我们致力于以一种让您省心的方式来帮助您遵守您的法规要求。
我们在全球的客户受到许多不同法律法规的约束。某个国家/地区或行业中的法律要求可能与其他地方的法律要求不一致。作为一家全球云服务提供商,我们必须跨越许多客户和司法管辖区运行我们的服务,而且我们的服务必须能够提供常规的操作实践和功能。为了帮助我们的客户遵守他们自己的要求,我们在构建服务时始终考虑常规的隐私和安全性要求。但是,最终还要由我们的客户根据他们自己的要求来评估我们提供的服务,以便他们可以确定我们的服务是否满足他们的法规要求。我们致力于向客户提供有关我们的云服务的详细信息,以帮助他们进行自己的合规性评估。
安全性、审核和认证部分提供了有助于遵从法规的认证信息。
您有义务遵守您的法规义务。我们可为您提供相关信息,以帮助您做到这一点。我们承诺遵守通常适用于 IT 服务提供商的数据保护法和隐私保护法。如果您受行业或司法管辖要求的约束,则您需要对自己的遵从能力进行评估,而许多行业和地区的客户发现,只要利用 Microsoft Online Services 的方式适合他们的具体情况,他们就能够以一种始终符合适用法规要求的方式使用 Microsoft Online Services。
例如,欧盟数据保护指令所涵盖的组织应制定其自己的政策、安全和培训计划,以确保他们的人员在使用 Microsoft Online Services 服务时不会违反该指令。Microsoft Online Services 将恪守我们所作的承诺,尽到我们应尽的责任,来帮助您保持合规性。
例如,某欧盟客户可能存储了一份包含联系人信息的客户列表。Microsoft Online Services 制定了安全程序,能够确保 Microsoft 人员不会以不适当的方式访问或披露这些信息。但是,客户的某位员工(Microsoft Exchange Online 的用户)可能在未获得适当同意的情况下使用该服务将此类客户列表发送给一位营销人员。对此,我们需要说明:任何因 Microsoft Online Services 遵循客户的指示(比如,某人在正常的服务提供过程中发送电子邮件)而导致的违反欧盟数据保护要求的行为,均应由客户负责。
根据欧盟数据保护法和我们的合同协议,Microsoft Online Services 充当您数据的保管人,实际上是分包商(法律上称我们为“数据处理方”)。您(客户)对数据具有最终所有权,且根据法律规定,您有责任依法确保我们遵守相关规定,并且您向我们发送个人数据是合法的(法律上称您为“数据控制方”)。对于在您的特定情况下的业务,您必须确定您是否可以使用我们的服务来处理和存储您的个人数据。
我们在针对常规用途来设计和运行我们的服务时考虑到了欧盟数据保护指令的要求,我们会持续监控此方面的情况,以了解是否发生了与服务的发展变化相关的变化。
Microsoft 也是经欧盟和美国商务部同意的、美国安全港计划的成员。这样一来,我们就有义务遵守欧盟数据保护指令的要求,并且我们也可以将数据传输到欧盟以外的地方,以提供 Microsoft Online Services。根据美国商务部的欧盟安全港计划和几乎相同的瑞士安全港计划,Microsoft 进行了自我认证。您可在 http://safeharbor.export.gov/ 上找到 Microsoft 的安全港认证。有关将数据传输到欧盟以外的地方的详细信息,请参阅“信任中心”的“地理范围”部分。
在一些国家/地区,根据法律规定,我们还遵守有关存储敏感个人数据的安全要求。
如果您对您所在国家/地区的规定或您要存储的数据类型有疑问,或者您想更详细地了解 Microsoft Online Services 的相关措施和支持的功能,而在服务文档中又找不到这些信息,您可以与支持部门联系。如果透露有用的信息不会削弱我们的安全性,我们就会提供这样的信息,以帮助您自行决定根据您的要求实施 Microsoft Online Services 是否可行。
您应当阅读上述常见问题解答,并理解仅因为 Microsoft Online Services 使您的组织能够遵守隐私保护法并不意味着您的组织确实遵守了隐私保护法,您可能还需要采取其他措施,如制定适当的公司政策以及为员工提供良好的隐私保护措施方面的培训。此外,根据您所在的国家/地区,您可能还需要采取其他措施以遵守当地法律,如通过您的数据保护机构将信息归档。
有关详细信息,请参阅 HIPAA/HITECH 常见问题解答。
Microsoft Online Services 通过提供技术和组织方面的保护措施,帮助客户维护安全性并防止未经授权者使用,从而帮助客户遵守 GLBA 的安全要求。Microsoft 可根据请求提供由独立审核员创建的、关于第三方认证的摘要报告。
Microsoft Online Services 不支持处理、传输或存储 PCI 管理的数据,如信用卡号。PCI 标准不适用于 Microsoft Online Services,因为 Microsoft Online Services 不提供信用卡处理和数据存储功能。不过,Microsoft Online Services 致力于落实行业最佳实践(如 ISO 27001 及其他标准)规定的适用安全政策和控制措施。
但是,请注意,用于处理信用卡数据的 Microsoft Online Services 订购、帐单和付款系统符合顶级 PCI 标准,客户可使用信用卡放心地支付服务费用。
没有,Microsoft Online Services 作为数据处理方,不向欧盟机构登记其代表客户处理的客户数据。