Soberania dos dados e suporte seguro da Microsoft: uma análise realista.

Se você depende do Suporte Unificado da Microsoft, provavelmente está a fazer uma pergunta simples: podemos obter ajuda rápida e especializada sem colocar os nossos dados em risco? Relatórios recentes indicam que a resposta a essa pergunta não é mais óbvia, especialmente para cargas de trabalho do setor público e regulamentadas.

Os executivos não temem apenas o tempo de inatividade — o perigo também pode surgir onde o suporte realmente acontece: quem acessa os tickets, registos e sessões ao vivo, e sob as leis de qual país. A ProPublica descobriu que a Microsoft utilizava engenheiros baseados na China em várias agências dos EUA (com «acompanhantes digitais») e, embora a Microsoft tenha tomado medidas para interromper isso nos sistemas do Departamento de Defesa, ainda há dúvidas em relação a outros ambientes.

A US Cloud acompanha esses desenvolvimentos para CIOs/CISOs e resume por que a jurisdição e os artefactos de suporte (tickets, dumps, gravações de sessões) devem fazer parte do seu modelo de risco — e não apenas os dados de produção. Esta publicação é destinada a organizações que buscam suporte seguro da Microsoft, sem ambiguidades sobre locais de trabalho, subprocessadores ou acesso transfronteiriço.

Qualquer pessoa que já tenha colado um registo num ticket Sev-A às 2 da manhã sabe que o suporte é um ponto vulnerável, onde segredos ou informações privilegiadas podem vazar. Mostraremos como manter os help desks úteis e soberanos — o que perguntar ao seu fornecedor e o que bloquear hoje.

• Uma reportagem investigativa em 2025 revelou que a Microsoft utilizou engenheiros baseados na China para ajudar a manter sistemas confidenciais do governo dos EUA, supervisionados remotamente por «acompanhantes digitais» com salários mais baixos.
• Após a divulgação da notícia, a Microsoft afirmou que deixou de utilizar engenheiros baseados na China para o suporte ao Departamento de Defesa (DoD), mas permanecem dúvidas quanto a outras cargas de trabalho federais e comerciais.
• Em risco está a exposição jurisdicional — quais leis nacionais poderiam obrigar o acesso aos seus artefactos e sessões de suporte — independentemente da nacionalidade da organização suportada.
• A Lei Nacional de Inteligência da China (Artigo 7) e medidas relacionadas aumentam o risco de acesso compulsório quando o suporte é fornecido a partir da China, tornando a soberania dos dados e a localização da equipa de suporte uma questão relevante em termos de conformidade.
• O suporte gera naturalmente artefactos sensíveis que podem incluir segredos ou dados regulamentados. Muitos programas tratam os dados de produção com cuidado, mas ignoram esses fluxos de dados de suporte.
• Aja agora: exija detalhes de segurança dos seus fornecedores. Os comentários do setor já começaram a traçar essas alternativas.

Quando abre um ticket Sev A, partilha registos ou encaminha uma correção, por necessidade, muitas vezes cria ou expõe:

• Conteúdo de bilhetes e conversas que podem incluir configurações, IPs ou credenciais coladas sob pressão de tempo.
• Uploads de diagnóstico (registos, dumps de memória, rastreamentos) que podem conter chaves, tokens ou PII.
• Sessões remotas (partilha de ecrã/administração JIT) que concedem acesso elevado para resolução de problemas.
• Telemetria e relatórios de falhas que refletem o estado do sistema e, por vezes, trechos de dados.

Se esses artefactos ou sessões privilegiadas forem tratados por pessoal fisicamente localizado numa jurisdição diferente, as suas obrigações nos termos de contratos e da lei (estatutos do setor público, regras setoriais ou políticas internas) podem ser acionadas.

Ao longo do último ano, a ProPublica tem vindo a acompanhar a origem do pessoal de suporte da Microsoft. Aqui está uma cronologia sobre o que sabemos sobre quem está a resolver os tickets Unified nestes cenários:

• 15 de julho de 2025: A ProPublica informou que a Microsoft estava a usar engenheiros na China para ajudar a manter os sistemas do Pentágono, monitorados por «acompanhantes digitais» que muitas vezes não tinham o conhecimento técnico necessário para supervisionar de forma eficaz.
• 18 de julho de 2025: Após o relatório, a Microsoft afirmou que deixou de utilizar engenheiros baseados na China para os sistemas em nuvem do Departamento de Defesa (DoD).
• 18 a 20 de julho de 2025: Vários meios de comunicação noticiaram a mudança e a atividade de revisão federal.
• 1 de agosto de 2025: A ProPublica relacionou a prática ao SharePoint, observando o envolvimento de engenheiros baseados na China num período de grande preocupação com a segurança.
• 25 de julho de 2025: A ProPublica também relatou o apoio da China a outros clientes federais (por exemplo, Departamento de Justiça, Tesouro), ressaltando que o anúncio do Departamento de Defesa não abrangia necessariamente todas as agências.
• Reação do setor: a análise da US Cloud resumiu a resposta federal e destacou o interesse em alternativas de terceiros sediadas nos EUA para cargas de trabalho confidenciais. US Cloud
• Sinais do mercado: comentários de líderes no LinkedIn amplificaram as preocupações e chamaram a atenção dos executivos para o ângulo do SharePoint.

