Соответствие и конфиденциальность данных
Microsoft привержена высочайшим уровням доверия, прозрачности, соответствия стандартам и соответствия нормативным требованиям. Широкий набор облачных продуктов и служб Microsoft создан с нуля для удовлетворения самых строгих требований безопасности и конфиденциальности наших клиентов.
Чтобы помочь вашей организации соответствовать национальным, региональным и отраслевым требованиям, регулирующим сбор и использование данных отдельных лиц, Microsoft предоставляет наиболее полный набор предложений по соответствию (включая сертификаты и аттестации) любого поставщика облачных служб. Есть также инструменты для администраторов, чтобы поддержать усилия вашей организации. В этой части документа мы более подробно рассмотрим доступные ресурсы, которые помогут вам определить и выполнить требования вашей организации.
Центр управления безопасностью
Центр управления безопасностью Microsoft является централизованным ресурсом для получения информации о портфеле продуктов Microsoft. Это включает информацию о безопасности, конфиденциальности, соответствии и прозрачности. Хотя это содержимое может включать некоторое подмножество этой информации для Power Apps, важно всегда обращаться в Центр управления безопасностью Microsoft для получения самой последней достоверной информации.
Для быстрой справки вы можете найти информацию о центре управления безопасностью для Microsoft Power Platform здесь: https://www.microsoft.com/trust-center/product-overview. Это будет включать информацию о Power Apps, Microsoft Power Automate и Power BI.
Расположение данных
Microsoft управляет несколькими центрами обработки данных по всему миру, которые поддерживают приложения Microsoft Power Platform. Когда ваша организация устанавливает клиента, она устанавливает географическое (геообъект) местоположение по умолчанию. Кроме того, при создании сред для поддержки приложений и данных Microsoft Dataverse, среды могут быть ориентированы на конкретный геообъект. Текущий список геообъектов для Microsoft Power Platform можно найти здесь https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location
Чтобы обеспечить непрерывность операций, Microsoft может реплицировать данные в другие регионы в пределах географического расположения, но данные не будут перемещаться за пределы географического расположения для поддержки устойчивости данных. Это поддерживает возможность переключения или более быстрого восстановления в случае серьезного сбоя. Существуют некоторые целесообразные исключения для хранения данных в определенном географическом положении, которые перечислены на вышеуказанном сайте и направлены в первую очередь на юридические вопросы и поддержку. Также важно отметить, что вы или ваши пользователи можете выполнять действия, которые предоставляют данные за пределами геообъекта. Другие службы также могут быть настроены для доступа к данным и предоставления их за пределами геообъекта. По умолчанию полномочные пользователи могут получить доступ к платформе и вашим приложениям и данным из любой точки мира, где есть возможность подключения.
Защита данных
Данные, передаваемые между пользовательскими устройствами и центрами данных Microsoft, защищены. Подключения, установленные между клиентами и центрами обработки данных Microsoft, зашифрованы, а все общедоступные конечные точки защищены с использованием стандартного TLS. TLS эффективно устанавливает защищенное подключение браузера с сервером, чтобы обеспечить конфиденциальность и целостность данных между настольными компьютерами и центрами обработки данных. Доступ через API-интерфейс от конечной точки клиента к серверу также защищен аналогичным образом. В настоящее время для доступа к конечным точкам сервера требуется TLS 1.2 (или выше).
Данные, передаваемые через локальный шлюз данных, также шифруются. Загружаемые пользователями данные обычно отправляются в хранилище BLOB-объектов Azure, а все метаданные и артефакты для самой системы хранятся в базе данных SQL Azure и хранилище таблиц Azure.
Все среды базы данных Dataverse используют прозрачное шифрование данных (TDE) SQL Server для выполнения шифрования данных в реальном времени при записи на диск, которое также называется неактивным шифрованием.
По умолчанию Microsoft хранит ключи шифрования баз данных для ваших сред и управляет ими, так что вам не требуется это делать. Функция управления ключами в центре администрирования Power Platform предоставляет администраторам возможность самостоятельно управлять ключами шифрования баз данных, которые связаны со средами Dynamics 365 (online). Вы можете прочитать больше об управлении собственными ключами здесь, но, как правило, рекомендуется, чтобы Microsoft управляла ключами, если у вас нет особых потребностей в ведении бизнеса.
Ресурсы для управления соответствием нормативам GDPR
Общий регламент по защите данных (GDPR) Европейского союза (ЕС) предоставляет физическим лицам значительные права в отношении их данных. Обзор GDPR см. в статье Microsoft Learn Общий регламент по защите данных, включая терминологию, план действий и контрольные списки готовности, которые помогут вам выполнять свои обязательства в соответствии с GDPR при использовании продуктов и услуг Microsoft.
Вы можете узнать больше о GDPR и о том, как Microsoft помогает поддерживать его и наших клиентов, на которых он распространяется.
- Центр управления безопасностью Майкрософт предоставляет общую информацию, рекомендации по соблюдению нормативных требований и документацию, полезную для отчетности GDPR, такую как оценка воздействия на защиту данных, запросы субъектов данных и уведомление об утечке данных.
- Портал Service Trust Portal предоставляет информацию о том, как службы Microsoft помогают обеспечить соблюдение требований GDPR.
В качестве администратора одно из ключевых действий в поддержку конфиденциальности будет связано с запросами на права субъекта данных (DSR). Это формальные запросы от субъекта данных к контроллеру данных (вероятно, от вашей организации), чтобы они действовали в отношении их личных данных в ваших системах. Субъекты данных имеют право на получение копий, запрос исправлений, ограничение обработки данных, удаление данных и получение копий в электронном формате, чтобы их можно было перенести в другой контроллер данных.
Следующие ссылки указывают на подробную информацию, которая поможет вам отвечать на запросы DSR в зависимости от функций, используемых вашей организацией.
| Область функций платформы | Ссылка на подробные шаги по ответу |
|---|---|
| Power Apps | Ответ на запросы прав субъектов данных (DSR) для экспорта данных клиента Power Apps |
| Dataverse | Ответ на запросы прав субъектов данных (DSR) для данных клиента Dataverse |
| Power Automate | Ответ на запросы от субъектов данных для Power Automate |
| Учетные записи Майкрософт (MSA) | Ответ на запросы для осуществления прав субъектов данных |
| Приложения для взаимодействия с клиентами | Запросы субъектов данных Dynamics 365 для конфиденциальности |
Центр безопасности и соответствия требованиям Microsoft 365
Используйте Диспетчер соответствия требованиям Microsoft Purview для управления вашими действиями по обеспечению соответствия во всех облачных службах Майкрософт в одном месте.
События журнала аудита Power Automate
В поиске в журналах аудита центра соответствия требованиям администраторы могут искать и просматривать события Power Automate. К событиям относятся Созданный поток, Отредактированный поток, Удаленный поток, Отредактированные разрешения, Удаленные разрешения, Запущена платная пробная версия, Продлена платная пробная версия. Используя портал, вы можете выбрать, что вы хотите искать и временной диапазон.
Войдите на портал соответствия требованиям Microsoft Purview.
В разделе Решения выберите Аудит.
В пункте Действия выберите действия Power Automate для аудита.
Нажмите Поиск.
По завершении поиска выберите его, чтобы просмотреть список связанных действий.
Выберите строку в списке, чтобы увидеть сведения о действии.
Данные аудита хранятся в течение 90 дней. Вы можете выполнить экспорт данных в формате CDSV, что позволит вам переместить их в Excel или PowerBI для дальнейшего анализа. Вы можете найти полное описание использования сведений об аудите здесь: https://flow.microsoft.com/blog/security-and-compliance-center/
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по