Условия конфиденциальности и безопасности
Общие положения
Условия конфиденциальности и безопасности ранее содержались в Приложении 1 к Условиям использования веб-служб.
В Дополнении к положениям по защите данных, сокращенно DPA (см. определение в Глоссарии), изложены обязательства сторон в отношении обработки и безопасности Данных клиента, Профессиональных данных службы и Персональных данных по Продуктам. Дополнение о защите данных можно загрузить по адресу https://aka.ms/DPA. В случае какого-либо несоответствия между условиями DPA и условиями лицензионного соглашения Клиента (в том числе настоящих условий) документ DPA имеет преимущественную силу.
Веб-службы, исключенные из DPA
За исключением случаев, предусмотренных в Условиях для конкретного продукта, условия DPA не применяются к следующему: Bing Maps Mobile Asset Management Platform, Bing Maps Transactions and Users, Службы поиска Bing, Службы ИИ Azure в контейнерах, установленные на выделенном оборудовании Клиента, Microsoft Copilot с защитой коммерческих данных (ранее Bing Chat Enterprise), предложения GitHub, LinkedIn Sales Navigator, Microsoft Defender для Интернета вещей (за исключением любых подключенных к облаку функций), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, подключение к данным Microsoft Graph для независимых поставщиков ПО, Microsoft Genomics и служба тестирования Visual Studio App Center. На каждую из этих веб-служб распространяются правила конфиденциальности и безопасности, изложенные в соответствующих Условиях для конкретного продукта.
Исключенные из DPA программные Продукты
За исключением случаев, предусмотренных в Условиях для конкретного продукта, условия DPA не применяются к следующему: Интернет-функции в Программных продуктах, операционной системе Windows для настольных ПК, Windows Server и этих Программных продуктах в рамках других Продуктов. На каждый из этих Продуктов распространяются правила конфиденциальности и безопасности, изложенные в соответствующих Условиях для конкретного продукта.
Продукты, производимые не Microsoft
Отдельные условия, в том числе различные условия конфиденциальности и безопасности, регулируют использование Клиентом Продуктов, производимых не Microsoft (в соответствии с определением в Универсальных условиях лицензирования для веб-служб).
Исключения из условий DPA для географических регионов
В отношении веб-служб Dynamics 365 и Power Platform конкретные условия DPA, приведенные в Приложении A, содержащие следующий текст: «Microsoft хранит копии Данных клиента и процедуры восстановления данных не там, где находится основное компьютерное оборудование, на котором производится обработка Данных клиента», не применяются к следующим географическим регионам: Объединенные Арабские Эмираты и ЮАР.
Базовые веб-службы
Понятие «Базовые веб-службы» применяется только к службам в таблице ниже, исключая любые Предварительные выпуски.
| Веб-службы | |
|---|---|
| Microsoft Dynamics 365 Core Services | Следующие службы, каждая из которых используется как самостоятельная служба или входит в план или приложение с фирменным наименованием «Dynamics 365»: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations и Dynamics 365 Sales. К службам Dynamics 365 Core Services не относятся (1) службы Dynamics 365 для поддерживаемых устройств и программного обеспечения, включая, среди прочего, Dynamics 365 для приложений, планшетов и (или) телефонов; (2) LinkedIn Sales Navigator; (3) службы с отдельным фирменными наименованиями, которые предоставляются вместе со службами Dynamics 365 Core Services или связаны с ними, если в условиях лицензирования для соответствующих служб явно не предусмотрено иное. |
| Службы Office 365 | Следующие службы, каждая из которых используется как самостоятельная служба или входит в план или набор с товарным знаком «Office 365» или «Microsoft 365»: Кортана, Customer Lockbox, Архивация на базе Exchange Online, Защита Exchange Online, Exchange Online, Microsoft Bookings, Microsoft Forms, Планировщик Microsoft, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender для Office 365, Office для Интернета, OneDrive для бизнеса, Project, SharePoint, Sway, Viva Insights, Доска, Yammer Enterprise и Microsoft Copilot для Microsoft 365. Службы Office 365 не включают Приложения Microsoft 365 для предприятий, любые части службы ТСОП, работающей не под контролем Microsoft, любое клиентское программное обеспечение и любые службы с отдельными фирменными наименованиями, доступные в рамках плана или набора, фирменное наименование которого включает «Office 365» или «Microsoft 365», например, Bing или службы с фирменным наименованием «для Office 365». |
