This is the Trace Id: 1ec914561230bfb2e1ff3253f536baec
跳转至主内容
Microsoft 365
登录

信任中心: Office 365 Microsoft Dynamics CRM Online 的安全性、隐私和合规性信息

法规遵从性

Microsoft 是否致力于做到透明来帮助客户遵守他们的法规要求?

是。我们在全球各地的 Office 365 和 Microsoft Dynamics CRM Online 客户分别遵守不同的法律法规。某个国家/地区或行业中的法律要求可能与其他地方的法律要求不一致。作为一家全球云服务提供商,我们必须跨越许多客户和司法管辖区运行我们的服务,而且我们的服务必须能够提供常规的操作实践和功能。为了帮助我们的客户遵守他们自己的要求,我们在构建服务时始终考虑常规的隐私和安全性要求,而且我们的内置功能有助于支持遵守多种法规和隐私强制要求。

但是,最终还要由我们的客户根据他们自己的要求来评估我们提供的服务,以便他们可以确定我们的服务是否满足他们的法规要求。我们致力于向客户提供有关我们的云服务的详细信息,以帮助他们进行自己的合规性评估。

安全性、审核和认证 部分提供了有助于遵从法规的认证信息。

Office 365 和 Microsoft Dynamics CRM Online 符合我的法规义务吗?

您有义务遵守您的法规义务。我们可为您提供信息,以帮助您做到这一点。

我们承诺遵守通常适用于 IT 服务提供商的数据保护法和隐私保护法。如果您受行业或司法管辖要求的约束,则您需要对自己的遵从能力进行评估,而许多行业和地区的客户发现,只要利用服务的方式适合他们的具体情况,他们就能够以一种始终符合适用法规要求的方式使用 Office 365 和 Microsoft Dynamics CRM Online。

例如,欧盟数据保护指令所涵盖的组织应制定自己的政策、安全和培训计划,以确保他们的人员在使用 Office 365 或 Microsoft Dynamics CRM Online 服务时不会违反该指令。Office 365 和 Microsoft Dynamics CRM Online 将通过遵守我们所作的合同承诺来尽力帮您保持合规性。

例如,一个欧盟 (EU) 客户可能存储了一份包含联系信息的客户列表。Office 365 和 Microsoft Dynamics CRM Online 制定了安全程序,以确保 Microsoft 人员不会以不适当的方式访问或披露此信息。但是,客户的某位员工(Microsoft Exchange Online 用户)可能在未获得适当同意的情况下使用该服务将此类客户列表发送给一位营销人员。任何由于 Office 365 和 Microsoft Dynamics CRM Online 为了遵循客户的指示(也就是说,通过在提供服务的正常过程中发送电子邮件)而导致的欧盟数据保护要求违规行为都应由客户负责。

如果我在欧洲,我使用 Office 365 和 Microsoft Dynamics CRM Online 合法吗?

根据欧盟数据保护指令和我们的合同承诺,Office 365 和 Microsoft Dynamics CRM Online 充当您数据的保管人,实际上是分包商(法律上称我们为"数据处理方")。

您(客户)对您的数据具有所有权,且根据法律规定,您有责任依法确保我们遵守相关规定,并且您向我们发送个人数据是合法的(法律上称您为"数据控制方")。对于在您的特定情况下的业务,您必须确定您是否可以使用我们的服务来处理和存储您的个人数据。

我们在针对常规用途来设计和运行我们的服务时考虑到了欧盟数据保护指令的要求,我们会持续监控此方面的情况,以了解是否发生了与服务的发展变化相关的变化。

按照与美国商务部和欧盟与瑞士的商定,Microsoft 还分别根据美国–欧盟安全港计划和几乎相同的美国–瑞士安全港计划进行了自我认证。因此,我们有义务遵守欧盟数据保护指令的要求,并且我们可以合法地将数据传输到欧盟以外的地方,以提供 Office 365 和 Microsoft Dynamics CRM Online 服务。可在 http://safeharbor.export.gov/ 上找到 Microsoft 安全港认证。我们理解某些客户需要确保比安全港自我认证能提供的可靠性更强的可靠性,因此我们愿意与所有客户签署欧盟标准条款(也称为“标准合同条款”)。有关将数据传输到欧盟以外的地方的详细信息,请参阅“信任中心”的“数据地图”部分。

