Обзор управления конфиденциальностью и данными
Как корпорация Майкрософт обеспечивает конфиденциальность для клиентов?
Обязательства корпорации Майкрософт по защите данных клиентов изложены в условиях продукта и в дополнительном приложении по защите данных (DPA). Подход Корпорации Майкрософт к конфиденциальности основан на следующих принципах: контроль над клиентами, прозрачность, безопасность, защита данных от доступа сторонних поставщиков, отсутствие целевого назначения на основе содержимого и соответствие соответствующим законам и нормативным актам. Дополнительные сведения см. в статье Конфиденциальность на сайте Майкрософт и Отчет о конфиденциальности Майкрософт , чтобы узнать больше о подходе Корпорации Майкрософт к защите конфиденциальности.
Как корпорация Майкрософт выполняет свои обязательства по обеспечению конфиденциальности?
Корпорация Майкрософт поддерживает Политику корпоративной конфиденциальности Майкрософт и Стандарт конфиденциальности Майкрософт, чтобы обеспечить соблюдение наших обязательств по обеспечению конфиденциальности на предприятии. Корпорация Майкрософт имеет советы по управлению, советы директоров и комитеты для поддержки согласованного и соответствующего требованиям принятия и реализации наших требований к корпоративной конфиденциальности. Программа конфиденциальности Майкрософт начинается с модели управления "центральной и периферийной", когда ответственность за соответствие требованиям распределяется в компании, некоторые из них являются централизованными, а другие распределяются. "Центром" группы корпоративной конфиденциальности Майкрософт является группа CELA (корпоративные, внешние и юридические вопросы). "Спицы" находятся в инженерно-функциональных группах компании.
Корпорация Майкрософт также имеет стандарты обработки данных, которые предоставляют рекомендации по управлению каждым типом классификации данных в рамках конкретных действий или сценариев, включая требования к выполнению обязательств, изложенных в условиях продукта и DPA.
Как корпорация Майкрософт собирает и обрабатывает данные клиентов?
Жизненный цикл данных описывает, как корпорация Майкрософт обрабатывает данные на основе рекомендаций клиентов и в соответствии с применимыми законами о безопасности и конфиденциальности, как указано в Условиях продукта и DPA. Этапы жизненного цикла данных включают сбор, обработку, хранение, сторонний общий доступ (если применимо), хранение, передачу и удаление. Подход Корпорации Майкрософт к конфиденциальности информирует каждый этап жизненного цикла данных для защиты конфиденциальности наших клиентов.
Корпорация Майкрософт ограничивает сбор данных клиентов тремя категориями данных: данные клиента, персональные данные и данные профессиональных служб, как определено в DPA. Корпорация Майкрософт использует и обрабатывает данные из этих категорий для предоставления продуктов и услуг в соответствии с задокументированных инструкций от своих клиентов, а также для инцидентов бизнес-операций с предоставлением продуктов и услуг. Конкретные описания этих действий по использованию и обработке определяются в DPA в разделах "Обработка для предоставления клиенту продуктов и услуг" и "Инцидент обработки для бизнес-операций с предоставлением продуктов и услуг клиенту" соответственно.
Как корпорация Майкрософт обрабатывает сторонний общий доступ?
Сторонний общий доступ — это совместное использование данных с третьими лицами или раскрытие данных третьим лицам. Корпорация Майкрософт будет предоставлять общий доступ к данным только в том случае, если это разрешено клиентом или требуется в соответствии с действующим законодательством. Корпорация Майкрософт не предоставляет никаким правительственным учреждениям (включая правоохранительные или другие государственные органы) прямой или свободный доступ к данным клиента. Дополнительные сведения см. в отчете о запросах правоохранительных органов и отчете о порядке национальной безопасности США , чтобы узнать, как корпорация Майкрософт реагирует на правительственные запросы на доступ к данным.
Использует ли корпорация Майкрософт субобработчиков или субподрядчиков?
Сведения о том, как корпорация Майкрософт управляет поставщиками, см. на странице Управление поставщиками .
У кого есть доступ к данным клиентов в корпорации Майкрософт?
Сведения о том, как корпорация Майкрософт управляет доступом к данным клиентов, см. на странице Управление удостоверениями и доступом .
Где находятся данные клиента?
Для основных веб-служб ознакомьтесь с нашими обязательствами, изложенными в условиях продукта и DPA , чтобы найти самую актуальную информацию о расположении данных клиентов.
