Overholdelse af angivne standarder og beskyttelse af personlige oplysninger
Microsoft arbejder for at skabe de højeste niveauer for tillid, gennemsigtighed, standardkonformitet og lovpligtig overholdelse af angivne standarder. Microsofts omfattende pakke af cloud-produkter og -tjenester bygges helt fra bunden for at kunne håndtere de strengeste krav til sikkerhed og beskyttelse af personlige oplysninger for kunderne.
For at hjælpe din organisation med at overholde de nationale, regionale og branchespecifikke krav, der gælder for indsamling og brug af enkeltpersoners data, leverer Microsoft det mest omfattende sæt til overholdelse af angivne standarder (herunder certificeringer og attester) af alle cloudtjenesteudbydere. Der findes også værktøjer, som administratorer kan bruge til at understøtte din organisations indsats. I denne del af dokumentet gennemgås mere detaljeret de ressourcer, der er tilgængelige, som kan hjælpe dig med at fastlægge og opnå dine egne krav til organisationen.
Sikkerhedscenter
Microsoft Sikkerhedscenter er en central ressource til indsamling af oplysninger om Microsofts udvalg af produkter. Dette omfatter oplysninger om sikkerhed, beskyttelse af personlige oplysninger, overholdelse af angivne standarder og gennemsigtighed. Selvom dette indhold kan have nogle undersæt af disse oplysninger til Power Apps, er det vigtigt, at du altid refererer til Microsoft Sikkerhedscenter for at få de mest opdaterede, pålidelige oplysninger.
Du kan finde oplysninger om Center for sikkerhed og rettigheder til Microsoft Power Platform her: https://www.microsoft.com/trust-center/product-overview. Dette omfatter oplysninger om Power Apps, Microsoft Power Automate og Power BI.
Placering af data
Microsoft benytter flere datacentre i hele verden, der understøtter Microsoft Power Platform-programmerne. Når din organisation opretter en lejer, etableres den geografiske standardplacering (geo). Når du opretter miljøer til understøttelse af programmer og Microsoft Dataverse-dataindehold, kan du disse miljøer også være rettet mod en bestemt geo. Du kan finde en opdateret liste over geografiske områder for Microsoft Power Platform her https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location
For at understøtte kontinuitet af drift kan Microsoft replikere data til andre områder i et geografisk område, men dataene flyttes ikke uden for dette geografiske område for at understøtte datarobusthed. Dette understøtter muligheden for hurtigere failover eller gendannelse, hvis der er en alvorlig afbrydelse. Der er visse rimelige undtagelser til opbevaring af data i den bestemte geo, der vises på ovenstående websted, og som primært fokuserer på jura og support. Det er også vigtigt at bemærke, at du eller dine brugere kan udføre handlinger, der fremviser data uden for geo. Andre tjenester kan også konfigureres til at få adgang til dataene og vise dem uden for geo. Autoriserede brugere kan som standard få adgang til platformen og dine programmer og data fra et hvilket som helst sted i verden, hvor der er forbindelse.
Databeskyttelse
Data, der er undervejs mellem brugerenheder og Microsoft-datacentre, er sikret. Forbindelser, der er oprettet mellem kunder og Microsoft-datacenter, er krypterede, og alle offentlige slutpunkter er sikret med branchestandard-TLS. TLS etablerer effektivt en browser med forbedret sikkerhed til serverforbindelser for at sikre datafortrolighed og integritet mellem computere og datacentre. API-adgang fra kundeslutpunktet til serveren er også beskyttet på lignende måde. TLS 1.2 (eller nyere) er påkrævet i øjeblikket for at få adgang til serverslutpunkterne.
Data, der overføres via datagateway i det lokale miljø, krypteres også. Data, som brugere overfører, sendes typisk til Azure Blob Storage, og alle metadata og artefakter for selve systemet lagres i en Azure SQL-database og et Azure-tabellager.
Alle miljøer for Dataverse-databasen bruger SQL Server TDE (Transparent Data Encryption) til at udføre kryptering af data i realtid ved skrivning til disk, også kaldet kryptering i hvile.
