הגן על זכויות הפרטיות של אנשים במסגרת GDPR בעזרת הענן החכם של Microsoft
הפרסום של היום נכתב על-ידי אלים ראיאני, מנהל Microsoft 365.
התקנה הכללית להגנה על נתונים (GDPR), אשר נכנסת היום לתוקף, מהווה ציון דרך בתחום זכויות הפרטיות של אנשים. אנו חיים בתקופה שבה טכנולוגיה דיגיטלית משפיעה על חיינו באופן משמעותי ביותר, מהאופן שבו אנו יוצרים קשר זה עם זה ועד לאופן שבו אנו מבינים את העולם שלנו. אחד מההיבטים המרכזיים במהפך הדיגיטלי הוא היכולת לאחסן ולנתח כמויות עצומות של נתונים לצורך הפקת תובנות מעמיקות יותר ויצירת חוויות לקוח אישיות יותר. יכולת זו עוזרת לנו להגיע לשיא ההישגים שלנו, אך היא כרוכה גם בנתיב נתונים נרחב, כולל מידע אישי ורשומות עסקיות רגישות שיש להגן עליהם.
ב- Microsoft, המטרה שלנו היא להעצים כל אדם וכל ארגון בעולם ולאפשר להם להשיג יותר. אמון נמצא במרכז של כל הפעולות שלנו, מכיוון שאנו מודעים לכך שאנשים לא משתמשים בטכנולוגיה שהם אינם נותנים בה אמון. בנוסף, אנו סבורים כי פרטיות היא זכות אנושית בסיסית שיש להגן עליה. כפי שציינה ג'ולי בריל, מנהלת הפרטיות ב- Microsoft, בבלוג שפרסמה לאחרונה, Microsoft סבורה כי תקנת GDPR יוצרת עקרונות חשובים בעלי רלוונטיות ברחבי העולם.
בנוסף למחויבות הנמשכת שלנו לפרטיות, ביצענו במהלך השנה האחרונה כמה השקעות במטרה לתמוך ב- GDPR ובזכויות הפרטיות של אנשים. להלן סיכום של האופן שבו תוכל להשתמש ביכולות אלו כדי לעזור לארגון שלך להשיג תאימות ל- GDPR.
הערך ונהל את סיכוני התאימות
מאחר שהשגת תאימות ארגונית עשויה להיות מאתגרת מאוד, חשוב להציב את הבנת סיכוני התאימות בראש סדר העדיפויות. קיבלנו מידע מלקוחותינו לגבי האתגרים שעומדים בפניהם עקב המחסור ביכולות פנימיות להגדרה ולהטמעה של אמצעי בקרה ועקב חוסר היעילות בפעילויות ההכנה לביקורת.
מנהל התאימות וציון התאימות עוזרים לך לנטר באופן שוטף את מצב התאימות שלך. 'מנהל התאימות' לוכד ומספק פרטים עבור כל אמצעי בקרה של Microsoft שהוטמע כדי לעמוד בדרישות ספציפיות, כולל פרטי ההטמעה ותוכנית הבדיקה וניהול תגובות במידת הצורך. בנוסף, הוא מספק פעולות מומלצות שהארגון שלך יוכל לבצע כדי לשפר את יכולות ההגנה על הנתונים ולעמוד בהתחייבויות התאימות שלו.
כאן תוכל להתרשם מהאופן שבו Abrona, אחד מהלקוחות של Microsoft 365, משתמש ב'מנהל התאימות':
הגן על נתונים אישיים
בעיקרה, תקנת GDPR מתמקדת בהגנה על הנתונים האישיים של אנשים – ומוודאת שקיימות יכולות הולמות של אבטחה, פיקוח וניהול עבור הנתונים הללו כדי למנוע מהם להיות כפופים לשימוש לרעה או להגיע לידיים הלא נכונות. כדי לוודא שהארגון שלך מגן בצורה יעילה על נתונים אישיים וכן על תוכן רגיש שרלוונטי לצרכי התאימות הארגונית, עליך להטמיע פתרונות ותהליכים שמאפשרים לארגון לגלות, לסווג ולנטר את הנתונים החשובים ביותר – ולהגן עליהם.
יכולות ההגנה על מידע ב- Microsoft 365, כגון 'פיקוח על נתונים של Office 365' ו- Azure Information Protection, מספקות חוויה משולבת של סיווג, תיוג והגנה ומאפשרות הגנה עקבית יותר על הנתונים שלך – ללא קשר למקום שבו הם מאוחסנים או שאליו הם מגיעים. אסטרטגיה יזומה של פיקוח על נתונים הכוללת סיווג של נתונים אישיים ורגישים מאפשרת לך להגיב בצורה מדויקת כאשר עליך למצוא את הנתונים הרלוונטיים בעקבות בקשה רגולטורית או דרישה כגון בקשה של נושא הנתונים (DSR) כחלק מ- GDPR.
