מרכז יחסי האמון: מידע אבטחה, פרטיות ותאימות עבור Office 365 ו- Microsoft Dynamics CRM Online

תאימות לתקינה

האם Microsoft מחויבת לשקיפות במטרה לסייע ללקוחות לעמוד בדרישות התקינה שלהם?

כן. לקוחות Office 365 ו- Microsoft Dynamics CRM Online שלנו בכל העולם כפופים לחוקים ולתקנות רבים ושונים. הדרישות המשפטיות במדינה או בתעשייה אחת עשויות להיות שונות מהדרישות המשפטיות החלות במקום אחר. כספק של שירותי ענן גלובליים, עלינו להפעיל את השירותים שלנו בעזרת נוהלי תפעול ותכונות נפוצים בקרב לקוחות ותחומי שיפוט מרובים. כדי לסייע ללקוחותינו לציית לדרישות הרלוונטיות, אנו בונים את השירותים שלנו מתוך מחשבה על דרישות פרטיות ואבטחה נפוצות, והיכולות המובנות שלנו מסייעות להפגנת תאימות למגוון רחב של תקנות וחוקים בדבר פרטיות.

עם זאת, בסופו של דבר, האחריות להעריך את ההצעות שלנו אל מול הדרישות הרלוונטיות על מנת שיוכלו לקבוע אם השירותים שלנו עונים על צורכי התקינה שלהם, מוטלת על לקוחותינו. אנו מחויבים לספק ללקוחותינו מידע מפורט אודות שירותי הענן שלנו על מנת לסייע להם להעריך בעצמם את תאימות התקינה שלהם.

ניתן למצוא מידע אודות אישורים שעשויים לסייע בתאימות לתקינה, בחלק אבטחה, ביקורות ואישורים .

האם Office 365 ו- Microsoft Dynamics CRM Online תואמים לדרישות התקינה שלי?

האחריות לציית לדרישות התקינה שלך מוטלת עליך. אנו מספקים לך את המידע שיסייע לך לעשות זאת.

אנו מתחייבים לציית לחוקי ההגנה על נתונים והפרטיות החלים בדרך כלל על ספקי שירותי IT. אם אתה כפוף לדרישות של ענף תעשייה או אזור שיפוט מסוים, יהיה עליך להעריך בעצמך את יכולתך לעמוד בדרישות, אך לקוחות בענפי תעשייה ובאזורים גיאוגרפיים שונים רבים גילו שהם יכולים להשתמש ב- Office 365 ו- Microsoft Dynamics CRM Online באופן שמאפשר להם להמשיך ולציית לתקנות החלות, בתנאי שהם משתמשים בשירותים בצורה שמתאימה לנסיבות הספציפיות שלהם.

לדוגמה, לארגונים הכפופים להנחיית האיחוד האירופי בדבר הגנה על נתונים אמורים להיות תקנוני מדיניות, תקני אבטחה ותוכנית הדרכה משלהם, על מנת להבטיח שהצוות שלהם אינו משתמש בשירותי Office 365 או Microsoft Dynamics CRM Online באופן שמפר את ההנחיה. שירותי Office 365 ו- Microsoft Dynamics CRM Online ימלאו את חלקנו על-ידי ציות להבטחות החוזיות שלנו, ובכך יסייעו לך להמשיך ולציית לדרישות התקינה.

לדוגמה, לקוח מהאיחוד האירופי (EU) עשוי לאחסן רשימת לקוחות שכוללת פרטי קשר. ל- Office 365 ו- Microsoft Dynamics CRM Online יש פרוצדורות אבטחה שמבטיחות שהצוות של Microsoft לא ניגש למידע או חושף אותו בצורה שאינה הולמת. עם זאת, אחד מעובדי הלקוח, שהוא משתמש של Microsoft Exchange Online, עשוי להשתמש בשירות כדי לשלוח רשימת לקוחות כזאת אל משווק ללא ההסכמה הנחוצה. כל הפרה של הדרישות להגנה על נתונים של האיחוד האירופי שנובעת מכך ששירותי Office 365 ו- Microsoft Dynamics CRM Online צייתו להנחיית הלקוח - כלומר, גרמו לשליחה של הודעת דואר אלקטרוני בדרך הרגילה של מתן השירותים - היא באחריות הלקוח.

אם אני נמצא באירופה, האם השימוש שלי ב- Office 365 ו- Microsoft Dynamics CRM Online חוקי?

