Поддержка программы GDPR с контрольными списками готовности к подотчетности

Общий регламент по защите данных (GDPR) вводит новые правила для организаций, предоставляющих товары и услуги жителям Европейского союза (ЕС) или занимающихся сбором и анализом данных резидентов ЕС, независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения можно найти в разделе Сводка по GDPR.

Контрольные списки готовности к подотчетности

Контрольные списки готовности к подотчетности — удобный способ получения доступа к информации, необходимой для соблюдения требований GDPR при использовании продуктов и служб Майкрософт. В контрольных списках перечислены потенциальные обязательства в рамках GDPR и приведены ссылки на информацию, которую можно использовать для обеспечения соответствия организации требованиям.

Существует специальное руководство для четырех семейств продуктов и служб Майкрософт:

Вы можете управлять элементами этого контрольного списка в диспетчере соответствия требованиям, ориентируясь на идентификаторы и названия контрольных точек в списке Customer Managed Controls (Контрольные точки под управлением клиента) на плитке GDPR.

Контрольные списки включают четыре основные категории рекомендаций для программы конфиденциальности в рамках GDPR, перечисленные ниже с примерами требований.

  1. Условия сбора и обработки данных

    • Когда получено согласие?
    • Определение и документирование цели
    • Оценка влияния на конфиденциальность
  2. Права субъектов данных

    • Определение информации для субъектов личных сведений (субъектов данных)
    • Предоставление механизма для изменения или отзыва согласия
  3. Конфиденциальность, предусмотренная по умолчанию

    • Ограничение сбора данных
    • Соблюдение уровней идентификации
    • Временные файлы
  4. Защита данных и безопасность

    • Общие сведения об организации и ее контексте
    • Планирование
    • Политики информационной безопасности

Клиентские договора

  • Условия использования веб-служб. Договорные обязательства корпорации Майкрософт в отношении GDPR указаны в документе Условия использования веб-служб.
  • Условия использования продуктов Майкрософт. Корпорация Майкрософт выполняет обязательства, указанные в условиях GDPR, в отношении всех клиентов с корпоративным лицензированием.
  • Приложение о защите данных. Обязательства, касающиеся служб Майкрософт, распространяются на клиентов консультационных служб Майкрософт и других клиентов.

Средства контроля соответствия требованиям GDPR

  • Применение диспетчера соответствия требованиям. Просматривайте и внедряйте средства контроля, которые корпорация Майкрософт использует для поддержки обязательств, накладываемых GDPR, с помощью диспетчера соответствия требованиям.
  • Сопоставление средств контроля GDPR. Воспользуйтесь комплексным сопоставлением средств контроля Майкрософт с обязательствами по GDPR.

Записи обработки для обработчиков

В связи с масштабом и охватом веб-служб, предоставляемых нами в качестве обработчиков для наших управляющих клиентов, мы ожидаем, что клиенты определят службы, для которых они ищут записи обработки, и извлекут соответствующие журналы в наших сетевых средствах. Одним из примеров являются записи обработки для Azure, в которых клиентам потребуется определить, записи о каких типах действий обработки они ищут.

Журналы Azure

Как правило, клиенты интересуются журналами активности и, возможно, журналами диагностики:

  • Журналы действий. Журналы действий предоставляют аналитику об операциях, выполненных над ресурсами в подписке. Журналы действий помогают определить инициатора, время возникновения и состояние операции.
  • Журналы диагностики. Журналы диагностики — это все журналы, созданные каждым ресурсом. К ним относятся журналы системных событий Windows, журналы хранилища Azure, журналы аудита Key Vault, а также журналы доступа к шлюзу приложения и брандмауэра.
  • Архивация журналов. Все журналы диагностики записываются в централизованную зашифрованную учетную запись хранения Azure для архивации. Хранение настраивается пользователем на срок до 730 дней, чтобы соблюдать требования к хранению в конкретной организации. Эти журналы подключаются к журналам Azure Monitor для обработки, хранения и создания отчетов панели мониторинга.

