Ochrana osobních údajů a dodržování předpisů
Společnost Microsoft se zavázala k nejvyšší úrovni důvěry, transparentnosti, souladu s normami a dodržování předpisů. Široká sada cloudových produktů a služeb společnosti Microsoft je postavena od základů tak, aby splňovala ty nejpřísnější požadavky na bezpečnost a ochranu soukromí našich zákazníků.
Společnost Microsoft poskytuje nejkomplexnější sadu nabídek pro dodržování předpisů (včetně certifikátů a osvědčení) jakéhokoli poskytovatele cloudových služeb, aby vaší organizaci pomohla splnit národní, regionální a průmyslové požadavky týkající se shromažďování a používání osobních údajů. Existují také nástroje pro správce na podporu úsilí vaší organizace. V této části dokumentu se budeme podrobněji zabývat dostupnými zdroji, které vám pomohou určit a dosáhnout vašich vlastních požadavků v rámci organizace.
Centrum zabezpečení
Centrum zabezpečení Microsoft je centralizovaný zdroj pro získávání informací o portfoliu produktů společnosti Microsoft. To zahrnuje informace o zabezpečení, soukromí, dodržování předpisů a transparentnosti. I když tato dokumentace může obsahovat některé podmnožiny těchto informací pro Power Apps, je důležité vždy zkontrolovat centrum zabezpečení Microsoft, kde naleznete nejaktuálnější směrodatné informace.
Pro rychlou orientaci najdete informace v Centru důvěryhodnosti pro Microsoft Power Platform tady: https://www.microsoft.com/trust-center/product-overview. To bude zahrnovat informace o Power Apps, Microsoft Power Automate a Power BI.
Umístění dat
Společnost Microsoft provozuje po celém světě více datových center, která podporují aplikace Microsoft Power Platform. Když vaše organizace vytvoří klienta, zároveň vytvoří výchozí geografickou lokalitu. Kromě toho při vytváření prostředí podporujících aplikace a zahrnujících data Microsoft Dataverse je lze zacílit na specifickou geografickou zónu. Aktuální seznam geografických zón pro Microsoft Power Platform najdete zde https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location.
Na podporu kontinuity operací může společnost Microsoft replikovat data do jiných oblastí v rámci geografické zóny, ale data se nebudou pohybovat mimo něj pro zajištění jejich odolnosti. To podporuje schopnost rychlejšího zotavení při selhání nebo obnovení v případě vážného výpadku. Existují rozumné výjimky pro uchovávání dat v konkrétní geografické zóně, které jsou uvedeny na výše uvedeném webu primárně zaměřeném na právní předpisy a podporu. Je také důležité si uvědomit, že vy nebo vaši uživatelé můžete provádět akce, které vystavují data mimo geografickou zónu. Ostatní služby mohou být také nakonfigurovány pro přístup k datům a jejich vystavení mimo geografickou zónu. Ve výchozím nastavení mají autorizovaní uživatelé přístup k platformě a vašim aplikacím a datům odkudkoli na světě s možností připojení.
Ochrana dat
Data jsou při přenosu mezi uživatelskými zařízeními a datovými středisky Microsoft chráněna. Připojení navázaná mezi zákazníky a datovými středisky Microsoft jsou šifrována a všechny veřejné koncové body jsou zabezpečeny pomocí průmyslového standardu TLS. Protokol TLS účinně navazuje zabezpečené připojení prohlížeče k serveru a pomáhá zajistit důvěrnost dat a integritu mezi stolními počítači a datovými středisky. Přístup API z koncového bodu zákazníka na server je rovněž chráněn. V současné době je pro přístup ke koncovým bodům serveru vyžadován protokol TLS 1.2 (nebo vyšší).
Data přenášená místní bránou dat jsou také šifrována. Data, která uživatelé nahrávají, jsou obvykle odesílána do úložiště Azure Blob a všechna metadata a artefakty pro samotný systém jsou uloženy v databázi Azure SQL a úložišti Azure Table.
Všechna prostředí databáze Dataverse využívají transparentní šifrování dat (TDE) serveru SQL za účelem šifrování dat při zápisu na disk v reálném čase, známé také jako neaktivní uložená data.