במסגרת הנחיית האיחוד האירופי בדבר הגנה על נתונים וההתחייבויות החוזיות שלנו, שירותי Office 365 ו- Microsoft Dynamics CRM Online משמשים כגורם האחראי לנתונים שלך, ולמעשה כקבלן משנה (החוק מכנה אותנו "מעבד נתונים").

אתה, הלקוח, הוא הבעלים של הנתונים ואתה נושא באחריות לפי חוק לוודא שאנו מצייתים לחוקים, ושמותר לך, על-פי חוק, לשלוח אלינו נתונים אישיים (החוק מכנה אותך "בקר נתונים"). עליך לקבוע אם העסק שלך, במצב הספציפי שלך, רשאי להשתמש בשירותים שלנו לעיבוד ולאחסון של הנתונים האישיים שלך.

הדרישות של הנחיית האיחוד האירופי בדבר הגנה על נתונים נלקחו בחשבון במסגרת התכנון והתפעול של השירותים שלנו לשימוש רגיל, ואנו מנטרים תחום זה ללא הרף במטרה לבדוק אם יש שינויים המתאימים להתפתחות השירותים.

Microsoft גם מחזיקה באישור עצמי במסגרת תוכנית Safe Harbor בין ארה"ב והאיחוד האירופי, כמו גם בתוכנית Safe Harbor כמעט זהה בין ארה"ב ושווייץ, כמוסכם בין לשכת המסחר בארה"ב והאיחוד האירופי ושווייץ, בהתאמה. כתוצאה מכך, אנו מחויבים לציית לדרישות של הנחיית האיחוד האירופי בדבר הגנה על נתונים, ובאפשרותנו להעביר באופן חוקי נתונים אל מחוץ לאיחוד האירופי, על מנת לספק את שירותי Office 365 ו- Microsoft Dynamics CRM Online. ניתן למצוא את אישור Safe Harbor של Microsoft בכתובת http://safeharbor.export.gov/‎ . אנו מבינים שללקוחות מסוימים נדרשות ערובות איתנות יותר מאלו שהאישור העצמי במסגרת תוכנית Safe Harbor יכול לספק, ולכן אנו מוכנים לחתום על סעיפי המודל של האיחוד האירופי (נקראים גם "סעיפים חוזיים סטנדרטיים") עם כל לקוחותינו. לקבלת מידע נוסף אודות העברה של נתונים אל מחוץ לאיחוד האירופי, עיין בחלק 'מפות נתונים' במרכז יחסי האמון.

במדינות מסוימות, אנו מצייתים גם לדרישות האבטחה לאחסון נתונים אישיים רגישים, כפי שמוגדר בחוק. אם יש לך חששות בנוגע לחוקים במדינה שלך או לסוג הנתונים שאתה מאחסן, או אם ברצונך לקבל מידע נוסף אודות שיטות העבודה והתכונות הנתמכות של Office 365 או Microsoft Dynamics CRM Online, ואם אין באפשרותך למצוא מידע זה במסמכי השירות באופן אחר, באפשרותך לפנות לתמיכה. עד למידה שבה חשיפת מידע שימושי אינה פוגעת באבטחה שלנו, נעשה זאת על מנת לסייע לך לקבוע בעצמך, בהתאם לדרישות הרלוונטיות שלך, אם היישום של שירותי Office 365 או Microsoft Dynamics CRM Online קביל.

עליך לקרוא את השאלות הנפוצות בנוגע לתאימות, ולהבין שעצם העובדה ששירותי Office 365 ו- Microsoft Dynamics CRM Online תומכים בתאימות הארגון שלך לחוקי הפרטיות, אין משמעותה שהארגון אכן מציית להם - ייתכן שיש שלבים נוספים שעליך ליישם, כגון אכיפה של תקנוני המדיניות המתאימים של החברה, והדרכה של עובדים להפגנת נוהלי פרטיות טובים. כמו כן, בהתאם לארץ שבה אתה פועל, ייתכן שיש שלבים נוספים שעליך לבצע על מנת לציית לחוק המקומי, כגון מילוי מידע בסוכנות להגנה על נתונים.

האם נתוני לקוחות שמעובדים על-ידי Office 365 או Microsoft Dynamics CRM Online נרשמים ברשויות האיחוד האירופי?

לא, Office 365 ו- Microsoft Dynamics CRM Online, כמעבדי נתונים, אינם רושמים את נתוני הלקוחות שהם מעבדים בשם הלקוחות ברשויות האיחוד האירופי.

