O OneDrive é seguro? Tudo sobre a segurança de dados do OneDrive

O OneDrive, serviço de nuvem da Microsoft, é usado para armazenar, organizar e com­par­ti­lhar dados de usuários. Conheça o padrão de proteção de dados da Microsoft e descubra se ele é su­fi­ci­en­te­mente alto para a sua demanda.

Fatos sobre a segurança do OneDrive

De acordo com in­for­ma­ções for­ne­ci­das pela Microsoft, os uploads, downloads e backups utilizam uma crip­to­gra­fia de ponta a ponta com o padrão de crip­to­gra­fia AES-256-Bit.

Além disso, a au­ten­ti­ca­ção em dois fatores e o padrão de crip­to­gra­fia TLS/SSL com­ple­men­tam a segurança do OneDrive, ofe­re­cendo uma proteção sa­tis­fa­tó­ria para dados na nuvem. Contudo, apesar da boa crip­to­gra­fia, a lo­ca­li­za­ção dos ser­vi­do­res nos EUA levanta a pos­si­bi­li­dade de com­par­ti­lha­mento de dados com au­to­ri­da­des ame­ri­ca­nas. Por isso, outros pro­ve­do­res com ser­vi­do­res lo­ca­li­za­dos na Alemanha ou na Europa ge­ral­mente oferecem al­ter­na­ti­vas melhores em termos de proteção de dados.

O que é OneDrive?

Com o OneDrive, você pode armazenar e organizar seus arquivos, do­cu­men­tos e outros dados, como contatos, notas, senhas ou fotos, na nuvem da Microsoft. O OneDrive está dis­po­ní­vel para os sistemas Windows mais populares, mas exige uma conta Microsoft. Quem utiliza o Microsoft 365 possui au­to­ma­ti­ca­mente acesso ao OneDrive.

Se desejar, é possível sin­cro­ni­zar os dados do OneDrive entre dis­po­si­ti­vos ou ativar a sin­cro­ni­za­ção apenas para apli­ca­ti­vos e dis­po­si­ti­vos se­le­ci­o­na­dos. O serviço também permite criar backups au­to­má­ti­cos e com­par­ti­lhar arquivos com outras pessoas para co­la­bo­ra­ção. Um benefício adicional: o OneDrive está integrado a todas as contas Microsoft, ofe­re­cendo 5 GB de ar­ma­ze­na­mento gratuito.

Qual é a crip­to­gra­fia utilizada pelo OneDrive?

In­for­ma­ções de­ta­lha­das sobre as medidas de segurança do OneDrive podem ser en­con­tra­das na página de suporte da Microsoft. A Microsoft destaca o uso de crip­to­gra­fia de ponta a ponta com o padrão AES-256-Bit para garantir proteção adicional aos dados. Para ilustrar, quebrar essa crip­to­gra­fia exigiria bilhões de anos, mesmo com um su­per­com­pu­ta­dor. Como método de crip­to­gra­fia, o AES-256-Bit oferece uma proteção robusta, mesmo contra ataques de força-bruta. Além disso, a trans­mis­são de dados entre cliente e servidor é protegida pelo uso de TLS.

Como o OneDrive acessa dados?

Assim como no Google Drive, o OneDrive permite que arquivos e pastas sejam com­par­ti­lha­dos com pessoas es­pe­cí­fi­cas, per­mi­tindo vi­su­a­li­za­ção, abertura e edição. O menu “Com­par­ti­lhar” está dis­po­ní­vel para arquivos e pastas, onde você pode se­le­ci­o­nar as pessoas, gerar um link de com­par­ti­lha­mento ou enviá-lo di­re­ta­mente por e-mail. É possível editar ou revogar as per­mis­sões a qualquer momento, mantendo o controle total sobre os direitos de acesso e decidindo quem pode vi­su­a­li­zar ou editar os arquivos.

A Microsoft afirma que o acesso aos dados do OneDrive segue o princípio do “Zero Standing Access”, ou seja, os técnicos só podem acessar os dados em casos ex­cep­ci­o­nais, mediante permissão explícita e sob rigorosas medidas de segurança e ma­nu­ten­ção. No entanto, há uma exceção im­por­tante: au­to­ri­da­des go­ver­na­men­tais dos EUA. A Microsoft é obrigada a cumprir so­li­ci­ta­ções legítimas de in­for­ma­ções dessas au­to­ri­da­des e pode conceder acesso aos dados ar­ma­ze­na­dos no OneDrive. Devido a leis norte-ame­ri­ca­nas como o Cloud Act e o Foreign In­tel­li­gence Sur­veil­lance Act (FISA), que es­ta­be­le­cem critérios baixos para vi­gi­lân­cia e com­par­ti­lha­mento de dados, existe o risco de que au­to­ri­da­des dos EUA possam acessar os dados do OneDrive com relativa fa­ci­li­dade.

