Dodržiavanie predpisov a ochrana osobných údajov
Spoločnosť Microsoft sa zaviazala k najvyššej úrovni dôvery, transparentnosti, súladu s normami a dodržiavania predpisov. Široká škála cloudových produktov a služieb spoločnosti Microsoft je vytvorená od základov, aby riešila najprísnejšie požiadavky na bezpečnosť a ochranu súkromia našich zákazníkov.
V snahe pomôcť vašej organizácii splniť národné, regionálne a priemyselné požiadavky, ktoré upravujú zhromažďovanie a používanie údajov jednotlivcov, spoločnosť Microsoft poskytuje najkomplexnejší súbor ponúk na dodržiavanie predpisov (vrátane certifikácií a osvedčení) ktoréhokoľvek poskytovateľa cloudových služieb. Existujú aj nástroje pre správcov na podporu úsilia vašej organizácie. V tejto časti dokumentu sa podrobnejšie venujeme zdrojom, ktoré vám pomôžu určiť a splniť požiadavky vašej vlastnej organizácie.
Centrum dôveryhodnosti
Centrum dôveryhodnosti spoločnosti Microsoft je centralizovaný zdroj na získavanie informácií o portfóliu produktov spoločnosti Microsoft. Patria sem informácie o bezpečnosti, súkromí, dodržiavaní predpisov a transparentnosti. Aj keď tento obsah môže obsahovať niektoré podmnožiny týchto informácií pre Power Apps, je dôležité vždy sa obrátiť na Centrum dôveryhodnosti Microsoft, kde nájdete najaktuálnejšie autoritatívne informácie.
Pre rýchlu orientáciu nájdete informácie z Centra dôveryhodnosti pre Microsoft Power Platform tu: https://www.microsoft.com/trust-center/product-overview. Toto bude obsahovať informácie o Power Apps, Microsoft Power Automate a Power BI.
Umiestnenie údajov
Spoločnosť Microsoft prevádzkuje na celom svete viaceré dátové centrá, ktoré podporujú aplikácie Microsoft Power Platform. Keď vaša organizácia vytvorí nájomcu, vytvorí predvolené geografické (geo) umiestnenie. Okrem toho pri vytváraní prostredí na podporu aplikácií a obsiahnutí údajov Microsoft Dataverse možno na špecifickú geografickú polohu zacieliť prostredia. Aktuálny zoznam geografických údajov pre Microsoft Power Platform možno nájsť tu https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location
Na podporu kontinuity činností môže spoločnosť Microsoft replikovať údaje do iných oblastí v rámci geografických oblastí, ale údaje sa nebudú pohybovať mimo geografických oblastí, aby podporili odolnosť údajov. To podporuje schopnosť rýchlejšie zlyhať alebo sa zotaviť v prípade vážneho výpadku. Existujú určité odôvodnené výnimky, pokiaľ ide o uchovávanie údajov v konkrétnej geografickej oblasti, ktoré sú uvedené na primárnej stránke uvedenej vyššie, so zameraním na právne predpisy a podporu. Je tiež dôležité si uvedomiť, že vy alebo vaši používatelia môžete vykonať akcie, ktoré odhaľujú údaje mimo geografického umiestnenia. Ostatné služby možno nakonfigurovať aj na prístup k údajom a ich vystavenie mimo geografických oblastí. V predvolenom nastavení majú oprávnení používatelia prístup k platforme a vašim aplikáciám a údajom odkiaľkoľvek na svete, kde je pripojenie.
Ochrana údajov
Údaje počas prenosu medzi používateľskými zariadeniami a dátovými centrami spoločnosti Microsoft, sú zabezpečené. Spojenia medzi zákazníkmi a dátovými centrami spoločnosti Microsoft sú šifrované a všetky verejné koncové body sú zabezpečené pomocou priemyselného štandardu TLS. TLS účinne vytvára zabezpečené pripojenie prehliadača k serveru, ktoré pomáha zaistiť dôvernosť údajov a integritu medzi stolnými počítačmi a dátovými centrami. Podobne je chránený aj prístup API z koncového bodu zákazníka na server. V súčasnosti je na prístup ku koncovým bodom servera potrebný TLS 1.2 (alebo vyšší).
Šifrované sú aj údaje prenášané miestnou dátovou bránou. Údaje, ktoré používatelia odovzdajú, sa zvyčajne odosielajú do úložiska Azure Blob a všetky metaúdaje a artefakty pre samotný systém sa ukladajú do databázy Azure SQL a do úložiska Azure Table.
Všetky prostredia databázy Dataverse používajú transparentné šifrovanie údajov SQL Server (TDE) na vykonanie šifrovania a údajov zapísaných na disku. Známe je to aj pod výrazom šifrovanie v pokoji.
