תאימות ופרטיות נתונים

Microsoft מחויבת לרמות הגבוהות ביותר של אמון, שקיפות, תאימות לסטנדרטים וציות לתקנות. החבילה הרחבה של מוצרי ושירותי הענן של Microsoft בנויים כולם מהיסוד כדי לתת מענה לדרישות האבטחה והפרטיות המחמירות ביותר של לקוחותינו.

כדי לסייע לארגון שלך לעמוד בדרישות לאומיות, אזוריות ותעשיות הנוגעות לאיסוף ושימוש בנתונים של אנשים, Microsoft מספקת את המערך המקיף ביותר של הצעות תאימות (כולל אישורים ותעודות) של כל ספק שירותי ענן. ישנם גם כלים למנהלי מערכת לתמיכה במאמצי הארגון שלך. בחלק זה של המסמך, נסקור ביתר פירוט את המשאבים הזמינים שיעזרו לך לקבוע ולעמוד בדרישות הארגון שלך.

מרכז יחסי האמון

מרכז יחסי האמון של Microsoft (https://www.microsoft.com/trustcenter) הוא משאב מרכזי לקבלת מידע על תיק המוצרים של Microsoft. זה כולל מידע על אבטחה, פרטיות, תאימות ושקיפות. על אף שתוכן זה עשוי להכיל תת-קבוצה של מידע זה עבור Power Apps, חשוב תמיד לעיין במרכז יחסי האמון של Microsoft לקבלת המידע המוסמך העדכני ביותר.

לעיון מהיר, ניתן למצוא את המידע של מרכז האמון עבור Microsoft Power Platform כאן: https://www.microsoft.com/trust-center/product-overview. הוא יכלול מידע על Power Apps, על Microsoft Power Automate ועל Power BI.

מיקום נתונים

Microsoft מפעילה מרכזי נתונים מרובים ברחבי העולם התומכים ביישומי Microsoft Power Platform. כאשר הארגון שלך מקים דייר, הוא קובע את מיקום ברירת המחדל הגיאוגרפי (גיאו). בנוסף, בעת יצירת סביבות לתמיכה ביישומים ולהכללת נתוני Microsoft Dataverse, ניתן לסמן את הסביבות עבור אזור גיאוגרפי ספציפי. רשימה נוכחית של אזורים גיאוגרפים עבור Microsoft Power Platform ניתן למצוא כאן https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

כדי לתמוך ברצף הפעולות, Microsoft עשויה לשכפל נתונים לאזורים גיאוגרפיים אחרים, אך הנתונים לא יעברו מחוץ לאזור הגיאוגרפי כדי לתמוך בעמידות הנתונים. הוא תומך ביכולת להיכשל או להתאושש במהירות רבה יותר במקרה של הפסקת פעולה חמורה. ישנם כמה חריגים סבירים לשמירת נתונים באזור הגיאוגרפי הספציפי המופיעים באתר לעיל, המתמקדים בעיקר בתחום המשפטי והתמיכה. חשוב גם לציין שאתה או המשתמשים שלך יכולים לנקוט בפעולות שחושפות נתונים מחוץ לאזור גיאוגרפי. ניתן להגדיר גם שירותים אחרים לגישה לנתונים ולחשיפתם מחוץ לאזור גיאוגרפי. כברירת מחדל, משתמשים מורשים יכולים לגשת לפלטפורמה וליישומים והנתונים שלך מכל מקום בעולם שבו קיימת קישוריות.

הגנה על נתונים

נתונים בזמן שהם עוברים בין התקני משתמש למרכזי הנתונים של Microsoft מאובטחים. חיבורים שנוצרו בין לקוחות למרכזי נתונים של Microsoft מוצפנים, וכל נקודות הקצה הציבוריות מאובטחות באמצעות התקן התעשייתי TLS. TLS מקים ביעילות חיבור דפדפן-לשרת עם אבטחה משופרת כדי להבטיח סודיות ותקינות של נתונים בין מחשבים שולחניים ומרכזי נתונים. גישת API מנקודת קצה של לקוח לשרת מוגנת גם היא באופן דומה. נכון לעכשיו, נדרש TLS 1.2 (ומעלה) לגישה לנקודות הקצה של השרת.

נתונים המועברים דרך שער הנתונים המקומי מוצפנים גם הם. נתונים שמשתמשים מעלים נשלחים בדרך כלל לאחסון Azure Blob, וכל המטה-נתונים והתוצרים‬ עבור המערכת עצמה נשמרים במסד נתונים Azure SQL ובאחסון Azure Table.

כל הסביבות של יישומי Dataverse משתמשות בהצפנת נתונים שקופה (TDE) של SQL Server כדי לבצע הצפנה בזמן אמת של נתונים כשהם נכתבים לדיסק, פעולה הידועה גם כהצפנה במנוחה.

כברירת מחדל, Microsoft מאחסנת ומנהלת את מפתחות ההצפנה של מסד הנתונים עבור הסביבות שלך כך שאינך נדרש לעשות זאת בעצמך. התכונה 'ניהול מפתחות' במרכז הניהול של Power Platform מעניקה למנהלי המערכת את היכולת לנהל בעצמם את מפתחות ההצפנה של מסד הנתונים המשוייכים לסביבות של Dynamics 365 (online). תוכל לקרוא עוד על ניהול מפתחות משלך כאן, אך בדרך כלל מומלץ ש- Microsoft תנהל את המפתחות אלא אם כן יש לך צורך עסקי ספציפי לתחזק אותם בעצמך.

