Segurança

Opere com segurança confiável. Conheça nosso compromisso em manter a segurança dos dados em repouso e em trânsito nas implantações híbridas, locais e de nuvem.

Privacidade

Mantenha o controle. Consulte nossas políticas que possibilitam que você decida como seus dados serão acessados e usados.

Conformidade

Fique totalmente em conformidade em cada região. Confira nossa lista completa de padrões e regulamentações de conformidade.

Resiliência

Mantenha-se a par do status de suas soluções. Acesse uma visão transparente da disponibilidade global de produtos e serviços.

Por que a segurança do VMware Cloud?

Nuvem, hibridismo ou local: sua segurança é a nossa prioridade.
Ampla experiência em segurança

De governo e defesa aos maiores data centers do mundo, a VMware tem uma longa história como parceira de confiança envolvendo os ambientes mais sigilosos ao redor do mundo. Agora, expandimos essa reputação às nossas ofertas de nuvem.

 

Conformidade integrada

A VMware integra a segurança à base de toda e qualquer solução de nuvem. Isso significa que nossas ofertas seguem as principais certificações de conformidade para manter padrões que atendam às práticas recomendadas do setor.

 

Velocidade sem prejuízo

Tanto na migração para a nuvem quanto na criação de aplicativos modernos, no dimensionamento do seu data center e na automação de operações multi-cloud, você pode agir com rapidez e confiança.

 

Funções de segurança do VMware Cloud

Segurança de software

Com parcerias de segurança de nível internacional e um processo de ciclo de vida de desenvolvimento de segurança líder do setor, a VMware garante que os controles operacionais e de segurança do Cloud estejam alinhados às análises comparativas e às práticas recomendadas do setor.

Segurança de dados

A VMware mantém padrões de proteção de dados rigorosos para garantir o tratamento adequado em cada nível de classificação, do processamento e armazenamento à transmissão e destruição dos dados. Os dados na nuvem são uma responsabilidade compartilhada. Definimos controles para garantir que a propriedade e a administração dos dados organizacionais dos clientes permaneçam com os clientes.



Segurança de rede

As soluções VMware Cloud aproveitam a segurança de rede básica oferecida pelos nossos parceiros de infraestrutura como serviço. Os ambientes de rede são separados logicamente e protegidos por firewalls para cumprir os requisitos de segurança empresariais e garantir a proteção e o isolamento adequados.

Gerenciamento de identidades e acesso

Seguindo o princípio do menor privilégio, as soluções VMware Cloud usam controles de gerenciamento de acesso e identidades, o que garante o nível apropriado de acesso a todos os funcionários para manter seus dados e sistemas protegidos.

 

Gerenciamento de vulnerabilidades e patches

O programa completo de gerenciamento de vulnerabilidades e patches da VMware inclui a verificação e o teste de penetração de vulnerabilidades de terceiros na rede, nos aplicativos e nas camadas do sistema operacional local, ajudando você a antecipar falhas de segurança novas e emergentes.

Gerenciamento de operações

As soluções VMware Cloud coletam e monitoram periodicamente os logs dos ambientes correlacionados aos feeds de ameaças públicos e privados para identificar atividades suspeitas ou incomuns. Isso é possível graças ao contato frequente e atualizado com órgãos do setor, organizações de risco e de conformidade, autoridades locais e agências reguladoras para garantir a rápida intercepção de novas ameaças.

Recursos relacionados

Blog sobre segurança da VMware

Garanta a segurança da sua empresa com as últimas tendências, dicas e tecnologias de líderes e especialistas em segurança da VMware.

Visão geral da segurança do VMware Cloud Services

Confira uma visão detalhada do enfoque da VMware em relação à segurança de nuvem em nosso white paper que aborda os controles de segurança implementados no VMware Cloud Services.

Como protegemos os dados que processamos no papel de empresa

Transparência na coleta, no uso, na divulgação, na transferência e no armazenamento de informações pessoais.

Aviso de produtos e serviços

Aborda as informações pessoais que a VMware coleta e usa com relação aos produtos e serviços da VMware, incluindo:

 

  • Cookies e tecnologias de rastreamento semelhantes que podemos usar para oferecer os produtos ou serviços.
  • Dados que coletamos para aprimorar nossos produtos e serviços e a experiência do cliente.

Os detalhes referentes aos programas de melhoria da experiência do cliente e de técnicas de análise da VMware relacionados aos produtos e serviços da VMware estão disponíveis aqui.

