Listor med de tio viktigaste frågorna

Kunder behöver en färdig produktivitetslösning med inbyggd säkerhet och tillförlitlighet. För att göra det lättare för dig att bedöma säkerheten och tillförlitligheten i molnbaserade produktivitetstjänster, och att välja en leverantör som uppfyller dina säkerhetskrav, har vi sammanställt listor över de viktigaste sekretess- och säkerhetsaspekterna som du bör ta hänsyn till.

Med de här tre listorna kan du spara tid och fatta ett beslut med bättre bakgrundskunskap.

 
Visa alla

1. Vem äger de data som vi lagrar i er tjänst? Kommer ni att använda våra data för att ta fram marknadsföringsprodukter?

Som Office 365-kund är det du som äger och har kontroll över dina data. Vi använder inte dina data i något annat syfte än att tillhandahålla den tjänst som du prenumererar på. Som tjänsteleverantör skannar vi inte din e-post eller dina dokument i reklamsyfte. Mer information finns i avsnittet Hur dina data används i Office 365 Säkerhetscenter.

2. Erbjuder ni sekretesskontroller i tjänsten?

Sekretesskontroller är aktiverade som standard för alla kunder som har tjänsten och du har möjlighet att inaktivera och aktivera funktioner som påverkar sekretessen beroende på organisationens behov. Enligt villkoren om databehandling i ditt avtal förbinder vi oss att vidta omfattande sekretess- och säkerhetsåtgärder.

3. Har vi någon möjlighet att se var ni lagrar våra data i tjänsten?

Vi är öppna med var dina data finns. Mer information finns i Var finns mina data? i Office 365 Säkerhetscenter.

4. Hur ser ni på säkerheten och hur skyddar ni tjänsten mot externa attacker?

Säkerheten är en av de viktigaste designprinciperna och funktionerna i Office 365. Vårt fokus på säkerhet spänner över maskinvara, programvara, den fysiska säkerheten på våra datacenter, principer och kontroller samt verifiering av oberoende granskare.

Säkerhetsfunktionerna kan delas in i två övergripande kategorier: 1) inbyggd säkerhet och 2) kundkontroller. Inbyggd säkerhet representerar alla åtgärder som Microsoft vidtar för att skydda Office 365-kundernas information och erbjuda en lättillgänglig tjänst. Kundkontroller är funktioner som gör att du kan anpassa Office 365 efter din organisations specifika behov. Information om båda typerna av säkerhetsfunktionerna finns i avsnittet om säkerhet i Office 365 Säkerhetscenter.

5. Kan vi ta bort våra data från er tjänst?

Du äger dina data och behåller alla rättigheter och anspråk till data som du lagrar med Office 365. Under din prenumeration och i 90 dagar efter prenumerationen kan du ladda ned en kopia av dina data när som helst oavsett anledning utan att be Microsoft om hjälp. Mer information finns i Det är dina data i Office 365 Säkerhetscenter.

6. Meddelar ni oss om något i tjänsten ändras, och får vi reda på om våra data är osäkra?

Vi meddelar dig om det sker några viktiga ändringar i tjänsten avseende säkerheten, sekretessen och regelefterlevnaden. Du får genast veta om dina data har använts felaktigt.

7. Är ni öppna med hur ni använder och får tillgång till våra data?

Vi delar viktiga aspekter av datalagringen, t.ex. var dina data finns rent geografiskt, vem på Microsoft som har tillgång till dem och vad vi gör med informationen internt. Mer information finns i avsnittet om Vem som kan komma åt dina data i Office 365 Säkerhetscenter.

Vår inställning till åtkomst till dina data är:
Du kan alltid komma åt dina kunddata. Åtkomsten till kunddata är strikt kontrollerad och loggas, och stickprovskontroller görs både av Microsoft och tredje parter för att verifiera att åtkomsten endast sker för relevanta ändamål. Vi är också medvetna om vikten av våra kunders innehåll. Om någon, t.ex. Microsofts personal, partner eller dina egna administratörer, kommer åt ditt innehåll i tjänsten kan vi tillhandahålla en rapport om åtkomsten på begäran.

