Ugrás a tartalomtörzsre
Microsoft 365
Feliratkozás

Felkészülés az adatvédelmi előírások új korszakára a Microsoft Cloud segítségével

Mellett

A Microsoft jelentős tapasztalatot tudhat magáénak az adatok védelme, az adatvédelem ügyének előmozdítása és a komplex jogszabályoknak való megfelelés terén. A Microsoft betartja ezeket az adatvédelmi alapelveket, és minden ügyfelének felkínálja az EU-s mintazáradékokat. Úgy véljük, hogy az Általános adatvédelmi rendelet (GDPR) fontos előrelépés a magánszemélyek adatvédelemhez fűződő jogainak egyértelműsítésében és gyakorlásuk lehetővé tételében.

Közeleg az Általános adatvédelmi rendelet hatályba lépése, ezért szervezetének a hatósági auditok során és az adatszolgáltatási kérésekre válaszul rövidesen igazolnia kellhet, hogy meghozta a szükséges intézkedéseket ügyfelei személyes adatainak védelmére.

A megfelelő biztonsági óvintézkedések foganatosítása fontos lépés az elszámoltathatóság igazolása felé. Ugyanilyen fontos a megfelelő folyamatok bevezetése – egyebek között az érintettek általi kérésekre (Data Subject Request, DSR) való reagálás és az adatvédelmi incidensekről való értesítés esetére –, hogy szervezete megfeleljen a GDPR előírásainak, és elnyerje ügyfeleinek bizalmát.

Ma számos új információforrást és szolgáltatást jelentünk be, amely segít teljesíteni a GDPR-ből eredő kötelezettségeket a Microsoft Cloud szolgáltatásaival. A frissítések a következőket tartalmazzák:

  • A Microsoft Cloud új adatvédelmi eszközeinek és segédanyagainak nyilvános előzetes verziója
  • Az érintettek általi adatvédelmi kéréseknek a GDPR-szerinti kezelését segítő új lehetőségek a Microsoft Cloud minden szolgáltatásában
  • Az emelt szintű hozzáférések kezelésének (Privileged Access Management) új, auditálható funkciói az Office 365-ben
  • Annak lehetővé tétele, hogy egyetlen Office 365-ös bérlő több Office 365-ös adatközponti régióban is tárolhasson adatokat

A következőkben további részleteket olvashat, és számos egyéb frissítésről is tájékozódhat.

A GDPR előírásainak könnyebb teljesítése a Szolgáltatásmegbízhatósági portál segítségével

A GDPR betartásának megkönnyítésére ma új, a GDPR-rel kapcsolatos eszközöket és segédanyagokat jelentünk be. Ezek közé tartoznak a Szolgáltatásmegbízhatósági portál által nyújtott lehetőségek, amelyekkel kezelhetők az érintettek általi kérések és a biztonsági incidensekről szóló értesítések az Office 365, a Dynamics 365, az Azure, a Windows, az Intune és a professzionális szolgáltatások esetében.

A GDPR-rel összefüggő anyagaink között szerepel a biztonsági incidensekről szóló értesítésekkel kapcsolatos dokumentáció is. Ez ismerteti, hogy mikor és hogyan küld a Microsoft értesítést Önnek és másoknak a személyes adatokat érintő biztonsági incidensekről, milyen információkkal fog a Microsoft szolgálni, és hogy Ön milyen eszközökkel gondoskodhat arról, hogy értesítse szervezetében az illetékeseket.

Az érintettek általi kérésekkel kapcsolatos eszközöket és információforrásokat egyetlen lapon foglaltuk össze. Az itt található eszközök segítik a munkáját az Office 365 Biztonsági és megfelelőségi központban és az Azure Felügyeleti központban, a dokumentumok pedig ismertetik, hogy miképpen keresheti meg az adatokat a Microsoft Cloud szolgáltatásaiban, majd hogyan exportálhatja vagy törölheti őket.

További információért ismerkedjen meg a Szolgáltatásmegbízhatósági portál adatvédelmi eszközeivel és segédanyagaival.

Az érintettek általi kérések megválaszolása a Microsoft Cloud szolgáltatásaiban

Számos új funkciót alakítunk ki azért, hogy a Microsoft Cloud minden szolgáltatásában kezelni lehessen az érintettek általi kéréseket. Ezek közé tartozik az Office 365 új Adatvédelem lapja, az Azure DSR portál, illetve a Dynamics 365 új, érintettek általi kérések esetén használható keresési funkciója.

  • Az Office 365 Adatvédelem lapja – Az érintettek általi, az Office 365-tel kapcsolatos kérések hatékony és eredményes kezelése érdekében az Office 365 Biztonsági és megfelelőségi központját kibővítettük az Adatvédelem lappal. Az Adatvédelem lapon található egy a GDPR-nek szentelt szakasz, ahol a GDPR-rel kapcsolatos teendőket segítő dokumentációt olvashat, és egy külön fül könnyíti meg az érintettek általi kérések kezelését.