Aviso de privacidade

Trata das informações pessoais que coletamos quando você:

 

  • Acessa, usa ou interage com qualquer um de nossos sites, páginas de mídia social, aplicativos móveis (quando vinculados ao Aviso de privacidade), anúncios on-line e comunicações de marketing.
  • Acessa, usa ou interage com qualquer um de nossos eventos, vendas, marketing e outras atividades off-line.
  • Adquire produtos e serviços da VMware e fornece informações pessoais relacionadas à conta.

Aviso de cookies

Explica como a VMware usa cookies e tecnologias de rastreamento semelhantes quando você utiliza e interage com nossos sites e propriedades on-line.

Outros avisos

A VMware pode lançar outros avisos de privacidade para sites, eventos e aplicativos móveis específicos, incluindo divulgações "just-in-time" e avisos de privacidade no produto. Esses avisos podem complementar ou esclarecer as práticas de privacidade da VMware ou incluir outras opções no que diz respeito ao modo como a VMware processa os dados.

Como protegemos os dados no papel de provedor de serviços

Permitindo que você esteja em conformidade com os requisitos de proteção e privacidade de dados.

Processamento do "Conteúdo do cliente"

A VMware processa, armazena e hospeda conteúdo que você ou seus usuários finais enviaram para os serviços da VMware como "Conteúdo do cliente" (conforme definido nos Termos da prestação de serviços da VMware ou em outro contrato relevante). A VMware processa os dados pessoais contidos no "Conteúdo do cliente" como "provedora de serviços" ou "encarregada do tratamento dos dados" que atua sob sua orientação. Veja nossas perguntas frequentes para obter mais informações.

Adendo de processamento de dados

As obrigações e os compromissos da VMware como encarregada do tratamento dos dados estão descritos no Adendo de processamento de dados (DPA, pela sigla em inglês) da VMware. A VMware processa os dados pessoais contidos no "Conteúdo do cliente" conforme previsto nesse DPA e nos contratos vigentes. Os contratos padrão de cada produto e serviço estão disponíveis na página de Termos e condições do usuário final.

Normas empresariais vinculativas

A VMware conquistou as regras corporativas vinculativas (RCVs) como encarregada do tratamento dos dados, o que a certifica como cumpridora dos padrões do Regulamento Geral sobre a Proteção de Dados da União Europeia no que diz respeito a transferências de dados pessoais contidos no "Conteúdo do cliente".

Subencarregados do tratamento dos dados

A VMware pode usar empresas terceirizadas para prestar determinados serviços em nome dela. Os provedores de serviços terceirizados que processam dados pessoais contidos no "Conteúdo do cliente" (subencarregados do tratamento dos dados) firmarão acordos por escrito e implantarão mecanismos de transferência de dados no local para proteger os dados pessoais de acordo com o previsto no Adendo de processamento de dados.

 

Segurança do VMware Cloud

A VMware tem programas, políticas e práticas que garantem a proteção adequada dos dados pessoais contidos no "Conteúdo do cliente" (incluindo acordos de treinamentos regulares e de confidencialidade para funcionários que trabalham com esses dados) e ajudam a identificar, evitar e resolver vulnerabilidades de segurança em nossos produtos e serviços. Esses programas são periodicamente revisados e atualizados.

 

 

Gerenciamento unificado de endpoints

A VMware oferece soluções que permitem que você proteja as informações e os sistemas da sua organização, acessados e disponibilizados em dispositivos pessoais ou de propriedade da empresa, por meio de controles de gerenciamento. Visualize informações sobre o programa de privacidade e de segurança do Workspace ONE e divulgações referentes aos dados coletados e usados pelo serviço.

 

Recursos relacionados

Privacidade do CloudHealth by VMware

Saiba como a VMware processa e protege os dados pessoais em uma plataforma confiável para otimização de ambientes multi-cloud.

Privacidade do VMware Carbon Black Cloud

Conheça os tipos de dados pessoais coletados por essa solução de segurança nativa da nuvem e saiba como a VMware os processa e protege.

Privacidade do VMware SD-WAN by VeloCloud

Conheça os tipos de dados pessoais coletados por essa solução de sobreposição de rede e a função da VMware em protegê-los.

 

Privacidade do VMware Workspace ONE

Conheça os tipos de dados pessoais coletados por essa plataforma de espaço de trabalho digital e saiba como a VMware os processa e protege.

