Списки з 10 ключових питань

Клієнтам потрібне готове й ефективне рішення, у безпеці й надійності якого можна не сумніватися. Щоб допомогти вам визначити рівень безпечності та надійності хмарних служб і вибрати постачальника хмарних послуг, який відповідає вашим вимогам до безпеки, ми виділили ключові критерії безпеки та конфіденційності.

Ці три списки з десяти ключових питань допоможуть заощадити час і прийняти обґрунтованіше рішення.

 
Показати все

1. Хто володіє даними, розміщеними у вашій службі? Чи використовуватимете ви наші дані для створення рекламних продуктів?

Кожен клієнт служби Office 365 володіє своїми даними та керує ними. Ваші дані використовуються виключно, щоб надавати передплачені вами послуги, і не використовуються для жодних інших потреб. Як постачальник послуг ми не аналізуємо повідомлення електронної пошти або документи клієнтів із рекламною метою. Додаткові відомості див. в статті Як ми використовуємо ваші дані в Центрі безпеки та конфіденційності Office 365.

2. Чи передбачено в службі можливість керування конфіденційністю?

Елементи керування конфіденційністю активовано за замовчуванням для всіх клієнтів служби, але ви можете вимикати функції конфіденційності відповідно до потреб своєї організації. Наш обов’язок забезпечувати високий рівень конфіденційності та безпеки зафіксовано як договірне зобов’язання в угоді про обробку даних.

3. Чи можна дізнатися, де саме в службі зберігаються дані?

Ми не приховуємо відомості про місце, де зберігаються дані. Додаткові відомості див. в статті Де зберігаються мої дані? у Центрі безпеки та конфіденційності служби Office 365.

4. Що ви робите, щоб гарантувати безпеку, і які засоби захисту ви використовуєте, щоб убезпечити службу від зовнішніх атак?

Безпека – це один із найважливіших керівних принципів і засобів, що застосовуються в службі Office 365. Основна увага приділяється безпеці апаратного й програмного забезпечення, фізичній безпеці центрів обробки даних, політик і елементів керування, а також перевірці незалежними аудиторами.

Серед засобів гарантування безпеки зазвичай виокремлюють категорії двох типів: 1) вбудовані функції безпеки; 2) клієнтські елементи керування. Вбудована система безпеки – це сукупність заходів, які вживає корпорація Майкрософт від імені всіх клієнтів служби Office 365, щоб захищати відомості й підтримувати високий рівень доступності служби. Клієнтські елементи керування – це засоби, які дають змогу настроїти службу Office 365 відповідно до конкретних потреб організації. Додаткові відомості про функції безпеки обох типів див. в розділі безпеки в Центрі безпеки та конфіденційності Office 365.

5. Чи можемо ми вилучити свої дані зі служби?

Ви володієте всіма правами на дані, які зберігаєте в службі Office 365. Протягом терміну дії передплати та через 90 днів після його завершення ви можете в будь-який час самостійно завантажити копію своїх даних, не звертаючись по допомогу до корпорації Майкрософт. Додаткові відомості див. в статті Ваші дані належать вам в Центрі безпеки та конфіденційності Office 365.

6. Чи інформуватимете ви про зміни в роботі служби та порушення безпеки даних?

Ми повідомляємо про будь-які важливі зміни в роботі служби, які стосуються безпеки, конфіденційності та відповідності вимогам. Ми також невідкладно сповістимо вас у разі неналежного доступу до ваших даних.

7. Чи повідомляєте ви про спосіб використання та доступу до даних?

Ми надаємо інформацію про важливі аспекти зберігання даних, як-от географічне розташування даних клієнта, відомості про співробітників корпорації Майкрософт, які можуть отримати до них доступ, і внутрішні принципи обробки даних. Додаткові відомості про те, хто має доступ до ваших даних, див. в цьому розділі Центру безпеки та конфіденційності Office 365.

Наша позиція щодо доступу до даних клієнта така:
Ми завжди надаємо вам доступ до даних ваших клієнтів. Доступ до даних клієнта суворо контролюється, відомості про нього записуються в журнал. Крім того, корпорація Майкрософт і треті сторони вибірково перевіряють цей журнал, щоб визначити, чи використовувався доступ до даних виключно для відповідних бізнес-цілей. Ми визнаємо надзвичайну важливість даних наших клієнтів. Якщо певна особа (наприклад, працівник, партнер корпорації Майкрософт або адміністратор організації) перегляне ваш вміст у службі, ми можемо за запитом надати вам звіт про такий доступ.

