Trace Id is missing
Siirry pääsisältöön
Microsoft 365
Kirjaudu sisään

Valvontakeskus: Office 365:n ja Microsoft Dynamics CRM Onlinen tietoturva-, tietosuoja- ja vaatimustenmukaisuustiedot

Vaatimustenmukaisuus

Onko Microsoft sitoutunut avoimuuteen ja auttamaan asiakkaita säännösten noudattamisessa?

Kyllä. Office 365- ja Microsoft Dynamics CRM Online -asiakkaita sitovat eri puolilla maailmaa monet erilaiset lait ja asetukset. Jonkin tietyn maan tai alan lainmukaiset vaatimukset saattavat olla ristiriidassa jossain toisessa maassa tai toisella alalla sovellettavien vaatimusten kanssa. Koska olemme maailmanlaajuinen pilvipalveluntarjoaja, meidän on tarjottava palveluita, joissa on tietyt johdonmukaiset käytännöt eri asiakkaille ja eri lainkäyttöalueilla. Jotta voimme auttaa asiakkaitamme noudattamaan heitä koskevia vaatimuksia, olemme laatineet palvelumme ottamalla huomioon yleiset tietosuojaa ja -turvaa koskevat vaatimukset, ja sisäänrakennetut ominaisuutemme auttavat monien erilaisten säädösten ja tietosuojavaatimusten noudattamisessa.

Viime kädessä asiakkaillamme on kuitenkin itsellään vastuu arvioida se, täyttävätkö palvelumme heidän vaatimuksensa sovellettavien lakien ja säädösten suhteen. Pyrimme tarjoamaan asiakkaille tarkat tiedot pilvipalveluistamme, jotta he voivat arvioida, täyttävätkö ne heidän vaatimuksensa ja heille asetetut vaatimukset.

Saat lisätietoja sertifioinneista, joista saattaa olla apua vaatimustenmukaisuuden arvioinnissa, Suojaus sekä auditoinnit ja sertifioinnit-osiosta.

Ovatko Office 365 ja Microsoft Dynamics CRM Online minua sitovien säädösten vaatimusten mukaisia?

Sinua sitovien säädösten vaatimusten noudattaminen on omalla vastuullasi. Tarjoamme sinulle tietoja, jotka auttavat sinua tässä asiassa.

Olemme sitoutuneet noudattamaan IT-palveluntarjoajiin yleisesti sovellettavia tietoturva- ja tietosuojalakeja. Jos sinulla on muita erityisiä vaatimuksia alasta tai lainkäyttöalueesta johtuen, sinun on itse arvioitava, täyttävätkö palvelut nämä vaatimukset. Useiden eri alojen ja lainkäyttöalueiden asiakkaat ovat kuitenkin huomanneet, että he voivat käyttää Office 365- ja Microsoft Dynamics CRM Online -palveluita kaikkien soveltuvien vaatimusten mukaisesti, kunhan he vain hyödyntävät palveluita olosuhteiden mukaisesti.

EU:n tietosuojadirektiivin piiriin kuuluvilla organisaatioilla on esimerkiksi oltava omat käytäntönsä, suojauksensa ja koulutusohjelmansa, joilla he varmistavat, että niiden henkilöstö ei käytä Office 365- tai Microsoft Dynamics CRM Online -palveluita direktiiviä rikkovalla tavalla. Office 365 ja Microsoft Dynamics CRM Online hoitavat oman osansa noudattamalla sopimiamme sopimusvelvoitteita ja auttamalla sinua tällä tavoin vaatimusten noudattamisessa.

Esimerkiksi Euroopan unionin alueella toimivat asiakkaat voivat tallentaa asiakasluettelon, joka sisältää yhteystiedot. Office 365- ja Microsoft Dynamics CRM Online -palveluissakäytetäänturvatoimia, joiden avulla varmistetaan, että Microsoftin henkilöstö ei käytä tai paljasta näitä tietoja asiaankuulumattomalla tavalla. Asiakkaan työntekijä, joka on myös Microsoft Exchange Online -käyttäjä, voi kuitenkin käyttää palvelua lähettääkseen tämän luettelon mainostajalle ilman asianmukaista lupaa. Mikä tahansa tästä aiheutuva EU:n tietosuojavaatimusten rikkomus, joka liittyy siihen, että Office 365- tai Microsoft Dynamics CRM Online -palvelu on toiminut asiakkaan ohjeiden mukaisesti – eli lähettänyt sähköpostin osana palveluiden normaalia tarjoamista – on asiakkaan omalla vastuulla.

Jos sijaintini on Eurooppa, voinko käyttää laillisesti Office 365- ja Microsoft Dynamics CRM Online -palveluja?

