Jaa

Vaatimustenmukaisuus ja tietosuoja

  • Artikkeli

Microsoft on sitoutunut erittäin suureen luotettavuuteen, läpinäkyvyyteen, standardien vaatimustenmukaisuuteen ja säädösten noudattamiseen. Microsoftin laajan pilvituotteiden ja -palvelujen valikoiman luonnissa on otettu alusta lähtien huomioon asiakkaiden tiukat tietosuoja- ja tietoturvavaatimukset.

Microsoft auttaa organisaatioita noudattamaan kansallisia, alueellisia ja toimialakohtaisia henkilöiden tietojen keräämistä ja käyttöä koskevia vaatimuksia toimittamalla pilvipalvelutarjoajien laajimman vaatimustenmukaisuustarjonnan (mukaan lukien sertifioinnit ja todennukset). Lisäksi järjestelmänvalvojat saavat organisaation toimintaa tukevia työkaluja. Tässä asiakirjan osassa käsitelemme tarkemmin resursseja, joiden avulla voit määrittää ja saavuttaa oman organisaatiosi vaatimukset.

Valvontakeskus

Microsoftin luottamuskeskus on resurssi, jossa on keskitetysti tietoja Microsoftin tuotevalikoimasta. Saatava on myös tietoja tietosuojasta, tietoturvasta, vaatimustenmukaisuudesta ja läpinäkyvyydestä. Vaikka tässä aiheessa voi olla joitakin Power Appsia koskevia tietoja, uusimmat viralliset tiedot on syytä aina tarkistaa Microsoftin luottamuskeskuksesta.

Lisätietoja Microsoft Power Platformin luottamuskeskuksesta on osoitteessa: https://www.microsoft.com/trust-center/product-overview. Tämä sisältää tietoja Power Appsista, Microsoft Power Automatesta ja Power BI:sta.

Tietojen sijainti

Microsoftilla on useita eri puolilla maailmaa sijaitsevia palvelinkeskuksia, jotka tukevat Microsoft Power platform -sovelluksia. Kun organisaatio muodostaa vuokraajan, se muodostaa oletusarvoisen maantieteellisen sijainnin. Kun ympäristöjä luodaan tukemaan sovelluksia ja sisältämään Microsoft Dataverse -tietoja, nämä ympäristöt voidaan lisäksi kohdistaa tietylle maantieteelliselle alueelle. Luettelo Microsoft Power Platformin tämän hetkisistä maantieteellisistä sijainnista on täällä https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Microsoft tukee toiminnan jatkuvuutta replikoimalla tietoja tarvittaessa muille maantieteellisellä alueella oleville alueille, mutta tietoja ei siirretä maantieteellisen alueen ulkopuolelle niiden vikasietoisuuden tukemiseksi. Tämä parantaa mahdollisuutta toipua tai palautua nopeammin, jos tapahtuu vakava katkos. Tietojen säilyttämiseen tietyllä maantieteellisellä alueella on joitakin kohtuullisiksi katsottavia poikkeuksia. Ne käsitellään edellä mainitussa lakiasioihin ja tukeen keskittyvässä sivustossa. On lisäksi tärkeää huomata, että omat tai käyttäjien toiminnot voivat paljastaa tietoja maantieteellisen alueen ulkopuolella. Myös muut palvelut voidaan määrittää käyttämään tietoja ja paljastamaan ne maantieteellisen alueen ulkopuolella. Valtuutetut käyttäjät voivat käyttää ympäristöä, sovelluksiasi ja tietojasi oletusarvoisesti mistä tahansa päin maailmaa, jos heillä on Internet-yhteys.

Tietosuoja

Käyttäjän laitteiden ja Microsoftin palvelinkeskusten välillä siirtyvät tiedot suojataan. Asiakkaiden ja Microsoftin palvelinkeskusten välille muodostetut yhteydet on salattu, minkä lisäksi julkiset päätepisteet suojataan toimialan mukaisella TLS-salauksella. TLS muodostaa tehokkaasti suojatan selaimen ja palvelimen välisen yhteyden. Tämä auttaa varmistamaan tietojen luottamuksellisuuden ja eheyden pöytäkoneiden ja palvelinkeskusten välillä. Ohjelmointirapapinnan käyttö asiakkaan päätepisteestä palvelimen on suojattu vastaavasti. Palvelimen päätepisteen käyttämiseen tarvitaan tällä hetkellä vähintään TLS 1.2.

Myös paikallisen tietoyhdyskäytävän kautta siirretyt tiedot salataan. Käyttäjien lataamat tiedot lähetään yleensä Azure Blob -säilöön, kun taas kaikki järjestelmässä olevat metatiedot ja artefaktit tallennetaan Azure SQL -tietokantaan ja Azure-taulukkosäilöön.

Kaikki Dataverse -tietokannan ympäristöt käyttävät SQL Serverin läpinäkyvää tietojen salausta (TDE) tietojen reaaliaikaiseen tietojen salaukseen levylle kirjoitettaessa, mitä kutsutaan myös lepäävien tietojen salaukseksi.