8. Які зобов’язання з безпеки та конфіденційності ви берете на себе?

Від імені служби Office 365 ми зобов’язуємося підписувати з кожним клієнтом угоду про обробку його даних, угоду про ділове партнерство з дотриманням вимог HIPAA і типові договори ЄС. Ми також дотримуємося таких стандартів, як ISO 27001, ISO 27018, FISMA і FedRAMP. Додаткові відомості див. в розділі Незалежна перевірка в Центрі безпеки та конфіденційності Office 365.

9. Як ви забезпечуєте надійність служби?

Ми застосовуємо передові практики розробки й експлуатації, такі як резервування, забезпечення відмовостійкості, розподілення послуг, моніторинг тощо. Нещодавно ми почали публікувати квартальні звіти щодо безвідмовної роботи служби. Додаткові відомості див. в розділі Прозорі операції в Центрі безпеки та конфіденційності Office 365.

10. Які зобов’язання з підтримання роботи служби ви берете на себе?

Ми забезпечуємо безвідмовну роботу протягом 99,9 % часу відповідно до угоди про рівень послуг із фінансовою гарантією. Якщо місячний показник безвідмовної роботи служби в клієнта становить менше 99,9 %, ми компенсуємо ці незручності у формі кредиту для користування службою.

Додаткові відомості та підтвердження того, що служба Microsoft Office 365 надає клієнтам гарантії з перелічених вище запитань, див. в Центрі безпеки та конфіденційності Office 365.

1. Ми обмежуємо фізичний доступ до центрів обробки даних для вповноваженого персоналу й використовуємо кілька рівнів фізичного захисту, зокрема біометричні датчики, датчики руху, цілодобовий захист від неналежного доступу, системи відеоспостереження та сигналізації.

2. Ми забезпечуємо шифрування даних як на місці зберігання, так і в мережі під час їх пересилання між центром обробки даних і користувачем.

3. Ми не аналізуємо ваші дані та не використовуємо їх із рекламною метою.

4. Ми використовуємо дані клієнтів тільки з метою надання послуг. Ми не переглядаємо вміст вашої поштової скриньки без вашого дозволу.

5. Ми регулярно створюємо резервні копії даних.

6. Ми не видаляємо ваші дані наприкінці терміну обслуговування, якщо ви не встигли скористатися можливістю перенесення даних.

7. Ми зберігаємо дані клієнтів у відповідних регіонах.

8. Ми вимагаємо використовувати "складні" паролі для покращення безпеки ваших даних.

9. Ми дозволяємо вам вимикати й активувати функції, пов’язані з конфіденційністю, відповідно до ваших потреб.

10. Ми виконуємо наведені тут договірні зобов’язання відповідно до положень про обробку даних угоди про корпоративне ліцензування. Додаткові відомості див. в розділі Незалежна перевірка в Центрі безпеки та конфіденційності Office 365.

1. Закон про звітність і безпеку медичного страхування (HIPAA).

Закон HIPAA встановлює для наших клієнтів, на яких поширюється його дія, вимоги до безпеки, конфіденційності та звітності, пов’язані з обробкою захищених медичних електронних відомостей. Корпорація Майкрософт розробила службу Office 365, щоб запроваджувати фізичні, адміністративні та технічні заходи безпеки, які допоможуть клієнтам дотримуватися вимог HIPAA. Ми готові підписати угоду про ділове партнерство з дотриманням вимог HIPAA (BAA) з будь-яким клієнтом. Докладні відомості про HIPAA BAA див. в розділі HIPAA/HITECH: запитання й відповіді (англійською мовою).

2. Умови обробки даних.

Ми надаємо клієнтам додаткові договірні гарантії в рамках угоди про обробку даних, що регулює використання та захист даних клієнтів корпорацією Майкрософт. Підписуючи цю угоду, ми беремо на себе понад 40 зобов’язань із забезпечення безпеки, передбачених законодавствами різних країн світу. Ми за замовчуванням беремо на себе чіткі зобов’язання перед клієнтами в рамках угоди про обробку даних.

3. Федеральний закон про керування інформаційною безпекою (FISMA).

Цей закон вимагає від федеральних органів США розробляти, документувати та запроваджувати засоби керування, що дають змогу захистити їхні відомості та інформаційні системи. Федеральна програма керування ризиками та авторизацією (FedRAMP) – це механізм, що забезпечує стандартизований підхід до оцінювання та моніторингу безпеки хмарних продуктів і служб. У статті FedRAMP/FISMA: запитання й відповіді (англійською мовою) описано, як служба Office 365 дотримується процесів із гарантування безпеки й конфіденційності відповідно до FedRAMP/FISMA.