在一些国家/地区,根据法律规定,我们还遵守有关存储敏感个人数据的安全要求。如果您对您所在国家/地区的规定或您要存储的数据类型有疑问,或者您想更详细地了解 Office 365 或 Microsoft Dynamics CRM Online 的相关措施和支持的功能,而在服务文档中又找不到这些信息,您可以与支持部门联系。如果透露有用的信息不会削弱我们的安全性,我们就会提供这样的信息,以帮助您自行决定根据您的要求实施 Office 365 或 Microsoft Dynamics CRM Online 是否可行。

您应当阅读合规性常见问题,并理解仅因为 Office 365 和 Microsoft Dynamics CRM Online 支持您的组织遵守隐私保护法并不意味着您的组织确实合规;您可能还需要实施其他措施,如制定适当的公司政策以及为员工提供良好的隐私惯例方面的培训。此外,根据您所在的国家/地区,您可能还需要采取其他措施以遵守当地法律,如通过您的数据保护机构将信息归档。

由 Office 365 或 Microsoft Dynamics CRM Online 处理的客户数据向欧盟机构登记过吗?

没有。Office 365 和 Microsoft Dynamics CRM Online 作为数据处理方,不向欧盟机构登记我们代表客户处理的客户数据。

Office 365 和 Microsoft Dynamics CRM Online 是否符合《健康保险流通与责任法案》(简称 HIPAA)的要求?Microsoft 是否将签署 HIPAA 业务伙伴协议(简称 BAA)?

我们帮助客户遵守 HIPAA,并愿意与所有客户签署 HIPAA BAA。有关详细信息,请参阅 HIPAA/HITECH 常见问题解答

Office 365 或 Microsoft Dynamics CRM Online 是否符合《格雷姆-里奇-比利雷法案》(简称 GLBA)的要求?

Office 365 和 Microsoft Dynamics CRM Online 通过提供技术和组织方面的保护措施,帮助客户维护安全性并防止未经授权的使用,从而帮助客户遵守 GLBA 的安全要求。

Microsoft 可根据请求向客户提供由独立审核员创建的、关于第三方认证的摘要报告。

Office 365 或 Microsoft Dynamics CRM Online 是否符合支付卡行业数据安全标准 (PCI DSS)?我可以通过贵方的服务托管信用卡数据吗?

Office 365 和 Microsoft Dynamics CRM Online 不支持处理、传输或存储 PCI 管理的数据,例如信用卡号。

PCI 标准不适用于 Office 365 或 Microsoft Dynamics CRM Online,因为 Office 365 或 Microsoft Dynamics CRM Online 不提供信用卡处理和数据存储功能。Office 365 和 Microsoft Dynamics CRM Online 致力于落实行业最佳实践(如 ISO 27001 和其他标准)规定的适用安全政策和控制措施。

但是,请注意,用于处理信用卡数据的 Office 365 和 Microsoft Dynamics CRM Online 订购、帐单和付款系统符合顶级 PCI 标准,客户可使用信用卡放心地支付服务费用。

Office 365 是否符合 FERPA?

虽然根据 FERPA,教育机构有多种义务,但 Microsoft 规定了用来约束使用和披露 Office 365 中可能存储的教育记录的关键合同条款,从而使教育机构能够在更广泛的 FERPA 合规性战略下使用 Office 365。

FERPA 要求从美国教育部获得资金的任何教育组织或机构通过确保“教育记录”不会未经同意即使用或披露来保护学生的隐私权。教育部明确指出,根据 FERPA,电子邮件通信被视为教育记录,云电子邮件提供商在如何使用或披露电子邮件和文档中的信息方面应遵守相似的限制。

FERPA 要求云提供商同意教职员工和学生电子邮件与其他电子文档中包含的“教育记录”将仅用于提供云服务这一特定用途,并且不会扫描或使用此类信息来支持和维护广告等商业活动。通过同意视“学校官员”在机构的数据方面受 FERPA 的关于“合法教育利益”的约束,并同意遵守 FERPA 对学校官员施加的限制和要求,包括同意不会出于广告目的扫描电子邮件或文档,Microsoft 为教育机构提供了遵守 FERPA 的途径。

?