การปฏิบัติตามกฎระเบียบและความเป็นส่วนตัวของข้อมูล
Microsoft มุ่งมั่นต่อระดับสูงสุดของความไว้วางใจ ความโปร่งใส การปฏิบัติตามมาตรฐาน และการปฏิบัติตามกฎระเบียบ Microsoftผลิตภัณฑ์และบริการคลาวด์ที่หลากหลายของเราถูกสร้างขึ้นมาจากพื้นฐานเพื่อตอบสนองความต้องการด้านความปลอดภัยและความเป็นส่วนตัวที่เข้มงวดที่สุดของลูกค้าของเรา
เพื่อช่วยให้องค์กรของคุณปฏิบัติตามข้อกำหนดระดับชาติ ระดับภูมิภาค และเฉพาะอุตสาหกรรมที่ควบคุมการรวบรวมและการใช้งานข้อมูลของบุคคล Microsoft จึงมอบชุดข้อเสนอการปฏิบัติตามข้อกำหนดที่ครอบคลุมมากที่สุด (รวมถึงการรับรองและการรับรองความถูกต้อง) ของผู้ให้บริการระบบคลาวด์ทุกราย นอกจากนี้ยังมีเครื่องมือสำหรับผู้ดูแลระบบเพื่อสนับสนุนความพยายามขององค์กรของคุณ ในส่วนนี้ของเอกสาร เราจะกล่าวถึงรายละเอียดเพิ่มเติมเกี่ยวกับทรัพยากรที่มีอยู่เพื่อช่วยคุณกำหนดและบรรลุความต้องการขององค์กรของคุณ
ศูนย์ความเชื่อถือ
Microsoft ศูนย์ความน่าเชื่อถือ คือแหล่งข้อมูลส่วนกลางสำหรับการรับข้อมูลเกี่ยวกับกลุ่มผลิตภัณฑ์ของ Microsoft ซึ่งรวมถึงข้อมูลเกี่ยวกับความปลอดภัย ความเป็นส่วนตัว การปฏิบัติตาม และความโปร่งใส แม้ว่าเนื้อหานี้อาจประกอบด้วยข้อมูลย่อยบางส่วนสำหรับ Power Apps แต่สิ่งสำคัญคือต้องอ้างอิง Microsoft ศูนย์ความน่าเชื่อถืออยู่เสมอเพื่อรับข้อมูลที่เชื่อถือได้ล่าสุด
สำหรับการอ้างอิงอย่างรวดเร็ว คุณสามารถค้นหาข้อมูลศูนย์ความเชื่อถือสำหรับ Microsoft Power Platform ที่นี่: https://www.microsoft.com/trust-center/product-overview ซึ่งจะรวมถึงข้อมูลใใน Power Apps Microsoft Power Automate และ Power BI
ตำแหน่งที่ตั้งข้อมูล
Microsoft ดำเนินการศูนย์ข้อมูลหลายแห่งทั่วโลกที่รองรับแอปพลิเคชันแพลตฟอร์ม Microsoft Power เมื่อองค์กรของคุณสร้างผู้เช่าก็จะสร้างตำแหน่งที่ตั้งทางภูมิศาสตร์ (ภูมิศาสตร์) เริ่มต้น นอกจากนี้เมื่อสร้างสภาพแวดล้อมเพื่อรองรับแอปพลิเคชันและมีข้อมูล Microsoft Dataverse สภาพแวดล้อมสามารถกำหนดเป้าหมายสำหรับภูมิศาสตร์ที่เฉพาะเจาะจงได้ รายการปัจจุบันของภูมิศาสตร์สำหรับ Microsoft Power Platform สามารถพบได้ที่นี่ https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location
เพื่อรองรับความต่อเนื่องของการดำเนินงาน Microsoft อาจจำลองข้อมูลไปยังภูมิภาคอื่นภายในภูมิศาสตร์ แต่ข้อมูลจะไม่เคลื่อนออกไปนอกภูมิศาสตร์เพื่อรองรับความยืดหยุ่นของข้อมูล สิ่งนี้สนับสนุนความสามารถในการล้มเหลวหรือฟื้นตัวได้เร็วขึ้นหากมีการหยุดทำงานอย่างรุนแรง มีข้อยกเว้นที่สมเหตุสมผลบางประการในการเก็บข้อมูลในพื้นที่ทางภูมิศาสตร์ที่เฉพาะเจาะจงที่ระบุไว้ด้านบนที่ตั้งหลักซึ่งมุ่งเน้นไปที่กฎหมายและการสนับสนุน สิ่งสำคัญที่ควรทราบคือคุณหรือผู้ใช้ของคุณสามารถดำเนินการที่เปิดเผยข้อมูลนอกภูมิศาสตร์ได้ การบริการอื่นๆสามารถกำหนดค่าเพื่อเข้าถึงข้อมูลและเปิดเผยข้อมูลนอกภูมิศาสตร์ได้ โดยค่าเริ่มต้น ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงแพลตฟอร์มและแอปพลิเคชันและข้อมูลของคุณได้จากทุกที่ในโลกที่มีการเชื่อมต่อ
