Поділитися через

Відповідність вимогам і конфіденційність даних

  • Стаття

Корпорація Майкрософт дотримується найвищих рівнів довіри, прозорості, відповідності стандартам і дотримання нормативних вимог. Широкий набір хмарних продуктів і служб Microsoft із самого початку розробляється так, щоб відповідати найжорсткішим вимогам безпеки та конфіденційності наших клієнтів.

Щоб допомогти вашій організації дотримуватися національних, регіональних та галузевих вимог, що регулюють збір та використання даних фізичних осіб, Майкрософт пропонує найповніший набір пропозицій з дотриманням правил відповідності (включаючи сертифікати та атестації) будь-якого постачальника хмарних служб. Також є інструменти для адміністраторів, які підтримують зусилля вашої організації. У цій частині документа ми докладніше висвітлимо наявні ресурси, які допоможуть визначити та задовольнити вимоги вашої організації.

Центр безпеки та конфіденційності

Центр безпеки та конфіденційності Microsoft – це централізований ресурс для отримання інформації про портфель продуктів Microsoft. Сюди входить інформація про безпеку, конфіденційність, відповідність і прозорість. Хоча цей вміст може мати певну підмножину подібної інформації для Power Apps, найновішу авторитетну інформацію важливо завжди отримувати в Центрі безпеки та конфіденційності Microsoft.

Для швидкої довідки можна знайти відомості про Центр безпеки для Microsoft Power Platform тут: https://www.microsoft.com/trust-center/product-overview. Це включатиме відомості щодо Power Apps, Microsoft Power Automate і Power BI.

Розташування даних

Корпорація Майкрософт працює в усьому світі з багатьма центрами обробки даних, які підтримують програми Microsoft Power Platform. Коли ваша організація встановлює клієнт, вона встановлює стандартне географічне (гео) розташування. Крім того, під час створення середовищ для підтримки програм та зберігання даних Microsoft Dataverse середовища можуть бути орієнтовані на певне географічне розташування. Поточний список географічних розташувань для Microsoft Power Platform можна знайти тут: https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Щоб забезпечити безперервність операцій, корпорація Microsoft може реплікувати дані до інших регіонів у межах географічного розташування, але для підтримання стійкості дані не переміщуються за межі цього географічного розташування. Це пришвидшує відновлення після відмови чи серйозного перебою. Існує кілька обґрунтованих винятків до зберігання даних у конкретному географічному розташуванні, які перераховано на вищезгаданому сайті, присвяченому юридичним питанням і підтримці. Також важливо зауважити, що ви або ваші користувачі можуть виконувати дії, які розкривають дані за межі географічного розташування. Інші служби також можна налаштувати на доступ до даних і їх розкриття за межами географічного розташування. За замовчуванням авторизовані користувачі можуть отримувати доступ до платформи та ваших програм і даних з будь-якої точки світу, де є зв’язок.

Захист даних

Дані, які передаються між пристроями користувачів і центрами обробки даних Microsoft, захищені. З’єднання, встановлене між клієнтами та центрами обробки даних Microsoft, шифруються, а всі загальнодоступні кінцеві точки захищені за допомогою стандартного протоколу TLS. TLS ефективно встановлює підключення браузера до сервера з підвищеною безпекою, щоб забезпечити конфіденційність і недоторканість даних між настільними ПК та центрами обробки даних. Доступ API від кінцевої точки клієнта до сервера захищено аналогічним чином. Наразі для доступу до кінцевих точок сервера потрібен протокол TLS 1.2 (або вищої версії).

Дані, що передаються через локальний шлюз даних, також шифруються. Дані, які передають користувачі, зазвичай надсилаються до сховища Azure Blob, а всі метадані та артефакти самої системи зберігаються в базі даних Azure SQL і сховищі Azure Table.

Усі середовища бази даних Dataverse використовують Прозоре шифрування даних (TDE) SQL Server для шифрування в режимі реального часу даних під час запису на диск, що також відоме як шифрування в стані спокою.

