Поддержка программы GDPR с контрольными списками готовности к подотчетности

Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения см. в разделе Сводка ПО GDPR.

Контрольные списки готовности к подотчетности

Контрольные списки готовности к подотчетности помогают получить удобный доступ к информации, необходимой для поддержки GDPR при использовании продуктов и служб Майкрософт. В контрольном списке перечислены потенциальные обязательства, которые могут возникнуть в соответствии с GDPR, и приводятся сведения, которые можно использовать для обеспечения соответствия требованиям вашей организации.

Существует специальное руководство для следующих семейств продуктов и служб Майкрософт:

• Azure
• Dynamics 365
• Служба поддержки и профессионального обслуживания Майкрософт
• Office 365
• Windows

Элементы в этом контрольном списке можно управлять с помощью диспетчера соответствия требованиям и ссылки на идентификатор элемента управления и название элемента управления в разделе Элементы управления, управляемые клиентом, на плитке GDPR.

Контрольные списки включают четыре основные категории рекомендаций для программы конфиденциальности, поддерживающей GDPR, перечисленные здесь, а также примеры требований.

1. Условия для сбора и обработки данных:

   • Когда получено согласие?
   • Определение и документирование цели
   • Оценка влияния на конфиденциальность

2. Права субъектов данных

   • Определение информации для субъектов личных сведений (субъектов данных)
   • Предоставление механизма для изменения или отзыва согласия

3. Конфиденциальность по проектированию и по умолчанию

   • Ограничение коллекции
   • Соблюдение уровней идентификации
   • Временные файлы

4. Защита и безопасность данных

   • Общие сведения об организации и ее контексте
   • Планирование
   • Политики информационной безопасности

Клиентские договора

• Условия использования веб-служб. Договорные обязательства Корпорации Майкрософт в отношении GDPR можно найти в условиях использования веб-служб.
• Условия использования продуктов Майкрософт. Корпорация Майкрософт выполняет обязательства, указанные в условиях GDPR, в отношении всех клиентов с корпоративным лицензированием.
• Приложение о защите данных. Обязательства, касающиеся служб Майкрософт, распространяются на клиентов консультационных служб Майкрософт и других клиентов.

Средства контроля соответствия требованиям GDPR

• Применение диспетчера соответствия требованиям. Просматривайте и внедряйте средства контроля, которые корпорация Майкрософт использует для поддержки обязательств, накладываемых GDPR, с помощью диспетчера соответствия требованиям.
• Сопоставление средств контроля GDPR. Воспользуйтесь комплексным сопоставлением средств контроля Майкрософт с обязательствами по GDPR.

Записи обработки для процессоров

В связи с масштабом и широтой веб-службы, предоставляемых корпорацией Майкрософт в качестве обработчиков для своих клиентов-контроллеров, корпорация Майкрософт ожидает, что клиенты будут определять службы, для которого они ищут записи для обработки, и извлекать соответствующие журналы в веб-средствах, предоставляемых корпорацией Майкрософт. Одним из примеров является запись обработки для Azure, в которой клиенты определяют, какие типы действий по обработке они ищут записи.

Журналы Azure

Как правило, клиентов интересуют журналы действий и, возможно, журналы диагностики:

• Журналы действий. Журналы действий предоставляют аналитику об операциях, выполненных над ресурсами в подписке. Журналы действий помогают определить инициатора, время возникновения и состояние операции.
• Журналы диагностики. Журналы диагностики — это все журналы, созданные каждым ресурсом. К ним относятся журналы системных событий Windows, журналы хранилища Azure, журналы аудита Key Vault, а также журналы доступа к шлюзу приложения и брандмауэра.
• Архивация журналов. Все журналы диагностики записываются в централизованную зашифрованную учетную запись хранения Azure для архивации. Хранение настраивается пользователем на срок до 730 дней, чтобы соблюдать требования к хранению в конкретной организации. Эти журналы подключаются к журналам Azure Monitor для обработки, хранения и создания отчетов панели мониторинга.

