Teetämme ulkopuolisilla tahoilla auditointeja ja hankimme sertifiointeja, joten voit luottaa siihen, että palvelumme on suunniteltu erittäin turvallisiksi ja että niiden käyttö on erittäin turvallista.
Tavoitteemme on tarjota palveluita, joiden tietoturva ja tietosuoja vastaavat odotuksiasi. Käytämme ja ylläpidämme tarvittavia teknisiä ja organisatorisia suojausmenetelmiä, sisäisiä menetelmiä sekä tietosuoja- ja tietoturvakäytäntöjä, jotka suojaavat asiakkaiden tiedot vahingossa tapahtuvaa menettämistä, tuhoutumista tai muuttamista, luvatonta luovuttamista, paljastumista tai käyttöä tai laitonta tuhoamista vastaan. Ylläpidämme näitä vuosittain seuraavasti: suoritamme joka vuosi ulkopuolisen ja kansainvälisesti tunnetun auditointiyrityksen suorittaman auditoinnin, jolla varmistamme, että noudatamme suojauksen ja tietoturvan vaatimuksia johdonmukaisesti ja kaikkien vaatimusten mukaisesti.
| MS Onlinen sertifioinnin ja vaatimustenmukaisuuden tiedot | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365:n ja Microsoft Dynamics CRM Onlinen palvelinkeskukset ja fyysinen infrastruktuuri (nämä tarjoaa Microsoft Global Foundation Services) | |
Nämä tiedot on tarkoitettu vain tiedoksi. Nämä tiedot voivat muuttua milloin tahansa. Näitä tietoja ei tule pitää Microsoftin antamana takuuna tai sitoumuksena.
Statement on Auditing Standards No.70 (SAS 70) on American Institute of Certified Public Accountantsin (AICPA) auditointistandardi, joka on tarkoitettu palveluorganisaatioille. Palveluorganisaatiot ovat yleensä tahoja, jotka tarjoavat ulkoistuspalveluita, jotka vaikuttavat asiakkaidensa hallintaympäristöön. Palveluorganisaatioita ovat esimerkiksi vakuutusyhtiöt, isännöidyt palvelinkeskukset, sovelluspalveluntarjoajat ja hallitut suojauspalveluntarjoajat. 15.6.2011 SSAE 16 (Statement on Standards for Attestation Engagements No. 16) -standardi korvaa SAS 70 -standardin, jolla tarkistetaan riippumattomasti suojausmenetelmien vaatimustenmukaisuus ja tehokkuus. Molemmat standardit muodostavat perustan organisaation tietosuojatoimien riippumattomalle tarkistamiselle.
Kun SSAE 16- tai SAS 70 -auditoija on suorittanut tarkistuksen (tästedes SAS 70- tai SSAE 16 -auditointi), auditoija on muodostanut mielipiteensä seuraavista seikoista:
1. Onko palveluorganisaation kuvaus suojausmenetelmistä todenmukainen?
2. Onko palveluorganisaation suojausmenetelmät suunniteltu tehokkaasti?
3. Ovatko palveluorganisaation suojausmenetelmät käytössä määritetystä päivästä lähtien?
4. Toimivatko palveluorganisaation suojausmenetelmät tehokkaasti määritettynä ajanjaksona (vain Sas 70 Type II ja SSAE 16 SOC 1 Type II)?
Microsoftin SAS 70- ja SSAE 16 -auditoinnit suorittaa ulkopuolinen taho (jokin niin sanotusta Big Four -kirjanpitoyrityksistä).
SAS 70- tai SSAE 16 -auditoinnit suoritetaan vuosittain. Auditointiraportit sisältävät ulkopuolisen auditoijan arvion suojausmenetelmistä. Saat lisätietoja standardista ja auditointityypeistä osoitteesta www.aicpa.org.
