Olemme sitoutuneet läpinäkyvyyteen, jotta voit varmistaa kaikkien vaatimusten vaatimustenmukaisuuden.
Asiakkaillamme ympäri maailmaa on monia erilaisia velvollisuuksia ja vaatimuksia erilaisten lakien ja säädösten nojalla. Jonkin tietyn maan tai alan lainmukaiset vaatimukset saattavat olla ristiriidassa jossain toisessa maassa tai toisella alalla sovellettavien vaatimusten kanssa. Koska olemme maailmanlaajuinen pilvipalveluntarjoaja, meidän on tarjottava palveluita, joissa on tietyt johdonmukaiset käytännöt eri asiakkaille ja eri lainkäyttöalueilla. Voidaksemme auttaa asiakkaitamme täyttämään heille asetetut vaatimukset, olemme kehittäneet palvelumme tietyt yleiset tietoturva- ja suojausseikat silmällä pitäen. Viime kädessä asiakkaillamme on kuitenkin itsellään vastuu arvioida se, täyttävätkö palvelumme heidän vaatimuksensa sovellettavien lakien ja säädösten suhteen. Pyrimme tarjoamaan asiakkaille tarkat tiedot pilvipalveluistamme, jotta he voivat arvioida, täyttävätkö ne heidän vaatimuksensa ja heille asetetut vaatimukset.
Saat lisätietoja sertifioinneista, joista saattaa olla apua vaatimustenmukaisuuden arvioinnissa, Suojaus sekä auditoinnit ja sertifioinnit -osiosta.
Sinuun sovellettavien lakien ja säädösten noudattaminen on omalla vastuullasi. Tarjoamme sinulle avuksi tiedot tämän määrittämiseen. Olemme sitoutuneet noudattamaan IT-palveluntarjoajiin yleisesti sovellettavia tietosuojalakeja. Jos sinulla on muita erityisiä vaatimuksia alasta tai lainkäyttöalueesta johtuen, sinun on itse arvioitava, täyttävätkö palvelut nämä vaatimukset. Useiden eri alojen ja lainkäyttöalueiden asiakkaat ovat kuitenkin huomanneet, että he voivat käyttää Microsoft Online Services -palveluita kaikkien soveltuvien vaatimusten mukaisesti, kunhan he vain hyödyntävät palveluita olosuhteiden mukaisesti.
EU:n tietosuojadirektiivin piiriin kuuluvilla organisaatioilla tulee esimerkiksi olla omat tietosuojakäytäntönsä sekä suojaus- ja koulutusohjelmansa, joilla he varmistavat, että niiden henkilöstö ei käytä Microsoft Online Services -palveluita direktiiviä rikkovalla tavalla. Microsoft Online Services -palvelut pyrkivät pitämään annetut lupaukset, mikä helpottaa vaatimustenmukaisuuden takaamista.
Tässä on esimerkki: Euroopan unionin alueella toimiva asiakas voi esimerkiksi tallentaa asiakasluettelon, joka sisältää yhteystietoja. Microsoft Online Services -palveluissa on käytössä suojausmenetelmiä, jotka takaavat sen, että Microsoftin työntekijät eivät käytä tai paljasta tietoja vahingossa. Eräs asiakkaan työntekijöistä, joka on myös Microsoft Exchange Online -käyttäjä, voi kuitenkin käyttää palvelua lähettääkseen tämän luettelon mainostajalle ilman asianmukaista lupaa. Mikä tahansa tästä aiheutuva EU:n tietosuojavaatimusten rikkomus, joka liittyy siihen, että Microsoft Online Services -palvelut on toiminut asiakkaan ohjeiden mukaisesti – eli lähettänyt sähköpostin osana palveluiden normaalia tarjoamista – on asiakkaan omalla vastuulla.
EU:n tietosuojalain ja sopimuksemme nojalla Microsoft Online Services -palvelut toimivat tietojesi niin sanottuna uskottuna miehenä, eli käytännössä tietynlaisena alihankkijana (lakikielen mukaan olemme siis tiedonkäsittelijöitä). Sinä, eli asiakas, olet tietojen omistaja viime kädessä, joten olet lain mukaan vastuussa siitä, että varmistat meidän noudattavan sääntöjä. Siksi voit lain mukaan lähettää meille henkilökohtaisia tietoja. Lakikielen mukaan sinä olet siis rekisterinpitäjä. Sinun on määritettävä oman organisaatiosi tai yrityksen tilanteen ja olosuhteiden perusteella, voitko käyttää palveluita henkilökohtaisten tietojen käsittelyyn ja tallentamiseen.