4. ISO 27001.

ISO 27001 – це один із провідних стандартів безпеки у світі. Багато продуктів зі служби Office 365 перевірено на відповідність вимогам до набору фізичних, логічних і операційних засобів керування, визначених у стандарті ISO 27001:2013 (англійською мовою). Під час останнього аудиту також перевірялись засоби керування конфіденційністю відповідно до стандарту ISO 27018. Додавши ці нові засоби керування ISO 27018 до оцінки ISO, ми зможемо й надалі забезпечувати належний рівень конфіденційності даних клієнтів служби Office 365.

5. Типові договори Європейського Союзу.

Відповідно до Директиви ЄС про захист даних, ключового нормативного документа законодавства ЄС про конфіденційність і права людини, клієнти в країнах ЄС зобов’язані визнати законним передавання особистих даних за межі ЄС. Типові договори ЄС вважаються основним способом узаконення передачі особистих даних за межі ЄС для хмарних ІТ-середовищ. Пропозиція підписання типових договорів ЄС передбачає інвестування коштів у розробку оперативних засобів керування й процедур, необхідних, щоб виконати вимоги цих договорів. Якщо договір постачальника хмарних послуг не містить типових договорів ЄС, клієнт не може переконатися, що постачальник дотримується вимог Директиви ЄС про захист даних, передаючи особисті дані за межі ЄС до юрисдикцій, які не забезпечують їх "належний захист". У статті Типові договори ЄС: запитання й відповіді описано схвалений законодавчими органами підхід корпорації Майкрософт до типових договорів ЄС.

6. ISO 27018:

Корпорація Майкрософт – перший масштабний постачальник хмарних послуг, що пройшов незалежну перевірку на відповідність стандарту ISO 27018. Вона дотримується універсального підходу до захисту конфіденційності особистих відомостей у хмарі на міжнародному рівні. Відповідність стандарту ISO 27018 означає, що ми обробляємо особисту інформацію лише відповідно до вказівок клієнтів, повідомляємо про все, що відбувається з його даними, забезпечуємо високий рівень захисту особистих відомостей у хмарі, ніколи не використовуємо дані клієнтів для реклами та сповіщаємо клієнтів про доступ державних установ до їхніх даних.

7. Закон про права родини на освіту та недоторканість особистого життя (FERPA).

Цей закон встановлює вимоги для освітніх закладів США щодо використання та розголошення учнівських записів, зокрема повідомлень електронної пошти та вкладень. Корпорація Майкрософт погоджується дотримуватися встановлених законом FERPA правил використання та розголошення, які обмежують використання нами учнівських записів. Зокрема, ми погоджуємося не перевіряти повідомлення електронної пошти та документи з рекламною метою.

8. Положення про стандарти атестаційної діяльності №16 (SSAE 16).

Служба Office 365 пройшла перевірку незалежних третіх сторін. Ми можемо надати звіти SSAE16 SOC 1 типів I і II, а також SOC 2 типу II про впровадження в службі відповідних засобів керування.

9. закон Грема-Ліча-Блайлі (GLBA).

Відповідно до вимог GLBA фінансові установи зобов’язані впроваджувати процеси, щоб захистити особисті відомості своїх клієнтів. Акт Грема-Ліча-Блілі забезпечує дотримання вимог політики захисту інформації від передбачуваних загроз безпеці й цілісності даних. Клієнти, що підпадають під дію GLBA, можуть використовувати службу Office 365, не порушуючи вимог GLBA.

10. Вимоги об’єднання Health Information Trust Alliance (HITRUST).

Команда фахівців Office 365 разом із незалежним експертом-консультантом оцінила відповідність служби вимогам HITRUST. Американські організації з охорони здоров’я вважають вимоги HITRUST важливими для стандартизації, тому об’єднання розробило загальну платформу безпеки (Common Security Framework – CSF), сертифікаційну структуру, яку можуть використовувати організації всіх типів, що створюють і зберігають особисті дані про стан здоров’я та фінансові відомості, а також отримують до них доступ і обмінюються ними.

Докладні відомості про відповідність вимогам в Office 365 див. в документі Принципи забезпечення відповідності галузевим стандартам і нормативним вимогам (англійською мовою).