Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Microsoft 365
ลงชื่อเข้าใช้

ศูนย์ความเชื่อถือ: ข้อมูลความปลอดภัย ความเป็นส่วนตัว และการปฏิบัติตามข้อกำหนดสำหรับ Office 365 และ Microsoft Dynamics CRM Online

การปฏิบัติตามกฎระเบียบ

ไมโครซอฟท์ยึดถือหลักความโปร่งใสเพื่อช่วยให้ลูกค้าปฏิบัติตามความต้องการด้านกฎระเบียบของลูกค้าใช่หรือไม่

ใช่ ลูกค้า Office 365 และ Microsoft Dynamics CRM Online ของเราทั่วโลกมีกฎหมายและกฎระเบียบที่ต้องปฏิบัติตามแตกต่างกันออกไปจำนวนมาก ข้อกำหนดทางกฎหมายในประเทศหรืออุตสาหกรรมหนึ่งอาจไม่สอดคล้องกับข้อกำหนดทางกฎหมายที่บังคับใช้ในอีกที่หนึ่ง ในฐานะผู้ให้บริการระบบ Cloud ทั่วโลก เราต้องดำเนินบริการของเราโดยใช้แนวปฏิบัติด้านการดำเนินการและฟีเจอร์เดียวกันสำหรับลูกค้าทุกรายและในทุกๆ เขตอำนาจตามกฎหมาย เพื่อช่วยให้ลูกค้าของเราปฏิบัติตามข้อกำหนดของลูกค้าเองได้ เราได้สร้างบริการของเราโดยตระหนักถึงข้อกำหนดด้านความเป็นส่วนตัวและความปลอดภัยทั่วไป และศักยภาพที่เรามีจะช่วยให้เกิดการปฏิบัติตามกฎระเบียบและข้อบังคับเกี่ยวกับสิทธิ์ส่วนบุคคลที่มีอยู่อย่างหลากหลาย

อย่างไรก็ตาม ท้ายที่สุดแล้วขึ้นอยู่กับลูกค้าของเราที่จะประเมินผลิตภัณฑ์บริการของเราเทียบกับความต้องการของลูกค้าเอง เพื่อให้ลูกค้าสามารถตัดสินใจได้ว่าบริการของเราตรงกับความต้องการด้านกฎระเบียบของลูกค้าหรือไม่ เรามุ่งมั่นที่จะให้ลูกค้าของเราได้รับข้อมูลรายละเอียดเกี่ยวกับบริการ Cloud ของเราเพื่อช่วยให้ลูกค้าทำการประเมินตามกฎระเบียบของลูกค้าเองได้

ข้อมูลเกี่ยวกับการรับรองต่างๆ ที่อาจช่วยในการปฏิบัติตามกฎระเบียบมีอยู่ในส่วน ความปลอดภัย การตรวจสอบ และการรับรอง

Office 365 และ Microsoft Dynamics CRM Online ปฏิบัติตามข้อผูกพันด้านกฎระเบียบของฉันหรือไม่

คุณมีหน้าที่ที่จะต้องปฏิบัติตามข้อผูกพันด้านกฎระเบียบของคุณ เราจะให้ข้อมูลกับคุณเพื่อช่วยให้คุณดำเนินการดังกล่าว

เรามุ่งมั่นที่จะปฏิบัติตามกฎหมายการปกป้องข้อมูลและสิทธิ์ส่วนบุคคลที่ใช้บังคับกับผู้ให้บริการด้าน IT โดยทั่วไป หากคุณอยู่ภายใต้ข้อกำหนดต่างๆ ทางด้านอุตสาหกรรมหรือเขตอำนาจกฎหมาย คุณจะต้องประเมินความสามารถที่จะปฏิบัติตามด้วยตนเอง อย่างไรก็ตาม ลูกค้าในอุตสาหกรรมและในพื้นที่ต่างๆ จำนวนมากพบว่าพวกเขาสามารถใช้ Office 365 และ Microsoft Dynamics CRM Online ในลักษณะที่ยังคงปฏิบัติตามกฎระเบียบที่บังคับใช้ได้ ถ้าลูกค้าใช้บริการทั้งสองนี้ในลักษณะที่เหมาะสมกับสถานการณ์เฉพาะของลูกค้า

