Overholdelse af angivne standarder og beskyttelse af personlige oplysninger
Microsoft er forpligtet til de højeste niveauer af tillid, gennemsigtighed, overholdelse af standarder og overholdelse af lovgivningen. Microsoft's brede pakke af cloud-produkter og -tjenester er alle bygget fra bunden for at imødekomme de strengeste krav til sikkerhed og beskyttelse af personlige oplysninger fra vores kunder.
For at hjælpe din organisation med at overholde nationale, regionale og branchespecifikke krav til indsamling og brug af enkeltpersoners data, Microsoft leverer du det mest omfattende sæt af tilbud om overholdelse af angivne standarder (herunder certificeringer og attesteringer) fra enhver cloudtjenesteudbyder. Der findes også værktøjer, som administratorer kan bruge til at understøtte din organisations indsats. I denne del af dokumentet gennemgås mere detaljeret de ressourcer, der er tilgængelige, som kan hjælpe dig med at fastlægge og opnå dine egne krav til organisationen.
Sikkerhedscenter
Trust Microsoft Center er en centraliseret ressource til at få oplysninger om Microsoft sin portefølje af produkter. Dette omfatter oplysninger om sikkerhed, beskyttelse af personlige oplysninger, overholdelse af angivne standarder og gennemsigtighed. Selvom dette indhold kan indeholde en del af disse oplysninger Power Apps, er det vigtigt altid at henvise til Microsoft Center for sikkerhed og rettighedsadministration for at få de mest opdaterede autoritative oplysninger.
Du kan finde oplysninger om Center for sikkerhed og rettigheder til Microsoft Power Platform her: https://www.microsoft.com/trust-center/product-overview. Dette omfatter oplysninger om Power Apps, Microsoft Power Automate og Power BI.
Placering af data
Microsoft driver flere datacentre over hele verden, der understøtter Power Platform-applikationerne Microsoft . Når din organisation opretter en lejer, etableres den geografiske standardplacering (geo). Når du opretter miljøer til understøttelse af programmer og Microsoft Dataverse-dataindehold, kan du disse miljøer også være rettet mod en bestemt geo. Du kan finde en opdateret liste over geografiske områder for Microsoft Power Platform her https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location
For at understøtte kontinuitet i handlinger Microsoft kan data replikeres til andre områder inden for et geografisk område, men dataene flyttes ikke uden for det geografiske område for at understøtte datarobusthed. Dette understøtter muligheden for hurtigere failover eller gendannelse, hvis der er en alvorlig afbrydelse. Der er visse rimelige undtagelser til opbevaring af data i den bestemte geo, der vises på ovenstående websted, og som primært fokuserer på jura og support. Det er også vigtigt at bemærke, at du eller dine brugere kan udføre handlinger, der fremviser data uden for geo. Andre tjenester kan også konfigureres til at få adgang til dataene og vise dem uden for geo. Autoriserede brugere kan som standard få adgang til platformen og dine programmer og data fra et hvilket som helst sted i verden, hvor der er forbindelse.
Databeskyttelse
Data, når de overføres mellem brugerenheder og datacentrene, er sikret Microsoft . Forbindelser, der oprettes mellem kunder og Microsoft datacentre, krypteres, og alle offentlige slutpunkter sikres ved hjælp af branchestandarden TLS. TLS etablerer effektivt en browser med forbedret sikkerhed til serverforbindelser for at sikre datafortrolighed og integritet mellem computere og datacentre. API-adgang fra kundeslutpunktet til serveren er også beskyttet på lignende måde. TLS 1.2 (eller nyere) er påkrævet i øjeblikket for at få adgang til serverslutpunkterne.
Data, der overføres via datagateway i det lokale miljø, krypteres også. Data, som brugere overfører, sendes typisk til Azure Blob Storage, og alle metadata og artefakter for selve systemet lagres i en Azure SQL-database og et Azure-tabellager.
Alle miljøer for Dataverse-databasen bruger SQL Server TDE (Transparent Data Encryption) til at udføre kryptering af data i realtid ved skrivning til disk, også kaldet kryptering i hvile.
