Valvontakeskus: Microsoft Online Services -palveluiden suojaus-, tietoturva- ja vaatimustenmukaisuustiedot.

Järjestelmänvalvojien oikeudet ja hallintakäyttö

Tarjoamme sinulle mahdollisuuden selvittää, onko joku käyttänyt tärkeitä tietojasi.

Tiedämme, että pilvipalveluissa tietojen käyttöoikeudet ja käyttö on erittäin tärkeää. Siksi onkin erittäin tärkeää, että tiedät voivasi käyttää tietoja silloin, kun niitä tarvitset, sekä saavasi tietää, jos joku muu on käyttänyt tietojasi.

Suhtaudumme tietojen käyttöoikeuksiin ja käyttöön seuraavasti:

Tarjoamme asiakkaiden tiedot aina käytettäviksi.
Asiakkaiden tietojen käyttöä valvotaan erittäin tarkasti. Sekä Microsoft että ulkopuoliset valvontapalveluita tarjoavat tahot suorittavat auditointeja, joilla valvotaan sitä, että tietoja käytetään vain asianmukaisiin liiketoimintatarkoituksiin. Lisäksi tietojen käyttö kirjataan.
Ymmärrämme, että erityisen tärkeitä ovat asiakkaiden tärkeimmät tiedot¹, esimerkiksi Exchange Online -sähköpostiviestien leipätekstit ja SharePoint Online -ryhmäsivustojen sisällöt. Jos joku – esimerkiksi Microsoftin henkilöstö, kumppanit² tai omat järjestelmänvalvojasi – käyttää tärkeitä tietojasi, voimme pyydettäessä tarjota raportin tällaisesta käytöstä. Tämän ansiosta tiedät, milloin tietojasi on ehkä käytetty.

Tietojen järjestelmänvalvojakäytön tarkistaminen

	Seurattavat tiedot	Ohjeet
Microsoft Online Services -palvelut	Käyttäjien luominen portaalissa, salasanojen vaihtaminen	Ota yhteyttä Microsoft Online Services -palveluiden tekniseen tukeen
Exchange Online	Exchange-postilaatikoiden käyttö³	Siirry Exchange-ohjauspaneeliin. (Löydät linkin siihen Microsoft Online Services -palveluiden portaalin Hallinnan yhteenveto -sivulta. Tämä edellyttää kirjautumista.)
SharePoint Online	SharePoint-sivuston ja tallennustilan käyttö	Ota yhteyttä Microsoft Online Services -palveluiden tekniseen tukeen
Microsoft Dynamics CRM Online	Asiakkaan tärkeiden CRM-tietojen käyttö	Ota yhteyttä Microsoft Online Services -palveluiden tekniseen tukeen

Huomautukset:

¹Tärkeät tiedot ovat sellaisia tietoja, joita asiakas haluaa käsiteltävän erityisen luottamuksellisesti ja jotka palvelun normaalissa käytössä siirretään yleensä Internetissä salatussa muodossa. Tällaisia tietoja ovat nimenomaisesti ainakin Exchange Online -sähköpostiviestien leipätekstit ja liitetiedostot, SharePoint Online -sivuston sisältö, -tiedostojen varsinainen sisältö, pikaviestintä ja äänikeskustelut sekä CRM-yritystiedot loppuasiakkaidesi toimista.

²Kumppanit: raportteja jälleenmyyjistä (eli tahoista, joilta asiakas on ostanut palvelut, ja joista jälleenmyyjä laskuttaa), ACS VOIP -kumppaneista ja liittyvien palveluiden palveluntarjoajista, kuten Research in Motion (Hosted BlackBerry® -palvelu), ei ole saatavilla, koska he voivat käyttää tietoja joka tapauksessa palveluiden normaalin käytön yhteydessä.

³FOPE-hallintakeskuksen käyttöön ottaneille yrityskäyttäjille ei voida raportoida hallintakeskuksessa jonoon asetettujen sähköpostien käytöstä.

Usein kysytyt kysymykset

Kysymys: Kenellä on järjestelmänvalvojaoikeudet Microsoft Online Services -palveluihin? Ovatko nämä käyttäjät täysipäiväisiä työntekijöitä vai alihankkijoita? Miten Microsoft estää järjestelmänvalvojia käyttämästä asiakkaiden tietoja?

