Udostępnij za pośrednictwem

Zgodność z przepisami i prywatność danych

  • Artykuł

Microsoft zobowiązuje się do osiągnięcia najwyższego poziomu zaufania, przejrzystości, zgodności ze standardami i zgodności z przepisami. MicrosoftSzeroka gama produktów i usług chmurowych jest tworzona od podstaw, aby sprostać najbardziej rygorystycznym wymaganiom naszych klientów w zakresie bezpieczeństwa i prywatności.

Aby pomóc organizacji w spełnieniu krajowych, regionalnych i branżowych wymagań dotyczących gromadzenia i używania danych Microsoft osób fizycznych, udostępnia najbardziej kompleksowy zestaw ofert zgodności (w tym certyfikaty i zaświadczenia) spośród wszystkich dostawców usług w chmurze. Dostępne są również narzędzia ułatwiające administratorom poddziały pomocy w działaniach organizacji. W tej części dokumentu będziemy dokładniej omawiać dostępne zasoby, aby pomóc w ustaleniu i osiągnięciu własnych wymagań organizacji.

Centrum zaufania

Microsoft Centrum zaufania to scentralizowane źródło informacji na temat Microsoft portfolio produktów firmy. Informacje te obejmują między innymi bezpieczeństwo, prywatność, zgodność i przejrzystość. Chociaż ta zawartość może zawierać pewien podzbiór tych informacji Power Apps, ważne jest, aby zawsze odwoływać się do Microsoft Centrum zaufania, aby uzyskać najbardziej aktualne wiarygodne informacje.

W razie potrzeby informacje o Centrum zaufania usługi Microsoft Power Platform można znaleźć tutaj: https://www.microsoft.com/trust-center/product-overview. Znajdują się tam informacje o usługach Power Apps, Microsoft Power Automate i Power BI.

o lokalizacji danych

Microsoft obsługuje wiele centrów danych na całym świecie, które obsługują aplikacje platformy Microsoft Power. Podczas ustanawiania przez organizację dzierżawcy ustanawiana jest domyślna lokalizacja geograficzna (geo). Oprócz tego podczas tworzenia środowisk obsługujących aplikacje i zawierających dane środowiska Microsoft Dataverse mogą być ukierunkowane na konkretne dane geograficzne. W tym miejscu Microsoft Power Platform można znaleźć aktualną listę lokalizacji geo https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Aby zapewnić ciągłość operacji, Microsoft może replikować dane do innych regionów w obszarze geograficznym, ale dane nie będą przenoszone poza obszar geograficzny w celu zapewnienia odporności danych. Obejmuje to możliwość przełączenia awaryjnego lub szybszego przywrócenia funkcjonalności w razie poważnej awarii zasilania. Niektóre z tych usług są z pewnymi uzasadnionymi wyjątkami ukierunkowanymi na legalność i obsługę techniczną. Ważne jest również, aby pamiętać, że użytkownik lub użytkownicy mogą podejmować działania mające na celu ujawnienie danych poza geograficznymi. Inne usługi mogą również zostać skonfigurowane w taki sposób, aby mieli dostęp do danych i uwidaczniać je poza danymi geo. Domyślnie uprawnieni użytkownicy mogą uzyskiwać dostęp do platformy i swoich aplikacji i danych z dowolnego miejsca na świecie, na którym jest nawiązywana łączność.

Ochrona danych

Dane przesyłane między urządzeniami użytkowników a centrami Microsoft danych są zabezpieczone. Połączenia nawiązywane między klientami a Microsoft centrami danych są szyfrowane, a wszystkie publiczne punkty końcowe są zabezpieczone przy użyciu standardowego protokołu TLS. Protokół TLS skutecznie ustanawia udoskonaloną przeglądarkę, która zwiększa bezpieczeństwo serwera, aby zapewnić spójność danych i integralność między komputerami stacjonarnymi a danymi. Dostęp za pośrednictwem interfejsu API z klienta punkt końcowy do serwera jest również w podobny sposób chroniony. Obecnie protokół TLS 1.2 (lub nowszy) jest wymagany w celu uzyskania dostępu do punktów końcowych serwera.

Dane przesyłane za pośrednictwem lokalnej bramy danych są również szyfrowane. Dane przekazywane przez użytkowników są zwykle wysyłane do magazynu obiektów Blob Azure, a wszystkie metadane i artefakty samego systemu są przechowywane w usłudze Azure SQL Database i w magazynie tabel Azure.

Wszystkie środowiska bazy danych Dataverse używają przezroczystego szyfrowania danych (TDE) na serwerze SQL do wykonywania szyfrowania w czasie rzeczywistym podczas zapisywania na dysk, znanego również jako szyfrowanie w stanie spoczynku.