Global Foundational Services (GFS) tarjoaa infrastuktuuripalvelut (palvelinkeskukset ja verkot) Microsoftin verkkopalveluille (esimerkiksi Office 365, BPOS-S, BPOS-D, Dynamics CRM Online ja Windows Azure). Office 365:n ja Dynamics CRM Onlinen sovelluskerroksen suojausmenetelmät tullaan suunnitelmien mukaan arvioimaan ensin SSAE 16 SOC Type I -vaatimusten mukaan. Myöhemmin ne arvioidaan myös SSAE SOC 1 Type II -vaatimusten mukaan. Office 365:n ja Dynamics CRM Onlinen SSAE 16 -raportti täydentää GFS -raporttia. Yhdessä nämä raportit tarjoavat kattavan päästä päähän -esittelyn käytetyistä menetelmistä. GFS on SAS 70 Type II -sertifioitu on tällä hetkellä, ja myöhemmin se auditoidaan SSAE 16 -auditoinnilla seuraavan auditoinnin yhteydessä.
Microsoft Online Services -palveluiden tietosuojakäytännöt ja -tiedot ovat ISO 27002 -standardin sekä tiettyjen verkkopalveluiden lisävaatimusten mukaisia. Organisaatiot voivat hankkia ISO 27001 -sertifioinnin tietosuojan hallintajärjestelmilleen (ISMS). Yleensä tämä perustuu ISO 27002 -tietosuojastandardeihin. ISO-standardit ovat olleet Microsoft Online Services -palveluiden ja niiden tuki-infrastruktuurin perusta vuodesta 2009. Tälle on British Standards Institutionin (BSI) sertifiointi. Asiakkaita kehotetaan tutustumaan ISO-standardiin (se on julkisesti saatavilla).
Kaikki ISO-sertifioinnit ovat julkisesti saatavilla.
ISO 27000 -standardiperhe on tarkoituksellisesti laaja vaikutusalueeltaan. Se kattaa tietosuojan, luottamuksellisuuden ja teknisen suojauksen seikkoja sekä yleisesti hyväksytyt periaatteet organisaatioiden tietosuojahallinnan luomiseen, käyttöönottoon, ylläpitoon ja parantamiseen. Tästä johtuen standardi sisältää satoja mahdollisia menetelmiä ja keinoja tähän liittyen.
Global Foundational Services (GFS) tarjoaa infrastuktuuripalvelut (palvelinkeskukset ja verkot) Microsoftin verkkopalveluille (esimerkiksi BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 ja Windows Azure). ISO-sertifioinnin mukaiset sovelluskerroksen suojausmenetelmät täydentävät GFS-sertifiointia. Yhdessä ne tarjoavat kattavan päästä päähän -ratkaisun.
Euroopan unionilla on tietosuojadirektiivinsä myötä tiukemmat tietosuojasäännöt kuin Yhdysvalloilla ja useimmilla muilla mailla. Näiden sääntöjen noudattamiseksi EU yleensä estää henkilökohtaisten tietojen siirtämisen rajojensa yli, ellei siirtoa ole sallittu jollain tunnetulla menetelmällä, esimerkiksi alla kuvatulla Safe Harbor -sertifioinnilla.
Mahdollistaakseen kansainvälisen kaupan edellyttämän tiedonkulun Euroopan komissio on solminut sopimuksen Yhdysvaltain kauppaministeriön kanssa. Sopimuksen perusteella yhdysvaltalaiset organisaatiot voivat hankkia itselleen sertifioinnin siitä, että ne noudattavat Safe Harbor -periaatteita, jotka mukailevat vapaamuotoisesti EU:n tietosuojadirektiivin vaatimuksia.
Jotta yritys voi siirtää tietoja laillisesti EU:sta Yhdysvaltoihin, yhdysvaltalaisen yrityksen tai muun organisaation on osoitettava julkisesti, että se noudattaa Safe Harbor -periaatteita, jotka mukailevat EU:n tietosuojasääntöjä. Microsoft Online Services -palvelut voivat siirtää tietoja EU:sta Yhdysvaltoihin, koska ne on Safe Harbor -sertifioitu.