Как описано в DPA для основных веб-служб, корпорация Майкрософт хранит неактивные данные клиентов в определенных основных географических районах (каждый из них — географическое расположение), как указано в условиях использования продукта. Для коммерческих услуг в область границы данных Microsoft EU корпорация Майкрософт хранит и обрабатывает данные клиентов в Пределах Европейского союза, как описано в условиях продукта. Корпорация Майкрософт не контролирует и не ограничивает регионы, из которых клиент или конечные пользователи клиента могут получать доступ к данным клиента или перемещать их.
Дополнительные сведения см. на странице Конфиденциальность Майкрософт. Где находятся ваши данные .
Сведения о службах Azure и M365 см. в разделе Расположение данных Azure и расположения данных M365.
Другие расположения данных служб:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Политика Microsoft Defender для удостоверений персональных данных
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Профессиональные услуги Майкрософт
- Защита от угроз (Майкрософт)
Граница данных Microsoft EU
6 мая 2021 г. корпорация Майкрософт объявила о новом обязательстве корпорации Майкрософт перед клиентами в Европе. Граница данных ЕС — это географически определенная граница, в пределах которой корпорация Майкрософт обязалась хранить и обрабатывать данные клиентов для наших основных веб-службы, включая Azure, Dynamics 365, Power Platform и Microsoft 365, при условии, что данные клиентов будут по-прежнему передаваться за пределы границ данных ЕС.
Дополнительные сведения см. в:
Как корпорация Майкрософт удаляет данные клиентов, когда клиент покидает службу?
Стандарт обработки данных Майкрософт определяет, как долго хранятся данные клиента после удаления. Когда клиентская подписка завершается, корпорация Майкрософт сохраняет данные клиента в учетной записи с ограниченной функцией в течение 90 дней, чтобы клиент мог извлечь данные. После окончания 90-дневного периода хранения корпорация Майкрософт удалит данные клиента, если он не авторизуются для их хранения и если хранение не требуется по закону. Не более чем через 180 дней после истечения срока действия или прекращения действия подписки на Microsoft веб-службы корпорация Майкрософт отключает учетную запись и удаляет из нее все данные клиентов. После того как максимальный период хранения для каких-либо данных истечет, их невозможно будет восстановить коммерческим способом.
Корпорация Майкрософт также удаляет все созданные службой и диагностические данные в рамках стандартного жизненного цикла данных Майкрософт, если только эти данные не требуются для обеспечения безопасности и стабильности службы. Для любой подписки подписчик может обратиться в службу поддержки Майкрософт и запросить ускоренное удаление подписки. Когда клиент использует этот процесс, все данные пользователя удаляются через 3 дня после ввода администратором кода блокировки, предоставленного корпорацией Майкрософт. Это удаление включает данные в SharePoint Online и Exchange Online в состоянии удержания или в неактивных почтовых ящиках.
Корпорация Майкрософт следует рекомендациям NIST SP-800-88 по уничтожению устройств, способных хранить данные, как описано в статье Об уничтожении устройств, несущих данные .
Связанные внешние правила & сертификации
Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с конфиденциальностью, см. в следующей таблице.
Azure и Dynamics 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| ISO 27018 Заявление о применимости Сертификат |
A-2.1. Назначение процессора PII в общедоступном облаке | 6 ноября 2023 г. |
| ISO 27701 Заявление о применимости Сертификат |
Все элементы управления | 6 ноября 2023 г. |
| SOC 1; | DS-15: прекращение или истечение срока действия подписки клиента SDL-1: методология жизненного цикла разработки безопасности (SDL) LA-4: защита конфиденциальных данных клиентов |
17 ноября 2023 г. |
| SOC 2; SOC 3 |
DS-15: прекращение или истечение срока действия подписки клиента SDL-1: методология жизненного цикла разработки безопасности (SDL) LA-4: защита конфиденциальных данных клиентов SOC2-1: классификация активов SOC2-7: опубликованные обязательства по конфиденциальности и безопасности |
17 ноября 2023 г. |
Microsoft 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| ISO 27018 Заявление о применимости Сертификат |
A-2.1. Назначение процессора PII в общедоступном облаке | Март 2024 г. |
| ISO 27701 Заявление о применимости Сертификат |
Все элементы управления | Март 2024 г. |
| SOC 2; | CA-12: соглашения об уровне обслуживания (SLA) CA-17: политика безопасности Майкрософт CA-25: обновления платформы управления |
23 января 2024 г. |
Ресурсы
- Центр управления безопасностью Майкрософт: принципы конфиденциальности
- Соответствие требованиям к передаче в ЕС для персональных данных в Microsoft Cloud
- Сведения о конфиденциальности и защите данных профессиональных служб Майкрософт
- Часто задаваемые вопросы об оценке влияния на передачу данных
- Data Residency, независимость данных и соответствие требованиям в Microsoft Cloud
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по