trusted cloud sininen meteoriitti - 13.1.2016
TRANSCRIPT
13.1.2016Aki Siponen
Office 365 tietoturva
Aiheet• EU:n tuomioistuimen Safe Harbor –tuomion
vaikutukset Microsoftin pilvipalveluihin
• Pilvipalveluiden tietoturva ja yksityisyydensuoja rakentuvat tiukkojen periaatteiden varaan
Safe Harbor –tuomion vaikutukset Microsoftin pilvipalveluihin
Safe Harbor –tuomio ja viranomaisten kannanotot
EU-tuomioistuin 6.10.2015
• Safe Harbor ei ole laillinen peruste henkilötietojen siirtoon USA:han
• Tietosuojaviranomaisten on tutkittava valitukset
• Keskeisenä perusteena USA:n viranomaisten toiminta
Artikla 29 työryhmä 16.10.2015
• Mallisopimuslausekkeet ja Binding Corporate Rules (BCR) ovat suositeltavia perusteita tietojen siirrolle
• EU:n ja USA:n on löydettävä ratkaisu
• Tarkastellaan tilannetta tammikuussa 2016
Tietosuoja-valtuutettu 20.10.2015
• Safe Harbor –järjestelyä ei voi käyttää
• Mallisopimuslausekkeet ja Binding Corporate Rules ovat laillisia siirtoperusteita
• Henkilön nimenomainen suostumust on laillinen siirtoperuste
Microsoftin kannanotto tuomioon
Microsoftin pilvipalvelut ja Safe Harbor
EU-mallilausekkeet• Online-palveluiden
sopimusehdot sisältävät EU:n mallisopimuslausekkeet:
• Office 365• Azure Core Services• Dynamics CRM Online • Microsoft Intune
Asiakkaiden tietojen turvallisuus
• Pystymme suojaamaan asiakkaiden tiedot useilla toisiaan täydentävillä tavoilla
• Olemme edistyksellisin toimija tietosuojan alueella
Jatkuva asiakastietojen
suojan parantaminen• Salausmenetelmien
jatkuva parantaminen ja käytön laajentaminen
• Suojaamme asiakkaiden tietoja viranomaisten tietopyynnöiltä.
• Viranomaisten laajentunut pääsy lähdekoodiin
Pilvipalveluiden vaatimustenmukaisuus
Office 365:n osapalveluiden vaatimustenmukaisuusAsiakkaat pystyvät kehikon avulla helpommin suhteuttamaan vaatimukset ja palveluiden hyödythttp://go.microsoft.com/fwlink/p/?LinkId=615657Asiakas pääsee tutkimaan auditointi- ja turvallisuusdokumentaatiotahttps://trustportal.office.com
Office 365 vaatimustenmukaisuuskehikko
Office 365 vaatimustenmukaisuuskehikko
A B C DLuokan palvelut täyttävät vaatimukset
Microsoftin sitoumus turvallisuuteen ja yksityisyydensuojaan
Microsoftin sitoumus turvallisuuteen ja yksityisyydensuojaan
Microsoftin sitoumus turvallisuuteen ja yksityisyydensuojaan
Microsoftin sitoumus turvallisuuteen ja yksityisyydensuojaan
Kansainvälisten standardien vaatimukset
Kansainvälisten ja alueellisten standardien vaatimukset
Kansainvälisten, alueellisten ja kansallisten standardien vaatimukset
Miten palvelut ovat käyttäjien käytettävissä
Asiakkaan ylläpitäjä hallitsee ovatko palvelut käytettävissä
Asiakkaan ylläpitäjä hallitsee ovatko palvelut käytettävissä
Oletuksena palvelut voivat olla käytettävissä
Oletuksena palvelut ovat käytettävissä
Vaatimukset voivat siirtyä D C B APalvelut voivat siirtyä A B C D
Office 365 compliance frameworkA
Microsoft Cloud ServicesPrivacy and Security commitments
BMicrosoft Cloud Services
Verified with International standards and terms
CMicrosoft Office 365 ServicesVerified with International &
Regional standards and terms
DMicrosoft Cloud Services
Verified with International, Regional and Industry-specific standards
Strong privacy and security commitments• No data mining for advertising• No voluntary disclosure to Law
Enforcement Agencies
Strong privacy and security commitmentsISO 27001ISO 27018EU Model Clauses (EUMC)
Strong privacy and security commitmentsISO 27001ISO 27018EU Model Clauses (EUMC)HIPAA Business Associate AgreementSOC 1 & 2
Strong Privacy and Security CommitmentsISO 27001ISO27018EU Model Clauses (EUMC)HIPAA Business Associate AgreementSOC 1 & SOC 2FedRAMP, IRS 1075, UK Official (IL2)HITRUSTContractual commitment to meet US and EU data residency requirements
Admin control to enable or disable services in this category
Admin control to enable or disable services in this category
Services in this category may be enabled by default
Services in this category are enabled by default
Power BIOutlook Mobile for iOS & AndroidSunrise for iOS & Android
Microsoft Dynamics CRM Online Azure Rights Management Office 365 VideoMicrosoft IntuneYammer
Office 365 for Enterprise, Education and Government plans that include:
Exchange OnlineSharePoint OnlineOneDrive for BusinessSkype for BusinessProject OnlineAzure Active DirectoryMulti-factor AuthenticationExchange Online ProtectionAccess OnlineOffice 365 ProPlus+ +Applies to only service components. In general if the Applications run on the customer’s side, they are dependent on the customers’ environment and the
customer has the control to allow the use or not.Unique special requirements for environments like GCC, Gallatin, dedicated environments and national clouds are kept separate due to unique requirements. Commitments in the framework applies to the multi-tenant cloud.