ตัวอย่างเช่น องค์กรที่อยู่ภายใต้ข้อกำหนดการปกป้องข้อมูลสหภาพยุโรป (EU Data Protection Directive) ควรจัดเตรียมนโยบาย ความปลอดภัย และโปรแกรมการฝึกอบรมของตนเองให้พร้อม เพื่อให้แน่ใจว่าบุคลากรขององค์กรจะไม่ใช้บริการ Office 365 หรือ Microsoft Dynamics CRM Online ไปในทางที่ฝ่าฝืนข้อกำหนดนี้ Office 365 และ Microsoft Dynamics CRM Online จะทำหน้าที่ของเราโดยการปฏิบัติตามความผูกพันในสัญญาที่เราได้ทำไว้เพื่อช่วยให้คุณปฏิบัติตามกฎระเบียบ

ตัวอย่างเช่น ลูกค้าจากสหภาพยุโรป (EU) อาจเก็บรายชื่อลูกค้าที่มีข้อมูลติดต่อเอาไว้ด้วย Office 365 และ Microsoft Dynamics CRM Online มี กระบวนการด้านความปลอดภัยที่ใช้อยู่เพื่อให้เกิดความมั่นใจว่าบุคลากรของไมโครซอฟท์จะไม่เข้าถึงหรือเปิดเผยข้อมูลนี้อย่างไม่ถูกต้องเหมาะสม อย่างไรก็ตาม อาจมีพนักงานคนหนึ่งของลูกค้าซึ่งใช้ Microsoft Exchange Online ใช้บริการนี้ส่งรายชื่อลูกค้าดังกล่าวนี้ไปให้กับนักการตลาดโดยไม่ได้รับการยินยอมอย่างเหมาะสม การฝ่าฝืนข้อกำหนดการปกป้องข้อมูลสหภาพยุโรปใดๆ อันเป็นผลมาจากการที่ Office 365 และ Microsoft Dynamics CRM Online ดำเนินการภายใต้การกำกับของลูกค้า เช่น เป็นเหตุให้มีการส่งอีเมลออกไปในการให้บริการตามปกติ การดำเนินการนั้นถือว่าเป็นความรับผิดชอบของลูกค้า

ถ้าฉันอยู่ในยุโรป การใช้ Office 365 และ Microsoft Dynamics CRM Online นั้นชอบด้วยกฎหมายหรือไม่

ภายใต้ข้อกำหนดการปกป้องข้อมูลสหภาพยุโรป (EU Data Protection Directive) และข้อผูกพันตามสัญญาของเรา Office 365 และ Microsoft Dynamics CRM Online ทำหน้าที่เป็นผู้ปกป้องข้อมูลของคุณ หรือโดยพื้นฐานแล้วก็คือผู้รับเหมารายย่อย (กฎหมายนี้เรียกเราว่า "ผู้ประมวลผลข้อมูล")

คุณซึ่งเป็นลูกค้ามีสิทธิ์ความเป็นเจ้าของในข้อมูลของคุณและมีความรับผิดชอบภายใต้กฎหมายนี้ในการตรวจสอบให้แน่ใจว่าเราได้ปฏิบัติตามกฎ และตรวจสอบให้แน่ใจว่าเป็นสิ่งที่ชอบด้วยกฎหมายสำหรับคุณในการส่งข้อมูลส่วนตัวให้แก่เรา (กฎหมายนี้เรียกคุณว่า "ผู้ควบคุมข้อมูล") คุณต้องตัดสินใจว่าสำหรับธุรกิจของคุณ ในสถานการณ์เฉพาะของคุณ คุณสามารถใช้บริการของเราเพื่อประมวลผลและจัดเก็บข้อมูลส่วนบุคคลของคุณได้หรือไม่

เราตระหนักถึงความต้องการของข้อกำหนดการปกป้องข้อมูลสหภาพยุโรป (EU Data Protection Directive) ในการออกแบบและการดำเนินการบริการของเราสำหรับการใช้งานทั่วไป และเราได้ติดตามข้อกำหนดดังกล่าวนี้ว่ามีการเปลี่ยนแปลงที่เกี่ยวข้องกับพัฒนาการของบริการของเราหรือไม่อย่างต่อเนื่อง

นอกจากนี้ ไมโครซอฟท์ยังได้รับรองตนเองภายใต้โปรแกรม U.S.–EU Safe Harbor และ U.S.–Switzerland Safe Harbor ที่มีลักษณะคล้ายคลึงกัน ตามที่กระทรวงพาณิชย์สหรัฐอเมริกาได้ตกลงกับสหภาพยุโรปและสวิตเซอร์แลนด์ตามลำดับ ซึ่งส่งผลให้เรามีพันธะต้องปฏิบัติตามข้อกำหนดการปกป้องข้อมูลสหภาพยุโรป (EU Data Protection Directive) และเราสามารถถ่ายโอนข้อมูลออกนอกสหภาพยุโรปในการให้บริการ Office 365 และ Microsoft Dynamics CRM Online ได้อย่างถูกต้องตามกฎหมาย สามารถดูการรับรอง Safe Harbor ของไมโครซอฟท์ได้ที่ http://safeharbor.export.gov/ เราเข้าใจว่าลูกค้าบางส่วนต้องการหลักประกันที่เชื่อถือได้มากกว่าสิ่งที่การรับรองตนเองตาม Safe Harbor มี นั่นเป็นเหตุผลที่ทำให้เรายินดีที่จะลงนามใน EU Model Clauses หรือในอีกชื่อว่า “ข้อสัญญามาตรฐาน” (Standard Contractual Clauses) กับลูกค้าทั้งหมด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการถ่ายโอนข้อมูลออกนอกสหภาพยุโรป ให้ดูในส่วน แผนผังข้อมูล ของศูนย์ความเชื่อถือ

ในบางประเทศ เราจะยึดตามข้อกำหนดด้านความปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคลที่มีความสำคัญ ตามที่กฎหมายกำหนด ถ้าคุณมีความกังวลอันเนื่องมาจากกฎข้อบังคับในประเทศของคุณ หรือประเภทของข้อมูลที่คุณจัดเก็บ หรือต้องการข้อมูลเพิ่มเติมเกี่ยวกับแนวปฏิบัติและฟีเจอร์ที่สนับสนุนของ Office 365 หรือ Microsoft Dynamics CRM Online และถ้าคุณไม่พบข้อมูลดังกล่าวในเอกสารประกอบการบริการ คุณสามารถติดต่อฝ่ายสนับสนุนได้ เราจะเปิดเผยข้อมูลที่เป็นประโยชน์ให้แก่คุณตราบเท่าที่การเปิดเผยนั้นไม่ส่งผลเสียต่อการรักษาความปลอดภัยของเรา เพื่อช่วยให้คุณสามารถตัดสินใจได้เองว่าจะยอมรับในการดำเนินการของ Office 365 หรือ Microsoft Dynamics CRM Online หรือไม่ โดยเปรียบเทียบกับความต้องการของคุณ

