13.1.2016Aki Siponen

Office 365 tietoturva

Aiheet• EU:n tuomioistuimen Safe Harbor –tuomion

vaikutukset Microsoftin pilvipalveluihin

• Pilvipalveluiden tietoturva ja yksityisyydensuoja rakentuvat tiukkojen periaatteiden varaan

Safe Harbor –tuomion vaikutukset Microsoftin pilvipalveluihin

Safe Harbor –tuomio ja viranomaisten kannanotot

EU-tuomioistuin 6.10.2015

• Safe Harbor ei ole laillinen peruste henkilötietojen siirtoon USA:han

• Tietosuojaviranomaisten on tutkittava valitukset

• Keskeisenä perusteena USA:n viranomaisten toiminta

Artikla 29 työryhmä 16.10.2015

• Mallisopimuslausekkeet ja Binding Corporate Rules (BCR) ovat suositeltavia perusteita tietojen siirrolle

• EU:n ja USA:n on löydettävä ratkaisu

• Tarkastellaan tilannetta tammikuussa 2016

Tietosuoja-valtuutettu 20.10.2015

• Safe Harbor –järjestelyä ei voi käyttää

• Mallisopimuslausekkeet ja Binding Corporate Rules ovat laillisia siirtoperusteita

• Henkilön nimenomainen suostumust on laillinen siirtoperuste

Microsoftin kannanotto tuomioon

Microsoftin pilvipalvelut ja Safe Harbor

EU-mallilausekkeet• Online-palveluiden

sopimusehdot sisältävät EU:n mallisopimuslausekkeet:

• Office 365• Azure Core Services• Dynamics CRM Online • Microsoft Intune

Asiakkaiden tietojen turvallisuus

• Pystymme suojaamaan asiakkaiden tiedot useilla toisiaan täydentävillä tavoilla

• Olemme edistyksellisin toimija tietosuojan alueella

Jatkuva asiakastietojen

suojan parantaminen• Salausmenetelmien

jatkuva parantaminen ja käytön laajentaminen

• Suojaamme asiakkaiden tietoja viranomaisten tietopyynnöiltä.

• Viranomaisten laajentunut pääsy lähdekoodiin

Pilvipalveluiden vaatimustenmukaisuus

Office 365:n osapalveluiden vaatimustenmukaisuusAsiakkaat pystyvät kehikon avulla helpommin suhteuttamaan vaatimukset ja palveluiden hyödythttp://go.microsoft.com/fwlink/p/?LinkId=615657Asiakas pääsee tutkimaan auditointi- ja turvallisuusdokumentaatiotahttps://trustportal.office.com

Office 365 vaatimustenmukaisuuskehikko

Office 365 vaatimustenmukaisuuskehikko

A B C DLuokan palvelut täyttävät vaatimukset

Microsoftin sitoumus turvallisuuteen ja yksityisyydensuojaan

Microsoftin sitoumus turvallisuuteen ja yksityisyydensuojaan

Microsoftin sitoumus turvallisuuteen ja yksityisyydensuojaan

Microsoftin sitoumus turvallisuuteen ja yksityisyydensuojaan

Kansainvälisten standardien vaatimukset

Kansainvälisten ja alueellisten standardien vaatimukset

Kansainvälisten, alueellisten ja kansallisten standardien vaatimukset

Miten palvelut ovat käyttäjien käytettävissä

Asiakkaan ylläpitäjä hallitsee ovatko palvelut käytettävissä

Asiakkaan ylläpitäjä hallitsee ovatko palvelut käytettävissä

Oletuksena palvelut voivat olla käytettävissä

Oletuksena palvelut ovat käytettävissä

Vaatimukset voivat siirtyä D C B APalvelut voivat siirtyä A B C D

Office 365 compliance frameworkA

Microsoft Cloud ServicesPrivacy and Security commitments

BMicrosoft Cloud Services

Verified with International standards and terms

CMicrosoft Office 365 ServicesVerified with International &

Regional standards and terms

DMicrosoft Cloud Services

Verified with International, Regional and Industry-specific standards

Strong privacy and security commitments• No data mining for advertising• No voluntary disclosure to Law

Enforcement Agencies

Strong privacy and security commitmentsISO 27001ISO 27018EU Model Clauses (EUMC)

Strong privacy and security commitmentsISO 27001ISO 27018EU Model Clauses (EUMC)HIPAA Business Associate AgreementSOC 1 & 2

