Подготовка за нова ера в регулирането на поверителността с облака на Microsoft

Microsoft има голям опит в защитата на данните, опазването на поверителността и спазването на сложни разпоредби. Microsoft се придържа към набор от принципи за поверителност и предлага клаузи по образец на ЕС за всички клиенти. Вярваме, че общата регулация за защита на данните (ОРЗД) е важна стъпка напред в изясняването и спазването на индивидуалните права на поверителност.

С наближаването на датата на прилагане на ОРЗД, на вашата организация скоро може да се наложи да демонстрира, че е предприела подходящи стъпки за защита на личните данни на вашите клиенти, в отговор на регулаторни одити и искания за информация.

Внедряването на подходящи контроли за защита е ключова стъпка за демонстриране на отчетност. Също толкова важно е установяването на правилните процеси – например отговор на искания от субекти на данни (DSR) и изпращане на известия за нарушения, за да можете да постигнете съответствие с ОРЗД и да спечелите доверието на клиентите.

Днес анонсираме няколко нови ресурса и възможности, които могат да ви помогнат да изпълните задълженията си по ОРЗД с облака на Microsoft. Тези актуализации включват:

• Публичен предварителен преглед на нови ресурси за поверителност в облака на Microsoft.
• Нови възможности за подпомагане на DSR в различните услуги в облака на Microsoft за ОРЗД.
• Нови, готови за одит възможности за управление на привилегирован достъп в Office 365.
• Възможност един-единствен клиент на Office 365 да се разпростре в няколко центъра за данни на Office 365 в различни географски региони.

Продължете да четете за още подробности и няколко допълнителни актуализации.

Подобряване на способността ви да се справите със задълженията по ОРЗД чрез Service Trust Portal

В подкрепа на ОРЗД днес анонсираме публичния предварителен преглед на нови, свързани с ОРЗД инструменти и ресурси, включително DSR и известия за нарушаване на сигурността на личните данни, за Office 365, Dynamics 365, Azure, Windows, Intune и професионалните услуги в Service Trust Portal.

Ресурсите за ОРЗД включват документация относно известията за нарушаване на сигурността на личните данни, която описва кога и как Microsoft ще уведомява вас и други хора за нарушаване на сигурността на личните данни, каква информация Microsoft ще предоставя, както и инструментите, които можете да използвате, за да гарантирате, че правилните хора в организацията ще бъдат уведомени.

Централизирахме всички наши ресурси за DSR в една страница, предоставяща инструменти, които можете да използвате в центъра за защита и съответствие на Office 365 и в центъра за администриране на Azure, както и документи с указания как да намирате, експортирате и изтривате данни от услуга в облака на Microsoft.

Посетете Ресурси за поверителност в Service Trust Portal, за да научите повече.

Отговор на DSR в различни услуги в облака на Microsoft

За да подпомогнем DSR в различните услуги в облака на Microsoft, внедряваме няколко нови възможности, включително раздел „Поверителност на данните“ в Office 365, портал за DSR в Azure и нови възможности за търсене на DSR в Dynamics 365.

• Раздел „Поверителност на данните“ в Office 365 – За да ви помогнем да управлявате ефективно и ефикасно свързани с Office 365 искания от субекти на данни, добавихме раздела „Поверителност на данните“ (във версия за предварителен преглед) в центъра за защита и съответствие на Office 365. В раздела „Поверителност на данните“ ще намерите секция за ОРЗД, включваща документация и ресурси, които могат да ви помогнат по пътя към постигане на съответствие с ОРЗД, както и раздел, посветен на изпълнението на DSR.

Новата функция за DSR има за цел да ви предостави инструменти за създаване на случай за искане от субект на данни, търсене и прецизиране на съответните данни в местоположения на Office 365, напримерExchange, SharePoint, OneDrive, групи и вече Microsoft Teams, както и експортиране на данните.

Един сценарий за DSR, с който организациите може да се сблъскат, е когато напускащ служител поиска да му бъдат предоставени неговите лични данни. Помощ при този и други подобни сценарии оказва базираната на събития функция за задържане на данни в „Разширено управление на данни“, която вече е общодостъпна за всички клиенти на Office 365 E5.

Научете повече за раздела „Поверителност на данните в Office 365“ и съхранението на базата на събитие в разширеното управление на данни в блога на техническата общност.

За да видите как работи функцията за DSR в Office 365, гледайте видеото на Mechanics:

 

• Портал за DSR в Azure – Планираме да издадем възможността за обработка на DSR в Azure преди крайния срок за постигане на съответствие с ОРЗД, който е 25 май 2018 г. Администраторите на клиенти на Azure ще имат прост, мощен инструмент за бърза обработка на DSR за ОРЗД. С помощта на портала за DSR в Azure администраторите на клиенти могат да идентифицират информацията, свързана с даден потребител, и след това да коригират, променят, изтриват или експортират данните на потребителя. Администраторите могат също да идентифицират информация, свързана със субект на данни, и да изпълняват DSR въз основа на генерирани от системата регистрационни файлове (данни, които Microsoft генерира, за да предоставя дадена услуга).

Портал за DSR в Azure, подпомагащ обработката на DSR.

За да научите повече, посетете блога за Azure.

• Възможности за търсене на DSR в Dynamics 365 – За да помогнем на клиентите да реагират на DSR в Dynamics 365, предоставяме две нови възможности за търсене: търсене на съответствие и отчет за търсене на лице. Търсенето на съответствие ви предоставя бърз и лесен начин да намерите това, което търсите, и се поддържа от Azure Search. Отчетът за търсене на лице предлага предварително комплектован набор от разширяеми, създадени от Microsoft обекти за идентифициране на лични данни, които са използвани за идентифициране на лице и ролите, които може да са му присвоени.

