Chuẩn bị cho kỷ nguyên mới của quy định về quyền riêng tư với Microsoft Cloud

Bằng cách

16 Tháng Tư, 2018

Microsoft có chuyên môn sâu rộng trong việc bảo vệ dữ liệu, bảo vệ quyền riêng tư và tuân thủ các quy định phức tạp. Microsoft tuân thủ tập hợp các quy định về quyền riêng tư và cung cấp Các điều khoản Mẫu của Liên minh Châu Âu cho tất cả khách hàng. Chúng tôi tin rằng Quy định Chung về Bảo vệ Dữ liệu (GDPR) là một bước tiến quan trọng để làm rõ và hỗ trợ quyền riêng tư của cá nhân.

Khi ngày thực thi GDPR sắp đến, tổ chức của bạn có thể cần sớm thể hiện mình đã thực hiện các bước thích hợp để bảo vệ dữ liệu cá nhân của khách hàng nhằm đáp ứng hoạt động kiểm tra tuân thủ và yêu cầu về thông tin.

Việc thực thi các biện pháp kiểm soát bảo mật thích hợp là một bước quan trọng để thể hiện trách nhiệm giải trình. Điều quan trọng không kém là áp dụng đúng quy trình — chẳng hạn như đáp ứng Yêu cầu của chủ thể dữ liệu (DSR) và cung cấp thông báo vi phạm — để giúp bạn tuân thủ GDPR và đạt được sự tin tưởng của khách hàng.

Hôm nay, chúng tôi sẽ công bố một số tài nguyên và chức năng mới để giúp bạn đáp ứng các nghĩa vụ của GDPR bằng Microsoft Cloud. Các bản cập nhật này bao gồm:

Bản xem trước công khai các tài nguyên về quyền riêng tư mới trên Microsoft Cloud.
Các chức năng mới hỗ trợ tuân thủ GDPR cho DSR trên các dịch vụ Đám mây của Microsoft.
Các chức năng quản lý quyền truy nhập đặc quyền, sẵn sàng cho kiểm tra mới trong Office 365.
Cho phép một đối tượng thuê Office 365 mở rộng ra nhiều khu vực địa lý của trung tâm dữ liệu Office 365.

Đọc để biết thêm chi tiết và một số cập nhật khác.

Cải thiện khả năng của bạn nhằm đáp ứng nghĩa vụ GDPR bằng Service Trust Portal

Để hỗ trợ GDPR, hôm nay, chúng tôi xin được công bố bản xem trước công khai cho các công cụ và tài nguyên mới liên quan đến GDPR — bao gồm DSR và các thông báo vi phạm dữ liệu đối với Office 365, Dynamics 365, Azure, Windows, Intune và Dịch vụ chuyên nghiệp trên Service Trust Portal.

Các tài nguyên GDPR bao gồm tài liệu về thông báo vi phạm dữ liệu, tài liệu này sẽ mô tả thời điểm và cách thức Microsoft thông báo cho bạn và những người khác về các hành vi vi phạm dữ liệu cá nhân, loại thông tin Microsoft sẽ cung cấp và các công cụ bạn có thể sử dụng để đảm bảo thông báo đến đúng người trong tổ chức của bạn.

Chúng tôi đã tập trung tất cả tài nguyên DSR của mình vào một trang duy nhất, trang này sẽ cung cấp các công cụ mà bạn có thể tận dụng trong Trung tâm Bảo mật & Tuân thủ Office 365 và Trung tâm Quản trị Azure — cùng với các tài liệu để hướng dẫn bạn về quy trình định vị, xuất và xóa dữ liệu khỏi dịch vụ Microsoft Cloud.

Hãy truy nhập tài nguyên về quyền riêng tư của Service Trust Portal để tìm hiểu thêm.

Đáp ứng DSR trên các dịch vụ Microsoft Cloud

Để hỗ trợ DSR trên các dịch vụ Microsoft Cloud, chúng tôi sẽ triển khai một số chức năng mới — bao gồm tab Quyền riêng tư dữ liệu trong Office 365, cổng thông tin Azure DSR và chức năng tìm kiếm DSR mới trong Dynamics 365.

Tab Quyền riêng tư dữ liệu của Office 365 — Để giúp bạn quản lý DSR liên quan đến Office 365 một cách hiệu quả và năng suất, chúng tôi đã bổ sung tab Quyền riêng tư dữ liệu (dưới dạng xem trước) cho Trung tâm Bảo mật & Tuân thủ Office 365. Trong tab Quyền riêng tư dữ liệu, bạn sẽ thấy một mục dành riêng cho GDPR, bao gồm tài liệu và tài nguyên để hỗ trợ bạn trên hành trình tuân thủ GDPR cũng như một tab chuyên dụng cho việc thực hiện DSR.

Trải nghiệm DSR mới được thiết kế để cung cấp cho bạn các công cụ nhằm tạo trường hợp cho yêu cầu của chủ thể dữ liệu, tìm kiếm và tinh chỉnh dữ liệu liên quan trên các vị trí Office 365—chẳng hạn như Exchange, SharePoint, OneDrive, Nhóm và bây giờ là Microsoft Teams—cũng như để xuất dữ liệu.

