Legfontosabb tízek listái

Tudjuk, hogy ügyfeleinknek olyan kész hatékonyságnövelő megoldásra van szükségük, amely eleve biztonságos és megbízható. Szeretnénk segíteni Önnek abban, hogy felmérje a felhőalapú üzleti szolgáltatások biztonságát és megbízhatóságát, és így ki tudja választani a biztonsági elvárásainak megfelelő szolgáltatót. Ennek érdekében összeállítottuk azokat a legfontosabb adatvédelmi és biztonsági tényezőket, amelyek alapján célszerű meghoznia a döntését.

Az alábbi három legfontosabb tízes lista segítségével időt takaríthat meg, és megalapozott döntést hozhat.

 

Teljes tartalom

1. Kinek a tulajdonát képezik a szolgáltatásban tárolt adatok? Használni fogják az adatainkat reklámtermékek előállítására?
Az Office 365 előfizetőjeként Öné marad az adatai feletti ellenőrzési és tulajdonjog. Adatait kizárólag arra használjuk, hogy biztosítsuk Önnek a szolgáltatásokat, amelyekre előfizetett. Szolgáltatóként sem az e-mailjeit, sem a dokumentumait nem vizsgáljuk át hirdetési célokból. További információért keresse fel az Office 365 Adatvédelmi központ Adatai használata lapját.

2. Találhatók adatvédelmi beállítások a szolgáltatásban?
Összes ügyfelünknek engedélyezzük az adatvédelmi beállításokat, és lehetővé tesszük Önnek, hogy szervezete igényei szerint ki- vagy bekapcsolja azokat a szolgáltatásokat, amelyeknek adatvédelmi vonatkozása lehet. Szerződésünk adatfeldolgozási feltételeiben jogilag is kötelezzük magunkat a szigorú adatvédelmi és biztonsági intézkedések betartására.

3. Átlátható, hogy pontosan hol tárolják adatainkat a szolgáltatásban?
Nálunk teljesen átlátható az adatok pontos tárolási helye. További információért keresse fel az Office 365 Adatvédelmi központ Hol vannak az adatok? lapját.

4. Hogyan viszonyulnak a biztonsághoz, és milyen biztonsági funkciókkal garantálják a szolgáltatás külső támadással szembeni védelmét?
A biztonság az Office 365 egyik legfontosabb tervezési alapelve és szolgáltatása. Kiterjed a hardverre, a szoftverre, adatközpontjaink fizikai biztonságára, a házirendekre és az elérhető beállításokra. Rendszerünket emellett független ellenőrök is értékelik.

A biztonsági funkcióknak alapvetően két típusát különböztetjük meg: 1) beépített biztonság és 2) ügyfél általi beállítási lehetőségek. A beépített biztonság minden olyan intézkedést tartalmaz, amelyekkel a Microsoft az Office 365-ügyfelek érdekében igyekszik másoktól megóvni, illetve az ügyfelek számára folyamatosan elérhetővé tenni az adataikat. Az ügyfél általi beállítási lehetőségek azok a szolgáltatások, amelyekkel szervezete speciális igényeinek megfelelően testre szabhatja az Office 365-öt. Mindkét típusú biztonsági szolgáltatásról olvashat az Office 365 Adatvédelmi központ biztonságról szóló részén.

5. Visszanyerhetjük adatainkat a szolgáltatásból?
Az Office 365-ben tárolt adatai felett megtartja minden jogát, jogcímét és érdekeltségét. Az előfizetés során és utána 90 napig bármikor és bármilyen célból letöltheti összes adata másolatát a Microsoft segítsége nélkül. További információért keresse fel az Office 365 Adatvédelmi központ Az Ön adatai lapját.

6. Tájékoztatnak bennünket, ha a szolgáltatásban változik valami, és értesítenek, ha sérül az adataink biztonsága?
Tájékoztatjuk a szolgáltatásban beálló lényeges, például biztonságot, adatvédelmet vagy megfelelőséget érintő változásokról. Emellett arról is haladéktalanul értesítjük, ha szabálytalan hozzáférés történik az adataihoz.

