Skladnost in zasebnost podatkov

  • Članek

Družba Microsoft poskuša zagotoviti najvišjo raven zaupanja, preglednosti ter skladnosti s standardi in predpisi. Širok nabor Microsoftovih izdelkov in storitev v oblaku je zasnovan tako, da izpolnjuje najstrožje zahteve glede varnosti in zasebnosti strank.

Ker želimo vaši organizaciji omogočiti izpolnjevanje nacionalnih in področnih zahtev ter tistih, značilnih za določeno gospodarsko panogo, ki se nanašajo na zbiranje in uporabo podatkov posameznikov, je Microsoft ustvaril obsežnejši nabor ponudb za skladnost (vključno s potrdili in potrditvami) kot kateri koli drugi ponudnik storitev v oblaku. Ponujamo tudi orodja za skrbnike, ki podpirajo prizadevanja vaše organizacije. V tem delu dokumenta bomo podrobneje opisali vire, ki so na voljo za določanje in doseganje zahtev organizacije.

Središče zaupanja

Microsoftovo središče zaupanja je centraliziran vir za pridobivanje informacij o Microsoftovem portfelju izdelkov. Sem spadajo informacije o varnosti, zasebnosti, skladnosti in preglednosti. Ta vsebina lahko vključuje podnabor teh informacij za Power Apps, toda najnovejše verodostojne informacije je vedno treba poiskati v Microsoftovem središču zaupanja.

V pomoč smo vam pripravili informacije središča zaupanja za Microsoft Power Platform, ki jih najdete tukaj: https://www.microsoft.com/trust-center/product-overview. To vključuje informacije o storitvah Power Apps, Microsoft Power Automate in Power BI.

Lokacija podatkov

Microsoft upravlja več podatkovnih središč po svetu, ki podpirajo aplikacije Microsoft Power Platform. Ko vaša organizacija določi najemnika, se s tem določi privzeta geografska lokacija. Ko ustvarjate okolja za podporo aplikacijam in podatke storitve Microsoft Dataverse, lahko okolja usmerite na določeno geografsko lokacijo. Trenutni seznam geografskih lokacij za Microsoft Power Platform je na voljo tukaj: https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location.

Za neprekinjeno izvajanje postopkov lahko Microsoft podvoji podatke v druga območja znotraj geografske lokacije, toda podatki ne bodo premaknjeni zunaj geografske lokacije zaradi ohranjanja podatkov. To podpira možnost samodejnega preklopa ali hitrejše obnovitve, če pride do močnega izpada. Obstaja nekaj utemeljenih izjem glede shranjevanja podatkov na določeni geografski lokaciji. Izjeme so navedene na zgornjem spletnem mestu in so osredotočene predvsem na pravne vidike in podporo. Upoštevajte, da lahko vi ali vaši uporabniki izvedete dejanja, ki podatke razkrijejo zunaj geografske lokacije. Tudi druge storitve lahko konfigurirate tako, da dostopajo do podatkov in jih razkrivajo zunaj geografske lokacije. Pooblaščeni uporabniki lahko privzeto dostopajo do platforme, vaših aplikacij in podatkov s poljubnega mesta, kjer je na voljo povezava.

Varstvo podatkov

Podatki so zaščiteni, ko prehajajo iz naprav uporabnikov v Microsoftova podatkovna središča. Vzpostavljene povezave med strankami in Microsoftovimi podatkovnimi središči so šifrirane, vse javne končne točke pa so zavarovane s standardnim industrijskim protokolom TLS. Protokol TLS učinkovito vzpostavlja varno povezavo brskalnika in strežnika, da zagotovi zaupnost in celovitost podatkov med namizji in podatkovnimi središči. Na podoben način je zaščiten tudi dostop do API-ja od končne točke stranke do strežnika. Trenutno je za dostop do končnih točk strežnika potreben vsaj protokol TLS 1.2.

Šifrirani so tudi podatki, ki se prenašajo prek prehoda za podatke na mestu uporabe. Podatki, ki jih uporabniki naložijo, so običajno poslani v shrambo zbirke dvojiških podatkov Azure, vsi metapodatki in artefakti za sam sistem pa so shranjeni v zbirki podatkov Azure SQL in shrambi tabel storitve Azure.

Vsa okolja zbirke podatkov storitve Dataverse uporabljajo pregledno šifriranje podatkov (TDE) strežnika SQL za izvajanje sprotnega šifriranja podatkov, ki se zapisujejo na disk, imenovano tudi šifriranje neaktivnih podatkov.

