Siirry pääsisältöön
Microsoft 365
Tilaa

Uuteen tietosuojasäädösten aikakauteen valmistautuminen Microsoft Cloudissa

Ohi

Microsoftilla on laaja kokemus tietojen suojaamisesta, tietosuojan edistämisestä ja monimutkaisten säännösten noudattamisesta. Microsoft noudattaa tiettyjä tietosuojaperiaatteita ja tarjoaa EU:n mallilausekkeet kaikille asiakkaille. Uskomme, että Yleinen tietosuoja-asetus (GDPR) on tärkeä askel kohti yksilöllisten tietosuojaoikeuksien selkeyttämistä ja käyttöönottoa.

GDPR:n käyttöönottopäivän lähestyessä organisaatiosi täytynee piakkoin pystyä osoittamaan, että asianmukaisiin toimiin asiakkaiden henkilökohtaisten tietojen suojaamisen osalta on ryhdytty säänneltyjen auditointien ja tietopyyntöjen mukaisesti.

Asianmukaisen suojauksen hallinnan käyttöönotto on olennainen askel vastuullisuuden osoittamisessa. Yhtä tärkeää on myös oikeiden prosessien käyttö, kuten Data Subject Request (DSR) -pyyntöön vastaaminen ja tietomurrosta ilmoittaminen, jotka tulevat yrityksesi GDPR-yhdenmukaisuutta ja joiden avulla ansaitset asiakkaittesi luottamuksen.

Juuri nyt julkaisemme useita uusia resursseja ja ominaisuuksia, jotka toimivat tukenasi vastatessasi GDPR-velvoitteisiin Microsoft Cloudissa. Näihin päivityksiin kuuluvat:

  • Uusien tietosuojaresurssien julkinen ennakkoversio kaikkialla Microsoft Cloudissa.
  • Uusia ominaisuuksia DSR:ien tueksi kaikkialla Microsoft Cloud -palveluissa GDPR:ää varten.
  • Uudet, auditointivalmiit Privileged Access Management -ominaisuudet Office 365:ssä.
  • Mahdollistaa sen, että yksi Office 365 -vuokraaja kattaa useita Office 365 -palvelinkeskusalueita.

Saat tarkempia tietoja tästä ja monista muista päivityksistä jatkamalla lukemista.

Paranna mahdollisuuksiasi GDPR-velvoitteiden täyttämiseen Service Trust Portalin avulla

GDPR:n tukemiseksi julkaisemme nyt julkisen ennakkoversion uusista GDPR:ään liittyvistä työkaluista ja resursseista, mukaan lukien DSR:t ja tietomurtoilmoitukset Office 365:lle, Dynamics 365:lle, Azurelle, Windowsille, Intunelle ja asiantuntijapalveluille Service Trust Portalissa.

GDPR-resursseihin kuuluvat tietomurtoilmoitusten dokumentaatio, jossa kuvaillaan, milloin ja miten Microsoft ilmoittaa sinulle ja muille henkilökohtaisista tietomurroista, mitä tietoja Microsoft tarjoaa sekä työkalut, joita voit käyttää sen varmistamiseksi, että tieto kulkee oikeille henkilöille organisaatiossasi.

Olemme keskittäneet kaikki DSR-resurssimme yhdelle sivulle, joka tarjoaa työkaluja, joita voit hyödyntää Office 365:n tietoturva- ja yhteensopivuuskeskuksessa ja Azure-hallintakeskuksessa. Lisäksi se tarjoaa asiakirjoja avuksesi tietojen paikantamisessa, viemisessä ja poistamisessa Microsoft Cloud -palvelusta.

Käy Service Trust Portal -tietosuojaresursseissa lisätietojen saamiseksi.

DSR:iin vastaaminen Microsoft Cloud -palveluissa

DSR:ien tukemiseksi kaikkialla Microsoft Cloud -palveluissa olemme ottamassa käyttöön useita eri ominaisuuksia, mukaan lukien Tietosuoja-välilehden Office 365:ssä, Azure DSR-portaalin ja uusia DSR-hakuominaisuuksia Dynamics 365:ssä.

  • Office 365:n Tietosuoja -välilehti – Sen avulla voit tehokkaasti hallinnoida Office 365:een liittyviä DSR:iä, sillä lisäsimme Tietosuoja-välilehden (ennakkoversiossa) Office 365:n tietoturva- ja yhteensopivuuskeskukseen. Tietosuoja-välilehdellä on osio, joka koskee GDPR:ää ja sisältää asiakirjoja ja resursseja GDPR-asioiden hoitamiseen sekä välilehden DSR:n suorittamiselle.

