Списки из 10 важных пунктов

Клиентам требуется готовое к использованию решение для эффективной работы, которое по определению должно быть безопасным и надежным. Чтобы помочь вам сделать выводы о безопасности и надежности тех или иных облачных служб и выбрать поставщика, соответствующего вашим ожиданиям, мы выделили ключевые факторы, проанализировав которые, вы сможете принять обоснованное решение.

Воспользуйтесь этими тремя списками, каждый из которых содержит 10 наиболее важных пунктов, чтобы сэкономить время и сделать правильный выбор.

 
Показать все

1. Кто является владельцем данных, которые мы храним в вашей службе? Будете ли вы использовать наши данные для создания рекламных продуктов?

Как клиент Office 365 вы являетесь владельцем своих данных и полностью контролируете их. Майкрософт не использует ваши сведения для каких-либо целей, кроме предоставления услуг, на которые вы подписаны. Как поставщик услуг мы не проверяем электронную почту и документы клиентов в рекламных целях. Дополнительные сведения см. в центре управления безопасностью Office 365 на странице Использование ваших данных корпорацией Майкрософт.

2. Предусмотрены ли в службе инструменты управления конфиденциальностью?

Инструменты управления конфиденциальностью по умолчанию активированы для всех клиентов службы, и у вас будет возможность включать и отключать функции, влияющие на конфиденциальность, в соответствии с потребностями организации. Мы соблюдаем серьезные обязательства в отношении конфиденциальности и безопасности, предусмотренные в соглашении об обработке данных с клиентом.

3. Есть ли у нас возможность узнать, где именно хранятся наши данные в службе?

Сведения о том, где находятся ваши данные, полностью открыты. Дополнительную информацию см. в центре управления безопасностью Office 365 на странице Где находятся мои данные.

4. Каков ваш подход к обеспечению безопасности, и какие функции безопасности вы предлагаете для защиты службы от внешних атак?

Безопасность — один из важнейших принципов, лежащих в основе разработки Office 365, и одна из ключевых характеристик службы. Мы уделяем большое внимание безопасности оборудования и программного обеспечения, физической защите наших центров данных, политикам и инструментам управления, а также проверкам силами независимых аудиторов.

Предлагаемые нами функции безопасности можно разделить на две большие категории: 1) встроенные средства безопасности; 2) пользовательские инструменты для управления защитой. К встроенным средствам безопасности относятся все меры, которые принимает корпорация Майкрософт от имени всех клиентов Office 365 для защиты их информации и обеспечения максимальной доступности службы. Пользовательские инструменты — это функции, с помощью которых вы можете настроить Office 365 в соответствии с конкретными потребностями своей организации. Подробные сведения о функциях безопасности обеих категорий можно найти в разделе "Безопасность" центра управления безопасностью Office 365.

5. Можем ли мы удалить наши данные из службы?

Вы являетесь владельцем своих данных и сохраняете все права, в том числе право владения, пользования и распоряжения, на информацию, которую храните в Office 365. В течение срока действия своей подписки, а также 90 дней после его завершения вы можете скачать копию всех своих данных в любой момент и по любой причине, не прибегая к помощи корпорации Майкрософт. Дополнительные сведения см. в центре управления безопасностью Office 365 на странице Это ваши данные.

6. Будете ли вы информировать нас об изменениях в работе службы, и получим ли мы уведомление в случае нарушения конфиденциальности данных?

Мы сообщаем клиентам обо всех важных изменениях в работе службы, касающихся безопасности, конфиденциальности и соответствия требованиям. Мы также незамедлительно уведомим вас, если будет обнаружена попытка несанкционированного доступа к вашим данным.

7. Доступны ли сведения о том, каким образом вы используете наши данные и как осуществляется доступ к ним?

Мы предоставляем информацию о важных аспектах хранения данных, например о том, в каком географическом регионе они хранятся, у кого из сотрудников корпорации Майкрософт есть доступ к ним и каким образом мы осуществляем их внутреннюю обработку. Дополнительные сведения см. в центре управления безопасностью Office 365 в разделе Кто может получить доступ к данным.

По вопросу доступа к вашим данным мы придерживаемся описанных ниже принципов.
Мы всегда предоставляем клиентам доступ к их собственным данным. Доступ к информации клиентов находится под строгим контролем и регистрируется в журнале, а корпорация Майкрософт и третьи лица проводят выборочные проверки, чтобы удостовериться в том, что доступ осуществляется только для достижения соответствующих бизнес-целей. Мы понимаем, что данные наших клиентов исключительно важны. По вашему запросу мы можем предоставить отчет о любом случае, когда кто-либо, включая сотрудников корпорации Майкрософт, партнеров и ваших администраторов, обращался к вашим данным в службе.