האם Office 365 ו- Microsoft Dynamics CRM Online תואמים לדרישות של חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA)? האם Microsoft תחתום על הסכם משותף עסקי ("BAA") של HIPAA?

אנו מסייעים ללקוחותינו לציית לחוק HIPAA ומוכנים לחתום על הסכם BAA של HIPAA עם כל לקוחותינו. עיין בסעיף שאלות נפוצות אודות HIPAA/HITECH לקבלת מידע נוסף.

האם Office 365 או Microsoft Dynamics CRM Online תואם לחוק גראם ליץ' בלילי (GLBA)?

Office 365 ו- Microsoft Dynamics CRM Online מסייעים ללקוחות לציית לדרישות האבטחה של חוק GLBA בכך שהם מספקים אמצעי בטיחות טכניים וארגוניים שמסייעים ללקוחות לשמור על האבטחה ולמנוע שימוש לא מורשה.

Microsoft יכולה לספק ללקוחות, לפי דרישה, דוח סיכום של אישור גורם חיצוני על-ידי מבקר עצמאי.

האם Office 365 או Microsoft Dynamics CRM Online תואם לתקן אבטחת הנתונים של תעשיית כרטיסי התשלום (PCI DSS)? האם ניתן לארח בשירות נתוני כרטיס אשראי?

Office 365 ו- Microsoft Dynamics CRM Online לא תומכים בעיבוד, בהעברה או באחסון של נתונים בפיקוח PCI, כגון מספרי כרטיסי אשראי.

תקן PCI לא חל על Office 365 או Microsoft Dynamics CRM Online משום שעיבוד ואחסון של נתוני כרטיסי אשראי אינם פונקציה שמוצעת על-ידי Office 365 או Microsoft Dynamics CRM Online. Office 365 ו- Microsoft Dynamics CRM Online מחילים תקנוני מדיניות ואמצעי בקרה ישימים לאבטחה, שהוגדרו באמצעות שיטות העבודה המומלצות בתעשייה, כגון תקן ISO 27001 ואחרים.

עם זאת, עליך לדעת כי מערכות ההזמנה, החיובים והתשלומים של Office 365 ו- Microsoft Dynamics CRM Online, שמטפלות בנתוני כרטיסי אשראי, תואמות לתקן Level One PCI, ולקוחות יכולים להשתמש בבטחה בכרטיסי אשראי על מנת לשלם בעבור השירותים.

האם Office 365 תואם לחוק FERPA?

אף על פי שמוסדות חינוך כפופים למחויבויות שונות במסגרת חוק FERPA‏, Microsoft מתנה את התנאים החוזיים המרכזיים החלים על השימוש ברשומות חינוך שייתכן שמאוחסנות ב- Office 365, ועל חשיפתן, ומאפשרים למוסדות חינוך להשתמש ב- Office 365 כחלק מאסטרטגיה רחבה יותר לתאימות לחוק FERPA.

חוק FERPA מחייב כל סוכנות או מוסד חינוכיים שמקבלים מימון ממשרד החינוך בארה"ב, להגן על זכויות הפרטיות של תלמידים, על-ידי שמירה על "רשומות חינוך" מפני שימוש או חשיפה ללא הסכמה. הנחיית משרד החינוך מבהירה כי תכתובות דואר אלקטרוני נחשבות לרשומות חינוך בכפוף לחוק FERPA, וכי על ספקים של דואר אלקטרוני בענן צריכות לחול הגבלות דומות מבחינת האופן שבו הם משתמשים במידע הכלול בהודעות דואר אלקטרוני ומסמכים, או חושפות אותו.

חוק FERPA מחייב ספקים של שירותי ענן להסכים לכך ש"רשומות חינוך" המוכלות בהודעות דואר אלקטרוני ומסמכים אלקטרוניים אחרים של אנשי סגל, אנשי צוות ותלמידים, ישמש אך ורק למטרה הצרה של אספקת שירות הענן, ושמידע מעין זה לא ייסרק או ישמש לתמיכה ותחזוקה של פעילויות מסחריות כגון פרסום. Microsoft מספקת למוסדות חינוך נתיב לתאימות לחוק FERPA באמצעות הסכמה להיחשב ל"גורם רשמי של בית הספר", הכפוף לחוק FERPA עם "עניין חינוכי לגיטימי" בנתוני המוסד, והסכמה לציית להגבלות והדרישות הנכפות על גורמים רשמיים של בית הספר במסגרת חוק FERPA, לרבות הסכמה שלא לסרוק הודעות דואר אלקטרוני או מסמכים של המוסד למטרות פרסום.