Съответствие и поверителност на данните

Microsoft се ангажира с най-високото ниво на доверие, прозрачност, съответствие със стандартите и спазване на регулаторните норми. Широкият набор от облачни продукти и услуги на Microsoft се изгражда от самото начало, за да отговори на най-строгите изисквания за сигурност и поверителност на нашите клиенти.

За да помогне на вашата организация да спазва националните, регионалните и специфичните за индустрията изисквания, регулиращи събирането и използването на данните на хората, Microsoft предоставя най-пълния набор от предложения за съответствие (включително сертификати и удостоверения) на всеки доставчик на облачни услуги. Има и инструменти за администраторите, които да подкрепят усилията на вашата организация. В тази част на документа ще разгледаме по-подробно наличните ресурси, за да ви помогнем да определите и постигнете вашите собствени изисквания за организация.

Център за сигурност

Центърът за доверие на Microsoft е централизиран ресурс за получаване на информация за портфолиото на продукти на Microsoft. Това включва информация за сигурността, поверителността, спазването и прозрачността. Въпреки че това съдържание може да съдържа някакво подмножество от тази информация за Power Apps, важно е винаги да се обръщате към центъра за сигурност на Microsoft за най-актуална авторитетна информация.

За бърза справка можете да намерите информация в центъра за сигурност за Microsoft Power Platform тук: https://www.microsoft.com/trust-center/product-overview. Това ще включва информация за Power Apps, Microsoft Power Automate и Power BI.

Местоположение на данни

Microsoft работи с множество центрове за данни по целия свят, които поддържат приложенията на Microsoft Power Platform. Когато вашата организация установи клиент, тя определя географското местоположение (гео) по подразбиране. Освен това, когато създавате среди, които да поддържат приложения и съдържат данни на Microsoft Dataverse, средите могат да бъдат насочени към конкретно географско местоположение. Актуален списък с геоместоположения за Microsoft Power Platform можете да намерите тук https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

За да поддържа непрекъснатостта на операциите, Microsoft може да репликира данни в други региони в рамките на географски регистър, но данните няма да се преместят извън географското пространство, за да поддържат устойчивост на данните. Това поддържа способността за по-бързо аварийно превключване или възстановяване, ако има сериозно прекъсване. Има някои разумни изключения за запазване на данните в конкретния географски код, които са изброени на горепосочения сайт, като основно са насочени към правна и поддръжка. Важно е също така да се отбележи, че вие или вашите потребители можете да предприемате действия, които разкриват данни извън географското пространство. Други услуги също могат да бъдат конфигурирани за достъп до данните и излагането им извън географското пространство. По подразбиране оторизираните потребители имат достъп до платформата и вашите приложения и данни от всяка точка на света, където има свързаност.

Защита на данните

Данните, каквито са в транзит, между потребителските устройства и центровете за данни на Microsoft, са защитени. Връзките, установени между клиентите и центровете за данни на Microsoft, са шифровани, а всички обществени крайни точки са защитени с помощта на стандартни за индустрията TLS. TLS ефективно създава защитна връзка между браузъра и сървъра, за да осигури конфиденциалност на данните и целостта между настолни компютри и центрове за данни. Достъпът на API от крайната точка на клиента до сървъра също е защитен по подобен начин. В момента TLS 1.2 (или по-нова версия) е необходима за достъп до крайните точки на сървъра.

Данните, прехвърлени през локалния шлюз за данни, също са кодирани. Данните, които потребителите качват, обикновено се изпращат в хранилището за Blob на Azure, а всички метаданни и артефакти за самата система се съхраняват в базата данни на Azure SQL и съхранението на таблица Azure.

Всички среди на базата данни на Dataverse използват шифроване на прозрачни данни (TDE) на SQL сървър, за да изпълняват шифроване на данни в реално време при записване на диск, също познато като неактивно шифроване.

По подразбиране Microsoft съхранява и управлява шифроващите ключове за базата данни за вашите среди, за да не ви се налага на вас. Функцията за управление на ключове в центъра за администрация на Power Platform дава на администраторите възможност за самостоятелно управление на шифроващите ключове за базата данни, които са свързани със средите на Приложения на Dynamics 365 (online). Можете да прочетете повече за управлението на собствените си ключове тук, но като цяло се препоръчва Microsoft да управлява ключовете, освен ако нямате конкретна бизнес нужда да поддържате свой собствен.

Ресурси за управление на спазването на GDPR

Общият регламент на Европейския съюз относно защитата на данните (GDPR) дава значителни права на хората по отношение на техните данни. Вижте резюмето в Microsoft Learn на Общ регламент относно защитата на данните за общ преглед на GDPR, включително терминология, план за действие и контролни списъци за готовност, които да ви помогнат да изпълните задълженията си съгласно GDPR, когато използвате продукти и услуги на Microsoft.

Можете да научите повече за GDPR и за начина, по който Microsoft поддържа регламента и клиентите ни, засегнати от него.

• Центърът за сигурност на Microsoft предоставя обща информация, най-добри практики за съответствие и документация, полезни за отчетността на GDPR, като например оценки на въздействието върху защитата на данните, заявки от субекти на данни и известия за нарушения на данните.
• Порталът за доверие на услугата предоставя информация за това как услугите на Microsoft помагат за поддържане на съответствието с ОРЗД.

Като администратор една от ключовите дейности в подкрепа на поверителността ще бъде свързана с исканията за права на субектите на данни (DSR). Това са официални искания от субект на данни до администратор на данни (вероятно Вашата организация) да действа въз основа на личните му данни във Вашите системи. Субектите на данни имат право да получават копия, да изискват корекции, да ограничават обработката на данните, да изтриват данните и да получават копия в електронен формат, за да могат те да бъдат преместени при друг администратор на данни.

Следващите връзки сочат подробна информация, която да ви помогне да отговорите на DSR заявки в зависимост от функциите, които използва вашата организация.

Център за сигурност и съответствие на Microsoft 365

Използвайте Microsoft Purview Compliance Manager, за да управлявате усилията си за постигане на съответствие в облачните услуги на Microsoft на едно място.

Събития на регистрационния файл от проверката на Power Automate

В центъра за съответствие администраторът за търсене в регистрационен файл за проверка може да търси и разглежда събития на Power Automate. Събитията включват Създаден поток, Редактиран поток, Изтрит поток, Редактирани разрешения, Изтрити разрешения, Започна платен пробен период, Обновен платен пробен период. С помощта на портала можете да изберете какво искате да търсите и времеви прозорец.

1. Влезте в портала за съответствие Microsoft Purview.

2. Под Решения изберете Одит.

3. Под Дейности изберете Power Automate дейностите за одит.

   

4. Изберете Търсене.

5. Когато търсенето приключи, изберете го, за да видите списъка със свързани дейности.

6. Изберете ред в списъка, за да видите подробностите за дейността.

Данните от одита се запазват за 90 дни. Можете да направите експортиране на данни от CDSV, което ви позволява да ги преместите в Excel или PowerBI за допълнителен анализ. Можете да намерите пълно описание на използването на одиторската информация тук: https://flow.microsoft.com/blog/security-and-compliance-center/