Strong Privacy and Security CommitmentsISO 27001ISO27018EU Model Clauses (EUMC)HIPAA Business Associate AgreementSOC 1 & SOC 2FedRAMP, IRS 1075, UK Official (IL2)HITRUSTContractual commitment to meet US and EU data residency requirements

Admin control to enable or disable services in this category

Admin control to enable or disable services in this category

Services in this category may be enabled by default

Services in this category are enabled by default

Power BIOutlook Mobile for iOS & AndroidSunrise for iOS & Android

  

Microsoft Dynamics CRM Online Azure Rights Management Office 365 VideoMicrosoft IntuneYammer

Office 365 for Enterprise, Education and Government plans that include:

Exchange OnlineSharePoint OnlineOneDrive for BusinessSkype for BusinessProject OnlineAzure Active DirectoryMulti-factor AuthenticationExchange Online ProtectionAccess OnlineOffice 365 ProPlus+ +Applies to only service components. In general if the Applications run on the customer’s side, they are dependent on the customers’ environment and the

customer has the control to allow the use or not.Unique special requirements for environments like GCC, Gallatin, dedicated environments and national clouds are kept separate due to unique requirements. Commitments in the framework applies to the multi-tenant cloud.

Dokumenttia ei ole vielä päivitetty vastaamaan muuttunutta tilannetta

Yammer 20.11.2015“Yammer has achieved a major compliance milestone to enhance its commitment to the protection of personal data for European customers. Effective immediately, all customers can obtain a Data Processing Agreement with the European Commission’s standard contractual clauses for data processors, known commonly as the “EU Model Clauses (EUMC).” This provides customers with an alternative to transfer personal data from the European Union to the United States.”

Online-palveluiden sopimusehdot päivitetään 1.1.2016.https://blogs.office.com/2015/11/20/eu-model-clauses-and-hipaa-baa-update-now-available-for-all-yammer-customers/

• Käyttäjä päättää sijainnin ottaessaan yksittäisen palvelun käyttöön• Kaikki GA-palvelut saatavissa kaikilla alueilla• Preview-palveluissa alueellinen saatavuus voi olla rajoitettua

• Azure Trust Center • https

://azure.microsoft.com/en-us/support/trust-center/services/

Azure-palveluiden vaatimustenmukaisuus

Azure-palveluissa EU:n mallilausekkeet käytössä EU:n

mallilausekkeetComputeVirtual Machines Cloud Services Batch Web & MobileApp Service :: Web Apps Mobile Services Notification Hubs Data & StorageSQL Database Storage AnalyticsHDInsight NetworkingVirtual Network Traffic Manager ExpressRoute

EU:n mallilausekkeetMedia & CDNMedia Services Hybrid IntegrationBizTalk Services Service Bus Backup Site Recovery Identity & Access ManagementAzure Active Directory Multi-Factor Authentication ManagementScheduler Azure Management portal

Luotettavan pilven periaatteet

Luotettavan pilven periaatteetYksityisyyden-suoja & hallintaTietoja käsitellään vain asiakkaan hyväksymällä tavalla.

Turvallisuus

Tietojen eheys, saatavuus ja luottamuksellisuus on turvattu

Vaatimusten-mukaisuusSuunniteltu täyttämään asiakkaalle asetetut vaatimukset

Läpinäkyvyys

Tiedot tallennus ja käsittely tehdään läpinäkyvästi

Luottamuksesi arvoinen sitoumus

“ Olemme sitoutuneet suojelemaan asiakkaidemme tietoja. Ilmoitamme yritys- ja julkishallinnon asiakkaillemme, jos saamme heidän tietojaan koskevia tietopyyntöjä ja vastustamme oikeudessa yrityksiä estää ilmoittaminen asiakkaille.”

- Brad Smith, President

Mitä Microsoft tekee:• Datakeskustemme fyysinen

turvallisuus toteutetaan nykyaikaisin välinein ja menetelmin.

• 24x7 IR-tiimi pienentää uhkia ja torjuu hyökkäyksiä.

• Tiedot liikkuvat aina salattuna.• Tiedot suojataan tallennuksessa

useilla palveluihin rakennetuilla ratkaisuilla ja asiakkaalla on mahdollisuus käyttää lisäksi valinnaisia salaus- ja suojausratkaisuja.

Asiakkaalla on oikeus odottaa, että:• Tiedot turvattaisiin

alan parhaiden teknologioiden ja prosessien avulla.

• Tiedot kuljetettaisiin ja tallennettaisiin salattuina.

