Център за сигурност: Информация за защита, поверителност и съответствие за Office 365 и Microsoft Dynamics CRM Online

Съответствие с нормативните документи

Ангажира ли се Microsoft с прозрачност, за да помага на клиентите за съответствие с техните нормативни нужди?

Да. Нашите клиенти на Office 365 и Microsoft Dynamics CRM Online по цял свят се подчиняват на множество различни закони и наредби. Законовите изисквания в една страна или отрасъл може да са несъвместими със законовите изисквания, действащи другаде. Като доставчик на глобални услуги в облака, трябва да извършваме нашите услуги според общите оперативни практики и функции сред множество клиенти и юрисдикции. За да помогнем на нашите клиенти да осигурят съответствие с техните собствени изисквания, сме изградили нашите услуги според общите изисквания за поверителност и защита, а нашите вградени възможности ще разрешат съответствие с широк диапазон от нормативни разпоредби и задължения за поверителност.

Нашите клиенти обаче са тези, които в крайна сметка трябва да оценят дали нашите предложения отговарят на собствените им изисквания, така че те могат да определят дали нашите услуги отговарят на техните нормативни нужди. Ангажираме се да предоставим на нашите клиенти подробна информация за нашите услуги в облака, за да им помогнем да направят оценка на собствените си нормативни изисквания.

Информация за сертификациите, които могат да помогнат за преценка на съответствието с нормативните уредби, се намира в секцията Защита, проверки и сертификации .

Съответстват ли Office 365 и Microsoft Dynamics CRM Online на моите нормативни задължения?

Ваше задължение е да осъществите спазването на вашите нормативни задължения. Ние ви предоставяме информация, за да ви помогнем да направите това.

Ангажираме се да осигурим спазването на законите за защита и поверителност на данните, които са в сила общо за доставчиците на ИТ услуги. Ако се подчинявате на отраслови или юридически изисквания, трябва да направите собствена оценка на способността си да отговорите на тях, но клиентите в много отрасли и географски региони смятат, че могат да използват Office 365 и Microsoft Dynamics CRM Online по начин, който е в съответствие с действащата нормативна уредба, стига да използват услугите по начин, който е подходящ за техните конкретни обстоятелства.

Организациите, които се подчиняват на Европейската директива за защита на данните например, трябва да имат собствена програма за правила, защита и обучение, за да гарантират, че техният персонал не използва услугите на Office 365 или Microsoft Dynamics CRM Online по начин, който нарушава тази Директива. Office 365 или Microsoft Dynamics CRM Online ще правят това, което зависи от нас, като съблюдават дадените от нас договорни обещания, с което ще ви помогнем да запазите съответствието си.

Например клиент от Европейския съюз (ЕС) може да съхранява списък с клиенти, съдържащ информация за връзка. В Office 365 или Microsoft Dynamics CRM Online има процедури за защита, които да гарантират, че персоналът на Microsoft няма да осъществи достъп до или да разкрие тази информация по неправилен начин. Обаче някой от служителите на клиента, който е потребител на Microsoft Exchange Online, може да използва услугата, за да изпрати такъв списък на клиентите на търговец без съответното съгласие. Всяко нарушение на изисквания за защита на данните на ЕС, получено в резултат на това, че Office 365 и Microsoft Dynamics CRM Online са следвали разпореждане на клиента – а именно, имейл да бъде изпратен по обичайния начин на предоставяне на услугите – е отговорност на клиента.

Ако съм в Европа, законно ли е да използвам Office 365 и Microsoft Dynamics CRM Online ?

Според Директивата за защита на данните на ЕС и нашите договорни споразумения Office 365 и Microsoft Dynamics CRM Online действат като съхранител на вашите данни, по същество подизпълнител (законът ни нарича "обработващ данни").

Вие, клиентът, сте собственик на тези данни и отговаряте пред закона да се уверите, че спазваме правилата и че за вас е законно да изпращате лични данни на нас (законът ви нарича "управляващ данните"). Вие трябва да определите за вашата фирма във вашата конкретна ситуация дали може да използвате нашите услуги за обработка и съхранение на вашите лични данни.

Изискванията на Директивата за защита на данните на ЕС са взети предвид при проектирането и работата на нашите услуги при нормална употреба и ние непрекъснато наблюдаваме тази област за промени, релевантни на развитието на услугите.

Microsoft е също и самосертифицирана по програмите U.S.–EU Safe Harbor и почти идентичната U.S.–Switzerland Safe Harbor, съгласувана с Министерството на търговията на САЩ и съответно ЕС и Швейцария. В съответствие с това ние се задължаваме да спазваме изискванията на Директивата за защита на данните на ЕС и законно можем да прехвърляме данни извън ЕС, за да предоставяме услугите на Office 365 и Microsoft Dynamics CRM Online. Сертификатът Safe Harbor на Microsoft може да бъде намерен на http://safeharbor.export.gov/ . Ние разбираме, че някои клиенти се нуждаят от уверения, които са по-значими от това, което може да даде самосертифицирането за Safe Harbor, поради което имаме готовност да подпишем Клаузите на модела на ЕС (известни още като "Стандартните договорни клаузи") с всички клиенти. За повече информация относно прехвърлянето на данни извън ЕС вж. секцията "Карти на данни" на Центъра за сигурност.

