十大列表

客户需要的是从本质上具有安全、可信的特点且易于使用的生产力解决方案。为了帮助你确定云生产力服务的安全性和可信性,选择能满足你安全性期望的云服务提供商,我们确定出了下列能帮助你明智决策的隐私和安全关键考虑事项。

这三个“十大列表”可帮助你节约时间并做出更加明智的决策。

 
全部显示

1. 谁拥有我们存储在服务中的数据?这些数据是否会用于生成广告产品?

作为 Office 365 的客户,你拥有并掌控自己的数据。除为你提供已订阅的服务外,我们不会在其他任何地方使用你的数据。作为服务提供商,我们不会出于广告宣传目的而扫描你的电子邮件或文档。有关详细信息,请访问 Office 365 信任中心中的我们如何使用你的数据

2. 你们是否在服务中提供隐私控制?

默认情况下,我们已为使用服务的所有客户启用隐私控制并允许关闭或打开影响隐私的功能,以满足组织需求。我们将在协议的数据处理条款中以合同方式承诺提供可靠的隐私和安全措施。

3. 我们能否了解我们的数据在服务中的存储位置?

我们对你数据所在的位置保持公开透明。有关详细信息,请访问 Office 365 信任中心中的我的数据位于何处

4. 你们采用何种安全方法以及提供哪些安全功能来保护服务免遭外部攻击?

安全性是 Office 365 最重要的设计准则和功能之一。我们重点关注的安全性涉及硬件、软件、数据中心的物理安全性、策略和控制以及独立审计机构的验证。

安全功能大致可以分为两类:1) 内置安全和 2) 客户控制。内置安全表示 Microsoft 为保护你的信息、运行高度可用的服务而代表所有 Office 365 客户采取的全部措施。客户控制功能允许自定义 Office 365 以满足组织的特定需求。可以在 Office 365 信任中心的安全部分中获取有关这两种安全功能类型的详细信息。

5. 我们能否将自己的数据从服务中转出?

你自己的数据归你所有,对于通过 Office 365 存储的数据,你将保留所有权利、所有权和权益。在订阅期间或订阅后的 90 天内,可以随时出于任何原因下载自己数据的副本,无需 Microsoft 协助。有关详细信息,请访问 Office 365 信任中心中的这是你的数据

6. 服务发生更改时,是否会通知我们?如果我们的数据被泄露,是否会告知我们?

如果服务的安全性、隐私和合规性方面做出了任何重大更改,我们一定会通知你。如果你的数据遭遇不当访问,我们也会立即通知你。

7. 你们使用和访问我们数据的方式是否透明?

我们会分享数据存储的重要方面,例如你的数据驻留的物理位置,能够访问这些数据的 Microsoft 员工,以及我们在内部如何使用这些信息。有关详细信息,请访问 Office 365 信任中心的谁能访问你的数据部分。

对于你的数据访问,我们的主张如下:
我们始终赋予你对客户数据的访问权限。客户数据访问受到严格控制和记录,并且 Microsoft 和第三方会执行抽样审计以证明该访问仅用于正当的商业用途。我们深知客户内容的重要意义。如果有人(如 Microsoft 员工、合作伙伴或你自己的管理员)访问你的服务内容,我们可根据请求为你提供关于该访问的报告。

8. 在安全性和隐私方面,你们能做出怎样的承诺?

我们愿意代表 Office 365 与每个客户签订数据处理条款、HIPAA 商业伙伴协议以及欧盟示范条款。我们也符合 ISO 27001、ISO 27018、FISMA 和 FedRAMP 等标准。有关详细信息,请访问 Office 365 信任中心的独立认证部分。

9. 你们如何确保服务的可靠性?

我们在设计和操作中应用最佳实践,例如冗余、复原、分布式服务和监控(仅为部分示例)。我们最近开始发布服务的季度正常运行时间数据。有关详细信息,请访问 Office 365 信任中心的透明操作部分。

10. 在保持服务正常运行方面,你们能做出怎样的承诺?

我们通过有雄厚财力支撑的服务级别协议提供 99.9% 的正常运行时间。如果客户的每月正常运行时间低于 99.9%,我们将对客户给予服务信用形式的补偿。

如需查看有关 Microsoft Office 365 如何为客户提供上述相关保障的详细信息和证明依据,请访问 Office 365 信任中心

1. 我们严格控制物理数据中心的访问,只有授权人员方可访问;我们还实施了多层物理安全措施,例如生物特征读取器、动作传感器、24 小时门卫、摄像机监控和安全破坏警报。

