Академический Документы
Профессиональный Документы
Культура Документы
Regulamentul general
privind protecia
datelor (GDPR)
Accelereaz alinierea la masura GDPR
cu ajutorul Microsoft Cloud
Cuprins
Introducere ........................................................................................................................................................................ 4
Angajamentul Microsoft fa de GDPR ......................................................................................................... 4
nelegerea GDPR elemente de baz ................................................................................................................... 5
Ce este GDPR?......................................................................................................................................................... 5
GDPR se aplic organizaiei mele? .................................................................................................................. 5
Cnd intr n vigoare GDPR? ............................................................................................................................. 5
Care sunt conceptele cheie din GDPR? ......................................................................................................... 5
Exemple de cerine GDPR cu privire la aceste principii ........................................................................... 6
Asocierea cu Microsoft pe drumul ctre GDPR ................................................................................................... 6
Introducere n GDPR ...................................................................................................................................................... 7
O abordare de platform a GDPR ........................................................................................................................ 7
Ia msuri astzi ............................................................................................................................................................. 10
Descoper: identific ce date cu caracter personal deii i unde sunt localizate ............................ 10
GDPR se aplic datelor mele? ..................................................................................................... 10
Efectuarea inventarului ............................................................................................................... 10
Gestioneaz: administreaz modul n care sunt utilizate
i accesate datele cu caracter personal ........................................................................................................... 14
Guvernarea datelor ..................................................................................................................... 14
Clasificarea datelor...................................................................................................................... 16
Protejeaz: implementeaz controale de securitate pentru
a preveni, detecta i rspunde la vulnerabiliti i bree de securitate .............................................. 17
Protejarea datelor ....................................................................................................................... 17
Detectarea i neutralizarea breelor de securitate..................................................................... 24
Raporteaz: d curs solicitrilor de date, raporteaz
breele de securitate i pstreaz documentaia necesar. .................................................................... 29
Pstrarea nregistrrilor .............................................................................................................. 29
Instrumente de raportare i documentaie din serviciile cloud ................................................. 32
Notificarea subiecilor datelor .................................................................................................... 32
Gestionarea solicitrilor subiecilor datelor ............................................................................... 32
Pagina 2 | 33
Disclaimer
Acest material despre GDPR este modul cum Microsoft interpreteaz aceast masur, la
data publicrii. Am dedicat mult timp analizei GDPR, mai ales n a ntelege intenia i sensul
GDPR. Procesul de implementare ns este un process specific fiecrei companii i nu toate
aspectele i interpretrile GDPR sunt bine determinate.
Drept urmare, aceast carte alb este furnizat n scop informativ i nu trebuie s se
considere c ofer consiliere juridic sau c determin modul n care GDPR i se poate aplica
ie sau organizaiei tale. Te ncurajm s colaborezi cu specialiti calificai pentru a discuta
despre GDPR, despre modul n care se aplic organizaiei tale i despre cele mai bune
moduri de asigurare a conformitii.
Acest document nu i ofer niciun drept legal de proprietate intelectual asupra niciunui
produs Microsoft. Poi copia i utiliza aceast carte alb doar n scopuri de referin intern.
Versiunea 1.1
Pagina 3 | 33
Introducere
Pe 25 mai 2018 va intra n vigoare o lege european privind confidenialitatea, care stabilete
un nou standard global pentru drepturile la confidenialitate, securitate i conformitate.
Regulamentul general privind protecia datelor sau GDPR se refer, n esen, la protejarea
i asigurarea drepturilor persoanelor la confidenialitate. GDPR stabilete cerine globale de
confidenialitate stricte, care guverneaz modul n care sunt gestionate i protejate datele
personale, respectndu-se, n acelai timp, alegerile individuale indiferent unde sunt trimise,
procesate sau stocate datele.
mpreun cu clienii notri depunem eforturi pentru a atinge obiectivele de confidenialitate ale
GDPR. n cadrul Microsoft, noi credem c confidenialitate este un drept fundamental i c
GDPR este o etap important pentru clarificarea i asigurarea drepturilor persoanelor la
confidenialitate. Recunoatem, ns, de asemenea, c GDPR va necesita schimbri
semnificative n organizaiile din ntreaga lume.