การปกป้องข้อมูล
ข้อมูลในขณะที่อยู่ระหว่างการส่งระหว่างอุปกรณ์ของผู้ใช้และศูนย์ข้อมูลนั้นมีความปลอดภัย Microsoft การเชื่อมต่อที่สร้างขึ้นระหว่างลูกค้าและศูนย์ข้อมูลจะถูกเข้ารหัส และจุดปลายทางสาธารณะทั้งหมดได้รับการรักษาความปลอดภัยโดยใช้ TLS มาตรฐานอุตสาหกรรม Microsoft TLS ได้สร้างเบราว์เซอร์ที่เพิ่มความปลอดภัยให้กับการเชื่อมต่อเซิร์ฟเวอร์อย่างมีประสิทธิภาพเพื่อช่วยให้มั่นใจวในเรื่องการรักษาความลับและความสมบูรณ์ของข้อมูลระหว่างเดสก์ท็อปและศูนย์ข้อมูล API สามารถเข้าถึงจากจุดสิ้นสุดของลูกค้าไปยังเซิร์ฟเวอร์นั้นที่ได้รับการปกป้องในทำนองเดียวกัน ปัจจุบัน TLS 1.2 (หรือสูงกว่า) เป็นสิ่งจำเป็นสำหรับการเข้าถึงจุดสิ้นสุดของเซิร์ฟเวอร์
ข้อมูลที่ถ่ายโอนผ่านเกตเวย์ข้อมูล on-premises จะถูกเข้ารหัสลับเช่นกัน โดยทั่วไปข้อมูลที่ผู้ใช้อัปโหลดจะถูกส่งไปยังที่เก็บข้อมูล Azure Blob และข้อมูลเมตาและอาร์ทิแฟกต์ทั้งหมดสำหรับระบบนั้นจะถูกเก็บไว้ในฐานข้อมูล Azure SQL และที่เก็บข้อมูล Azure Table
สภาพแวดล้อมทั้งหมดของฐานข้อมูล Dataverse ใช้ SQL Server Transparent Data Encryption (TDE)เพื่อดำเนินการเข้ารหัสลับแบบเรียลไทม์ของข้อมูลเมื่อเขียนไปยังดิสก์หรือที่เรียกอีกอย่างหนึ่งว่าการเข้ารหัสลับที่จัดเก็บ
โดยค่าเริ่มต้น Microsoft จะจัดเก็บและจัดการคีย์การเข้ารหัสฐานข้อมูลสำหรับสภาพแวดล้อมของคุณ ดังนั้นคุณจึงไม่ต้องทำ คุณลักษณะ จัดการคีย์ ในศูนย์จัดการ Power Platform ช่วยให้ผู้ดูแลระบบสามารถจัดการคีย์การเข้ารหัสลับฐานข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมของ Dynamics 365 (online) ด้วยตนเองได้ คุณสามารถอ่านเพิ่มเติมเกี่ยวกับการจัดการคีย์ของคุณเองได้ ที่นี่ แต่โดยทั่วไปแล้ว ขอแนะนำให้ Microsoft จัดการคีย์ เว้นแต่ว่าคุณจะมีความต้องการทางธุรกิจเฉพาะที่ต้องดูแลคีย์ของตัวเอง
ทรัพยากรในการจัดการการปฏิบัติตาม GDPR
ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล (GDPR) ของสหภาพยุโรป (EU) ให้สิทธิ์ที่สำคัญแก่บุคคลเกี่ยวกับข้อมูลของตน ดูที่ Microsoft Learn สรุป ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล เพื่อดูภาพรวมของ GDPR รวมถึงคำศัพท์ แผนปฏิบัติการ และรายการตรวจสอบความพร้อมเพื่อช่วยให้คุณปฏิบัติตามภาระผูกพันของคุณภายใต้ GDPR เมื่อใช้ Microsoft ผลิตภัณฑ์และบริการ
คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ GDPR และวิธีช่วยเหลือสนับสนุนและลูกค้าของเราที่ได้รับผลกระทบจากปัญหานี้ได้ Microsoft
