El compliment és un procés continu i una responsabilitat compartida. Microsoft està invertint en característiques i funcionalitat addicionals per ajudar a les organitzacions a aconseguir els seus objectius de compliment del RGPD.
El camí per aconseguir el compliment del RGPD comença amb l’enfocament en quatre passos clau:
Detectar
El primer pas cap al compliment del RGPD és avaluar si el RGPD s’aplica a la seva organització i, en aquest cas, quines dades sota el seu control estan subjectes al RGPD. Aquesta anàlisi inclou entendre què dades té i on es troben. L’adopció d’un esquema de classificació que s’aplica en tota la seva organització li ajuda a respondre a les sol·licituds d’un subjecte de dades, ja que li permet identificar i processar més ràpidament les sol·licituds de dades personals.
Administrar
Administrar l’accés i controlar l’ús i accés a les dades personals és fonamental per al compliment del RGPD. Els serveis de Office 365 proporcionen capacitats d’administració des del núvol per ajudar-li a complir amb els requisits d’administració de dades.
Protegir
El RGPD requereix que les organitzacions incorporin principis de privadesa i protecció de dades en els seus productes i serveis.
De forma predeterminada, les dades personals en trànsit i en repòs estan xifrats en Exchange Online, OneDrive per a l’Empresa, SharePoint Online i Skype Empresarial (en veu, video, transferència d’arxius i missatges instantanis de Skype a Skype). Per protegir encara més les dades personals, Office 365 empra un motor de detecció de antimalware per protegir els missatges entrants, sortints i interns enfront de programari malintencionat que es transfereix a través del correu electrònic. A més, de forma predeterminada, Exchange Online utilitza la Seguretat de la capa de transport (TLS) per xifrar les comunicacions entre els servidors de Office 365 i Exchange Online i entre els clients de Exchange Online.
Microsoft utilitza controls de seguretat a nivell de plataforma per ajudar a garantir la confidencialitat, integritat i disponibilitat de les dades dels clients, inclosos controls físics, controls lògics i pràctiques d’accés a dades. Tot l’accés a les dades del client és supervisat, registrat, auditat i revisat per Microsoft. Per a filtracions de dades en sistemes administrats per Microsoft, Microsoft té un procés de notificació i administració de resposta a incidents de seguretat per Office 365.
Office 365 s’audita almenys una vegada a l’any segons diverses normes globals de privadesa de dades i seguretat de xarxes, incloent ISO/IEC 27001 i 27018. Microsoft prova periòdicament les mesures de seguretat de Office 365 mitjançant proves de penetració i auditories de seguretat de tercers, així com avaluacions alineades amb marcs estàndard de la indústria. Microsoft també opera un Programa de detecció d’errors en els serveis en línia i proporciona als usuaris entorns de desenvolupament i prova.
Informar
El RGPD estableix noves normes en matèria de transparència, responsabilitat i manteniment de registres. Les organitzacions que processen dades personals hauran de mantenir registres detallats per a un compliment satisfactori.
El RGPD requereix que realitzi seguiments i registri els fluxos de dades personals que entren i surten de la Unió Europea (UE), així com els fluxos de dades personals a tercers proveïdors de serveis. Per ajudar-li a realitzar els seguiments i registrar els fluxos de dades personals dins i fora de la UE, i per reduir l’exposició dels clients a transferències de dades transfrontereres innecessàries, Microsoft utilitza una estratègia de centre de dades regionalizada per als productes de Office 365.
Microsoft també limita l’accés a les dades personals per part de tercers subcontractistes, i divulga els noms dels tercers proveïdors de serveis que tenen accés a les dades dels clients a través de la Llista de subcontractistes de serveis en línia de Microsoft i la Llista de contractistes de Serveis professionals de Microsoft.
Office 365 és un servei d’alta seguretat que s’ha dissenyat combinant els procediments recomanats en l’àmbit físic, lògic i de dades:
Seguretat física
Supervisió dels centres de dades les 24 hores al dia.
Autenticació multifactor que inclou la detecció biomètrica per a l’accés als centres de dades.
La xarxa interna del centre de dades està separada de la xarxa externa.
La separació de rols fa que la ubicació de les dades de clients específics sigui inintel·ligible per al personal que té accés físic.
Les unitats i el maquinari amb errors es desmagnetizan i es destrueixen.
Seguretat lògica
Els processos de Caixa de seguretat permeten un procés d’escalat supervisat estrictament i que limita en gran manera l’accés personal a les dades. Els servidors solament executen processos permesos, la qual cosa redueix el risc de codi malintencionat.
Els equips dedicats d’administració d’amenaces treballen per anticipar, prevenir i mitigar l’accés malintencionat.
L’anàlisi de ports, així com la detecció de vulnerabilitats perimetrals i intrusions, prevenen o detecten els accessos malintencionats.
Seguretat de dades
El xifrat durant l’emmagatzematge protegeix les dades en els nostres servidors.
El xifrat en trànsit amb SSL/TLS protegeix les dades que es transmeten entre els clients i Microsoft.
Exchange Online Protection ofereix seguretat avançada i confiabilitat contra el correu no desitjat i el malware per protegir la teva informació i l’accés al correu electrònic.
A més, Office 365 ofereix controls d’usuaris i administratius de classe empresarial per protegir encara més el teu entorn.
Controls d’usuari
Xifrat de missatges de Office 365 permet als usuaris enviar missatges xifrats a qualsevol contacte, independentment del servei de correu electrònic que usin els destinataris.
La prevenció de pèrdua de dades es pot combinar amb Rights Management i Xifrat de missatges de Office 365 per oferir als administradors més controls que els permetin aplicar directives adequades per protegir la informació confidencial.
S/ACARONI proporciona seguretat de missatges amb accés al correu electrònic basat en certificats.
Azure Rights Management no permet obtenir accés als arxius sense les credencials d’usuari correctes.
Controls administratius
L’autenticació multifactor protegeix l’accés al servei amb un segon factor, com el telèfon.
La prevenció de pèrdua de dades evita la transferència no desitjada d’informació confidencial, tant dins com fora de l’organització, alhora que educa i assessora als usuaris.
Les funcions integrades d’administració de dispositius mòbils et permeten administrar l’accés a les dades corporatives.
L’administració d’aplicacions mòbils en les aplicacions mòbils de Office, amb tecnologia de Intune, proporciona controls específics per protegir les dades contingudes en aquestes aplicacions.
La protecció integrada antivirus i contra correu no desitjat, amb Protecció contra amenaces avançada, et protegeix davant amenaces externes.
Office 365 Cloud App Security proporciona una visibilitat i un control millorats per al teu entorn de Office 365.
Adjunt quadre comparatiu de versions segons nivell de compliment: