Säkerhetscenter: Säkerhets-, sekretess- och efterlevnadsinformation för Office 365 och Microsoft Dynamics CRM Online

Regelefterlevnad

Är Microsoft dedikerade till transparens för att hjälpa sina kunder att efterleva sina regelkrav?

Ja. Våra Office 365- och Microsoft Dynamics CRM Online-kunder runtom i världen lyder under många olika lagar och regler. Juridiska krav i ett land eller en bransch kan vara i konflikt med juridiska krav som gäller någon annanstans. Som leverantör av globala molntjänster måste vi driva våra tjänster med gemensamma driftrutiner samt funktioner över flera olika kunder och jurisdiktioner. För att hjälpa våra kunder att följa sina krav har vi byggt upp våra tjänster med vanliga sekretess- och säkerhetskrav i åtanke, och våra inbyggda funktioner är till hjälp för att följa efterlevnadskraven för en bred uppsättning föreskrifter och sekretessmandat.

I slutändan är det är emellertid upp till våra kunder att väga våra erbjudanden mot sina egna krav, så att de kan besluta om våra tjänster lever upp till deras regelkrav. Vi arbetar för att tillhandahålla våra kunder detaljerad information om våra molntjänster för att hjälpa dem göra sin egen regelbedömning.

Information om certifieringar som kan bistå i föreskiftsefterlevnad finns i avsnittet Säkerhet, revision och certifierings.

 

Efterlever Office 365 och Microsoft Dynamics CRM Online mina regelkrav?

Det är din skyldighet att efterleva dina regelkrav. Vi tillhandahåller information som hjälper dig med detta.

Vi arbetar för efterlevnad av dataskydds- och sekretesslagar som är allmänt giltiga för IT-tjänsteleverantörer. Om du måste följa bransch- eller myndighetskrav måste du göra en egen bedömning av din efterlevnadsförmåga, men kunder inom många branscher och områden har upptäckt att de kan använda Office 365 och Microsoft Dynamics CRM Online på ett sätt som uppfyller gällande föreskrifter, förutsatt att de använder tjänsten på ett sätt som är lämpligt i den specifika situationen.

Till exempel bör organisationer som omfattas av EU:s dataskyddsdirektiv ha sina egna policyer, säkerhets- och utbildningsprogram på plats för att garantera att personalen inte använder Office 365- eller Microsoft Dynamics CRM Online-tjänster på ett sätt som strider mot direktivet. Office 365 och Microsoft Dynamics CRM Online kommer att göra vår del för att leva upp till det vi lovar i avtalen, och därigenom hjälpa dig till fortsatt efterlevnad.

Till exempel kan en kund i Europeiska unionen (EU) lagra en kundlista som inkluderar kontaktinformation. Office 365 och Microsoft Dynamics CRM Online harrsäkerhetsprocedurer på plats för att se till att Microsoft-personal inte otillbörligt kommer åt eller avslöjar den informationen. Men en av kundens anställda som använder Microsoft Exchange Online kanske använder denna tjänst för att skicka en sådan kundlista till en marknadsförare utan vederbörligt samtycke. Alla resulterande brott mot EU:s dataskyddskrav som uppstår genom att Office 365 och Microsoft Dynamics CRM har följt kundens riktlinjer - nämligen genom att tillåta att ett e-postmeddelande skickas under det löpande tillhandahållandet av tjänsten - är kundens ansvar.

Om jag är i EU, är det då olagligt att använda Office 365 och Microsoft Dynamics CRM Online?

Enligt EU:s dataskyddsdirektiv och våra avtalade åtaganden agerar Office 365 och Microsoft Dynamics CRM Online som förmyndare för dina data, en underleverantör i stort sett, (i lagen kallas vi "dataprocessorn").

Du, kunden, äger dina data och ansvaret, enligt lag, att se till att vi följer reglerna och att det är lagligt att du skickar personliga data till oss (i lagen kallas du "datakontrollant"). Du måste besluta för din verksamhet, i din specifika situation, om du får använda våra tjänster för att behandla och lagra dina personliga data.

Vi har tagit hänsyn till kraven från EU:s dataskyddsdirektiv i utformningen och driften av våra tjänster vid normal användning och vi övervakar kontinuerligt ändringar på detta område som är relevanta för utvecklingen av tjänsterna.

Microsoft är också självcertifierat i enlighet med U.S.–EU Safe Harbor- och det nästan identiska U.S.–Switzerland Safe Harbor-programmet, som det amerikanska handelsdepartementet och EU respektive Schweiz har enats om. På grund av detta är vi skyldiga att följa kraven i EU:s dataskyddsdirektiv och vi kan lagligen föra över data utanför EU för att tillhandahålla Office 365 och Microsoft Dynamics CRM Online-tjänster. Du hittar Microsofts Safe Harbor-certifiering på http://safeharbor.export.gov/. Vi förstår att visa kunder behöver garantier som är mer robusta än vad en Safe Harbor-självcertifiering kan ge. Vi är därför villiga att skriva på EU:s standardklausuler (även känt som "standardavtalsklausulerna") med alla kunder. För mer information om överföring av data utanför EU, se avsnittet Datakartor i säkerhetscentrat.