Tietokantojen järjestelmänvalvojilla on roolinsa puolesta käyttöoikeudet kaikkiin tietokannan resursseihin, myös asiakkaiden tietoihin. Microsoft on kuitenkin ehdottomasti kieltänyt asiakkaiden tietojen käyttämisen mihin tahansa muihin tarkoituksiin kuin liiketoiminnassa tarvittaviin käyttötarkoituksiin. Tämä koskee muun muassa tietokantojen suorituskyvyn parantamista tai asiakkaiden siirtämistä tietokannasta toiseen.

Seuraavassa taulukossa luetellaan erilaisten tietotyyppien erilaiset käyttöoikeustasot:

	Käyttötiedot	Osoitteistotiedot	Asiakkaan tiedot (pois lukien asiakkaan tärkeät tiedot^*)	Asiakkaan tärkeät tiedot
Toiminnoista vastaava tiimi (vain olennaisimmat henkilöt)	Kyllä	Kyllä, tarpeen mukaan	Kyllä, tarpeen mukaan	Kyllä, mutta vain poikkeustilanteissa
Tukiorganisaatio	Kyllä, vain tukipyyntöihin vastaamisen edellyttämällä tavalla	Kyllä, vain tukipyyntöihin vastaamisen edellyttämällä tavalla	Kyllä, vain tukipyyntöihin vastaamisen edellyttämällä tavalla	Ei
Insinöörit	Kyllä	Ei suoraa käyttöä; saatetaan siirtää vianmäärityksen aikana	Ei suoraa käyttöä; saatetaan siirtää vianmäärityksen aikana	Ei
Kumppanit	Asiakkaan luvalla (lisätietoja kumppaneiden kohdasta)	Asiakkaan luvalla (lisätietoja kumppaneiden kohdasta)	Asiakkaan luvalla (lisätietoja kumppaneiden kohdasta)	Asiakkaan luvalla (lisätietoja kumppaneiden kohdasta)
Muut Microsoftin edustajat	Ei	Ei (ei koske Office 365 -pienyrityksille asiakkaita, joiden tietoja voidaan käyttää markkinointitarkoituksiin)	Ei	Ei

^*Tärkeitä asiakastietoja ovat nimenomaisesti ainakin Exchange Online -sähköpostiviestien leipätekstit ja liitetiedostot, SharePoint Online -sivuston sisältö, -tiedostojen varsinainen sisältö, pikaviestintä ja äänikeskustelut sekä CRM-yritystiedot loppuasiakkaidesi toimista.

Kysymys: Miten Microsoft tukee asiakkaidensa oikeuttaa käyttää tietojaan? Ovatko tiedot asiakkaiden käytettävissä milloin tahansa?

Asiakkaat voivat käyttää ja hallita tietojaan vakioprotokollilla ja -käyttötavoilla, jotka on määritetty palveluiden kuvauksissa.

Kun asiakkaan palvelutilaus päättyy tai kun asiakas lopettaa palvelun käytön, hänellä on aina mahdollisuus viedä tietonsa palveluista muihin järjestelmiin. Tarkat tiedot tästä sisältyvät tuotteen käyttöoikeustietoihin, jotka määrittävät ensisijaisesti tähän liittyvät kysymykset. Alla on kuitenkin lueteltu tätä koskevat ehdot Office 365:n julkaisun yhteydessä:

Online Service -palvelun tilauksen päättyminen tai tilauksen lopettaminen: kun Online Service -palvelusi tilausjakso päättyy tai lopetat tilauksen, sinun on otettava yhteyttä Microsoftiin ja kerrottava haluatko

(1) poistaa tilin käytöstä ja poistaa sitten asiakastiedot
(2) säilyttää asiakastiedot rajoitetut toiminnot tarjoavassa tilissä ainakin 90 päivän ajan tilauksen päättymisen tai lopettamisen jälkeen (tätä ajanjaksoa kutsutaan säilytysajaksi), jotta voit noutaa tai hakea tiedot palvelusta.

