前十大項目清單

客戶需要的是本質上兼具安全與可靠兩大特點的現成生產力解決方案。為協助您判斷雲端生產力服務的安全性與可靠度,並選擇符合您安全性期望的雲端服務提供者,我們已找出幾項必須考量的重要隱私權與安全性要點,這些內容應能協助您做出適當的決定。

使用下列三個前十大項目清單有助於您節省時間並且做出更為明智的決策。

 
全部顯示

1. 針對我們儲存在貴公司服務中的資料,其擁有權歸屬於誰?貴公司會使用我們的資料來製作廣告產品嗎?

成為 Office 365 的客戶後,您的資料為您個人所有且由您掌控。除了提供您所訂閱的服務,本公司不會將您的資料用於其他用途。身為服務提供者,我們並不會掃描您的電子郵件或文件以做為廣告用途。如需詳細資訊,請瀏覽 Office 365 信任中心的本公司對貴用戶資料之使用方式

2. 貴公司的服務是否提供隱私權控制?

在預設情況下,每位服務使用者均可使用隱私權控制,並可視貴組織的需求來關閉或開啟受隱私權影響的功能。本公司將按照合約中的資料處理條款,致力於提供完備的隱私權和安全性措施。

3. 我們是否可以知道資料在服務中的儲存位置?

我們會公開資料的儲存位置。如需詳細資訊,請瀏覽 Office 365 信任中心中的我的資料在哪裡

4. 貴公司對於安全性提供何種措施?貴公司提供哪些安全性功能以保護服務防範外部攻擊?

安全性是 Office 365 最重要的設計方針與功能之一。我們對於安全性的著眼點橫跨軟硬體、資料中心的實體安全性、原則與控制,以及獨立稽核單位驗證等各個層面。

安全性功能可概略分為兩大類別:1) 內建安全性和 2) 客戶控制。Microsoft 為保護所有 Office 365 客戶的資訊安全及提供高可用性服務而採取的措施,均可歸類為內建安全性;客戶控制則可讓您根據貴組織的特定需求自訂 Office 365。如需上述兩個安全性功能的詳細資料,請參閱 Office 365 信任中心的安全性一節

5. 我們是否可將自己的資料從貴公司的服務中移除?

您的資料為您個人所有,而且您可以針對儲存在 Office 365 的資料保留所有權利、所有權和利益。在訂閱期間及訂閱結束後的 90 天內,您隨時可以因任何原因下載所有資料的複本,且不需要 Microsoft 提供任何協助。如需詳細資訊,請瀏覽 Office 365 信任中心中的您的資料為您個人所有

6. 服務內容如有變更,貴公司是否會通知我們?如果我們的資料遭到盜用,是否也會通知我們?

我們會通知您服務中有關任何安全性、隱私權以及合規性方面的異動資訊。若是您的資料遭到不當存取,我們也會立即通知您。

7. 貴公司是否會公開將如何使用及存取我們的資料?

本公司會公開與資料儲存相關的各項資訊,例如資料所在的地理位置、有權存取您資料的 Microsoft 人員,以及本公司內部處理這類資訊的方式。如需詳細資訊,請瀏覽 Office 365 信任中心的誰可以存取您的資料一節。

我們對於您的資料存取事宜所採取的立場是:
您隨時可以存取您的客戶資料。客戶資料的存取會受到嚴格的管控及記錄,並由 Microsoft 和第三方執行抽樣稽核,以證明存取資料僅供適當的商務用途。我們了解客戶的相關內容格外重要,如有 Microsoft 人員、合作夥伴或您的管理員存取您在服務中的內容,我們可在您的要求下為您提供相關報告。

8. 就安全性和隱私權方面而言,貴公司提供哪些承諾?

本公司願意代表 Office 365 簽署各項客戶資料處理條款、HIPAA 商業夥伴合約和歐盟示範條款。我們也會遵循 ISO 27001、ISO 27018、FISMA 和 FedRAMP 等標準。如需詳細資訊,請瀏覽 Office 365 信任中心的獨立驗證一節。

9. 貴公司如何確保服務的可靠性?

本公司會在備援、復原、分散式服務和監控 (僅列舉部分項目) 等設計和操作方面採用最佳做法。我們最近已開始發佈每季服務上線時間的相關數據。如需詳細資訊,請瀏覽 Office 365 信任中心的透明化作業一節。

10. 關於隨時保持服務正常運作,貴公司有何承諾?

我們透過有財務後盾的服務等級協定提供 99.9% 的上線時間。若是客戶發生每月上線時間低於 99.9% 的情形,我們將透過服務費扣抵來為客戶做出補償。

如需 Microsoft Office 365 如何針對上述問題為客戶做出保證的詳細資訊和證明論點,請瀏覽 Office 365 信任中心

1. 本公司限制只有獲得授權的人員才能進入實體資料中心,並實作多層實體安全性,例如生物測量讀取機、動作感應器、24 小時安全存取、攝影機監視,以及安全性缺口警示。