Privacidade do VMware Cloud on AWS

Saiba quem é responsável pelos dados pessoais nos SDDCs do VMware Cloud on AWS e como a VMware protege todos os dados em seu domínio.

Garantia da conformidade em conjunto

A VMware sempre monitora os padrões de segurança atuais e emergentes e integra os requisitos vigentes aos programas de conformidade dos nossos serviços de computação em nuvem. Sua parceria com a VMware visa à garantia da conformidade, e você, como cliente, precisa ter a certeza de que a oferta de serviço atende às suas obrigações normativas e de conformidade.

Em caso de dúvidas sobre a conformidade, incentivamos você a discutir suas metas e objetivos de negócios com o representante de vendas da VMware.

Programas existentes de conformidade de nuvem

Informações continuamente atualizadas sobre os programas de conformidade mais relevantes para você.
Para obter informações sobre a conformidade dos produtos VMware, clique aqui.
Filter by
Filter by

 

 

Informações adicionais sobre conformidade

Agradecemos o seu interesse na conformidade da VMware.

Entre em contato com o representante de vendas da VMware para obter mais informações sobre nossos programas de conformidade. Seu representante de vendas pode também auxiliar você a obter acesso a relatórios de conformidade não disponíveis para download imediato.

Service Status

Service Location

Service Status

Perguntas frequentes

Trust Center

Para obter mais informações relacionadas ao VMware Cloud Trust Center, é recomendável que você entre em contato com o representante de vendas da VMware. Ele terá as informações para melhor atender à sua solicitação.

Privacidade

"Seu conteúdo" ou o "Conteúdo do cliente" é qualquer conteúdo que você, como cliente, envia em uma oferta de serviço, conforme definido em mais detalhes no seu contrato com a VMware (por exemplo, Termos da prestação de serviços da VMware). Isso inclui todos os arquivos de texto, áudio, vídeo ou imagem, softwares (incluindo imagens de máquina) ou outras informações que você ou qualquer um de seus usuários finais envia por meio da oferta de serviço para processamento, armazenamento ou hospedagem em associação à sua conta conosco. Por exemplo, o "Conteúdo do cliente" inclui dados que você ou seus usuários finais armazenam no Workspace ONE. O importante é que as informações da conta, incluindo nomes, nomes de usuário, telefone comercial e informações de cobrança associadas a ela, não fazem parte da definição de "Conteúdo do cliente", tampouco quaisquer informações que coletamos em relação ao seu uso das nossas ofertas de serviço. Em vez disso, a VMware processará as informações conforme previsto em nosso Aviso de privacidade.

Você sempre detém a propriedade do "Conteúdo do cliente". Você determina quais ofertas de serviço da VMware deseja usar para processamento, armazenamento e hospedagem do "Conteúdo do cliente" e quais informações envia à oferta de serviço como "Conteúdo do cliente". Além disso, não acessaremos nem usaremos o "Conteúdo do cliente" para nenhuma finalidade, exceto conforme necessário para fornecer a oferta de serviço a você e de acordo com o previsto e permitido nos Termos de prestação de serviços da VMware firmados com você. Por fim, não usaremos o "Conteúdo do cliente" para ações de marketing ou publicidade.

 

A VMware assume os seguintes compromissos contratuais em relação à forma como lidará com intimações, ordens judiciais, ações de agências ou outros requisitos normativos ou legais para divulgar o conteúdo de qualquer cliente, conforme estabelecido na seção "Divulgação necessária" dos Termos de prestação de serviços:

Quando a notificação do cliente não for legalmente proibida, a VMware:

- Notificará o cliente: notifique seus clientes sobre qualquer demanda de divulgação de conteúdo do cliente.

- Indicará a agência governamental ao cliente: comunique à autoridade governamental relevante que a VMware é uma provedora de serviços que atua em nome do cliente e que todas as solicitações de acesso ao conteúdo do cliente devem ser encaminhadas por escrito à pessoa de contato que o cliente informou a nós ou ao departamento jurídico dele. 

- Limitará o acesso: forneça acesso ao conteúdo do cliente apenas com a autorização do cliente. Se o cliente solicitar, nós, às custas do cliente, tomaremos as medidas cabíveis para contestar qualquer demanda. 

Se a VMware for legalmente proibida de notificar o cliente, a VMware:

- Avaliará se a validade é legal: a VMware avaliará a demanda de divulgação para determinar se é legalmente válida e vinculativa. 