Dokumenttia ei ole vielä päivitetty vastaamaan muuttunutta tilannetta
Yammer 20.11.2015“Yammer has achieved a major compliance milestone to enhance its commitment to the protection of personal data for European customers. Effective immediately, all customers can obtain a Data Processing Agreement with the European Commission’s standard contractual clauses for data processors, known commonly as the “EU Model Clauses (EUMC).” This provides customers with an alternative to transfer personal data from the European Union to the United States.”
Online-palveluiden sopimusehdot päivitetään 1.1.2016.https://blogs.office.com/2015/11/20/eu-model-clauses-and-hipaa-baa-update-now-available-for-all-yammer-customers/
• Käyttäjä päättää sijainnin ottaessaan yksittäisen palvelun käyttöön• Kaikki GA-palvelut saatavissa kaikilla alueilla• Preview-palveluissa alueellinen saatavuus voi olla rajoitettua
• Azure Trust Center • https
://azure.microsoft.com/en-us/support/trust-center/services/
Azure-palveluiden vaatimustenmukaisuus
Azure-palveluissa EU:n mallilausekkeet käytössä EU:n
mallilausekkeetComputeVirtual Machines Cloud Services Batch Web & MobileApp Service :: Web Apps Mobile Services Notification Hubs Data & StorageSQL Database Storage AnalyticsHDInsight NetworkingVirtual Network Traffic Manager ExpressRoute
EU:n mallilausekkeetMedia & CDNMedia Services Hybrid IntegrationBizTalk Services Service Bus Backup Site Recovery Identity & Access ManagementAzure Active Directory Multi-Factor Authentication ManagementScheduler Azure Management portal
Luotettavan pilven periaatteet
Luotettavan pilven periaatteetYksityisyyden-suoja & hallintaTietoja käsitellään vain asiakkaan hyväksymällä tavalla.
Turvallisuus
Tietojen eheys, saatavuus ja luottamuksellisuus on turvattu
Vaatimusten-mukaisuusSuunniteltu täyttämään asiakkaalle asetetut vaatimukset
Läpinäkyvyys
Tiedot tallennus ja käsittely tehdään läpinäkyvästi
Luottamuksesi arvoinen sitoumus
“ Olemme sitoutuneet suojelemaan asiakkaidemme tietoja. Ilmoitamme yritys- ja julkishallinnon asiakkaillemme, jos saamme heidän tietojaan koskevia tietopyyntöjä ja vastustamme oikeudessa yrityksiä estää ilmoittaminen asiakkaille.”
- Brad Smith, President
Mitä Microsoft tekee:• Datakeskustemme fyysinen
turvallisuus toteutetaan nykyaikaisin välinein ja menetelmin.
• 24x7 IR-tiimi pienentää uhkia ja torjuu hyökkäyksiä.
• Tiedot liikkuvat aina salattuna.• Tiedot suojataan tallennuksessa
useilla palveluihin rakennetuilla ratkaisuilla ja asiakkaalla on mahdollisuus käyttää lisäksi valinnaisia salaus- ja suojausratkaisuja.
Asiakkaalla on oikeus odottaa, että:• Tiedot turvattaisiin
alan parhaiden teknologioiden ja prosessien avulla.
• Tiedot kuljetettaisiin ja tallennettaisiin salattuina.
