Trace Id is missing
Перейти к основному контенту
Microsoft 365
Войти

Центр управления безопасностью: сведения об обеспечении безопасности и конфиденциальности и соблюдении нормативных требований при использовании Office 365 и Microsoft Dynamics CRM Online

Соблюдение нормативных требований

Стремится ли корпорация Майкрософт обеспечивать прозрачность, чтобы помогать своим клиентам в соблюдении нормативных требований?

Да. Деятельность наших клиентов Office 365 и Microsoft Dynamics CRM Online в разных странах мира регулируется различными законами и нормами. Юридические требования в той или иной стране или отрасли могут не соответствовать требованиям, действующим в других странах или отраслях. В качестве глобального поставщика облачных служб корпорация Майкрософт должна обеспечить поддержку стандартных эксплуатационных практик и соответствие различным правовым нормам. Чтобы помочь клиентам в соблюдении нормативных требований, при разработке служб мы учитываем стандартные требования к безопасности и конфиденциальности, а предоставляемые нами встроенные возможности позволяют обеспечивать выполнение разнообразных регулятивных норм и предписаний, касающихся конфиденциальности.

Однако в конечном итоге клиенты должны самостоятельно оценить наши предложения на соответствие нормативным требованиям, применимым к ним, чтобы определить, удовлетворяют ли наши службы их потребностям. Мы стремимся предоставлять клиентам подробные сведения о наших облачных службах, чтобы помочь им в оценке соответствия их нормативным требованиям.

Сведения о сертификации, которые могут помочь в соблюдении нормативных требований, приведены в разделе Безопасность, аудит и сертификация .

Соответствуют ли службы Office 365 и Microsoft Dynamics CRM Online моим нормативным обязательствам?

Соблюдение нормативных обязательств является вашей ответственностью. Мы предоставляем сведения, которые могут помочь вам в этом.

Мы стремимся соблюдать все законы о конфиденциальности и защите данных, обычно применяемые к поставщикам ИТ-услуг. Если к вам предъявляются отраслевые или юрисдикционные требования, вам необходимо самостоятельно оценить возможность их соблюдения. Отметим, что клиенты во многих отраслях и регионах нашли возможным использовать службы Office 365 и Microsoft Dynamics CRM Online с соблюдением применимых к ним нормативных требований (учтя свои особые обстоятельства).

Например, организации, на которые распространяется Директива ЕС о защите данных, должны реализовывать собственные политики, меры безопасности и программу обучения, чтобы гарантировать, что сотрудники не будут использовать службы Office 365 и Microsoft Dynamics CRM Online в нарушение директивы. Подразделение Office 365 и Microsoft Dynamics CRM Online в свою очередь обязуется придерживаться условий договора и помогать вам обеспечивать соблюдение нормативных требований и в будущем.

Например, организация, находящаяся в одной из стран Европейского союза, может хранить список клиентов, включающий в себя контактные данные. В Office 365 и Microsoft Dynamics CRM Online реализова ны процедуры по обеспечению безопасности, препятствующие несанкционированному доступу к этим данным или их разглашению персоналом корпорации Майкрософт. Однако один из сотрудников организации, являющийся пользователем Microsoft Exchange Online, может воспользоваться этой службой для отправки списка клиентов розничному торговцу без надлежащего согласия. Ответственность за любое нарушение требований Европейского союза по защите данных, возникшее в результате выполнения запроса клиента службами Office 365 и Microsoft Dynamics CRM Online (в данном случае вследствие отправки сообщения в обычном режиме предоставления службы), несет клиент.

Находясь в Европе, имею ли я законное право использовать Office 365 и Microsoft Dynamics CRM Online?

Согласно Директиве ЕС о защите данных и нашим договорным обязательствам, для клиентов Office 365 и Microsoft Dynamics CRM Online мы выступаем в качестве хранителя их данных, фактически субподрядчиком (в законодательстве это называется "обработчик данных").

Клиенту принадлежит право владения данными, и он несет ответственность за обеспечение соблюдения нами соответствующих правил и за законность отправки им персональных данных нам (в законодательстве это называется "контролер данных"). Исходя из своей конкретной ситуации, вы должны определить, имеете ли вы право на использование наших служб для обработки и хранения персональных данных.

Требования Директивы ЕС о защите данных были учтены при разработке служб и соблюдаются в режиме нормальной эксплуатации. Мы постоянно следим за изменениями в этой области, которые могут быть важны для развития наших служб.

Корпорация Майкрософт также произвела самостоятельную сертификацию по двум почти идентичным программам Safe Harbor, разработанным Министерством торговли США по согласованию с ЕС и Швейцарией соответственно. Вследствие этого мы обязаны соблюдать требования Директивы ЕС о защите данных и имеем законное право передавать данные за пределы ЕС с целью предоставления служб Office 365 и Microsoft Dynamics CRM Online. Сертификат Safe Harbor корпорации Майкрософт можно просмотреть на веб-сайте http://safeharbor.export.gov/ . Мы понимаем, что некоторым клиентам требуются более надежные гарантии, чем может обеспечить самостоятельная сертификация по программе Safe Harbor, и поэтому готовы подписать Типовые условия ЕС (другое название — "Стандартные условия договора") со всеми клиентами. Дополнительные сведения о передаче данных за пределы ЕС см. в разделе "Карты размещения данных" центра управления безопасностью.