Microsoft namesto vas privzeto shranjuje in upravlja šifrirne ključe zbirke podatkov za vaša okolja. Funkcija za upravljanje ključev v skrbniškem središču za Power Platform skrbnikom omogoča možnost samostojnega upravljanja šifrirnih ključev zbirke podatkov, ki so povezani z okolji storitve Dynamics 365 (online). Več o upravljanju ključev lahko preberete tukaj. Priporočljivo je, da ključe upravlja Microsoft, razen če to zaradi posameznih poslovnih potreb morate storiti sami.

Viri za upravljanje skladnosti z uredbo GDPR

Splošna uredba o varstvu podatkov (GDPR) Evropske unije (EU) daje posameznikom pomembne pravice glede njihovih podatkov. Glejte Microsoft Learn Povzetek splošne uredbe o varstvu podatkov za pregled GDPR, vključno s terminologijo, akcijskim načrtom in kontrolnimi seznami za pripravljenost, ki vam bodo pomagali pri izpolnjevanju vaših obveznosti v skladu z GDPR pri uporabi Microsoftovih izdelkov in storitve.

Preberete lahko več o GDPR in o tem, kako Microsoft pomaga pri podpiranju te uredbe in svojih strank, na katere vpliva.

  • Microsoftovo središče zaupanja zagotavlja splošne informacije, najboljše prakse skladnosti in dokumentacijo, ki je v pomoč pri odgovornosti GDPR, kot so ocene učinka na varstvo podatkov, zahteve posameznikov in obvestilo o kršitvi podatkov.
  • Portal Service Trust ponuja informacije o tem, kako Microsoftove storitve pomagajo podpirati skladnost z GDPR.

Kot skrbnik bo ena ključnih dejavnosti v podporo zasebnosti povezana z zahtevami pravic subjekta podatkov (DSR). To so uradne zahteve posameznika, na katerega se nanašajo osebni podatki, upravljavcu podatkov (verjetno vaši organizaciji), da ukrepa na podlagi njegovih osebnih podatkov v vaših sistemih. Posamezniki, na katere se nanašajo osebni podatki, imajo pravico pridobiti kopije, zahtevati popravke, omejiti obdelavo podatkov, izbrisati podatke in prejeti kopije v elektronski obliki, da jih lahko prenesejo k drugemu upravljavcu podatkov.

Na naslednjih povezavah lahko poiščete podrobnejše informacije o odgovarjanju na zahteve posameznikov, na katere se nanašajo podatki, odvisno od funkcij, ki jih uporablja vaša organizacija.

Funkcije platforme Povezava do podrobnih korakov odzivanja
Power Apps Odgovarjanje na zahteve za pravice subjekta podatkov (DSR) za izvoz Power Apps podatkov o strankah
Dataverse Odgovarjanje na zahteve za pravice subjekta podatkov (DSR) za Dataverse podatke o strankah
Power Automate Odgovarjanje na zahteve posameznikov za Power Automate
Microsoftovi računi (računi MSA) Odgovarjanje na zahteve glede pravic posameznikov
Aplikacije za interakcijo s strankami Zahteve subjekta podatkov Dynamics 365 za zasebnost

Središče storitve Microsoft 365 za varnost in skladnost s predpisi

Uporabite upravitelja skladnosti Microsoft Purview za upravljanje prizadevanj za skladnost v Microsoftovih storitvah v oblaku na enem mestu.

Dogodki v dnevniku spremljanja sprememb za Power Automate

Skrbniki dnevnikov spremljanja sprememb lahko poiščejo dogodke storitve Power Automate v središču za skladnost in si jih ogledajo. Dogodki vključujejo: »Ustvarjeni potek«, »Urejeni potek«, »Izbrisani potek«, »Urejena dovoljenja«, »Izbrisana dovoljenja«, »Začetek plačljive preskusne različice« in »Obnovitev plačljive preskusne različice«. S portalom lahko izberete, kaj želite iskati ter časovni okvir.

  1. Prijavite se v portal za skladnost Microsoft Purview.

  2. Pod možnostjo Rešitve izberite Spremljanje sprememb.

  3. Pod možnostjo Dejavnosti izberite dejavnosti Power Automate za spremljanje sprememb.

    Izberite Power Automate dejavnosti za revizijo.

  4. Izberite Išči.

  5. Ko je iskanje končano, ga izberite, da si ogledate seznam povezanih dejavnosti.

    Seznam Power Automate dejavnosti.

  6. S seznama izberite vrstico, da si ogledate podrobnosti o dejavnosti.

    Seznam Power Automate dejavnosti.

Podatki o spremljanju sprememb se hranijo 90 dni. Podatke lahko izvozite v obliki zapisa CDSV, kar omogoča premik v Excel ali PowerBI za nadaljnjo analizo. Popolna navodila za uporabo podatkov spremljanja sprememb so na voljo tukaj: https://flow.microsoft.com/blog/security-and-compliance-center/