I vissa länder följer vi även säkerhetskraven för lagring av känsliga personliga data, i enlighet med lagen. Om du har frågor om reglerna i ditt land eller typen av data som du lagrar eller vill ha mer information om rutinerna och understödda funktioner i Office 365 eller Microsoft Dynamics CRM Online, kan du kontakta support om du inte hittar informationen i tjänstedokumentationen. Förutsatt att det inte försvagar vår säkerhet att avslöja hjälpande information, kommer vi att göra det för att hjälpa dig göra din egen bedömning gällande godtagbarheten i implementeringen av Office 365 eller Microsoft Dynamics CRM Online mot dina krav.

Du bör läsa de vanliga frågorna angående efterlevnad och förstå att bara för att Office 365 och Microsoft Dynamics CRM Online stödjer din organisations efterlevnad med sekretesslagar, betyder det inte att din organisation följer standarden; det kan finnas ytterligare åtgärder som du måste vidta, t.ex. att införa rätt företagspolicyer och ge de anställda utbildning i goda sekretessrutiner. Dessutom kan det, beroende på land, finnas ytterligare åtgärder som du behöver vidta för att följa lokala lagar, t.ex. registrera information hos din dataskyddsmyndighet.

 

Är kunddata som behandlas av Office 365 eller Microsoft Dynamics CRM Online registrerad hos EU-myndigheter?

Nej. Som dataprocessorer registrerar Office 365 och Microsoft Dynamics CRM Online inte de kunddata som vi behandlar åt våra kunder hos EU-myndigheter.

 

Efterlever Office 365 och Microsoft Dynamics CRM Online kraven i Health Insurance Portability and Accountability Act (HIPAA)? Kommer Microsoft att skriva under ett HIPAA avtal för affärspartner (BAA)?

Vi hjälper våra kunder att följa HIPAA och är villiga att skriva på ett HIPAA BAA med alla kunder. Se Vanliga frågor och svar om HIPAA/HITECH för mer information.

 

Efterlever Office 365 eller Microsoft Dynamics CRM Online kraven i Gramm Leach Bliley Act (GLBA)?

Office 365 och Microsoft Dynamics CRM Online hjälper kunder att följa säkerhetskraven i GLBA genom att tillhandahålla tekniska och organisatoriska skyddsåtgärder för att hjälpa kunder upprätthålla säkerheten och förhindra obehörig användning.

Microsoft kan på begäran tillhandahålla kunder en sammanfattningsrapport av en tredje parts-certifiering från en oberoende revisor.

 

Efterlever Office 365 eller Microsoft Dynamics CRM Online kraven i Payment Card Industry Data Security Standard (PCI DSS)? Kan jag lagra kreditkortsdata i er tjänst?

Office 365 och Microsoft Dynamics CRM Online stödjer inte behandling, överföring eller lagring av PCI-styrda data, t.ex. kreditkortsnummer.

PCI-standarden är inte tillämplig på Office 365 eller Microsoft Dynamics CRM Online eftersom kreditkortsbehandling och datalagring inte är en funktion som erbjuds av Office 365 eller Microsoft Dynamics CRM Online. Office 365 och Microsoft Dynamics CRM Online följer lämpliga säkerhetspolicyer och kontroller som definierats av de bästa metoderna i branschen t.ex. ISO 27001 m.fl.

Observera dock att Office 365- och Microsoft Dynamics CRM Online-systemen för beställning, fakturering och betalning som hanterar kreditkortsdata är kompatibla med Level One PCI och kunder kan använda kreditkort för att betala för tjänsten med förtroende.

 

Efterlever Office 365 kraven i FERPA?

Trots att en utbildningsinstitution har många olika skyldigheter enligt FERPA är det Microsoft som bestämmer de huvudsakliga avtalsvillkoren som styr användningen och offentliggörandet av utbildningsregister som kan lagras i Office 365, vilket låter utbildningsinstitutioner använda Office 365 som en del av en bredare FERPA-efterlevnadsstrategi.

FERPA kräver att alla utbildningsbyråer eller institutioner som får finansiering från amerikanska utbildningsdepartementet ska skydda studenternas rätt till personlig integritet genom att skydda "utbildningsregister" från användning eller offentliggörande utan medgivande. Utbildningsdepartementets vägledning klargör att e-postkommunikationer anses vara utbildningsregister som står under FERPA och att moln-e-postleverantörer borde vara lika begränsade i hur de får använda och avslöja information i e-post och filer. 

FERPA kräver att en molnleverantör går med på att "utbildningsregister" som finns i fakultets-, anställdas och student-e-post och andra elektroniska filer ska endast användas för det begränsade syftet att leverera molntjänsten och att sådan information inte blir genomsökt eller används för att stödja och upprätthålla kommersiella aktiviteter som annonsering. Microsoft ger utbildningsinstitutioner ett sätt att efterleva FERPA genom att gå med på att räknas som en "skoltjänsteman" som lyder under FERPA och har "legitima utbildningsintressen" i institutionens data, samt gå med på att följa de begränsningar och krav som FERPA lägger på skoltjänstemän. Detta inkluderar att gå med på det inte kommer att söka igenom institutionens e-post eller filer för reklamsyften.