Dataplatser för Europeiska unionen
Dina uppgifter tillhör dig
Microsoft erkänner vikten av att upprätthålla sekretessen och konfidentialitet för dina affärsdata. Dina data tillhör dig och du kan när som helst komma åt, ändra eller ta bort den. Microsoft använder inte dina data utan ditt medgivande och när vi har ditt medgivande använder vi dina data för att endast tillhandahålla de tjänster du har valt. Om du lämnar en av våra tjänster, ser vi till att du fortsätter att äga dina data, enligt strikta standarder och processer för att ta bort data från våra system.
Anteckning
Kunddata (även kallad "dina data" eller "dina affärsdata") betyder all information, inklusive text-, ljud-, video- eller bildfiler och programvara som du tillhandahåller Microsoft eller som tillhandahålls för dina räkning genom din användning av Microsoft företagstjänster online, exklusive Microsoft Professionella tjänster. Det inkluderar kundinnehåll, vilket är de data du laddar upp för lagring eller bearbetning och appar du laddar upp för distribution via en Microsoft-molntjänst för företag. Till exempel inkluderar kundinnehåll Exchange Online-e-post och bilagor, SharePoint Online-webbplatsinnehåll eller konversationer med snabbmeddelanden.
Datalagring och bearbetning
När du använder Microsoft 365-tjänster börjar vi med antagandet att våra företagskunder vill ha sin affärsdata lagrad och bearbetad nära hemmet. När det är möjligt gör vi just det. Om du vill förvara dina data i datacenter närmast dig lagrar vi dina data baserat på den företagsplats du anger när du skapar din klientorganisation. För att välja lagringsplatser som är relevanta för din organisations företag kan du skapa så många klientorganisationer för din organisation som du vill.
Där kunddata lagras
Vi har datacenter i Tyskland och Frankrike som gör att du kan lagra data i ditt land om ditt företag finns där. Våra regionala EU-datacenter finns i Österrike, Finland, Frankrike, Irland och Nederländerna. Dina data för följande tjänster kommer att vara värd på följande platser baserat på vilken faktureringsadress du väljer:
| Tjänstnamn | Plats för klientorganisationer skapade med en faktureringsadress i Frankrike | Plats för klientorganisationer skapade med faktureringsadress i Tyskland | Plats för klientorganisationer skapade med en faktureringsadress i alla andra EU-länder |
|---|---|---|---|
| Exchange online | Frankrike | Tyskland | EU |
| OneDrive för företag | Frankrike | Tyskland | EU |
| SharePoint Online | Frankrike | Tyskland | EU |
| Skype för företag | EU | EU | EU |
| Microsoft Teams | Frankrike | Tyskland | EU |
| Office online och mobile | Frankrike | Tyskland | EU |
| Exchange Online Protection | Frankrike | Tyskland | EU |
| Intune | EU | EU | EU |
| MyAnalytics | Frankrike | Tyskland | EU |
| Planner | EU | EU | EU |
| Yammer | EU | EU | EU |
| OneNote-tjänster | Frankrike | Tyskland | EU |
| Strömma | EU | EU | EU |
| Whiteboard | EU | EU | EU |
| Formulär | EU | EU | EU |
Anteckning
Om du har en Office 365 Education-prenumeration med en faktureringsadress i Frankrike eller Tyskland kan dina data lagras i våra regionala EU-datacenter. Information om platserna för klientorganisationsdata utanför EU finns i Var din Microsoft 365-kunddata lagras.
Där EU-data beräknas
När du initierar användningen av någon av ovanstående tjänster kommer beräkningarna som behövs för att tillhandahålla tjänsten för dina data lagrade i ett av våra regionala europeiska datacenter (eller i ditt land) att ske inom samma geografiska gräns om inte en tillfällig dataöverföring sker behövs för att utföra beräkningen i ett Microsoft-datacenter som ligger längre bort.
Om en tillfällig överföring krävs kommer vi alltid att använda avancerad kryptering i överföringen och vi kommer alltid att returnera dina data till din valda datalagringsplats omedelbart. Vi förlitar oss på att vi följer europeisk lagstiftning genom standardavtalsklausuler (SCCs) för dessa tillfälliga transfereringar, tillsammans med våra kompletterande åtgärder för att säkerställa att data skyddas.
