Microsoft Cloud: підготовка до впровадження нових правил регулювання конфіденційності

Корпорація Майкрософт має великий досвід у сфері захисту даних, збереження конфіденційності й дотримання складних правил. Корпорація Майкрософт дотримується ряду принципів захисту конфіденційності й пропонує типові договори ЄС усім користувачам. Ми переконані, що Генеральний регламент із захисту персональних даних (GDPR) є важливим кроком на шляху до роз’яснення та забезпечення прав людини на збереження конфіденційності.

Оскільки дата набуття чинності GDPR наближається, вашій організації, можливо, незабаром доведеться продемонструвати готовність до захисту персональних даних своїх клієнтів у відповідь на нормативно-правові перевірки й запити на надання інформації.

Реалізація відповідних заходів безпеки є ключовим кроком для демонстрації відповідності вимогам. Не менш важливим є впровадження відповідних процесів, таких як реагування на запити суб’єктів даних (DSR) і надання сповіщень про порушення. Усе це дасть змогу вашій організації дотримуватися вимог GDPR та допоможе завоювати довіру клієнтів.

Сьогодні ми оголошуємо про випуск кількох нових ресурсів і функцій, що допоможуть вам забезпечити відповідність вимогам GDPR під час роботи з Microsoft Cloud. Нижче наведено основні оновлення.

• Загальнодоступна підготовча версія нових ресурсів для захисту конфіденційності в середовищі Microsoft Cloud.
• Нові функції для реагування на запити суб’єктів даних у службах Microsoft Cloud для відповідності вимогам GDPR.
• Нові, готові до перевірок функції керування привілейованим доступом в Office 365.
• Використання єдиного клієнта Office 365 із кількома центрами обробки даних Office 365 у різних географічних регіонах.

Читайте далі, щоб ознайомитися з додатковими відомостями про оновлення.

Підвищте рівень відповідності вимогам GDPR за допомогою Порталу надійності

Щоб забезпечити дотримання вимог GDPR, сьогодні ми оголошуємо про надання доступу до підготовчої версії деяких засобів і ресурсів, зокрема до функції реагування на запити суб’єктів даних і сповіщень про порушення безпеки даних для Office 365, Dynamics 365, Azure, Windows, Intune, а також до професійних послуг на Порталі надійності.

Ресурси GDPR включають документацію щодо сповіщень про порушення безпеки даних, у якій описано, коли і як корпорація Майкрософт повідомлятиме вас та інших користувачів про порушення безпеки особистих даних, яку інформацію надаватиме, а також які засоби ви зможете використати, щоб сповістити відповідальних осіб у вашій організації.

Ми зібрали всі наші ресурси DSR на одній сторінці. Тут ви знайдете засоби, які можна використати в Центрі безпеки та відповідності Office 365 і Центрі адміністрування Azure, а також документацію з інструкціями щодо виконання процедур виявлення, експортування й видалення даних у службі Microsoft Cloud.

Щоб дізнатися більше, відвідайте сторінку ресурсів для захисту конфіденційності на Порталі надійності.

Реагування на запити суб’єктів даних у службах Microsoft Cloud

Для підтримки запитів суб’єктів даних (DSR) у службах Microsoft Cloud ми запроваджуємо кілька нових функцій, зокрема вкладку конфіденційності даних в Office 365, портал Azure DSR, а також нові інструменти пошуку DSR в Dynamics 365.

• Вкладка конфіденційності даних в Office 365. Щоб забезпечити ефективне керування запитами суб’єктів даних в Office 365, ми додали вкладку конфіденційності даних (підготовча версія) у Центр безпеки та відповідності Office 365. На цій вкладці ви знайдете розділ, присвячений GDPR, разом із відповідною документацією та ресурсами, включно з вкладкою, пов’язаною з реагуванням на запити суб’єктів даних.

У новому інтерфейсі DSR ви знайдете інструменти для реєстрації запитів суб’єктів даних, а також пошуку, уточнення та експорту релевантних даних у службах Office 365, таких як Exchange, SharePoint, OneDrive, Групи, а тепер і Microsoft Teams.

Організація може отримати запит суб’єкта даних, коли, наприклад, працівник звільняється й просить надати йому його відомості. На випадок виникнення такої або подібної ситуації всі користувачі Office 365 E5 тепер мають доступ до функції збереження даних на основі подій у рамках розширеного керування даними.

Дізнайтеся більше про вкладку конфіденційності даних в Office 365 і функції збереження даних на основі подій у рамках розширеного керування даними в блозі спільноти технічних спеціалістів.

Щоб дізнатися, як засоби для роботи із запитами суб’єктів даних реалізовано в Office 365, перегляньте це відео Mechanics:

 

• Портал Azure DSR. Функцію обробки запитів суб’єктів даних Azure ми плануємо впровадити до дати набуття чинності GDPR (25 травня 2018 року). Адміністратори клієнтів Azure отримають доступ до простого й потужного інструмента для швидкої обробки запитів суб’єктів даних відповідно до вимог GDPR. На порталі Azure DSR адміністратори клієнтів можуть визначити інформацію, пов’язану з користувачем, а потім виправити, змінити, видалити або експортувати її. Адміністратори також можуть визначити інформацію, пов’язану із суб’єктом даних, і відреагувати на його запит, скориставшись створеними системою журналами (дані, які генерує корпорація Майкрософт для надання відповідної служби).

Портал Azure DSR для обробки запитів суб’єктів даних.

Щоб дізнатися більше, відвідайте сторінку блоґу Azure.

