探索轉包處理者存取控制需求
如果轉包處理者「有可能存取」個人資料或 Microsoft 機密數據,這是否表示他們可以隨時隨地處理該數據? Microsoft 允許轉包處理者處理數據,只為了提供 Microsoft 保留這些數據所提供的服務,而且禁止他們基於任何其他目的使用數據。 轉包處理者處理的個人資料通常是假名化的,或是已取消識別,讓轉包處理者無需存取可識別的屬性即可履行其工作責任。 Microsoft 要求每種類型的轉包處理者使用適當的訪問控制來保護其處理的數據。
轉包處理者的類型
Microsoft 已指定三種類別的轉包處理者:
- 技術: 第三方轉包處理者,其支援與 Microsoft Online Services 緊密整合的技術,並部分支援 Microsoft 雲端功能。 如果您部署其中一個服務,則為該服務識別的轉包處理者可能會處理、儲存或存取客戶數據或個人資料,同時協助提供該服務。
- 輔助: 提供隨附服務的第三方轉包處理者,可協助支援、操作及維護在線服務。 在這類情況下,已認定的轉包處理者可能會處理、儲存或存取有限的客戶資料或個人資料來提供輔助服務。
- 合約員工: 提供與 Microsoft 全職員工並行工作的合約員工,以支援、操作及維護 Microsoft Online Services 的組織。 在所有這類情況下,客戶數據或個人資料只位於 Microsoft 設備、Microsoft 系統上,並受限於 Microsoft 原則和監督。
此外, Microsoft 數據中心實體 會提供 Microsoft Online Services 執行所在的數據中心基礎結構。 數據中心內的數據會加密,而且數據中心內的人員無法存取它。
轉包處理者存取控制
Microsoft 的每一類轉包處理者都會強制執行存取控制來保護客戶和個人資料。 所有轉包處理者都必須維護客戶與個人資料的安全性與機密性,並且在合約上有義務遵循嚴格的隱私權和安全性需求。 這些需求相當於或更強於 Microsoft 在 Microsoft 產品和服務數據保護增補中對其客戶所做的合約承諾。
合約員工受限於適用於 Microsoft 全時員工的相同訪問控制,包括 MFA) (多重要素驗證、零常設存取 (ZSA) ,以及 Just-Enough-Access (JEA) 的 Just-In-Time (JIT) 。 此外,在設施中工作或使用 Microsoft 所控制設備的轉包商,在合約上有義務遵循我們的隱私權標準,並且需要定期接受隱私權訓練。
技術和輔助轉包處理者負責實作訪問控制,以符合 Microsoft 數據保護需求 (DPR) 。 這些需求符合或超過 Microsoft 在我們的產品條款中對其客戶所做的合約承諾。 這些轉包處理者可能會存取某些受限制的數據,例如客戶或個人資料,以提供支援 Microsoft Online Services 的功能。 轉包處理者合約特別禁止將個人資料用於任何其他用途。 此外,DPR 適用的控件可協助保護客戶和個人資料免於未經授權的存取或使用。 在許多情況下,轉包處理者執行的工作可以使用假名化或匿名數據來完成。
轉包處理者也必須符合隱私權和安全性需求,包括實作適當技術和組織措施以保護個人資料的相關需求。