Kehotamme asiakkaita tutustumaan sertifioinnin periaatteisiin sekä Microsoftin sertifiointiin Yhdysvaltain kauppaministeriön verkkosivustossa seuraavien linkkien avulla: Safe Harbor -periaatteet ja sertifiointi.
Microsoft hankki Safe Harbor -sertifioinnin ensimmäistä kertaa vuonna 2001. Uusi Safe Harbor -sertifiointi hankitaan vaatimusten mukaisesti 12 kuukauden välein.
EU-jäsenmaiden lisäksi myös Euroopan talousalueen jäsenvaltiot (Islanti, Liechtenstein ja Norja) tunnustavat Safe Harbor -sertifioinnin takeeksi riittävästä tietosuojasta, jotta tiedonsiirto näistä maista Yhdysvaltoihin voidaan sallia. Sveitsillä on oma miltei identtinen sopimuksensa Yhdysvaltain kauppaministeriön kanssa (Sveitsin ja Yhdysvaltojen Safe Harbor -sopimus), joka oikeuttaa tiedonsiirrot Sveitsistä Yhdysvaltoihin. Microsoftilla on myös tämä sertifiointi.
Monet muut maat – kuten Kanada ja Argentiina – ovat säätäneet kattavia tietosuojalakeja, joiden ansiosta EU sallii tiedonsiirron näihin maihin.
Arvioi, täyttävätkö suojausmenetelmämme ja -keinomme tarpeesi.
Microsoft Online Services -palveluiden tietosuoja on ensiluokkainen. Sinun omalla vastuullasi on arvioida, onko sinulla joitain erityisen arkaluonteisia tietoja tai tietoja, joilla on oltava tietty suojaustaso alaasi sovellettavien vaatimusten johdosta. Tällaiset tiedot saattavat edellyttää tiettyjä lisäsuojausmenetelmiä, joita emme tarjoa.
Saatat esimerkiksi toimia alalla, jonka vaatimusten mukaan salasanoissa on oltava vähintään 10 merkkiä. Meidän vaatimustemme mukaan salasanoissa on kuitenkin oltava yleensä vain kahdeksan merkkiä.
Sinun on itse määritettävä, täyttääkö suojauksemme organisaatiosi vaatimukset.
Jos sinulla on kysyttävää siitä, täyttävätkö Microsoft Online Services -palvelut tietyn suojausvaatimuksen tai standardin vaatimukset, tutustu Resurssit-osioon tai ota yhteyttä tukeen.
Eivät. Microsoft Online Services -palvelut perustuvat ISO 27001 -standardiin, jonka mukaisesti arvioimme ja parannamme palveluitamme jatkuvasti. Microsoft Online Services -palveluiden tietosuojakäytännöissä huomioidaan myös alan parhaiden suojauskäytäntöjen lisävaatimukset sekä soveltuvat kansainväliset, kansalliset ja paikalliset vaatimukset.
Organisaatiot voivat hankkia ISO 27001 -sertifioinnin tietojen suojaamisen hallintajärjestelmilleen (ISMS). Yleensä tämä perustuu ISO 27002 -tietosuojastandardeihin. Sertifiointia voi hakea useilta akkreditoiduilta tahoilta. Microsoft on hankkinut sertifioinnin British Standards Institutionilta (BSI). ISO 27001 -auditoinnit takaavat tietoturvahallintajärjestelmien vaatimustenmukaisuuden. Microsoft uskoo, että läpinäkyvyys antaa asiakkaille mahdollisuuden arvioida palveluita omien vaatimustensa suhteen sekä antaa asiakkaille mahdollisuuden tehdä hyviä päätöksiä tämän suhteen.
Seuraavilla Office 365 -palveluilla on ISO-sertifiointi: SharePoint Online, Lync Online ja Exchange Online. Myös Microsoft Dynamics CRM Online -verkkopalvelu on ISO-sertifioitu. Global Foundation Services ja palveluiden infrastruktuurikerros (verkko ja palvelinkeskukset) on myös ISO 27001 -sertifioitu. Microsoft Online Services -palveluiden asiakkaiden tulisi tutustua julkisesti saatavilla olevaan ISO-standardiin, jotta he voivat määrittää täyttyvätkö heidän omat suojausvaatimuksensa.
