Centrum zaufania: informacje dotyczące zabezpieczeń, prywatności i zgodności dla usług Office 365 oraz Microsoft Dynamics CRM Online

Zgodność z przepisami

Czy firma Microsoft dąży do przejrzystości ułatwiającej klientom zachowanie zgodności z przepisami?

Tak. Klienci korzystający z usług Office 365 i Microsoft Dynamics CRM Online w poszczególnych krajach muszą uwzględnić wiele różnych przepisów. Wymagania prawne mogą być zależne od kraju lub branży. Jako dostawca globalnych usług chmury, firma Microsoft musi mieć ujednolicone procedury operacyjne i funkcje stosowane przez różnych klientów i w różnych jurysdykcjach. Aby ułatwić klientom zachowanie zgodności z przepisami, firma Microsoft projektuje swoje usługi zgodnie z typowymi wymaganiami dotyczącymi zachowania poufności informacji i zabezpieczeń, a wbudowane funkcje ułatwiają zachowanie zgodności z różnymi przepisami i zasadami zachowania poufności informacji.

Jednak ostatecznie to klienci oceniają zgodność naszej oferty z ich wymaganiami, aby ustalić, czy nasze usługi spełniają ich wymagania prawne. Konsekwentnie przekazujemy klientom szczegółowe informacje o świadczonych przez nas usługach chmury, aby ułatwić ocenę zgodności z przepisami.

Informacje dotyczące certyfikatów, które mogą ułatwić ocenę zgodności z przepisami, zamieszczono w sekcji Zabezpieczenia, audyty i certyfikaty .

Czy usługi Office 365 i Microsoft Dynamics CRM Online są zgodne z moimi zobowiązaniami prawnymi?

Zapewnienie zgodności z przepisami należy do obowiązków użytkownika. Firma Microsoft udostępnia informacje ułatwiające wykonanie tego zadania.

Konsekwentnie uwzględniamy przepisy dotyczące ochrony danych i zachowania poufności informacji, które zazwyczaj są obowiązkowe w przypadku dostawców usług informatycznych. Jeśli konieczne jest zapewnienie zgodności z wymaganiami obowiązującymi w określonej branży lub jurysdykcji, należy samodzielnie ocenić swoje możliwości wywiązania się z tego zobowiązania, niemniej jednak klienci w wielu branżach i lokalizacjach korzystają z usług Office 365 i Microsoft Dynamics CRM Online w sposób zgodny z przepisami, pod warunkiem że postępują stosownie do okoliczności.

Na przykład organizacje, które obejmuje dyrektywa UE dotycząca ochrony danych, powinny stosować własne zasady, zabezpieczenia i program szkoleniowy, aby mieć pewność, że ich personel nie korzysta z usługi Office 365 lub Microsoft Dynamics CRM Online w sposób niezgodny z tą dyrektywą. Usługi Office 365 i Microsoft Dynamics CRM Online są zgodne ze strategią firmy Microsoft, dlatego ułatwiają zachowanie zgodności.

Na przykład klient z Unii Europejskiej może zapisać listę klientów wraz z informacjami kontaktowymi. Usługi Office 365 i Microsoft Dynamics CRM Online oferują procedury zabezpieczeń, które gwarantują, że personel firmy Microsoft nie uzyska dostępu do tych informacji ani nie ujawni tych informacji w nieprawidłowy sposób. Jeden z pracowników klienta, który jest użytkownikiem usługi Microsoft Exchange Online, może jednak bez odpowiedniego zezwolenia użyć usługi do wysłania takiej listy klientów do firmy marketingowej. Za ewentualne naruszenie wymagań UE dotyczących ochrony danych wynikające z wykonania polecenia klienta przez usługi Office 365 i Microsoft Dynamics CRM Online (np. wysłanie wiadomości e-mail w zwykłym trybie świadczenia usług) odpowiada klient.

Czy korzystanie z usług Office 365 i Microsoft Dynamics CRM Online w Europie jest legalne?

Zgodnie z przepisami Unii Europejskiej dotyczącymi ochrony danych i zobowiązaniem umownym firmy Microsoft usługi Office 365 i Microsoft Dynamics CRM Online pełnią funkcję jednostki zapewniającej ochronę danych w charakterze podwykonawcy („przetwarzający” w rozumieniu dyrektywy).

