Обзор управления конфиденциальностью и данными

Как корпорация Майкрософт обеспечивает конфиденциальность для клиентов?

Корпорация Майкрософт стремится защищать данные клиентов, как описано в условиях продукта и в добавлении к защите данных (DPA). Подход Корпорации Майкрософт к обеспечению конфиденциальности коммерческих клиентов основан на следующих принципах: вы управляете своими данными, знаете, где находятся и как они используются, безопасность неактивных и передаваемых данных, а также защита данных от стороннего доступа.

Как корпорация Майкрософт выполняет свои обязательства по обеспечению конфиденциальности?

Корпорация Майкрософт выполняет свои обязательства по обеспечению конфиденциальности в рамках политики корпоративной конфиденциальности Майкрософт и стандарта конфиденциальности Майкрософт. Чтобы обеспечить согласованное и соответствующее принятие этих требований, корпорация Майкрософт создала советы по управлению, советы и комитеты. В нашей программе конфиденциальности используется модель управления "центральная и периферийная", при которой обязанности по обеспечению соответствия требованиям распределяются между компанией. "Центр" — это группа CELA (корпоративные, внешние и юридические вопросы), в которую входит главный сотрудник по вопросам конфиденциальности, который отвечает за управление конфиденциальностью. Кроме того, у нас есть назначенный сотрудник по защите данных Европейского союза (ЕС) (DPO) для удовлетворения требований к конфиденциальности, характерных для ЕС. "Спицы" находятся в наших инженерных и функциональных группах и отвечают за реализацию требований конфиденциальности.

Корпорация Майкрософт выполняет свои требования к конфиденциальности путем аудита и сертификации сторонних производителей, таких как ISO 27018 и ISO 27701.

Как корпорация Майкрософт собирает и обрабатывает данные клиентов?

DPA определяет три категории данных: данные клиента, персональные данные и данные профессиональных услуг.

Корпорация Майкрософт обрабатывает данные из этих категорий для предоставления продуктов и услуг в рамках документированных инструкций клиентов и для бизнес-операций. Проще говоря, корпорация Майкрософт обрабатывает данные для предоставления услуг, устранения неполадок, обслуживания и улучшения. Данные не используются для профилирования пользователей, рекламы или исследования рынка.

Подробные описания этих действий приведены в разделах DPA "Обработка для предоставления клиенту продуктов и услуг" и "Обработка для бизнес-операций Инцидент с предоставлением продуктов и услуг клиенту".

Как корпорация Майкрософт обеспечивает конфиденциальность данных клиентов?

Модель управления конфиденциальностью Майкрософт гарантирует, что средства управления конфиденциальностью защищают конфиденциальность данных клиентов. Эти элементы управления подробно описаны в наших сторонних отчетах, таких как ISO 27001 и 27701, доступных на портале service Trust Portal. В этих отчетах рассматриваются элементы управления минимизацией, хранением и удалением данных, расположением и передачей, а также общим доступом.

Следует отметить несколько ключевых мер:

  • Доступ к данным. Корпорация Майкрософт предполагает, что все данные клиента включают персональные данные и применяет соответствующие меры безопасности без доступа к данным для проверки их содержимого.
  • Обработка данных. Корпорация Майкрософт псевдонимизирует и агрегирует данные для защиты конфиденциальности. Дополнительные сведения см. в разделе DPA .
  • Изоляция данных. Корпорация Майкрософт использует методы изоляции данных для разделения облачных клиентов, обеспечивая клиентам доступ только к собственным данным. Чтобы узнать, как изолировать или разделять содержимое клиентов, ознакомьтесь со статьей Обзор архитектуры . Кроме того, корпорация Майкрософт запрещает использование данных клиента в средах тестирования.

Что корпорация Майкрософт делает для защиты данных клиентов?

Как описано в DPA, корпорация Майкрософт обеспечивает защиту данных клиентов. В нескольких статьях в Service Assurance содержатся общие сведения об этих мерах безопасности. См. такие разделы, как шифрование, управление доступом, безопасность центров обработки данных и сети , управление персоналом и поставщиками и управление уязвимостями.

Как корпорация Майкрософт обрабатывает сторонний общий доступ к данным?

Сторонний общий доступ — это совместное использование данных с третьими лицами или раскрытие данных третьим лицам. Корпорация Майкрософт будет предоставлять общий доступ к данным только в том случае, если это разрешено клиентом или требуется в соответствии с действующим законодательством. Корпорация Майкрософт не предоставляет никаким правительственным учреждениям (включая правоохранительные или другие государственные органы) прямой или свободный доступ к данным клиента. Дополнительные сведения см. в отчете о запросах правоохранительных органов и отчете о порядке национальной безопасности США , чтобы узнать, как корпорация Майкрософт реагирует на правительственные запросы на доступ к данным.

Использует ли корпорация Майкрософт субобработчиков или субподрядчиков?

Сведения о том, как корпорация Майкрософт управляет поставщиками, см. на странице Управление поставщиками .

У кого есть доступ к данным клиентов в корпорации Майкрософт?

