Безопасность и конфиденциальность в Office 365

Статья подготовлена it-partner.ru

Пока не стихают слухи и споры вокруг безопасности данных в облаке, мы расскажем о том, что можно ожидать от облака Microsoft — Office 365, а главное — какие гарантии получит клиент и какими документами это подтверждается.

Для начала, общая информация:

Обзор

Стандарты

ISO 27001 — один из ключевых мировых стандартов безопасности. Office 365 первый среди облачных сервисов был признан соответствующим руководящим принципам ISO 27001.

EU Safe Harbor — Office 365 стал первым облачным сервисом, который предполагает подписание Договора на соответствие Положению по обеспечению безопасности Европейского союза со всеми клиентами. Для предприятий, находящихся на территории ЕС, соответствие EU Safe Harbor определяет возможность трансграничной передачи данных пользователей в США. При использовании сервисов Office 365 здесь (ссылка доступна администратору активной подписки) Вы можете найти данное Соглашение среди других контактных дополнений.

HIPAA Business Associate Agreement  (HIPAA BAA)  — Office 365 стал первым облачным сервисом, который с каждым клиентом подписывает Соглашение HIPAA (определяет стандарты обработки медицинских данных пользователей). Также можно найти среди контрактных дополнений  (ссылка доступна администратору активной подписки), также можете познакомиться с текстом (англ.) здесь.

Федеральный закон США об управлении информационной безопасностью Federal Information Security Management Act (FISMA)— стандарт Федерального агентства США.

Закон о правах семьи на образование и неприкосновенность частной жизни  Family Educational Rights and Privacy Act (FERPA) — стандарт, в соответствии с которым Microsoft отказались сканировать личную информацию и почтовую корреспонденцию с целью использования в рекламных кампаниях. Это одно из существенных отличий Office 365 от других провайдеров облачных сервисов.

Соответствие стандартам сопутствующих аудиту №16 — Office 365 предоставляет отчеты SSAE16 SOC 1 типа I и типа II, прошел аудиторскую проверку третьими лицами.

Закон о защите личной информации и электронных документов Канады PIPEDA — соответствие Office 365 требованиям канадского законодательства в сбора, обработки и раскрытия личной информации.

Закон Грэмма-Лича-Байли GLBA — данный закон накладывает требования по защите конфиденциальной информации на финансовые учреждения. Office 365 прошел контроль на соответствие закону Грэмма-Лича-Байли.

U.K. G-Cloud IL2 — стандарты обеспечения сохранности информации для правительства Великобритании.

CJIS — Office 365 аккредитован Центром безопасности ФБР США по информационному обслуживанию.

Внутренний стандарт Microsoft в области разработки:

Microsoft Security Development Lifecycle

С 2002 года Microsoft по программе Trustworthy Computing initiative распространяет лучшие методы безопасности внутри компании и во всей отрасли. Важная часть этой программы – Протокол  SDL Microsoft Security Development Lifecycle. Все продукты и сервисы, входящие в состав Office 365, спроектированы и созданы в соответствии с жесткими правилами безопасности, предусмотренными в Microsoft Security Development Lifecycle (SDL).

Конфиденциальность

Основной документ, который определяет обработку данных клиента — Соглашение DPA — Приложение к Microsoft Online Subscription Agreement.

В своей действующей учетной записи подписчики могут найти здесь два дополнения к основному Соглашению (англ.). Предлагаем познакомиться с текстами: (MOS11)MOSAmend(DataProcessingAgreement)(WW)(ENG)(Mar2013)  и (MOS12)MOSAmend(DPAgreement-Model Clauses)(WW)(ENG)(Mar2013).

Соглашаясь на условия использования Office 365, Вы соглашаетесь со всеми пунктами Microsoft Online Subscription Agreement и дополнениями к нему.

Итак, в соответствии с этим с Соглашением об обработке данных, все данные клиента не принадлежат Microsoft — данными владеет конкретный пользователь.

Цитата DPA Agreement:

Функции сторон.

В отношении Веб-служб, Клиент выступает в качестве управляющего данными, а Microsoft — в качестве обработчика данных, действующего от имени Клиента. В качестве обработчика данных Microsoft будет действовать исключительно согласно указаниям Клиента.

В данном случае Клиент — это организация, которая обрабатывает данные пользователя. Например, персональные данные сотрудника: владелец — сотрудник, Клиент Office 365 — организация, в которой он работает, Microsoft — поставщик облачных сервисов для данной организации.

Это подтверждает и Заявление Microsoft о конфиденциальности Office 365.

Microsoft не передает данные третьим лицам. Основные цитаты: из Заявления о конфиденциальности:

Сведения, относящиеся к данным клиента, данным администратора или данным о платежах («сведения клиента»), не передаются за пределы корпорации Майкрософт или управляемых ею дочерних компаний и аффилированных лиц, за исключением оговоренных клиентом случаев, в соответствии с соглашениями клиента или настоящим заявлением о конфиденциальности….

Корпорация Майкрософт не будет по существу отвечать на запросы о защите и обеспечении конфиденциальности данных со стороны пользователей клиента без получения его предварительного письменного согласия, если это не является обязательным в рамках действующего законодательства…

Обратите внимание, Microsoft рассматривает требования по раскрытию данных клиента только соответствующие законодательству той страны, где они «физически» находятся. То есть, если данные расположены в ЦОДах на территории Нидерландов, то законным требованием о раскрытии данных будет только решение голландского суда. При этом, если по решению суда не будет запрещено обратное, Microsoft известит клиента о разглашении.

Безопасность данных

Цитата DPA Agreement:

5. Технические и организационные меры безопасности.

Microsoft предпримет технические и организационные меры для защиты Данных клиента от несанкционированного использования, доступа или раскрытия.

Что именно подразумевается под мерами защиты:

Центры обработки данных

Данные Office 365 хранятся в собственной сети Microsoft, состоящей из центров обработки данных, расположенных в стратегически важных местах по всему миру. В этом видео можете увидеть, как защищены дата-центры Майкрософт:

[View:https://youtu.be/jDfDtmCeI_Y:0:0]

Уровень обслуживания и доступность служб

Полностью определяются Соглашением об уровне обслуживания. Кратко о том, что гарантирует данное Соглашение: все службы будут доступны в течение 99,9% всего времени, а также строго определены рамки защиты от спама и вирусов, ложных срабатываний. В противном случае, Microsoft покрывает финансовые издержки. Механизм расчета, точное определение «простоя» каждой из служб — всё это подробно описано в документе.

Комментарии к Федеральному закону "О персональных данных" (152-ФЗ)

Office 365 обладает характеристиками, которые позволяют клиентам выполнить требования Федерального закона «О персональных данных» (152-ФЗ). Возможность использования O365 в каждом отдельном случае будет определяться особенностями клиентской информационной системы персональных данных. Более подробные комментарии юристов можно найти здесь.