Microsoft Bulut ile gizlilik düzenlemelerinde yeni bir çağa hazırlanma

Tarafından

16 Nisan 2018

Microsoft verileri koruma, gizliliği destekleme ve karmaşık düzenlemelere uyum sağlama konularında geniş kapsamlı uzmanlığa sahiptir. Microsoft, bir dizi gizlilik ilkesine uyar ve tüm müşterilerine AB Model Maddeleri’ni sunar. Genel Veri Koruma Yönetmeliği’nin (GDPR) bireysel gizlilik haklarının sağlanması ve netleştirilmesi yönünde önemli bir adım olduğuna inanıyoruz.

GDPR’nin yürürlüğe girme tarihi yaklaşıyor. Mevzuat denetimlerine ve bilgi isteklerine yanıt vermek için kurumunuzun yakında müşterilerinizin kişisel verilerini korumaya yönelik gerekli adımları attığını göstermesi gerekebilir.

Uygun güvenlik denetimlerinin uygulanması, sorumlulukların yerine getirilebileceğinin gösterilmesinde önemli bir adımdır. Aynı derecede önemli bir adım da GDPR ile uyumlu olmanıza ve müşterilerinizin güvenini kazanmanıza yardımcı olacak, Veri Sahibi İsteklerine (DSR) yanıt verme veya ihlal bildirimleri gönderme gibi süreçleri uygulamaya geçirmektir.

Bugün, Microsoft Bulut ile GDPR yükümlülüklerini yerine getirmenize yardım edebilecek çeşitli yeni kaynak ve özelliklerin duyurusunu yapıyoruz. Bu güncelleştirmeler şunları içermektedir:

Microsoft Bulut genelinde yeni gizlilik kaynaklarının genel önizlemesi.
Microsoft Bulut hizmetleri genelinde GDPR’ye ilişkin DSR’ler konusunda yardımcı olabilecek yeni özellikler.
Office 365’te denetlenmeye hazır, yeni ayrıcalıklı erişim yönetimi özellikleri.
Tek bir Office 365 kiracısının birden fazla Office 365 veri merkezi coğrafyasını kapsamasına olanak tanıma.

Bu güncelleştirme ile ilgili daha fazla ayrıntıyı ve başka güncelleştirmelerle ilgili bilgileri aşağıda bulabilirsiniz.

Hizmet Güveni Portalı ile GDPR yükümlülüklerini yerine getirme gücünüzü artırın

GDPR’yi desteklemek amacıyla bugün GDPR ile ilgili yeni araç ve kaynakların genel önizlemede kullanıma sunulacağını duyuruyoruz. Bunlara Hizmet Güveni Portalı’nda Office 365, Dynamics 365, Azure, Windows, Intune ve Profesyonel Hizmetler için DSR’ler ve veri ihlali bildirimleri de dahildir.

GDPR kaynakları, veri ihlali bildirimleri ile ilgili belgeler içerir. Bu belgelerde, Microsoft’un kişisel veri ihlalleri hakkında sizi ve başkalarını ne zaman ve nasıl bilgilendireceği, ne gibi bilgiler sunulacağı ve kurumunuzdaki doğru kişilerin bilgilendirilmesini sağlamak için kullanabileceğiniz araçlar açıklanmaktadır.

Tüm DSR kaynaklarımızı merkezi tek bir sayfada birleştirdik. Bu sayfada Office 365 Güvenlik ve Uyumluluk Merkezi ile Azure Yönetim Merkezi’nde yararlanabileceğiniz araçların yanı sıra bir Microsoft Bulut hizmetinde veri bulma, dışarı aktarma ve silme süreci boyunca yol gösteren belgeler sunulmaktadır.

Daha fazla bilgi edinmek için Hizmet Güveni Portalı gizlilik kaynaklarını ziyaret edin.

Microsoft Bulut hizmetlerinde DSR’lere yanıt verme

Microsoft Bulut hizmetleri genelinde DSR’leri desteklemek için Office 365’te bir Veri Gizliliği sekmesi, bir Azure DSR portalı ve Dynamics 365’te yeni DSR arama özellikleri gibi bir dizi yeni özelliği uygulamaya geçiriyoruz.

Office 365 Veri Gizliliği sekmesi: Office 365 ile ilgili DSR’leri etkili ve verimli bir şekilde yönetmenize yardımcı olmak için Office 365 Güvenlik ve Uyumluluk Merkezi’ne Veri Gizliliği sekmesini ekledik (önizlemede). Veri Gizliliği sekmesinde GDPR’ye adanmış bir bölüm vardır. Bu bölümde GDPR yolculuğunuzda size yardımcı olacak belge ve kaynaklar ile DSR’lerin yürütülmesine adanmış bir sekme yer almaktadır.

