格雷姆-里奇-比利雷法案 (GLBA)
GLBA 概述
GLBA) (《格拉姆-利奇-布莱利法案》是美国的一项法律,对金融服务行业进行了改革,允许商业和投资银行、证券公司和保险公司进行整合,并解决了对保护消费者隐私的担忧。 它要求联邦贸易委员会 (联邦贸易委员会) 和其他金融服务监管机构实施法规,以处理《金融隐私规则》和《保障规则》等隐私条款。 保护敏感消费者数据的 GLBA 要求适用于向消费者提供金融产品和服务的金融机构,例如贷款、投资建议和保险。 FTC 负责强制执行合规性。
Microsoft 和 GLBA
Microsoft Azure、Microsoft Office 365、Dynamics 365和 Microsoft Power BI 可以帮助满足为金融服务机构提供云服务的严格要求。 作为我们支持的一部分,我们提供指导,通过提供技术和组织安全措施来帮助你遵守 GLBA 的要求,以帮助维护安全性并防止未经授权的使用。
Microsoft 为 Azure 和 Office 365 开发了风险评估工具,以帮助你更高效地对 Azure 和Office 365服务进行风险评估。 该工具 (Excel 电子表格) 具有许多信息安全域 (,例如跟踪金融服务法规和其他相关标准要求的安全策略和风险管理) ,包括 Azure 电子表格中列 R 中的 GLBA (和Office 365电子表格) 中的列 Q。 这些工具说明了 Azure 和 Office 365如何符合适用于云服务提供商的每个要求,并有助于满足 GLBA 安全要求。
提升 GLBA 合规性
Microsoft 范围内的云平台和云服务
- Azure
- Dynamics 365
- Intune
- Office 365,Office 365美国政府
- Power BI 云服务(作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供)
Azure、Dynamics 365和 GLBA
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure GLBA 产品/服务。
Office 365和 GLBA
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Microsoft Entra ID、Azure 信息保护、Bookings、合规性管理器、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、适用于 Web 的 Microsoft To-Do、MyAnalytics、Office 365 高级合规版 加载项、Office 365 云应用安全、Office 365 组Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage |
| GCC | Microsoft Entra ID、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365 Microsoft Teams、MyAnalytics、Office 365 高级合规版 加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
常见问题解答
如何实现知道我的金融机构是否必须遵守 GLB 法案?
FTC 在其 GLB 法案页面上详细回答了这个问题, 隐私规则涵盖谁?
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。
资源
针对金融服务的其他 Microsoft 资源
- Microsoft Cloud for Financial Services
- 服务 信任门户中的金融服务
- Shared responsibilities for cloud computing(关于云计算的共同责任)