คุณควรอ่านคำถามทั่วไปเกี่ยวกับการปฏิบัติตามข้อกำหนด และควรเข้าใจว่าเพียงเพราะ Office 365 และ Microsoft Dynamics CRM Online สนับสนุนการปฏิบัติตามกฎหมายความเป็นส่วนตัวขององค์กรของคุณนั้นไม่ได้หมายความว่าองค์กรของคุณได้ชื่อว่าปฏิบัติตามข้อกำหนดแล้ว อาจยังมีขั้นตอนอื่นๆ เพิ่มเติมที่คุณต้องปฏิบัติ เช่น การจัดการนโยบายของบริษัทอย่างถูกต้องและการฝึกอบรมพนักงานเกี่ยวกับแนวปฏิบัติด้านความเป็นส่วนตัวที่ควรกระทำ นอกจากนี้ ขึ้นอยู่กับประเทศของคุณ อาจยังมีขั้นตอนอื่นๆ อีกที่คุณจำเป็นต้องดำเนินการเพื่อปฏิบัติตามกฎหมายท้องถิ่น เช่น การยื่นข้อมูลกับตัวแทนการปกป้องข้อมูลของคุณ

ข้อมูลลูกค้าที่ Office 365 หรือ Microsoft Dynamics CRM Online ประมวลผลได้รับการลงทะเบียนกับทางการของสหภาพยุโรป (EU) หรือไม่

ไม่ ทั้งนี้ Office 365 และ Microsoft Dynamics CRM Online ในฐานะผู้ประมวลผลข้อมูลไม่ได้ลงทะเบียนกับทางการของสหภาพยุโรปเกี่ยวกับข้อมูลลูกค้าที่เราประมวลผลในนามลูกค้าของเรา

Office 365 และ Microsoft Dynamics CRM Online ปฏิบัติตามข้อกำหนดของกฎหมายว่าด้วยการควบคุมและการส่งผ่านข้อมูลทางด้านการประกันสุขภาพ (Health Insurance Portability and Accountability Act หรือ HIPAA) สหรัฐอเมริกาหรือไม่ ไมโครซอฟท์จะลงนามในข้อสัญญา Business Associate Agreement ("BAA") ตามกฎหมาย HIPAA หรือไม่

เราช่วยให้ลูกค้าของเราปฏิบัติตาม HIPAA และยินดีที่จะลงนามใน HIPAA BAA กับลูกค้าทั้งหมด โปรดดู คำถามที่ถามบ่อยเกี่ยวกับ HIPAA/HITECH สำหรับข้อมูลเพิ่มเติม

Office 365 หรือ Microsoft Dynamics CRM Online ปฏิบัติตาม Gramm Leach Bliley Act (GLBA) หรือไม่

Office 365 และ Microsoft Dynamics CRM Online ช่วยให้ลูกค้าปฏิบัติตามข้อกำหนดด้านความปลอดภัยของกฎหมาย GLBA โดยสนับสนุนการป้องกันต่างๆ ทางด้านเทคนิคและด้านองค์กรเพื่อช่วยลูกค้ารักษาความปลอดภัยและป้องกันการใช้งานโดยที่ไม่ได้รับอนุญาต

Microsoft สามารถให้รายงานสรุปของการรับรองจากบุคคลภายนอกโดยผู้ตรวจสอบอิสระได้เมื่อลูกค้าร้องขอ

Office 365 หรือ Microsoft Dynamics CRM Online ปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลธุรกรรมการชำระเงินผ่านบัตรเครดิต (Payment Card Industry Data Security Standard หรือ PCI DSS) หรือไม่ ฉันสามารถฝากข้อมูลบัตรเครดิตไว้บนบริการของคุณได้หรือไม่

Office 365 และ Microsoft Dynamics CRM Online ไม่สนับสนุนการประมวลผล การส่ง หรือการจัดเก็บข้อมูลที่ควบคุมโดย PCI เช่น หมายเลขบัตรเครดิต