- Contestará solicitações ilegais: a VMware contestará o pedido se chegar à conclusão de que ele não está em conformidade com a legislação aplicável. 

- Limitará o escopo da divulgação: a VMware limitará o escopo das divulgações apenas às informações que somos obrigados a divulgar e divulgará as informações de acordo com a legislação aplicável.

A VMware tem o compromisso de proteger o conteúdo de seus clientes em conformidade com a legislação aplicável. Consequentemente, a VMware assumiu compromissos nos Termos de prestação de serviços da VMware (divulgações obrigatórias) e na política de processamento das regras corporativas vinculativas (RCVs) quanto ao modo como a VMware responderá às solicitações de acesso do governo, conforme detalhado abaixo. A VMware elaborou os Princípios de processamento das solicitações de acesso do governo ao conteúdo do cliente para ajudar os clientes a entender melhor os compromissos e processos da VMware no processamento das solicitações de acesso do governo, incluindo os compromissos estabelecidos nas RCVs da VMware

A VMware assume especificamente os seguintes compromissos contratuais em relação a como lidará com as solicitações de acesso do governo, conforme estabelecido na seção "Divulgação obrigatória" dos Termos de prestação de serviços da VMware:

Quando a notificação do cliente não for legalmente proibida, a VMware:

- Notificará o cliente: notifique seus clientes sobre qualquer demanda de divulgação de conteúdo do cliente.

- Indicará a agência governamental ao cliente: comunique à autoridade governamental relevante que a VMware é uma provedora de serviços que atua em nome do cliente e que todas as solicitações de acesso ao conteúdo do cliente devem ser encaminhadas por escrito à pessoa de contato que o cliente informou a nós ou ao departamento jurídico dele. 

- Limitará o acesso: forneça acesso ao conteúdo do cliente apenas com a autorização do cliente. Se o cliente solicitar, nós, às custas do cliente, tomaremos as medidas cabíveis para contestar qualquer demanda.

Se a VMware for legalmente proibida de notificar o cliente, a VMware:

- Avaliará se a validade é legal: a VMware avaliará a demanda de divulgação para determinar se é legalmente válida e vinculativa.

- Contestará solicitações ilegais: a VMware contestará o pedido se chegar à conclusão de que ele não está em conformidade com a legislação aplicável.

- Limitará o escopo da divulgação: a VMware limitará o escopo das divulgações apenas às informações que somos obrigados a divulgar e divulgará as informações de acordo com a legislação aplicável.

Em nenhuma circunstância, a VMware divulgará quaisquer dados pessoais de maneira massiva, desproporcional e indiscriminada, ultrapassando o que é estritamente necessário em uma sociedade democrática.

Além disso, após a decisão do Tribunal de Justiça da União Europeia (TJUE) em Data Protection Commissioner v. Facebook Ireland e Maximillian Schrems, Processo C-311/18 (Schrems II), a VMware elaborou a Declaração da VMware sobre a aplicação da Seção 702 da FISA e da Ordem Executiva 12333 com base no Schrems II a fim de abordar as preocupações sobre o acesso das agências de inteligência dos EUA a dados em trânsito da UE para os EUA e de ajudar os clientes a compreender a provável aplicação de dois regulamentos dos EUA: Ordem Executiva (EO, pela sigla em inglês) 12333 e Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA, pela sigla em inglês). A VMware acredita firmemente que há uma pequena probabilidade de ela estar sujeita à Seção 702 ou à EO 12333 quanto ao aprovisionamento das ofertas de serviço, dada a natureza dos serviços que fornece.

A VMware é uma empresa global e está sujeita às leis globais. A lista de países em que os dados pessoais contidos no "Conteúdo do cliente" são processados em relação a uma oferta de serviço específica se encontra entre as listas aplicáveis de subencarregados do tratamento dos dados, identificadas aqui. A VMware não tem conhecimento de nenhuma lei aplicável que possa interferir em sua capacidade de cumprir seus compromissos relacionados a solicitações de acesso do governo e divulgações exigidas, conforme estabelecido nos Termos de prestação de serviços da VMware.