8. Vilken typ av åtaganden har ni vad gäller säkerhet och sekretess?

För Office 365 är vi beredda att med varje kund underteckna databehandlingsvillkor, ett HIPAA-avtal för affärspartner och EU:s standardklausuler. Dessutom följer vi standarder som ISO 27001, ISO 27018, FISMA och FedRAMP. Mer information finns i avsnittet om Oberoende verifiering i Office 365 Säkerhetscenter.

9. Hur säkerställer ni att er tjänst är tillförlitlig?

Vi tillämpar ledande metoder för design och drift: redundans, återhämtning, distribuerade tjänster och övervakning för att nämna några exempel. Nyligen började vi publicera en kvartalsrapport över driften av tjänsten. Mer information finns i avsnittet om Transparent drift i Office 365 Säkerhetscenter.

10. Vilka är era åtaganden för att hålla tjänsten tillgänglig?

Vi erbjuder 99,9 % tillgänglighet genom ett servicenivåavtal med ekonomisk garanti. Om en kund har en drifttid på mindre än 99,9 % per månad kompenserar vi kunden genom tjänstekrediter.

Mer information och belägg för varför Microsoft Office 365-kunder kan känna sig trygga i fråga om ovanstående finns i Office 365 Säkerhetscenter.

1. Vi begränsar åtkomsten till våra fysiska datacenter till behörig personal och använder flera fysiska säkerhetsnivåer, t. ex. biometriska läsare, rörelsedetektorer, säker åtkomst dygnet runt, videoövervakning och larm vid säkerhetsintrång.

2. Vi erbjuder kryptering av data både i vila och via nätverket när de överförs mellan ett datacenter och en användare.

3. Vi utnyttjar inte dina data i marknadsföringssyfte.

4. Vi använder kunddata endast för att tillhandahålla tjänsten, i övrigt tittar vi aldrig i din inkorg utan tillåtelse.

5. Vi säkerhetskopierar dina data regelbundet.

6. Vi kommer inte att ta bort alla data i ditt konto i slutet av tjänstperioden förrän du haft tid att utnyttja den dataportabilitet vi erbjuder.

7. Vi lagrar dina kunddata i samma område.

8. Vi kräver "svåra" lösenord för att öka datasäkerheten.

9. Vi ger dig möjlighet att aktivera och inaktivera sekretessfunktioner efter dina behov.

10. Vi förbinder oss genom avtal till de löften vi ger här genom de databehandlingsvillkor som anges i ditt volymlicensavtal. Mer information finns i avsnittet Oberoende verifiering i Office 365 Säkerhetscenter.

1. HIPAA (Health Insurance Portability and Accountability Act):

Enligt HIPAA omfattas kunder som enligt lagen kan betraktas som ”täckta enheter” av särskilda säkerhets-, sekretess- och rapporteringskrav med avseende på behandlingen av elektroniskt skyddade hälsouppgifter. Microsoft utvecklade Office 365 med fysiska, administrativa och tekniska skyddsåtgärder för att hjälpa våra kunder att uppfylla bestämmelserna i HIPAA. Vi erbjuder ett HIPAA-avtal för affärspartner (BAA) till alla kunder. Mer information om HIPAA BAA, finns i Vanliga frågor och svar om HIPAA/HITECH (på engelska).

2. Databehandlingsvillkor:

Vi ger våra kunder en ytterligare försäkran i våra avtal genom databehandlingsvillkor som reglerar hur Microsoft hanterar och skyddar kunddata. Dessa villkor förpliktigar oss till över 40 specifika säkerhetsåtaganden med ursprung i lagstiftning från hela världen. De robusta åtagandena i våra databehandlingsvillkor får våra kunder del av som standard.

3. FISMA (Federal Information Security Management Act)

kräver att amerikanska federala byråer utvecklar, dokumenterar och implementerar kontroller för att skydda sin information och sina informationssystem. FedRAMP (Federal Risk and Authorization Program) är ett federalt riskhanteringsprogram som tillhandahåller en standardiserad modell för utvärdering och övervakning av säkerheten hos molnbaserade produkter och tjänster. I avsnittet med vanliga frågor och svar om i Vanliga frågor och svar om FedRAMP/FISMA (på engelska) beskrivs hur Office 365-tjänsterna följer säkerhets- och sekretessprocesserna i FedRAMP/FISMA.