Yeni DSR deneyimi size faydalı araçlar sunacak şekilde tasarlanmıştır. Bu araçlar veri sahibi isteğine ilişkin bir servis talebi oluşturmanızı, ilgili verileri Exchange, SharePoint, OneDrive, Gruplar ve Microsoft Teams gibi Office 365 konumları genelinde arayıp bulunan sonuçlar arasında alakalı verileri belirlemenizi ve verileri dışarı aktarmanızı sağlar.

Kurumların karşılaşabileceği DSR senaryolarından biri, işten ayrılmakta olan bir çalışanın verilerinin kendisine verilmesini istemesidir. Bu ve benzeri senaryolarda yardımcı olmak için Gelişmiş Veri Yönetimi’nin Olay tabanlı saklama özelliği Office 365 E5 müşterilerinin genel kullanımına sunulmuştur.

Office 365’teki Veri Gizliliği sekmesi ve Gelişmiş Veri Yönetimi’ndeki Olay tabanlı saklama hakkında daha fazla bilgi edinmek için Teknoloji Topluluğu blogunu ziyaret edin.

Office 365’teki DSR deneyiminin işleyişini görmek için aşağıdaki Mechanics videosunu izleyin:

Azure DSR portalı: Azure DSR’lerini işleyebilme özelliğini, GDPR uyumluluğu için son tarih olarak belirlenmiş olan 25 Mayıs 2018’den önce kullanıma sunmayı planlıyoruz. Azure kiracı yöneticileri, GDPR’ye ilişkin DSR’leri hızla işleyebilecekleri basit ve güçlü bir araç elde edecektir. Kiracı yöneticileri, Azure DSR portalını kullanarak bir kullanıcıyla ilişkili bilgileri belirleyebilir ve sonra kullanıcının verilerini düzeltebilir, değiştirebilir, silebilir veya dışarı aktarabilir. Yöneticiler ayrıca bir veri sahibiyle ilişkili bilgileri belirleyebilir ve DSR’leri sistem tarafından oluşturulan günlüklere (Microsoft’un belirli bir hizmeti sağlamak için oluşturduğu veriler) göre yürütebilir.

DSR işlemeye yardımcı olan Azure DSR portalı.

Daha fazla bilgi edinmek için Azure blogunu ziyaret edin.

Dynamics 365 DSR arama özellikleri: Müşterilerin Dynamics 365’te DSR’lere yanıt vermesine yardımcı olmak için iki yeni arama özelliği sunuyoruz: İlgi Düzeyi Araması ve Kişi Araması Raporu. İlgi Düzeyi Araması, aradığınızı bulmanız için hızlı ve kolay bir yol sağlar ve Azure Search tarafından desteklenir. Kişi Araması raporu, önceden paketlenmiş bir dizi genişletilebilir varlık sunar. Microsoft tarafından yazılan bu varlıklardan bir kişiyi tanımlamak için kullanılan kişisel verileri ve kişinin atanabileceği rolleri belirlemek amacıyla yararlanabilirsiniz.

Yeni GDPR düzenlemeleri doğrultusunda veri ihlallerini ele alma

GDPR, kurumların veri ihlali durumlarında daha katı gereksinimleri karşılamasını gerekli kılmaktadır. Bu gereksinimlere göre, düzenleyiciler ve ihlalden etkilenenler veri ihlalinin farkına varıldıktan sonra genellikle 72 saat içinde bilgilendirilmelidir. Microsoft 365 veri ihlallerine karşı koruma sağlayan, bu tür ihlalleri algılayan ve yanıtlayan bir dizi sağlam özellik sunar. Örneğin, Office 365 Gelişmiş Tehdit Koruması (ATP) kötü amaçlı e-postaların veya iş açısından önemli dosyaların kullanıcı hesaplarının güvenliğini tehlikeye atmasını engellemeye yardımcı olarak kurumların Office 365 ekosistemini korur. Windows Defender ATP, kötü amaçlı web tabanlı dosyaların veya cihazlara yönelik kötü amaçlı yazılımların kullanıcı hesaplarını bozmasına karşı koruma sağlar.

Kötü amaçlı e-posta ekini engelleyen ATP Güvenli Ekler.

Microsoft’un GDPR tarafından tanımlandığı şekliyle kişisel bir veri ihlalini tespit etmesi durumunda kiracı yöneticinizi bilgilendiririz. Buna ek olarak, Azure Active Directory’de böyle durumlarda yöneticilerin yanı sıra bilgilendirilecek bir gizlilik kişisi diğer adı belirlemenizi öneririz.

Azure Active Directory ile kullanıcı onayı toplama, işleme ve gözden geçirme

Şirketlerin GDPR nedeniyle artık kullanıcıların verdiği onayları işleyecek bir yönteme ve denetime hazır raporlamaya ihtiyacı vardır. Azure Active Directory kullanım koşulları, kurumlara kullanıcı onayı toplama, işleme ve gözden geçirmeye yönelik kolay bir yol sağlar. Kullanıcıların bir uygulamaya erişebilmek için önce kurumunuzun kullanım koşullarını görüntülemesini ve onaylamasını gerekli kılabilirsiniz. Söz konusu koşullar, kurumunuzun işle ilgili veya yasal ilkelerine ilişkin herhangi bir belge olabilir.