Uusi DSR-toiminto on suunniteltu tarjoamaan työkalut tietojen kohteen pyyntötapauksen luomiseen, asianmukaisten tietojen hakemiseen ja määrittämiseen kaikissa Office 365 -kohteissa, kuten Exchangessa, SharePointissa, OneDrivessa, Ryhmissä ja nyt myös Microsoft Teamsissa, ja tietojen viemiseen.

Eräs organisaation kohtaamista DSR-skenaarioista esiintyy, kun lähtevä työntekijä pyytää tietojaan itselleen. Tämän skenaarion ja muiden vastaavien tapausten hoitamiseksi kehittyneen tiedonhallinnan tapahtumapohjainen säilytysominaisuus on nyt yleisesti saatavilla Office 365 E5 -asiakkaille.

Office 365:n uudesta Tietosuoja-välilehdestä ja kehittyneen tiedonhallinnan tapahtumapohjaisesta tietojen säilytyksestä on lisätietoja Tech Community -yhteisön blogissa.

Katso Mechanics-videolta, miten DSR-ominaisuus toimii Office 365:ssä:

 

  • Azuren DSR-portaali – Aiomme julkaista Azuren DSR:ien käsittelytoiminnon ennen GDPR-yhdenmukaisuuden käyttöönoton määräaikaa eli ennen 25. toukokuuta 2018. Azuren vuokraajajärjestelmänvalvojilla on tällöin yksinkertainen, tehokas työkalu DSR:ien käsittelyyn GDPR:ää varten. Azuren DSR-portaalia käyttämällä vuokraajajärjestelmänvalvojat voivat tunnistaa käyttäjään liittyvät tiedot ja sitten korjata, lisätä, poistaa tai viedä käyttäjän tiedot toisaalle. Järjestelmänvalvojat voivat myös tunnistaa tietoja, jotka liittyvät tiedon kohteeseen ja pystyvät suorittamaan DSR:t järjestelmän luomia lokeja vastaan (tietoja, jotka Microsoft luo tietyn palvelun tarjoamiseksi).

Azuren DSR-portaali DSR:ien käsittelyn tueksi.

Lue lisää Azuren blogista.

  • Dynamics 365:n DSR:n hakuominaisuudet – Tarjoamme kaksi uutta hakuominaisuutta, joiden avulla asiakkaat voivat helpommin vastata DSR:iin Dynamics 365:ssä: Osuvuushaun ja Henkilöhakuraportin. Osuvuushaku tarjoaa nopean ja helpon tavan haettavien tietojen löytämiseen ja se käyttää Azure-hakua toimintaansa. Henkilöhakuraportti tarjoaa valmiiksi paketoidun joukon laajennettavia kohteita, jotka Microsoft on luonut, joilla voidaan tunnistaa henkilötiedot, joita on käytetty henkilön määrittämiseen sekä roolit, joita heille on saatettu määrittää.

Tietomurtojen käsittely uusien GDPR-määräysten mukaisesti

GDPR:ää varten organisaatioiden on noudatettava tiukempia vaatimuksia tietomurtojen varalta. Tämä sisältää asiasta ilmoittamisen sekä valvovalle taholle että tietomurrosta kärsiville, tavallisesti 72 tunnin kuluessa tietomurron havaitsemisesta. Microsoft 365:ssä on tehokkaita ominaisuuksia, joiden avulla voidaan suojautua, havaita ja reagoida tietomurtoihin. Esimerkiksi Office 365 Advanced Threat Protection (ATP) suojaa organisaation Office 365 -järjestelmää estämällä haitallisia sähköposteja tai liiketoiminnan kannalta tärkeitä tiedostoja vaarantamasta käyttäjätiliä. Windows Defender ATP keskittyy suojaamaan järjestelmää haitallisilta verkkopohjaisilta tiedostoilta tai haittaohjelmilta niin, etteivät ne vioita käyttäjätiliä.

ATP:n turvalliset liitteet -toiminto estää haitallisen sähköpostiliitteen.

Mikäli Microsoft tunnistaa henkilötietomurron GDPR:n määritysten mukaisesti, ilmoitamme asiasta vuokraajajärjestelmänvalvojallesi. Lisäksi suosittelemme, että määrität Azure Active Directoryyn tietosuojayhteyshenkilön aliaksen, jolle myös ilmoitetaan asiasta järjestelmänvalvojien lisäksi.

Käyttäjien suostumusten kerääminen, käsittely ja tarkastelu Azure Active Directorylla

GDPR:n myötä yrityksillä pitää nyt olla keino käyttäjien suostumusten käsittelyyn sekä olla myös auditointivalmis raportointimenetelmä. Azure Active Directoryn käyttöehtojen ansiosta organisaatioilla on nyt helppo tapa kerätä, käsitellä ja tarkastella käyttäjien suostumuksia. Voit edellyttää, että käyttäjä lukee ja suostuu organisaatiosi käyttöehtoihin ennen kuin he pääsevät käyttämään sovellusta. ​Ehdot voivat olla mikä tahansa asiakirja, joka koskee organisaatiosi liiketoiminta- tai oikeuskäytäntöjä.