| Службы портала «Соответствие требованиям Microsoft 365» | Следующие службы, каждая из которых используется как самостоятельная служба или входит в план или набор с фирменным наименованием «Microsoft 365»: Microsoft Purview Customer Lockbox, Предотвращение потери данных Microsoft Purview, Ключ клиента Microsoft Purview, Управление жизненным циклом данных Microsoft Purview, Информационные барьеры Microsoft Purview, Управление привилегированным доступом Microsoft Purview, Диспетчер соответствия требованиям Microsoft Purview, Защита информации Microsoft Purview, Управление информацией Microsoft, Microsoft Purview - управление внутренними рисками, Соответствие требованиям к обмену данным Microsoft Purview, Управление записями Microsoft Purview, Microsoft Purview eDiscovery, а также Аудит Microsoft Purview, Управление рисками информационной безопасности Microsoft Priva и Запросы субъектов данных Microsoft Priva. |
| Службы Microsoft Azure Core | ИИ Azure, Azure Active Directory B2C, Детектор аномалий, Службы управления API, Служба приложений (Приложения API, Logic Apps, Мобильные приложения, WebJobs, Функции), Службы лабораторий, Шлюз приложений, Azure Monitor, Служба автоматизации, Azure API для FHIR, Конфигурация приложений Azure, Служба Azure AI Bot, Кэш Azure для Redis, Azure AI Search, Контейнеры приложений Azure, Экземпляры контейнеров Azure, Реестр контейнеров Azure (ACR), Azure Cosmos DB, Azure Data Explorer, База данных Azure для MySQL, База данных Azure для PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Сетка событий Azure, Microsoft Fabric, Azure Firewall, Служба анализа документов на основе ИИ Azure, Azure Health Data Services, Иммерсивное средство чтения на основе ИИ Azure, Служба Azure Kubernetes, Azure Managed Grafana, Машинное обучение Azure, Помощник по метрикам на основе ИИ Azure, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Карта данных Microsoft Purview, Каталог данных Microsoft Purview, Аналитика данных Microsoft Purview, Политики данных Microsoft Purview, Общий доступ к данным Microsoft Purview, Диспетчер ресурсов Azure, Приложения Azure Spring, Аналитика временных рядов Azure, Azure AI Video Indexers, Azure Web PubSub, Служба резервного копирования, Пакетная служба, Облачные службы, Компьютерное зрение, Content Moderator, Azure AI Custom Vision, Фабрика данных, Data Lake Analytics, Data Lake Store, Центры событий, Express Route, Распознавание лиц, HDInsight, Импорт и экспорт, Центр Интернета вещей, Key Vault, Распознавание речи, Load Balancer, Студия машинного обучения Azure (классическая), Службы мультимедиа, Портал Microsoft Azure, Центры уведомлений, Персонализатор на основе ИИ Azure, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Служебная шина, Service Connector, Service Fabric, Служба Azure SignalR, Site Recovery, Speech Services, База данных SQL, Управляемый экземпляр SQL, SQL Server Stretch Database, Хранилище, StorSimple, Stream Analytics, Synapse Analytics, Анализ текста, Диспетчер трафика, Переводчик на основе ИИ Azure, Виртуальные машины, Наборы масштабирования виртуальных машин, Виртуальная сеть и VPN-шлюз. |
| Microsoft Defender for Cloud Apps | Часть облачной службы Microsoft Defender for Cloud Apps (ранее Microsoft Cloud App Security). |
| Веб-службы Microsoft Intune | Часть Microsoft Intune, являющаяся облачными службами. |
| Основные службы Microsoft Power Platform | Следующие службы, каждая из которых используется как самостоятельная служба или входит в план или набор с товарным знаком «Office 365» или «Microsoft Dynamics 365»: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages и Microsoft Copilot Studio. Основные службы Microsoft Power Platform не включают какого-либо клиентского ПО, в том числе, помимо прочего, сервер отчетов Power BI, мобильные приложения Power BI, Power Apps и Microsoft Power Automate, Power BI Desktop и Power Apps Studio. |
| Службы Microsoft Defender для конечной точки | Часть Microsoft Defender для конечной точки, являющаяся облачными службами. |
| Microsoft Defender для удостоверений | Часть Microsoft Defender для удостоверений, являющаяся облачными службами. |
| Microsoft Defender XDR | Часть Microsoft Defender XDR, являющаяся облачными службами. |
| Windows 365 | Часть облачной службы Windows 365, за исключением операционной системы Windows, работающей на облачных ПК с Windows 365. |
Методики и политики обеспечения безопасности для Базовых веб-служб
Помимо методик и политик обеспечения безопасности для веб-служб, изложенных в DPA, каждая Базовая веб-служба также соответствует стандартам и моделям контроля, перечисленным в приведенной ниже таблице. Кроме того, в каждой из этих служб реализованы и используются меры безопасности, изложенные в Приложении А к документу DPA для защиты Данных клиента.
