Bảo vệ quyền riêng tư của cá nhân theo GDPR với điện toán đám mây thông minh của Microsoft

Bằng cách

25 Tháng Năm, 2018

Bài đăng hôm nay được viết bởi Alym Rayani, giám đốc của Microsoft 365.

Với Quy định Chung về Bảo vệ Dữ liệu (GDPR) bắt đầu có hiệu lực, ngày hôm nay là một thời khắc quan trọng đối với quyền riêng tư của cá nhân. Trong thời đại ngày nay, công nghệ kỹ thuật số đang tác động sâu sắc đến cuộc sống của chúng ta, từ cách chúng ta kết nối với nhau cho đến cách chúng ta nhìn nhận thế giới. Tâm điểm của quá trình chuyển đổi kỹ thuật số này là khả năng lưu trữ và phân tích lượng rất lớn dữ liệu nhằm tạo thông tin chuyên sâu hơn và trải nghiệm khách hàng mang tính cá nhân hơn. Việc này giúp mọi người đạt được nhiều thành tựu hơn bao giờ hết nhưng cũng khiến chúng ta để lại lượng lớn dấu vết dữ liệu, bao gồm thông tin cá nhân và hồ sơ doanh nghiệp nhạy cảm cần được bảo vệ.

Tại Microsoft, sứ mệnh của chúng tôi là hỗ trợ mọi người và mọi tổ chức trên hành tinh này đạt được nhiều thành tựu hơn nữa. Sự tin tưởng là cốt lõi trong mọi hoạt động của chúng tôi, bởi bấy lâu nay chúng tôi đã hiểu rằng mọi người sẽ không sử dụng công nghệ mà họ không tin tưởng. Chúng tôi cũng tin rằng quyền riêng tư là một quyền cơ bản, cần được bảo vệ của con người. Như Julie Brill, lãnh đạo phụ trách về quyền riêng tư tại Microsoft, đã nêu trong blog gần đây của bà, Microsoft tin tưởng rằng GDPR sẽ thiết lập những nguyên tắc quan trọng, thiết thực trên toàn cầu.

Bên cạnh cam kết không ngừng nghỉ về quyền riêng tư, năm qua, chúng tôi đã đầu tư một vài khoản nhằm hỗ trợ GDPR và quyền riêng tư của cá nhân. Dưới đây là bản tổng kết về cách bạn có thể sử dụng các chức năng này nhằm giúp tổ chức của mình từng bước tuân thủ GDPR.

Đánh giá và quản lý rủi ro về tuân thủ

Vì việc thực hiện tuân thủ trong tổ chức có thể gặp rất nhiều thách thức nên trước tiên, bạn cần phải hiểu rõ rủi ro về tuân thủ. Khách hàng đã cho chúng tôi biết về những thách thức họ gặp phải khi thiếu các chức năng nội bộ để xác định và thực thi các biện pháp kiểm soát, cũng như sự thiếu hiệu quả trong các hoạt động chuẩn bị cho kiểm tra.

Trình quản lý Tuân thủ và Điểm Tuân thủ sẽ giúp bạn liên tục giám sát trạng thái tuân thủ của mình. Trình quản lý Tuân thủ ghi lại và cung cấp chi tiết về từng biện pháp kiểm soát của Microsoft đã được thực thi để đáp ứng các yêu cầu cụ thể, bao gồm chi tiết về gói triển khai và kiểm tra, cùng với phản hồi quản lý, nếu cần. Trình quản lý này còn đưa ra các hành động được đề xuất mà tổ chức của bạn có thể thực hiện để nâng cao các chức năng bảo vệ dữ liệu, đồng thời, giúp bạn đáp ứng nghĩa vụ tuân thủ.

Ảnh chụp màn hình bảng điều khiển Trình quản lý Tuân thủ.

Hãy xem cách Abrona, khách hàng của Microsoft 365, sử dụng Trình quản lý Tuân thủ:

Bảo vệ dữ liệu cá nhân

Về bản chất, GDPR xoay quanh việc bảo vệ dữ liệu riêng của cá nhân — đảm bảo dữ liệu đó được bảo mật, quản trị và quản lý đúng cách nhằm ngăn chặn việc sử dụng dữ liệu sai mục đích hoặc để dữ liệu lọt vào tay đối tượng xấu. Nhằm đảm bảo tổ chức của bạn đang bảo vệ dữ liệu cá nhân cũng như nội dung nhạy cảm liên quan đến nhu cầu tuân thủ trong tổ chức một cách hiệu quả, bạn cần thực thi các giải pháp và quy trình cho phép tổ chức khám phá, phân loại, bảo vệ và giám sát những dữ liệu quan trọng nhất.

Các chức năng bảo vệ thông tin trong Microsoft 365, như Quản trị Dữ liệu Office 365 cùng Azure Information Protection, mang lại trải nghiệm phân loại, đánh nhãn và bảo vệ tích hợp—cho phép bạn bảo vệ dữ liệu liên tục hơn—dù dữ liệu đang được lưu trữ hay truyền tới đâu. Chiến lược quản trị dữ liệu chủ động cho phân loại dữ liệu cá nhân và dữ liệu nhạy cảm sẽ giúp bạn phản hồi chính xác khi cần tìm dữ liệu phù hợp nhằm đáp ứng đề nghị hoặc yêu cầu theo quy định, chẳng hạn như Yêu cầu chủ thể dữ liệu (DSR), như một phần trong GDPR.