Mer information finns i Europeiska unionens modellklausuler.
Anteckning
Kunddata för Sway och Workplace Analytics lagras och beräknas i USA om du väljer att använda dessa tjänster.
Anteckning
Microsoft 365-tjänster kan fråga och lagra delar av klient- / identitetsdatainformation i andra regioner än EU vid behov för att underlätta vissa scenarier. I scenarier av gränsöverskridande e-postdirigering, samtalsdirigering och autentisering kan Microsoft 365-system behöva viss information om EU:s mottagare för att dirigera begäran korrekt. Microsoft 365-system är också beroende av Azure Active Directory för identitets- och autentiseringsfunktioner. Mer information finns i Identitetsdatalagring för europeiska kunder i Azure Active Directory.
Så skyddar Microsoft dina data
Säkerhetsåtgärder
Microsoft skyddar dina data med flera lager av säkerhets- och krypteringsprotokoll. Få en översikt över Microsofts datasäkerhetsfunktioner i Microsoft 365-krypteringsartikel.
Som standard skyddar Microsoft Managed Keys dina kunddata. Data som kvarstår på fysiska medier krypteras alltid med hjälp av FIPS 140-2-kompatibla krypteringsprotokoll. Du kan också använda kundhanterade nycklar (CMK), dubbel krypteringoch/eller hårdvarusäkerhetsmoduler (HSM) för ökat dataskydd.
Dessutom använder Microsoft som standard TLS-protokollet (Transport Layer Security) för att kryptera data när det reser mellan molntjänsterna och kunderna. Microsoft-tjänster förhandlar fram en TLS-anslutning med klientsystem som ansluter till Microsoft 365-tjänster.
För att förhindra obehörig fysisk åtkomst till datacenter använder vi rigorösa operativa kontroller och processer som inkluderar 24×7 videoövervakning, utbildad säkerhetspersonal och processer och smartkort eller biometrisk multifaktor åtkomst kontroller. Vid livslängden strimlas dataskivorna och förstörs. Om en hårddisk som används för lagring drabbas av maskinvarufel eller når slutet på dess livslängd, raderas på ett säkert sätt. Data på enheten är helt överskrivna för att säkerställa att data inte kan återställas på något sätt. När sådana enheter avvecklas, de strimlas och förstöras i linje med NIST SP 800-88 R1, riktlinjer för mediarensning. Poster i destruktion behålls och granskas som en del av Microsoft gransknings- och efterlevnadsprocess. Alla Microsoft 365-tjänster använder godkända mediehanteringstjänster för medielagring och radering.
Tekniska kontroller
Förutom det fysiska och tekniska skyddet vidtar Microsoft starka åtgärder för att skydda dina kunddata från obehörig åtkomst av Microsofts personal och underleverantörer. Åtkomst till kunddata från Microsoft-verksamhet och supportpersonal nekas som standard. Nästan all serviceverksamhet som utförs av Microsoft är helt automatiserad och mänskligt engagemang styrs och abstraheras från kunddata.
Endast i sällsynta fall behöver en Microsoft-tekniker åtkomst till kunddata. Vanligtvis är detta bara nödvändigt om du begär Microsoft hjälp för att lösa ett kundproblem. Åtkomst till kunddata är mycket begränsad av rollbaserade åtkomstkontroller, multifaktorautentisering, dataminimering och andra kontroller. All åtkomst till kunddata loggas strikt, och både Microsoft och tredje part utför regelbundna revisioner (samt provgranskningar) för att intyga att någon åtkomst är lämplig.
Kunder kan använda kundhanterade nycklar för att förhindra att deras data kan läsas vid obehörig åtkomst. Både kryptering på serversidan och på klientsidan kan förlita sig på kundhanterade nycklar eller nycklar från kunden. I båda fallen skulle Microsoft inte ha åtkomst till krypteringsnycklar och kan inte dekryptera data. En SOC-granskning av en AICPA-ackrediterad revisor två gånger om året för att verifiera effektiviteten av våra säkerhetskontroller inom granskningsomfattning. SOC 2 typ 2-intygsrapporten som publiceras av revisorn förklarar under vilka omständigheter åtkomst till kunddata kan uppstå och hur.