Klient jest właścicielem danych zobowiązanym do upewnienia się, że firma Microsoft postępuje zgodnie z zasadami, a także do sprawdzenia, czy może legalnie przesyłać dane osobowe do firmy Microsoft („administrator danych” w rozumieniu dyrektywy). Klient musi ustalić, czy jego firma w określonej sytuacji może używać naszych usług do przetwarzania i przechowywania danych osobowych.

Firma Microsoft oferuje i świadczy usługi w typowej konfiguracji zgodnie z wymaganiami określonymi w dyrektywie UE dotyczącej ochrony danych i nieustannie monitoruje ten obszar w celu wykrycia zmian wynikających z ewoluowania usług.

Ponadto firma Microsoft uzyskała certyfikat potwierdzający pełną zgodność z przepisami Safe Harbor dla USA i UE oraz niemal identycznymi przepisami Safe Harbor dla USA i Szwajcarii od Departamentu Handlu Stanów Zjednoczonych, UE i Szwajcarii. W wyniku tego firma Microsoft jest zobowiązana do przestrzegania wymagań określonych w dyrektywie UE dotyczącej ochrony danych i może legalnie przesyłać dane poza Unię Europejską w związku z udostępnianiem usług Office 365 i Microsoft Dynamics CRM Online. Certyfikat Safe Harbor firmy Microsoft jest dostępny w witrynie http://safeharbor.export.gov/ . Firma Microsoft zdaje sobie sprawę z tego, że niektórzy klienci chcą mieć gwarancję bezpieczeństwa na poziomie wyższym niż oferowany przez certyfikat Safe Harbor, dlatego uwzględnia klauzule modelowe UE (nazywane też standardowymi klauzulami) w umowach zawieranych ze wszystkimi klientami. Aby uzyskać więcej informacji dotyczących przesyłania danych poza Unię Europejską, zobacz sekcję „Mapy danych” w Centrum zaufania.

W niektórych krajach firma Microsoft spełnia również wymagania dotyczące bezpieczeństwa przechowywania ważnych danych osobowych. W przypadku wątpliwości dotyczących zasad obowiązujących w danym kraju lub typu przechowywanych danych albo konieczności uzyskania dodatkowych informacji dotyczących praktyk i obsługiwanych funkcji usługi Office 365 lub Microsoft Dynamics CRM Online można skontaktować się z Pomocą techniczną, jeśli nie można znaleźć tych informacji w dokumentacji usługi. Jeśli ujawnienie potrzebnych informacji nie powoduje osłabienia zabezpieczeń stosowanych przez firmę Microsoft, możemy przekazać te informacje, aby ułatwić klientom samodzielne ustalenie, czy można zaakceptować wdrożenie usługi Office 365 lub Microsoft Dynamics CRM Online zgodnie z wymaganiami klienta.

Klient powinien przeczytać odpowiedzi na często zadawane pytania dotyczące zgodności i zrozumieć, że usługi Office 365 i Microsoft Dynamics CRM Online umożliwiają organizacji zachowanie zgodności z przepisami dotyczącymi poufności informacji, jednak nie gwarantuje tej zgodności, ponieważ konieczne może być podjęcie dodatkowych działań, takich jak wprowadzenie odpowiednich zasad w firmie oraz szkolenie pracowników w zakresie stosowania prawidłowych procedur. Ponadto w zależności od kraju konieczne może być podjęcie dodatkowych działań zgodnie z lokalnymi przepisami, na przykład przekazanie informacji do agencji ochrony danych.

Czy dane klientów przetwarzane przez usługę Office 365 lub Microsoft Dynamics CRM Online są rejestrowane przez władze Unii Europejskiej?

Nie. Usługi Office 365 i Microsoft Dynamics CRM Online, jako przetwarzający dane, nie przekazują władzom w Unii Europejskiej danych klientów przetwarzanych w ich imieniu.

Czy usługi Office 365 i Microsoft Dynamics CRM Online są zgodne z wymaganiami określonymi w ustawie Health Insurance Portability and Accountability Act (HIPAA)? Czy firma Microsoft podpisze umowę partnera biznesowego HIPAA Business Associate Agreement (BAA)?

