Partajați prin

Conformitatea și confidențialitatea datelor

  • Articol

Microsoft se angajează să respecte cele mai înalte niveluri de încredere, transparență, conformitate cu standardele și conformitatea cu reglementările. MicrosoftSuita largă de produse și servicii cloud a lui este construită de la zero pentru a răspunde celor mai riguroase cerințe de securitate și confidențialitate ale clienților noștri.

Pentru a vă ajuta organizația să respecte cerințele naționale, regionale și specifice industriei care guvernează colectarea și utilizarea datelor persoanelor fizice, Microsoft oferă cel mai cuprinzător set de oferte de conformitate (inclusiv certificări și atestări) pentru orice serviciu cloud furnizor. Există, de asemenea, instrumente prin care administratorii vă pot sprijini eforturile organizației dvs. În această parte a documentului, vom acoperi mai detaliat resursele disponibile pentru a vă ajuta să decideți și să vă realizați propriile cerințe de organizare.

Centru de autorizare

Microsoft Centrul de încredere este o resursă centralizată pentru obținerea de informații despre portofoliul de produse al Microsoft. Acesta include informații despre securitate, confidențialitate, conformitate și transparență. Deși acest conținut poate conține un subset al acestor informații pentru Power Apps, este important să vă referiți întotdeauna la Microsoft Centrul de încredere pentru cele mai actualizate informații cu autoritate.

Pentru referințe rapide, puteți găsi informații despre Centrul de încredere pentru Microsoft Power Platform aici: https://www.microsoft.com/trust-center/product-overview. Aceasta va include informații despre Power Apps, Microsoft Power Automate și Power BI.

Locație date

Microsoft operează în întreaga lume mai multe centre de date care acceptă aplicațiile Microsoft Power platform. Când organizația dvs. stabilește o entitate găzduită, aceasta stabilește locația geografică (geo) implicită. În plus, atunci când creați medii pentru a sprijini aplicațiile și care conțin date Microsoft Dataverse, mediile pot fi direcționate spre o locație geografică specifică. O listă curentă de locații geografice pentru Microsoft Power Platform poate fi găsită aici https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Pentru a susține continuitatea operațiunilor, Microsoft poate replica datele în alte regiuni dintr-o zonă geografică, dar datele nu se vor muta în afara zonei geografice pentru a susține rezistența datelor. Acest lucru susține capacitatea de a renunța sau de a recupera mai rapid dacă există o întrerupere severă. Există câteva excepții rezonabile de la păstrarea datelor în locația geografică specifică, care sunt enumerate pe site-ul de mai sus, axat în principal pe asistență juridică. De asemenea, este important să rețineți că dvs. sau utilizatorii dvs. puteți întreprinde acțiuni care expun date în afara locației geografice. Pot fi configurate de asemenea și alte servicii pentru a accesa datele și pentru a le expune în afara locației geografice. În mod implicit, utilizatorii autorizați pot accesa platforma și aplicațiile și datele dvs. de oriunde din lume, unde există conectivitate.

Protecția datelor

Datele, așa cum sunt în tranzit între dispozitivele utilizatorului și Microsoft centrele de date, sunt securizate. Conexiunile stabilite între clienți și Microsoft centrele de date sunt criptate, iar toate punctele finale publice sunt securizate folosind TLS standard din industrie. TLS stabilește în mod eficient un browser îmbunătățit de securitate la conexiunea serverului pentru a ajuta la asigurarea confidențialității și integrității datelor între computerele desktop și centrele de date. Accesul API de la punctul final al clientului la server este, de asemenea, protejat în mod similar. În prezent, este necesar TLS 1.2 (sau mai mare) pentru accesarea punctelor finale ale serverului.

Datele transferate prin gateway-ul de date local sunt, de asemenea, criptate. Datele pe care utilizatorii le încarcă sunt trimise de obicei către stocarea Azure Blob și toate metadatele și artefactele pentru sistemul în sine sunt stocate într-o bază de date SQL Azure și în spațiul de stocare Tabel Azure.

Toate mediile bazei de date Dataverse utilizează Criptarea transparentă a datelor (TDE) SQL Server pentru a efectua criptarea datelor în timp real atunci când sunt scrise pe disc, operațiune cunoscută și ca o criptare în stare de repaus.

