Seznamy 10 nejdůležitějších bodů

Zákazníci potřebují hotová pracovní řešení, která jsou ze své podstaty bezpečná a důvěryhodná. Abyste mohli zjistit úroveň zabezpečení a důvěryhodnosti cloudových kancelářských služeb a vybrat si jejich poskytovatele, který splňuje vaše očekávání v tomto směru, stanovili jsme zásadní kritéria zabezpečení a ochrany osobních údajů, podle kterých byste se měli při rozhodování řídit.

Tyto seznamy deseti nejdůležitějších bodů vám pomohou ušetřit čas a dojít k lepšímu rozhodnutí.

 
Zobrazit vše

1. Kdo vlastní data, která ve vaší službě ukládáme? Budete naše data používat k vytváření reklamních produktů?

Jako zákazník Office 365 jste vlastníkem dat vy a vy nad nimi máte kontrolu. My vaše data nepoužíváme k ničemu jinému než k poskytování služby, kterou jste si předplatili. Jako poskytovatel služby neprohledáváme vaše e-maily ani dokumenty pro reklamní účely. Další informace najdete v tématu Jak používáme vaše data v Centru zabezpečení Office 365.

2. Nabízíte ve vaší službě prvky řízení ochrany osobních údajů?

Prvky řízení ochrany osobních údajů jsou pro všechny zákazníky ve výchozím nastavení povolené a umožňujeme vám vypnout nebo zapnout funkce ovlivňující ochranu osobních údajů podle potřeb vaší organizace. Ve vaší smlouvě se v podmínkách zpracování dat zavazujeme k robustním opatřením ochrany osobních údajů a zabezpečení.

3. Můžeme zjistit, kde jsou naše data ve službě uložená?

Netajíme místo, kde jsou vaše data umístěná. Další informace najdete v tématu Kde jsou moje data v Centru zabezpečení Office 365.

4. Jak řešíte zabezpečení a jaké funkce zabezpečení nabízíte na ochranu vaší služby před externími útoky?

Zabezpečení je jedním z nejdůležitějších principů návrhu a funkcí Office 365. Zaměřujeme se na zabezpečení z hlediska hardwaru, softwaru, fyzického zabezpečení našich datových center, zásad, prvků řízení i ověřování nezávislými auditory.

Pokud jde o funkce zabezpečení, obecně existují dvě kategorie: 1) integrované zabezpečení a 2) zákaznické řídicí prvky. Integrované zabezpečení tvoří veškerá opatření, která Microsoft podniká v zájmu všech zákazníků Office 365 na ochranu vašich informací a k provozování vysoce dostupné služby. Zákaznické řídicí prvky jsou funkce, které vám umožňují přizpůsobit Office 365 podle konkrétních potřeb vaší organizace. Podrobnosti o obou typech funkcí zabezpečení najdete v tématu Zabezpečení v Centru zabezpečení Office 365.

5. Můžeme z vaší služby dostat svoje data?

U dat, která uložíte v Office 365, zůstáváte jejich vlastníkem a zůstanou vám všechna práva, nároky a oprávněné zájmy. Během vašeho předplatného a 90 dní po něm si z jakéhokoli důvodu a bez účasti Microsoftu můžete stáhnout kopii všech svých dat. Další informace najdete v tématu Jsou to vaše data v Centru zabezpečení Office 365.

6. Budete nás informovat, když se ve službě něco změní, a dáte nám vědět, když dojde k ohrožení našich dat?

Určitě vás budeme informovat, pokud dojde k důležitým změnám služby v oblasti zabezpečení, ochrany osobních údajů a dodržování předpisů. I pokud dojde k nepatřičnému přístupu k vašim datům, neprodleně vás budeme informovat.

7. Je způsob používání našich dat a přístupu k nim transparentní?

Rozhodně informujeme o důležitých aspektech ukládání dat, například o zeměpisné poloze místa, kde jsou vaše data uložená, kdo z Microsoftu k nim má přístup a co s těmito informacemi interně děláme. Další informace najdete v tématu Kdo má přístup k vašim datům v Centru zabezpečení Office 365.

Náš postoj k přístupu k datům:
Vždy vám umožníme přístup k vašim zákaznickým datům. Přístup k zákaznickým datům se přísně kontroluje a protokoluje. Microsoft i třetí strany provádějí namátkové audity s cílem doložit, že se data používají pouze k řádným obchodním účelům. Dobře víme, jak mimořádně důležitý je datový obsah našich zákazníků. Pokud někdo, jako třeba pracovníci Microsoftu, partneři nebo vaši vlastní správci, bude přistupovat k vašemu datovému obsahu ve službě, můžeme vás na požádání o tomto přístupu informovat.