Como parte do aprovisionamento de serviços VMware a um cliente, a VMware pode transferir dados pessoais incluídos no "Conteúdo do cliente" (conforme definido no Adendo de processamento de dados da VMware do Espaço Econômico Europeu ("EEE"), da Suíça e do Reino Unido para países terceiros no papel de encarregada do tratamento dos dados. O Regulamento Geral sobre a Proteção de Dados ("RGPD") foi incorporado à legislação doméstica do Reino Unido e, portanto, o mecanismo de transferência de dados permitido pelo RGPD para transferências de dados pessoais fora do EEE também se aplicará a transferências do Reino Unido. Em relação à Suíça, a Lei Federal de Proteção de Dados ("LGPD") segue uma estrutura semelhante à do RGPD e, portanto, os mesmos mecanismos de transferência de dados se aplicam às transferências da Suíça (com as alterações necessárias para compensar as diferenças).

Os destinatários ou importadores de dados pessoais do cliente incluem as entidades do Grupo VMware e alguns fornecedores de terceiros que contratamos e processam dados pessoais em nosso nome para prestar nossos serviços ("Subencarregados do tratamento dos dados"). Uma lista das entidades do Grupo VMware e dos subencarregados do tratamento dos dados que usamos para processar os dados pessoais de nossos clientes como parte de nossas ofertas de serviço e suporte ao cliente, juntamente com detalhes de sua localização, está disponível aqui.

Transferências intragrupo: sempre que a VMware compartilhar dados pessoais originários do EEE no papel de encarregada do tratamento dos dados, ela fará isso com base no seu comissário irlandês de proteção de dados e nas regras corporativas vinculantes aprovadas por pares conhecidas como regras corporativas vinculativas da VMware ("RCVs da VMware no EEE"), que estabelecem uma proteção adequada desses dados pessoais e são juridicamente vinculativas no Grupo VMware.

As RCVs da VMware foram aprovadas pelo Regulamento Geral sobre a Proteção de Dados da União Europeia em 23 de maio de 2018. Para confirmar que esta análise já foi concluída, clique aqui. Para obter informações adicionais sobre as regras corporativas vinculativas da VMware e acessar a política de processamento das RCVs da VMware, consulte as regras corporativas vinculativas do encarregado do tratamento dos dados da VMware. Para ver uma lista das afiliadas da VMware que assinaram um contrato intragrupo para as RCVs da VMware no EEE, clique aqui. Para obter informações adicionais, clique aqui.

A solicitação de regras corporativas vinculativas no Reino Unido por parte da VMware ("RCVs da VMware no Reino Unido") está atualmente pendente, e o Adendo de processamento de dados da VMware será atualizado quando as RCVs do Reino Unido entrarem em vigor. Consulte a pergunta frequente "Qual é a estratégia de transferência de dados da VMware com base no Brexit?" para obter mais informações.

Transferências para subencarregados de terceiros: a VMware tem acordos de processamento de dados (DPAs, pela sigla em inglês) em vigor com seus subencarregados de tratamento de dados que incorporam a versão atual do controlador nas SCCs do subencarregado para garantir transferências de dados seguras e legais do EEE, da Suíça e do Reino Unido e proteger as transferências subsequentes. A Comissão Europeia publicou uma nova versão preliminar das SCCs, que está disponível aqui. Quando as novas SCCs forem aprovadas e entrarem em vigor, a VMware tomará as medidas necessárias para implementá-las com seus subencarregados de tratamento de dados, de acordo com os novos requisitos estabelecidos pela Comissão Europeia.

A VMware elaborou a pergunta frequente "Brexit e transferências de dados internacionais", disponível aqui, para abordar as preocupações dos clientes em relação à estratégia de transferência de dados da VMware com base no Brexit e, especificamente, ao uso de regras corporativas vinculativas (RCVs) e cláusulas contratuais padrão (SCCs, pela sigla em inglês).

Para obter mais informações sobre os mecanismos que a VMware implementou para garantir a proteção adequada da transferência de dados pessoais, consulte a pergunta frequente "Que mecanismo a VMware implementou para garantir a proteção adequada da transferência de dados pessoais para locais fora do EEE, da Suíça e do Reino Unido nos quais a VMware atua como encarregada do tratamento dos dados?".

A segurança das nossas ofertas de serviço é de suma importância para a VMware. Para acessar a lista das medidas de segurança implantadas que estão associadas às nossas ofertas de serviço, consulte a página de segurança do Trust Center.