| Веб-служба | SSAE 18 SOC 1, тип II | SSAE 18 SOC 2, тип II |
|---|---|---|
| Службы Office 365 | Да | Да |
| Службы портала «Соответствие требованиям Microsoft 365» | Да | Да |
| Microsoft Dynamics 365 Core Services | Да | Да |
| Службы Microsoft Azure Core | Возможны различные количества* | Возможны различные количества* |
| Microsoft Defender for Cloud Apps | Да | Да |
| Веб-службы Microsoft Intune | Да | Да |
| Основные службы Microsoft Power Platform | Да | Да |
| Службы Microsoft Defender для конечной точки | Да | Да |
| Microsoft Defender для удостоверений | Да | Да |
| Microsoft Defender XDR | Да | Да |
| Windows 365 | Да | Да |
* Текущий объем подробно описан в отчете о проверке и обобщен в Центре управления безопасностью Microsoft.
Расположение неактивных Данных клиента для Базовых веб-служб
В рамках предоставления Базовых веб-служб Microsoft будет хранить неактивные Данные клиента в определенных основных географических областях (каждая — «Геообъект»), как указано ниже, с учетом исключений, предусмотренных Условиями использования конкретных веб-служб.
- Службы Office 365. Если Клиент создает свою учетную запись (клиент) в Австралии, Бразилии, Германии, ЕС, Индии, Канаде, Катаре, Норвегии, Объединенных Арабских Эмиратах, Соединенном Королевстве, США, Франции, Швейцарии, Швеции, Южно-Африканской Республике, Южной Корее или Японии, Microsoft хранит указанные далее неактивные Данные клиента только в соответствующем Геообъекте: (1) содержимое почтового ящика Exchange Online (текст сообщений электронной почты, записи календаря и содержимое вложений электронной почты); (2) содержимое сайта SharePoint Online и файлы, хранящиеся на этом сайте; (3) файлы, загруженные в OneDrive для бизнеса; (4) сообщения чата Microsoft Teams (включая личные сообщения, сообщения канала, сообщения собраний и изображения, используемые в чатах), а также для клиентов, использующих Microsoft Stream (Classic) (на SharePoint), — записи собраний и (5) любое сохраненное содержимое взаимодействий с Microsoft Copilot для Microsoft 365 в том объеме, который не включен в предыдущие обязательства. Если Клиент приобретает подписку на Расширенное размещение данных, Microsoft будет хранить определенные Данные клиента в неактивном состоянии в соответствующем географическом регионе в соответствии с этим разделом и разделом «Обзор Расширенного размещения данных и обязательств» в документации по продукту по адресу https://aka.ms/adroverview.
- Веб-службы Microsoft Intune. Если Клиент создает пользовательскую учетную запись Microsoft Intune для развертывания в доступном Географическом регионе, то для этой службы Microsoft будет хранить неактивные Данные клиента в этом конкретном регионе. Исключение составляют случаи, описанные в Центре управления безопасностью Microsoft Intune.