משאבים לניהול ציות ל- GDPR

התקנה הכללית להגנה על נתונים של האיחוד האירופי (GDPR) היא אחת מהתקנות החדשות ביותר בנושא פרטיות שנחקקה, המעניקה זכויות לאנשים לנהל את הנתונים האישיים שלהם. בחלק זה, נסקור כמה מהכלים והמשאבים הזמינים עבור Microsoft Power Platform המסייעים למנהלי מערכת במאמציהם לציית לתקנה GDPR. חלק מהמשאבים והכלים האלה עשויים גם לעזור לך במשימות נוספות הקשורות לפרטיות נתונים, שאינן קשורות ישירות ל- GDPR. דיון מלא ב- GDPR הוא מעבר לתחום של תוכן זה, אולם בחלק זה נתמקד בכלים ובמשאבים לתמיכה במאמציך. בנוסף, ל- Microsoft יש נושא במרכז יחסי האמון המוקדש למידע ולמשאבי GDPR ושיכולים להועיל. אתה יכול למצוא את זה כאן https://www.microsoft.com/TrustCenter/Privacy/gdpr/default.aspx

ראשית, נסקור בכמה מהמונחים של GDPR החשובים בהקשר זה:

מונח רלוונטיות
נושא נתונים GDPR מזהה אנשים כנושאי נתונים. זה הנתונים האישיים שלהם שאולי נאספו על ידי הארגון שלך בעת העסקת האדם או אינטראקציה כלשהי שאוספת את הנתונים האישיים שלהם
בקר נתונים ארגונים שאוספים ומעבדים נתונים לצרכים שלהם
מעבד נתונים ארגונים המעבדים נתונים בשם אחרים
נתונים אישיים כל מידע הקשור לאדם מזוהה או אדם הניתן לזיהוי.‬

בתור מנהל מערכת, אחת הפעילויות העיקריות התומכות ב- GDPR תהיה קשורה לבקשות של נושא זכויות נתונים (DSR). אלה הן בקשות רשמיות של נושא נתונים לבקר נתונים (ככל הנראה, הארגון שלך) לבצע פעולה בנתונים האישיים שלהם במערכות שלך. GDPR מעניק זכויות לנושאי נתונים לקבל עותקים, לבקש תיקונים, להגביל עיבוד הנתונים, למחוק נתונים ולקבל עותקים בתבנית אלקטרונית כך שניתן יהיה להעביר אותם לבקר נתונים אחר.

הקישורים הבאים מצביעים על מידע מפורט שיעזור לך להיענות לבקשות DSR בהתאם לתכונות שבהן הארגון שלך משתמש.

אזור תכונות הפלטפורמה קישור לשלבי תגובה מפורטים
‏‏Power Apps תגובה ל‏‫בקשות של זכויות נושא נתונים (DSR) לייצוא נתוני לקוח ב- Power Apps
Dataverse תגובה ל‏‫בקשות של זכויות נושא נתונים (DSR) עבור נתוני לקוח ב- Dataverse
Power Automate ‎תגובה לבקשות למחיקת נתוני GDPR עבור Power Automate
חשבונות Microsoft (MSA) מענה לבקשות זכויות נושא נתוני GDPR‏ (DSRs)
יישומי Customer Engagement בקשות נושא נתונים ב- Dynamics 365 עבור GDPR ו- CCPA

מרכז האבטחה והתאימות של Microsoft 365

מנהל התאימות של Microsoft יכול גם להועיל לך ביהול מאמצי הציות שלך בכל שירותי הענן של Microsoft במקום אחד. פרטים נוספים על מנהל התאימות ניתן למצוא כאן https://aka.ms/compliancemanager.

אירועי Power Automate ביומן ביקורת

בחיפוש ביומן הביקורת שבמרכז התאימות, מנהלי מערכת יכולים כעת לחפש ולהציג אירועי Power Automate. האירועים כוללים זרימה שנוצרה, זרימה שנערכה, זרימה שנמחקה, הרשאות שנערכו, הרשאות שנמחקו, התחלת גרסת ניסיון בתשלום, חידוש גרסת ניסיון בתשלום. באמצעות הפורטל תוכל לבחור מה ברצונך לחפש וחלון זמן.

אירועי יומן ביקורת של Power Automate.

מתוצאות השאילתה שהתקבלו, בעת הסתעפות לפריט, אתה מקבל דף פרטים עם מידע מהסוג הבא.

פרטים של אירועי יומן ביקורת של Power Automate.

המידע האמיתי הטוב נובע מלחיצה על 'מידע נוסף' והסתעפות לדף הפרטים האמיתיים:

מידע נוסף על פרטי אירועי יומן ביקורת של Power Automate.

נתוני הביקורת נשמרים למשך 90 יום. אתה יכול לבצע ייצוא של CDSV של הנתונים, מה שמאפשר לך להעביר אותם ל- Excel או PowerBI לצורך ניתוח נוסף. תוכל למצוא הדרכה מלאה לשימוש במידע הביקורת כאן https://flow.microsoft.com/blog/security-and-compliance-center/