Conclusão: a mudança específica da Microsoft para o Departamento de Defesa é notável, mas os clientes do setor público e comercial que não pertencem ao Departamento de Defesa não devem presumir proteções idênticas sem garantias por escrito.

Na raiz desta questão não estão apenas as pessoas e o local de onde prestam apoio. Trata-se também das leis a que esses especialistas em apoio estão sujeitos. Se o apoio for prestado a partir da China, o pessoal e as empresas estão sujeitos às leis chinesas de segurança nacional e inteligência. O artigo 7.º da Lei Nacional de Inteligência estabelece que as organizações e os cidadãos devem «apoiar, ajudar e cooperar» com o trabalho de inteligência. Especialistas jurídicos e analistas políticos observam que isso pode obrigar à prestação de assistência, incluindo o acesso a dados e sistemas.

Para um CISO, isso significa que o suporte transfronteiriço pode expandir a sua superfície de ataque e compulsão. A soberania dos dados é a prática de garantir que os seus dados (e artefactos sobre os seus dados) permaneçam sob a jurisdição e os controlos escolhidos por si, incluindo a camada de suporte.

• Setor público: a ProPublica documentou o apoio baseado na China que afetava o Departamento de Defesa (agora alterado), o Departamento de Justiça e o Tesouro, o que implica uma exposição além das cargas de trabalho de defesa.
• Setores regulamentados: serviços financeiros, saúde e infraestruturas críticas recorrem frequentemente ao suporte e muitas vezes transmitem diagnósticos que podem incluir material regulamentado ou secreto (por exemplo, PHI, registos de autenticação, segredos em dumps). Mesmo quando os dados de produção são segregados, os artefactos de suporte podem reintroduzir riscos.

O suporte seguro da Microsoft e o suporte inseguro da Microsoft podem parecer iguais, dependendo de quem está a prestar esse serviço. Os cenários a seguir não são arriscados se estiver a lidar com um suporte confiável, mas podem representar sérios riscos de segurança ao interagir com situações de suporte inseguro.

• Derramamento de tickets: os engenheiros solicitam «registos completos» ou capturas de ecrã; segredos infiltram-se em artefactos armazenados fora da sua região principal.
• Despejos de memória e rastreamentos: as capturas de memória podem incluir chaves API ou informações de identificação pessoal; onde são processadas e por quem?
• Sessões de administração remota: o acesso de emergência aumenta os privilégios; o conteúdo da sessão pode ser observado, gravado ou exigido pela legislação local.
• Revisões de hotfix/fonte: em escalações profundas, os fornecedores podem solicitar códigos ou configurações, aumentando a exposição de IP/segredos.

Essas são ocorrências rotineiras em ambientes complexos da Microsoft; em muitos casos, elas são necessárias para a resolução de problemas complicados de TI. No entanto, a diferença está na localização das pessoas que lidam com elas.

Existe uma maneira de contornar o suporte inseguro da Microsoft. O primeiro passo é abordar as suas preocupações de segurança com o seu fornecedor. Abaixo estão alguns tópicos para discutir com o seu ponto de contacto no fornecedor. Se eles não puderem responder às suas perguntas, talvez seja necessário escalar as suas preocupações ou começar a considerar soluções alternativas de suporte.

Se acredita que o suporte da Microsoft pode não ser tão seguro quanto pensava anteriormente, existem estratégias que pode utilizar para ajudar a sua equipa a garantir novamente a segurança do suporte da Microsoft.

A alteração da Microsoft exclusiva para o Departamento de Defesa é um começo, mas as agências e empresas não pertencentes ao Departamento de Defesa devem solicitar paridade por escrito ou termos mais rigorosos, especialmente quando estiver em jogo o sigilo legal ou PII/PHI. Relatórios indicam que o pessoal baseado na China também apoiou historicamente outros clientes federais; faça as perguntas incómodas e registre as respostas nos seus contratos.

A conformidade no suporte de TI é mais do que apenas SLAs e tempos de resposta. É também onde os seus assistentes estão, quais leis os vinculam e onde os seus artefactos estão. Alinhe o suporte com a soberania dos dados por design, insista na clareza jurisdicional e fortaleça o caminho do suporte com controlos técnicos e contratuais. Os factos que emergem em 2025 mostram o que está em jogo e o caminho a seguir.

Marque uma chamada com a US Cloud hoje mesmo para começar a investigar alternativas seguras de suporte da Microsoft, caso o seu Unified CSAM ou representantes não consigam fornecer respostas satisfatórias.