EU:n tietosuojadirektiivin ja sopimustemme nojalla Office 365- ja Microsoft Dynamics CRM Online -palvelut toimivat tietojesi niin sanottuna uskottuna miehenä, eli käytännössä tietynlaisena alihankkijana (lainsäädännössä olemme "tiedonkäsittelijöitä").

Olet asiakkaana tietojesi omistaja ja laillisena velvollisuutenasi on varmistaa, että noudatamme sääntöjä ja että voit lähettää meille laillisesti henkilötietoja (lainsäädännössä olet "tiedon hallinnoija"). Sinun on määriteltävä liiketoimintasi tilanteen mukaisesti, voitko käyttää palvelujamme henkilötietojesi käsittelemiseen ja tallentamiseen.

EU:n tietosuojadirektiivin vaatimukset on huomioitu palveluidemme suunnittelussa ja normaalissa käytössä. Pidämme direktiivin vaatimuksia erityisesti silmällä palveluiden kehittyessä ja muuttuessa.

Microsoft on myös hankkinut Yhdysvaltain ja EU:n välisen Safe Harbor -ohjelman ja lähes identtisen Yhdysvaltain ja Sveitsin välisen Safe Harbor -ohjelman sertifioinnin Yhdysvaltain kauppaministeriön ja EU:n ja Sveitsin hyväksymän mukaisesti. Tämän seurauksena meidän on noudatettava EU:n tietosuojadirektiivin vaatimuksia ja voimme siirtää tietoja laillisesti EU:n ulkopuolelle Office 365- ja Microsoft Dynamics CRM Online -palvelujen tarjoamista varten. Microsoftin Safe Harbor -sertifiointi löytyy osoitteesta http://safeharbor.export.gov/. Ymmärrämme, että osa asiakkaista tarvitsee vahvemmat takeet kuin mitä Safe Harbor -sertifioinnin hankinta voi tarjota, minkä vuoksi voimme allekirjoittaa EU:n mallilausekkeet (tunnetaan myös "mallisopimuslausekkeina") kaikkien asiakkaidemme kanssa. Jos haluat lisätietoja tietojen siirtämisestä EU:n ulkopuolelle, tutustu valvontakeskuksen tietokarttoja käsittelevään osioon.

Joissain maissa noudatamme myös arkaluontoisten henkilökohtaisten tietojen tallentamista koskevia suojausvaatimuksia, kuten laki vaatii. Jos sinulla on huolenaiheita tähän liittyen ja oman maasi lainsäädännön tai tallennettavan tietotyypin suhteen tai jos haluat lisätietoja Office 365- tai Microsoft Dynamics CRM Online- -palveluiden käytännöistä ja tuetuista ominaisuuksista, voit ottaa yhteyttä tukeen, jos et löydä tarvitsemiasi tietoja palvelun dokumentaatiosta. Mikäli hyödyllisten tietojen paljastaminen ei heikennä tietoturvaamme ja suojaustamme, luovutamme tarvittavat tiedot, jotta voit itse määrittää, täyttävätkö Office 365- tai Microsoft Dynamics CRM Online -palvelut sinulle asetetut vaatimukset.

Tutustu yllä oleviin usein kysyttyihin kysymyksiin. Sinun on syytä muistaa se, että vaikka Office 365- Microsoft Dynamics CRM Online -palvelut antavat organisaatiollesi mahdollisuuden toimia tietosuojalainsäädännön mukaisesti, tämä ei tarkoita sitä, että organisaatiosi olisi automaattisesti vaatimusten mukainen. Sinun on ehkä suoritettava muitakin toimenpiteitä, esimerkiksi otettava käyttöön tarvittavat käytännöt yrityksessäsi sekä koulutettava työntekijät noudattamaan niitä. Maasta riippuen sinun on ehkä ryhdyttävä myös muihin toimenpiteisiin varmistaaksesi paikallisten vaatimusten täyttämisen (esimerkiksi annettava tiedot paikalliselle tietosuojaviranomaiselle).

Rekisteröidäänkö Office 365- tai Microsoft Dynamics CRM Online -palvelussa käsitellyt tiedot EU:n viranomaisille?

Ei. Tiedonkäsittelijöinä toimivat Office 365 tai Microsoft Dynamics CRM Online eivät rekisteröi asiakkaidemme puolesta käsittelemiämme asiakkaiden tietoja EU:n viranomaisille.

Ovatko Office 365- ja Microsoft Dynamics CRM Online -palvelut Health Insurance Portability and Accountability Act (HIPAA) -lain vaatimusten mukaisia? Allekirjoittaako Microsoft HIPAA-liikekumppanisopimuksen (BAA)?

