Trung tâm Tin cậy: Thông tin về Bảo mật, Quyền riêng tư và Tuân thủ dành cho Office 365 và Microsoft Dynamics CRM Online

Tuân thủ quy chế

Microsoft có cam kết minh bạch để giúp khách hàng tuân thủ những yêu cầu về quy chế không?

Có. Khách hàng sử dụng Office 365 và Microsoft Dynamics CRM Online của chúng tôi trên khắp thế giới phải tuân thủ nhiều luật và quy định khác nhau. Các yêu cầu pháp lý trong một quốc gia hoặc ngành có thể không nh?t quán với các yêu cầu pháp lý hiện hành ở nơi khác. Là một nhà cung cấp dịch vụ dựa trên ứng dụng web qua internet toàn cầu, chúng tôi phải vận hành các dịch vụ của mình với các thông lệ và tính năng hoạt động chung trên nhiều khách hàng và khu vực có thẩm quyền pháp lý. Để giúp khách hàng của chúng tôi tuân thủ yêu cầu của riêng họ, chúng tôi đã lưu ý xây dựng dịch vụ có yêu cầu về bảo mật và quyền riêng tư chung, và khả năng tích hợp của chúng tôi cho phép tuân thủ nhiều quy định và ủy nhiệm v? quyền riêng tư.

Tuy nhiên, cuối cùng chính khách hàng của chúng tôi là người đánh giá việc cung cấp dịch vụ của chúng tôi so với yêu cầu của chính họ, để họ có thể xác định dịch vụ của chúng tôi có đáp ứng được những yêu cầu về quy chế của họ không. Chúng tôi cam kết cung cấp cho khách hàng của mình thông tin chi tiết về các dịch vụ dựa trên ứng dụng web qua internet của chúng tôi để giúp họ tự đưa ra đánh giá về mặt quy chế của mình.

Thông tin về các chứng nhận có thể hỗ trợ trong việc tuân thủ quy chế nằm trong phần Bảo mật, kiểm định và chứng nhận .

Office 365 và Microsoft Dynamics CRM Online có tuân thủ các nghĩa vụ theo quy chế của tôi không?

B?n có ngh?a v? phải tuân thủ các nghĩa vụ theo quy chế áp d?ng cho mình. Chúng tôi cung cấp thông tin cho bạn để giúp bạn tuân thủ nghĩa vụ của mình.

Chúng tôi cam kết tuân thủ các luật về quyền riêng tư và bảo vệ dữ liệu có hiệu lực chung đối với các nhà cung cấp dịch vụ CNTT. Nếu bạn phải tuân thủ các yêu cầu của ngành hoặc khu vực có thẩm quyền pháp lý, bạn cần tự đánh giá khả năng tuân thủ của bản thân, nhưng khách hàng ở nhiều ngành và khu vực địa lý đã thấy rằng họ có thể sử dụng Office 365 và Microsoft Dynamics CRM Online theo cách vẫn tuân thủ các quy định hiện hành, miễn là họ sử dụng dịch vụ theo cách phù hợp với trường hợp cụ thể của mình.

Ví dụ: các tổ chức chịu sự điều chỉnh của Chỉ thị về Bảo vệ Dữ liệu của Liên minh Châu Âu phải có các chính sách, chương trình bảo mật và đào tạo của mình để đảm bảo nhân viên của họ không sử dụng dịch vụ Office 365 hoặc Microsoft Dynamics CRM Online theo cách vi phạm Chỉ thị này. Office 365 và Microsoft Dynamics CRM Online sẽ thực hiện phần nghĩa vụ của mình bằng cách tuân thủ cam kết theo hợp đồng, do đó giúp bạn tiếp tục tuân thủ.

Ví dụ: khách hàng thuộc Liên minh Châu Âu (EU) có thể lưu trữ danh sách khách hàng chứa thông tin liên hệ. Office 365 và Microsoft Dynamics CRM Online có sẵn các quy trình bảo mật để đảm bảo rằng nhân viên của Microsoft không truy nh?p trái phép hoặc tiết lộ thông tin này. Tuy nhiên, một trong các nhân viên của khách hàng là người dùng Microsoft Exchange Online có thể sử dụng dịch vụ để gửi danh sách khách hàng đó đến người tiếp thị mà không được sự đồng ý thích hợp. Mọi vi phạm hệ quả đối với yêu cầu bảo vệ dữ liệu của Liên minh Châu Âu xuất phát từ việc Office 365 và Microsoft Dynamics CRM Online tuân theo chỉ dẫn của khách hàng – cụ thể là, bằng cách gửi email trong khi cung cấp dịch vụ thông thường – là trách nhiệm của khách hàng.

Nếu tôi ở Châu Âu, tôi có được phép sử dụng Office 365 và Microsoft Dynamics CRM Online không?