Investoinnit tietoturvallisuuteenMicrosoft NDA-To be shared under NDA only
Yksityisyyden suojaaminen
Mitä Microsoft tekee:• Tiedot säilytetään asiakkaan
määrittelemällä alueella. • Tietoja ei käytetä markkinointiin,
mainontaan tai kaupallisesti.• Tietoja luovutetaan muille vain
asiakkaan luvalla tai lain niin vaatiessa.
• Asiakkaalla on käytössään valikoima työkaluja tietojen kokoamiseen ja siirtoon.
• Tiedot poistetaan kokonaan180 päivän kuluttua sopimuksen päättymisestä.
Microsoft NDA-To be shared under NDA only
Asiakkaalla on oikeus odottaa, että:• Tietoja käsiteltäisiin vain
asiakkaan haluamalla tavalla eikä jaettaisi muille ilman asiakkaan suostumusta.
• Tietoihin olisi aina pääsy, ne voisi halutessaan poistaa tai ottaa mukaansa lopettaessaan palvelun käytön.
Turvallinen pilvi toteuttaa ISO/ IEC 27018:n mukaiset yksityisyydensuojan hallintakeinot
LäpinäkyvyysOltava läpinäkyvä tiedon sijainnista ja käsittelystä
HallintaAsiakkaille on tarjottava keinot ja päätösvalta tietojen hallinnasta
Kommunikaatio
Ilmoitettava asiakkaille henkilötietoja koskevista tietoturva-loukkauksista
Riippumaton arviointi
Vaatimusten-mukaisuuden arvioinnin tulokset saatettava asiakkaiden tietoon
SuostumusTietoja ei saa käyttää tietoja markkinointiin ja mainontaan, paitsi käyttäjän suostumuksella
VastuullisuusIlmoitettava asiakkaille etukäteen tietojen poistamista ja palauttamista koskevat toimintatavat
Vaatimustenmukaisuuden täyttäminen
Mitä Microsoft tekee:• Olemme ensimmäisenä
ottamassa käyttöön uusimmat tietoturvallisuuden ja yksityisyydensuojan standardit kuten ISO 27018.
• Palvelumme auditoidaan säännöllisesti vaatimustenmukaisuuden toteamiseksi.
• Autamme asiakkaitamme täyttämään heille asetetut vaatimukset
Asiakkaalla on oikeus odottaa, että:• Tiedot tallennettaisiin ja
niitä hallittaisiin lainsäädännön ja viranomaismääräysten mukaisesti noudattaen keskeisiä kansainvälisiä standardeja.
• Palveluiden vaatimustenmukaisuutta osoittavat todistukset saa halutessaan nähtäviksi.
Microsoft NDA-To be shared under NDA only
Asiakkaalla on oikeus odottaa, että:• Pilvipalvelun tuottaja
kuvaa selkeästi ja ymmärrettävästi, miten asiakkaan tietoja käytetään, hallitaan ja suojataan.
• Pilvipalvelun tuottajan kertoo millä tavoin asiakkaan tietoja koskevien viranomaisten tietopyyntöjen osalta toimitaan.
Läpinäkyvyyden säilyttäminen
• Tarjoamme asiakkaalle ymmärrettävällä kielellä selkeät ehdot siitä, mitä teemme – ja mitä emme tee – asiakkaan tiedoilla.
• Kun vastaamme viranomaisten tietopyyntöihin, puolustamme asiakkaan oikeuksia ja yksityisyydensuojaa sekä varmistamme tietopyyntöjen lainmukaisuuden.
• Kerromme jokaisen palvelun osalta, missä tietoja tallennetaan ja käsitellään.
Microsoft NDA-To be shared under NDA only
Mitä Microsoft tekee:
Valitse parhaat toiminnan tarpeet täyttävät tekniset ratkaisut.
Infrastruktuuri
Turvaa konesali-investoinnit laajentamalla pilveen.
Hybridi
Luotettava palvelutuotanto tuottaa palvelun käyttöön kaikkialla maailmassa.
