Поделиться через

Соответствие и конфиденциальность данных

  • Статья

Microsoft стремится к высочайшему уровню доверия, прозрачности, соответствия стандартам и нормативным требованиям. MicrosoftШирокий спектр облачных продуктов и услуг компании создан с нуля для удовлетворения самых строгих требований безопасности и конфиденциальности наших клиентов.

Чтобы помочь вашей организации соблюдать национальные, региональные и отраслевые требования, регулирующие сбор и использование данных физических лиц, Microsoft предоставляет наиболее полный набор предложений по обеспечению соответствия (включая сертификацию и аттестацию) среди всех поставщиков облачных услуг. Есть также инструменты для администраторов, чтобы поддержать усилия вашей организации. В этой части документа мы более подробно рассмотрим доступные ресурсы, которые помогут вам определить и выполнить требования вашей организации.

Центр управления безопасностью

Microsoft Центр доверия — это централизованный ресурс для получения информации о портфеле продуктов Microsoft. Это включает информацию о безопасности, конфиденциальности, соответствии и прозрачности. Хотя этот контент может содержать некоторую часть этой информации для Power Apps, важно всегда обращаться в Microsoft Центр управления безопасностью для получения самой актуальной и авторитетной информации.

Для быстрой справки вы можете найти информацию о центре управления безопасностью для Microsoft Power Platform здесь: https://www.microsoft.com/trust-center/product-overview. Это будет включать информацию о Power Apps, Microsoft Power Automate и Power BI.

Расположение данных

Microsoft управляет несколькими центрами обработки данных по всему миру, которые поддерживают приложения платформы Microsoft Power. Когда ваша организация устанавливает клиента, она устанавливает географическое (геообъект) местоположение по умолчанию. Кроме того, при создании сред для поддержки приложений и данных Microsoft Dataverse, среды могут быть ориентированы на конкретный геообъект. Текущий список геообъектов для Microsoft Power Platform можно найти здесь https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Для поддержки непрерывности операций Microsoft можно реплицировать данные в другие регионы в пределах гео, но данные не будут перемещаться за пределы гео для поддержки устойчивости данных. Это поддерживает возможность переключения или более быстрого восстановления в случае серьезного сбоя. Существуют некоторые целесообразные исключения для хранения данных в определенном географическом положении, которые перечислены на вышеуказанном сайте и направлены в первую очередь на юридические вопросы и поддержку. Также важно отметить, что вы или ваши пользователи можете выполнять действия, которые предоставляют данные за пределами геообъекта. Другие службы также могут быть настроены для доступа к данным и предоставления их за пределами геообъекта. По умолчанию полномочные пользователи могут получить доступ к платформе и вашим приложениям и данным из любой точки мира, где есть возможность подключения.

Защита данных

Данные, передаваемые между пользовательскими устройствами и Microsoft центрами обработки данных, защищены. Подключения, устанавливаемые между клиентами и Microsoft центрами обработки данных, шифруются, а все общедоступные конечные точки защищены с использованием отраслевого стандарта TLS. TLS эффективно устанавливает защищенное подключение браузера с сервером, чтобы обеспечить конфиденциальность и целостность данных между настольными компьютерами и центрами обработки данных. Доступ через API-интерфейс от конечной точки клиента к серверу также защищен аналогичным образом. В настоящее время для доступа к конечным точкам сервера требуется TLS 1.2 (или выше).

Данные, передаваемые через локальный шлюз данных, также шифруются. Загружаемые пользователями данные обычно отправляются в хранилище BLOB-объектов Azure, а все метаданные и артефакты для самой системы хранятся в базе данных SQL Azure и хранилище таблиц Azure.

Все среды базы данных Dataverse используют прозрачное шифрование данных (TDE) SQL Server для выполнения шифрования данных в реальном времени при записи на диск, которое также называется неактивным шифрованием.