7. Milyen átláthatóságot biztosítanak az adatainkhoz való hozzáféréssel és az adatok használatával kapcsolatban?
Megosztjuk Önnel az adatok tárolásának lényeges részleteit, például a tárolási helyét, hogy mely Microsoft-alkalmazottak tudnak hozzáférni, és hogy a cégünkön belül mi történik az adataival. További információért tekintse át az Office 365 Adatvédelmi központ Ki tud hozzáférni az adatokhoz? című részét.

Az adathozzáféréssel kapcsolatos elveink a következők:
Nálunk mindig hozzáférhet az adataihoz. Szigorúan szabályozzuk és naplózzuk az ügyféladatokhoz való hozzáférést, és úgy a Microsoft által, mint külső felek bevonásával próbaszerűen végzett ellenőrzésekkel biztosítjuk, hogy kizárólag a megfelelő üzleti célból történjen hozzáférés. Tudatában vagyunk annak, hogy ügyfeleinknek különösen fontos az adataik biztonsága. Ha a Microsoft valamelyik alkalmazottja vagy partnere, illetve akár az Ön saját rendszergazdáinak egyike hozzáfér a szolgáltatásban tárolt adataihoz, akkor annak nyoma marad, és kérésre elküldjük Önnek a hozzáférésről szóló jelentést.

8. Milyen biztonsági és adatvédelmi kötelezettségeket vállalnak?
Az Office 365 minden előfizetőjével készségesen aláírunk egy adatfeldolgozási szerződést, egy HIPAA üzlettársi szerződést, illetve az Európai Uniós mintazáradékokat. Emellett megfelelünk például az ISO 27001, az ISO 27018, a FISMA és a FedRAMP szabványnak is. További információért tekintse át az Office 365 Adatvédelmi központ Független szervezet által ellenőrizve lapját.

9. Hogyan biztosítják a szolgáltatás megbízhatóságát?
A tervezés és működtetés terén elérhető legjobb ipari gyakorlatokat alkalmazzuk, rendszereinkre így jellemző többek között a redundancia, a tűrőképesség, az elosztott szolgáltatások és a felügyelet. Nemrég megkezdtük a szolgáltatás negyedéves rendelkezési állási adatainak közzétételét is. További információért tekintse át az Office 365 Adatvédelmi központ Átlátható működés lapját.

10. Milyen rendelkezésre állási garanciát vállalnak a szolgáltatásra?
Szolgáltatásiszint-szerződés által pénzügyileg is garantált 99,9%-os rendelkezésre állást biztosítunk. Ha egy ügyfelünk azt tapasztalja, hogy a szolgáltatása havi rendelkezésre állása nem éri el a 99,9%-ot, akkor szolgáltatáskreditekkel kompenzáljuk.

Ha további információkra és adatokra is kíváncsi azzal kapcsolatban, hogy a Microsoft Office 365 miként teljesíti a fenti kérdésekben megfogalmazott igényeket, keresse fel az Office 365 Adatvédelmi központot.

1. Adatközpontjainkhoz fizikailag csak az arra jogosult munkatársaink férhetnek hozzá, és többszintű fizikai biztonsági rendszert dolgoztunk ki, amelynek részei a biometrikus olvasók, a mozgásérzékelők, a 24 órás biztonsági hozzáférés, a videokamerás megfigyelés és a riasztórendszer.

2. Titkosítást alkalmazunk úgy az adatok tárolása, mint az adatközpont és a felhasználó közötti hálózati átvitele során is.

3. Nem végzünk adatbányászatot, és nem férünk hozzá az adataihoz hirdetési célból.

4. Az ügyféladatokat kizárólag a szolgáltatás nyújtásához használjuk fel; más célból nem férünk hozzá a postaládájához az engedélye nélkül.