- Основные службы Microsoft Power Platform. Если Клиент предоставляет Power Platform Core Service для развертывания в доступном Географическом регионе, то для этой службы Microsoft будет хранить неактивные Данные клиента в этом конкретном регионе. Исключение составляют случаи, описанные в Центре управления безопасностью Microsoft Power Platform.
- Службы Microsoft Azure Core. Если Клиент настраивает ту или иную службу так, чтобы она размещалась в пределах определенной географической области, в этом случае Microsoft для этой службы будет хранить неиспользуемые Данные клиента в указанной географической области. Определенные службы могут не разрешать настройку развертывания в определенном Географическом регионе или за пределами США, а также могут сохранять резервные копии в других расположениях. Дополнительные сведения представлены в Центре управления безопасностью Microsoft (который Microsoft может время от времени обновлять, не добавляя исключения для существующих Служб в общем выпуске).
- Microsoft Defender for Cloud Apps. Если Клиент создает пользовательскую учетную запись в ЕС или Соединенных Штатах, Microsoft хранит Неактивные данные клиента только в этом Географическом регионе. Исключение составляют случаи, описанные в Центре управления безопасностью Microsoft Defender for Cloud Apps.
- Microsoft Dynamics 365 Core Services. Если Клиент предоставляет Dynamics 365 Core Service для развертывания в доступном Географическом регионе, то для этой службы Microsoft будет хранить неактивные Данные клиента в этом конкретном регионе. Исключение составляют случаи, описанные в Центре управления безопасностью Microsoft Dynamics 365.
- Службы Microsoft Defender для конечной точки. Если Клиент создает клиента службы Microsoft Defender для конечной точки, чтобы развернуть его в доступном Географическом регионе, то для этой службы Microsoft будет хранить неактивные Данные клиента в этом конкретном регионе. Исключение составляют случаи, описанные в Центре управления безопасностью Microsoft Defender для конечной точки.
- Microsoft Defender для удостоверений. Если Клиент создает клиента службы Microsoft Defender для удостоверений, чтобы развернуть его в доступном Географическом регионе, то для этой службы Microsoft будет хранить неактивные Данные клиента в этом конкретном регионе. Исключение составляют случаи, описанные в Центре управления безопасностью Microsoft Defender для удостоверений.
- Microsoft Defender XDR. Если Клиент создает клиента службы Microsoft Defender XDR, чтобы развернуть его в доступном Географическом регионе, то для этой службы Microsoft будет хранить неактивные Данные клиента в этом конкретном регионе. Исключение составляют случаи, описанные в Центре управления безопасностью Microsoft Defender XDR.
- Windows 365. Когда клиент Windows 365 развертывается в доступном географическом регионе, для этого арендатора Microsoft будет хранить неактивные данные клиента в этом указанном географическом регионе. Если Клиент подготавливает облачные ПК с Windows 365 у одного и того же клиента к разным доступным географическим регионам, то для каждого облачного ПК Microsoft будет хранить неактивные данные клиента облачного ПК в указанном географическом регионе.
Службы в границах данных ЕС
Термин «Граница данных ЕС» означает компьютеры Microsoft, вычислительную среду и физические центры обработки данных, расположенные исключительно в Европейском союзе (ЕС) и Европейской ассоциации свободной торговли (ЕАСТ). Понятие «Службы в границах данных ЕС» применяется только к веб-службам в таблице ниже, исключая любые Предварительные выпуски.