Palvelutuotanto
Yrityskäyttöön rakennettu
Hybridipilven tuki
Yksityinen pilvi
Yhdenmukaista ja yhdistä omat konesalit
MICROSOFTIN RATKAISUTWindows ServerSystem Center
Windows Azure Pack
Julkinen pilvi
Skaalautuvuus, ketteryys ja pienemmät
kustannuksetMICROSOFTIN RATKAISUTMicrosoft Azure
Office 365Dynamics CRM Online
Hybridipilvi
Siirrä vähemmän sensitiiviset tiedot
MICROSOFTIN RATKAISUTPalvelut riskien
arviointiin ja tiedon hallintaan
Yhdenmukaiset alustat ja työkalut | yksi hallintakonsoli
Siirry pilvipalveluihin omaan tahtiin
Microsoft NDA-To be shared under NDA only
Avoin ja joustava infrastruktuuriAlustat tiedon tallennukseen, sovelluskehitykseen ja laitteet valintasi mukaan
Yhdenmukainen käyttökokemus kaikilla laitteillaTukee Windows-, iOS- ja Android-laitteita
Kaikki tiedot, kaiken kokoisena, kaikkiallaTallenna, käytä, yhdistä ja analysoi rakenteista ja ei-rakenteista data omista konesaleista ja pilvestä.
Laajennettava sovelluskehitysalustaSuunnittele, kehitä, testaa, ota käyttöön ja hallitse erilaisissa ympäristöissä ja eri päätelaitteilla toimivia sovelluksia
Joustava infrastruktuuriKäytä, hallitse ja seuraa epäyhtenäistä IT-ympäristöä
Microsoft Luotettava
pilven infrastruktu
uri
Microsoft NDA-To be shared under NDA only
Luotettava palvelutuotanto
99.9% saatavuusTakeena palvelutasosopimus
Alhainen hiilijalanjälki
Luotettavuus
Monistettu ja joustava rakenne
Vikasietoinen ja eriytettyMaantieteellinen
hajauttaminen nopeuttaa toipumista häiriöistä
Käytettävyys ja DR
Palvelutaso toteutetaan ohjelmiston
joustavuudella, eikä monistamalla laitteistojaPalvelutason alituksista
korvaus asiakkaalle
Tuetut palvelutasot
Luotettava ja joustava palveluiden tuotanto
Microsoft NDA-To be shared under NDA only
Globaali konesaliverkosto
100+ konesalia yli 40 maassa
Microsoft NDA-To be shared under NDA only
EUROPEAUSTRIA
EUROPEFINLAND
Edelläkävijä
Kokemus Yhteistyö
Vuosikymmenien kokemus maailman suurimpiin kuuluvien pilvipalveluiden tuotannosta valmiina vastaamaan asiakkaan IT-tarpeisiin.
Edistämme pilvipalveluita ja toimimme yhteistyössä pilviekosysteemin kehittämiseksi asiakkaan eduksi.
Microsoft NDA-To be shared under NDA only
Edelläkävijyys pilviekosysteemissäTyöskentelemme luottamuksen rakentamiseksi digitaaliseen markkinaan
Kumppanuus
Edistäminen
YhteistyöTeemme yhteistyötä standardisointijärjestöjen ja viranomaisten kanssa edistääksemme standardeihin perustuvaa lähestymistapaa vaatimustenmukaisuuden osoittamiseen.Edistämme yhdessä muiden johtavien teknologiayhtiöiden kanssa uudistuksia valtioiden tietoverkkoseurannan käytäntöihin.Kumppanoidumme teollisuuden ja viranomaisten kanssa vastataksemme trendeihin ja kehittyviin standardeihin sekä poistaaksemme digitaalista markkinaa uhkaavat tekijät.
Microsoft NDA-To be shared under NDA only
Tähän pilveen voit luottaa
SITOUTUMINEN | LUOT TAMUS | USKOT TAVUUS
Yrityskäyttöön rakennettu
Luotettavan pilven periaatteet Edelläkävijä
Sitoudumme asiakkaan
luottamuksen arvoisiin
periaatteisiin
Luottamuksen arvoista
ylivertaisuutta
Kokenut digitaalisen pilvimaailman
puolustaja
Microsoft NDA-To be shared under NDA only
Resurssit ja tietolähteet
Resursseja ja tietolähteitäMicrosoft luottamuskeskus – Trust Centerhttp://www.microsoft.com/en-us/TrustCenter/default.aspx
Office 365 Trust Center ja Trust Portal (https://trustportal.office.com) Azure Trust CenterCRM Online Trust CenterMicrosoft Intune Trust CenterTransparency Hub (http://www.microsoft.com/about/corporatecitizenship/en-us/transparencyhub/) Brad Smithin blogikirjoitukset Artikla 29 Työryhmän kirje MS:n sopimusehdoistahttp://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140402_microsoft.pdf
© 2014 Microsoft Corporation. All rights reserved.
Kiitos!Aki SiponenEmail: [email protected]: @AkiSiponen