Esimerkki Azure Active Directoryn käyttöehdoista, joissa useita kieliä.

Lue lisätietoja Azure Active Directoryn käyttöehdot -asiakirjoista.

Hyödynnä auditointivalmiita hallintatoimintoja etuoikeutetuissa järjestelmänvalvojan käyttöoikeuksissa

Organisaatiot haluavat minimoida tietomurtojen riskit etuoikeutettuihin tileihin kohdistuvilta uhilta, mutta samalla myös huomataan, että organisaatioiden pitää vastata valvoville tahoille ja niillä pitää olla dokumentoitu ketju etuoikeutettujen käyttöoikeuksien käytöstä, josta selviää, miten asiakkaan tietoja käytetään. Esittelemme nyt uudet Privileged Access Management -ominaisuudet Microsoft 365:ssä, joiden avulla organisaatiot voivat suojata tietonsa ja vastata näihin yhdenmukaisuusvelvoitteisiin. Nämä ominaisuudet tarjoavat auditointivalmiit käyttöoikeuskomennot, jotka ovat aikasidonnaisia ja joiden avulla tietojen käytön alaa voidaan rajoittaa.

Office 365:n Privileged Access Managementin avulla pystyt suojaamaan tietosi paremmin jäljittämällä tai ottamalla käyttöön hyväksymistyönkulun, joka on suunnattu suuren riskin tehtäviin Office 365:ssä. Esimerkiksi laajojen järjestelmänvalvojan käyttöoikeuksien ansiosta järjestelmänvalvojat pystyvät suorittamaan tehtäviä, jotka voivat tarjota vapaan pääsyn organisaation tietoihin, kuten kirjaussääntöön, joka voi lähettää sähköposteja ulkoiseen sähköpostilaatikkoon ja poimia luottamuksellisia tietoja huomaamatta. Office 365:n Privileged Access Managementin avulla voit ottaa käyttöön käytäntöjä, jotka edellyttävät hyväksyntää ennen kuin kukaan pystyy suorittamaan näitä suuren riskiin tehtäviä. Pääsypyynnöt voidaan hyväksyä automaattisesti tai manuaalisesti, ja kaikki toiminnot kirjataan lokiin ja ovat auditoitavissa. Lisätietoja saat tästä videosta:

Olemme innoissamme voidessamme julkaista tämän Office 365:n Privileged Access Managementin julkisen ennakkoversion. Pääset alkuun käymällä Officen ennakkoversiot -sivulla (syötä koodi PAM044) ja lukemalla yksityiskohtaiset tiedot Tech Community -yhteisön blogista.

Globaalien tietojen säilytysvaatimusten täyttäminen

Hallitukset, kolmansien osapuolten valvontatahot ja yritysten yhdenmukaisuusvaatimukset ottavat käyttöön yhä enemmän tietojen säilytysohjeita tietoturvaa koskevien ongelmien ratkaisemiseksi. Nämä ohjeet rajoittavat tietojen vapaata kulkua rajojen yli ja edellyttävät sitä, että organisaation tiedot ovat tallennettuina määrätyillä alueilla. Vaikka GDPR ei valtuuta tietojen säilytystä, monet asiakkaistamme ovat kertoneet, että he tarvitsevat enemmän joustavuutta tietojensa tallentamiseen tietyillä alueilla voidakseen vastata paikallisiin, alakohtaisiin tai organisaatiokohtaisiin tietojen säilytysvaatimuksiin.

Multi-Geo Capabilities mahdollistaa sen, että yksi Office 365 -vuokraaja kattaa useita Office 365 -palvelinkeskusalueita ja tarjoaa asiakkailleen mahdollisuuden Office 365 -tietojensa tallentamiseen vapaasti ja työntekijäkohtaisesti haluamillaan alueilla. Multi-Geo on julkaistu Exchange Onlinelle ja OneDrive for Businessille. Saat lisätietoja artikkelista “Maailmanlaajuisten tietojen sijainnin hallinta hyödyntämällä tietojen tallennusta useisiin sijainteihin Office 365:ssä (Multi-Geo Capabilities)” to learn more.

GDPR-prosessin aloittaminen heti Microsoft Cloudin avulla

Riippumatta siitä, missä vaiheessa GDPR-toimenpiteitä olet, olemme valmiita auttamaan matkallasi kohti GDPR-yhdenmukaisuutta ja käytössäsi on useita resursseja, joiden avulla pääset alkuun vaikka heti:

Lue lisää siitä, miten Microsoft voi auttaa valmistautumaan GDPR:ää varten.

– Alym Rayani, Microsoft 365 -johtaja