הסורק של Azure Information Protection מטפל בתרחישים היברידיים ומקומיים ומאפשר לך להגדיר מדיניות כדי לגלות, לסווג, לתייג ולהגן באופן אוטומטי על מסמכים השמורים במאגרים המקומיים שלך, כגון שרתי קבצים ושרתי SharePoint מקומיים. באפשרותך לפרוס את הסורק בסביבה שלך בהתאם להוראות במדריך טכני זה.
שירותי מסדי הנתונים המנוהלים במלואם של Azure, כגון Azure SQL Database, מונעים את הצורך לתקן ולעדכן את פלטפורמת הנתונים וכוללים תכונות חכמות שעוזרות בזיהוי מקום האחסון של נתונים רגישים. טכנולוגיות חדשות, כגון Azure SQL Data Discovery and Classification, מספקות יכולות מתקדמות עבור גילוי, סיווג, תיוג והגנה על נתונים רגישים ברמת מסד הנתונים. הגן על נתונים אישיים בעזרת טכנולוגיות כגון Transparent Data Encryption (TDE), אשר מציעות תמיכה עבור 'הבא את המפתח שלך' (BYOK) ושילוב עם Azure Key Vault.
כעת נבחן כיצד INAIL, אחד מהלקוחות של Microsoft 365, משתמש ב- Azure Information Protection כדי לסווג, לתייג ולהגן על הנתונים החשובים ביותר שלו:
הגב בבטחה
עבור ארגונים רבים, הצורך בקביעת תהליכים לניהול ולעמידה בדרישות מסוימות של GDPR בצורה יעילה, כגון תגובה לבקשות DSR או תגובה להפרות נתונים, מהווה מחסום שקשה להתגבר עליו.
כדי לעזור לך לנווט במשאבי GDPR שסופקו בשירותי הענן, הצגנו בחודש שעבר את הכרטיסיה 'פרטיות' ב- Service Trust Portal. כרטיסיה זו מספקת לך את המידע הדרוש להכנת הערכות השפעה של ההגנה על נתונים (DPIA) בשירותי הענן של Microsoft, הדרכה בנושא תגובה לבקשות DSR ומידע לגבי האופן שבו Microsoft מזהה הפרות נתונים אישיים ומגיבה להן והאופן שבו תוכל לקבל הודעות ישירות מ- Microsoft.
צפה בסרטון החדש של Mechanics לקבלת מידע נוסף על משאבי GDPR ב- Service Trust Portal.
תכונות שתומכות בבקשות DSR
קיימות כמה תכונות שתומכות בבקשות DSR בשירותי הענן של Microsoft, לרבות הכרטיסיה 'פרטיות נתונים' ב- Office 365, פורטל DSR ב- Azure ויכולות חיפוש חדשות של DSR ב- Dynamics 365.
הכרטיסיה 'פרטיות נתונים', לוח המחוונים של GDPR וחוויית DSR ב- Office 365 זמינים עכשיו לכלל המשתמשים עבור כל הלקוחות המסחריים. חוויה זו נועדה לספק לך כלים שבעזרתם תוכל לבצע בקשת DSR בצורה יעילה ואפקטיבית עבור תוכן של Office 365 – כגון Exchange, SharePoint, OneDrive, 'קבוצות' ועכשיו גם Microsoft Teams.
כפי שמציינת קלי קליי מ- GlaxoSmithKline, "GDPR 2016/679 היא תקנה בחוק של האיחוד האירופי הנוגעת להגנה על נתונים ולפרטיות נתונים עבור כל האנשים באיחוד האירופי. בנוסף, תקנת GDPR מציגה סידרה חדשה של 'זכויות דיגיטליות' עבור אזרחי האיחוד האירופי בעידן שבו חל גידול בערך הכלכלי של נתונים אישיים בכלכלה הדיגיטלית. תקנת GDPR תדרוש מגופים גדולים שמחזיקים נתונים ומעבדים נתונים לנהל בקשות DSR, והארגונים יזדקקו לכלים ב- Office 365 כדי לנהל בקשות DSR".