Một kịch bản DSR mà tổ chức có thể gặp phải là khi nhân viên rời đi yêu cầu được cung cấp dữ liệu của họ. Để trợ giúp cho kịch bản này và các kịch bản khác tương tự, tính năng Lưu giữ dựa trên sự kiện của Quản trị Dữ liệu Nâng cao hiện đã sẵn dùng rộng rãi với các khách hàng Office 365 E5.

Tìm hiểu thêm về tab Quyền riêng tư của dữ liệu trong Office 365 và tính năng Lưu giữ dựa trên sự kiện trong Quản trị Dữ liệu Nâng cao trên blog Cộng đồng kỹ thuật.

Để biết cách thức hoạt động của trải nghiệm DSR trong Office 365, hãy xem video của Mechanics:

Cổng thông tin Azure DSR — Chúng tôi dự định phát hành tính năng xử lý Azure DSR trước hạn chót tuân thủ GDPR vào 25/05/2018. Người quản trị đối tượng thuê Azure sẽ có một công cụ đơn giản, mạnh mẽ để nhanh chóng xử lý DSR nhằm đáp ứng GDPR. Với cổng thông tin Azure DSR, người quản trị đối tượng thuê có thể xác định thông tin liên kết với người dùng rồi hiệu chỉnh, sửa, xóa hoặc xuất dữ liệu của người dùng đó. Người quản trị cũng có thể xác định thông tin liên kết với một chủ thể dữ liệu và sẽ có thể thực hiện DSR đối với nhật ký do hệ thống tạo (dữ liệu Microsoft tạo để cung cấp một dịch vụ nhất định).

Cổng thông tin Azure DSR giúp hỗ trợ xử lý DSR.

Để tìm hiểu thêm, hãy truy nhập blog Azure.

Chức năng tìm kiếm DSR của Dynamics 365 — Để giúp khách hàng đáp ứng DSR trong Dynamics 365, chúng tôi cung cấp hai chức năng tìm kiếm mới: Tìm kiếm Sự liên quan và Báo cáo Tìm kiếm theo Con người. Tìm kiếm Sự liên quan cung cấp cho bạn một cách thức nhanh và đơn giản để tìm nội dung bạn cần và hoạt động trên nền tảng Tìm kiếm Azure. Báo cáo Tìm kiếm theo Con người cung cấp một tập hợp các thực thể có thể mở rộng được đóng gói sẵn, do Microsoft tạo, để nhận dạng dữ liệu cá nhân được sử dụng nhằm xác định một người và những vai trò mà người đó có thể được phân công.

Xử lý vi phạm dữ liệu theo quy định GDPR mới

Đối với GDPR, tổ chức phải đáp ứng các yêu cầu nghiêm ngặt hơn trong trường hợp xảy ra vi phạm dữ liệu. Điều này bao gồm việc thông báo cho cả nhà quản lý và những người bị ảnh hưởng bởi việc vi phạm — thông thường trong 72 giờ kể từ khi phát hiện việc vi phạm dữ liệu. Microsoft 365 có một tập hợp các chức năng mạnh mẽ có thể giúp bảo vệ, phát hiện và phản hồi hành vi vi phạm dữ liệu. Ví dụ: Tính năng Chống Mối đe dọa Nâng cao của Office 365 (ATP) bảo vệ hệ sinh thái Office 365 của tổ chức bằng cách giúp ngăn chặn các email độc hại hoặc tệp công việc quan trọng xâm phạm tới tài khoản người dùng. ATP của Bộ bảo vệ Windows tập trung vào việc bảo vệ chống lại các tệp trên nền web độc hại hoặc phần mềm xấu trên thiết bị để không làm hỏng tài khoản người dùng.

Tệp đính kèm an toàn của ATP chặn tệp đính kèm email độc hại.

Trong trường hợp Microsoft xác định có vi phạm dữ liệu cá nhân theo định nghĩa của GDPR, chúng tôi sẽ thông báo cho người quản trị đối tượng thuê của bạn. Ngoài ra, chúng tôi khuyên bạn cũng chỉ định một biệt danh liên hệ về quyền riêng tư trong Azure Active Directory, người này cũng sẽ được thông báo bên cạnh các thông báo của người quản trị.

Thu thập, xử lý và xem xét sự chấp thuận của người dùng bằng Azure Active Directory

Với GDPR, các công ty giờ đây cần có cách thức để xử lý sự chấp thuận từ phía người dùng cũng như có báo cáo sẵn sàng cho kiểm tra. Với điều khoản sử dụng của Azure Active Directory, các tổ chức giờ đây có một cách thức dễ dàng để thu thập, xử lý và xem xét sự chấp thuận của người dùng. Bạn có thể yêu cầu người dùng xem và chấp thuận với các điều khoản sử dụng của tổ chức trước khi có thể truy nhập vào một ứng dụng. Các điều khoản có thể là bất kỳ tài liệu nào có liên quan đến chính sách pháp lý hoặc kinh doanh trong tổ chức bạn.