8. Jaké jsou vaše závazky z hlediska zabezpečení a ochrany osobních údajů?

V zájmu Office 365 se snažíme podepsat s každým zákazníkem podmínky zpracování dat, smlouvu o obchodním partnerství podle zákona HIPAA a smluvní doložky EU. Kromě toho plníme požadavky dalších norem a předpisů, jako jsou ISO 27001, ISO 27018, FISMA a FedRAMP. Další informace najdete v tématu Nezávisle ověřeno v Centru zabezpečení Office 365.

9. Jak zajišťujete spolehlivost vaší služby?

Při návrhu i provozu využíváme osvědčené postupy, jako je redundance, odolnost proti chybám, distribuované služby, monitorování a další. Nedávno jsme začali publikovat čtvrtletní údaje o dostupnosti služby. Další informace najdete v tématu Transparentní operace v Centru zabezpečení Office 365.

10. Jaké jsou vaše závazky vzhledem k dostupnosti služby?

Nabízíme 99,9% dostupnost prostřednictvím smlouvy o úrovni služeb (SLA) obsahující finanční záruky. Pokud bude mít zákazník měsíční dostupnost nižší než 99,9 %, dostane kompenzaci ve formě kreditů na službu.

Další informace a příklady toho, jak Microsoft Office 365 zajišťuje zákazníkům dodržování výše uvedených závazků, najdete v Centru zabezpečení Office 365.

1. Implementovali jsme víceúrovňové fyzické zabezpečení přístupu (biometrické čtečky, pohybové senzory, nepřetržitý zabezpečený přístup, kamerový dozor a poplašné systémy), aby do fyzických datových center měli přístup jen oprávnění zaměstnanci.

2. Umožňujeme šifrování jak uložených dat, tak dat přenášených v síti mezi datovým centrem a uživatelem.

3. Nevyužíváme ani nevytěžujeme vaše data k reklamním účelům.

4. Zákaznická data používáme výhradně k poskytování služby, do vaší poštovní schránky se bez vašeho svolení jinak nedíváme.

5. Vaše data pravidelně zálohujeme.

6. Po ukončení služby nevymažeme všechna data ve vašem účtu, dokud nebudete mít čas využít nabízené možnosti přesunutí dat.

7. Vaše zákaznická data hostujeme ve vaší oblasti.

8. Vyžadováním složitých hesel zvyšujeme zabezpečení vašich dat.

9. Umožňujeme vám vypnout nebo zapnout funkce ovlivňující ochranu osobních údajů podle vašich potřeb.

10. Ve vaší multilicenční smlouvě se v podmínkách zpracování dat zavazujeme ke splnění zde uvedených slibů. Další informace najdete v tématu Nezávisle ověřeno v Centru zabezpečení Office 365.

1. Zákon o odpovědnosti za přenos údajů o zdravotním pojištění (HIPAA):

Zákon HIPAA stanoví požadavky na zabezpečení, ochranu osobních údajů a hlášení těchto údajů našich zákazníků, kteří mohou být „zahrnutými entitami“, s ohledem na zpracování elektronicky chráněných informací o zdravotním stavu. Microsoft vyvinul Office 365 tak, aby poskytoval fyzické, administrativní a technické pojistky přispívající ke splnění požadavků HIPAA ze strany našich zákazníků. Každému zákazníkovi nabízíme smlouvu o obchodním partnerství podle zákona HIPAA (BAA – Business Associate Agreement). Další informace o smlouvě HIPAA BAA najdete v článku HIPAA/HITECH – časté otázky (v angličtině).

2. Podmínky zpracování dat:

Prostřednictvím podmínek zpracování dat poskytujeme zákazníkům další smluvní zajištění týkající se způsobu, jakým Microsoft zpracovává a chrání data zákazníků. Svým souhlasem s těmito podmínkami se zavazujeme k více než 40 konkrétním bezpečnostním podmínkám shromážděným z předpisů z celého světa. Robustní závazky v našich podmínkách zpracování dat jsou zákazníkům standardně k dispozici.

3. Federální zákon o správě bezpečnosti informací (FISMA)

vyžaduje od amerických federálních úřadů vyvíjení, dokumentování a implementování řídicích prvků k zabezpečení jejich informací a informačních systémů. Program FedRAMP (Federal Risk and Authorization Program) je federální program pro správu rizik, který poskytuje standardizovaný přístup k posuzování a sledování bezpečnosti cloudových produktů a služeb. V článku FedRAMP/FISMA – časté otázky (v angličtině) najdete informace o tom, jak Office 365 dodržuje procesy zabezpečení a ochrany osobních údajů podle FedRAMP/FISMA.