OneDrive e Cloud Act

O Cloud Act é uma le­gis­la­ção dos EUA aprovada em 2018, que amplia sig­ni­fi­ca­ti­va­mente os poderes de vi­gi­lân­cia das au­to­ri­da­des norte-ame­ri­ca­nas. Empresas dos EUA, como a Microsoft, são obrigadas a fornecer dados a au­to­ri­da­des, mesmo que estejam ar­ma­ze­na­dos em ser­vi­do­res fora dos EUA. Assim, a Microsoft é le­gal­mente obrigada a liberar dados do OneDrive quando as au­to­ri­da­des apre­sen­tam uma ordem judicial. Em alguns casos, esse acesso pode ser concedido até mesmo sem essa ordem.

Outra vul­ne­ra­bi­li­dade no que diz respeito à segurança do OneDrive quanto aos dados: como os EUA não atendem mais aos padrões europeus de proteção de dados, o Tribunal de Justiça da União Europeia invalidou, em 2020, o “EU-US Privacy Shield”. Isso significa que as empresas que trans­fe­rem dados para os EUA devem garantir por conta própria que o ar­ma­ze­na­mento e a trans­fe­rên­cia de dados co­mer­ci­ais e de clientes cumpram as di­re­tri­zes europeias de soberania de dados na com­pu­ta­ção em nuvem. Apesar disso, a Microsoft afirma que sempre que possível contesta le­gal­mente as so­li­ci­ta­ções de dados feitas pelo governo. A empresa se cer­ti­fi­cou no EU-US Data Privacy Framework, sucessor do Privacy Shield, mas, como se trata de um processo de auto-cer­ti­fi­ca­ção, não há garantias completas de que os usuários podem confiar to­tal­mente nessas práticas.

A segurança do OneDrive evita ataques ci­ber­né­ti­cos?

De maneira geral, a Microsoft, assim como o Google e a Apple, oferece uma segurança sólida e confiável em sua solução de ar­ma­ze­na­mento em nuvem. Isso é es­pe­ci­al­mente válido para quem utiliza o OneDrive para fins pessoais ou para armazenar dados não críticos para os negócios.

Entre as medidas de proteção do OneDrive contra ataques ci­ber­né­ti­cos e acessos não au­to­ri­za­dos, destacam-se:

• Proteção por senha com uma senha segura
• Au­ten­ti­ca­ção em dois fatores
• Crip­to­gra­fia AES-256-Bit
• Crip­to­gra­fia TLS
• Zero-Standing-Access
• Proteção de rede por meio de redes isoladas e firewalls
• Crip­to­gra­fia móvel de dados com o apli­ca­tivo OneDrive
• Re­cu­pe­ra­ção de conta (por e-mail, número de telefone ou pergunta de segurança)
• No­ti­fi­ca­ções de conta em caso de logins suspeitos
• Filtro de spam para e-mails do OneDrive e varredura de vírus com o Microsoft Defender
• Proteção contra ran­somware (no Microsoft 365)
• Cofre pessoal do OneDrive
• Centros de dados seguros com ge­or­re­dun­dân­cia
• Backups au­to­má­ti­cos do OneDrive
• Sin­cro­ni­za­ção de dados com dis­po­si­ti­vos co­nec­ta­dos
• Ve­ri­fi­ca­ção au­to­má­tica de uploads em busca de malware ou conteúdos ilegais
• Crip­to­gra­fia de ponta a ponta para backups, uploads e downloads

Onde ficam lo­ca­li­za­dos os ser­vi­do­res do OneDrive?

Os ser­vi­do­res da Microsoft para o OneDrive estão prin­ci­pal­mente nos Estados Unidos, mas também em países da Ásia e da União Europeia (UE). Assim, é muito provável que os dados sejam trans­fe­ri­dos e ar­ma­ze­na­dos nos EUA ou em outros países fora da UE. De acordo com as re­gu­la­men­ta­ções da UE, isso constitui uma trans­fe­rên­cia para um país terceiro, o que não está alinhado com os padrões europeus de proteção de dados e não oferece uma base jurídica sólida para a pri­va­ci­dade. Por conta disso, as empresas precisam im­ple­men­tar suas próprias medidas para garantir a segurança dos dados dos clientes e contestar le­gal­mente possíveis acessos go­ver­na­men­tais.

Desde maio de 2021, no entanto, a Microsoft oferece uma fronteira de dados na UE, per­mi­tindo que clientes europeus optem por processar os dados ex­clu­si­va­mente dentro da União Europeia.

A segurança do OneDrive atende ao GDPR e às normas de proteção de dados da UE?

Devido à trans­fe­rên­cia de dados para ser­vi­do­res nos EUA e em países fora da UE, o OneDrive não é con­si­de­rado com­pa­tí­vel com o GDPR. A dis­tri­bui­ção para ser­vi­do­res lo­ca­li­za­dos fora da União Europeia significa que os dados não recebem proteção su­fi­ci­ente. Além disso, a Microsoft reserva, em seus termos de uso, direitos para utilizar os dados ar­ma­ze­na­dos, o que torna incerta a con­for­mi­dade com o GDPR no pro­ces­sa­mento e trans­mis­são de dados.