มาตรฐาน PCI ไม่ได้บังคับใช้กับ Office 365 หรือ Microsoft Dynamics CRM Online เพราะการประมวลผลและการจัดเก็บข้อมูลบัตรเครดิตไม่ใช่ฟังก์ชันการทำงานที่ Office 365 หรือ Microsoft Dynamics CRM Online นำเสนอ Office 365 และ Microsoft Dynamics CRM Online ได้ใช้นโยบายและการควบคุมด้านความปลอดภัยที่เหมาะสมซึ่งกำหนดโดยแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรม เช่น ISO 27001 หรืออื่นๆ

อย่างไรก็ตาม โปรดทราบว่าการสั่งซื้อ การเรียกเก็บเงิน และระบบการชำระเงินที่จัดการข้อมูลบัตรเครดิตของ Office 365 และ Microsoft Dynamics CRM Online นั้นคือ Level One PCI Compliant และลูกค้าสามารถใช้บัตรเครดิตเพื่อชำระเงินสำหรับบริการทั้งสองนี้ได้อย่างมั่นใจ

Office 365 ปฏิบัติตาม FERPA หรือไม่

ขณะที่สถาบันการศึกษามีข้อผูกพันที่แตกต่างกันจำนวนมากภายใต้ FERPA ไมโครซอฟท์ได้กำหนดเงื่อนไขของสัญญาหลักๆ ที่ควบคุมการใช้และการเปิดเผยระเบียนการศึกษาที่อาจเก็บไว้ใน Office 365 ทำให้สถาบันการศึกษาสามารถใช้ Office 365 เป็นส่วนหนึ่งของยุทธศาสตร์การปฏิบัติตาม FERPA ได้

FERPA ต้องการให้ตัวแทนหรือสถาบันการศึกษาทั้งหมดที่ได้รับทุนจากกระทรวงศึกษาธิการของสหรัฐอเมริกาช่วยปกป้องสิทธิ์ส่วนบุคคลของนักเรียนนักศึกษาโดยการป้องกันไม่ให้ใช้หรือเปิดเผย “ระเบียนการศึกษา” โดยไม่ได้รับความยินยอม แนวทางของกระทรวงศึกษาธิการสหรัฐอเมริกาได้ระบุชัดเจนว่าการสื่อสารทางอีเมลถือเป็นระเบียนการศึกษาที่อยู่ภายใต้ FERPA และผู้ให้บริการอีเมลในระบบ Cloud ควรอยู่ภายใต้ข้อจำกัดในการใช้หรือเปิดเผยข้อมูลในอีเมลและในเอกสารเช่นเดียวกัน

FERPA ต้องการให้ผู้ให้บริการ Cloud ยอมรับว่าจะใช้ “ระเบียนการศึกษา” ที่อยู่ในอีเมลของคณะ เจ้าหน้าที่คณะ และนักเรียนนักศึกษา ตลอดจนเอกสารอิเล็กทรอนิกส์อื่นๆ เฉพาะสำหรับวัตถุประสงค์ที่จำเป็นเกี่ยวกับการให้บริการ Cloud เท่านั้นและจะไม่สแกนหรือใช้ข้อมูลนี้ในการสนับสนุนและดำเนินกิจกรรมทางการค้าเช่นการโฆษณา ไมโครซอฟท์สร้างแนวทางให้สถาบันการศึกษาปฏิบัติตาม FERPA โดยการตกลงให้ถือว่าไมโครซอฟท์เป็น “เจ้าหน้าที่ของสถาบันการศึกษา” ที่อยู่ภายใต้ FERPA ที่มี “ส่วนได้ส่วนเสียทางการศึกษาที่ชอบด้วยกฎหมาย” ในข้อมูลของสถาบัน และโดยการตกลงที่จะปฏิบัติตามข้อจำกัดและข้อกำหนดที่บังคับโดย FERPA ต่อเจ้าหน้าที่ของสถาบันการศึกษา รวมทั้งตกลงว่าจะไม่สแกนอีเมลหรือเอกสารของสถาบันเพื่อวัตถุประสงค์ในการโฆษณา