Som standard,gemmer og administrerer databasekrypteringsnøglerne til dine miljøer, Microsoft så du ikke behøver at gøre det. Nøgleadministrationsfunktionen i Power Platform Administration giver administratorer mulighed for selv at styre de databasekrypteringsnøgler, der er knyttet til miljøer i Dynamics 365 (online). Du kan læse mere om at administrere dine egne nøgler her , men generelt anbefales det, at du har Microsoft administreret nøglerne, medmindre du har et specifikt forretningsbehov for at vedligeholde dine egne.
Ressourcer til at administrere GDPR-overholdelse
Generel forordning om databeskyttelse (GDPR) i EU giver personer vigtige rettigheder med hensyn til deres data. Se Microsoft Learn Resumé af generel forordning om databeskyttelse for at få en oversigt over GDPR, herunder terminologi, en handlingsplan og tjeklister for parathed, der kan hjælpe dig med at opfylde dine forpligtelser i henhold til GDPR, når du bruger Microsoft produkter og tjenester.
Du kan få mere at vide om GDPR, og hvordan Microsoft du hjælper med at understøtte den og vores kunder, der er berørt af den.
- Microsoft Center for sikkerhed og rettighedsadministration indeholder generelle oplysninger, bedste praksis for overholdelse af angivne standarder og dokumentation, der er nyttig for GDPR-ansvarlighed, f.eks. konsekvensanalyser af databeskyttelse, anmodninger fra registrerede og underretning om brud på datasikkerheden.
- Service Trust-portalen indeholder oplysninger om, hvordan Microsoft tjenester hjælper med at understøtte overholdelse af GDPR.
Som administrator vil en af de vigtigste aktiviteter, der understøtter beskyttelse af personlige oplysninger, være relateret til DSR-anmodninger (Data Subject Rights). Disse er formelle anmodninger fra en registreret til en datacontroller (sandsynligvis din organisation) om at håndtere deres personlige data i dine systemer. Registrerede har ret til at anskaffe kopier, anmode om rettelser, begrænse behandlingen af dataene, slette data og modtage kopier i et elektronisk format, så de kan flyttes til en anden datacontroller.
Følgende links peger på detaljerede oplysninger, som kan hjælpe dig med at reagere på anmodninger fra registrerede, afhængigt af de funktioner, der bruges i din organisation.
| Platformfunktionsområde | Links til detaljerede svartrin |
|---|---|
| Power Apps | Besvarelse af anmodninger om registrering af registreredes rettigheder (DSR) om eksport Power Apps af kundedata |
| Dataverse | Besvarelse af anmodninger om Dataverse kundedata (Data Subject Rights (DSR) |
| Power Automate | Besvarelse af anmodninger fra registrerede om Power Automate |
| Microsoft Konti (MSA'er) | Svar på anmodninger om registreredes rettigheder |
| Kundeengagement-apps | Dynamics 365-registreredes anmodninger om beskyttelse af personlige oplysninger |
Microsoft 365 Security and Compliance Center
Brug Microsoft Purview Overholdelsesstyring til at administrere din indsats for overholdelse af angivne standarder på tværs af Microsoft cloudtjenester på et enkelt sted.
Power Automate-overvågningsloghændelser
I overvågningslogsøgning i overholdelsescenteret kan administratorer søge efter og få vist Power Automate-hændelser. Hændelser omfatter oprettet flow, redigeret flow, slettet flow, redigerede tilladelser, slettede tilladelser, startede en betalt prøveversion, fornyede en betalt prøveversion. Du kan vælge, hvad du vil søge i og en tidsramme, ved hjælp af portalen.
Log på Purview-compliance-portal Microsoft .
Vælg Overvågning under Løsninger.
Under Aktiviteter skal du vælge de Power Automate-aktiviteter, der skal overvåges.
Vælg Søg.
Når søgningen er fuldført, skal du vælge den for at se listen over relaterede aktiviteter.
Klik på en række på listen for at se oplysningerne om aktiviteterne.
Overvågningsdata bevares i 90 dage. Du kan foretage CDSV-eksport af data, så du kan flytte dem til Excel eller PowerBI til yderligere analyse. Du kan finde en fuldstændig gennemgang af, hvordan du bruger overvågningsoplysningerne, her: https://flow.microsoft.com/blog/security-and-compliance-center/