Обзор требований к средствам управления доступом дополнительного обработчика данных
Если у субобработчика есть "потенциальный доступ" к персональным данным или конфиденциальным данным Майкрософт, значит ли это, что он может обрабатывать эти данные в любое время и при желании? Корпорация Майкрософт разрешает субобработчикам обрабатывать данные только для предоставления услуг, которые корпорация Майкрософт сохранила для предоставления, и им запрещено использовать данные для каких-либо других целей. Персональные данные, обрабатываемые субобработчиками, часто под псевдонимами или деидентифицируются, что позволяет субобработчикам выполнять свои служебные обязанности без доступа к идентифицируемым атрибутам. Корпорация Майкрософт требует, чтобы каждый тип субобработчика использовал соответствующие элементы управления доступом для защиты обрабатываемых ими данных.
Типы дополнительных обработчиков данных
Корпорация Майкрософт определила три категории субобработчиков:
- Технологии: Сторонние субобработчики, которые используют технологии, которые легко интегрированы с Microsoft Online Services и частично поддерживают облачные функции Майкрософт. При развертывании одной из этих служб субобработчики, определенные для этой службы, могут обрабатывать, хранить или иным образом получать доступ к данным клиента или персональным данным, помогая предоставлять эту службу.
- Вспомогательные: Сторонние субобработчики, предоставляющие сопутствующие службы, помогающие поддерживать, эксплуатировать и обслуживать веб-службы. В таких случаях указанные дополнительные обработчики данных могут обрабатывать, хранить или иным образом получать доступ к ограниченным данным клиентов или личным данным при предоставлении дополнительных служб.
- Контрактный персонал: Организации, предоставляющие сотрудников по контрактам, которые работают параллельно с сотрудниками Майкрософт на полный рабочий день для поддержки, эксплуатации и обслуживания веб-служб Майкрософт. Во всех таких случаях данные клиента или персональные данные находятся только в средствах Корпорации Майкрософт, в системах Майкрософт и подлежат политикам и надзору Корпорации Майкрософт.
Кроме того, сущности центра обработки данных Майкрософт предоставляют инфраструктуру центра обработки данных, в которой работают microsoft Online Services. Данные в центрах обработки данных шифруются, и ни один персонал в центрах обработки данных не может получить к ним доступ.
Элементы управления доступом к дополнительному обработчику данных
Каждый тип дополнительного обработчика данных Майкрософт применяет соответствующие средства управления доступом для защиты данных клиентов и личных данных. Все дополнительные обработчики данных необходимы для обеспечения безопасности и конфиденциальности данных клиента и персональных данных и обязаны соблюдать строгие требования к конфиденциальности и безопасности. Эти требования эквивалентны или сильнее, чем обязательства по договору, которые корпорация Майкрософт принимает перед своими клиентами в дополнительном соглашении о защите данных продуктов и служб Майкрософт.
Сотрудники по контрактам применяют те же элементы управления доступом, что и для сотрудников Майкрософт, работающих полный рабочий день, включая многофакторную проверку подлинности (MFA), нулевой постоянный доступ (ZSA) и JIT(JIT) с just-Enough-Access (JEA). Кроме того, субподрядчики, которые работают на объектах или используют оборудование, контролируемое корпорацией Майкрософт, по контракту обязаны соблюдать стандарты конфиденциальности и проходить регулярные тренинги по вопросам конфиденциальности.
Технологические и вспомогательные субобработчики отвечают за реализацию управления доступом в соответствии с требованиями Майкрософт к защите данных (DPR). Эти требования соответствуют или превышают обязательства по договору, которые корпорация Майкрософт предоставляет своим клиентам в условиях использования продукта. Эти субобработчики могут иметь доступ к определенным ограниченным данным, таким как данные клиента или персональные данные, для предоставления функций в поддержку веб-служб Майкрософт. Контракты субобработчика специально запрещают использование Персональных данных в любых других целях. Кроме того, применимые элементы управления из КНДР помогают защитить Данные клиента и Персональные данные от несанкционированного доступа или использования. Во многих случаях задачи, выполняемые субобработчиками, могут выполняться с помощью псевдонимизированных или анонимных данных.
Дополнительные обработчики данных также необходимы для выполнения требований к конфиденциальности и безопасности, включая те, которые связаны с реализацией соответствующих технических и организационных мер по защите персональных данных.