Förutom att lagra och bearbeta dina data när du använder onlinetjänsterna genererar Microsoft tjänstedata för att övervaka systemhälsan och för att utföra serviceåtgärder som felsökning. Som en integritetsskyddsåtgärd genererar och förlitar sig Microsoft på pseudonyma identifierare i denna tjänstgenererade data för att kunna skilja en användare från en annan utan att identifiera de faktiska användarna. Pseudonyma identifierare identifierar inte en person direkt, och informationen som möjliggör mappning av pseudonyma identifierare till faktiska användare skyddas som en del av dina data.
Mer information finns i Vem kan komma åt dina data och på vilka villkor och underprocessorer och datasekretess.
Hur Microsoft hanterar myndighetsförfrågningar
Om en myndighet vill ha kunddata måste den följa tillämpliga juridiska processer. Microsoft måste delges en teckningsoption eller domstolsbeslut om innehåll, eller en stämning för abonnentinformation eller annan icke-innehållsdata.
- Alla förfrågningar måste vara inriktade på specifika konton och identifierare.
- Microsofts lagliga efterlevnadsteam granskar alla förfrågningar för att säkerställa att de är giltiga, avvisar dem som inte är giltiga och tillhandahåller endast de angivna uppgifterna.
- Om Microsoft tvingas enligt lag att avslöja kunduppgifter kommer du omedelbart att meddelas och få en kopia av begäran, såvida inte Microsoft är lagligt förbjudet att göra det.
- Microsoft gör en lokal juridisk granskning av varje begäran som den mottar mot lokala lagar och standarder. Microsoft granskar också regelbundet sina screeningprocesser runt om i världen för att säkerställa att lokala rättsliga förfaranden följs och dess globala uttalande om mänskliga rättigheter tillämpas.
Om du vill ha mer information om Microsofts åtagande att utmana order i enlighet med EU: s GDPR, se nya steg för att försvara dina data.
När myndigheter eller brottsbekämpande myndigheter gör en laglig begäran om kunddata är Microsoft engagerat i öppenhet och begränsar vad det avslöjar. Två gånger om året publicerar vi antalet juridiska krav på kunddata som vi får från brottsbekämpande myndigheter runt om i världen. Mer information finns i rapporten om brottsbekämpning. Denna rapport avslöjar inte specifikationerna för någon särskild efterfrågan, inklusive kunden i fråga. Två gånger om året publicerar vi också data om de juridiska krav som vi får från den amerikanska myndigheter. Se USA: s nationella säkerhetsorderrapport för den senaste rapporten.
Om du vill ha mer information, se vanliga frågor angående begäranden från myndigheter och brottsbekämpning, inklusive frågor om molnlagen.
Ytterligare resurser
- Pålitligt dataskydd ger en översikt över hur Microsoft skyddar dina data när du använder Microsoft Online Services och Professional Services. Rekommenderas också att du läser Microsoft Online Services Terms (OST) och Data Protection Addendum (DPA) som reglerar din användning av dessa tjänster.
- Office 365-registrerade begäranden om GDPR hjälper dig att hitta och agera på personuppgifter eller personlig information för att svara på DSR med hjälp av Microsoft 365-produkter, tjänster och administrativa verktyg.
- Konsekvensbedömningar av dataskydd: vägledning för datakontrollanter som använder Microsoft Office 365 hjälper dig att avgöra om din organisation behöver utarbeta en DPIA, tillhandahåller vägledning, innehåller ett anpassningsbart DPIA-malldokument och tillhandahåller en DPIA Service Elements Matrix för många Microsoft 365-tjänster.
- Lär dig hur modulerna är utformade för personer inom granskning, efterlevnad, risk och juridiska roller som söker en övergripande förståelse ger en djupgående granskning av hur Microsoft 365: s grundläggande säkerhets- och sekretesspraxis för att skydda kunddata.
- Microsofts erbjudande om efterlevnad visar hur Microsoft 365-tjänster hjälper din organisation att uppfylla regelefterlevnadsstandarder.