合規性和資料隱私權
Microsoft 致力於實現最高級別的信任、透明度、標準一致性和法規遵從性。 Microsoft廣泛的雲產品和服務套件都是從頭開始構建的,旨在滿足客戶最嚴格的安全和隱私要求。
為了説明您的組織遵守管理個人數據收集和使用的國家、地區和行業特定要求, Microsoft 提供了任何雲服務提供者最全面的合規性產品/服務 (包括認證和證明)。 另外還有一些工具可讓系統管理員支援您的組織的工作成果。 在這部分的文件中,我們將詳細講解可用的資源,以協助您判斷並達成組織的需求。
信任中心
Microsoft 信任中心 是獲取有關 S 產品群組資訊的 Microsoft集中資源。 這包含有關安全性、隱私權、合規性和透明度的資訊。 雖然此內容可能包含此資訊 Power Apps的某些子集,但請務必始終參考 Microsoft 信任中心以獲取最新的權威資訊。
若要快速參考,您可以在下方尋找 Microsoft Power Platform 的信任中心資訊:https://www.microsoft.com/trust-center/product-overview。 這將包含 Power Apps、Microsoft Power Automate 和 Power BI 的資訊。
資料位置
Microsoft 在全球運營多個支援 Microsoft Power Platform 應用程式的數據中心。 當您的組織建立一個用戶時,它會建立預設的地理(地區)位置。 此外,當您建立支援應用程式的環境並包含 Microsoft Dataverse 資料時,環境可針對特定地區進行設定。 可以在此 https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location 找到 Microsoft Power Platform 地區的最新清單。
為了支援操作的連續性, Microsoft 可以將數據複製到地理位置中的其他區域,但數據不會移動到地理位置之外以支援數據復原能力。 如果出現嚴重故障,這將支援容錯移轉或更快恢復的能力。 若要讓上述網站上所列的特定地區的資料集中於法律和支援服務,則有一些合理的例外。 另外,請務必注意,您或您的使用者可以執行在地區以外公開資料的動作。 其他服務也可以設定成存取資料,並在地區外部公開。 根據預設,授權使用者可以從全世界任何有連線性的地方存取平台和您的應用程式及資料。
資料保護
在使用者設備和 Microsoft 數據中心之間傳輸的數據是安全的。 在客戶和 Microsoft 數據中心之間建立的連接都經過加密,並且所有公共終端節點都使用行業標準的 TLS 進行保護。 TLS 可有效地建立安全性增強型瀏覽器至伺服器的連接,以協助確保桌面和資料中心之間的資料機密性和完整性。 從客戶端點到伺服器的 API 存取也同樣受到保護。 目前,在存取伺服器端點時需要 TLS 1.2(或更高版本)。
透過內部部署資料閘道傳輸的資料也會加密。 使用者上傳的資料通常會傳送至 Azure Blob 儲存體,而系統本身的所有中繼資料和專案都會儲存在 Azure SQL 資料庫和 Azure 表格儲存體中。
Dataverse 資料庫的所有環境在寫入至磁碟時使用 SQL Server 透明資料加密 (TDE) 執行即時資料加密,也稱為靜止的加密。
默認情況下, Microsoft 存儲和管理您的環境的資料庫加密密鑰,因此您不必這樣做。 Power Platform 系統管理中心中的管理金鑰功能可讓系統管理員自行管理與 Dynamics 365 (online) 環境關聯的資料庫加密金鑰。 您可以在此處 閱讀有關管理自己的密鑰的更多資訊,但通常建議您管理 密鑰,除非您有維護自己的密鑰 Microsoft 的特定業務需求。
管理 GDPR 合規性的資源
歐盟 (EU) 一般資料保護規定 (GDPR) 提供與個人資料相關的重要權利。 請參閱 Microsoft Learn 一般資料保護規定摘要 ,瞭解 GDPR 的概述,包括術語、行動計劃和就緒清單,以説明您在使用產品和服務時 Microsoft 履行 GDPR 規定的義務。
您可以詳細瞭解 GDPR 以及如何 Microsoft 幫助支援它和受其影響的客戶。
- Microsoft 信任中心 提供有助於 GDPR 問責制的一般資訊、合規性最佳實踐和文檔,例如數據保護影響評估、數據主體請求和數據洩露通知。
- 服務信任門戶 提供有關服務如何 Microsoft 幫助支援 GDPR 合規性的資訊。
作為系統管理員,支援隱私權的其中一個主要活動將與資料主體權利 (DSR) 要求相關。 這些是資料主體對資料控制器 (可能是您的組織) 的正式要求,以在您系統中的個人資料進行動作。 資料主體有權利取得副本、要求更正、限制資料的處理、移除資料以及以電子格式接收副本,讓資料可以移至另一個資料控制器。
下列連結指向詳細資訊,以協助您根據組織使用的功能來回應 DSR 要求。
| 平台功能區域 | 詳細回應步驟的連結 |
|---|---|
| Power Apps | 回應數據主體許可權 (DSR) 匯出 Power Apps 客戶數據的請求 |
| Dataverse | 回應客戶數據的數據主體權利 (DSR) 請求 Dataverse |
| Power Automate | 回應數據主體請求 Power Automate |
| Microsoft 帳戶 (MSA) | 回應數據主體許可權請求 |
| 客戶參與應用程式 | Dynamics 365 數據主體隱私請求 |
Microsoft 365 安全性與合規性中心
Microsoft 使用 Purview Compliance Manager 在一個位置管理跨 Microsoft 雲服務的合規性工作。
Power Automate 稽核記錄事件
在合規性中心稽核記錄搜尋中,管理員可以搜尋並查看 Power Automate 事件。 事件包括已建立的流程、已編輯的流程、已刪除的流程、已編輯的權限、已刪除的權限、已開始付費試用版、已更新付費試用版。 您可以使用入口網站,選擇要搜尋的內容和時間範圍。
在解決方案底下,選取稽核。
在活動底下,選取要稽核的 Power Automate 活動。
選取搜尋。
搜尋完成後,請選取此項以查看相關活動的清單。
在清單中選擇資料列以查看活動詳細資料。
稽核資料會保留 90 天。 您可以執行 CDSV 匯出資料,讓您將資料移至 Excel 或 POWERBI 以進行進一步的分析。 您可以在此找到使用稽核資訊的逐步解說:https://flow.microsoft.com/blog/security-and-compliance-center/