8. Какие обязательства вы берете на себя в области безопасности и конфиденциальности?

В отношении Office 365 мы готовы подписать с каждым клиентом соглашение об обработке данных, соглашение с бизнес-партнерами по соблюдению HIPAA и типовые условия ЕС. Мы также обеспечиваем соответствие другим нормативным требованиям, таким как стандарты ISO 27001 и ISO 27018, Федеральный закон США об управлении информационной безопасностью (FISMA) и Федеральная программа управления рисками и авторизацией (FedRAMP). Дополнительные сведения см. в центре управления безопасностью Office 365 в разделе, посвященном независимой проверке.

9. Каким образом вы гарантируете надежность службы?

Мы используем передовой опыт на этапах разработки и эксплуатации, в числе прочего обеспечивая избыточность, отказоустойчивость, распределенное обслуживание и мониторинг. С недавних пор мы публикуем показатели времени работы службы за каждый квартал. Дополнительные сведения см. в центре управления безопасностью Office 365 в разделе Прозрачность операций.

10. Каковы ваши обязательства по времени работы службы?

Мы обеспечиваем доступность службы в на уровне 99,9 % и подкрепляем это обязательство финансовыми гарантиями, установленными в соглашении об уровне обслуживания. Если клиент столкнулся с тем, что время работы службы в месяц составило менее 99,9 %, мы предоставим ему компенсацию в виде кредитов на пользование службой.

Дополнительную информацию и сведения о том, как решаются перечисленные выше вопросы в Microsoft Office 365, см. в центре управления безопасностью Office 365.

1. Мы ограничиваем физический доступ в центр обработки данных, допуская туда только уполномоченных сотрудников, и применяем несколько уровней контроля, включая биометрические считыватели, датчики движения, круглосуточный контроль доступа, видеонаблюдение и сигналы тревоги в случае нарушения безопасности.

2. Мы используем шифрование данных как во время хранения, так и при передаче по сети между центром обработки данных и пользователем.

3. Мы не анализируем ваши данные и не обращаемся к ним в рекламных целях.

4. Мы используем данные клиентов только с целью предоставления службы и не просматриваем ваш почтовый ящик с какой-либо иной целью без вашего разрешения.

5. Мы регулярно выполняем резервное копирование ваших данных.

6. Мы не удаляем данные в вашей учетной записи после окончания срока обслуживания, пока не истечет период, в течение которого вы можете воспользоваться нашим предложением по переносу данных.

7. Мы храним данные клиента в его регионе.

8. Мы требуем использования сложных паролей, чтобы повысить степень защиты данных.

9. Мы предоставляем вам возможность включать и отключать функции, влияющие на безопасность, в соответствии с вашими потребностями.

10. Мы соблюдаем описанные здесь обязательства, заключая с клиентами соглашение об обработке данных. Дополнительные сведения см. в центре управления безопасностью Office 365 в разделе, посвященном независимой проверке.

1. Закон о передаче и защите данных учреждений здравоохранения (HIPAA).

Закон HIPAA налагает на наших клиентов, которые могут быть отнесены к лицам, подпадающим под его действие, обязательства по соблюдению требований к безопасности, конфиденциальности и отчетности в отношении обработки защищаемых электронных данных о пациентах. При разработке Office 365 корпорация Майкрософт предусмотрела средства физической, административной и технической защиты, которые помогут нашим клиентам в соблюдении требований HIPAA. Мы готовы подписать соглашение с бизнес-партнерами по соблюдению HIPAA (BAA) с каждым клиентом. Дополнительные сведения о соглашении BAA по соблюдению HIPAA см. на странице Вопросы и ответы о HIPAA и HITECH (на английском языке).

2. Условия обработки данных.

Мы предоставляем клиентам дополнительные гарантии, заключая соглашения об обработке информации, в которых оговорен порядок обработки и защиты данных клиентов корпорацией Майкрософт. Гарантируя соблюдение этих условий, мы берем на себя более 40 конкретных обязательств по обеспечению безопасности, установленных нормативными документами разных стран. Мы по умолчанию берем на себя серьезные обязательства перед клиентами, предусмотренные нашими условиями обработки данных.