Investoinnit tietoturvallisuuteenMicrosoft NDA-To be shared under NDA only

Yksityisyyden suojaaminen

Mitä Microsoft tekee:• Tiedot säilytetään asiakkaan

määrittelemällä alueella. • Tietoja ei käytetä markkinointiin,

mainontaan tai kaupallisesti.• Tietoja luovutetaan muille vain

asiakkaan luvalla tai lain niin vaatiessa.

• Asiakkaalla on käytössään valikoima työkaluja tietojen kokoamiseen ja siirtoon.

• Tiedot poistetaan kokonaan180 päivän kuluttua sopimuksen päättymisestä.

Microsoft NDA-To be shared under NDA only

Asiakkaalla on oikeus odottaa, että:• Tietoja käsiteltäisiin vain

asiakkaan haluamalla tavalla eikä jaettaisi muille ilman asiakkaan suostumusta.

• Tietoihin olisi aina pääsy, ne voisi halutessaan poistaa tai ottaa mukaansa lopettaessaan palvelun käytön.

Turvallinen pilvi toteuttaa ISO/ IEC 27018:n mukaiset yksityisyydensuojan hallintakeinot

LäpinäkyvyysOltava läpinäkyvä tiedon sijainnista ja käsittelystä

HallintaAsiakkaille on tarjottava keinot ja päätösvalta tietojen hallinnasta

Kommunikaatio

Ilmoitettava asiakkaille henkilötietoja koskevista tietoturva-loukkauksista

Riippumaton arviointi

Vaatimusten-mukaisuuden arvioinnin tulokset saatettava asiakkaiden tietoon

SuostumusTietoja ei saa käyttää tietoja markkinointiin ja mainontaan, paitsi käyttäjän suostumuksella

VastuullisuusIlmoitettava asiakkaille etukäteen tietojen poistamista ja palauttamista koskevat toimintatavat

Vaatimustenmukaisuuden täyttäminen

Mitä Microsoft tekee:• Olemme ensimmäisenä

ottamassa käyttöön uusimmat tietoturvallisuuden ja yksityisyydensuojan standardit kuten ISO 27018.

• Palvelumme auditoidaan säännöllisesti vaatimustenmukaisuuden toteamiseksi.

• Autamme asiakkaitamme täyttämään heille asetetut vaatimukset

Asiakkaalla on oikeus odottaa, että:• Tiedot tallennettaisiin ja

niitä hallittaisiin lainsäädännön ja viranomaismääräysten mukaisesti noudattaen keskeisiä kansainvälisiä standardeja.

• Palveluiden vaatimustenmukaisuutta osoittavat todistukset saa halutessaan nähtäviksi.

Microsoft NDA-To be shared under NDA only

Asiakkaalla on oikeus odottaa, että:• Pilvipalvelun tuottaja

kuvaa selkeästi ja ymmärrettävästi, miten asiakkaan tietoja käytetään, hallitaan ja suojataan.

• Pilvipalvelun tuottajan kertoo millä tavoin asiakkaan tietoja koskevien viranomaisten tietopyyntöjen osalta toimitaan.

Läpinäkyvyyden säilyttäminen

• Tarjoamme asiakkaalle ymmärrettävällä kielellä selkeät ehdot siitä, mitä teemme – ja mitä emme tee – asiakkaan tiedoilla.

• Kun vastaamme viranomaisten tietopyyntöihin, puolustamme asiakkaan oikeuksia ja yksityisyydensuojaa sekä varmistamme tietopyyntöjen lainmukaisuuden.

• Kerromme jokaisen palvelun osalta, missä tietoja tallennetaan ja käsitellään.

Microsoft NDA-To be shared under NDA only

Mitä Microsoft tekee:

Valitse parhaat toiminnan tarpeet täyttävät tekniset ratkaisut.

Infrastruktuuri

Turvaa konesali-investoinnit laajentamalla pilveen.

Hybridi

Luotettava palvelutuotanto tuottaa palvelun käyttöön kaikkialla maailmassa.

