Trace Id is missing
Перейти до основного
Microsoft 365
Вхід

Центр безпеки та конфіденційності: інформація про безпеку, конфіденційність і відповідність вимогам для служб Office 365 і Microsoft Dynamics CRM Online

Дотримання нормативних вимог

Чи піклується корпорація Майкрософт про прозорість, яка допоможе клієнтам дотримуватися відповідних нормативних вимог?

Так. Користувачі наших служб Office 365 і Microsoft Dynamics CRM Online у всьому світі дотримуються багатьох різних законів і нормативних вимог. Нормативні вимоги в одній країні або сфері можуть не відповідати нормативним вимогам в іншій. Як постачальник глобальних хмарних послуг ми повинні забезпечувати одностайність операційної практики та функцій наших служб для багатьох клієнтів і юрисдикцій. Наші служби розроблено з урахуванням загальних вимог щодо конфіденційності та безпеки, що допомагає нашим клієнтам дотримуватися відповідних вимог, а наші вбудовані можливості дають змогу виконувати цілу низку норм і положень щодо конфіденційності.

Однак у кінцевому підсумку саме клієнти мають оцінити відповідність наших пропозицій їхнім зобов’язанням і визначити, чи задовольняють наші служби їхні нормативні потреби. Ми вважаємо своїм обов’язком надавати своїм клієнтам докладні відомості про хмарні служби, щоб спростити для них проведення нормативного аналізу.

Відомості про сертифікації, які можуть допомогти в дотриманні нормативних вимог, можна знайти в розділі Безпека, аудити та сертифікація .

Чи відповідають служби Office 365 і Microsoft Dynamics CRM Online моїм нормативним зобов’язанням?

Ви самі несете відповідальність за виконання своїх нормативних зобов’язань. Ми тільки надаємо вам інформацію, яка допомагає виконувати їх.

Ми вважаємо своїм обов’язком дотримуватися вимог законів про захист даних і конфіденційність, які зазвичай застосовуються до постачальників послуг у сфері інформаційних технологій. Якщо ви підлягаєте галузевим або юрисдикційним вимогам, ви маєте самостійно проаналізувати можливість дотримання таких вимог. Однак клієнти з багатьох галузей і країн з’ясували, що можуть дотримуватися всіх застосовних нормативів, використовуючи служби Office 365 і Microsoft Dynamics CRM Online відповідно до своїх потреб.

Наприклад, організаціям, діяльність яких регламентується Законом ЄС про захист даних, слід запровадити власні правила, систему безпеки та навчальну програму, які б запобігали використанню персоналом служб Office 365 або Microsoft Dynamics CRM Online із порушенням закону. Служби Office 365 і Microsoft Dynamics CRM Online допомагають нам дотримуватися наших договірних зобов’язань перед вами, таким чином забезпечуючи вашу відповідність вимогам.

Наприклад, у Європейському Союзі (ЄС) клієнт може зберігати список клієнтів із їхньою контактною інформацією. У службах Office 365 і Microsoft Dynamics CRM Online ді ють процедури безпеки, які захищають такі відомості від неналежного доступу й розголошення з боку працівників корпорації Майкрософт. Однак один із працівників клієнта, який є користувачем служби Microsoft Exchange Online, може без відповідного дозволу використати її для надсилання такого списку клієнтів роздрібному продавцеві. За всі порушення вимог ЄС щодо захисту даних, які виникнуть у результаті роботи служб Office 365 і Microsoft Dynamics CRM Online за вказівкою клієнта (а саме в результаті надсилання повідомлення електронної пошти в рамках звичайного надання послуг) відповідальність несе сам клієнт.

Чи можу я на законних підставах використовувати служби Office 365 і Microsoft Dynamics CRM Online, якщо перебуваю в ЄС?

Відповідно до Закону ЄС про захист даних і нашої угоди служби Office 365 і Microsoft Dynamics CRM Online виступають охоронцем ваших даних, тобто підрядником (у законі ця роль згадується як "обробник даних").

Ви, клієнт, виступаєте остаточним власником даних і за законом зобов’язані пересвідчитися, що ми виконуємо правила й ви можете на законних підставах надсилати нам особисті дані (у законі ця роль згадується як "контролер даних"). У кожній конкретній ситуації ви повинні визначати, чи можете використовувати наші служби для обробки та зберігання особистих даних.

Під час розробки наших служб для нормального використання було враховано вимоги Закону ЄС про захист даних; ми постійно відстежуємо цю область законодавства щодо змін, які можуть стосуватися розвитку служб.

Корпорація Майкрософт самостійно отримала сертифікат Програми безпечного передавання даних ЄС і США, а також майже ідентичної Програми безпечного передавання даних США і Швейцарії, погоджених відповідно Міністерством торгівлі США та урядом ЄС і Швейцарії. Тому ми зобов’язані дотримуватися вимог Закону ЄС про захист даних і маємо законне право передавати дані за межі ЄС із метою надання доступу до служб Office 365 і Microsoft Dynamics CRM Online. Сертифікат відповідності принципам безпечного передавання даних корпорації Майкрософт можна переглянути на веб-сторінці http://safeharbor.export.gov/ . Ми усвідомлюємо те, що деякі клієнти можуть потребувати більших гарантій, ніж передбачено сертифікатом відповідності принципам безпечного передавання даних. Саме тому ми прагнемо підписання типових договорів ЄС (так званих "стандартних умов договору") з усіма клієнтами. Докладніше про передавання даних за межі ЄС див. у розділі "Географічні межі" Центру безпеки та конфіденційності.