Theo Chỉ thị về Bảo vệ Dữ liệu của Liên minh Châu Âu và cam kết theo hợp đồng của chúng tôi, Office 365 và Microsoft Dynamics CRM Online đóng vai trò là người quản lý dữ liệu của bạn, về cơ bản là một nhà thầu phụ (theo luật, chúng tôi là "người xử lý dữ liệu").

Bạn, với tư cách là khách hàng, có quyền sở hữu dữ liệu và trách nhiệm theo luật để đảm bảo rằng chúng tôi đang tuân thủ các quy định và việc bạn gửi dữ liệu cá nhân cho chúng tôi là hợp pháp (theo luật, bạn là "người kiểm soát dữ liệu"). Trong tình hu?ng c? th? c?a mình, bạn phải xác định cho doanh nghiệp c?a mình xem bạn có thể sử dụng dịch vụ của chúng tôi để xử lý và lưu trữ dữ liệu cá nhân của mình không.

Các yêu cầu của Chỉ thị về Bảo vệ Dữ liệu của Liên minh Châu Âu đã được xem xét trong việc thiết kế và vận hành dịch vụ của chúng tôi cho mục đích sử dụng thông thường và chúng tôi tiếp tục giám sát lĩnh vực này về các thay đổi liên quan đến sự phát triển dịch vụ.

Microsoft cũng tự chứng nhận theo chương trình Safe Harbor của Hoa Kỳ - Liên minh Châu Âu và gần giống với các chương trình Safe Harbor của Hoa Kỳ - Thụy Sĩ, theo thỏa thuận tương ứng giữa Bộ Thương mại Hoa Kỳ v?i Liên minh Châu Âu và Thụy Sĩ. Do đó, chúng tôi có nghĩa vụ tuân thủ yêu cầu của Chỉ thị về Bảo vệ Dữ liệu của Liên minh Châu Âu và có thể truyền dữ liệu hợp pháp bên ngoài Liên minh Châu Âu nhằm cung cấp các dịch vụ Office 365 và Microsoft Dynamics CRM Online. Chứng nhận Safe Harbor của Microsoft có tại http://safeharbor.export.gov/ . Chúng tôi hiểu rằng một số khách hàng cần các biện pháp đảm bảo mạnh mẽ hơn so với những gì mà quy trình tự chứng nhận của Safe Harbor có thể cung cấp, đó là lý do tại sao chúng tôi sẵn sàng ký Điều khoản Mô hình của Liên minh Châu Âu (còn gọi là “Điều khoản Hợp đồng Chuẩn”) với tất cả khách hàng. Để biết thêm thông tin về truyền dữ liệu bên ngoài Liên minh Châu Âu, hãy xem phần Bản đồ Dữ liệu của Trung tâm Tin cậy.

Ở một số quốc gia, chúng tôi cũng tuân thủ các yêu cầu bảo mật về lưu trữ dữ liệu cá nhân nhạy cảm, theo luật quy định. Nếu bạn có thắc mắc về các quy định tại quốc gia c?a mình hoặc loại dữ liệu bạn đang lưu trữ hoặc muốn biết thêm thông tin về các thông lệ và tính năng được hỗ trợ của Office 365 hoặc Microsoft Dynamics CRM Online, và nếu bạn không thể tìm thấy thông tin đó trong tài liệu dịch vụ, bạn có thể liên hệ với Bộ phận hỗ trợ. Trong phạm vi không làm giảm mức độ bảo mật của chúng tôi khi tiết lộ thông tin hữu ích, chúng tôi sẽ tiết lộ thông tin để giúp bạn đưa ra quyết định của riêng mình về khả năng chấp nhận triển khai Office 365 hoặc Microsoft Dynamics CRM Online so với yêu cầu của bạn.

Bạn nên đọc các câu hỏi thường gặp về Tuân thủ và hiểu rằng chỉ vì Office 365 và Microsoft Dynamics CRM Online hỗ trợ việc tuân thủ các luật về quyền riêng tư của tổ chức bạn không có nghĩa là tổ chức bạn đã tuân thủ; có thể bạn cần thực hiện thêm một số bước như áp dụng đúng chính sách của công ty và đào tạo nhân viên theo các thông lệ phù hợp về quyền riêng tư. Đồng thời, tuỳ thuộc vào quốc gia của bạn, bạn có thể cần thực hiện các bước bổ sung để tuân thủ luật địa phương, ví dụ như đệ trình thông tin lên cơ quan bảo vệ dữ liệu của bạn.

Dữ liệu khách hàng do Office 365 hoặc Microsoft Dynamics CRM Online xử lý có được đăng ký với các cơ quan thẩm quyền của Liên minh Châu Âu không?

Không, Office 365 và Microsoft Dynamics CRM Online, với tư cách là người xử lý dữ liệu, không đăng ký với các cơ quan thẩm quyền của Liên minh Châu Âu dữ liệu khách hàng mà chúng tôi xử lý thay mặt cho khách hàng.