În mod implicit, Microsoft stochează și gestionează cheile de criptare a bazei de date pentru mediile dvs., astfel încât să nu fie necesar. Caracteristica gestionare chei din centrul de administrare Power Platform oferă administratorilor abilitatea de a auto-gestiona cheile de criptare a bazei de date care sunt asociate cu mediile din Dynamics 365 (online). Puteți citi mai multe despre gestionarea propriilor chei aici dar, în general, este recomandat să Microsoft administrați cheile, cu excepția cazului în care aveți o anumită nevoie de afaceri pentru a vă întreține.

Resurse pentru gestionarea conformității RGPD

Regulamentul general privind protecția datelor (RGPD) al Uniunii Europene (UE) oferă persoanelor fizice drepturi semnificative cu privire la datele lor. Consultați Microsoft Learn Regulamentul general privind protecția datelor Rezumat pentru o prezentare generală a RGPD, inclusiv terminologie, un plan de acțiune și liste de verificare pentru a vă ajuta să vă îndepliniți obligațiile conform RGPD atunci când utilizați Microsoft produse și servicii.

Puteți afla mai multe despre RGPD și despre cum Microsoft ajută să-l sprijine și pe clienții noștri care sunt afectați de acesta.

  • Microsoft Centrul de încredere oferă informații generale, cele mai bune practici de conformitate și documentație utile pentru responsabilitatea RGPD, cum ar fi evaluările impactului privind protecția datelor, solicitările persoanelor vizate și notificarea privind încălcarea datelor.
  • Portalul Service Trust oferă informații despre modul în care Microsoft serviciile ajută la respectarea RGPD.

În calitate de administrator, una dintre activitățile cheie în sprijinul confidențialității va fi legată de solicitările privind drepturile subiectului de date (DSR). Acestea sunt solicitări formale din partea unei persoane vizate către un operator de date (probabil organizația dvs.) de a acționa asupra datelor sale personale din sistemele dumneavoastră. Persoanele vizate au dreptul de a obține copii, de a solicita corectări, de a restricționa prelucrarea datelor, de a șterge datele și de a primi copii în format electronic, astfel încât acestea să poată fi mutate la alt operator de date.

Următoarele link-uri indică informații detaliate pentru a vă ajuta să răspundeți la solicitările DSR, în funcție de caracteristicile pe care le utilizează organizația.

Zona Caracteristica platformei Link către pașii detaliați de răspuns
Power Apps Răspunsul la solicitările privind drepturile subiectului de date (DSR) de export Power Apps datele clienților
Dataverse Răspunsul la solicitările privind drepturile subiectului de date (DSR) pentru Dataverse datele clienților
Power Automate Răspunsul la solicitările persoanelor vizate pentru Power Automate
Microsoft Conturi (MSA) Răspundeți la solicitările privind drepturile persoanelor vizate
Aplicații Customer Engagement Dynamics 365 Data Subject Solicitări de confidențialitate

Centrul de securitate și conformitate Microsoft 365

Utilizați Microsoft Purview Compliance Manager pentru a vă gestiona eforturile de conformitate în Microsoft servicii cloud într-un singur loc.

Evenimente de jurnal auditare Power Automate

În centrul de conformitate pentru căutarea jurnalului de audit, administratorul poate căuta și vizualiza evenimente Power Automate. Evenimentele includ fluxul creat, fluxul editat, fluxul șters, autorizațiile editate, permisiunile șterse, începerea unei versiuni de încercare plătite, reînnoirea unei versiuni de încercare plătite. Folosind portalul puteți alege ce doriți să căutați și o fereastră de timp.

  1. conectați-vă la Microsoft portalul de conformitate Purview.

  2. Sub Soluții, selectați Audit.

  3. Sub Activități, selectați activitățile de auditat Power Automate.

    Selectați Power Automate activitățile de auditat.

  4. Selectați Căutare.

  5. Când căutarea este finalizată, selectați-o pentru a vedea lista activităților conexe.

  6. Selectați un șir din listă pentru a vedea detaliile activității.

Datele de audit sunt păstrate timp de 90 de zile. Puteți efectua exporturi de date CDSV pentru a vă permite să le mutați în Excel sau POWERBI pentru analize suplimentare. Puteți găsi o etapă completă a utilizării informațiilor de audit aici: https://flow.microsoft.com/blog/security-and-compliance-center/