В някои страни се придържаме също и към изискванията за защита при съхранение на лични данни, както е определено от закона. Ако сте загрижени за правилата във вашата страна или за типа съхранявани от вас данни, а също ако искате повече информация за практиките и поддържаните от Office 365 или Microsoft Dynamics CRM Online функции, но не можете да намерите тази информация по друг начин в документацията за услугата, може да се обърнете към поддръжката. До степента, в която разкриването на полезна информация не отслабва нашата защита, ще го правим, за да ви помогнем да определите сами приемливостта на реализацията на Office 365 или Microsoft Dynamics CRM Online по отношение на вашите изисквания.

Трябва да прочетете често задаваните въпроси за съответствието и да разберете, че само това, че Office 365 или Microsoft Dynamics CRM Online поддържат спазването на законите за поверителност от вашата организация, не значи, че вашата организация наистина ги спазва – може да има допълнителни стъпки, които трябва да направите, например да изработите подходящи правила за фирмата и да обучите своите служители на добри практики на поверителност. Освен това, в зависимост от вашата страна, може да има допълнителни стъпки, които трябва да направите, за да осигурите спазването на местните закони – например да регистрирате тази информация във вашата агенция за защита на данните.

Данните на клиента, които се обработват от Office 365 или Microsoft Dynamics CRM Online, регистрират ли се от властите в ЕС?

Не, Office 365 или Microsoft Dynamics CRM Online, като обработващи данните, не регистрират при властите на ЕС данните, които обработват от името на своите клиенти.

Спазват ли Office 365 или Microsoft Dynamics CRM Online изискванията на Закона за преносимост и отчетност на здравните осигуровки (HIPAA)? Има ли готовност Microsoft да подпише Споразумение за бизнес партньор по HIPAA (BAA)?

Ние помагаме на нашите клиенти да спазват HIPAA и сме готови да подпишем BAA за HIPAA с всички клиенти. Вижте ЧЗВ ЗА HIPAA/HITECH за повече информация.

Съответства ли Office 365 или Microsoft Dynamics CRM Online на Закона "Грам Лийч Блайли" (GLBA)?

Office 365 и Microsoft Dynamics CRM Online помагат на клиентите си да спазват изискванията за защита на GLBA, като предоставя технически и организационни предпазни мерки, които да помогнат на клиентите да поддържат защитата и да предотвратяват неупълномощено използване.

При поискване Microsoft може да предостави на клиентите си кратък отчет за сертификацията на трето лице от независим одитор.

Съответства ли Office 365 или Microsoft Dynamics CRM Online на Стандарта за защита на данните на отрасъла за разплащателни карти (PCI DSS)? Мога ли да съхранявам данни за кредитни карти във вашата услуга?

Office 365 и Microsoft Dynamics CRM Online не поддържат обработката, прехвърлянето или съхраняването на данни, регулирани от PCI – например номера на кредитни карти.

Стандартът PCI не е приложим за Office 365 или Microsoft Dynamics CRM Online, тъй като обработката и съхраняването на данни за кредитни карти не е функция, предлагана от Office 365 или Microsoft Dynamics CRM Online. Office 365 и Microsoft Dynamics CRM Online наистина прилагат действащите правила за защита и средства за контрол, определени от най-добрите практики в отрасъла, например ISO 27001 и други.

Обърнете внимание обаче, че системите за поръчки, фактуриране и разплащане в Office 365 и Microsoft Dynamics CRM Online, които оперират с данни за кредитни карти, съответстват на Level One PCI и потребителите без притеснение могат да използват кредитни карти за заплащане на услугите.

Office 365 съответства ли на FERPA?

Една образователна институция има много и разнообразни задължения съгласно FERPA, поради което Microsoft осигурява основните договорни условия, на които се подчинява използването и разкриването на образователните регистри, които може да се съхраняват в Office 365, което позволява на образователните институции да използват Office 365 като част от една по-широка стратегия за съответствие с FERPA.

FERPA изисква всяка образователна агенция или институция, която получава финансиране от Министерството на образованието на САЩ, да защитава правата на поверителност на обучаваните, като предпазва "образователните регистри" от използване или разкриване без позволение. В указанието на Министерството на образованието се пояснява, че имейл комуникациите се считат за предмет на образователните регистри, подчинени на FERPA, и че доставчиците на имейл в облак трябва да се ограничават по сходен начин при своето използване или разкриване на информация в имейли и документи. 

FERPA изисква един доставчик на имейл в облак да приеме, че "образователните регистри", съдържащи се в имейлите и другите електронни документи на преподавателите, администрацията и обучаваните, ще бъдат използвани само със строгото предназначение да се предоставя обслужване в облак и че такава информация не трябва да се сканира или използва за поддържане и извършване на търговски дейности, като например реклама. Microsoft предоставя на образователните институции път към съответствието с FERPA, като се съгласява да бъде "официален учебен" предмет за FERPA с "легитимни образователни интереси" в данните на институцията и да спазва ограниченията и изискванията, наложени от FERPA върху служебните лица на учебното заведение, включително със съгласие, че няма да сканира имейли или документи на институцията за рекламни цели.