Ảnh chụp màn hình cài đặt Bảo vệ trong Trung tâm Bảo mật & Tuân thủ.

Trình quét Azure Information Protection xử lý các kịch bản kết hợp và tại chỗ thông qua việc cho phép bạn đặt cấu hình chính sách để tự động khám phá, phân loại, đánh nhãn cũng như bảo vệ tài liệu trong kho lưu trữ tại chỗ của mình, chẳng hạn như Máy chủ quản lý tệp và máy chủ SharePoint tại chỗ. Bạn có thể triển khai trình quét trong môi trường của riêng mình bằng cách làm theo các hướng dẫn ở hướng dẫn kỹ thuật này.

Dịch vụ cơ sở dữ liệu được quản lý đầy đủ của Azure, như Cơ sở dữ liệu SQL Azure, giúp giảm bớt gánh nặng của việc vá lỗi và cập nhật nền tảng dữ liệu, đồng thời mang lại các tính năng tích hợp sẵn thông minh giúp xác định nơi lưu trữ dữ liệu nhạy cảm. Các công nghệ mới, như Khám phá và phân loại dữ liệu SQL Azure, cung cấp các chức năng nâng cao để khám phá, phân loại, đánh nhãn và bảo vệ dữ liệu nhạy cảm ở mức cơ sở dữ liệu. Bảo vệ dữ liệu cá nhân bằng các công nghệ như Mã hóa Dữ liệu Minh bạch (TDE) có hỗ trợ Mang theo Khóa của Bạn (BYOK) với tích hợp Kho Khóa Azure.

Chúng ta hãy xem cách INAIL, khách hàng của Microsoft 365, tận dụng Azure Information Protection để phân loại, đánh nhãn và bảo vệ dữ liệu nhạy cảm nhất của mình:

Tự tin phản hồi

Rất nhiều tổ chức gặp phải khó khăn khi cố gắng đảm bảo các quy trình đều hoạt động tốt để quản lý và đáp ứng các yêu cầu GDPR nhất định một cách hiệu quả, chẳng hạn như phản hồi cho DSR hoặc đối phó với vi phạm dữ liệu.

Để giúp bạn dẫn hướng giữa các tài nguyên GDPR được cung cấp trong các dịch vụ đám mây, chúng tôi đã mang đến tab Quyền riêng tư trong Service Trust Portal vào tháng trước. Tab này cung cấp cho bạn thông tin cần thiết để chuẩn bị cho Đánh giá tác động bảo vệ dữ liệu (DPIA) của riêng bạn trên các dịch vụ Microsoft Cloud, hướng dẫn phản hồi DSR và thông tin về cách Microsoft phát hiện, cũng như đối phó với vi phạm dữ liệu cá nhân cùng cách nhận thông báo trực tiếp từ Microsoft.

Xem video Mechanics mới để tìm hiểu thêm về các tài nguyên GDPR trong Service Trust Portal.

Các tính năng hỗ trợ DSR

Có một vài tính năng giúp hỗ trợ DSR trong các dịch vụ Microsoft Cloud, bao gồm tab Quyền riêng tư dữ liệu trong Office 365, cổng thông tin DSR Azure và chức năng tìm kiếm DSR mới trong Dynamics 365.

Tab Quyền riêng tư dữ liệu, bảng điều khiển GDPR và trải nghiệm DSR mới trong Office 365 hiện đã sẵn dùng rộng rãi cho tất cả khách hàng thương mại. Trải nghiệm này được thiết kế nhằm mang tới cho bạn các công cụ để thực thi DSR với mức hiệu quả và hiệu suất cao hơn cho nội dung Office 365 — chẳng hạn như Exchange, SharePoint, OneDrive, Nhóm và bây giờ là Microsoft Teams.

Theo lời Kelly Clay đến từ GlaxoSmithKline: “GDPR 2016/679 là một quy định trong luật Liên minh châu Âu về việc bảo vệ dữ liệu và quyền riêng tư cho mọi cá nhân thuộc Liên minh châu Âu. GDPR cũng sẽ đưa ra một tập hợp ‘quyền kỹ thuật số’ mới dành cho công dân Liên minh châu Âu ở bối cảnh giá trị kinh tế của dữ liệu cá nhân trong nền kinh tế kỹ thuật số ngày càng tăng. GDPR sẽ yêu cầu người nắm giữ dữ liệu lớn và người xử lý dữ liệu quản lý DSR, đồng thời, các tổ chức sẽ cần các công cụ trong Office 365 để quản lý DSR”.

