Partajați prin

Conformitatea și confidențialitatea datelor

  • Articol

Microsoft se angajează să obțină cel mai înalt nivel de încredere, transparență, respectare a standardelor și de conformitate cu reglementările. Oferta largă de produse și servicii cloud de la Microsoft este construită toată de la temelie pentru a corespunde celor mai riguroase cerințe de securitate și confidențialitate ale clienților noștri.

Pentru a ajuta organizația dvs. să respecte cerințele naționale, regionale și specifice ale industriei care reglementează colectarea și utilizarea datelor persoanelor fizice, Microsoft oferă cel mai cuprinzător set de oferte de conformitate (inclusiv certificări și atestări) ale oricărui furnizor de servicii în cloud. Există, de asemenea, instrumente prin care administratorii vă pot sprijini eforturile organizației dvs. În această parte a documentului, vom acoperi mai detaliat resursele disponibile pentru a vă ajuta să decideți și să vă realizați propriile cerințe de organizare.

Centru de autorizare

Centrul de autorizare Microsoft este o resursă centralizată pentru obținerea informațiilor despre portofoliul de produse Microsoft. Acesta include informații despre securitate, confidențialitate, conformitate și transparență. Deși acest conținut poate conține o parte din aceste informații pentru Power Apps, este important să vă referiți întotdeauna la Centrul de autorizare Microsoft pentru cele mai actualizate informații de autoritate.

Pentru referințe rapide, puteți găsi informații despre Centrul de încredere pentru Microsoft Power Platform aici: https://www.microsoft.com/trust-center/product-overview. Aceasta va include informații despre Power Apps, Microsoft Power Automate și Power BI.

Locație date

Microsoft operează mai multe centre de date la nivel mondial care acceptă aplicațiile Microsoft Power Platform. Când organizația dvs. stabilește o entitate găzduită, aceasta stabilește locația geografică (geo) implicită. În plus, atunci când creați medii pentru a sprijini aplicațiile și care conțin date Microsoft Dataverse, mediile pot fi direcționate spre o locație geografică specifică. O listă curentă de locații geografice pentru Microsoft Power Platform poate fi găsită aici https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Pentru a sprijini continuitatea operațiunilor, Microsoft poate reproduce date în alte regiuni dintr-o locație geografică, dar datele nu se vor muta în afara locației geografice pentru a susține rezistența datelor. Acest lucru susține capacitatea de a renunța sau de a recupera mai rapid dacă există o întrerupere severă. Există câteva excepții rezonabile de la păstrarea datelor în locația geografică specifică, care sunt enumerate pe site-ul de mai sus, axat în principal pe asistență juridică. De asemenea, este important să rețineți că dvs. sau utilizatorii dvs. puteți întreprinde acțiuni care expun date în afara locației geografice. Pot fi configurate de asemenea și alte servicii pentru a accesa datele și pentru a le expune în afara locației geografice. În mod implicit, utilizatorii autorizați pot accesa platforma și aplicațiile și datele dvs. de oriunde din lume, unde există conectivitate.

Protecția datelor

Datele, întrucât sunt în tranzit între dispozitivele utilizator și centrele de date Microsoft, sunt securizate. Conexiunile stabilite între clienți și centrele de date Microsoft sunt criptate și toate punctele finale publice sunt securizate folosind standardul din industrie TLS. TLS stabilește în mod eficient un browser îmbunătățit de securitate la conexiunea serverului pentru a ajuta la asigurarea confidențialității și integrității datelor între computerele desktop și centrele de date. Accesul API de la punctul final al clientului la server este, de asemenea, protejat în mod similar. În prezent, este necesar TLS 1.2 (sau mai mare) pentru accesarea punctelor finale ale serverului.

Datele transferate prin gateway-ul de date local sunt, de asemenea, criptate. Datele pe care utilizatorii le încarcă sunt trimise de obicei către stocarea Azure Blob și toate metadatele și artefactele pentru sistemul în sine sunt stocate într-o bază de date SQL Azure și în spațiul de stocare Tabel Azure.

Toate mediile bazei de date Dataverse utilizează Criptarea transparentă a datelor (TDE) SQL Server pentru a efectua criptarea datelor în timp real atunci când sunt scrise pe disc, operațiune cunoscută și ca o criptare în stare de repaus.