Dei drumul spre alinierea la GDPR poate prea dificil, noi suntem aici pentru a te ajuta.
Pagina 4 | 33
nelegerea GDPR elemente de baz
nainte s descriem modurile specifice n care Microsoft te poate ajuta s te pregteti pentru
GDPR, am dori s rspundem la unele dintre cele mai importante ntrebri cu privire la
regulament i la ceea ce poate nsemna pentru tine. O prezentare general mai extins poate fi
gsit aici.
Ce este GDPR?
Regulamentul general privind protecia datelor este un nou regulament privind
confidenialitatea n Uniunea European. Acesta ofer oamenilor control suplimentar asupra
datelor personale, asigur transparena cu privire la utilizarea datelor i impune securitate i
mijloace de control pentru protejarea datelor.
Spre deosebire de legile privind confidenialitatea din alte jurisdicii, GDPR se aplic
organizaiilor de orice dimensiune i din orice domeniu. UE este privit adesea la nivel
internaional ca model n ceea ce privete chestiunile legate de confidenialitate, de aceea ne
ateptm ca, n timp, anumite concepte din GDPR s fie adoptate i n alte pri ale lumii.
Oferirea posibilitii persoanelor vizate de a corecta sau solicita tergerea datelor cu caracter
personal.
Limitarea stocrii datelor cu caracter personal doar la perioada necesar atingerii scopului
Pagina 5 | 33
declarat.
Pentru o prezentare general mai detaliat a GDPR i pentru a nelege mai bine termeni precum
pseudonimizare, procesare, controlere, procesatori, subieci ai datelor i date cu caracter
personal, viziteaz Microsoft.com/GDPR. Dorim s te ajutm s ndeplineti cerinele GDPR
i s sprijini n continuare dreptul persoanelor la confidenialitate.
Pagina 6 | 33
procese i expertiz i poate cere schimbri semnificative n practicile de gestionare a
confidenialitii i datelor. Drumul tu ctre conformarea cu GDPR va fi mai uor dac
utilizezi un model de servicii cloud bine structurat i dac implementezi un program eficient
de administrare a datelor. n ceea ce privete succesul conformrii cu GDPR, te poi baza pe
Microsoft i pe ecosistemul nostru extins de parteneri.
Microsoft are un istoric lung de furnizare a unor servicii cloud pe care te poi baza. Avem
o abordare bazat pe principii fa de confidenialitate, securitate, conformitate i transparen,
cu angajamente solide, pentru a ne asigura c poi avea ncredere n tehnologia digital pe care
te bazezi. Avem cel mai extins portofoliu de conformitate din domeniu i am fost primii care
am adoptat standarde cheie, precum standardul de confidenialitate a serviciilor cloud
ISO/IEC 27018. Clienii i partenerii notri beneficiaz de experiena extins pe care
o avem n ceea ce privete confidenialitatea, securitatea, conformitatea i transparena.
Pe msur ce te pregteti de conformarea cu GDPR, iat la ce altceva te poi atepta din partea
noastr:
mprtim experiena. i vom spune cum a fost drumul nostru ctre conformitatea cu
GDPR, pentru ca tu s poi adapta lucrurile pe care noi le-am nvat, cu scopul de a
alege cel mai bun drum pentru organizaia ta.
Introducere n GDPR
O abordare de platform a GDPR
Sistemele pe care le utilizezi pentru a crea, stoca, analiza i gestiona date pot fi rspndite n mai
multe medii IT dispozitive personale, servere locale, servicii cloud, chiar i Internet of Things.
Aceasta nseamn c este posibil ca mare parte din resursele tale IT s fac obiectul
cerinelor GDPR.
Eforturile tale de a te conforma cerinelor GDPR vor fi utilizate cel mai bine prin studierea
Pagina 7 | 33
cerinelor n mod holistic i n contextul tuturor obligaiilor legale i de reglementare cu privire
la confidenialitate. De exemplu, multe dintre controalele de securitate pentru prevenirea,
detectarea i abordarea vulnerabilitilor i breelor de securitate cerute de GDPR sunt similare
cu cele impuse de alte standarde de protecie a datelor, precum standardul de confidenialitate
a serviciilor cloud ISO 27018.