В некоторых странах мы также соблюдаем требования по обеспечению безопасности в отношении хранения конфиденциальных персональных данных, определенные законодательством. Если у вас возникли вопросы по поводу правил в вашей стране или типа хранимых данных либо если вы хотите получить дополнительные сведения о методиках и поддерживаемых функциях Office 365 или Microsoft Dynamics CRM Online, которые вы не смогли найти в документации по службам, вы можете обратиться в службу поддержки. В той мере, в какой это не снизит уровень безопасности наших служб, мы предоставим вам все необходимые сведения, чтобы помочь вам определить допустимость использования служб Office 365 и Microsoft Dynamics CRM Online в соответствии с предъявляемыми к вам требованиями.

Вы должны прочитать часто задаваемые вопросы о соблюдении нормативных требований и понять, что возможность соблюдения законов о конфиденциальности, обеспечиваемая службами Office 365 и Microsoft Dynamics CRM Online, еще не означает, что ваша организация соответствует требованиям законодательства. Вам может потребоваться предпринять дополнительные действия, например внедрить политики в организации и обучить сотрудников методам обеспечения конфиденциальности. Кроме того, в некоторых странах могут потребоваться дополнительные меры по соблюдению местного законодательства, например подача сведений в агентство по защите данных.

Регистрируются ли данные клиента, обрабатываемые в службах Office 365 или Microsoft Dynamics CRM Online, в руководящих органах ЕС?

Нет. Office 365 и Microsoft Dynamics CRM Online как обработчики данных не регистрируют в руководящих органах ЕС данные клиента, обрабатываемые по его поручению.

Соответствуют ли службы Office 365 и Microsoft Dynamics CRM Online требованиям акта о передаче и защите данных учреждений здравоохранения HIPAA? Подпишет ли корпорация Майкрософт соглашение о деловом партнерстве HIPAA (BAA)?

Мы помогаем нашим клиентам в соблюдении требований акта HIPAA и готовы подписать соглашение о деловом партнерстве HIPAA (BAA) с каждым клиентом. Дополнительные сведения см. на странице Часто задаваемые вопросы об акте HIPAA и HITECH .

Соответствуют ли службы Office 365 и Microsoft Dynamics CRM Online Акту Грэма-Лича-Блили (Акту о модернизации финансовой системы 1999 г.)?

Службы Office 365 и Microsoft Dynamics CRM Online помогают клиентам в соблюдении требований к безопасности, предусмотренных Актом Грэма-Лича-Блили, путем предоставления технических и организационных мер безопасности, помогающих клиентам обеспечивать безопасность и предотвращать несанкционированное использование.

Корпорация Майкрософт может предоставить клиентам по требованию сводный отчет о сторонней сертификации, выполненной независимым аудитором.

Соответствуют ли службы Office 365 и Microsoft Dynamics CRM Online Стандарту безопасности данных в сфере платежных карт (PCI DSS)? Можно ли хранить данные кредитных карт в ваших службах?

Службы Office 365 и Microsoft Dynamics CRM Online не поддерживают обработку, передачу или хранение данных, которые регулируются Стандартом безопасности данных в сфере платежных карт, таких как номера кредитных карт.

Этот стандарт неприменим к службам Office 365 и Microsoft Dynamics CRM Online, так как функция обработки и хранения данных кредитных карт не предлагается в этих службах. При этом в службах Office 365 и Microsoft Dynamics CRM Online реализованы применимые политики и средства обеспечения безопасности, определенные в отраслевых рекомендациях (ISO 27001 и другие).

Обратите внимание, однако, что системы заказа, выставления счетов и оплаты в службах Office 365 и Microsoft Dynamics CRM Online, служащие для обработки данных кредитных карт, соответствуют уровню 1 Стандарта безопасности данных в сфере платежных карт. Клиенты могут без опасений использовать кредитные карты для оплаты служб.

Обеспечивает ли Office 365 соблюдение требований Закона США о правах семьи на образование и неприкосновенность частной жизни (FERPA) ?

Образовательные учреждения должны соблюдать много разнообразных норм закона FERPA, и корпорация Майкрософт предусматривает включение в договор основных условий, регулирующих использование и раскрытие персональных данных, которые имеются в учебных сведениях и могут храниться в Office 365. Это позволяет образовательным учреждениям использовать Office 365 в своей расширенной стратегии обеспечения соответствия требованиям FERPA.

В соответствии с FERPA любое учебное заведение или образовательное учреждение, получающее финансирование от Министерства образования США, обязано соблюдать права учащихся на сохранение конфиденциальности путем защиты персональных данных, имеющихся в учебных сведениях, от использования или раскрытия без получения согласия. В инструкциях Министерства образования четко сказано, что сообщения электронной почты относятся к персональным данным, подпадающим под действие FERPA, и что поставщики облачных служб электронной почты должны соблюдать такие же ограничения относительно использования и раскрытия сведений, содержащихся в сообщениях и документах.

В соответствии с FERPA поставщик облачных служб обязан гарантировать, что персональные данные, содержащиеся в учебных сведениях и присутствующие в сообщениях электронной почты преподавательского состава, сотрудников и учащихся, используются только с целью предоставления облачной службы и что такая информация не анализируется и не используется в коммерческих целях, например, для рекламы. Чтобы помочь образовательным учреждениям в соблюдении требований FERPA, корпорация Майкрософт соглашается выступать в роли "должностного лица в области образования", имеющего "законные интересы" (в соответствии с положениями FERPA) относительно данных учреждения, и обязуется соблюдать ограничения и требования, налагаемые FERPA на таких должностных лиц, в том числе не анализировать сообщения электронной почты и документы в рекламных целях.