Predvolene Microsoft ukladá a spravuje šifrovacie kľúče databázy vašich prostredí, aby ste to nemuseli robiť vy. Funkcia správy kľúčov v centre spravovania platformy Power Platform dáva správcom schopnosť samostatnej správy šifrovacích kľúčov databázy, ktoré sú prepojené s prostrediami služby Dynamics 365 (online). Viac informácií o správe vlastných kľúčov nájdete tu, ale vo všeobecnosti sa odporúča nechať si spravovať kľúče od spoločnosti Microsoft, pokiaľ si to nevyžadujete konkrétnu obchodnú činnosť, ktorú si musíte zachovať.
Zdroje na riadenie súladu s GDPR
Všeobecné nariadenie o ochrane údajov (GDPR) Európskej únie (EÚ) poskytuje jednotlivcom významné práva týkajúce sa ich údajov. Pozrite si Microsoft Learn Zhrnutie všeobecného nariadenia o ochrane údajov , kde nájdete prehľad GDPR vrátane terminológie, akčného plánu a kontrolných zoznamov pripravenosti, ktoré vám pomôžu splniť povinnosti vyplývajúce z GDPR pri používaní produktov spoločnosti Microsoft. a služieb.
Dozviete sa viac o nariadení GDPR a o tom, ako spoločnosť Microsoft pomáha podporovať toto nariadenie a našich zákazníkov, ktorých sa týka.
- Microsoft Trust Center poskytuje všeobecné informácie, osvedčené postupy dodržiavania súladu a dokumentáciu, ktorá je užitočná pre zodpovednosť za GDPR, ako sú hodnotenia vplyvu ochrany údajov, žiadosti dotknutých osôb a upozornenia na porušenie ochrany údajov.
- Portál Service Trust poskytuje informácie o tom, ako služby spoločnosti Microsoft pomáhajú podporovať súlad s GDPR.
Ako správca bude jedna z kľúčových činností na podporu ochrany osobných údajov súvisieť so žiadosťami o práva dotknutej osoby (DSR). Ide o formálne žiadosti dotknutej osoby adresované prevádzkovateľovi údajov (pravdepodobne vašej organizácii), aby vo vašich systémoch konal na základe ich osobných údajov. Dotknuté osoby majú právo získať kópie, požadovať opravy, obmedziť spracúvanie údajov, vymazať údaje a získať kópie v elektronickom formáte, aby mohli byť postúpené inému prevádzkovateľovi údajov.
Nasledujúce odkazy poukazujú na podrobné informácie, ktoré vám pomôžu odpovedať na požiadavky DSR v závislosti od funkcií, ktoré vaša organizácia používa.
| Funkčná oblasť platformy | Odkaz na podrobné kroky reakcie |
|---|---|
| Power Apps | Reakcia na žiadosti dotknutých osôb o export Power Apps údajov zákazníkov |
| Dataverse | Reakcia na žiadosti o Dataverse zákaznícke údaje týkajúce sa práv dotknutej osoby (DSR). |
| Power Automate | Odpovedanie na žiadosti dotknutej osoby o Power Automate |
| Microsoft Accounts (MSAs) | Reagujte na žiadosti o práva dotknutej osoby |
| Aplikácie na interakciu so zákazníkmi | Dynamics 365 žiadosti dotknutých osôb o súkromie |
Microsoft 365 Centrum zabezpečenia a dodržiavania súladu
Správcu dodržiavania predpisov Microsoft použite na riadenie vášho úsilia o dodržiavanie predpisov v cloudových službách spoločnosti Microsoft na jednom mieste.
Udalosti denníka auditu Power Automate
V denníku auditu centra dodržiavania predpisov správcovia vyhľadávania môžu vyhľadávať a prezerať udalosti Power Automate. Medzi udalosti patrí Vytvorený tok, Upravený tok, Vymazaný tok, Upravené povolenia, Vymazané povolenia, Začatie platenej skúšky, Obnovenie platenej skúšky. Pomocou portálu si môžete vybrať, čo chcete prehľadať a časové okno.
Prihláste sa na portál dodržiavania súladu Microsoft Purview.
V časti Riešenia vyberte Audit.
V časti Aktivity vyberte aktivity Power Automate na audit.
Vyberte Vyhľadávať.
Po dokončení vyhľadávania ho vyberte, aby ste videli zoznam súvisiacich aktivít.
Ak chcete zobraziť podrobnosti o činnosti, vyberte riadok v zozname.
Údaje z auditu sa uchovávajú 90 dní. Môžete vykonať export dát CDSV, čo vám umožní presunúť ich do Excelu alebo PowerBI pre ďalšiu analýzu. Úplný návod na použitie audítorských informácií nájdete tu: https://flow.microsoft.com/blog/security-and-compliance-center/