西班牙皇家法令 1720/2007,西班牙有机法 15/1999 (LOPD)

西班牙皇家法令 1720/2007,西班牙有机法 15/1999 概述

AEPD 是监督遵守西班牙有机法 15/1999 以保护个人数据的公共机构(Ley Orgánica 15/1999 de Protección de Datos,简称 LOPD),包括跨境传输数据。 2014 年,AEPD 审核了适用于受欧盟模式条款监管的 Microsoft Azure、Dynamics 365 和 Office 365 的 Microsoft 条款和条件,并发布了一项决议,确定这些条款为客户将其个人数据迁移到这些服务提供了充分的保障。

皇家法令 1720/2007 第 VIII 条规定了处理个人数据的严格要求,包括必须实施的基本、中级和高级安全措施的具体清单。 Microsoft 聘请了西班牙独立第三方审计公司 BDO Auditores,评估 Microsoft Azure 和 Office 365 是否符合高级要求,并评估 Microsoft Dynamics 365 是否符合皇家法令 1720/2007 中规定的中级要求。 根据面谈、对设施的访视,以及对环境和物理安全措施及控制措施的审核,审核员确定 Microsoft Azure 和 Office 365 信息系统、设施和数据处理符合高级标准,因此无需进行任何纠正。

Microsoft 和西班牙皇家法令 1720/2007,西班牙有机法 15/1999

Microsoft 是第一个为客户利益而获得西班牙数据保护局(AgenciaEspañoladeProtecciónde Datos,简称 AEPD)授权的超大规模云服务提供商,遵守《西班牙有机法》15/1999(LeyOrgánica15/1999 deProtecciónde Datos,简称LOPD)中有关国际数据传输的高标准。 此外,Microsoft 还是第一个获得第三方审核认证的超大规模云服务提供商,其在线服务遵守《皇家法令 1720/2007》第 VIII 条规定的安全措施。 通过此授权,客户可以将个人数据传输到受欧盟模式条款监管的 Microsoft Azure、Dynamics 365 和 Office 365 服务。

Microsoft 范围内云平台 & 服务

Office 365 和 LOPD

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 Azure Active Directory、Azure 信息保护、Bookings、Compliance Manager、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、适用于 Web 的 Microsoft To-Do、MyAnalytics、Office 365 高级合规版 加载项、Office 365 云应用安全、Office 365组、Office 365安全&合规中心、Office Online、Office Pro Plus OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Yammer Enterprise

审核、报告和证书

Microsoft Azure

Microsoft Office 365

Microsoft Dynamics 365

常见问题解答

高级标准对 Microsoft 客户有何益处?

高级标准适用于处理敏感数据(如健康信息)。 使用 Microsoft Azure 和 Office 365 的客户大可放心,因为他们的敏感数据是依据《皇家法令 1720/2007》进行处理的。

能否在我组织的认证过程中使用 Microsoft 的合规性认证?

是。 如果你的组织需要或正在寻求符合 LOPD 或《皇家法令 1720/2007》的资格认证,则可以在你的合规性评估中利用 AEPD 的授权和安全措施认证。 不过,你需要负责聘请评估方来评估 Microsoft Azure、Dynamics 365 或 Office 365 部署的实施情况,以及你自己组织中的控制措施和流程。

资源