| Службы в границах данных ЕС | |
|---|---|
| Azure | Службы Azure, обеспечивающие развертывание в регионе в пределах границы данных ЕС, и следующие нерегиональные службы: Azure Active Directory B2C, Помощник по Azure, Служба Azure Bot, Cloud Shell, Службы связи Azure, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Служба Azure Kubernetes на Azure Stack DNS, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Виртуальный рабочий стол Azure, Azure VM Image Builder, Power BI Embedded, диспетчер трафика, переводчик |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Кортана, Customer Lockbox, Exchange Online, Архивация на базе Exchange Online для Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Планировщик Microsoft, Microsoft StaffHub, Microsoft Stream (Classic) (на базе SharePoint), Microsoft Teams, Microsoft To-Do, Office для Интернета, веб-службы, предоставляемые в составе приложений Microsoft 365, OneDrive для бизнеса, SharePoint Online, Sway, Доска, Yammer корпоративный, Microsoft Copilot для Microsoft 365, комплаенс коммуникаций, обнаружение и аудит электронных данных, управление внутренними рисками, информационные баннеры, предотвращение потери данных Microsoft Purview, Microsoft Intune, управление рисками конфиденциальности Priva, управление правами субъекта Priva, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Copilot for Sales и Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Расположение данных клиентов для Служб в границах данных ЕС
Для Служб в границах данных ЕС Microsoft будет хранить и обрабатывать Данные клиента и Персональные данные в границы данных ЕС, как подробно указано ниже.
Клиент должен настроить Службы в границах данных ЕС следующим образом:
- Для Azure Клиент должен развернуть службу в регионе Azure, расположенном в пределах границы данных ЕС. Подробнее см. в разделе «Размещение данных в Azure» (https://azure.microsoft.com/explore/global-infrastructure/data-residency). В случае служб, которые не допускают развертывания в указанном регионе Azure, Клиент должен следовать инструкциям в разделе «Настройка нерегиональных служб Azure для границы данных ЕС» (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Для Dynamics 365 и Power Platform, если Клиент предоставляет арендатору платежный адрес в ЕС или ЕАСТ, этот арендатор будет подпадать под действие границы данных ЕС, если Заказчик также создает все свои среды в географической области внутри границы данных ЕС.
- В случае Microsoft 365, если Клиент подготавливает клиента в ЕС или ЕАСТ, этот клиент будет находиться в сфере действия границы данных ЕС, за исключением тех клиентов, для которых Клиент также приобрел надстройку Microsoft 365 Multi-Geo Capabilities , которая позволяет клиентам расширять присутствие клиента Microsoft 365 на несколько географических регионов или стран (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Использование Служб в границе данных ЕС может привести к ограниченной передаче Данных клиентов или Персональных данных за пределы границы данных ЕС, как указано ниже и более подробно описано в документации о прозрачности для границы данных ЕС, расположенной по адресу https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn или по заменившему его адресу. Любая такая передача будет осуществляться в соответствии с Приложением о защите данных и Условиями продукта.
- Удаленный доступ. Персонал Microsoft, находящийся за пределами границы данных ЕС, может удаленно получать доступ к системам обработки данных в границах данных ЕС, если это необходимо для работы, устранения неполадок и защиты служб границы данных ЕС.
- Передачи, инициированные клиентом. Клиенты могут инициировать передачу за пределы границы данных ЕС, например, путем доступа к службам границы данных ЕС из мест за пределами границы данных ЕС, отправки электронного письма получателю, находящемуся за пределами границы данных ЕС, или использования служб границы данных ЕС в сочетании с другими службами за пределами границ данных ЕС.
- Защита клиентов. Microsoft передает ограниченное количество данных за пределы границ данных ЕС, если это необходимо для обнаружения угроз безопасности и защиты Клиентов от них.
- Данные каталога. Microsoft может реплицировать ограниченные данные каталога Microsoft Entra из Microsoft Entra ID (включая имя пользователя и адрес электронной почты) за пределы границ ЕС для предоставления сервиса.
- Сетевой транзит. Чтобы уменьшить задержку маршрутизации и обеспечить отказоустойчивость маршрутизации, Microsoft использует переменные сетевые пути, которые иногда могут приводить к передаче данных за пределы границы данных ЕС.
- Качество и управление Службами и Платформой. При необходимости для контроля и поддержки качества обслуживания или обеспечения точности статистических показателей использования служб или производительности псевдонимизированные Персональные данные могут передаваться за пределы границ данных ЕС.
- Передачи для конкретных служб. См. документацию о прозрачности, указанную выше, для получения информации о передаче, применимой к определенным службам границ данных ЕС.