Испанский королевский указ 1720/2007, испанский конституционный закон 15/1999 (LOPD)

  • Статья

Обзор испанского королевского указа 1720/2007, испанского конституционного закона 15/1999

AEPD — это государственный орган, осуществляющий надзор за соблюдением испанского конституционного закона 15/1999 о защите личных данных (Ley Orgánica 15/1999 de Protección de Datos, LOPD), включая перемещение данных через государственные границы. В 2014 году организация AEPD проверила положения и условия Майкрософт, применимые для служб Microsoft Azure, Dynamics 365 и Office 365, на которые распространяются рамочные условия ЕС, и выпустила резолюцию, в которой заявила, что эти условия обеспечивают достаточные средства защиты для клиентов, переносящих свои личные данные в эти службы.

Статья VIII королевского указа 1720/2007 устанавливает строгие требования в отношении обработки личных данных, включая конкретный перечень обязательных к применению мер безопасности базового, промежуточного и высокого уровней. Корпорация Майкрософт привлекла независимую испанскую аудиторскую компанию BDO Auditores, которая оценила соответствие служб Microsoft Azure и Office 365 требованиям высокого уровня и службы Microsoft Dynamics 365 — требованиям промежуточного уровня, установленным королевским указом 1720/2007. Опираясь на данные опросов, посещение объектов и исследование программных и физических мер и средств безопасности, аудиторская компания установила, что информационные системы, помещения и средства обработки данных Microsoft Azure и Office 365 полностью соответствуют стандартам высокого уровня, никакие доработки не требуются.

Корпорация Майкрософт и испанский королевский указ 1720/2007, испанский конституционный закон 15/1999

Корпорация Майкрософт стала первым сверхкрупным облачным поставщиком, получившим разрешение испанского агентства по защите данных (Agencia Española de Protección de Datos, AEPD) разрешение в связи с соблюдением высоких стандартов международной передачи данных в соответствии с испанским конституционным законом Law 15/1999 (Ley Orgánica 15/1999 de Protección de Datos, LOPD). Корпорация Майкрософт также стала первым сверхкрупным облачным поставщиком, получившим в результате аудита, проведенного независимой компанией, сертификат соответствия своих сетевых служб мерам безопасности, указанным в статье VIII королевского указа 1720/2007. Это разрешение дает возможность клиентам передавать личные данные в службы Microsoft Azure, Dynamics 365 и Office 365, на которых распространяется действие рамочных условий Евросоюза.

Затрагиваемые облачные платформы и службы Майкрософт

Office 365 и LOPD

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Microsoft Entra ID, Azure Information Protection, Bookings, диспетчер соответствия требованиям, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender для Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do для Интернета, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Cloud App Security, группы Office 365, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, Viva Engage

Аудит, отчеты и сертификаты

Microsoft Azure

  • Авторизация (испанский): испанское решение о защите данных, в котором говорится, что службы Office 365, Azure и Dynamics 365 обеспечивают адекватную защиту в соответствии с местными законами о защите данных на испанском языке.

Microsoft Office 365

  • Авторизация (испанский): испанское решение о защите данных, в котором говорится, что службы Office 365, Azure и Dynamics 365 обеспечивают адекватную защиту в соответствии с местными законами о защите данных на испанском языке.

Microsoft Dynamics 365

  • Авторизация (испанский): испанское решение о защите данных, в котором говорится, что службы Office 365, Azure и Dynamics 365 обеспечивают адекватную защиту в соответствии с местными законами о защите данных на испанском языке.

Вопросы и ответы

Какие преимущества клиенты Майкрософт получают от соблюдения этого стандарта высокого уровня?

Высокоуровневый стандарт распространяется на обработку конфиденциальных данных, таких как медицинская информация. Клиенты, использующие Microsoft Azure и Office 365, могут быть уверены, что их конфиденциальные данные обрабатываются в соответствии с королевским указом 1720/2007.

Можно ли использовать соответствие требованиям Майкрософт в процессе сертификации моей организации?

Да. Если вашей организации требуется аккредитация в соответствии с LOPD или королевским указом 1720/2007, вы можете использовать разрешение AEPD и сертификат мер безопасности в своей оценке соответствия. Тем не менее, вы отвечаете за привлечение аудитора для оценки внедрения Microsoft Azure, Dynamics 365 или Office 365, а также за средства управления и процессы, реализованные в вашей собственной организации.

Ресурсы