Jos valitset ensimmäisen vaihtoehdon, et voi noutaa tai hakea tilisi asiakastietoja. Jos valitset toisen vaihtoehdon, olet velvollinen korvaamaan meille tästä aiheutuvat kulut. Jos et valitse kumpaakaan vaihtoehtoa, säilytämme tietosi toisen vaihtoehdon mukaisesti.
Kun säilytysaika on kulunut, poistamme tilisi käytöstä ja poistamme asiakastietosi. Välimuistiin tallennetut kopiot ja varmuuskopiot poistetaan 30 päivän kuluessa säilytysajan päättymisestä.

Emme ole vastuuvelvollisia asiakastietojen poistamisesta: Hyväksyt sen, että meillä ei ole mitään velvollisuutta – muutoin kuin näissä ehdoissa kuvatuilla tavoilla – säilyttää, palauttaa tai viedä asiakastietoja. Hyväksyt sen, että emme ole missään vastuussa asiakastietojen poistamisesta näiden ehtojen mukaisesti.

Microsoft ilmoittaa asiakastietojen poistamisesta etukäteen useita kertoja. Asiakkaat siis tietävät, jos heidän tietonsa tullaan poistamaan, sillä he saavat useita muistutuksia siitä, että tiedot poistetaan, jos he eivät toimi määritetyssä ajassa.

Jos asiakas tarvitsee apua lakien vaatimien tietoturvapyyntöjen täyttämisessä, asiakkaat voivat useiden sopimusten nojalla ottaa yhteyttä Microsoftin asiakastukeen. Tuki auttaa asiakkaita asiakastietojen käytössä, muokkaamisessa, poistamisessa tai estämisessä. Pyynnöistä, joita ei voida toteuttaa vakiotyökaluilla ja -prosesseilla, voidaan periä lisämaksu.

Kysymys: mistä tiedän, että vain asianmukaisilla käyttäjillä (eli sellaisilla käyttäjillä, jotka tarvitsevat oikeuksia työnsä tekemiseen) on järjestelmänvalvojien oikeudet tietojen käyttämiseen?

Kaikki Microsoft Online Services -palveluiden työntekijät ovat vastuussa asiakastietojen käytöstä. Tämä tarkoittaa sitä, että Microsoft Online Services -palveluiden tietojen käyttöoikeudet myönnetään siten, että kunkin tietoja käyttävän käyttäjät toimet voidaan selvittää. Vastuullisuutta valvotaan useilla järjestelmämenetelmillä ja -ominaisuuksilla, muun muassa yksilöllisillä käyttäjänimillä, tietojen käytön valvontaominaisuuksilla ja auditoinneilla. Emme käytä yleisiä käyttäjänimiä (kuten Vieras tai Järjestelmänvalvoja), vaan käytämme yksilöllisiä käyttäjänimiä, jolloin kaikki toiminnot voidaan yhdistää tiettyyn käyttäjään (tätä kutsutaan sitomiseksi). Lisäksi täydennämme tätä kaksivaiheisella todentamisella, kuten älykorttikirjautumisella, digitaalisilla varmenteilla sekä RSA-tunnuksilla.

Tietojen käyttöä rajoitetaan myös käyttäjäroolien perusteella. Esimerkiksi tavallisilla järjestelmänvalvojilla ei ole tietokantojen järjestelmänvalvojaoikeuksia.

Microsoft valvoo tarkasti sitä, mitkä käyttäjät ja minkä käyttäjäroolien käyttäjät voivat käyttää asiakkaiden tietoja. Käyttäjien on pyydettävä käyttöoikeutta täyttämällä lomake, jossa heidän on määritettävä, mihin he käyttöoikeutta tarvitsevat. Käyttöoikeuspyynnöt täytyy hyväksyttää esimiehille ennen käyttöoikeuden myöntämistä. Lisäksi käyttöoikeustasot tarkistetaan säännöllisesti, mikä takaa sen, että järjestelmiä voivat käyttää vain sellaiset käyttäjät, jotka tarvitsevat tietoja työssään tai liiketoimintaan liittyvissä tarkoituksissa.

Kysymys: miten tietojen käyttöä valvotaan fyysisesti?

