K dispozícii máte možnosť zistiť, či k vašim základným údajom nepristupovala nepovolaná osoba.
Sme si vedomí toho, že pokiaľ ide o technológiu cloud, prístup k údajom vyvoláva najväčšie obavy. To znamená mať k dispozícii informácie o tom že budete mať prístup k svojim údajom vtedy, keď ho potrebujete a súčasne disponovať informáciami o tom, či k vašim informáciám pristupovali iné osoby.
Naša pozícia týkajúca sa prístupu je táto:
| Typ sledovaných údajov | Pokyny | |
| Microsoft Online Services | Vytváranie používateľov portálu, obnovenia hesiel | Obráťte sa na oddelenie technickej podpory služieb Microsoft Online Services |
| Exchange Online | Prístup do poštovej schránky programu Exchange3 | Navštívte ovládací panel programu Exchange (prepojenie dostupné na stránke Prehľad správcov na portáli služieb Microsoft Online Services [Vyžaduje sa prihlásenie]). |
| SharePoint Online | Lokalita SharePoint, prístup k ukladacím priestorom | Obráťte sa na oddelenie technickej podpory služieb Microsoft Online Services |
| Microsoft Dynamics CRM Online | Prístup k základným údajom zákazníkov služby CRM | Obráťte sa na oddelenie technickej podpory služieb Microsoft Online Services |
Poznámky:
1Základné údaje sú údaje, vzhľadom na ktoré môžu zákazníci požadovať vyššiu úroveň zachovania dôvernosti a ktoré – v prípade bežného používania služby – sa prenášajú v zašifrovanom stave prostredníctvom siete Internet. Tieto údaje špecificky zahŕňajú telo e-mailu služby Exchange Online, prílohy, obsah tímovej lokality SharePoint Online, telo súboru, okamžité správy, hlasové konverzácie a obchodné údaje služby CRM o interakciách vašich koncových zákazníkov.
2Partneri: správy o predajcoch (v prípade, ak si zákazník kúpil službu od predajcu a predajca vystavuje faktúry zákazníkovi), partneri ACS VOIP a priradené služby, akými sú napríklad Research in Motion (služba Hosted BlackBerry®) nie sú k dispozícii vzhľadom na charakter prístupu týchto strán k údajom v priebehu bežného používania služieb.
3Pokiaľ ide o podnikových zákazníkov, ktorí povolili centrum správy FOPE, správcovský prístup k pošte vo fronte v centre správy nie je možné vykazovať.
Správcovia databáz (podľa definície) majú prístup ku všetkým prostriedkom v databáze vrátane údajov zákazníka. Spoločnosť Microsoft však prísne zakazuje prístup k údajom zákazníka na účely iné než obchodné účely (napríklad vylepšenie výkonu databáz alebo migrácia zákazníkov z jednej databázy do druhej).
Nasledujúca tabuľka obsahuje podrobné informácie o rôznych úrovniach prístupu vzhľadom na rôzne typy údajov:
| Údaje o používaní | Údaje adresára | Údaje zákazníka (bez základných údajov zákazníka*) | Základné údaje zákazníka | |
| Prevádzkový tím (obmedzené iba na kľúčových zamestnancov) | Áno. | Áno, podľa potreby. | Áno, podľa potreby. | Áno, na základe výnimky. |
| Podporná organizácia | Áno, výlučne na základe odpovede na dotaz oddelenia technickej podpory. | Áno, výlučne na základe odpovede na dotaz oddelenia technickej podpory. | Áno, výlučne na základe odpovede na dotaz oddelenia technickej podpory. | Nie. |
| Technické spracovanie | Áno. | Bez priameho prístupu. Prenos je možné uskutočniť počas fázy odstraňovania problémov. | Bez priameho prístupu. Prenos je možné uskutočniť počas fázy odstraňovania problémov. | Nie. |
| Partneri | S povolením zákazníka. Ďalšie informácie získate v časti Partner. | S povolením zákazníka. Ďalšie informácie získate v časti Partner. | S povolením zákazníka. Ďalšie informácie získate v časti Partner. | S povolením zákazníka. Ďalšie informácie získate v časti Partner. |
| Iní pracovníci spoločnosti Microsoft | Nie. | Nie (áno v prípade riešenia Office 365 pre zákazníkov – malé podniky na marketingové účely). | Nie. | Nie. |
*Základné údaje zákazníka zahŕňajú telo e-mailu služby Exchange Online a prílohy, obsah lokality SharePoint Online a telo súboru, okamžité správy, hlasové konverzácie a obchodné údaje služby CRM o interakciách vašich koncových zákazníkov.
Zákazníci môžu pristupovať a riadiť svoje údaje prostredníctvom štandardných protokolov a prístupových mechanizmov zadefinovaných v opise služby.
Na konci obdobia odberu služieb zákazníkom môže zákazník vždy exportovať svoje údaje. Úplné podrobné údaje tvoria súčasť práv na používanie produktov (ktoré predstavujú rozhodný zdroj v tejto téme). Z hľadiska zachovania informovanosti však nižšie uvádzame príslušné ustanovenia s platnosťou k dátumu vydania riešenia Office 365:
Uplynutie platnosti alebo ukončenie služby online. Po uplynutí platnosti alebo ukončení odberu online služby je potrebné, aby ste sa obrátili na spoločnosť Microsoft a informovali nás o nasledujúcich skutočnostiach:
Žiadna zodpovednosť za odstránenie údajov zákazníka. Súhlasíte s tým, že s výnimkou informácií uvedených v týchto zmluvných podmienkach nemáme žiadnu povinnosť uchovávať, exportovať ani vracať údaje zákazníka. Súhlasíte s tým, že nemáme žiadnu zodpovednosť za odstránenie údajov zákazníka v súlade s ustanoveniami týchto zmluvných podmienok.