Patrick Oots đến từ công ty luật Shook, Hardy & Bacon đang quan sát các tổ chức khách hàng của mình, cũng như các bước tiến tới tuân thủ GDPR của họ. “Chúng tôi rất mừng khi thấy Microsoft đầu tư vào Office 365. Khi khách hàng của chúng tôi chuẩn bị cho GDPR, chúng tôi thấy các công cụ trong Cổng thông tin quyền riêng tư dữ liệu có giá trị cực kỳ to lớn trong việc quản lý DSR nhằm đáp ứng Điều 15. Khi luật về quyền riêng tư dữ liệu phát triển, chúng tôi luôn nhắc nhở khách hàng Office 365 của mình về tầm quan trọng tổng thể trong việc triển khai đúng cách các chính sách quản trị thông tin tại Trung tâm Bảo mật & Tuân thủ để giảm thiểu rủi ro.” Patrick nhấn mạnh thêm về cách chiến lược quản trị dữ liệu chủ động có thể giúp tổ chức phản ứng chính xác với các quy định như GDPR khi cần.

Ảnh chụp màn hình bảng điều khiển GDPR trong Trung tâm Bảo mật & Tuân thủ.

Cổng thông tin DSR Azure hiện cũng đã sẵn dùng rộng rãi. Với cổng thông tin DSR Azure, người quản trị đối tượng thuê có thể xác định thông tin liên kết với người dùng, rồi hiệu chỉnh, sửa, xóa hoặc xuất dữ liệu của người dùng đó. Người quản trị cũng có thể xác định thông tin liên kết với một chủ thể dữ liệu và sẽ có thể thực thi DSR đối với nhật ký do hệ thống tạo (dữ liệu Microsoft tạo để cung cấp một dịch vụ nhất định) cho các dịch vụ Microsoft Cloud. Các gói đăng ký mới từ Azure, bao gồm tính sẵn dùng rộng rãi của Chính sách Azure, Trình quản lý Tuân thủ cho GDPR Azure, cùng Kế hoạch bảo mật và tuân thủ Azure cho GDPR.

Tìm hiểu thêm bằng cách đọc bài đăng blog Azure về các tính năng GDPR.

Ảnh chụp màn hình của màn hình "Bắt đầu với Quyền riêng tư người dùng" trong Azure Directory.

Để giúp khách hàng phản hồi cho DSR trong Dynamics 365, chúng tôi có hai chức năng tìm kiếm: Tìm kiếm liên quan và Báo cáo tìm kiếm theo con người. Tìm kiếm liên quan cung cấp cho bạn một cách thức nhanh chóng và đơn giản để tìm nội dung bạn cần, cũng như hoạt động trên nền tảng Tìm kiếm Azure. Báo cáo tìm kiếm theo con người cung cấp một tập hợp các thực thể có thể mở rộng được đóng gói sẵn, do Microsoft tạo, để nhận dạng dữ liệu cá nhân được sử dụng nhằm xác định một người và những vai trò mà người đó có thể được phân công.

Bạn có thể tìm hiểu thêm trong bài đăng trên blog Dynamics 365.

Ảnh chụp màn hình hiển thị chức năng Tìm kiếm liên quan trong Dynamics 365.

Trung tâm Quyền riêng tư Windows mới hội tụ nội dung liên quan về quyền riêng tư Windows trên docs.microsoft.com. Tại đây, bạn có thể tìm thấy hướng dẫn chuẩn bị cho GDPR dành cho người đưa ra quyết định về CNTT mới, danh sách cài đặt cấu hình dịch vụ Windows 10 dùng để bảo vệ quyền riêng tư dữ liệu cá nhân, tìm hiểu về dữ liệu chẩn đoán của Windows, cùng nhiều nội dung khác.

Xử lý vi phạm dữ liệu

Sự khởi đầu của GDPR cũng đồng nghĩa với việc các tổ chức phải tuân thủ các quy định nghiêm ngặt hơn khi xảy ra vi phạm dữ liệu. Microsoft 365 có tập hợp chức năng mạnh mẽ, từ tính năng Chống Mối đe dọa Nâng cao (ATP) của Office 365 cho đến Azure ATP, có thể giúp bảo vệ chống lại và phát hiện vi phạm dữ liệu.

Hãy bắt đầu hành trình tuân thủ GDPR của bạn ngay hôm nay với Microsoft

Microsoft có chuyên môn sâu rộng trong việc bảo vệ dữ liệu, bảo vệ quyền riêng tư và tuân thủ các quy định phức tạp. Chúng tôi tin rằng GDPR là một bước quan trọng để hướng đến việc làm rõ và hỗ trợ quyền riêng tư của cá nhân, đồng thời, chúng tôi cung cấp các đảm bảo liên quan đến GDPR trong cam kết theo hợp đồng của mình.

Bất kể bạn đang ở giai đoạn nào trong nỗ lực tuân thủ GDPR, chúng tôi cũng luôn sẵn sàng trợ giúp bạn trên hành trình tuân thủ GDPR. Chúng tôi có sẵn một vài tài nguyên để giúp bạn bắt đầu ngay hôm nay:

Tải xuống sách trắng và ebook miễn phí của chúng tôi.
Thực hiện đánh giá GDPR trực tuyến miễn phí.
Tìm đối tác GDPR.

Tìm hiểu thêm về cách Microsoft có thể trợ giúp bạn chuẩn bị cho GDPR.