Birden fazla dilde sunulan Azure Active Directory kullanım koşulları örneği.

Daha fazla bilgi edinmek için Azure Active Directory kullanım koşulları belgelerimizi gözden geçirin.

Ayrıcalıklı yönetici erişimine yönelik, denetlenmeye hazır denetimlerden yararlanın

Kurumlar ayrıcalıklı hesaplara yönelik tehditlerin yol açabileceği veri ihlali riskini en aza indirmeye çalışıyor. Bir yandan da müşteri verilerine nasıl erişildiğini ana hatlarıyla gösteren, ayrıcalıklı erişime ilişkin belgelendirilmiş bir kaydı düzenleyicilere sunabilmeleri gerekiyor. Kurumların verilerini korumasına ve bu uyumluluk yükümlülüklerini yerine getirmesine yardımcı olmak amacıyla bugün Microsoft 365’te yeni ayrıcalıklı erişim yönetimi özelliklerini kullanıma sunuyoruz. Bu özellikler, zamana bağlı olan ve veri erişiminin kapsamını sınırlayabilen denetlenmeye hazır erişim denetimleri sağlamaktadır.

Office 365’teki ayrıcalıklı erişim yönetimi ile, kapsamı Office 365’te yer alan riski yüksek görevlerinize göre ayarlanmış bir onay iş akışını izleyerek veya zorlayarak verilerinizi daha iyi bir şekilde koruyabilirsiniz. Örneğin, geniş kapsamlı yönetici ayrıcalıkları yöneticilerin kurumsal verilere serbest erişim sağlayan görevler yürütebilmesine olanak sağlar. Bunun bir örneği, dış posta kutularına e-posta gönderebilen ve bu sırada hassas verileri fark edilmeden filtreleyen bir günlük kuralıdır. Office 365’teki ayrıcalıklı erişim yönetimi, yüksek risk taşıyan bu tür görevler yürütülmeden önce onay alınmasını gerektiren ilkeler uygulayabilmenizi sağlar. Erişim istekleri otomatik olarak veya el ile onaylanabilir. Tüm bu etkinlikler günlüğe kaydedilir ve denetlenebilir. Daha fazla bilgi edinmek için aşağıdaki videoyu izleyin:

Office 365’teki ayrıcalıklı erişim yönetimini genel önizleme aşamasında kullanıma sunmaya başlamaktan büyük heyecan duyuyoruz. Hemen kullanmaya başlamak için Office Önizlemeleri sayfasını ziyaret edin (PAM044 kodunu girin) ve ayrıntılar için Teknoloji Topluluğu blogunu okuyun.

Küresel veri yerleşimi gereksinimlerini karşılama

Devletler, üçüncü taraf düzenleyiciler ve kurumsal uyumluluk gereksinimleri, gizlilik konularıyla ilgili olarak gittikçe artan bir oranda veri yerleşimi yönergeleri uygulamaktadır. Bu yönergeler, bilgilerin sınır ötesine serbest bir biçimde geçişini kısıtlar ve bir kuruma ait verilerin belirli coğrafyalarda tutulmasını gerekli kılar. GDPR, veri yerleşimini zorunlu kılmasa da birçok müşterimiz bölgesel, sektöre özel veya kurumsal veri yerleşimi gereksinimlerini karşılayabilmek için verilerini seçili coğrafyalarda depolama esnekliğine gerek duyduklarını belirtmektedir.

Multi-Geo Capabilities, tek bir Office 365 kiracısının birden fazla Office 365 veri merkezi coğrafyasını kapsamasına olanak tanır ve müşterilerin bekleyen Office 365 verilerini çalışan bazlı olarak, seçtikleri coğrafyalarda depolayabilmelerini sağlar. Multi-Geo, artık Exchange Online ve OneDrive İş ile birlikte kullanılabilir. Daha fazla bilgi edinmek için “Office 365’teki Multi-Geo Capabilities küresel veri konumlarında denetim elde etme” başlıklı bölümü okuyun.

Microsoft Bulut ile GDPR yolculuğunuza bugün başlayın

GDPR’ye ilişkin çalışmalarınızda hangi noktada olursanız olun, GDPR uyumluluğuna giden yolda size yardımcı olmaya hazırız ve hemen bugün işe koyulmanıza yardımcı olacak çeşitli kaynaklar sunuyoruz:

Ücretsiz teknik incelememizi ve e-kitabımızı indirin.
Çevrimiçi ücretsiz GDPR değerlendirmemize katılın.

Microsoft’un GDPR’ye hazırlanmanız için sunduğu yardımlar hakkında daha fazla bilgi edinin.

—Alym Rayani, Microsoft 365 direktörü