Domyślnie przechowuje klucze szyfrowania bazy danych dla środowisk i zarządza nimi, Microsoft dzięki czemu nie musisz tego robić. Funkcja zarządzania kluczami w centrum administracyjnym Power Platform umożliwia administratorom samodzielnie zarządzanie kluczami szyfrowania bazy danych, które są skojarzone ze środowiskami Dynamics 365 (online). Więcej informacji na temat zarządzania własnymi kluczami można znaleźć tutaj , ale ogólnie zaleca Microsoft się zarządzanie kluczami, chyba że masz konkretną potrzebę biznesową dotyczącą obsługi własnych.

Zasoby umożliwiające zarządzanie zgodnością z RODO

Ogólne rozporządzenie o ochronie danych (RODO) Unii Europejskiej (UE) daje znaczne prawa osobom prywatnym dotyczące ich danych. Zapoznaj się z Microsoft Learn podsumowaniem ogólnego rozporządzenia o ochronie danych, aby zapoznać się z przeglądem RODO, w tym terminologią, planem działania i listami kontrolnymi gotowości, które pomogą Ci spełnić obowiązki wynikające z RODO podczas korzystania z Microsoft produktów i usług.

Możesz dowiedzieć się więcej o RODO i o tym, jak Microsoft pomaga je wspierać, a także o naszych klientach, których ono dotyczy.

  • Microsoft Centrum zaufania zawiera ogólne informacje, najlepsze praktyki w zakresie zgodności i dokumentację pomocną w rozliczaniu z RODO, taką jak oceny skutków dla ochrony danych, żądania osób, których dane dotyczą, i powiadomienia o naruszeniu danych.
  • Portal zaufania usług zawiera informacje o tym, w jaki sposób Microsoft usługi pomagają w zapewnianiu zgodności z RODO.

Jako administrator jedno z kluczowych działań wspierających prywatność będzie związane z żądaniami dotyczącymi praw osób, których dane dotyczą (DSR). Są to formalne żądania od danych podlegających danemu użytkownikowi przez kontrolera danych (możliwie to Twoja organizacja) do działania. Osoby, których dane dotyczą, mają prawo do uzyskania kopii, żądania sprostowania, ograniczenia przetwarzania danych, usunięcia danych i otrzymania kopii w formacie elektronicznym, aby można je było przenieść do innego administratora danych.

Poniższe łącza wskazują na szczegółowe informacje pomocne w reagowaniu na żądania DSR, w zależności od cech, które są używane przez organizację.

Strefa funkcji platformy: Łączenie się z szczegółowymi krokami odpowiedzi
Power Apps Odpowiadanie na żądania dotyczące praw osób, których dane dotyczą (DSR) dotyczące eksportu Power Apps danych klientów
Dataverse Odpowiadanie na żądania dotyczące praw osób, których dane dotyczą (DSR) dotyczące Dataverse danych klientów
Power Automate Odpowiadanie na wnioski osób, których dane dotyczą, dotyczące Power Automate
Microsoft Rachunki (MSA) Odpowiadanie na żądania dotyczące praw osób, których dane dotyczą
Aplikacje zaangażowania klientów Żądania osób, których dane dotyczą, Dynamics 365 dotyczące prywatności

Centrum zabezpieczeń i zgodności usługi Microsoft 365

Użyj Menedżera Microsoft zgodności programu Purview, aby zarządzać działaniami związanymi ze zgodnością w Microsoft usługach w chmurze w jednym miejscu.

Wydarzenia dziennika inspekcji Power Automate

W Centrum zgodności z usługą Wyszukiwanie dzienników inspekcji administratorzy mogą wyszukiwać i wyświetlać zdarzenia Power Automate. Zdarzenia obejmują utworzony przepływ, edytowany przepływ, przepływ usunięty, uprawnienia edytowane, usunięte uprawnienia, rozpoczęło się płatny okres próbny, czyli odnawiana jest płatna wersja próbna. Za pomocą portalu można wybrać dane, które mają zostać przeszukane, oraz przedział czasu.

  1. Zaloguj się do Microsoft portal zgodności usługi Purview.

  2. W obszarze Rozwiązania wybierz opcję Inspekcja.

  3. W obszarze Działania wybierz działania Power Automate do inspekcji.

    Wybierz działania Power Automate, które mają być poddane inspekcji.

  4. Wybierz pozycję Wyszukaj.

  5. Po zakończeniu wyszukiwania wybierz je, aby wyświetlić listę pokrewnych działań.

  6. Wybierz wiersz aby wyświetlić szczegółowe informacje o działaniu.

Dane inspekcji są przechowywane przez 90 dni. Użytkownik może CDSV eksportować dane umożliwiające przeniesienie go do programu Excel lub PowerBI w celu dalszej analizy. W tym miejscu można znaleźć kompletny przegląd procesu korzystania z informacji o inspekcjach https://flow.microsoft.com/blog/security-and-compliance-center/