Az érintettek általi kérések kezelését szolgáló új felület eszközeivel létrehozható az érintett általi kérést tartalmazó eset, valamint szűkíthető kereséssel megkereshetők és exportálhatók az Office 365 különféle helyein – az Exchange-ben, a SharePointban, a OneDrive-on, a csoportokban és most már a Microsoft Teamsben – található adatok.

Az érintett általi adatkérések egyik alapesete, amikor egy kilépő alkalmazott kéri, hogy adják ki neki az adatait. Az ilyen és ehhez hasonló helyzetekre mostantól az Office 365 E5 csomag előfizetői számára általánosan elérhető a Speciális adatgazdálkodás eseményen alapuló megőrzési funkciója.

Az Office 365 Adatvédelem lapjáról és a Speciális adatgazdálkodás eseményen alapuló megőrzési funkciójáról a Tech Community blogjában olvashat bővebben.

Az Office 365 új, az érintettek általi kérést segítő felületének működését ebből a Mechanics-videóból ismerheti meg:

 

  • Az Azure DSR-portálja – terveink szerint 2018. május 25-ig, vagyis még a GDPR betartásának határideje előtt kibocsátjuk az érintettek általi kérések Azure-beli kezelésére szolgáló funkciót. Az Azure-bérlők rendszergazdái egyszerű és sokoldalú eszközzel dolgozhatják fel az érintettektől származó, a GDPR hatálya alá tartozó kéréseket. A bérlői rendszergazdák az Azure DSR portál segítségével azonosítani tudják az adott felhasználóval kapcsolatos információkat, majd korrigálhatják, módosíthatják, törölhetik vagy exportálhatják a felhasználó adatait. A rendszergazdák a rendszer által generált naplókban (vagyis a Microsoft által egy adott szolgáltatás biztosításához generált adatokban) is azonosíthatják az érintettel kapcsolatos információkat, és teljesíthetik a kéréseket.

Az érintettek általi kérések kezelését segítő Azure DSR-portál.

További információért keresse fel az Azure blogját.

  • A Dynamics 365 funkciói az érintettek által kért adatok megkeresésére – Annak megsegítésére, hogy ügyfeleink reagálni tudjanak az érintettek általi kérésekre a Dynamics 365-ben, két új keresési funkciót kínálunk: A relevanciaalapú keresést és a személykeresési jelentést. Az Azure Search szolgáltatásra épülő relevanciaalapú kezeléssel gyorsan és egyszerűen megtalálhatja, amit keres. A személykeresési jelentés több, a Microsoft által készített, előre csomagolt bővíthető entitást kínál, amelyek alapján azonosíthatók az adott személyt és a hozzájuk esetleg rendelt szerepköröket jellemző adatok.

A biztonsági incidensek kezelése a GDPR új előírásainak megfelelően

A szervezeteknek a GDPR miatt szigorúbb követelményeknek kell megfelelniük biztonsági incidens esetén. Ennek részeként értesíteniük kell a hatóságokat és a biztonsági incidensben érintetteket is – általában 72 órán belül attól számítva, hogy tudomást szereznek az incidensről. A Microsoft 365 többféle hatékony funkcióval segíti a biztonsági incidensek megelőzését, észlelését és a rájuk való reagálást. Az Office 365 Komplex veszélyforrások elleni védelem (ATP) például azzal fokozza a szervezetek Office 365-ös ökoszisztémájának biztonságát, hogy védi a felhasználói fiókokat és az üzleti szempontból kritikus fájlokat a kártékony e-mailek hatásától. A Windows Defender ATP elsődleges rendeltetése, hogy megóvja a felhasználói fiókokat a kártékony webes fájloktól és az eszközökön lévő kártevőktől.

A „Komplex veszélyforrások elleni védelem: biztonságos mellékletek” szolgáltatás útját állja a kártékony e-mail-mellékleteknek.

Ha a Microsoft megállapítja, hogy személyes adatokat érintő, a GDPR definíciójának megfelelő biztonsági incidens következett be, akkor értesíti erről a bérlő rendszergazdáját. Ezenkívül azt is javasoljuk, hogy a szervezetek adják meg az adatvédelmi kapcsolattartó aliast az Azure Active Directoryban, mert a rendszergazdákon kívül ez a cím is megkapja az értesítést.