Som standard gemmer og styrer Microsoft databasekrypteringsnøglerne til dine miljøer, så du ikke behøver at gøre det. Nøgleadministrationsfunktionen i Power Platform Administration giver administratorer mulighed for selv at styre de databasekrypteringsnøgler, der er knyttet til miljøer i Dynamics 365 (online). Du kan få mere at vide om administration af dine egne nøgler her, men generelt anbefales det, at Microsoft administrerer nøglerne, medmindre du har et særligt virksomhedsbehov for at vedligeholde dine egne.
Ressourcer til at administrere GDPR-overholdelse
Generel forordning om databeskyttelse (GDPR) i EU giver personer vigtige rettigheder med hensyn til deres data. Du kan finde en oversigt i Microsoft Learn Generel forordning om databeskyttelse-oversigt for at se en oversigt over GDPR, herunder terminologi, en handlingsplan og kontrollister for parathed, der kan hjælpe dig med at opfylde dine forpligtelser i henhold til GDPR ved brug af Microsoft-produkter og tjenester.
Du kan få mere at vide om GDPR, og hvordan Microsoft er med til at understøtte det og de kunder, der er berørt af det.
- Microsoft Sikkerhedscenter indeholder generelle oplysninger, bedste praksis for overholdelse af regler og dokumentation, som kan være nyttig i forbindelse med GDPR-regnskab, f.eks. overensstemmelsesanalyser vedrørende databeskyttelse, forespørgsler om data om emne og meddelelse om anvendelse af data.
- Service Trust portal indeholder oplysninger om, hvordan Microsoft Services kan hjælpe dig med at understøtte overholdelse af GDPR.
Som administrator vil en af de vigtigste aktiviteter, der understøtter beskyttelse af personlige oplysninger, være relateret til DSR-anmodninger (Data Subject Rights). Disse er formelle anmodninger fra en registreret til en datacontroller (sandsynligvis din organisation) om at håndtere deres personlige data i dine systemer. Registrerede har ret til at anskaffe kopier, anmode om rettelser, begrænse behandlingen af dataene, slette data og modtage kopier i et elektronisk format, så de kan flyttes til en anden datacontroller.
Følgende links peger på detaljerede oplysninger, som kan hjælpe dig med at reagere på anmodninger fra registrerede, afhængigt af de funktioner, der bruges i din organisation.
| Platformfunktionsområde | Links til detaljerede svartrin |
|---|---|
| Power Apps | Besvarelse af anmodninger om registrering af registreredes rettigheder (DSR) om eksport Power Apps af kundedata |
| Dataverse | Besvarelse af anmodninger om Dataverse kundedata (Data Subject Rights (DSR) |
| Power Automate | Besvarelse af anmodninger fra registrerede om Power Automate |
| Microsoft-konti (MSA'er) | Svar på anmodninger om registreredes rettigheder |
| Kundeengagement-apps | Dynamics 365 Den registreredes anmodninger om beskyttelse af personlige oplysninger |
Microsoft 365 Security and Compliance Center
Brug Microsoft Purview Overholdelsesstyring til at administrere dine tiltag for overholdelse af angivne standarder på tværs af Microsoft-cloudtjenester på ét sted.
Power Automate-overvågningsloghændelser
I overvågningslogsøgning i overholdelsescenteret kan administratorer søge efter og få vist Power Automate-hændelser. Hændelser omfatter oprettet flow, redigeret flow, slettet flow, redigerede tilladelser, slettede tilladelser, startede en betalt prøveversion, fornyede en betalt prøveversion. Du kan vælge, hvad du vil søge i og en tidsramme, ved hjælp af portalen.
Vælg Overvågning under Løsninger.
Under Aktiviteter skal du vælge de Power Automate-aktiviteter, der skal overvåges.
Vælg Søg.
Når søgningen er fuldført, skal du vælge den for at se listen over relaterede aktiviteter.
Klik på en række på listen for at se oplysningerne om aktiviteterne.
Overvågningsdata bevares i 90 dage. Du kan foretage CDSV-eksport af data, så du kan flytte dem til Excel eller PowerBI til yderligere analyse. Du kan finde en fuldstændig gennemgang af, hvordan du bruger overvågningsoplysningerne, her: https://flow.microsoft.com/blog/security-and-compliance-center/