- Microsoft ศูนย์ความเชื่อถือ ให้ข้อมูลทั่วไป แนวทางปฏิบัติที่ดีที่สุดในการปฏิบัติตามข้อกำหนด และเอกสารที่เป็นประโยชน์ต่อการรับผิดชอบ GDPR เช่น การประเมินผลกระทบต่อการปกป้องข้อมูล คำขอของเจ้าของข้อมูล และการแจ้งการละเมิดข้อมูล
- พอร์ทัล Service Trust ให้ข้อมูลเกี่ยวกับวิธีที่ Microsoft บริการช่วยสนับสนุนการปฏิบัติตาม GDPR
ในฐานะที่เป็นผู้ดูแลระบบ หนึ่งในกิจกรรมหลักในการสนับสนุนความเป็นส่วนตัวจะเกี่ยวข้องกับคำขอที่เป็นสิทธิ์ของเจ้าของข้อมูล (DSR) สิ่งเหล่านี้เป็นคำขออย่างเป็นทางการจากเจ้าของข้อมูลไปยังผู้ควบคุมข้อมูล (มีแนวโน้มจะเป็นองค์กรของคุณ) เพื่อดำเนินการกับข้อมูลส่วนบุคคลในระบบของคุณ เจ้าของข้อมูลมีสิทธิ์ในการขอรับสำเนา ขอแก้ไข จำกัดการประมวลผลข้อมูล ลบข้อมูลและรับสำเนาในรูปแบบอิเล็กทรอนิกส์เพื่อให้สามารถย้ายไปยังผู้ควบคุมข้อมูลรายอื่นได้
ลิงก์ต่อไปนี้ชี้ไปที่ข้อมูลโดยละเอียดเพื่อช่วยคุณตอบคำขอ DSR ที่ขึ้นอยู่กับคุณลักษณะที่องค์กรของคุณใช้
| คุณลักษณะของแพลตฟอร์ม | ลิงก์ไปยังขั้นตอนการตอบกลับโดยละเอียด |
|---|---|
| Power Apps | ตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูล (DSR) ในการส่งออกข้อมูลลูกค้า Power Apps |
| Dataverse | การตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูล (DSR) สำหรับข้อมูลลูกค้า Dataverse |
| Power Automate | การตอบสนองต่อคำขอของเจ้าของข้อมูลสำหรับ Power Automate |
| Microsoft บัญชี (MSA) | ตอบสนองต่อการร้องขอสิทธิ์ของเจ้าของข้อมูล |
| แอปการมีส่วนร่วมของลูกค้า | คำขอความเป็นส่วนตัวของเจ้าของข้อมูล Dynamics 365 |
ศูนย์การรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับ Microsoft 365
ใช้ Microsoft Purview Compliance Manager เพื่อจัดการความพยายามด้านการปฏิบัติตามกฎระเบียบของคุณผ่าน Microsoft บริการบนคลาวด์ในที่เดียว
Power Automate ตรวจสอบบันทึกเหตุการณ์
ในการค้นหาบันทึกการตรวจสอบของศูนย์การปฏิบัติตามข้อบังคับ ผู้ดูแลระบบสามารถค้นหาและดูเหตุการณ์ Power Automate เหตุการณ์รวมถึงโฟลว์ที่สร้าง โฟลว์ที่แก้ไข โฟลว์ที่ถูกลบ สิทธิ์การแก้ไข สิทธิ์ที่ถูกลบ เริ่มต้นการทดลองใช้แบบชำะเงิน ต่ออายุการทดลองใช้แบบชำระเงิน การใช้พอร์ทัลคุณสามารถเลือกสิ่งที่คุณต้องการค้นหาและกรอบเวลา
เข้าสู่ระบบ Microsoft พอร์ทัลการปฏิบัติตามกฎระเบียบ Purview
ภายใต้ โซลูชัน เลือก การตรวจสอบ
ภายใต้ กิจกรรม เลือกกิจกรรม Power Automate ที่จะตรวจสอบ
เลือก ค้นหา
เมื่อการค้นหาเสร็จสิ้น ให้เลือกเพื่อดูรายการกิจกรรมที่เกี่ยวข้อง
เลือกแถวในรายการเพื่อดูรายละเอียดกิจกรรม
ข้อมูลการตรวจสอบจะถูกเก็บไว้ 90 วัน คุณสามารถทำการส่งออกข้อมูล CDSV เพื่อให้คุณสามารถย้ายไปยัง Excel หรือ POWERBI สำหรับการวิเคราะห์เพิ่มเติม คุณสามารถดูการฝึกปฏิบัติแบบสมบูรณ์ของการใช้ข้อมูลการตรวจสอบที่นี่: https://flow.microsoft.com/blog/security-and-compliance-center/