使用責任整備檢查清單支援 GDPR 計劃

針對為歐盟 (EU) 中的人們提供產品及服務或為歐盟居民收集和分析資料的組織，一般資料保護規定 (GDPR) 推出了新的規則，而無論您或您的企業位於何處都必須遵守。 GDPR 摘要主題中有其他詳細資料。

責任整備檢查清單

責任整備檢查清單提供使用 Microsoft 產品與服務時，便於存取支援 GDPR 所需資訊的方式。 檢查清單列出在 GDPR 下您可能須盡的義務，並指出支援貴組織的法規遵循所需的資訊。

以下是下列 Microsoft 產品和服務系列的特定指南：

• Office 365
• Dynamics 365
• Azure
• Windows
• Microsoft 支援服務與專業服務

您可以使用「合規性管理員」管理此檢查清單中的項目，方法是參考 GDPR 圖格中「客戶受管理控制項」底下的控制項識別碼和控制項標題。

檢查清單包含以下列出之支援 GDPR 隱私計劃的四項基本考量類別，以及範例需求。

1. 資料收集和處理的條件：

   • 何時取得同意？
   • 確定並記錄目的
   • 隱私權影響評估

2. 資料主體權利

   • 判斷屬於 PII 主體 (資料主體) 的資訊
   • 提供可修改或撤銷同意的機制

3. 從設計著手保護隱私與預設為保護隱私

   • 限制收集
   • 遵守識別層級
   • 暫存檔

4. 資料保護和安全性

   • 了解組織和其內容
   • 規劃
   • 資訊安全性原則

客戶合約

• 線上服務條款：您可以在線上服務條款中找到與 GDPR 相關的 Microsoft 合約承諾。
• Microsoft 產品條款：Microsoft 將 GDPR 條款承諾擴展至所有大量授權客戶。
• 資料保護附錄：Microsoft 服務將承諾擴展至 Microsoft 諮詢服務客戶及其他人。

GDPR 合規性控制

• 使用合規性管理員：審閱和整合 Microsoft 用來支援 GDPR 中的義務與合規性管理員的控制。
• GDPR 控制對應：存取 Microsoft 控制的完整對應 ，以盡 GDPR 義務。

處理器的處理記錄

由於我們作為處理者向控制者客戶提供線上服務的規模和廣度，我們希望客戶能夠識別它們尋找處理記錄的服務，並在我們提供的線上工具中檢索相關記錄。 其中一個範例是關於 Azure 的處理記錄，其中客戶會被要求識別他們搜尋記錄的處理活動類型。

Azure 記錄

通常，客戶對活動記錄及診斷記錄感興趣：

• 活動記錄： 活動記錄 提供對訂閱中資源執行的操作的深入了解。 活動記錄可協助您判斷作業的發起者、發生時間和狀態。
• 診斷記錄：診斷記錄 是由每個資源產生的所有記錄。 這些記錄包括 Windows 事件系統記錄、Azure 儲存空間記錄、Key Vault 稽核記錄，以及應用程式閘道存取和防火牆記錄。
• 記錄封存：所有診斷記錄都會寫入集中式加密的 Azure 儲存空間帳戶以封存。 保留期是使用者可設定的，最多 730 天，以滿足特定於組織的保留要求。 這些記錄連線到 Azure 監視器記錄，以進行處理、儲存及儀表板報告。

其他紀錄

此外，以下監視解決方案已作為此結構的一部分安裝。 客戶有責任設定這些解決方案，使其與FedRAMP 安全性控制保持一致：

• AD 評估：Active Directory 健康情況檢查解決方案定期評估服務器環境的風險和健康狀況，並提供特定於已設定服務器基礎結構的建議的優先順序清單。
• 反惡意程式碼評估：[反惡意程式碼] 解決方案報告惡意軟體、威脅和保護狀態。
• Azure 自動化： [Azure 自動化] 解決方案儲存、執行和管理 Runbook。
• 安全性與稽核：[安全性與稽核] 儀錶板通過提供有關安全性網域、顯著問題、偵測、威脅情報和常見安全査詢的計量，提供對資源安全狀態的高級深入解析。
• SQL 評估：[SQL 健康情況檢查] 解決方案定期評估服務器環境的風險和健康狀況，並提供特定於已設定服務器基礎結構的建議的優先順序清單。
• 更新管理：[更新管理] 解決方案允許客戶管理作業系統安全性更新，包括可用更新的狀態和安裝所需更新的程式。
• 代理程式健康情況：[代理程式健康情況] 決方案會報告設定多少個代理及其地理分配、有多少個無回應代理、和正在提交可執行資料的代理數目。
• Azure 活動記錄：[活動紀錄分析] 解決方案協助分析客戶的所有 Azure 訂閱的 Azure 活動紀錄。
• 變更追蹤：[變更追蹤] 解決方案可讓客戶輕鬆識別環境中變更。

有關 Azure 技術與安全性措施的資訊，控制者客戶應造訪Azure 全性文件。 由於 Microsoft 不知道客戶資料是否是個人資料，所以 Azure 處理所有客戶資料就像處理個人資料一樣，因此客戶可能會認為所有的資料都是相關的。

處理者資訊

另一個客戶可能需要處理者處理資訊記錄的產品是 Office 365。 若要檢視與Office 365相關的資訊，請參閱安全 & 性合規性中心一文中的搜尋稽核記錄。

您也可以使用安全 & 性合規性中心來檢視Dynamics 365的資訊。 若要檢視 [安全 & 性合規性中心] 頁面，請確定您擁有正確的授權。 使用 安全 & 性合規性中心服務描述 文章深入瞭解授權。 若要搜尋Dynamics 365事件，請造訪安全 & 性合規性中心的整合稽核記錄。

專業服務資訊

對於專業服務，專業服務支援資料由客戶代表提供給支援工程師。 當客戶通過線上產品入口網站、服務中心或電話提交服務要求時，可能會發生這種情況。

該資訊會儲存在我們的 CRM 系統中，且僅用於以下目的：

• 提供專業服務，包括提供技術支援、專業規劃、建議、指導方針、資料遷移、設定和解決方案/軟體發展服務。
• 疑難排解 (預防、偵測、調查、緩解和修復問題，包括安全性事件)；以及
• 持續改進 (維護專業服務，包括安裝最新更新，改進可靠性、有效性、品質和安全性)。

由於我們支持作業規模，Microsoft 運營產品組型的 CRM 系統。 處理記錄將包含在這些系統中。 處理歷史記錄反映在我們的 CRM 系統中保存的記錄中。 在大多數情况下，服務要求歷史記錄在入口網站或服務中心上可用。 如需入口網站上沒有的特定詳細資料、或其他任何有關資料處理的查詢，請與您的技術客戶經理或與 Microsoft 技術支援 連絡。

深入了解

• Microsoft 信任中心