Microsoft tallentaa ja hallitsee oletusarvoisesti ympäristöjen tietokannan salausavaimia, joten sinun ei tarvitse huolehtia siitä. Power Platform -hallintakeskus sisältää avaimien hallintatoiminnon, jonka avulla järjestelmänvalvojat voivat hallita Dynamics 365 (online) -ympäristöön liitettyjä tietokannan salausavaimia itse. Lisätietoja omien avaimien hallinnasta on täällä. Tavallisesti on kuitenkin suositeltavaa antaa Microsoftin hallita avaimia, ellei jokin liiketoimintatarve edellytä omien avaimien hallintaa.

GDPR-yhteensopivuuden hallintaresurssit

Euroopan unionin (EU) yleisellä tietosuoja-asetuksella (GDPR) henkilöille annetaan merkittäviä tietojaan koskevia oikeuksia. Microsoft Learnin yleisen tietosuoja-asetuksen yhteenvedossa on GDPR-asetuksen yleiskatsaus mukaan lukien käytettävät termit, toimintasuunnitelma ja valmiuden tarkistusluettelot, joiden avulla voidaan toimia GDPR-velvoitteiden mukaisesti Microsoftin tuotteita ja palveluja käytettäessä.

Siinä on lisätietoja GDPR-asetuksesta sekä tavoista, joilla Microsoft tukee sitä ja asiakkaita, joita asetus koskee.

  • Microsoftin luottamuskeskuksessa on yleisiä tietoja, vaatimustenmukaisuuden parhaita käytäntöjä sekä GDPR-asetuksen vastuullisuuteen, kuten tietosuojan vaikutuksenarviointeihin, rekisteröityjen pyyntöihin ja tietoturvaloukkausilmoitukseen, liittyviä ohjeita.
  • Service Trust Portalissa on tietoja tavasta, jolla Microsoftin palvelut tukevat GDPR-asetuksen noudattamista.

Yksi järjestelmänvalvojan tärkeimmistä tietosuojaa koskevista aktiviteeteista liittyy rekisteröityjen oikeuksien (DSR) pyyntöihin. Nämä ovat virallisia rekisteröidyn rekisterinpitäjälle (kuten organisaatiollesi) tekemiä pyyntöjä käsitellä heidän järjestelmissä olevia henkilötietoja. Rekisteröidyillä on oikeus saada kopioita, pyytää korjauksia, rajoittaa tietojen käsittelyä, poistaa tietoja ja vastaanottaa kopiot sähköisessä muodossa siten, että ne voidaan siirtää toiselle rekisterinpitäjälle.

Seuraavat linkit avaavat lisätietosivuja, joiden avulla pystyt vastaamaan DSR-pyyntöihin sen perusteella, mitä toimintoja organisaatio käyttää.

Ympäristö Linkki toimintaohjeisiin
Power Apps Rekisteröityjen oikeuksien (DSR) Power Apps-asiakastietojen vientipyyntöihin vastaaminen
Dataverse Dataversen asiakastietoja koskevien rekisteröityjen oikeuksien (DSR) pyyntöihin vastaaminen
Power Automate Power Automaten rekisteröidyn pyyntöihin vastaaminen
Microsoft-tilit (MSA) Rekisteröidyn pyyntöihin vastaaminen
Asiakkaan aktivointisovellukset Rekisteröidyn tietosuojapyynnöt Dynamics 365:ssä

Microsoft 365:n tietoturva- ja yhteensopivuuskeskus

Käytä Microsoft Purview'n yhteensopivuuden hallintaa hallitaksesi Microsoftin pilvipalveluiden yhteensopivuutta yhdestä paikasta.

Power Automaten seurantalokitapahtumat

Yhteensopivuuskeskuksen seurantalokihaun avulla järjestelmänvalvojat voivat hakea ja tarkastella Power Automate -tapahtumia. Näitä tapahtumia ovat esimerkiksi luotu työnkulku, muokattu työnkulku, poistettu työnkulku, muokatut oikeudet, poistetut oikeudet, aloitettu maksettu kokeiluversio ja uudistettu maksettu kokeiluversio. Voit valita portaalissa, mitä haluat hakea ja miltä ajalta haku tehdään.

  1. Kirjaudu Microsoft Purview -yhteensopivuusportaaliin.

  2. Valitse Ratkaisut-osiosta Tarkista.

  3. Valitse Aktiviteetit-osiosta Power Automate -aktiviteetit, jotka haluat tarkistaa.

    Tarkistettavien Power Automate -aktiviteettien valinta

  4. Valitse Hae.

  5. Kun haku on suoritettu, valitse se nähdäksesi asiaan liittyvien aktiviteettien luettelon.

    Power Automate -aktiviteettien luettelo

  6. Valitse rivi luettelosta nähdäksesi aktiviteetin tiedot.

    Power Automate -aktiviteettien luettelo

Seurantatietoja säilytetään 90 päivää. CDSV-muodossa viedyt tiedot voidaan siirtää Exceliin tai PowerBI:hin lisäanalyysia varten. Seurantatietojen kattava opastus löytyy osoitteesta https://flow.microsoft.com/blog/security-and-compliance-center/