Zdieľať cez

Dodržiavanie predpisov a ochrana osobných údajov

  • Článok

Microsoft sa zaviazala k najvyššej úrovni dôvery, transparentnosti, súladu s normami a súladu s predpismi. MicrosoftŠiroký balík cloudových produktov a služieb je od základov vytvorený tak, aby spĺňal tie najprísnejšie požiadavky našich zákazníkov na bezpečnosť a súkromie.

S cieľom pomôcť vašej organizácii splniť národné, regionálne a odvetvové požiadavky, ktoré upravujú zhromažďovanie a používanie údajov jednotlivcov, Microsoft poskytuje najkomplexnejšiu sadu ponúk súladu (vrátane certifikácií a osvedčení) akejkoľvek cloudovej služby. poskytovateľa. Existujú aj nástroje pre správcov na podporu úsilia vašej organizácie. V tejto časti dokumentu sa podrobnejšie venujeme zdrojom, ktoré vám pomôžu určiť a splniť požiadavky vašej vlastnej organizácie.

Centrum dôveryhodnosti

Microsoft Centrum dôvery je centralizovaný zdroj na získavanie informácií o Microsoftportfóliu produktov. Patria sem informácie o bezpečnosti, súkromí, dodržiavaní predpisov a transparentnosti. Aj keď tento obsah môže obsahovať určitú podmnožinu týchto informácií pre Power Apps, je dôležité, aby ste si vždy najaktuálnejšie overené informácie odkázali v Microsoft Centre dôveryhodnosti.

Pre rýchlu orientáciu nájdete informácie z Centra dôveryhodnosti pre Microsoft Power Platform tu: https://www.microsoft.com/trust-center/product-overview. Toto bude obsahovať informácie o Power Apps, Microsoft Power Automate a Power BI.

Umiestnenie údajov

Microsoft prevádzkuje viacero dátových centier po celom svete, ktoré podporujú aplikácie platformy Microsoft Power. Keď vaša organizácia vytvorí nájomcu, vytvorí predvolené geografické (geo) umiestnenie. Okrem toho pri vytváraní prostredí na podporu aplikácií a obsiahnutí údajov Microsoft Dataverse možno na špecifickú geografickú polohu zacieliť prostredia. Aktuálny zoznam geografických údajov pre Microsoft Power Platform možno nájsť tu https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Na podporu kontinuity operácií môže Microsoft replikovať údaje do iných oblastí v rámci geografickej oblasti, ale údaje sa nebudú presúvať mimo geografickej oblasti, aby sa podporila odolnosť údajov. To podporuje schopnosť rýchlejšie zlyhať alebo sa zotaviť v prípade vážneho výpadku. Existujú určité odôvodnené výnimky, pokiaľ ide o uchovávanie údajov v konkrétnej geografickej oblasti, ktoré sú uvedené na primárnej stránke uvedenej vyššie, so zameraním na právne predpisy a podporu. Je tiež dôležité si uvedomiť, že vy alebo vaši používatelia môžete vykonať akcie, ktoré odhaľujú údaje mimo geografického umiestnenia. Ostatné služby možno nakonfigurovať aj na prístup k údajom a ich vystavenie mimo geografických oblastí. V predvolenom nastavení majú oprávnení používatelia prístup k platforme a vašim aplikáciám a údajom odkiaľkoľvek na svete, kde je pripojenie.

Ochrana údajov

Prenos dát medzi používateľskými zariadeniami a Microsoft dátovými centrami je zabezpečený. Spojenia vytvorené medzi zákazníkmi a Microsoft dátovými centrami sú šifrované a všetky verejné koncové body sú zabezpečené pomocou štandardného TLS. TLS účinne vytvára zabezpečené pripojenie prehliadača k serveru, ktoré pomáha zaistiť dôvernosť údajov a integritu medzi stolnými počítačmi a dátovými centrami. Podobne je chránený aj prístup API z koncového bodu zákazníka na server. V súčasnosti je na prístup ku koncovým bodom servera potrebný TLS 1.2 (alebo vyšší).

Šifrované sú aj údaje prenášané miestnou dátovou bránou. Údaje, ktoré používatelia odovzdajú, sa zvyčajne odosielajú do úložiska Azure Blob a všetky metaúdaje a artefakty pre samotný systém sa ukladajú do databázy Azure SQL a do úložiska Azure Table.

Všetky prostredia databázy Dataverse používajú transparentné šifrovanie údajov SQL Server (TDE) na vykonanie šifrovania a údajov zapísaných na disku. Známe je to aj pod výrazom šifrovanie v pokoji.

V predvolenom nastavení Microsoft ukladá a spravuje šifrovacie kľúče databázy pre vaše prostredia, takže vy nemusíte. Funkcia správy kľúčov v centre spravovania platformy Power Platform dáva správcom schopnosť samostatnej správy šifrovacích kľúčov databázy, ktoré sú prepojené s prostrediami služby Dynamics 365 (online). Viac o správe vlastných kľúčov si môžete prečítať tu ale vo všeobecnosti sa odporúča Microsoft spravovať kľúče, pokiaľ nemáte špecifickú obchodnú potrebu udržiavať svoje vlastné.

Zdroje na riadenie súladu s GDPR

Všeobecné nariadenie o ochrane údajov (GDPR) Európskej únie (EÚ) poskytuje jednotlivcom významné práva týkajúce sa ich údajov. Pozrite si Microsoft Learn Všeobecné nariadenie o ochrane údajov Summary , kde nájdete prehľad GDPR vrátane terminológie, akčného plánu a kontrolných zoznamov pripravenosti, ktoré vám pomôžu splniť vaše povinnosti podľa GDPR pri používaní Microsoft produktov a služieb.

Môžete sa dozvedieť viac o GDPR a o tom, ako Microsoft pomáha podporovať ju a našich zákazníkov, ktorých sa to týka.

  • Microsoft Centrum dôveryhodnosti poskytuje všeobecné informácie, osvedčené postupy dodržiavania súladu a dokumentáciu užitočnú na GDPR zodpovednosti, ako sú hodnotenia vplyvu ochrany údajov, žiadosti dotknutých osôb a upozornenia na porušenie ochrany údajov.
  • Portál Service Trust poskytuje informácie o tom, ako Microsoft služby pomáhajú podporovať súlad s GDPR.

Ako správca bude jedna z kľúčových činností na podporu ochrany osobných údajov súvisieť so žiadosťami o práva dotknutej osoby (DSR). Ide o formálne žiadosti dotknutej osoby adresované prevádzkovateľovi údajov (pravdepodobne vašej organizácii), aby vo vašich systémoch konal na základe ich osobných údajov. Dotknuté osoby majú právo získať kópie, požadovať opravy, obmedziť spracúvanie údajov, vymazať údaje a získať kópie v elektronickom formáte, aby mohli byť postúpené inému prevádzkovateľovi údajov.

Nasledujúce odkazy poukazujú na podrobné informácie, ktoré vám pomôžu odpovedať na požiadavky DSR v závislosti od funkcií, ktoré vaša organizácia používa.

Funkčná oblasť platformy Odkaz na podrobné kroky reakcie
Power Apps Reakcia na žiadosti dotknutých osôb o export Power Apps údajov zákazníkov
Dataverse Reakcia na žiadosti o Dataverse zákaznícke údaje týkajúce sa práv dotknutej osoby (DSR)
Power Automate Reakcia na žiadosti dotknutej osoby o Power Automate
Microsoft účty (MSA) Reagujte na žiadosti o práva dotknutej osoby
Aplikácie na interakciu so zákazníkmi Dynamics 365 žiadosti dotknutých osôb o súkromie

Microsoft 365 Centrum zabezpečenia a dodržiavania súladu

Pomocou Microsoft Purview Compliance Manager môžete spravovať svoje úsilie o dodržiavanie súladu v rámci Microsoft cloudových služieb na jednom mieste.

Udalosti denníka auditu Power Automate

V denníku auditu centra dodržiavania predpisov správcovia vyhľadávania môžu vyhľadávať a prezerať udalosti Power Automate. Medzi udalosti patrí Vytvorený tok, Upravený tok, Vymazaný tok, Upravené povolenia, Vymazané povolenia, Začatie platenej skúšky, Obnovenie platenej skúšky. Pomocou portálu si môžete vybrať, čo chcete prehľadať a časové okno.

  1. Prihláste sa na portál Microsoft Purview compliance.

  2. V časti Riešenia vyberte Audit.

  3. V časti Aktivity vyberte aktivity Power Automate na audit.

    Vyberte Power Automate aktivity na audit.

  4. Vyberte Vyhľadávať.

  5. Po dokončení vyhľadávania ho vyberte, aby ste videli zoznam súvisiacich aktivít.

  6. Ak chcete zobraziť podrobnosti o činnosti, vyberte riadok v zozname.

Údaje z auditu sa uchovávajú 90 dní. Môžete vykonať export dát CDSV, čo vám umožní presunúť ich do Excelu alebo PowerBI pre ďalšiu analýzu. Úplný návod na použitie audítorských informácií nájdete tu: https://flow.microsoft.com/blog/security-and-compliance-center/