Em seu uso das ofertas de serviço, você é responsável por configurar e implementar os controles técnicos, organizacionais e administrativos necessários para que possa cumprir todas as leis aplicáveis ao seu uso da oferta de serviço, que pode depender dos tipos de dados que você optar por processar na oferta de serviço. Suas responsabilidades em relação à segurança do "Conteúdo do cliente" são estabelecidas no contrato vigente e incluem (a) o controle do acesso concedido a seus usuários, (b) a configuração adequada da oferta de serviço, (c) a garantia da segurança do "Conteúdo do cliente" durante o fluxo de/para a oferta de serviço, (d) o uso de tecnologia de criptografia para proteger o "Conteúdo do cliente" de acordo com o que você julgar necessário e (e) o backup do "Conteúdo do cliente".

A VMware mantém um programa de gerenciamento da segurança da informação alinhado ao padrão ISO 27001 (conforme aplicável), que é revisado no mínimo uma vez por ano para garantir o uso dos controles, das práticas e dos procedimentos apropriados. Para acessar a lista das medidas de segurança implantadas que estão associadas às nossas ofertas de serviço, consulte a página de segurança do Trust Center.

A VMware contrata e usa terceiros para prestar serviços em seu nome como parte do aprovisionamento de ofertas de serviços ou serviços de suporte e assinatura da VMware. Veja os detalhes fornecidos aqui. Como parte da contratação de terceiros que processam dados pessoais como subencarregados do tratamento dos dados (conforme esses termos são definidos no Adendo de processamento de dados), a VMware implementou os seguintes processos e procedimentos:

1. Compromisso contratual e transferências internacionais de dados: a VMware celebra acordos de processamento de dados com todos os seus subencarregados de tratamento de dados, o que exige que os subencarregados mantenham a privacidade, a segurança e a confidencialidade dos dados pessoais em termos substancialmente semelhantes aos compromissos contratuais que a VMware firma com seus próprios clientes no Adendo de processamento de dados. A VMware baseia-se nas cláusulas contratuais padrão da UE, a menos que haja outro mecanismo legítimo de transferência de dados e o subencarregado do tratamento dos dados assuma os compromissos contratuais adequados.

2. Processo de análise de privacidade e privacidade desde o design: a VMware estabeleceu um processo completo e centralizado de gerenciamento de fornecedores de terceiros para integrar novos fornecedores: iniciar, conduzir e monitorar análises de privacidade e segurança de terceiros por meio de ferramentas centralizadas para auxiliar em seus esforços de conformidade. A equipe de privacidade da VMware conduz análises detalhadas de privacidade dos serviços fornecidos pelos subencarregados de tratamento de dados, incluindo a determinação das categorias de dados pessoais processados e as finalidades do processamento. As análises incluem a implementação de controles de privacidade para mitigar os riscos associados ao acesso e processamento de dados pessoais por parte dos subencarregados e garantir a conformidade normativa.

3. Processo de análise de segurança: a VMware mantém uma política e um processo para conduzir análises de segurança dos subencarregados do tratamento dos dados. A equipe de segurança da VMware conduz uma análise inicial de segurança de todos os novos subencarregados e um monitoramento contínuo com base no nível de risco de segurança identificado.

4. Lista de subencarregados do tratamento dos dados e notificação de novos subencarregados: a VMware mantém uma lista dos subencarregados usados em cada oferta de serviço e em relação aos serviços de suporte e assinatura. É possível acessar a lista de cada oferta de serviço aqui. A VMware avisa ao cliente com antecedência de todas as novas contratações de subencarregados de tratamento de dados caso o cliente tenha se inscrito para receber notificações de um serviço específico por meio dos mecanismos fornecidos pela VMware. Se você quer receber notificações de novos subencarregados de tratamento de dados, clique aqui e ative as notificações para a(s) lista(s) de subencarregados relevantes.

A VMware implementou uma estrutura de privacidade desde o design para garantir que seus produtos e ofertas de serviço locais sejam projetados de forma a estar em conformidade com os princípios de privacidade e requisitos legais aplicáveis. Um processo de análise de privacidade foi implementado no ciclo de vida do design dos produtos e ofertas de serviços locais da VMware, que inclui instruções documentadas para o envio de um produto ou serviço por meio de uma análise de privacidade, assessoria jurídica designada para conduzir a análise de privacidade, avaliações de impacto de processamento de dados (conforme necessário) e requisitos gerais de privacidade para projetar produtos/serviços em conformidade com as leis de proteção e privacidade de dados aplicáveis.