Другие журналы

Кроме того, в рамках этой архитектуры установите следующие решения мониторинга. Настройте следующие решения для согласования с элементами управления безопасностью FedRAMP:

• Оценка AD. Решение проверки работоспособности Active Directory регулярно оценивает риск и работоспособность серверных сред. Он предоставляет список приоритетных рекомендаций, относящихся к развернутой инфраструктуре сервера.
• Оценка защиты от вредоносных программ. Решение для защиты от вредоносных программ сообщает о вредоносных программах, угрозах и состоянии защиты.
• Служба автоматизации Azure. Решение службы автоматизации Azure сохраняет, выполняет и управляет модулями Runbooks.
• Безопасность и аудит. Панель мониторинга "Безопасность и аудит" предоставляет общие сведения о состоянии безопасности ресурсов. Он предоставляет метрики о доменах безопасности, важных проблемах, обнаружениях, аналитике угроз и распространенных запросах безопасности.
• Оценка SQL. Решение проверки работоспособности SQL регулярно оценивает риск и работоспособность серверных сред. Он предоставляет список приоритетных рекомендаций, относящихся к развернутой инфраструктуре сервера.
• Управление обновлениями. Решение "Управление обновлениями" позволяет клиентам управлять обновлениями безопасности операционной системы. Он включает состояние доступных обновлений и процесс установки необходимых обновлений.
• Работоспособность агента. Решение работоспособности агента сообщает о количестве развернутых агентов и их географическом распределении. Он также сообщает, сколько агентов не отвечает, и количество агентов, отправляющих операционные данные.
• Журналы действий Azure. Решение аналитики журналов действий помогает с анализом журналов действий Azure во всех подписках Azure для клиента.
• Отслеживание изменений. Решение отслеживания изменений позволяет клиентам легко находить изменения в среде.

Сведения о технических мерах и мерах безопасности для Azure доступны управляющим клиентам в документации по безопасности Azure. Так как корпорация Майкрософт не знает, являются ли Данные клиента личными данными или нет, Azure обрабатывает все Данные клиента, как если бы они были личными данными, чтобы клиент рассматривал все материалы как важные.

Информация об обработчике данных

Другой продукт, который клиентам могут потребоваться записи об обработке информации для обработчиков, — это Office 365. Сведения, связанные с Office 365, см. в статье Поиск по журналу аудита в Центре безопасности и соответствия требованиям.

Сведения о Dynamics 365 также можно просмотреть с помощью Центра соответствия требованиям безопасности &. Чтобы просмотреть страницу Центр соответствия требованиям безопасности &, убедитесь, что у вас есть правильная лицензия. Дополнительные сведения о лицензировании см. в статье Центр безопасности и соответствия требованиям. Чтобы найти события Dynamics 365, посетите единый журнал аудита в Центре безопасности и соответствия требованиям.

Сведения о профессиональных услугах

Для профессиональных услуг представитель клиента предоставляет инженеру службы поддержки данные о поддержке профессиональных служб. Такой обмен данными может происходить, когда клиент отправляет запрос на обслуживание через интернет-портал продукта, Центр служб или по телефону.

Системы CRM хранят эту информацию и используют ее только для следующих целей:

• Предоставление профессиональных услуг, включая предоставление технической поддержки, профессионального планирования, консультаций, рекомендаций, миграции данных, развертывания и решений или служб разработки программного обеспечения.
• Устранение неполадок, которое включает в себя предотвращение, обнаружение, исследование, устранение и устранение проблем, включая инциденты безопасности.
• Постоянное улучшение, которое включает в себя обслуживание профессиональных служб, установку последних обновлений и улучшение надежности, эффективности, качества и безопасности.

Из-за масштабов операций поддержки корпорация Майкрософт использует систему CRM на основе групп продуктов. Записи обработки находятся в этих системах. Записи, храняемые в системах CRM, отражают историю обработки. В большинстве случаев порталы или Центр служб предоставляют журнал запросов на обслуживание. Для получения каких-либо конкретных сведений, недоступных на порталах, или любых других запросов об обработке ваших данных, обратитесь к техническому менеджеру по работе с клиентами или обратитесь в службу технической поддержки Майкрософт.

Дополнительные сведения

• Центр управления безопасностью (Майкрософт)