Ve výchozím nastavení Microsoft ukládá a spravuje databázi šifrovacích klíčů pro vaše prostředí, takže to nemusíte dělat vy. Funkce správy klíčových funkcí v centru pro správu Power Platform nabízí správcům možnost samostatně spravovat šifrovací klíče databází, které jsou spojeny s prostředími Dynamics 365 (online). Další informace o správě vlastních klíčů naleznete zde, ale obecně se doporučuje, aby Microsoft spravoval klíče, pokud vaše specifické podnikání nevyžaduje vlastní správu.
Zdroje pro správu dodržování předpisů v souvislosti s GDPR
Obecné nařízení o ochraně osobních údajů (GDPR) Evropské unie (EU) poskytuje jednotlivcům významná práva týkající se jejich údajů. V Microsoft Learn v Shrnutí obecného nařízení o ochraně osobních údajů získáte přehled GDPR, včetně terminologie, akčního plánu a kontrolních seznamů připravenosti, které vám pomohou splnit vaše povinnosti vyplývající z GDPR při používání produktů a služeb společnosti Microsoft.
Můžete se dozvědět více o GDPR a o tom, jak Microsoft pomáhá s jeho podporou a našimi zákazníky, kterých se to týká.
- Centrum zabezpečení společnosti Microsoft poskytuje obecné informace, osvědčené postupy pro dodržování předpisů a dokumentaci užitečnou pro odpovědnost za GDPR, jako jsou posouzení dopadu na ochranu osobních údajů, požadavky subjektů údajů a oznámení o narušení údajů.
- Service Trust portal poskytuje informace o tom, jak služby společnosti Microsoft pomáhají podporovat soulad s GDPR.
Pro správce bude jedna z klíčových činností na podporu dodržování zásad ochrany osobních údajů souviset s žádostmi o práva subjektů údajů (DSR). Jedná se o formální žádosti od subjektu dat pro správce údajů (pravděpodobně vaše organizace), jak má nakládat s jeho osobními údaji ve vašich systémech. Subjektay dat mají právo získávat kopie, požadovat opravy, omezovat zpracování údajů, mazat údaje a získávat kopie v elektronickém formátu, aby mohly být předány jinému datovému řadiči.
Následující odkazy odakzují na podrobné informace, které vám pomohou reagovat na požadavky DSR v závislosti na funkcích, které vaše organizace používá.
| Oblast funkce platformy | Odkaz na podrobné kroky při reakci |
|---|---|
| Power Apps | Reakce na žádosti o práva subjektu údajů (DSR) exportovat zákaznická data Power Apps |
| Dataverse | Reakce na žádosti o práva subjektu údajů (DSR) ohledně zákaznických dat Dataverse |
| Power Automate | Odpověď na žádosti subjektu dat pro Power Automate |
| Účty Microsoft (MSA) | Reakce na požadavky na práva subjektu údajů |
| Aplikace pro zapojení zákazníků | Žádosti subjektu údajů Dynamics 365 o ochranu osobních údajů |
Centrum zabezpečení a dodržování předpisů Microsoft 365
Použijte Správce dodržování předpisů Microsoft Purview ke správě činnosti při dodržování předpisů napříč cloudovými službami společnosti Microsoft na jednom místě.
Události protokolu auditu Power Automate
V hledání protokolu auditu Centra dodržování předpisů mohou administrátoři vyhledávat a prohlížet události Power Automate. Události zahrnují Vytvořený tok, Upravený tok, Odstraněný tok, Upravená oprávnění, Odstraněná oprávnění, Zahájení placené zkušební verze, Obnovení placené zkušební verze. Pomocí portálu si můžete vybrat, co chcete hledat, a časové okno.
Přihlaste se do portálu pro dodržování předpisů Microsoft Purview.
V části Řešení vyberte Audit.
V části Činnosti vyberte činnosti Power Automate k auditování.
Vyberte Hledat.
Po dokončení vyhledávání ji vyberte a zobrazí se seznam souvisejících aktivit.
Výběrem řádku v seznamu zobrazíte podrobnosti o aktivitě.
Data auditu jsou uchovávány po dobu 90 dnů. Můžete provést export dat do formátu CSV, což vám umožní přesunout je do Excelu nebo PowerBI pro další analýzu. Kompletní návod k použití informací o auditu naleznete zde: https://flow.microsoft.com/blog/security-and-compliance-center/