EU:n tietosuojadirektiivin vaatimukset on huomioitu palveluidemme suunnittelussa ja normaalissa käytössä. Pidämme direktiivin vaatimuksia erityisesti silmällä palveluiden kehittyessä ja muuttuessa.
Microsoft on lisäksi mukana Yhdysvaltain Safe Harbor -ohjelmassa, joka on EU:n ja Yhdysvaltain kauppaministeriön välinen sopimus. Se velvoittaa meitä suoraan toimimaan EU:n tietosuojadirektiivin mukaisesti, mutta antaa meille myös oikeuden siirtää tietoja EU:n ulkopuolelle Microsoft Online Services -palveluiden tarjoamiseksi. Microsoft on suorittanut omatoimisesti Yhdysvaltain kauppaministeriön EU Safe Harbor -sertifioinnin sekä miltei identtisen Sveitsin Safe Harbor -sertifioinnin. Microsoftin Safe Harbor -sertifiointi löytyy osoitteesta http://safeharbor.export.gov/. Jos haluat lisätietoja tietojen siirtämisestä EU:n ulkopuolelle, tutustu valvontakeskuksen maantieteellisiä rajoituksia käsittelevään osioon.
Joissain maissa noudatamme myös arkaluontoisten henkilökohtaisten tietojen tallentamista koskevia suojausvaatimuksia, kuten laki vaatii.
Jos sinulla on huolenaiheita tähän liittyen ja oman maasi lainsäädännön tai tallennettavan tietotyypin suhteen tai jos haluat lisätietoja Microsoft Online Services -palveluiden käytännöistä ja tuetuista ominaisuuksista, voit ottaa yhteyttä tukeen, jos et löydä tarvitsemiasi tietoja palvelun dokumentaatiosta. Mikäli hyödyllisten tietojen paljastaminen ei heikennä tietoturvaamme ja suojaustamme, luovutamme tarvittavat tiedot, jotta voit itse määrittää, täyttävätkö Microsoft Online Services -palvelut sinulle asetetut vaatimukset.
Tutustu yllä oleviin usein kysyttyihin kysymyksiin. Sinun on syytä muistaa se, että vaikka Microsoft Online Services -palvelut antavat organisaatiollesi mahdollisuuden toimia tietosuojalainsäädännön mukaisesti, tämä ei tarkoita sitä, että organisaatiosi olisi automaattisesti vaatimusten mukainen. Sinun on ehkä suoritettava muitakin toimenpiteitä, esimerkiksi otettava käyttöön tarvittavat käytännöt yrityksessäsi sekä koulutettava työntekijät noudattamaan niitä. Maasta riippuen sinun on ehkä ryhdyttävä myös muihin toimenpiteisiin varmistaaksesi paikallisten vaatimusten täyttämisen (esimerkiksi annettava tiedot paikalliselle tietosuojaviranomaiselle).
Saat lisätietoja HIPAA- ja HITECH-vaatimusten usein kysytyistä kysymyksistä.
Microsoft Online Services -palvelut auttavat asiakkaita täyttämään GLBA:n suojausvaatimukset tarjoamalla teknisiä ja organisatorisia suojausmenetelmiä. Näillä menetelmillä asiakkaat voivat taata tietoturvan ja estää luvattoman käytön. Microsoft voi erillisestä pyynnöstä toimittaa yhteenvetoraportin itsenäisen tarkastajan suorittamasta ulkopuolisesta sertifioinnista.
Microsoft Online Services -palvelut eivät tue PCI:n piiriin kuuluvien tietojen – esimerkiksi luottokorttinumeroiden – käsittelyä, lähettämistä tai tallentamista. PCI-standardia ei sovelleta Microsoft Online Services -palveluihin, koska ne eivät tarjoa luottokorttien käsittelypalveluita tai luottokorttitietojen tallennuspalveluita. Microsoft Online Services -palveluissa käytetään soveltuvia suojausmenetelmiä ja -toimintoja, jotka on määritetty alan parhaissa käytännöissä, esimerkiksi ISO 27001 -standardissa ja muissa vastaavissa.
Ota kuitenkin huomioon se, että ne Microsoft Online Services -palveluiden tilaus-, laskutus- ja maksujärjestelmät, jotka käsittelevät luottokorttitietoja, ovat PCI-vaatimusten ensimmäisen tason mukaisia. Asiakkaat voivat maksaa palveluista luottokortilla turvallisesti.
Ei. Microsoft Online Services -palvelut toimii tiedonkäsittelijänä, joten se ei rekisteröi asiakkaidensa puolesta käsittelemiä asiakastietoja EU-viranomaisilla.