По умолчанию Microsoft хранит и управляет ключами шифрования базы данных для ваших сред, поэтому вам не нужно делать этого самостоятельно. Функция управления ключами в центре администрирования Power Platform предоставляет администраторам возможность самостоятельно управлять ключами шифрования баз данных, которые связаны со средами Dynamics 365 (online). Подробнее об управлении собственными ключами можно прочитать здесь , но обычно рекомендуется Microsoft управлять ключами самостоятельно, если только у вас нет особой деловой необходимости в управлении собственными ключами.

Ресурсы для управления соответствием нормативам GDPR

Общий регламент по защите данных (GDPR) Европейского союза (ЕС) предоставляет физическим лицам значительные права в отношении их данных. Ознакомьтесь с Microsoft Learn Кратким содержанием Общий регламент по защите данных , чтобы получить обзор GDPR, включая терминологию, план действий и контрольные списки готовности, которые помогут вам выполнить свои обязательства в соответствии с GDPR при использовании Microsoft продуктов и услуг.

Вы можете узнать больше о GDPR и о том, как Microsoft поддержать его и наших клиентов, которых он затронул.

  • Microsoft Центр управления безопасностью предоставляет общую информацию, передовые методы обеспечения соответствия и документацию, полезную для обеспечения ответственности GDPR, такую как оценки воздействия на защиту данных, запросы субъектов данных и уведомления об утечке данных.
  • Портал Service Trust предоставляет информацию о том, как Microsoft сервисы помогают поддерживать соответствие GDPR.

В качестве администратора одно из ключевых действий в поддержку конфиденциальности будет связано с запросами на права субъекта данных (DSR). Это формальные запросы от субъекта данных к контроллеру данных (вероятно, от вашей организации), чтобы они действовали в отношении их личных данных в ваших системах. Субъекты данных имеют право на получение копий, запрос исправлений, ограничение обработки данных, удаление данных и получение копий в электронном формате, чтобы их можно было перенести в другой контроллер данных.

Следующие ссылки указывают на подробную информацию, которая поможет вам отвечать на запросы DSR в зависимости от функций, используемых вашей организацией.

Область функций платформы Ссылка на подробные шаги по ответу
Power Apps Ответ на запросы о правах субъекта данных (DSR) на экспорт Power Apps данных клиентов
Dataverse Ответ на запросы о правах субъекта данных (DSR) для Dataverse данных клиентов
Power Automate Ответ на запросы субъектов данных Power Automate
Microsoft Счета (MSA) Ответ на запросы о правах субъекта данных
Приложения для взаимодействия с клиентами Запросы субъекта данных Dynamics 365 на конфиденциальность

Центр безопасности и соответствия требованиям Microsoft 365

Используйте Microsoft Purview Compliance Manager для управления усилиями по обеспечению соответствия в Microsoft облачных сервисах в одном месте.

События журнала аудита Power Automate

В поиске в журналах аудита центра соответствия требованиям администраторы могут искать и просматривать события Power Automate. К событиям относятся Созданный поток, Отредактированный поток, Удаленный поток, Отредактированные разрешения, Удаленные разрешения, Запущена платная пробная версия, Продлена платная пробная версия. Используя портал, вы можете выбрать, что вы хотите искать и временной диапазон.

  1. войдите на портал соответствия требованиям Microsoft Purview.

  2. В разделе Решения выберите Аудит.

  3. В пункте Действия выберите действия Power Automate для аудита.

    Выбор действий Power Automate для аудита.

  4. Нажмите Поиск.

  5. По завершении поиска выберите его, чтобы просмотреть список связанных действий.

  6. Выберите строку в списке, чтобы увидеть сведения о действии.

Данные аудита хранятся в течение 90 дней. Вы можете выполнить экспорт данных в формате CDSV, что позволит вам переместить их в Excel или PowerBI для дальнейшего анализа. Вы можете найти полное описание использования сведений об аудите здесь: https://flow.microsoft.com/blog/security-and-compliance-center/