Справяне с нарушения на сигурността на личните данни съгласно новите правила на ОРЗД

Съгласно ОРЗД организациите трябва да отговарят на по-строги изисквания в случай на нарушаване на сигурността на личните данни. Това включва уведомяване както на регулаторните органи, така и на засегнатите от нарушението лица – обикновено в рамките на 72 часа след узнаването за нарушението. Microsoft 365 разполага със солиден набор от възможности, които могат да помогнат за защита срещу, откриване и реагиране на нарушения на сигурността на личните данни. Например Office 365 Advanced Threat Protection (ATP) защитава екосистемата на организацията в Office 365, като предотвратява компрометирането на потребителските акаунти от злонамерени имейли или критично важни за фирмата файлове. Windows Defender ATP се фокусира върху защита на потребителските акаунти от злонамерени уеб базирани файлове или злонамерен софтуер на устройства.

Функцията за безопасни прикачени файлове на ATP блокира злонамерен прикачен файл в имейл.

В случай че Microsoft открие нарушаване на сигурността на лични данни, както е дефинирано от ОРЗД, ние ще уведомим администратора на вашия клиент. Освен това ви препоръчваме да посочите лице за връзка по въпросите, свързани с поверителността, в Azure Active Directory, което също ще бъде уведомено заедно с администраторите.

Събиране, обработка и преглед на съгласието на потребителя с Azure Active Directory

ОРЗД изисква от фирмите да могат да обработват съгласието на потребителите и да разполагат с готова за одит система за отчитане. С условията за използване на Azure Active Directory организациите вече разполагат с лесен начин за събиране, обработка и преглед на съгласието на потребителите. Можете да изискате от потребителя да прегледа и приеме условията за използване на вашата организация, преди да получи достъп до дадено приложение. ​Условията могат да са всеки документ, свързан с фирмените или юридическите правила на вашата организация.

Примерни условия за използване на Azure Active Directory с множество езици.

За да научите повече, прегледайте нашата документация за Условия за използване на Azure Active Directory.

Използване на готови за одит контроли за привилегирован достъп на администратори

Организациите искат да минимизират риска от нарушаване на сигурността на личните данни от заплахи към привилегировани акаунти, но те разбират също така, че трябва да отговарят на регулаторните органи и да предоставят документирана следа от привилегирован достъп, обхващаща начина, по който е осъществяван достъп до данните на даден клиент. За да помогнем на организациите да защитят данните си и да отговарят на тези задължения за съответствие, днес представяме нови възможности за управление на привилегирован достъп в Microsoft 365, предоставящи готови за одит контроли на достъпа, които са обвързани с времето и могат да ограничат обхвата на достъпа до данни.

С управлението на привилегирован достъп в Office 365 можете по-добре да защитите данните си чрез проследяване или прилагане на работен поток за одобрение, обхващащ високорисковите ви задачи в Office 365. Широки администраторски привилегии например позволяват на администраторите да изпълняват задачи, които им предоставят неограничен достъп до данните на организацията, като например правило за дневник, което може да изпраща имейли до външна пощенска кутия и да изтегля неоткрити поверителни данни. Управлението на привилегирован достъп в Office 365 ви позволява да прилагате правила, които изискват одобрение, преди някой да може да изпълни тези високорискови задачи. Исканията за достъп могат да бъдат одобрявани ръчно или автоматично, а цялата тази дейност се регистрира и може да бъде проверена. Гледайте това видео, за да научите повече:

Въодушевени сме от разпространяването на версията за предварителен публичен преглед на функцията за управление на привилегирован достъп в Office 365. За да започнете, посетете страницата Office Previews (въведете кода PAM044) и след това прочетете подробния блог на техническата общност.

Отговаряне на изискванията за глобално разположение на данните

Все по-често държавни, други регулаторни и корпоративни изисквания за съответствие предписват указания за разположение на данните за справяне с проблемите, свързани с поверителността. Тези указания ограничават свободния поток на информация през границите и изискват данните на организацията да се съхраняват в определени географски региони. Макар че ОРЗД не постановява задължително разположение на данните, много клиенти ни казват, че имат нужда от гъвкавостта да съхраняват данните си в избран географски регион, за да отговорят на регионални, отраслови или организационни изисквания за разположение на данните.

Multi-Geo Capabilities позволяват на един-единствен клиент на Office 365 да се разпростре в няколко центъра за данни на Office 365 в различни географски региони и осигуряват на клиентите начин да съхраняват своите данни на Office 365 на база служител в избран от тях географски регион. Multi-Geo са вече пуснати за Exchange Online и OneDrive за бизнеса. Прочетете „Получаване на контроли за глобални местоположения на данните чрез Multi-Geo Capabilities в Office 365„, за да научите повече.

Тръгнете още днес по пътя към постигане на съответствие с ОРЗД заедно с облака на Microsoft

Независимо докъде сте стигнали в усилията си да изпълните изискванията на ОРЗД, ние сме тук, за да ви помогнем по пътя към съответствието с ОРЗД, и разполагаме с няколко налични ресурса, които могат да ви помогнат да започнете още днес:

• Изтеглете нашия безплатен технически документ и електронна книга.
• Преминете през нашата безплатна онлайн оценка за ОРЗД.

Научете повече как Microsoft може да ви помогне да се подготвите за ОРЗД.

– Алим Раяни, директор на Microsoft 365