Autamme asiakkaitamme noudattamaan HIPAA-lain vaatimuksia ja voimme allekirjoittaa HIPAA BAA -sopimuksen kaikkien asiakkaidemme kanssa. Saat lisätietoja HIPAA- ja HITECH-vaatimusten usein kysytyistä kysymyksistä.

Ovatko Office 365- ja Microsoft Dynamics CRM Online -palvelut Gramm Leach Bliley Act (GLBA) -lain vaatimusten mukaisia?

Office 365- ja Microsoft Dynamics CRM Online -palvelut auttavat asiakkaita noudattamaan GLBA-lain suojausvaatimuksia tarjoamalla teknisiä ja organisatorisia suojausmenetelmiä. Näillä menetelmillä asiakkaat voivat taata tietoturvan ja estää luvattoman käytön

Microsoft voi toimittaa erillisestä pyynnöstä yhteenvetoraportin itsenäisen tarkastajan suorittamasta ulkopuolisesta sertifioinnista.

Ovatko Office 365- ja Microsoft Dynamics CRM Online -palvelut PCI DSS -yhteensopivia (Payment Card Industry Data Security Standard, maksukorttialan suojausstandardi)? Voinko isännöidä luottokorttitietoja palvelussa?

Microsoft Online Services -palvelut eivät tue PCI:n piiriin kuuluvien tietojen – esimerkiksi luottokorttinumeroiden – käsittelyä, lähettämistä tai tallentamista.

PCI-standardia ei sovelleta Office 365- tai Microsoft Dynamics CRM Online -palveluihin, koska ne eivät tarjoa luottokorttien käsittelypalveluita tai luottokorttitietojen tallennuspalveluita. Office 365- ja Microsoft Dynamics CRM Online -palveluissa käytetään soveltuvia suojausmenetelmiä ja -toimintoja, jotka on määritetty alan parhaissa käytännöissä, esimerkiksi ISO 27001 -standardissa ja muissa vastaavissa.

Ota kuitenkin huomioon se, että ne Office 365- ja Microsoft Dynamics CRM Online -palveluiden tilaus-, laskutus- ja maksujärjestelmät, jotka käsittelevät luottokorttitietoja, ovat PCI-vaatimusten ensimmäisen tason mukaisia. Asiakkaat voivat maksaa palveluista luottokortilla turvallisesti.

Onko Office 365 -palvelu FERPA-vaatimusten mukainen?

Koska oppilaitosten on noudatettava monia FERPA-vaatimuksia, Microsoft on määritellyt tärkeimmät Office 365 -palveluun tallennettavien koulutustietojen käsittelyä ja paljastamista koskevat sopimusehdot siten, että oppilaitokset voivat käyttää Office 365 -palvelua osana laajempaa FERPA-vaatimusten noudattamiseen liittyvää strategiaa.

FERPA edellyttää, että kaikkien Yhdysvaltain opetusministeriöltä rahoitusta saavien koulutus- ja oppilaitosten on taattava opiskelijoiden tietosuojaa koskevat oikeudet suojelemalla "koulutustiedot" niiden luvattomalta käytöltä tai paljastumiselta. Opetusministeriön ohjeissa tehdään selväksi, että sähköpostiviestit luokitellaan koulutustiedoiksi, joihin sovelletaan FERPA-vaatimuksia, ja että sähköpostipalvelun tarjoajia koskevat samat sähköpostiviestien ja asiakirjojen sisältämien tietojen käyttöä ja paljastamista säätelevät rajoitukset. 

FERPA edellyttää, että pilvipalvelun tarjoaja hyväksyy, että laitoksen, henkilöstön ja opiskelijoiden sähköpostiviesteihin sisältyviä "koulutustietoja" käytetään ainoastaan rajoitetusti pilvipalvelun tarjoamista varten ja että tällaisia tietoja ei skannata tai käytetä mainonnan kaltaisten kaupallisten toimintojen harjoittamisessa tai tukena. Microsoft tarjoaa oppilaitoksille mahdollisuuden täyttää FERPA-vaatimukset hyväksymällä Microsoftin luokittelemisen FERPA-vaatimusten alaiseksi "kouluvirkailijaksi", jolla on oppilaitoksen tietoihin liittyviä "perusteltuja koulutuksellisia intressejä", ja suostumalla noudattamaan FERPA-vaatimuksissa määrättyjä kouluvirkailijoita koskevia rajoituksia ja ehtoja sekä olemaan skannaamatta oppilaitoksen sähköpostiviestejä tai asiakirjoja mainontaan liittyviä tarkoituksia varten.