У деяких країнах ми також дотримуємося вимог безпеки щодо зберігання конфіденційних особистих даних, як визначено в законі. Із запитаннями щодо правил вашої країни або конкретного типу даних, які ви зберігаєте, а також для отримання докладніших відомостей про методи й функції служб Office 365 і Microsoft Dynamics CRM Online можна звернутися до служби підтримки (якщо потрібні відомості не вдалося відшукати в документації до служби). Якщо це не шкодитиме безпеці, ми надамо вам корисну інформацію, щоб допомогти самостійно вирішити, чи не суперечить упровадження служб Office 365 і Microsoft Dynamics CRM Online вашим зобов’язанням.

Вам слід прочитати запитання й відповіді про відповідність, щоб зрозуміти, що допомога в дотриманні вимог законів про конфіденційність, яку надають служби Office 365 і Microsoft Dynamics CRM Online, не робить вашу організацію цілком законослухняною. Для цього можуть бути передбачені додаткові процедури, наприклад упровадження належних правил і ознайомлення співробітників із принципами захисту конфіденційності. Крім того, залежно від країни для дотримання місцевого законодавства, можуть знадобитися додаткові заходи (як-от реєстрація відомостей в агентстві захисту даних.

Чи реєструють керівні органи ЄС дані клієнта, що обробляються у службах Office 365 і Microsoft Dynamics CRM Online?

Ні, служби Office 365 і Microsoft Dynamics CRM Online не реєструють у керівних органах ЄС дані клієнтів, які обробляються від їхнього імені.

Чи відповідають служби Office 365 і Microsoft Dynamics CRM Online вимогам Закону про звітність і безпеку медичного страхування (HIPAA)? Чи підпише корпорація Майкрософт Угоду про ділове партнерство на основі HIPAA ("BAA")?

Ми допомагаємо своїм клієнтам дотримуватися вимог HIPAA та прагнемо підписання угоди HIPAA BAA з усіма клієнтами. Докладніше про це див. у розділі Запитання й відповіді щодо HIPAA/HITECH .

Чи відповідають служби Office 365 і Microsoft Dynamics CRM Online вимогам Акту Грема-Ліча-Білі (GLBA)?

Служби Office 365 і Microsoft Dynamics CRM Online допомагають клієнтам дотримуватися вимог безпеки GLBA, надаючи технічні й організаційні засоби захисту для підтримання безпеки та запобігання несанкціонованому використанню.

Корпорація Майкрософт може на вимогу клієнта надати підсумковий звіт незалежного аудитора про сторонню сертифікацію.

Чи відповідають служби Office 365 і Microsoft Dynamics CRM Online вимогам Стандартів безпеки даних у сфері платіжних карток (PCI DSS)? Чи можна розмістити дані кредитної картки у вашій службі?

Служби Office 365 і Microsoft Dynamics CRM Online не обробляють, не передають і не зберігають дані, використання яких регламентується стандартом PCI (як-от номери кредитних карток).

Вимоги стандарту PCI не поширюються на служби Office 365 і Microsoft Dynamics CRM Online, оскільки цими службами не передбачено обробку та зберігання даних кредитних карток. Служби Office 365 і Microsoft Dynamics CRM Online дотримуються відповідних правил безпеки та вживають заходів контролю, визначених передовими практиками (як-от ISO 27001 тощо).

Зверніть увагу, що системи оформлення замовлень, виставлення рахунків і оплати служб Office 365 і Microsoft Dynamics CRM Online, які обробляють дані кредитних карток, відповідають Першому рівню стандарту PCI, тож клієнти можуть із цілковитою певністю використовувати кредитні картки для оплати послуг.

Чи відповідає служба Office 365 вимогам закону FERPA?

Попри те, що навчальні заклади виконують різноманітні вимоги закону FERPA, корпорація Майкрософт установлює основні умови договорів, які регламентують використання записів про освітню підготовку, що можуть зберігатися у службі Office 365, а також їх розголошення. Це дає змогу навчальним закладам використовувати цю службу в рамках масштабнішої стратегії дотримання вимог закону FERPA.

Відповідно до вимог закону FERPA будь-який навчальний або освітній заклад, який фінансується Міністерством торгівлі США, зобов’язаний забезпечувати право студентів на конфіденційність, захищаючи їхні "записи про освітню підготовку" від використання або розголошення без їхньої згоди. Вказівкою Міністерства освіти чітко встановлено те, що повідомлення електронної пошти вважаються записами про освітню підготовку відповідно до закону FERPA, а також обмежено використання даних електронної пошти й документів постачальниками послуг хмарної електронної пошти. 

Закон FERPA вимагає, щоб постачальники хмарних послуг погодилися використовувати "записи про освітню підготовку", які містяться в повідомленнях електронної пошти студентів, викладачів і персоналу, а також в інших електронних повідомленнях, тільки з метою надання хмарних послуг. Крім того, заборонено сканувати цю інформацію або використовувати її з комерційною метою (наприклад, в рекламних цілях). Корпорація Майкрософт забезпечує навчальні заклади засобом дотримання вимог закону FERPA, погоджуючись виступати "відповідальним у справах студентів" відповідно до його вимог і мати "законні освітні інтереси" щодо даних закладу, а також дотримуватись обмежень і вимог закону FERPA, установлених для відповідальних у справах студентів, зокрема не сканувати повідомлення електронної пошти й документи представників навчального закладу в рекламних цілях.