4. ISO 27001:

ISO 27001:2013 är ett av världens bästa säkerhetsmått. Många produkter i Office 365 har bedömts uppfylla de strikta fysiska, logiska, process- och hanteringsspecifika kontrollerna i ISO 27001:2013. Detta inbegriper även sekretesskontrollerna enligt ISO 27018 i den senaste granskningen. Inkluderingen av dessa nya ISO 27018-kontroller i ISO-utvärderingen innebär en ytterligare försäkran från Office 365 till kunder med avseende på skyddsnivån i Office 365 och hur vi skyddar kunddata.

5. EU-standardklausuler (Europeiska unionen):

EU:s dataskyddsdirektiv, ett viktigt instrument i EU:s lagstiftning om integritet och mänskliga rättigheter, kräver att våra kunder i EU legitimerar överföringen av personliga data utanför EU. EU:s standardklausuler är den rekommenderade metoden för att legitimera överföringen av personuppgifter utanför EU i molnbaserade datormiljöer. EU:s standardklausuler kräver investering i och utveckling av de operativa kontroller och processer som är nödvändiga för att uppfylla de hårda kraven i klausulerna. Om en molntjänstleverantör är ovillig att acceptera EU:s standardklausuler kan det vara svårt för kunden att lita på att leverantören kan efterleva kraven i EU:s dataskyddsdirektiv avseende överföringen av personuppgifter från EU till länder som inte erbjuder "adekvat skyddsnivå". I Vanliga frågor och svar om EU:s standardklausuler beskrivs Microsofts efterlevnad av EU:s standardklausuler, som bekräftats av regel- och tillsynsmyndigheter.

6. ISO 27018:

Microsoft är den första större molntjänstleverantören som av en oberoende part har bedömts uppfylla ISO 27018, som upprättar en enhetlig, internationell standard för skydd av personlig information som lagras i molnet. Vår efterlevnad av ISO 27018 innebär att vi endast bearbetar personuppgifter i enlighet med kundens instruktioner, att vi är öppna med vad som händer med kunddata, att vi tillhandahåller hög säkerhet för personlig information i vårt moln, att kunddata inte används i reklamsyfte samt att vi informerar kunderna om myndigheter begär åtkomst till deras data.

7. FERPA (Family Educational Rights and Privacy Act):

FERPA ställer krav på amerikanska utbildningsorganisationer avseende användning eller utlämnande av student- och utbildningsuppgifter, inklusive e-post och bilagor. Microsoft accepterar dessa restriktioner som begränsar vår användning av utbildningsrelaterade uppgifter, vilket bland annat förbjuder oss att skanna e-post eller dokument i reklamsyfte.

8. SSAE 16 (Statement on Standards for Attestation Engagements No. 16):

Office 365 har granskats av oberoende tredje parter och kan tillhandahålla SSAE16 SOC 1 typ I- och typ II- samt SOC 2 typ II-rapporter över hur kontroller implementeras för tjänsten.

9. Gramm–Leach–Bliley Act (GLBA):

Gramm–Leach–Bliley Act kräver att finansiella institut har processer på plats för att skydda kundernas icke-offentliga, personliga information. GLBA upprätthåller policyer för att skydda information från förutsebara hot vad gäller säkerhet och dataintegritet. Kunder som omfattas av GLBA kan använda Office 365 och uppfylla kraven i GLBA.

10. HITRUST (Health Information Trust Alliance):

Office 365-teamet har, tillsammans med en oberoende granskare, genomfört en utvärdering för att bedöma hur väl vi uppfyller HITRUST. HITRUST anses av amerikanska sjukvårdsorganisationer som en viktig standard och har fastställt CSF (Common Security Framework), ett certifieringsbart ramverk som kan användas av alla organisationer som skapar, använder, lagrar eller utbyter personlig information om hälsa eller ekonomi.

Mer information om regelefterlevnad i Office 365 finns i dokumentet Dokumentet Ramverk för uppfyllande av branschstandarder och regelverk (på engelska).