Kaikissa Microsoft Online Services -palveluiden palvelinkeskuksissa on biometriset kulunvalvontajärjestelmät. Lisäksi useimmat Microsoft Online Services -palveluiden palvelinkeskukset edellyttävät, että käyttäjien on tunnistauduttava kämmenjäljillään päästäkseen sisään palvelinkeskuksiin. Microsoft Online Services -palveluiden palvelinkeskusten fyysistä sisäänpääsyä valvotaan kaksivaiheisella todentamisella, joka käsittää muun muassa kulkukorttilukijoita (sisäänpääsy edellyttää kulkukorttia) sekä biometrisiä käden muotoon perustuvia tunnistautumismenetelmiä.

Jos haluat lisätietoja siitä, miten Microsoft Online Services -palvelut käsittelevät asiakkaiden tietoja ja suhtautuvat niihin, tutustu Microsoft Online -tietosuojatietoihin, Microsoftin tuotteiden ja palveluiden kehittämistä koskeviin tietosuojatietoihin, Office 365 -suojauspalvelun kuvaukseen ja Microsoft Onlinen tekniseen raporttiin.

Microsoftin tietoturvavastaava lähettää neljännesvuosittain raportin asianmukaiselle henkilöstölle, joilla on oikeudet hyväksyä palvelinkeskusten käyttö- ja kulkuoikeuksia. Tämä raportti sisältää luettelon henkilöistä, joilla on tällä hetkellä käyttö- ja kulkuoikeudet palvelinkeskuksiin. Nämä henkilöt tarkistavat luettelon ja varmistavat, että kaikki luetteloon kuuluvat edelleen tarvitsevat oikeuksia ja että heillä on pienin mahdollinen työnsä suorittamisen edellyttämä oikeustaso. Tämän henkilöstön on ilmoitettava kaikista muutoksista Microsoftin tietoturvavastaavalle tai vahvistettava, että muutoksia ei tarvita.

Kysymys: millaisen taustatutkimuksen Microsoft tekee henkilöille, joille myönnetään järjestelmänvalvojaoikeudet?

Kaikkien Yhdysvalloissa toimivien Microsoftin työntekijöiden on läpäistävä alan tavallinen turvallisuus- ja taustatutkimus palkkaamisen yhteydessä. Näissä tutkimuksissa tarkistetaan työntekijöiden koulutus- ja työhistoriatiedot sekä mahdolliset rikosrekisterimerkinnät.

Tämän kaikkien uusien Microsoftin työntekijöiden vakiotarkistuksen lisäksi kaikkien uusien ja nykyisten työntekijöiden, jotka käyttävät asiakastietoja tai vastaavat kulunvalvonnasta tai käyttöoikeuksien valvomisesta, on läpäistävä tiettyjen valtionhallinnon vientiä koskevien luetteloiden vaatimukset. Näitä ovat muun muassa seuraavat: Office of Foreign Assets Control List (OFAC), Bureau of Industry and Security List (BIS) ja Office of Defense Trade Controls Debarred Persons List (DDTC).

Uudet työntekijät tarkistetaan samanaikaisesti Microsoftin vakiotarkistusten yhteydessä.
Kaikille asiakastietoja käyttäville työntekijöille suoritetaan Microsoftin normaali turvallisuus- ja taustatutkimus. Lisäksi lisätarkistuksia suoritetaan säännöllisesti.

Lisäksi saatamme käyttää muita tietoja ja tarkistuksia (kuten kansalaisuuden varmistamista ja sormenjälkitarkistuksia), jos käyttöoikeudet liittyvät Yhdysvaltain valtionhallintoon liittyviin tietoihin tai palveluihin.

Microsoft ei jaa työntekijöiden tausta- ja turvallisuustarkistusten tuloksia asiakkaiden kanssa työntekijöidensä tietoturvan takaamiseksi.

Lisäresurssit

Microsoft Online Services -palveluiden suojauspalvelun kuvaus [vain englanniksi]
Microsoft Dynamics CRM Onlinen tietoturvaopas ja palvelun jatkuvuusopas [vain englanniksi]
Microsoft Online Services -palveluiden tietosuojaa koskeva tekninen raportti 2011 [vain englanniksi]