• Функції пошуку DSR в службі Dynamics 365. Щоб допомогти користувачам ефективніше реагувати на запити суб’єктів даних у середовищі Dynamics 365, ми додаємо дві нові функції пошуку: пошук відповідності та звіт про результати пошуку особи. Пошук відповідності – швидкий і простий спосіб виявлення потрібної інформації, створений на базі технології пошуку Azure. Звіт про результати пошуку особи – це попередньо укомплектований набір розширюваних засобів, створених корпорацією Майкрософт для ідентифікації персональних даних, які використовуються для визначення особи та ролей, яким вони можуть бути призначені.

Реагування на порушення безпеки даних відповідно до нових норм GDPR

Регламент GDPR встановлює суворіші вимоги до організацій на випадок порушення безпеки даних. Зокрема, це передбачає сповіщення регуляторного органа й постраждалих осіб зазвичай протягом 72 годин із моменту виявлення порушення безпеки даних. Рішення Microsoft 365 включає набір надійних функцій, які можуть допомогти захиститися від порушень безпеки даних, а також виявити їх і відреагувати на них. Наприклад, “Розширений захист від загроз Office 365” (ATP) допомагає вберегти дані облікового запису користувача від загроз із боку зловмисних електронних листів або критично важливих для бізнесу файлів. “Розширений захист від загроз для Захисника Windows” призначений переважно для захисту даних облікового запису користувача від зловмисних файлів в Інтернеті або програм на пристрої.

Функція безпеки файлів ATP блокує зловмисне вкладення електронної пошти.

Якщо рішення Microsoft виявить порушення безпеки персональних даних відповідно до інструкцій у регламенті GDPR, ми сповістимо про це адміністратора вашого клієнта. Також рекомендуємо вказати альтернативний контакт із питань безпеки в Azure Active Directory, який також отримуватиме сповіщення разом з адміністратором.

Отримання, обробка й перевірка згоди користувача в Azure Active Directory

Відповідно до вимог GDPR, компанії тепер зобов’язані визначити спосіб обробки згоди користувача, а також надання звітів для перевірки. Разом з умовами використання Azure Active Directory організації тепер отримали спосіб запитування, обробки й перевірки згоди користувача. Ви можете вимагати від особи переглянути й прийняти умови використання, перш ніж отримати доступ до програми в середовищі вашої організації. ​Умови може бути викладено в будь-якому документі, що відповідає комерційній або правовій політиці вашої організації.

Приклад умов використання Azure Active Directory з підтримкою кількох мов.

Щоб дізнатися більше, перегляньте умови використання Azure Active Directory.

Використання готових до перевірки елементів керування привілейованим адміністраторським доступом

Організаціям потрібно не тільки мінімізувати ризики порушення безпеки даних через загрози для облікових записів із привілейованим доступом, але й звітувати перед регуляторними органами, надаючи документальний опис процедури отримання привілейованого доступу до даних користувачів. Щоб допомогти організаціям захистити свою інформацію й забезпечити відповідність вимогам, ми сьогодні представляємо нові, готові до перевірки функції керування привілейованим доступом у Microsoft 365, що регулюються за часом і здатні обмежувати рівень доступу до даних.

За допомогою функції Privileged Access Management в Office 365 ви зможете краще захистити свої дані, відстежуючи їх або надаючи дозвіл на виконання завдань в Office 365, пов’язаних із високим ризиком. Наприклад, широкі адміністративні права дають змогу виконувати завдання з необмеженим доступом до даних організації. Наприклад, правило журналу може дозволяти надсилання електронних листів за зовнішньою поштовою адресою, а конфіденційні дані при цьому проходитимуть крізь фільтри невиявленими. Функція Privileged Access Management в Office 365 дає змогу застосувати політику, що вимагає надання дозволу на виконання завдань, пов’язаних із високим ризиком. Запити на отримання доступу можна приймати автоматично або вручну. При цьому всі дії реєструються в журналі для подальшої перевірки. Перегляньте це відео, щоб дізнатися більше:

Ми радо вітаємо розгортання підготовчої версії Privileged Access Management в Office 365. Щоб почати, відвідайте сторінку ознайомлювальних версій Office, укажіть код PAM044 та перегляньте докладні відомості в блозі спільноти технічних спеціалістів.

Виконання вимог щодо місця зберігання глобальних даних

Згідно з вимогами державних органів, сторонніх регуляторних організацій, а також корпоративних політик відповідності, необхідно забезпечити належний захист конфіденційності даних у місці зберігання. Такі правила обмежують вільний обмін інформацією через кордони й вимагають зберігання даних організації в певних географічних регіонах. Хоча регламент GDPR не містить правил щодо місць зберігання даних, багато клієнтів повідомляють нам про потребу в гнучкому сховищі для даних у вибраних географічних регіонах, щоб задовольнити регіональні, галузеві або корпоративні вимоги до таких місць.

Функція Multi-Geo Capabilities дає змогу одному клієнту Office 365 працювати з центрами обробки даних Office 365, розташованими в різних географічних регіонах. Користувачі також мають можливість зберігати свої дані Office 365 окремо для кожного працівника у вибраних місцезнаходженнях. Функція Multi-Geo доступна для користувачів Exchange Online і “OneDrive для бізнесу”. Докладні відомості можна переглянути в статті про глобальні засоби керування даними з Multi-Geo Capabilities в Office 365.

Почніть підготовку до вступу в силу регламенту GDPR за допомогою рішень Microsoft Cloud

Незалежно від того, наскільки ваша організація відповідає вимогам GDPR, ми допоможемо вам досягти мети. Почніть роботу вже сьогодні, скориставшись ресурсами, які ми для вас підготували.

• Безкоштовно завантажте офіційний документ і електронну книгу.
• Пройдіть безкоштовне оцінювання відповідності вимогам GDPR онлайн.

Дізнайтеся більше про те, як рішення Microsoft можуть допомогти вам підготуватися до вступу в силу регламенту GDPR.

Алім Райані, директор підрозділу Microsoft 365