Firma Microsoft pomaga klientom w zapewnieniu zgodności z ustawą HIPAA i jest gotowa podpisywać umowy HIPAA BAA ze wszystkimi klientami. Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące ustawy HIPAA/HITECH .

Czy usługi Office 365 i Microsoft Dynamics CRM Online są zgodne z ustawą Gramm Leach Bliley Act (GLBA)?

Usługi Office 365 i Microsoft Dynamics CRM Online ułatwiają klientom zachowanie zgodności z wymaganiami dotyczącymi zabezpieczeń określonymi w ustawie GLBA, oferując techniczne i organizacyjne środki bezpieczeństwa, dzięki którym klienci mogą zapewnić bezpieczeństwo i zapobiegać nieautoryzowanemu użyciu danych.

Firma Microsoft może zapewnić klientom na żądanie raport zbiorczy dotyczący innych certyfikatów sporządzony przez niezależnego audytora.

Czy usługi Office 365 i Microsoft Dynamics CRM Online są zgodne ze standardem Payment Card Industry Data Security Standard (PCI DSS)? Czy usługa firmy Microsoft umożliwia hosting danych kart kredytowych?

Usługi Office 365 i Microsoft Dynamics CRM Online nie obsługują przetwarzania, przesyłania ani przechowywania danych PCI, takich jak numery kart kredytowych.

Standard PCI nie jest obsługiwany przez usługi Office 365 i Microsoft Dynamics CRM Online ponieważ w tych usługach nie są oferowane funkcje przetwarzania kart kredytowych i przechowywania danych. W usługach Office 365 i Microsoft Dynamics CRM Online są stosowane odpowiednie zasady zabezpieczeń i metody kontroli określone przez sprawdzone procedury w tej branży, takie jak standard ISO 27001 itp.

Należy jednak zauważyć, że systemy przetwarzania zamówień, faktur i płatności w usługach Office 365 i Microsoft Dynamics CRM Online obsługujące dane kart kredytowych są zgodne ze standardem Level One PCI, a klienci mogą bez obaw używać kart kredytowych do płacenia za usługi.

Czy usługa Office 365 jest zgodna z ustawą FERPA?

Instytucja edukacyjna ma różne zobowiązania w ramach ustawy FERPA, dlatego firma Microsoft uwzględnia kluczowe warunki umowy określające sposób użycia i ujawniania rejestrów edukacyjnych, które mogą być przechowywane w usłudze Office 365, dzięki czemu instytucje edukacyjne mogą korzystać z usługi Office 365 w ramach szerszej strategii zgodności z ustawą FERPA.

Zgodnie z ustawą FERPA każda agencja lub instytucja edukacyjna uzyskująca fundusze z Departamentu Edukacji Stanów Zjednoczonych musi chronić prywatność uczniów i studentów przez zapobieganie używaniu lub ujawnianiu rejestrów edukacyjnych bez zgody. Zgodnie z wytycznymi Departamentu Edukacji komunikacja prowadzona za pośrednictwem wiadomości e-mail jest uznawana za rejestry edukacyjne w świetle ustawy FERPA oraz dostawcy usług poczty e-mail w chmurze powinni przestrzegać podobnych wymagań dotyczących sposobu używania oraz ujawniania informacji zawartych w wiadomościach e-mail i dokumentach.

Zgodnie z ustawą FERPA dostawca usługi w chmurze musi wyrazić zgodę na to, że rejestry edukacyjne zawarte w wiadomościach e-mail oraz innych dokumentach elektronicznych wykładowców, nauczycieli, personelu, studentów i uczniów będą używane tylko w wąskim zakresie na potrzeby udostępniania usługi w chmurze oraz że te informacje nie będą skanowane ani używane na potrzeby działań komercyjnych, takich jak działalność reklamowa. Firma Microsoft umożliwia instytucjom edukacyjnym zachowanie zgodności z ustawą FERPA, wyrażając zgodę na zostanie przedstawicielem szkoły zgodnie z ustawą FERPA z uprawnieniami do danych instytucji w celach edukacyjnych oraz na przestrzeganie ograniczeń i wymagań, które dotyczą przedstawicieli szkoły, wynikających z ustawy FERPA — dotyczy to również braku możliwości skanowania wiadomości e-mail i dokumentów instytucji na potrzeby działań reklamowych.