Сведения о том, как корпорация Майкрософт управляет доступом к данным клиентов, см. на странице Управление удостоверениями и доступом .

Где находятся данные клиента?

Для основных веб-служб ознакомьтесь с нашими обязательствами, изложенными в условиях продукта и DPA , чтобы найти самую актуальную информацию о расположении данных клиентов.

Как описано в DPA для основных веб-служб, корпорация Майкрософт хранит неактивные данные клиентов в определенных основных географических районах (каждый из них — географическое расположение), как указано в условиях использования продукта. Для коммерческих услуг в область границы данных Microsoft EU корпорация Майкрософт хранит и обрабатывает данные клиентов в Пределах Европейского союза, как описано в условиях продукта. Корпорация Майкрософт не контролирует и не ограничивает регионы, из которых клиент или конечные пользователи клиента могут получать доступ к данным клиента или перемещать их.

Дополнительные сведения см. на странице Конфиденциальность Майкрософт. Где находятся ваши данные .

Сведения о службах Azure и M365 см. в разделе Расположение данных Azure и расположения данных M365.

Другие расположения данных служб:

Что такое граница данных Microsoft EU?

Граница данных ЕС — это обязательство Microsoft Online Services, которое предоставляет клиентам в ЕС и ЕАСТ больший контроль и прозрачность в отношении того, где хранятся и обрабатываются их данные. Начиная с 1 января 2023 г. корпорация Майкрософт предложит клиентам возможность хранить и обрабатывать данные клиентов в рамках границ данных ЕС для служб Microsoft 365, Azure, Power Platform и Dynamics 365. В этом выпуске корпорация Майкрософт расширяет существующие локальные обязательства по хранению и обработке, значительно сокращая потоки данных из Европы и опираясь на наши лучшие в отрасли решения по размещению данных.

На ближайших этапах границы данных ЕС корпорация Майкрософт расширит решение для границ данных ЕС, включив в него хранение и обработку дополнительных категорий персональных данных, включая данные, предоставляемые при получении технической поддержки.

Дополнительные сведения см. в:

Как корпорация Майкрософт удаляет данные клиентов, когда клиент покидает службу?

Когда клиент заканчивает свою подписку, корпорация Майкрософт сохраняет данные клиента в учетной записи ограниченной функции в течение 90 дней, что позволяет клиенту извлекать эти данные. По истечении этого периода корпорация Майкрософт удаляет данные, если хранение не санкционировано или не требуется по закону. Не более чем через 180 дней после окончания подписки корпорация Майкрософт отключает учетную запись и удаляет все данные, делая ее неустранимой.

Корпорация Майкрософт также удаляет персональные данные из системных журналов. Для любой подписки подписчик может обратиться в службу поддержки Майкрософт и запросить ускоренное удаление подписки. Когда клиент использует этот процесс, все данные пользователя удаляются через 3 дня после ввода администратором кода блокировки, предоставленного корпорацией Майкрософт. Это удаление включает данные в SharePoint Online и Exchange Online в состоянии удержания или в неактивных почтовых ящиках.

Корпорация Майкрософт следует рекомендациям NIST SP-800-88 по уничтожению устройств, способных хранить данные, как описано в статье Об уничтожении устройств, несущих данные .

Предоставляет ли корпорация Майкрософт рекомендации клиентам по соответствию GDPR?

Корпорация Майкрософт ведет документацию по руководству, чтобы помочь клиентам в выполнении их роли в качестве контролера данных. Ниже приведены некоторые ключевые ресурсы GDPR. однако клиенты должны обратиться к своим специалистам по правовым вопросам и соответствию, чтобы понять и выполнить свои обязательства по GDPR.

Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с конфиденциальностью, см. в следующей таблице.

Azure и Dynamics 365

Внешний аудит Section Дата последнего отчета
ISO 27018

Заявление о применимости
Сертификат
A-2.1. Назначение процессора PII в общедоступном облаке 8 апреля 2024 г.
ISO 27701

Заявление о применимости
Сертификат
Все элементы управления 8 апреля 2024 г.
SOC 1; DS-15: прекращение или истечение срока действия подписки клиента
SDL-1: методология жизненного цикла разработки безопасности (SDL)
LA-4: защита конфиденциальных данных клиентов
16 августа 2024 г.
SOC 2;
SOC 3
DS-15: прекращение или истечение срока действия подписки клиента
SDL-1: методология жизненного цикла разработки безопасности (SDL)
LA-4: защита конфиденциальных данных клиентов
SOC2-1: классификация активов
SOC2-7: опубликованные обязательства по конфиденциальности и безопасности
Пятница, 20 мая 2024 г.

Microsoft 365

Внешний аудит Section Дата последнего отчета
ISO 27018

Заявление о применимости
Сертификат
A-2.1. Назначение процессора PII в общедоступном облаке Март 2024 г.
ISO 27701

Заявление о применимости
Сертификат
Все элементы управления Март 2024 г.
SOC 2; CA-12: соглашения об уровне обслуживания (SLA)
CA-17: политика безопасности Майкрософт
CA-25: обновления платформы управления
23 января 2024 г.

Ресурсы