合規性和資料隱私權
Microsoft 已致力至最高級別的信任、透明性、標準一致性和法規遵從性。 Microsoft 廣泛的一套雲端產品和服務都是從頭開始建立的,以滿足客戶最嚴格的安全性和隱私權需求。
為了協助您的組織遵守有關個人資料收集和使用之國家、地區及行業特定的需求,Microsoft 提供了任何雲端服務提供者的最全面合規性供應項目(包括認證和證明)。 另外還有一些工具可讓系統管理員支援您的組織的工作成果。 在這部分的文件中,我們將詳細講解可用的資源,以協助您判斷並達成組織的需求。
信任中心
Microsoft 信任中心 是用來取得 Microsoft 產品陣容之資訊的集中資源。 這包含有關安全性、隱私權、合規性和透明度的資訊。 雖然此內容可能包含此 Power Apps 資訊的一部分,但是務必務必參考 Microsoft 信任中心以取得最新的權威資訊。
若要快速參考,您可以在下方尋找 Microsoft Power Platform 的信任中心資訊:https://www.microsoft.com/trust-center/product-overview。 這將包含 Power Apps、Microsoft Power Automate 和 Power BI 的資訊。
資料位置
Microsoft 在全球範圍營運多個資料中心,以支援 Microsoft Power Platform 應用程式。 當您的組織建立一個用戶時,它會建立預設的地理(地區)位置。 此外,當您建立支援應用程式的環境並包含 Microsoft Dataverse 資料時,環境可針對特定地區進行設定。 可以在此 https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location 找到 Microsoft Power Platform 地區的最新清單。
為了支援作業的連續性,Microsoft 可能會將資料複製到地區中的其他區域,但是資料不會在地區外部移動以支援資料復原。 如果出現嚴重故障,這將支援容錯移轉或更快恢復的能力。 若要讓上述網站上所列的特定地區的資料集中於法律和支援服務,則有一些合理的例外。 另外,請務必注意,您或您的使用者可以執行在地區以外公開資料的動作。 其他服務也可以設定成存取資料,並在地區外部公開。 根據預設,授權使用者可以從全世界任何有連線性的地方存取平台和您的應用程式及資料。
資料保護
使用者裝置和 Microsoft 資料中心在傳輸時的資料都是安全的。 在客戶與 Microsoft 資料中心之間建立的連接會加密,而且所有公用端點都是使用業界標準的 TLS 來保護。 TLS 可有效地建立安全性增強型瀏覽器至伺服器的連接,以協助確保桌面和資料中心之間的資料機密性和完整性。 從客戶端點到伺服器的 API 存取也同樣受到保護。 目前,在存取伺服器端點時需要 TLS 1.2(或更高版本)。
透過內部部署資料閘道傳輸的資料也會加密。 使用者上傳的資料通常會傳送至 Azure Blob 儲存體,而系統本身的所有中繼資料和專案都會儲存在 Azure SQL 資料庫和 Azure 表格儲存體中。
Dataverse 資料庫的所有環境在寫入至磁碟時使用 SQL Server 透明資料加密 (TDE) 執行即時資料加密,也稱為靜止的加密。
根據預設,Microsoft Store 會儲存和管理您的環境的資料庫加密金鑰,因此您不需這樣做。 Power Platform 系統管理中心中的管理金鑰功能可讓系統管理員自行管理與 Dynamics 365 (online) 環境關聯的資料庫加密金鑰。 您可以在這裡讀取更多有關管理您自己的金鑰的更多資訊,但是一般來說,我們建議讓 Microsoft 管理金鑰,除非您有特定商務需求必須維護自己的金鑰。
管理 GDPR 合規性的資源
歐盟 (EU) 一般資料保護規定 (GDPR) 提供與個人資料相關的重要權利。 如需可協助您在使用 Microsoft 產品與服務時依據 GDPR 履行義務的 GDPR 概觀 (包括術語、動作計畫和整備度檢查清單),請參閱 Microsoft Learn 一般資料保護規定摘要。
您可以進一步了解 GDPR,以及 Microsoft 協助支援此規定的情形與受其影響的客戶。
- Microsoft 信任中心提供對 GDPR 問責有幫助的一般資訊、合規性最佳做法和文件,例如資料保護影響評定、資料主體要求和資料外洩通知。
- 服務信任入口網站提供有關 Microsoft 服務如何協助支援 GDPR 的資訊。
作為系統管理員,支援隱私權的其中一個主要活動將與資料主體權利 (DSR) 要求相關。 這些是資料主體對資料控制器 (可能是您的組織) 的正式要求,以在您系統中的個人資料進行動作。 資料主體有權利取得副本、要求更正、限制資料的處理、移除資料以及以電子格式接收副本,讓資料可以移至另一個資料控制器。
下列連結指向詳細資訊,以協助您根據組織使用的功能來回應 DSR 要求。
| 平台功能區域 | 詳細回應步驟的連結 |
|---|---|
| Power Apps | 回應數據主體許可權 (DSR) 匯出 Power Apps 客戶數據的請求 |
| Dataverse | 回應客戶數據的數據主體權利 (DSR) 請求 Dataverse |
| Power Automate | 回應數據主體請求 Power Automate |
| Microsoft 帳戶 (MSA) | 回應數據主體許可權請求 |
| 客戶參與應用程式 | Dynamics 365 數據主體隱私請求 |
Microsoft 365 安全性與合規性中心
使用 Microsoft Purview Compliance Manager,在單一位置管理您的 Microsoft Cloud Service 合規性。
Power Automate 稽核記錄事件
在合規性中心稽核記錄搜尋中,管理員可以搜尋並查看 Power Automate 事件。 事件包括已建立的流程、已編輯的流程、已刪除的流程、已編輯的權限、已刪除的權限、已開始付費試用版、已更新付費試用版。 您可以使用入口網站,選擇要搜尋的內容和時間範圍。
在解決方案底下,選取稽核。
在活動底下,選取要稽核的 Power Automate 活動。
選取搜尋。
搜尋完成後,請選取此項以查看相關活動的清單。
在清單中選擇資料列以查看活動詳細資料。
稽核資料會保留 90 天。 您可以執行 CDSV 匯出資料,讓您將資料移至 Excel 或 POWERBI 以進行進一步的分析。 您可以在此找到使用稽核資訊的逐步解說:https://flow.microsoft.com/blog/security-and-compliance-center/