2. Office 365 不僅能讓您加密靜態資料,還能讓資料在資料中心與使用者間透過網路傳輸時進行加密。

3. 本公司不會為了廣告用途而進行資料採礦或存取您的資料。

4. 本公司只會將客戶資料用於提供服務;未經您的許可,我們不會查看您的信箱。

5. 本公司會定期備份您的資料。

6. 當您的服務到期時,在您有機會利用本公司所提供的資料可攜功能前,我們不會刪除您帳戶中的所有資料。

7. 本公司會在您的所在區域為您的客戶資料提供託管服務。

8. 本公司會強制執行「複雜」密碼,以提升資料的安全性。

9. 本公司允許您根據自己的需求關閉及開啟受隱私權影響的功能。

10. 本公司會按照大量授權合約中的資料處理條款履行承諾。如需詳細資訊,請瀏覽 Office 365 信任中心的獨立驗證一節。

1. 健康保險流通與責任法案 (HIPAA):

HIPAA 在處理電子保護的健康資訊方面,會對客戶中可能為「涵蓋實體」的人員施以法律安全性、隱私權和報告要求的規範。Microsoft 開發的 Office 365 可提供實體、系統管理和技術防護措施,以協助客戶符合 HIPAA 的規定。我們會為每位客戶提供一份 HIPAA 商業夥伴合約 (BAA)。如需有關 HIPAA BAA 的詳細資訊,請瀏覽 HIPAA/HITECH 常見問題集 (英文)

2. 資料處理條款:

Microsoft 針對處理及保護客戶資料方面在資料處理條款中為客戶提供了額外的合約保證。我們接受這些條款,致力於履行從全世界各地收集而來的 40 種以上的安全性承諾。所有客戶預設即適用我們資料處理條款中的承諾。

3. 聯邦資訊安全管理法案 (FISMA)

規定美國聯邦政府必須開發、記錄並實作可保護資訊和資訊系統安全的控管措施。聯邦風險與授權管理計畫 (FedRAMP) 是提供評估及監控雲端產品和服務安全性的標準方法的一項聯邦風險管理計畫。FedRAMP/FISMA 常見問題集 (英文) 說明了 Office 365 服務如何遵循與 FedRAMP/FISMA 相關的安全性和隱私權流程。

4. ISO 27001:

ISO 27001 是全世界通行的最佳安全性效能評定之一。Office 365 中的許多產品已通過驗證,符合一組由 ISO 27001:2013 所定義的實體、邏輯、處理及管理的嚴格控制。這也包括在最近稽核中通過的 ISO 27018 隱私權控制。在 ISO 評鑑納入這些最新的 ISO 27018 控制後,Office 365 將可進一步向客戶保證 Office 365 所提供的客戶資料隱私權保護措施層級安全有效。

5. 歐盟 (EU) 示範條款:

歐盟資料保護指令是一項歐盟隱私權和人權法律的主要文書,這項指令規定歐盟地區的客戶可合法地將個人資料轉送至歐盟以外的地區。歐盟示範條款為雲端運算環境建議了將個人資料傳送至歐盟以外地區的合法方式。該條款對營運方面的控管措施與流程有著嚴謹的規定,提供歐盟示範條款的廠商必須投資及建構這些操作控制與流程,才能符合相關規定。除非雲端服務提供者願意遵守歐盟示範條款,並在將個人資料從歐盟轉送至未對個人資料提供「適當保護」的司法轄區時,能確實遵守歐盟資料保護指令的相關規定,否則客戶將難以放心。歐盟示範條款常見問題集說明了 Microsoft 針對歐盟示範條款所制定並獲管制單位核准的作法。

6. ISO 27018:

ISO 27018 針對儲存在雲端中的個人資訊隱私權保護建立了一套國際通用的處理方法,Microsoft 是第一個通過 ISO 27018 規範獨立驗證的主要雲端服務提供者。由於本公司遵循 ISO 27018 的規範,因此我們會採取以下作法:只按照客戶的指示處理個人資訊、公開客戶資料的處理方式、在我們的雲端中為個人資訊提供各式完善的安全性保護、不將客戶資料用於廣告用途,以及在政府存取客戶資料時通知當事人。

7. 家庭教育權利與隱私權法案 (FERPA):

美國教育組織在使用或揭露學生教育記錄 (包括電子郵件和附件) 時須遵守 FERPA 的規定。Microsoft 同意 FERPA 所規定的使用及揭露限制,而這些規定主要是限制我們對於教育記錄的使用,包括同意不掃描電子郵件或文件以用於廣告用途。

8. 審計業務準則聲明第 16 號 (SSAE 16):

Office 365 已通過獨立第三方稽核,並可提供 SSAE16 SOC 1 類型 I 和類型 II 以及 SOC 2 類型 II 報告,藉此說明服務的實作控制方式。

9. 美國金融服務法案 (GLBA):

美國金融服務法案規定金融機構必須設置相關流程以保護客戶的非公開個人資訊。GLBA 會強制執行資訊保護原則,以防範任何可預見的安全性和資料完整性威脅。遵循 GLBA 的客戶可使用 Office 365 以符合 GLBA 的規範。

10. 健康資訊信賴聯盟 (HITRUST):

Office 365 小組已與獨立評估員合作,完成 Office 365 的 HITRUST 合規性情況評估。HITRUST 已建立共同安全架構 (CSF,任何建立、存取、儲存或交換個人健康和財務資訊的組織均可使用此驗證架構),因此美國醫療保健組織將其視為重要的標準。

如需有關 Office 365 合規性的詳細資訊,請參閱我們的產業標準與法規文件的合規性架構 (英文)