsoft ). Isso aborda o acesso da equipe do MS apenas na página 17, onde discute como a equipe é treinada, eles têm protocolos rígidos que são auditados¹ etc., mas é vago nos detalhes. Ele reitera o que já vimos acima, em alguns casos sendo um pouco mais explícito:

Para proteger ainda mais as informações do cliente, a política determina que a equipe da Microsoft não deve ter acesso persistente a nenhum dado do cliente, incluindo VMs, arquivos, chaves, bancos de dados, locatários do AD, logs ou outros tipos, a menos que o cliente conceda acesso explicitamente. Se necessário para resolver um problema urgente, os administradores do Microsoft Azure ou a equipe de suporte recebem acesso “just in time” aos dados do cliente, que é revogado assim que o problema é encerrado ou solicitado.

Os dois parágrafos do texto também deixam claro que qualquer coisa removida do data center é apagada primeiro e "excluir significa excluir" e é "instantaneamente consistente".

Dito isso, vale a pena ler o documento na íntegra se você estiver usando o Azure para qualquer informação sensível à segurança, já que os problemas de segurança são muito mais prováveis ​​de vir de dentro de sua organização do que da Microsoft.

¹ _{A propósito, não leia muito a parte das "auditorias abrangentes". Muitas estruturas de segurança, como a auditoria ISO/IEC 27001 , não estão realmente fazendo um bom trabalho em proteger as coisas, mas que você documentou controles de segurança específicos e possui procedimentos para garantir que você siga essa documentação. Assim, se você documentar que as senhas não devem ter mais de 8 caracteres e consistir apenas em letras minúsculas, desde que você possa mostrar que está seguindo isso, você passa na auditoria.}

Estou abordando apenas o aspecto "funcionário desonesto".

A grande maioria dos funcionários da Microsoft não tem acesso aos seus dados. Os poucos que ainda precisam passar por alguns obstáculos para solicitar acesso a ele.

Eu sou um ex-funcionário da Microsoft. As poucas vezes que tive acesso aos dados do usuário, foi com o conhecimento e concordância do cliente.

A resposta curta: Se for nuvem, é SIM!!! A primeira regra de segurança de TI (ou qualquer tecnologia) é ' o homem que segura a caixa é o dono da caixa '.

"Cofres são feitos para manter as pessoas do lado de fora, não dentro" é assim que os mágicos saem dos cofres.

Agora, pense, todas as empresas 'terceirizam' seus dados/desenvolvimento/suporte para a Ásia e Europa. A recente violação de segurança da Capital-One, etc. O CSR Homem/Mulher 'segura' a caixa! Quando você liga para o seu cartão de crédito/banco, o 'CSR' pede para você verificar suas informações... agora ele/ela sabe MUITO sobre você!

Há muito tempo (mais de 20 anos) eu 'peguei' o técnico de um parceiro 'grande azul' lendo/navegando o disco rígido de um cliente em um computador que veio para reparos.

Tive meus e-mails sendo lidos pelo meu provedor de serviços de e-mail, desde então opero meus próprios servidores de e-mail. Minhas contas de hotmail, yahoo e gmail são 'domínio público' no que me diz respeito!

Como disse o ex-presidente Jimmy Carter ' A maneira mais segura de se comunicar é por correio normal (EUA) '.

Estou confiante de que minha resposta será rejeitada e removida :)