Другие журналы

Кроме того, в рамках этой архитектуры устанавливаются следующие решения для мониторинга. Настройка этих решений для соответствия средствам контроля безопасности FedRAMP находится в ведении клиента:

  • Оценка AD. Решение проверки работоспособности Active Directory регулярно оценивает риски и работоспособность сред сервера и предоставляет список рекомендаций (с приоритетами), относящийся к развернутой сетевой инфраструктуре.
  • Оценка защиты от вредоносных программ. Решение для защиты от вредоносных программ сообщает о вредоносных программах, угрозах и состоянии защиты.
  • Служба автоматизации Azure. Решение службы автоматизации Azure сохраняет, выполняет и управляет модулями Runbooks.
  • Безопасность и аудит. Панель мониторинга безопасности и аудита обеспечивает общую аналитику состояния безопасности ресурсов, предоставляя показатели о доменах безопасности, заметных проблемах, обнаружениях, исследовании угроз и распространенных запросах безопасности.
  • Оценка SQL. Решение проверки работоспособности SQL регулярно оценивает риски и работоспособность сред сервера и предоставляет клиентам список рекомендаций (с приоритетами), относящийся к развернутой сетевой инфраструктуре.
  • Управление обновлениями. Решение для управления обновлениями позволяет клиенту управлять обновлениями системы безопасности ОС, в том числе состоянием доступных обновлений и процессом установки обязательных обновлений.
  • Работоспособность агента. Решение работоспособности агента сообщает, сколько агентов развернуто и их географическое распределение, а также сколько агентов не отвечают на запросы и отправляют операционные данные.
  • Журналы действий Azure. Решение аналитики журналов действий помогает с анализом журналов действий Azure во всех подписках Azure для клиента.
  • Отслеживание изменений. Решение отслеживания изменений позволяет клиентам легко находить изменения в среде.

Сведения о технических мерах и мерах безопасности для Azure доступны управляющим клиентам в документации по безопасности Azure. Так как корпорация Майкрософт не знает, являются ли Данные клиента личными данными или нет, Azure обрабатывает все Данные клиента, как если бы они были личными данными, чтобы клиент рассматривал все материалы как важные.

Информация об обработчике данных

Другим продуктом, записи обработки о котором могут потребоваться нашим клиентам для обработчиков, является Office 365. Сведения, связанные с Office 365, см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям.

Вы также можете просмотреть сведения о Dynamics 365 в Центре безопасности и соответствия требованиям. Чтобы просмотреть страницу Центра безопасности и соответствия требованиям, обеспечьте наличие правильной лицензии. Дополнительные сведения о лицензировании см. в статье Центр безопасности и соответствия требованиям. Чтобы найти события Dynamics 365, посетите единый журнал аудита в Центре безопасности и соответствия требованиям.

Сведения о профессиональных услугах

Вспомогательные данные профессиональных услуг предоставляются инженеру службы поддержки представителем клиента. Это может происходить, когда клиент отправляет запрос на обслуживание через Интернет-портал продукта, в Services Hub или по телефону.

Информация сохраняется в наших системах CRM и используется только в следующих целях:

  • Предоставление профессиональных услуг, включая оказание технической поддержки, профессиональное планирование, советы, рекомендации, перенос данных, развертывание, а также службы разработки программного обеспечения и решений.
  • Устранение неполадок (предотвращение, поиск, исследование, устранение и исправление проблем, включая инциденты безопасности).
  • Непрерывное улучшение (предоставление профессиональных услуг, включая установку последних обновлений, повышение надежности, эффективности, качества и безопасности).

В связи с масштабом наших операций поддержки корпорация Майкрософт управляет системой CRM на основе групп продуктов. Записи обработки будут содержаться в этих системах. История обработки отражается в записях, хранящихся в наших системах CRM. В большинстве случаев журнал запросов на обслуживание доступен на порталах и в Service Hub. Для получения любых конкретных сведений, недоступных на порталах, или с другими запросами об обработке ваших данных обращайтесь к своему менеджеру по технической поддержке или в службу технической поддержки Майкрософт.

Подробнее