Microsoft si impegna alla trasparenza per consentire la conformità con le esigenze normative.
I clienti Microsoft nel mondo sono soggetti a numerose leggi e normative. I requisiti legali in un paese o settore industriale potrebbero essere non coerenti con i requisiti legali applicabili altrove. In qualità di provider di servizi cloud globali, Microsoft deve eseguire i propri servizi adottando funzioni e procedure di funzionamento comuni tra più clienti e giurisdizioni. Per consentire ai propri clienti la conformità con i loro requisiti, Microsoft ha creato i servizi tenendo in considerazione requisiti di privacy e protezione comuni. Tuttavia, è responsabilità finale dei clienti valutare gli sforzi prodotti da Microsoft in relazione ai loro requisiti, in modo da poter determinare se i servizi offerti soddisfano le loro esigenze normative. Microsoft è impegnata a fornire ai suoi clienti informazioni dettagliate sui servizi cloud per aiutarli nelle loro valutazioni legislative.
Le informazioni sulle certificazioni che possono semplificare la conformità alle normative sono disponibili nella sezione Protezione, controlli e certificazione.
È responsabilità dell'utente garantire la conformità con gli obblighi normativi. Microsoft fornisce informazioni adatte allo scopo e si impegna al rispetto della conformità con leggi sulla privacy e sulla protezione dei dati generalmente applicabili ai provider di servizi IT. Se l'utente è soggetto a requisiti di settore o giurisdizionali, sarà necessario esprimere una propria valutazione sulla capacità di soddisfare la conformità, ma i clienti in molti settori industriali e aree geografiche hanno scoperto che possono utilizzare i Microsoft Online Services in modo da rispettare la conformità con le normative applicabili, a condizione che utilizzino i servizi in maniera appropriata alle particolari circostanze.
Ad esempio, organizzazioni soggette alla Direttiva sulla protezione dei dati dell'Unione Europea devono disporre di propri criteri, protezione e programmi di formazione in atto per accertarsi che il servizio Microsoft Online Services non venga utilizzato in modo da violare tale direttiva. I Microsoft Online Services rispettano la promessa fatta da Microsoft e pertanto aiutano a mantenere la conformità.
A titolo di esempio, un cliente dell'Unione Europea può archiviare un elenco di clienti incluse le informazioni di contatto. I Microsoft Online Services dispongono di procedure di protezione in atto per accertarsi che il personale Microsoft non acceda in maniera inappropriata o divulghi a terzi queste informazioni. Tuttavia, uno dei dipendenti del cliente che è un utente di Microsoft Exchange Online può utilizzare il servizio per inviare questo elenco clienti a un venditore senza appropriato consenso. Le eventuali violazioni dei requisiti di protezione dei dati dell'Unione Europea derivanti da Microsoft Online Services che hanno seguito le indicazioni del cliente, vale a dire, causando l'invio di un messaggio di posta elettronica durante la normale fornitura dei servizi, è responsabilità del cliente.
In virtù della direttiva sulla protezione dei dati nell'Unione Europea e dell'accordo contrattuale, i Microsoft Online Services agiscono come custodi dei dati, essenzialmente come subappaltatori ("elaboratore dei dati" in termini legali). Il cliente è il proprietario finale dei dati ed è legalmente responsabile del rispetto delle regole. Il cliente può inoltre inviare legalmente dati a Microsoft ("controller dei dati" in termini legali). Il cliente deve determinare, per la particolare situazione della sua azienda, se può utilizzare i servizi Microsoft per elaborare e memorizzare i dati personali.
I requisiti della Direttiva sulla protezione dei dati dell'Unione Europea sono stati tenuti in debita considerazione durante la progettazione e la gestione dei servizi per il normale utilizzo. Inoltre, Microsoft continua a monitorare questa area per individuare modifiche relative all'evoluzione dei servizi.
Microsoft è anche un membro del programma Safe Harbor degli Stati Uniti, come concordato dall'Unione Europea e dal Ministero del Commercio degli Stati Uniti. Questo impone direttamente il rispetto dei requisiti della Direttiva sulla protezione dei dati dell'Unione Europea e consente di trasferire i dati al di fuori dell'Unione Europea per fornire i Microsoft Online Services. Microsoft si è autocertificata per le direttive Safe Harbor del Ministero del Commercio degli Stati Uniti e le pressoché identiche direttive Swiss Safe Harbor. La certificazione Safe Harbor di Microsoft è disponibile all'indirizzo http://safeharbor.export.gov/. Per ulteriori informazioni sul trasferimento di dati al di fuori dell'Unione Europea, vedere la sezione Limiti geografici del Centro protezione.
In alcuni paesi, Microsoft aderisce ai requisiti di protezione per l'archiviazione di dati personali riservati, come definito dalla legge in vigore.
In caso di dubbi sulle regole in vigore nel proprio paese o il tipo di dati di cui si esegue l'archiviazione, oppure se si desiderano maggiori informazioni sulle procedure e le funzioni supportate dai Microsoft Online Services, contattare il Supporto se non è possibile trovare informazioni nella documentazione del servizio. Nella misura in cui la divulgazione di informazioni di assistenza non indebolisce la protezione, queste verranno fornite per consentire all'utente di stabilire l'accettabilità dell'implementazione dei Microsoft Online Services rispetto ai requisiti richiesti.
È opportuno leggere la sezione Domande frequenti precedente e comprendere che la conformità alle leggi sulla privacy resa possibile dai Microsoft Online Services non implica che l'organizzazione sia conforme. Potrebbero essere richiesti passaggi aggiuntivi, ad esempio mettere in atto criteri aziendali corretti e istruire i dipendenti all'applicazione di buone procedure relative alla privacy. Inoltre, in base al paese, potrebbero essere richiesti passaggi aggiuntivi per rispettare la conformità con la legge locale, ad esempio compilare informazioni con la propria agenzia di protezione dei dati.
Per ulteriori informazioni, vedere HIPAA/HITECH FAQ.
I Microsoft Online Services consentono la conformità con i requisiti di protezione di GLBA offrendo misure di protezione tecniche e organizzative per aiutare i clienti a mantenere la protezione e impedire l'uso non autorizzato. Su richiesta, Microsoft può fornire un rapporto di riepilogo di una certificazione di terze parti per mezzo di un revisore indipendente.
I Microsoft Online Services non supportano l'elaborazione, la trasmissione o la memorizzazione di dati amministrati da PCI, ad esempio numeri di carta di credito. Lo standard PCI non è applicabile ai Microsoft Online Services poiché l'elaborazione delle carte di credito e l'archiviazione di dati non è una funzione offerta dai Microsoft Online Services. I Microsoft Online Services applicano criteri e controlli di protezione validi definiti da procedure consigliate del settore, ad esempio ISO 27001 e altre.
Osservare, tuttavia, che i sistemi di ordinazione, fatturazione e pagamento Microsoft Online Services che gestiscono dati di carta di credito sono conformi PCI Level One e i clienti possono utilizzare con tranquillità le carte di credito per il pagamento di servizi.
No, in qualità di elaboratore di dati, Microsoft Online Services non registra i dati cliente con autorità dell'Unione Europea per conto dei clienti.