Office 365 và Microsoft Dynamics CRM Online có tuân thủ các yêu cầu của Đạo luật về Trách nhiệm và Khả năng chuyển đổi Bảo hiểm Y tế (HIPAA) không? Microsoft có ký kết Thoả thuận Hội Doanh nghiệp (BAA) HIPAA không?

Chúng tôi giúp khách hàng tuân thủ HIPAA và sẵn sàng ký BAA HIPAA với tất cả khách hàng. Vui lòng xem Câu hỏi Thường gặp về HIPAA/HITECH để biết thêm thông tin.

Office 365 hay Microsoft Dynamics CRM Online có tuân thủ Đạo luật Gramm Leach Bliley (GLBA) không?

Office 365 và Microsoft Dynamics CRM Online giúp khách hàng tuân thủ các yêu cầu về bảo mật của GLBA bằng cách cung cấp các biện pháp bảo vệ kỹ thuật và tổ chức để giúp khách hàng duy trì bảo mật và ngăn việc sử dụng trái phép.

Theo yêu cầu, Microsoft có thể cung cấp cho khách hàng báo cáo tổng hợp về chứng nhận của bên thứ ba thông qua một kiểm định viên độc lập.

Office 365 hay Microsoft Dynamics CRM Online có tuân thủ Chuẩn Bảo mật Dữ liệu trong Lĩnh vực Thẻ Thanh toán (PCI DSS) không? Tôi có thể lưu trữ dữ liệu thẻ tín dụng trên dịch vụ của bạn không?

Office 365 và Microsoft Dynamics CRM Online không hỗ trợ việc xử lý, truyền hoặc lưu trữ dữ liệu do PCI quản lý, ví dụ như số thẻ tín dụng.

Chuẩn PCI không áp dụng đối với Office 365 hoặc Microsoft Dynamics CRM Online vì xử lý thẻ tín dụng và lưu trữ dữ liệu không phải là chức năng mà Office 365 hoặc Microsoft Dynamics CRM Online cung cấp. Office 365 và Microsoft Dynamics CRM Online áp dụng các chính sách và biện pháp kiểm soát bảo mật hiện hành được các thông lệ tốt nhất trong ngành như ISO 27001 và các thông lệ khác xác định.

Tuy nhiên, hãy lưu ý rằng các hệ thống đặt hàng, lập hoá đơn và thanh toán của Office 365 và Microsoft Dynamics CRM Online xử lý dữ liệu thẻ tín dụng Tuân thủ PCI Mức 1 và khách hàng có thể sử dụng thẻ tín dụng để thanh toán dịch vụ một cách tin cậy.

Office 365 có tuân thủ FERPA không?

Mặc dù tổ chức giáo dục có nhiều nghĩa vụ khác nhau theo FERPA, Microsoft quy định các điều khoản chính trong hợp đồng quản lý việc sử dụng và tiết lộ hồ sơ giáo dục có thể được lưu trữ trong Office 365, cho phép các tổ chức giáo dục sử dụng Office 365 như một phần của chiến lược tuân thủ FERPA rộng hơn.

FERPA yêu cầu mọi cơ quan hoặc tổ chức giáo dục nhận được quỹ của Bộ Giáo dục Hoa Kỳ ph?i bảo vệ quyền riêng tư của sinh viên bằng cách bảo vệ “hồ sơ giáo dục” khỏi việc sử dụng hoặc tiết lộ trái phép. Hướng dẫn của Bộ Giáo dục nêu rõ rằng thông tin liên hệ qua email được coi là hồ sơ giáo dục tuân theo FERPA và các nhà cung cấp email dựa trên ứng dụng web qua internet sẽ bị hạn chế tương tự về cách sử dụng hoặc tiết lộ thông tin trong email và tài liệu.

FERPA yêu cầu nhà cung cấp dịch vụ dựa trên ứng dụng web qua internet đồng ý rằng “hồ sơ giáo dục” có trong email của khoa, giáo viên và sinh viên cũng như tài liệu điện tử khác sẽ chỉ được sử dụng cho mục đích hẹp là cung cấp dịch vụ dựa trên ứng dụng web qua internet và rằng thông tin như vậy sẽ không được sao chụp hay sử dụng để hỗ trợ và duy trì các hoạt động thương mại như quảng cáo. Microsoft cung cấp cho các tổ chức giáo dục lộ trình tuân thủ FERPA bằng cách đồng ý được coi là “viên chức trường học” tuân theo FERPA với “lợi ích giáo dục hợp pháp” trong dữ liệu của tổ chức, và bằng cách đồng ý tuân thủ các hạn chế và yêu cầu do FERPA đặt ra với các viên chức trường học, bao gồm việc đồng ý sẽ không sao chụp email hay tài liệu của tổ chức vì mục đích quảng cáo.