Spoločnosť Microsoft poskytuje pred odstránením údajov zákazníka viacero oznámení, aby boli zákazníci informovaní o nastávajúcom odstránení údajov, ak nevykonajú príslušné kroky v rámci určeného časového intervalu.
Do rozsahu, v akom zákazník potrebuje pomoc pri plnení požiadaviek týkajúcich sa ochrany osobných údajov vyžadovaných zákonom v rámci mnohých zmlúv sa zákazníci môžu obrátiť na oddelenie podpory pre zákazníkov spoločnosti Microsoft a požiadať o pomoc s prístupom, zmenou, odstránením alebo blokovaním svojich údajov zákazníka. Na požiadavky, ktoré nie je možné plniť prostredníctvom štandardných nástrojov a procesov, sa môžu vzťahovať príslušné poplatky.
Každý pracovník služieb Microsoft Online Services nesie zodpovednosť za manipuláciu s údajmi zákazníka, čo znamená, že prístup k údajom služieb Microsoft Online Services sa udeľuje spôsobom, ktorý je možné sledovať až ku konkrétnemu používateľovi. Inými slovami – zodpovednosť sa uplatňuje prostredníctvom súboru systémových kontrolných mechanizmov vrátane používania jedinečných mien používateľov, kontrolných mechanizmov prístupu k údajom a auditov. Na rozdiel od všeobecných mien používateľov, ako napríklad „hosť“ alebo „správca“ sa jedinečná mená používateľov používajú na uplatnenie zodpovednosti formou priradenia používateľských aktivít špecifickej osobe (označované ako „väzba“). Na posilnenie tejto väzby sa používa dvojfaktorové overovanie, ako napríklad prihlásenia prostredníctvom karty SC pomocou digitálnych certifikátov alebo tokenov RSA.
Používateľský prístup k údajom je taktiež obmedzený úlohou používateľa – napríklad správcovia systému nemajú k dispozícii správcovský prístup k databáze.
Spoločnosť Microsoft používa prísne kontrolné mechanizmy, na základe ktorých sa prideľuje prístup k údajom zákazníka pre úlohy používateľa a samotných používateľov. Používatelia musia vyplniť formulár spolu s príslušným odôvodnením požiadavky na udelenie prístupu. Tento formulár musí schváliť manažér (vedúci pracovník) používateľa pred tým, než bude prístup udelený. Okrem toho sa úrovne prístupu pravidelne prehodnocujú s cieľom zaistiť prístup do systémov iba pre používateľov s príslušným odôvodnením žiadosti o prístup.
Všetky údajové centrá služieb Microsoft Online Services disponujú biometrickou kontrolou prístupu a väčšina údajových centier, ktoré poskytujú služby Microsoft Online Services, vyžaduje na získanie fyzického prístupu do údajových centier načítanie odtlačku dlane. Fyzický prístup do údajových centier služieb Microsoft Online Services sa riadi prostredníctvom dvojvrstvového overovania vrátane proxy čítačiek prístupových kariet (vyžaduje sa fyzická prístupová karta) a biometrických čítačiek geometrie ruky.
Ďalšie informácie o prístupe služieb Microsoft Online Services k údajom zákazníka nájdete v online zásadách ochrany osobných údajov spoločnosti Microsoft, v pokynoch spoločnosti Microsoft o vývoji produktov a služieb, opise služby zabezpečenia riešenia Office 365 a v online technickej dokumentácii o ochrane osobných údajov spoločnosti Microsoft.
Každý štvrťrok hlavný zástupca spoločnosti Microsoft pre oblasť zabezpečenia odosiela správy autorizovanému personálu s oprávnením na schválenie prístupu do údajového centra. Tieto správy obsahujú zoznamy osôb, ktoré v súčasnej dobe disponujú prístupom do údajových centier. Autorizovaný personál vykoná audit zoznamu s cieľom overiť, či všetky osoby stále potrebujú udelený prístup a či disponujú úrovňou prístupu s najnižšími oprávneniami na vykonávanie svojich pracovných povinností. Autorizovaný personál musí informovať hlavného zástupcu spoločnosti Microsoft pre oblasť zabezpečenia o akýchkoľvek zmenách alebo musí potvrdiť, že sa nevyžadujú žiadne zmeny.
Všetci zamestnanci spoločnosti Microsoft v USA musia úspešne absolvovať štandardnú kontrolu minulosti ako súčasť náborového procesu. Kontrola minulosti zahŕňa kontrolu informácií týkajúcich sa vzdelania, zamestnania a kriminálnej histórie kandidáta.
Okrem štandardnej kontroly minulosti, ktorá sa vzťahuje na všetkých zamestnancov spoločnosti (nových aj existujúcich) s prístupom k údajom zákazníka alebo tých zamestnancov, ktorí riadia fyzické alebo logické prístupy, musia títo pracovníci podstúpiť kontroly podľa zoznamov regulácie vývozu: (zoznamy regulácie vývozu zahŕňajú zoznam Úradu pre reguláciu zahraničných aktív (OFAC), zoznam Úradu pre priemysel a zabezpečenie (BIS) a zoznam Úradu ochranných obchodných opatrení – zoznam vylúčených osôb (DDTC)).
Ak sa žiadosť o udelenie prístupu vzťahuje na federálne prostredie, môžu sa vyžadovať ďalšie informácie a kontroly minulosti (napríklad kontroly občianstva a odber odtlačkov prstov).
S cieľom chrániť osobné údaje zamestnancov spoločnosť Microsoft nezdieľa výsledky kontrol minulosti so svojimi zákazníkmi.