A Microsoft informa que o ar­ma­ze­na­mento e pro­ces­sa­mento de dados do OneDrive ocorre em regiões ge­o­grá­fi­cas e zonas de dis­po­ni­bi­li­dade dis­tri­buí­das. Contudo, não fica claro para os usuários a quais regiões ge­o­grá­fi­cas pertencem os ser­vi­do­res uti­li­za­dos. Outra área nebulosa é que a Microsoft realiza var­re­du­ras de uploads no OneDrive, como do­cu­men­tos e fotos, para melhorar a segurança contra malware e conteúdos ilegais. A base técnica dessas var­re­du­ras e o destino dos dados ana­li­sa­dos não são trans­pa­ren­tes, deixando claro que, sem medidas adi­ci­o­nais por parte das empresas, o OneDrive não cumpre in­te­gral­mente os re­qui­si­tos do GDPR.

O OneDrive é seguro para empresas e com­pli­ance?

Sob a pers­pec­tiva de pri­va­ci­dade e com­pli­ance, o OneDrive apresenta problemas. Se você deseja usar o OneDrive para fins co­mer­ci­ais, precisará adotar medidas proativas para atender às normas de proteção de dados da UE re­la­ci­o­na­das à segurança de dados em­pre­sa­ri­ais e dos usuários. No entanto, tais pre­cau­ções in­di­vi­du­ais não alteram o fato de que o OneDrive é um serviço de uma empresa dos EUA com ser­vi­do­res in­ter­na­ci­o­nais, trans­fe­rên­cias de dados para países terceiros pouco trans­pa­ren­tes, isenções de res­pon­sa­bi­li­dade e obrigação de for­ne­ci­mento de dados às au­to­ri­da­des.

Mesmo com medidas técnicas e jurídicas, ainda existe a pos­si­bi­li­dade de que au­to­ri­da­des dos EUA acessem seus dados. Em 2020, a Con­fe­rên­cia das Au­to­ri­da­des In­de­pen­den­tes de Proteção de Dados da Alemanha (DSK) declarou que o OneDrive não é com­pa­tí­vel com o GDPR para uso em­pre­sa­rial.

As empresas que ainda decidirem usar o OneDrive devem incluir na política de pri­va­ci­dade as seguintes in­for­ma­ções:

• Por quais razões o OneDrive é utilizado para o ar­ma­ze­na­mento de dados?
• Qual é a base legal para o ar­ma­ze­na­mento e pro­ces­sa­mento dos dados?
• Foi firmado um contrato de pro­ces­sa­mento de dados com a Microsoft?
• Como as pessoas podem contestar a coleta e o pro­ces­sa­mento de seus dados?
• Onde é possível encontrar os termos de uso e as políticas de pri­va­ci­dade vigentes da Microsoft?

De acordo com o artigo 28 do GDPR, as empresas devem firmar um contrato de pro­ces­sa­mento de dados com a Microsoft ao armazenar dados co­mer­ci­ais no OneDrive. Nesse contrato, é ne­ces­sá­rio definir:

• Quais dados pessoais a Microsoft recebe.
• O motivo da trans­fe­rên­cia de dados para a Microsoft.
• O período pelo qual a Microsoft ar­ma­ze­nará os dados.
• Quais direitos, obri­ga­ções e exclusões de res­pon­sa­bi­li­dade são apli­cá­veis.

Se você deseja usar o OneDrive em con­for­mi­dade com o GDPR e as di­re­tri­zes de com­pli­ance, siga estas ori­en­ta­ções:

• Obtenha o con­sen­ti­mento do usuário por meio de um opt-in para cookies es­sen­ci­ais e não es­sen­ci­ais.
• Assine um contrato de pro­ces­sa­mento de dados com a Microsoft.
• Atualize sua política de pri­va­ci­dade com in­for­ma­ções claras e detalhes sobre o pro­ces­sa­mento de dados pela Microsoft.
• Analise as cláusulas con­tra­tu­ais padrão da Microsoft.
• Documente os riscos re­la­ci­o­na­dos à trans­fe­rên­cia de dados e proteja-se ju­ri­di­ca­mente contra violações de pri­va­ci­dade.

Quais são as prin­ci­pais al­ter­na­ti­vas ao OneDrive?

Caso você tenha dúvidas sobre as medidas de segurança da Microsoft e esteja se per­gun­tando qual é a nuvem mais segura, conheça pro­ve­do­res de nuvem alemães. Entre os pro­ve­do­res com maior proteção de dados e locais de ser­vi­do­res em con­for­mi­dade com o GDPR, destacam-se o HiDrive Cloud da IONOS, a leitz­cloud da vBoxx e a Secure Cloud.

Com a nossa com­pa­ra­ção entre soluções de ar­ma­ze­na­mento em nuvem, você pode obter uma visão geral dos serviços ofe­re­ci­dos e do nível de segurança oferecido pelas al­ter­na­ti­vas ao OneDrive.