Ví dụ về điều khoản sử dụng của Azure Active Directory với nhiều ngôn ngữ.

Để tìm hiểu thêm, hãy xem xét tài liệu Điều khoản sử dụng Azure Active Directory của chúng tôi.

Tận dụng các biện pháp kiểm soát sẵn sàng cho kiểm tra cho quyền truy nhập quản trị đặc quyền

Trong khi các tổ chức tìm cách giảm thiểu nguy cơ vi phạm dữ liệu từ các mối đe dọa đến các tài khoản đặc quyền, họ cũng nhận thấy mình cần đáp ứng các nhà quản lý và cung cấp tài liệu ghi lại dấu vết truy nhập đặc quyền, vạch ra kịch bản về cách truy nhập dữ liệu của khách hàng. Để giúp các tổ chức bảo vệ dữ liệu và đáp ứng các nghĩa vụ tuân thủ này, hôm nay, chúng tôi xin được giới thiệu các chức năng quản lý quyền truy nhập đặc quyền mới trong Microsoft 365 — cung cấp các biện pháp kiểm soát truy nhập sẵn sàng cho kiểm tra được ràng buộc về thời gian và có thể giới hạn phạm vi truy nhập dữ liệu.

Với chức năng quản lý quyền truy nhập đặc quyền trong Office 365, bạn có thể bảo vệ dữ liệu tốt hơn bằng cách theo dõi hoặc áp dụng quy trình phê duyệt trong phạm vi các tác vụ có nguy cơ cao của mình trong Office 365. Ví dụ: đặc quyền quản trị rộng cho phép người quản trị thực hiện các tác vụ có thể cung cấp quyền truy nhập tự do vào dữ liệu của tổ chức, chẳng hạn như quy tắc nhật ký, có thể gửi email đến hộp thư bên ngoài và lọc các dữ liệu nhạy cảm không bị phát hiện. Tính năng quản lý quyền truy nhập đặc quyền trong Office 365 cho phép bạn áp dụng các chính sách yêu cầu phê duyệt trước khi bất kỳ ai có thể thực hiện các tác vụ có nguy cơ cao này. Các yêu cầu truy nhập có thể được phê duyệt tự động hoặc theo cách thủ công và tất cả hoạt động này đều được ghi nhật ký và có thể kiểm tra. Hãy xem video sau để tìm hiểu thêm:

Chúng tôi rất vui khi triển khai bản xem trước công khai của chức năng quản lý quyền truy nhập đặc quyền trong Office 365. Để bắt đầu, hãy truy nhập trang Bản xem trước Office (nhập mã PAM044), rồi đọc blog Cộng đồng kỹ thuật chi tiết.

Giải quyết các yêu cầu về vị trí dữ liệu toàn cầu

Các yêu cầu tuân thủ của chính phủ, nhà quản lý bên thứ ba và của doanh nghiệp đang đưa ra ngày càng nhiều các nguyên tắc về vị trí dữ liệu để giải quyết các vấn đề về quyền riêng tư. Những nguyên tắc này hạn chế luồng thông tin tự do giữa các quốc gia và yêu cầu dữ liệu của tổ chức phải được lưu trữ trong các khu vực địa lý xác định. Mặc dù GDPR không đưa ra yêu cầu bắt buộc về vị trí dữ liệu nhưng nhiều khách hàng cho chúng tôi biết rằng họ cần sự linh hoạt trong việc lưu trữ dữ liệu tại các khu vực địa lý được chọn để đáp ứng yêu cầu về vị trí dữ liệu của khu vực, cụ thể theo ngành hoặc của tổ chức.

Multi-Geo Capabilities cho phép một đối tượng thuê Office 365 mở rộng ra nhiều khu vực địa lý của trung tâm dữ liệu Office 365 và cung cấp cho khách hàng khả năng lưu trữ dữ liệu Office 365 ở trạng thái tĩnh, trên cơ sở từng nhân viên, trong các khu vực địa lý được chọn. Multi-Geo đã được phát hành cho Exchange Online và OneDrive for Business. Đọc mục “Nhận quyền kiểm soát dữ liệu toàn cầu với Multi-Geo Capabilities trong Office 365” để tìm hiểu thêm.

Hãy bắt đầu hành trình tuân thủ GDPR của bạn ngay hôm nay với Microsoft Cloud

Cho dù bạn đang ở giai đoạn nào trong nỗ lực tuân thủ GDPR của mình, chúng tôi luôn sẵn sàng hỗ trợ bạn trên hành trình tuân thủ GDPR và có sẵn một số tài nguyên để giúp bạn bắt đầu ngay hôm nay:

Hãy tải xuống sách trắng và ebook miễn phí của chúng tôi.
Thực hiện đánh giá GDPR trực tuyến miễn phí.

Tìm hiểu thêm về cách thức Microsoft có thể hỗ trợ bạn chuẩn bị cho GDPR.

— Alym Rayani, giám đốc Microsoft 365