În mod implicit, Microsoft Store stochează și gestionează cheile de criptare ale bazei de date pentru mediile dvs., deci nu trebuie să vă ocupați dumneavoastră de acest lucru. Caracteristica gestionare chei din centrul de administrare Power Platform oferă administratorilor abilitatea de a auto-gestiona cheile de criptare a bazei de date care sunt asociate cu mediile din Dynamics 365 (online). Puteți citi mai multe despre gestionarea propriilor dvs. chei aici dar, în general, se recomandă ca Microsoft să gestioneze cheile, cu excepția cazului în care aveți o anumită nevoie de afaceri pentru a vi le menține dvs. înșivă.

Resurse pentru gestionarea conformității RGPD

Regulamentul general privind protecția datelor (RGPD) al Uniunii Europene (UE) oferă persoanelor fizice drepturi semnificative cu privire la datele lor. Consultați Microsoft Learn Regulamentul general privind protecția datelor Rezumat pentru o prezentare generală a RGPD, inclusiv terminologie, un plan de acțiune și liste de verificare pentru a vă ajuta să vă îndepliniți obligațiile conform RGPD atunci când utilizați RGPD produse si servicii.

Puteți afla mai multe despre RGPD și despre cum ajută Microsoft la susținerea acestuia, precum și despre clienții Microsoft care sunt afectați de acest regulament.

  • Microsoft Trust Center oferă informații generale, cele mai bune practici de conformitate și documentație utile pentru responsabilitatea RGPD, cum ar fi evaluările impactului privind protecția datelor, solicitările persoanelor vizate și notificarea privind încălcarea datelor. .
  • Portalul Service Trust oferă informații despre modul în care serviciile Microsoft ajută la sprijinirea conformității cu RGPD.

În calitate de administrator, una dintre activitățile cheie în sprijinul confidențialității va fi legată de solicitările privind drepturile subiectului de date (DSR). Acestea sunt solicitări formale din partea unei persoane vizate către un operator de date (probabil organizația dvs.) de a acționa asupra datelor sale personale din sistemele dumneavoastră. Persoanele vizate au dreptul de a obține copii, de a solicita corectări, de a restricționa prelucrarea datelor, de a șterge datele și de a primi copii în format electronic, astfel încât acestea să poată fi mutate la alt operator de date.

Următoarele link-uri indică informații detaliate pentru a vă ajuta să răspundeți la solicitările DSR, în funcție de caracteristicile pe care le utilizează organizația.

Zona Caracteristica platformei Link către pașii detaliați de răspuns
Power Apps Răspunsul la solicitările privind drepturile subiectului de date (DSR) de export Power Apps datele clienților
Dataverse Răspunsul la solicitările privind drepturile subiectului de date (DSR) pentru Dataverse datele clienților
Power Automate Răspunsul la solicitările persoanelor vizate pentru Power Automate
Conturi Microsoft (MSA) Răspundeți la solicitările privind drepturile persoanelor vizate
Aplicații Customer Engagement Dynamics 365 Subiectul datelor Solicitări de confidențialitate

Centrul de securitate și conformitate Microsoft 365

Utilizați Managerul de conformitate Microsoft Purview pentru a gestiona într-un singur loc eforturile dvs. de conformitate în cadrul serviciilor Microsoft cloud.

Evenimente de jurnal auditare Power Automate

În centrul de conformitate pentru căutarea jurnalului de audit, administratorul poate căuta și vizualiza evenimente Power Automate. Evenimentele includ fluxul creat, fluxul editat, fluxul șters, autorizațiile editate, permisiunile șterse, începerea unei versiuni de încercare plătite, reînnoirea unei versiuni de încercare plătite. Folosind portalul puteți alege ce doriți să căutați și o fereastră de timp.

  1. Conectați-vă la Portalul de conformitate Microsoft Purview.

  2. Sub Soluții, selectați Audit.

  3. Sub Activități, selectați activitățile de auditat Power Automate.

    Selectați Power Automate activitățile de auditat.

  4. Selectați Căutare.

  5. Când căutarea este finalizată, selectați-o pentru a vedea lista activităților conexe.

  6. Selectați un șir din listă pentru a vedea detaliile activității.

Datele de audit sunt păstrate timp de 90 de zile. Puteți efectua exporturi de date CDSV pentru a vă permite să le mutați în Excel sau POWERBI pentru analize suplimentare. Puteți găsi o etapă completă a utilizării informațiilor de audit aici: https://flow.microsoft.com/blog/security-and-compliance-center/