Palvelutuotanto

Yrityskäyttöön rakennettu

Hybridipilven tuki

Yksityinen pilvi

Yhdenmukaista ja yhdistä omat konesalit

MICROSOFTIN RATKAISUTWindows ServerSystem Center

Windows Azure Pack

Julkinen pilvi

Skaalautuvuus, ketteryys ja pienemmät

kustannuksetMICROSOFTIN RATKAISUTMicrosoft Azure

Office 365Dynamics CRM Online

Hybridipilvi

Siirrä vähemmän sensitiiviset tiedot

MICROSOFTIN RATKAISUTPalvelut riskien

arviointiin ja tiedon hallintaan

Yhdenmukaiset alustat ja työkalut | yksi hallintakonsoli

Siirry pilvipalveluihin omaan tahtiin

Microsoft NDA-To be shared under NDA only

Avoin ja joustava infrastruktuuriAlustat tiedon tallennukseen, sovelluskehitykseen ja laitteet valintasi mukaan

Yhdenmukainen käyttökokemus kaikilla laitteillaTukee Windows-, iOS- ja Android-laitteita

Kaikki tiedot, kaiken kokoisena, kaikkiallaTallenna, käytä, yhdistä ja analysoi rakenteista ja ei-rakenteista data omista konesaleista ja pilvestä.

Laajennettava sovelluskehitysalustaSuunnittele, kehitä, testaa, ota käyttöön ja hallitse erilaisissa ympäristöissä ja eri päätelaitteilla toimivia sovelluksia

Joustava infrastruktuuriKäytä, hallitse ja seuraa epäyhtenäistä IT-ympäristöä

Microsoft Luotettava

pilven infrastruktu

uri

Microsoft NDA-To be shared under NDA only

Luotettava palvelutuotanto

99.9% saatavuusTakeena palvelutasosopimus

Alhainen hiilijalanjälki

Luotettavuus

Monistettu ja joustava rakenne

Vikasietoinen ja eriytettyMaantieteellinen

hajauttaminen nopeuttaa toipumista häiriöistä

Käytettävyys ja DR

Palvelutaso toteutetaan ohjelmiston

joustavuudella, eikä monistamalla laitteistojaPalvelutason alituksista

korvaus asiakkaalle

Tuetut palvelutasot

Luotettava ja joustava palveluiden tuotanto

Microsoft NDA-To be shared under NDA only

Globaali konesaliverkosto

100+ konesalia yli 40 maassa

Microsoft NDA-To be shared under NDA only

EUROPEAUSTRIA

EUROPEFINLAND

Edelläkävijä

Kokemus Yhteistyö

Vuosikymmenien kokemus maailman suurimpiin kuuluvien pilvipalveluiden tuotannosta valmiina vastaamaan asiakkaan IT-tarpeisiin.

Edistämme pilvipalveluita ja toimimme yhteistyössä pilviekosysteemin kehittämiseksi asiakkaan eduksi.

Microsoft NDA-To be shared under NDA only

Edelläkävijyys pilviekosysteemissäTyöskentelemme luottamuksen rakentamiseksi digitaaliseen markkinaan

Kumppanuus

Edistäminen

YhteistyöTeemme yhteistyötä standardisointijärjestöjen ja viranomaisten kanssa edistääksemme standardeihin perustuvaa lähestymistapaa vaatimustenmukaisuuden osoittamiseen.Edistämme yhdessä muiden johtavien teknologiayhtiöiden kanssa uudistuksia valtioiden tietoverkkoseurannan käytäntöihin.Kumppanoidumme teollisuuden ja viranomaisten kanssa vastataksemme trendeihin ja kehittyviin standardeihin sekä poistaaksemme digitaalista markkinaa uhkaavat tekijät.

Microsoft NDA-To be shared under NDA only

Tähän pilveen voit luottaa

SITOUTUMINEN | LUOT TAMUS | USKOT TAVUUS

Yrityskäyttöön rakennettu

Luotettavan pilven periaatteet Edelläkävijä

Sitoudumme asiakkaan

luottamuksen arvoisiin

periaatteisiin

Luottamuksen arvoista

ylivertaisuutta

Kokenut digitaalisen pilvimaailman

puolustaja

Microsoft NDA-To be shared under NDA only

Resurssit ja tietolähteet

Resursseja ja tietolähteitäMicrosoft luottamuskeskus – Trust Centerhttp://www.microsoft.com/en-us/TrustCenter/default.aspx

Office 365 Trust Center ja Trust Portal (https://trustportal.office.com) Azure Trust CenterCRM Online Trust CenterMicrosoft Intune Trust CenterTransparency Hub (http://www.microsoft.com/about/corporatecitizenship/en-us/transparencyhub/) Brad Smithin blogikirjoitukset Artikla 29 Työryhmän kirje MS:n sopimusehdoistahttp://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140402_microsoft.pdf

© 2014 Microsoft Corporation. All rights reserved.

Kiitos!Aki SiponenEmail: aki.siponen@microsoft.comTwitter: @AkiSiponen