За замовчуванням Майкрософт зберігає ключі шифрування бази даних для ваших середовищ і керує ними, тому вам не доведеться робити це самим. Функція керування ключами в центрі адміністрування Power Platform дає адміністраторам можливість самостійно керувати ключами шифрування бази даних, які пов'язані з середовищами Dynamics 365 (online). Ви можете дізнатися більше про керування власними ключами тут, але зазвичай рекомендується передати Microsoft керування ключами, якщо у вас немає особливої бізнес-потреби робити це самостійно.

Ресурси для керування відповідністю вимогам GDPR

Генеральний регламент із захисту персональних даних (GDPR) Європейського Союзу регулює права фізичних осіб у відношенні їхніх даних. Зверніться до Microsoft Learn Резюме Генеральний регламент із захисту персональних даних для огляду GDPR, включаючи термінологію, план дій та контрольні списки готовності, які допоможуть вам виконувати свої зобов’язання за GDPR під час використання продуктів та послуг Microsoft.

Дізнайтеся більше про GDPR і принципи, завдяки яким корпорація Microsoft підтримує цей регламент і клієнтів, на яких він впливає.

  • Центр довіри Microsoft надає загальну інформацію, найкращі практики відповідності та документацію, корисну для підзвітності GDPR, таку як оцінка впливу на захист даних, запити суб’єктів даних та сповіщення про витік даних.
  • Портал Service Trust надає інформацію про те, як послуги Microsoft допомагають підтримувати дотримання GDPR.

Як адміністратор, одна з ключових дій на підтримку конфіденційності буде пов’язана із запитами на права суб’єктів даних (DSR). Це офіційні запити від суб’єкта даних до контролера даних (імовірно, вашої організації) з проханням вжити заходів на основі їхніх персональних даних у ваших системах. Суб’єкти даних мають право отримувати копії, вимагати виправлення, обмежувати обробку даних, видаляти дані та отримувати копії в електронному форматі для їх переміщення до іншого контролера даних.

Перелічені нижче посилання вказують на докладні відомості, які допоможуть вам відповідати на запити ЗСД залежно від функцій, які використовуються в організації.

Область функції платформи Посилання на детальні кроки обробки запитів
Power Apps Відповідь на запити суб’єктів даних (DSR) щодо експорту Power Apps даних клієнтів
Dataverse Відповідь на запити суб’єктів даних (DSR) щодо Dataverse даних клієнтів
Power Automate Відповідь на запити суб’єктів даних щодо Power Automate
Облікові записи Microsoft Відповідь на запити про права суб’єктів даних
Програми для взаємодії з клієнтами Dynamics 365 Запити суб’єктів даних щодо конфіденційності

Центр безпеки та відповідності Microsoft 365

Використовуйте Диспетчер відповідності Microsoft Purview, щоб централізовано керувати зусиллями з дотримання вимог у всіх хмарних службах Microsoft.

Події контрольного журналу Power Automate

У пошуку в контрольних журналах центру відповідності вимогам адміністратори можуть шукати та переглядати події Power Automate. Мова йде про такі події: «Створено потік», «Змінено потік», «Видалено потік», «Змінено дозволи», «Видалено дозволи», «Розпочато платне ознайомлення», «Подовжено платне ознайомлення». За допомогою порталу можна вибрати, що потрібно шукати, та проміжок часу.

  1. Увійдіть на портал відповідності вимогам Microsoft Purview.

  2. У розділі Рішення виберіть Відстеження.

  3. У розділі Справи виберіть справи Power Automate для відстеження.

    Виберіть Power Automate заходи для аудиту.

  4. Виберіть Пошук.

  5. Після завершення пошуку виберіть його, щоб переглянути список пов’язаних справ.

  6. Виберіть рядок у списку, щоб переглянути відомості про справу.

Дані відстеження зберігаються протягом 90 днів. Ви можете здійснити CDSV-експорт даних, що дає змогу перемістити їх до Excel або PowerBI для подальшого аналізу. Покрокові інструкції з використання інформації відстеження можна знайти тут: https://flow.microsoft.com/blog/security-and-compliance-center/