5. Adatairól rendszeresen biztonsági másolatot készítünk.

6. Az előfizetése lejártakor nem töröljük a fiókjában lévő adatokat, hanem megvárjuk, hogy átvigye azokat az általunk biztosított adattovábbítási eszközökkel.

7. Ügyféladatait a régióján belül tároljuk.

8. Megköveteljük az erős jelszavak használatát, hogy ezzel is növeljük adatai biztonságát.

9. Lehetővé tesszük, hogy igényei szerint ki- vagy bekapcsolja az adatvédelmet érintő szolgáltatásokat.

10. Az itt ismertetett ígéreteket jogilag is vállaljuk a mennyiségi licencszerződés adatfeldolgozási feltételei között. További információért tekintse át a Független szervezet által ellenőrizve lapot.

1. Health Insurance Portability and Accountability Act (HIPAA, az egészségügyi biztosítás hordozhatóságáról és elszámolási kötelezettségéről szóló határozat): A HIPAA a jogszabály hatálya alá eső ügyfeleinkre biztonsági, adatvédelmi és adatjelentési kötelezettségeket róhat a védett elektronikus egészségügyi adatok feldolgozásával kapcsolatban. A Microsoft az Office 365-öt olyan módon fejlesztette, hogy az a fizikai, felügyeleti és műszaki jellegű biztonsági funkciók által megkönnyítse ügyfeleinknek a HIPAA határozatnak való megfelelést. Minden ügyfelünknek HIPAA üzlettársi szerződést (BAA) kínálunk. A HIPAA BAA üzlettársi szerződésről a HIPAA/HITECH gyakori kérdéseit tartalmazó lapunkon (angol nyelven) talál további információt.

2. Adatfeldolgozási feltételek: Adatfeldolgozási feltételek formájában további szerződéses garanciát nyújtunk ügyfeleinknek arra, hogy a Microsoft megvédi és biztonságosan kezeli az adataikat. E feltételek elfogadásával több mint 40 konkrét biztonsági kötelezettséget vállalunk, a világszerte létező szabályozásokból merítve. Az adatfeldolgozási feltételekben szereplő szigorú kötelezettségvállalások minden ügyfelünk számára alapértelmezés szerint elérhetők.

3. A Federal Information Security Management Act (FISMA, Szövetségi információbiztonsági törvény) az Amerikai Egyesült Államok szövetségi intézményeit az információbiztonsági szabályozás fejlesztésére, dokumentálására és implementálására kötelezi. A Szövetségi kockázat- és jogosultságkezelési program (FedRAMP) egy szövetségi kockázatkezelési program, amely szabványos megközelítést nyújt a felhőtermékek és felhőszolgáltatások biztonságának felmérésére és figyelésére. A FedRAMP/FISMA – gyakori kérdések (angol nyelvű) lapon megtudhatja, hogy az Office 365 szolgáltatás miként követi a FedRAMP/FISMA törvényhez/programhoz kapcsolódó biztonsági és adatvédelmi folyamatokat.

4. ISO 27001: Az ISO 27001 szabvány a világ egyik legfejlettebb adatbiztonsági szabványa. Az Office 365-ben számos termék igazoltan megfelel az ISO 27001:2013 szabvány szigorú követelményeinek, amelyekkel a fizikai, a logikai, illetve a folyamatokat és a kezelést érintő rendszabályokat meghatározza. Ez vonatkozik az ISO 27018 szabványú adatvédelmi rendszabályokra is a legújabb auditban. Azzal, hogy az ISO 27018-as rendszabályok bekerültek az ISO-felmérésbe, az Office 365 még megalapozottabban igazolhatja, hogy milyen magas szinten gondoskodik az ügyféladatok védelméről.