2. 我们对静止数据以及通过网络在数据中心与用户之间传输的数据均进行加密。

3. 我们不会为广告方面的目的挖掘或访问你的数据。

4. 我们仅为提供服务而使用客户数据;未经你许可,我们不会以其他方式查看你的邮箱。

5. 我们会定期备份你的数据。

6. 在你的服务期满时,我们不会立刻删除你帐户中的所有数据,而是给你留出一定时间,让你可以利用我们提供的数据移植服务。

7. 我们将在相同地区托管你的客户数据。

8. 我们会强制实施“硬”密码,以加强数据安全性。

9. 我们允许你根据自己的需求打开和关闭影响隐私的功能。

10. 我们依照合同约定,履行我们在批量许可协议的数据处理条款中做出的承诺。有关详细信息,请访问 Office 365 信任中心的独立认证部分。

1. 美国医治保险携带和责任法案 (HIPAA):

对于可能是法律规定“受规范实体”的客户,HIPAA 对其规定了关于处理受电子保护的健康信息的安全、隐私和报告要求。Microsoft 在开发 Office 365 时提供了物理、管理和技术安全措施,以帮助客户符合 HIPAA 要求。我们向任何客户提供 HIPAA 商业伙伴协议 (BAA)。有关 HIPAA BAA 的详细信息,请访问 HIPAA/HITECH 常见问题解答 (英文版)

2. 数据处理条款:

我们通过数据处理条款为客户提供关于 Microsoft 处理和保护客户数据的附加合同保证。同意这些条款后,我们将履行从全球法规中收集的 40 多条特定安全承诺。数据处理条款中的可靠承诺也默认为客户提供。

3. 联邦信息安全管理法 (FISMA)

要求美国联邦机构制定、记录并实施控制以确保其信息和信息系统安全。联邦风险和授权管理项目 (FedRAMP) 是一个联邦风险管理项目,旨在用标准化方法评估和监管云产品和服务的安全性。FedRAMP/FISMA 常见问题解答 (英文版)介绍了 Office 365 服务如何遵循与 FedRAMP/FISMA 相关的安全和隐私流程。

4. ISO 27001:

ISO 27001 是全球最佳安全基准之一。经认证,Office 365 中的很多产品均满足由 ISO 27001:2013 定义的物理、逻辑、流程和管理控制的严格要求。最新的审核还包括 ISO 27018 隐私控制。ISO 评估中包含的 ISO 27018 新控制将进一步帮助 Office 365 向客户说明 Office 365 可以提供哪种程度的保护来保护客户数据的隐私。

5. 欧盟 (EU) 示范条款:

欧盟资料保护指令是欧盟隐私和人权法的重要工具,要求欧盟客户合法将个人数据传输到欧盟境外。欧盟示范条款被视为在云计算环境中将个人数据合法传输到欧盟境外的首选方法。提供欧盟示范条款涉及投资和建立满足欧盟示范条款严格要求的运营控制措施和流程。除非云服务提供商愿意签署欧盟示范条款,否则客户很难确保提供商能遵循欧盟资料保护指令中的要求,合法将欧盟个人数据传输到不能为个人数据提供“充分保护”的管辖权地。欧盟示范条款常见问题解答介绍了 Microsoft 针对欧盟示范条款所采用的受监管机构认可的方法。

6. ISO 27018:

Microsoft 是第一个被独立认证为符合 ISO 27018 的主要云服务提供商,它为保护云中存储的个人信息隐私建立了统一的国际方法。符合 ISO 27018 意味着,我们仅处理与客户说明一致的个人信息,对客户数据所发生的情况保持透明,为云中的个人信息提供强大的安全保护,客户数据不会用于广告用途,还会在政府访问客户数据时告知客户。

7. 家庭教育权和隐私法案 (FERPA):

FERPA 对美国教育机构提出了与学生教育记录(包括电子邮件和附件)的使用和披露有关的要求。Microsoft 认同 FERPA 对于学生教育记录使用和披露的限制,同意不会出于广告目的扫描电子邮件或文档。

8. 鉴证业务准则公告第 16 号 (SSAE 16):

Office 365 已通过独立第三方审计,能够提供表明服务如何实施控制的 SSAE16 SOC 1 一类和二类以及 SOC 2 二类报表。

9. 美国格雷姆-里奇-比利雷法案 (GLBA):

美国格雷姆-里奇-比利雷法案要求金融机构设定流程,保护客户的非公开个人信息。GLBA 实施策略来保护信息免遭安全性和数据完整性方面的可预见威胁。受 GLBA 管理的客户可以使用 Office 365,并且仍能实现 GLBA 要求。

10. 健康信息信任联盟 (HITRUST):

Office 365 团队与独立评估方合作完成了对我们 HITRUST 合规性的评估。HITRUST 被美国医疗机构视作一项重要的标准,且已经建立了通用安全框架 (CSF)(一个认证框架,可供所有创建、访问、存储或交换个人健康和财务信息的组织所用)。

有关 Office 365 合规性的详细信息,请访问针对行业标准和法规的合规性框架文档 (英文版)