פטריק אוטס ממשרד עורכי הדין Shook, Hardy & Bacon בוחן את הלקוחות הארגוניים שלו ואת המסע שלהם להשגת תאימות ל- GDPR. "אנחנו שמחים ש- Microsoft משקיעה ב- Office 365. הלקוחות שלנו מתכוננים ל- GDPR, ואנו מייחסים ערך עצום לכלים הכלולים בפורטל פרטיות הנתונים לצורך ניהול בקשות DSR בתגובה לסעיף 15. עם ההתפתחות בחוקי הפרטיות, אנו מזכירים ללקוחות Office 365 שלנו את החשיבות הכוללת הטמונה בהטמעה נכונה של מדיניות לפיקוח על נתונים במרכז האבטחה והתאימות לצורך צמצום סיכונים". אוטס מדגיש כי אסטרטגיה יזומה של פיקוח על נתונים יכולה לעזור לארגונים להגיב לתקנות כגון GDPR בצורה מדויקת בעת הצורך.
גם פורטל DSR ב- Azure זמין עכשיו לכלל המשתמשים. באמצעות פורטל DSR ב- Azure, מנהלי הדיירים יוכלו לזהות מידע המשויך למשתמש מסוים ולאחר מכן לתקן, לשנות, למחוק או לייצא את נתוני המשתמש. בנוסף, מנהלי המערכת יוכלו לזהות מידע המשויך לנושא הנתונים ולבצע בקשות DSR מול יומני רישום שנוצרו על-ידי המערכת (נתונים שנוצרים על-ידי Microsoft במטרה לספק שירות כלשהו) עבור שירותי ענן של Microsoft. ההצעות החדשות הנוספות מ- Azure כוללות את הזמינות הכללית של Azure Policy, 'מנהל התאימות' עבור GDPR ב- Azure ו- Azure Security and Compliance Blueprint for GDPR.
לקבלת מידע נוסף, קרא את הפרסום בבלוג של Azure בנושא תכונות GDPR.
כדי לעזור ללקוחות להגיב לבקשות DSR ב- Dynamics 365, יצרנו שתי יכולות חיפוש: 'חיפוש רלוונטיות' ודוח 'חיפוש אדם'. 'חיפוש רלוונטיות' מספק לך דרך קלה ומהירה – המופעלת באמצעות Azure Search – למצוא את מה שאתה מחפש. דוח 'חיפוש אדם' מציע חבילה מוכנה של ישויות שניתנות להרחבה, אשר נוצרה על-ידי Microsoft, לצורך זיהוי נתונים אישיים המשמשים להגדרת אדם והתפקידים שניתן להקצות לו.
קבל מידע נוסף בפרסום בבלוג של Dynamics 365.
מרכז הפרטיות החדש ב- Windows כולל מידע קשור לגבי פרטיות ב- Windows ב- docs.microsoft.com. כאן תוכל למצוא הדרכה שעוזרת למקבלי ההחלטות ב- IT להתכונן ל- GDPR, רשימה של הגדרות תצורה של שירותי Windows 10 המשמשות להגנה על הפרטיות של נתונים אישיים, הבנת נתוני אבחון של Windows ועוד הרבה יותר.
טיפול בהפרות נתונים
תקנת GDPR כוללת תקנות מחמירות יותר שארגונים חייבים לציית להן במקרה של הפרת נתונים. Microsoft 365 כולל סידרה יציבה של יכולות, מ- Office 365 Advanced Threat Protection (ATP) ועד Azure ATP, שמסוגלות להתגונן מפני הפרות נתונים ולזהות הפרות נתונים.
התחל עוד היום את המסע שלך להשגת תאימות ל- GDPR בעזרת Microsoft
ל- Microsoft יש מומחיות מעמיקה בהגנה על נתונים, בתמיכה בפרטיות ובתאימות לתקנות מורכבות. אנו סבורים ש- GDPR מהווה שלב חשוב שמבהיר ומאפשר את זכויות הפרטיות של אנשים. בעקבות כך, אנו מספקים הבטחות הקשורות ל- GDPR בהתחייבויות החוזיות שלנו.
לא משנה באיזה שלב אתה נמצא במסע שלך להשגת תאימות ל- GDPR, אנחנו כאן כדי לעזור לך. להלן כמה משאבים שיעזרו לך להתחיל עוד היום:
- הורד את הסקירה הטכנית ואת הספר האלקטרוני שלנו בחינם.
- השתתף בהערכת GDPR המקוונת ללא תשלום.
- מצא שותף GDPR.
קבל מידע נוסף המתאר כיצד Microsoft יכולה לעזור לך בכל הנוגע ל- GDPR.