5. Európai uniós mintazáradékok: Az EU adatvédelmi irányelve az Európai Unió adatvédelemmel és emberi jogokkal foglalkozó szabályozásának egyik fő eleme, amely meghatározza, hogy az Európai Unióban található ügyfeleink személyes adatait miképpen lehet törvényesen az EU-n kívülre továbbítani. Ez a szabályozás törvényesíti legjobban a személyes adatoknak az EU-n kívülre való, felhőalapú informatikai környezetekben megvalósuló továbbítását. Az EU-s mintazáradékoknak való megfeleléshez ki kellett dolgoznunk a szabályozás által előírt működési paramétereket és folyamatokat. Ha egy felhőszolgáltató nem írja alá az EU-s mintazáradékokat, az ügyfelek joggal kételkedhetnek abban, hogy a szolgáltatás megfelel-e az EU adatvédelmi irányelvében megfogalmazott követelményeknek, amelyek a személyes adatok EU-n belülről más, „megfelelő adatvédelmet nem nyújtó” joghatóság alá való továbbítását szabályozzák. Az Európai uniós mintazáradékok: gyakori kérdések lapon részletesebben is megismerheti a Microsoft EU-s mintazáradékokra vonatkozó megközelítését.

6. ISO 27018: A Microsoft az első fontos felhőszolgáltató, amelyet független szervezet ellenőrzött, és megfelelt az ISO 27018 szabványnak, amely egységes, nemzetközi megközelítést alkalmaz a felhőben tárolt bizalmas információk adatvédelméhez. Az ISO 27018 szabványnak való megfelelőségünk azt jelenti, hogy csak ügyfeleink utasításainak megfelelően dolgozzuk fel a bizalmas adatokat, átlátható, hogy mi történik az ügyféladatokkal, erős biztonsági védelemmel látjuk el a felhőben tárolt bizalmas információkat, az ügyféladatokat nem használjuk fel reklámcélokból, és az ügyfeleket értesítjük, ha adataikhoz hivatalos célból hozzáfértek.

7. Family Educational Rights and Privacy Act (FERPA, Családi oktatási jogok és személyes adatok védelmére vonatkozó törvény): A FERPA követelményeket támaszt az amerikai egyesült államokbeli oktatási szervezetekkel szemben a diákok oktatási rekordjainak (többek között az e-mailek és mellékletek) használatát vagy kizárását tekintve. A Microsoft elfogadja a FERPA által előírt használati és kizárási megszorításokat, amelyek korlátozzák a diákok oktatási rekordjainak a használatában, beleértve, hogy hirdetési célokból nem olvassa el az e-maileket és a dokumentumokat.

8. SSAE 16 auditálási szabvány: Az Office 365-öt független külső felek auditálják, és ügyfeleink részére I-es és II-es típusú SSAE16 SOC 1, illetve II-es típusú SOC 2 jelentést tudunk nyújtani arról, hogy a szolgáltatás miként implementálja az előírásokat.

9. Gramm–Leach–Bliley Act (GLBA): A GLBA a pénzügyi intézeteket arra kötelezi, hogy bizonyos folyamatokkal biztosítsák ügyfeleik bizalmas információinak védelmét. A GLBA gyakorlatokat ír elő az információk előre látható biztonsági és adatvédelmi kockázatokkal szembeni védelmére. Az Office 365-öt a GLBA hatálya alá eső ügyfeleink is használhatják, anélkül hogy az veszélyeztetné a GLBA-megfelelőségüket.

10. Health Information Trust Alliance (HITRUST, Egészségügyi Információmegbízhatósági Szövetség): Az Office 365 csapata egy független ellenőrrel együttműködve értékelést végzett a HITRUST-nak való megfelelőségünkre vonatkozóan. Az egyesült államokbeli egészségügyi szervezetek által fontos szabványnak tekintett HITRUST létrehozta a Common Security Framework (CSF, általános biztonsági keretrendszer) nevű tanúsítható keretrendszert, amelyet bármely bizalmas egészségügyi és pénzügyi adatokat létrehozó, azokhoz hozzáférő, illetve azokat tároló vagy átadó szervezet használhat.

Az Office 365 megfelelőségével kapcsolatos információkért tanulmányozza az iparági szabványokhoz és szabályozásokhoz készült megfelelőségi keretrendszert ismertető dokumentumot.