Microsoft Online Services -palvelut tarjoavat lukuisia resursseja, joiden avulla asiakkaat voivat hankkia tarvittavat tiedot Microsoftin menetelmistä ja käytännöistä. Näitä ovat muun muassa seuraavat:
SAS 70:tä on käytetty pääasiassa Yhdysvalloissa. Sitä käytetään suojausmenetelmien rakenteen ja tehokkuuden varmistamiseen. SSAE 16:ta käytetään samankaltaisesti. ISO 27001 on kansainvälinen standardi, joka on tarkoitettu organisaatioiden suojaus- ja tietosuojakäytäntöjen arviointiin. ISO 27001 on yleinen Euroopassa, Japanissa ja joissain Aasian maissa, mutta sen suosio on kasvamassa myös Yhdysvalloissa. ISO 27001 määrittää tietyt suojausmenetelmät ja -käytännöt, joiden noudattamisen perusteella sertifiointi toteutetaan. ISO 27001 on paljon kattavampi kuin SAS 70 tai SSAE 16. ISO 27001 huomio kaikki suojauksen ja tietoturvan kolme eri pääaluetta, eli luottamuksellisuuden, rehellisyyden/eheyden sekä käytettävyyden. Organisaatiot voivat hankkia ISO 27001 -sertifioinnin useilta kansainvälisiltä akkreditoiduilta sertifiointiorganisaatioilta.
Microsoft Online Services -palvelut saavat SAS 70 -auditointiraportit yleensä vain englanniksi. Microsoft Online Services -palveluiden SAS 70 -auditointiyritys voi kuitenkin kääntää auditointiraportin useimmille muille kielille erillisestä pyynnöstä. Tämän kustannukset riippuvat pyydetystä kielestä. Kustannuksista vastaa pyynnön esittävä asiakas. Käännösten saatavuutta kaikille kielille ei voida taata. Jos tarvitset käännetyn version, ota yhteyttä Microsoft Online Services -palveluiden asiakastukeen.
Järjestelmänvalvojien oikeudet ja hallintakäyttö -osiosta valvontakeskuksessa saat lisätietoja siitä, miten Microsoft rajoittaa tietojen käyttöä.
Ei. Riippumattomien auditointiemme ja sertifiointiemme tulokset jaetaan asiakkaiden kanssa, mutta emme salli yksittäisten asiakkaiden auditointeja. Nämä sertifioinnit ja auditointitulokset osoittavat, miten täytämme suojaus- ja vaatimustenmukaisuustavoitteet. Niillä voimme osoittaa asiakkaille pitävämme lupauksemme. Mahdollisesti jopa satojen tuhansien asiakkaiden omat auditoinnit eivät olisi käytännölliseltä kannalta mahdollisia. Lisäksi ne voisivat heikentää tietoturvaa.
Microsoft Online Services -palveluiden sisäinen valvonta käsittää muun muassa infrastruktuurin automaattisen vaatimustenmukaisuusvalvonnan (esimerkiksi haavoittuvuustarkistukset, valehyökkäykset sekä prosessien ja henkilöiden tietoturvamenetelmien testaukset). Microsoft Online Services -palveluiden ulkopuolinen tarkistusohjelma käsittää vuosittain suoritettavat itsenäiset auditoinnit, joilla Microsoft Online Services -palveluiden suojaus taataan ja varmistetaan.
Ei. Microsoft ei suostu mukautettuihin auditointeihin yksittäisten asiakkaiden tarpeiden vuoksi. Tämän aiheuttamat kustannukset ja mahdolliset ristiriidat tekevät tästä käytännössä mahdotonta.
Jos haluat lisätietoja siitä, miten Microsoft reagoi tietovuotoihin, tutustu palvelusopimukseesi.