Além disso, a VMware estabeleceu um processo completo e centralizado de gerenciamento de fornecedores de terceiros para integrar novos fornecedores: iniciar, conduzir e monitorar análises de privacidade e segurança de terceiros por meio de ferramentas centralizadas para auxiliar em seus esforços de conformidade. A equipe de privacidade da VMware conduz análises detalhadas de privacidade dos serviços fornecidos pelos subencarregados de tratamento de dados, incluindo a determinação das categorias de dados pessoais processados e as finalidades do processamento. As análises incluem a implementação de controles de privacidade para mitigar os riscos associados ao acesso e processamento de dados pessoais por parte dos subencarregados e garantir a conformidade normativa.

A VMware tem um diretor de proteção de dados (DPO, pela sigla em inglês), que é advogado e diretor de uma empresa externa de consultoria em proteção de dados. A função do DPO é descrita nos Artigos 38 e 39 do RGPD. O DPO deve tratar de todas as questões relacionadas à proteção de dados pessoais, aconselhar a organização sobre suas obrigações com base no RGPD, monitorar sua conformidade, fornecer conselhos sobre avaliações de impacto na proteção de dados e ser o mediador das autoridades de supervisão. A equipe de privacidade da VMware recorre ao DPO conforme apropriado. Para contatar o DPO da VMware, envie um e-mail para dpo@vmware.com. A equipe de privacidade da VMware tentará resolver o problema e/ou recorrerá a nosso DPO, conforme apropriado.

De acordo com o Regulamento Geral sobre a Proteção de Dados da União Europeia ("RGPD"), a VMware atua como "encarregada do tratamento dos dados" em relação ao "Conteúdo do cliente". As obrigações e os compromissos da VMware como encarregada do tratamento dos dados de acordo com o RGPD estão descritos em nosso Adendo de processamento de dados, e a VMware processará os dados pessoais contidos no "Conteúdo do cliente" conforme previsto no contrato vigente e no Adendo de processamento de dados. Além disso, a VMware obteve aprovação das regras corporativas vinculativas ("RCVs") no tocante aos dados pessoais que ela processa como encarregada do tratamento dos dados. Uma cópia das RCVs da VMware está disponível aqui. O comprovante da aprovação da VMware está disponível no site da Comissão Europeia.

A VMware oferece soluções corporativas que permitem a seus clientes criar, gerenciar, proteger e executar aplicativos em vários sistemas e ambientes. Embora a VMware acredite que a natureza das ofertas de serviço que fornece a seus clientes geralmente não garanta uma solicitação de acesso direto do governo ao "Conteúdo do cliente, a VMware tomou as seguintes medidas para cumprir a norma Schrems II e ajudar os clientes em suas próprias iniciativas de conformidade em relação aos dados que processam como controladores:

Compromissos contratuais fortalecidos em relação a solicitações de acesso do governo

A VMware atualizou a seção "Divulgação necessária" de seus Termos de prestação de serviços para esclarecer como a VMware lida com as solicitações de acesso do governo, adicionando os seguintes compromissos:

Quando a notificação do cliente não for legalmente proibida, a VMware:

- Notificará o cliente: notifique seus clientes sobre qualquer demanda de divulgação de conteúdo do cliente.

- Indicará a agência governamental ao cliente: comunique à autoridade governamental relevante que a VMware é uma provedora de serviços que atua em nome do cliente e que todas as solicitações de acesso ao conteúdo do cliente devem ser encaminhadas por escrito à pessoa de contato que o cliente informou a nós ou ao departamento jurídico dele.

- Limitará o acesso: forneça acesso ao conteúdo do cliente apenas com a autorização do cliente. Se o cliente solicitar, nós, às custas do cliente, tomaremos as medidas cabíveis para contestar qualquer demanda.

Se a VMware for legalmente proibida de notificar o cliente, a VMware:

- Avaliará se a validade é legal: a VMware avaliará a demanda de divulgação para determinar se é legalmente válida e vinculativa.

- Contestará solicitações ilegais: a VMware contestará o pedido se chegar à conclusão de que ele não está em conformidade com a legislação aplicável.

- Limitará o escopo da divulgação: a VMware limitará o escopo das divulgações apenas às informações que somos obrigados a divulgar e divulgará as informações de acordo com a legislação aplicável.

Transparência em relação ao processo para lidar com solicitações de acesso do governo e autoridades dos EUA

Para ajudar os clientes a entender melhor os compromissos e processos da VMware para lidar com solicitações de acesso do governo, incluindo os compromissos estabelecidos nas RCVs da VMware, a VMware elaborou os Princípios de processamento das solicitações de acesso do governo ao conteúdo do cliente.