3. Федеральный закон об управлении информационной безопасностью (Federal Information Security Management Act, FISMA)

обязывает федеральные службы США разрабатывать, документировать и применять в своих информационных системах директивы о защите информации. Федеральная программа по рискам и авторизации (FedRAMP) — это федеральная программа управления рисками, унифицирующая процедуры оценки и управления безопасностью облачных продуктов и услуг. В статье Часто задаваемые вопросы о FedRAMP и FISMA (на английском языке) описано, как в службе Office 365 обеспечивается безопасность и конфиденциальность в соответствии с FedRAMP и FISMA.

4. ISO 27001.

В стандарте ISO 27001 описан один из лучших в мире эталонов системы безопасности. Многие продукты Office 365 были досконально проверены на соответствие многочисленным директивам на физическом, логическом, управленческом уровнях и на уровне процессов по стандарту ISO 27001:2013. Кроме того, последний аудит подтвердил, что средства обеспечения конфиденциальности в наших решениях отвечают требованиям ISO 27018. Соответствие стандарту ISO 27018 еще раз доказывает, насколько надежно защищены клиентские данные в Office 365. Их конфиденциальность — одна из наших важнейших ценностей.

5. Типовые условия ЕС.

Согласно Директиве ЕС о защите данных, которая является основным инструментом в законодательстве ЕС о защите конфиденциальности и прав человека, наши клиенты из ЕС должны иметь законные основания для передачи персональных данных за пределы ЕС. Применение типовых условий ЕС считается предпочтительным способом законной передачи персональных данных за пределы ЕС для сред облачных вычислений. Предложение, предусматривающее подписание типовых условий ЕС, связано с финансированием и созданием операционных инструментов контроля и процессов, которые необходимы для соблюдения строгих требований этих положений. Если поставщик облачных служб не готов включить в соглашение типовые условия ЕС, клиент может не быть уверен в том, что соблюдаются требования Директивы ЕС о защите данных в части передачи персональных данных из ЕС в юрисдикции, не обеспечивающие их надлежащей защиты. В статье Типовые условия ЕС: вопросы и ответы описан одобренный регулятором подход корпорации Майкрософт к типовым условиям ЕС.

6. ISO 27018.

Корпорация Майкрософт — первый крупный поставщик облачных служб, который прошел независимую проверку на соответствие стандарту ISO 27018, устанавливающему единый международный подход к защите конфиденциальности персональной информации, которая хранится в облачной среде. Соответствие стандарту ISO 27018 означает, что мы обрабатываем персональную информацию исключительно в соответствии с указаниями клиентов, открыто сообщаем о действиях, выполняемых с пользовательскими данными, обеспечиваем надежную защиту информации в облачной среде, не используем данные клиентов в рекламных целях и сообщаем им о доступе к их информации со стороны государственных служб.

7. Федеральный закон об образовательных правах семей и конфиденциальности информации (Family Educational Rights and Privacy Act, FERPA).

Образовательные учреждения в США должны следовать требованиям FERPA в отношении использования и раскрытия данных учащихся (включая сообщения электронной почты и вложения). Корпорация Майкрософт соблюдает ограничения на использование и раскрытие данных учащихся, налагаемые законом FERPA, в том числе обязуется не анализировать электронную почту и документы в рекламных целях.

8. Положение о стандартах в отношении аттестационных услуг № 16 (SSAE 16).

Служба Office 365 прошла проверку сторонних аудиторов, и мы можем предоставить отчеты о проверке на соответствие SSAE 16 SOC 1 (тип I и тип II) и SOC 2 (тип II), в которых описаны реализованные в службе инструменты управления.

9. Закон Грэмма — Лича — Блайли (Gramm–Leach–Bliley Act, GLBA).

В соответствии с законом Грэмма — Лича — Блайли финансовые учреждения должны использовать процедуры, обеспечивающие защиту непубличных персональных данных их клиентов. GLBA требует применения политик для защиты информации от предсказуемых угроз, затрагивающих безопасность и целостность данных. Клиенты, на которых распространяется действие этого закона, могут использовать Office 365 и быть уверенными в соблюдении требований GLBA.

10. Health Information Trust Alliance (HITRUST).

Команда Office 365 совместно с независимыми аудиторами провела оценку своих служб на соответствие стандартам HITRUST. Этот стандарт, который считают важным американские организации из сферы здравоохранения, устанавливает принципы Common Security Framework (CSF) — сертифицируемой платформы, которую может взять на вооружение любая организация, создающая, использующая, хранящая и передающая информацию о медицинском и финансовом состоянии отдельных лиц.

Дополнительные сведения о соответствии требованиям в Office 365 см. в документе Инфраструктура соответствия отраслевым стандартам и нормативным требованиям в Office 365 (на английском языке).