Vi arbetar för transparens för att hjälpa dig efterleva föreskriftsbehoven.
Våra kunder runt om i världen är föremål för många olika lagar och föreskrifter. Juridiska krav i ett land eller en bransch kan vara inkonsekventa med juridiska krav som gäller någon annanstans. Som leverantör av globala molntjänster, måste vi driva våra tjänster med gemensamma driftrutiner samt funktioner över multipla kunder och jurisdiktioner. För att hjälpa kunderna efterleva sina egna krav, bygger vi våra tjänster med gemensamma sekretess- och säkerhetskrav i åtanke. I slutändan är det är emellertid upp till våra kunder att utvärdera våra erbjudanden mot sina egna krav, så att de kan besluta om våra tjänster lever upp till deras föreskriftsbehov. Vi arbetar för att tillhandahålla våra kunder detaljerad information om våra molntjänster för att hjälpa dem göra sin egen föreskriftsbedömning.
Information om certifieringar som kan bistå i föreskiftsefterlevnad finns i Säkerhet, revision och certifierings avsnittet.
Det är din skyldighet att efterleva dina föreskriftsskyldigheter. Vi tillhandahåller information som hjälper dig med detta. Vi arbetar för efterlevnad av dataskydds- och sekretesslagar som är allmänt giltiga för IT-tjänsteleverantörer. Om du är föremål för bransch- eller myndighetskrav, kommer du behöva göra din egen bedömning av din förmåga till efterlevnad, men kunder inom många branscher och områden har upptäckt att de kan använda Microsoft Online Services på ett sätt som forfarande är enligt efterlevnad av gällande föreskrifter, förutsatt att de använder tjänsten på ett sätt som är lämpligt i den specifika situationen.
Till exempel organisationer som omfattas av EU:s dataskyddsdirektiv ska ha sina egna policier, säkerhet och utbildningsprogram på plats för att garantera att personalen inte använder Microsoft Online Services på ett sätt som strider mot direktivet. Microsoft Online Services kommer att göra vår del för att leva upp till löftena vi har gett, och därigenom hjälpa dig till fortsatt efterlevnad.
För att ge ett exempel, en kund inom Europeiska Unionen kanske lagrar en kundlista med kontaktinformation. Microsoft Online Services har säkerhetsprocedurer på plats som garanterar att Microsoft-personal inte får olämplig åtkomst till eller avslöjar denna information. Men en av kundens anställda som använder Microsoft Exchange Online kanske använder denna tjänst för att skicka en sådan kundlista till en marknadsförare utan vederbörligt samtycke. Alla resulterande brott mot EU:s dataskyddskrav som uppstår genom att Microsoft Online Services har följt kundens riktlinjer - nämligen genom att tillåta att en e-post skickas under det löpande tillhandahållandet av tjänsten - är kundens ansvar.
Under EU:s dataskyddslag och vårt kontraktsenliga avtal, agerar Microsoft Online Services förmyndare åt dina data, i själva verket en underleverantör (lagen kallar oss "databehandlare"). Du, kunden, har det slutliga ägandet av datat och ansvaret enligt lag att se till att vi följer reglerna och det är lagligt att du skickar personliga data till oss (lagen kallar dig "datakontrollant"). Du måste besluta om din verksamhet i varje specifik situation, om du vill använda våra tjänster för att behandla och lagra dina personliga data.
Vi har tagit hänsyn till kraven från EU:s dataskyddsdirektiv i utformningen och driften av våra tjänster vid normal användning och vi övervakar kontinuerligt detta område vad gäller ändringar som är relevanta för utvecklingen av tjänsterna.
Microsoft är också medlem av U.S. Safe Harbor-programmet, vilket är överenskommet av EU och U.S.A:s handelsdepartement. Detta medför direkta skyldigheter för oss gällande kraven i EU:s dataskyddsdirektiv och tillåter oss att överföra data utanför EU för att tillhandahålla Microsoft Online Services. Microsoft här själv-certifierad enligt U.S.A:s handelsdepartements EU Safe Harbor och den snarlika Switzerland Safe Harbor. Du hittar Microsofts Safe Harbor-certifiering på http://safeharbor.export.gov/. För mer information om överföring av data utanför EU, se avsnittet Geografiska gränser i säkerhetscentrat.
I vissa länder följer vi även säkerhetskraven för lagring av känsliga personliga data, i enlighet med lagen.
Om du har frågor om reglerna i ditt land eller typen av data som du lagrar eller vill ha mer information om rutinerna och understödda funktioner i Microsoft Online Services, kan du kontakta Support om du inte hittar informationen i tjänstedokumentationen. Förutsatt att det inte försvagar vår säkerhet att avslöja hjälpande information, kommer vi att göra det för att hjälpa dig göra din egen bedömning gällande godtagbarheten i implementeringen av Microsoft Online Services mot dina krav.
Du bör läsa Frågor och svar ovan och förstå att bara för att Microsoft Online Services låter din organisation efterleva sekretesslagar, betyder inte det att din organisation följer standard - det kan finnas ytterligare steg som du måste vidta, t.ex. att införa de rätta företagspolicierna och utbilda anställda i bra sekretessrutiner. Dessutom, beroende på land, kan det finnas ytterligare steg som du behöver vidta för att följa lokala lagar, t.ex. registrera information hos din dataskyddsmyndighet.
Se HIPAA/HITECH FAQ för mer information.
Microsoft Online Services hjälper kunder att följa säkerhetskraven i GLBA genom att tillhandahålla tekniska och organisatoriska skyddsåtgärder för att hjälpa kunder upprätthålla säkerheten och förhindra obehörig användning. Microsoft kan tillhandahålla, på begäran, en sammanfattningsrapport av en tredje parts certifiering av en oberoende revisor.
Microsoft Online Services stödjer inte behandling, överföring eller lagring av PCI-styrda data, t.ex. kreditkortsnummer. PCI-standarden gäller inte för Microsoft Online Services, eftersom kreditskortsbehandling och datalagring inte är en funktion som erbjuds av Microsoft Online Services. Microsoft Online Services tillämpar inte lämpliga säkerhetspolicier och kontroller som definierats av de bästa metoderna i branschen t.ex. ISO 27001 och andra.
Observera dock att Microsoft Online Services för beställning, fakturering och betalningssystem vilka hanterar kreditkortsdata är kompatibla med Level One PCI och kunder kan använda kreditkort för att betala för tjänsten med förtroende.
Nej, Microsoft Online Services, som databehandlare, registrerar inte kunddata som vi behandlar åt våra kunder hos EU:s myndigheter.