A felhasználói hozzájárulás megszerzése, feldolgozása és ellenőrzése az Azure Active Directoryval

A GDPR-re tekintettel a cégeknek képesnek kell lenniük a felhasználók hozzájárulásának feldolgozására, valamint auditálásra alkalmas jelentések elkészítésére. Az Azure Active Directory használati feltételeinek köszönhetően a szervezetek számára mostantól egyszerű a felhasználók hozzájárulásának megszerzése, feldolgozása és ellenőrzése. Megkövetelhető a felhasználóktól, hogy elolvassák és elfogadják a szervezet használati feltételeit, mielőtt hozzáférést kapnak egy alkalmazáshoz. ​Feltételekként bármilyen, a szervezet üzleti vagy jogi szabályaival kapcsolatos dokumentum megadható.

Példa az Azure Active Directory használati feltételeinek több nyelven történő megadására.

Részletesebb tájékoztatást az Azure Active Directory használati feltételeinek dokumentációja tartalmaz.

Auditálásra alkalmas rendszabályok az emelt szintű rendszergazdai hozzáférésre vonatkozóan

A szervezetek arra törekszenek, hogy minimálisra csökkenték az emelt szintű fiókokat fenyegető veszélyforrásokból eredő incidensek kockázatát, ugyanakkor reagálniuk kell a hatóságok kéréseire, és olyan dokumentált nyilvántartást kell vezetniük az emelt szintű hozzáférésről, amelyből megállapítható, hogy miképpen került sor az ügyfél adatainak elérésére. A Microsoft 365 részeként ma új funkciókat vezetünk be az emelt szintű hozzáférés kezelése terén, hogy a szervezetek jobban megóvhassák az adataikat, és meg tudjanak felelni a jogszabályi követelményeknek. Az új funkciók auditálásra kész, időhöz kötött és az adatok elérésének korlátozására alkalmas hozzáférés-vezérlési lehetőségeket nyújtanak.

Az Office 365 emelt szintű hozzáférés-kezelési funkcióival vezetett nyilvántartásnak köszönhetően jobban megvédhetők az adatok, és az Office 365-ön belüli nagy kockázatú műveletek kötelező erejű jóváhagyási munkafolyamathoz kapcsolhatók. A széles körű rendszergazdai jogosultságok engedélyezik a rendszergazdáknak olyan műveletek végrehajtását, amellyel minden korlátozás nélkül hozzáférhetnek a szervezet adataihoz; például olyan naplószabályt hozhatnak létre, amely külső postaládának küld üzeneteket, ezáltal észrevétlenül szivárogtathat ki kényes adatokat. Az Office 365 emelt szintű hozzáférés-kezelése révén olyan házirendek léptethetők érvénybe, amelyek jóváhagyáshoz kötik az ilyen nagy kockázatú műveletek végrehajtását. A hozzáférési kérések jóváhagyása történhet automatikusan és manuálisan is, és a rendszer auditálható formában naplóz minden ilyen tevékenységet. További tájékoztatásért nézze meg ezt a videót:

Örömünkre szolgál, hogy elkezdhetjük az emelt szintű hozzáférés-kezelés nyilvános előzetesének bevezetését az Office 365-ben. Első lépésként keresse fel az Office előzeteseinek lapját (írja be a PAM044 kódot), és olvassa el a Tech Community részletes blogját.

Az adatok tárolási helyére vonatkozó előírások betartása

Az államok, az egyéb hatóságok és a vállalatokra vonatkozó követelmények az adatok tárolási helyére vonatkozó irányelveket írnak elő az adatvédelmi problémák kezelésére. Ezek az irányelvek tiltják az információk országhatárokon keresztül történő szabad áramlását, és megkövetelik, hogy a szervezetek meghatározott földrajzi régiókon belül tárolják az adatokat. A GDPR nem írja elő ugyan kötelező jelleggel az adatok tárolási helyét, mégis sok ügyfelünktől kaptuk azt a jelzést, hogy rugalmasságra van szüksége az adatok tárolásának meghatározott régiókban történő tárolása terén, hogy meg tudjanak felelni az adatok tárolási helyére vonatkozó regionális, iparági vagy szervezeti követelményeknek.

A Multi-Geo Capabilities szolgáltatásnak köszönhetően egyetlen Office 365-ös bérlő több Office 365-ös adatközpontra (földrajzi régióra) is kiterjedhet, így az ügyfelek minden egyes alkalmazott esetében kiválaszthatják, hogy melyik földrajzi régióban tárolják az Office 365-ös adatokat. A Multi-Geo funkció már igénybe vehető az Exchange Online-ban és a OneDrive Vállalati verzióban. További információt a Globális adattárolási vezérlők az Office 365 Multi-Geo funkcióival című cikkben talál.

Induljon el a Microsoft Clouddal a GDPR-megfelelőség útján

Akárhol tart is a GDPR-nek való megfelelés elérésében, szívesen segítjük ezen az úton, és számos olyan információforrást és eszközt biztosítunk, amellyel még ma belevághat:

Többet is megtudhat arról, hogy a Microsoft hogyan segíthet a GDPR-re való felkészülésben.

– Alym Rayani, a Microsoft 365 igazgatója