4. Norma ISO 27001:

Norma ISO 27001:2013 je jedno z nejlepších dostupných měřítek zabezpečení na světě. Mnoho produktů v Office 365 bylo prověřeno a splňuje přísnou sadu fyzických, logických, procesních a správních řídicích prvků, které definuje norma ISO 27001:2013. Zahrnuje to také řídicí prvky ochrany osobních údajů z posledního auditu normy ISO 27018. Zahrnutí těchto nových řídicích prvků normy ISO 27018 do hodnocení ISO dále přispěje k potvrzení úrovně ochrany Office 365, kterou zákazníkům Office 365 poskytuje, aby chránil jejich data.

5. Smluvní doložky Evropské unie (EU):

Směrnice EU 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, klíčový zákonný nástroj Evropské unie pro ochranu osobních údajů a lidských práv, vyžaduje od našich zákazníků v EU schválení přenosu osobních dat mimo EU. Smluvní doložky EU představují v prostředích cloud computingu preferovanou metodu legitimizace přenosu osobních údajů mimo EU. Nabídka smluvních doložek EU zahrnuje zapojení a vytvoření řídicích prvků provozu a procesů, které jsou potřeba k tomu, aby bylo možné zajistit splnění náročných požadavků smluvních doložek EU. Poskytovateli cloudových služeb, který nesouhlasí s podpisem smluvních doložek EU, nemusí zákazník důvěřovat, že bude schopen dodržet požadavky směrnice Evropské unie o ochraně dat (95/46/ES) při přenosu osobních údajů z EU do jurisdikcí, které nezajišťují dostatečnou ochranu osobních údajů. V tématu Smluvní doložky EU – časté otázky je popsán přístup Microsoftu k regulačním požadavkům smluvních doložek EU.

6. Norma ISO 27018:

Microsoft je prvním významným poskytovatelem cloudových služeb, u kterého bylo nezávisle ověřeno, že splňuje normu ISO 27018. Tato norma stanoví jednotný mezinárodní přístup k ochraně osobních informací ukládaných v cloudu. To, že dodržujeme požadavky normy ISO 27018, znamená, že zpracováváme osobní informace jen v souladu s pokyny zákazníků, jsme transparentní z hlediska toho, co se s daty zákazníků děje, poskytujeme pro osobní informace v našem cloudu silné bezpečnostní prvky ochrany, zákaznická data nevyužíváme k reklamním účelům a informujeme zákazníky o přístupu orgánů státní správy k jejich datům.

7. Zákon FERPA (Family Educational Rights and Privacy Act):

Zákon FERPA stanoví požadavky pro vzdělávací organizace ve Spojených státech amerických týkající se použití a zpřístupnění vzdělávacích záznamů studentů včetně e-mailových zpráv a jejich příloh. Microsoft souhlasí s omezeními použití a zpřístupnění stanovenými zákonem FERPA, která omezují použití vzdělávacích záznamů studentů, a v souladu s nimi také nebude prohledávat e-mailové zprávy a dokumenty pro reklamní účely.

8. Standard SSAE 16 (Statement on Standards for Attestation Engagements No. 16):

Office 365 prošel auditem nezávislých třetích stran a může poskytnout hlášení SOC 1 Type I a Type II a SOC 2 Type II podle standardu SSAE16 týkající se implementace prvků řízení ochrany osobních údajů ve službě.

9. Zákon Gramm–Leach–Bliley Act (GLBA):

Zákon GLBA vyžaduje, aby finanční instituce zavedly procesy chránící neveřejné osobní informace svých klientů. Zákon GLBA prosazuje zásady pro ochranu informací před předvídatelnými riziky porušení zabezpečení a integrity dat. Zákazníci, kterých se zákon GLBA týká, mohou používat Office 365 a dodržovat požadavky zákona GLBA.

10. HITRUST (Health Information Trust Alliance):

Tým Office 365 ve spolupráci s nezávislým poradcem vytvořil hodnocení, které posuzuje náš soulad s požadavky HITRUST. HITRUST považují zdravotnické organizace ve Spojených státech za důležitý standard. Společnost HITRUST vytvořila strukturu CSF (Common Security Framework) – certifikovatelný systém, který mohou využít všechny organizace, jež vytvářejí, používají, uchovávají nebo přenášejí osobní zdravotní a finanční informace.

Další informace o dodržování předpisů v Office 365 najdete v našem dokumentu Systém dodržování oborových standardů a předpisů (v angličtině).