Важные вопросы о конфиденциальности, которые клиент должен задать своему поставщику облачных служб

В Microsoft Office 365 предусмотрены базовые функции обеспечения конфиденциальности для всех клиентов. В данном разделе речь идет об этих функциях и их соответствии высоким стандартам в области конфиденциальности, установленным органами ЕС. 1 июля 2012 г. Рабочая группа 29-й статьи (см. Директиву ЕС о защите данных) (далее — Рабочая группа), в которую входят сотрудники национальных органов стран ЕС по защите данных, приняла Заключение 05/2012 по облачным вычислениям. В нем перечислены преимущества облачных технологий, в том числе повышенная эффективность и безопасность. В этом Заключении Рабочая группа подчеркивает, что важно выбрать такого поставщика облачных служб, который прозрачно применяет методы защиты данных и с уважением относится к конфиденциальности данных клиента.

Заключение Рабочей группы содержит базовые рекомендации для нынешних и будущих пользователей облачных служб. В нем также рассматриваются некоторые вопросы, на которые клиентам облачных служб, выступающим в роли контролера данных, следует обратить внимание при выборе поставщика облачных служб. В этой статье приведены основные вопросы о конфиденциальности и ответы команды Office 365.

 
 
Показать все

Заключение Рабочей группы: в разделе 4.1 (первый пункт списка под заголовком "Соблюдение базовых принципов защиты данных") Рабочая группа указывает, что поставщики облачных служб должны информировать клиентов обо всех релевантных (относящихся к защите данных) аспектах своих служб; в частности, клиенты должны получить сведения обо всех субподрядчиках, участвующих в подготовке соответствующей облачной службы, и обо всех местах, в которых поставщик облачных служб или его субподрядчики могут хранить или обрабатывать данные. Кроме того, в разделе 3.4.1.1 "Прозрачность" подчеркивается важность прозрачных отношений между поставщиком облачных служб и его клиентом.

Office 365: сведения о том, как корпорация Майкрософт обеспечивает конфиденциальность и безопасность, можно найти в центре управления безопасностью Office 365. Там есть информация о том, где хранятся данные, кто и при каких обстоятельствах может получить к ним доступ и какие субподрядчики участвуют в их обработке.

Рекомендация Рабочей группы: раздел 3.4.1.2 ("Определение цели и соответствующие ограничения"). Рабочая группа поясняет, что персональные данные можно собирать только для определенных, явных и законных целей и запрещено выполнять дальнейшую обработку этих данных методами, несовместимыми с такими целями, и указывает, что клиенты облачных служб должны убедиться в том, что персональные данные не подвергаются (незаконной) обработке в других целях поставщиком облачных служб.

Office 365: в корпоративных облачных службах Майкрософт данные клиентов используются только в целях предоставления служб. К этим целям могут относиться устранение неполадок, направленное на предотвращение, выявление и устранение проблем, которые влияют на работу служб, и улучшение функций, требующее обнаружения новых и изменяющихся угроз для пользователя (например, вредоносных программ и спама) и защиты от них. Office 365 не создает рекламные продукты на основе данных клиентов. Мы не сканируем вашу электронную почту и документы для целей аналитики, интеллектуального анализа данных, рекламы или улучшения службы иным способом.

Корпорация Майкрософт не раскрывает данные клиентов третьим лицам (включая правоохранительные органы, другие государственные учреждения и стороны судебных процессов по гражданским делам, за исключением наших субподрядчиков), кроме случаев, когда этого просит клиент или требует законодательство.

Рекомендация Рабочей группы: разделы 3.4.1.2 ("Определение цели и соответствующие ограничения") и 3.3.1 ("Клиент и поставщик облачной службы").

Office 365: в корпорации Майкрософт серверы корпоративных облачных служб логически и (или) физически отделены от веб-служб для индивидуальных потребителей. Данные корпоративных клиентов, сведения в потребительских веб-службах Майкрософт и данные, создаваемые в результате таких действий корпорации Майкрософт, как сканирование, индексирование или интеллектуальный анализ, не смешиваются, если только заранее не было получено согласие клиента на это.

Рекомендация Рабочей группы: разделы 3.4.1.2 ("Определение цели и соответствующие ограничения") и 3.3.1 ("Клиент и поставщик облачной службы").

Office 365: корпорация Майкрософт никогда не анализирует электронную почту и документы в рекламных целях. Обработка, анализ и индексирование данных клиентов, выполняемые в корпоративных службах Майкрософт, направлены на предоставление широких функциональных возможностей, чтобы клиенты могли работать со своими данными и систематизировать их. Например, пользователи могут легко находить свои документы и другое содержимое в Office 365.

Рекомендация Рабочей группы: раздел 3.4.3 ("Технические и организационные меры по защите и безопасности данных").

Office 365: коммерческая служба Office 365 логически отделена от потребительских веб-служб. Данные корпоративных клиентов и данные в потребительских веб-службах Майкрософт не смешиваются, если только заранее не было получено согласие клиента на это.

Рабочая группа указывает, что традиционным механизмам передачи данных из Европейской экономической зоны присущи некоторые ограничения при применении в облаке. Рабочая группа обращает внимание на принципы соглашения Safe Harbor, информируя клиентов облачных служб о том, что следования импортером данных только лишь принципам соглашения Safe Harbor может оказаться недостаточно в случае передачи информации к поставщикам, находящимся в США. Рабочая группа также напоминает клиентам облачных служб о необходимости обеспечить соблюдение всех применимых требований национального законодательства.

Корпорация Майкрософт предлагает клиентам Office 365 всеобъемлющее соглашение о защите данных (DPA), а также типовые условия ЕС в дополнение к самостоятельной сертификации на соответствие принципам соглашения Safe Harbor между США и ЕС. В то время как типовые условия ЕС разработаны специально для клиентов из ЕС, в соглашении DPA собраны рекомендации по защите конфиденциальности, принятые в разных странах, и оно предлагается всем клиентам независимо от их географического расположения и размера. Процессы, реализованные в Office 365 с целью обеспечения соответствия типовым условиям ЕС, действуют не только для клиентов из ЕС: они доступны всем пользователям.