Além disso, a VMware elaborou a Declaração da VMware sobre a aplicação da Seção 702 da FISA e da Ordem Executiva 12333 com base no Schrems II a fim de abordar as preocupações sobre o acesso das agências de inteligência dos EUA a dados em trânsito da UE para os EUA e de ajudar os clientes a entender a provável aplicação de dois regulamentos dos EUA: Ordem Executiva (EO, pela sigla em inglês) 12333 e Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA, pela sigla em inglês). A VMware acredita firmemente que há uma pequena probabilidade de ela estar sujeita à Seção 702 ou à EO 12333 quanto ao aprovisionamento das ofertas de serviço, dada a natureza dos serviços que fornece.

Contratos atualizados com subencarregados do tratamento dos dados para garantir uma base jurídica para a transferência de dados pessoais

Desde a invalidação do Privacy Shield UE-EUA, a VMware implementou cláusulas contratuais padrão com todos os seus subencarregados de tratamento de dados, que anteriormente contavam com o Privacy Shield UE-EUA como mecanismo de transferência de dados. Como subencarregda do tratamento dos dados, a VMware baseia-se nas regras corporativas vinculativas para transferir dados pessoais para fora da UE como parte do aprovisionamento das ofertas de serviço aplicáveis da VMware, conforme estabelecido no Adendo de processamento de dados da VMware. É possível encontrar informações adicionais sobre as RCVs da VMware aqui e no VMware Trust Center

Medidas técnicas e organizacionais

A VMware confirma seu compromisso em implementar e manter medidas técnicas e organizacionais adequadas, conforme estabelecido no Adendo de processamento de dados da VMware. O site do Trust Center da VMware descreve as certificações e auditorias de terceiros que a VMware mantém em relação às suas ofertas de serviço. Dada a natureza das ofertas de serviço da VMware, os clientes também têm controle sobre como configuram as ofertas de serviço e podem implementar os controles administrativos e técnicos necessários para proteger os dados processados como parte do uso da oferta de serviço aplicável. Em muitos casos, a VMware fornece soluções locais e hospedadas para que os clientes gerenciem seus sistemas e infraestrutura.

Transparência em relação aos tipos de dados processados pelo VMware Service: datasheets

Em suas perguntas frequentes sobre o "Schrems II", o Conselho Europeu de Proteção de Dados (EDPB, pela sigla em inglês) destacou que é necessário considerar os tipos de dados transferidos como um dos fatores para determinar se existe um nível adequado de proteção em torno da transferência de dados pessoais para fora da UE. Ele destacou também que os controladores devem realizar uma análise caso a caso para determinar os riscos dessa transferência. Para ajudar os clientes a compreender os tipos de dados processados como parte do uso de ofertas de serviço da VMware, a VMware fornece descrições de serviço para cada oferta de serviço disponível aqui e disponibiliza datasheets para algumas ofertas de serviço na seção Privacidade do VMware Trust Center. Para as ofertas de serviço do Workspace One, a VMware também disponibiliza a Divulgação sobre o Workspace One.

A Lei de Privacidade do Consumidor da Califórnia ("CCPA", pela sigla em inglês) aplica-se a empresas que prestam serviços aos consumidores na Califórnia. Ela assegura determinados direitos às pessoas referentes ao processamento de seus dados pessoais. De acordo com o CCPA, a VMware atua como "provedora de serviços" no processamento dos dados pessoais presentes no conteúdo do cliente. A VMware não acessará nem usará esses dados pessoais se não for estritamente necessário para prestar os serviços ao cliente, conforme estabelecido no contrato vigente, e ajudará o cliente a responder às solicitações de acesso de titulares de dados nos termos do CCPA, conforme estabelecido em nosso Adendo de processamento de dados. Quando a VMware atuar como "empresa" sob os termos do CCPA, o Aviso de privacidade da VMware na Califórnia e outros Avisos de privacidade fornecerão detalhes sobre como a VMware lida com essas informações pessoais como empresa, incluindo as divulgações necessárias relativas às categorias de dados coletados e usados e à venda de informações pessoais. Para obter informações mais detalhadas sobre a aplicabilidade do CCPA ao aprovisionamento de serviços da VMware, clique aqui.

Pronto para começar?