Pagina 8 | 33
Descoper
Gestioneaz
Protejeaz
Raporteaz
Avnd n vedere ct de multe msuri trebuie luate, nu ar trebui s atepi nceperea aplicrii
GDPR pentru a te pregti. Ar trebui s revizuieti acum practicile de confidenialitate i
gestionare a datelor.
Urmtoarele seciuni evideniaz elemente specifice din fiecare component a GDPR i descriu
moduri n care poi utiliza produse i servicii disponibile astzi de la Microsoft pentru a ncepe.
Pagina 9 | 33
Ia msuri astzi
Descoper: identific ce date cu caracter personal deii i unde sunt
localizate
Primul pas ctre alinierea GDPR este s evaluezi dac acest msur se aplic organizaiei tale i,
dac da, n ce msur. Aceast analiz ncepe prin a nelege ce date deii i unde sunt localizate.
Dac organizaia ta deine astfel de date n baze de date de clieni, n formulare de feedback
completate de clieni, n coninut de e-mailuri, n fotografii, n nregistrri CCTV, n nregistrri ale
programelor de fidelitate, n baze de date de resurse umane sau n orice alt parte sau dorete
s le colecteze i dac datele aparin sau sunt asociate rezidenilor UE, atunci trebuie s te
conformezi GDPR. Reine c datele cu caracter personal nu trebuie s fie stocate n UE pentru a
fi sub incidena GDPR GDPR se aplic datelor colectate, procesate sau stocate n afara UE dac
sunt asociate rezidenilor UE.
Efectuarea inventarului
Pentru a nelege dac GDPR se aplic organizaiei tale i, dac da, ce obligaii impune, este
important s inventariezi datele din organizaia ta. Aceasta te va ajuta s nelegi ce date au
caracter personal i s identifici sistemele n care sunt colectate i stocate datele, s nelegi
de ce au fost colectate, cum sunt procesate i partajate i ct de mult sunt pstrate.
Iat cteva exemple de modaliti specifice prin care ofertele noastre de soluii cloud i soluii
locale te pot ajuta n primul pas ctre GDPR.
Azure
Avnd n vedere c Azure este o platform cloud deschis i flexibil, acesta include un serviciu
prin care sursele de date pot fi descoperite i identificate mai uor. Catalogul de date Microsoft
Azure este un serviciu cloud administrat complet, care servete drept sistem de nregistrare i
sistem de descoperire pentru sursele de date ale organizaiei. Cu alte cuvinte, Catalogul de date
Azure te ajut s descoperi, s nelegi i s utilizezi surse de date pentru a valorifica mai bine
datele existente. Dup ce o surs de date este nregistrat n Catalogul de date Azure,
metadatele acesteia sunt indexate de serviciu pentru ca tu s poi cuta i descoperi cu
uurin datele de care ai nevoie.
Pagina 10 | 33
Dynamics 365
Dynamics 365 furnizeaz mai multe capaciti de vizibilitate i auditare care pot fi utilizate prin
intermediul tablourilor de bord Raportare i Analiz din Dynamics 365 cu scopul de a identifica
datele cu caracter personal:
Dynamics 365 include un Asistent raport pe care l poi utiliza pentru a crea cu uurin
rapoarte, fr s utilizezi interogri bazate pe XML sau SQL.
Tablourile de bord din Dynamics 365 furnizeaz o prezentare general a datelor de afaceri
informaii care te ajut s identifici aciuni i care pot fi vizualizate n toat organizaia.
Enterprise Mobility + Security include tehnologii de securitate bazate pe identitate care te ajut
s descoperi, s controlezi i s protejezi datele cu caracter personal deinute de organizaia ta,
precum i s descoperi potenialele probleme ascunse i s detectezi breele de securitate.
Microsoft Cloud App Security este un serviciu cuprinztor care furnizeaz o vizibilitate
superioar, controale extinse i o protecie mbuntit pentru date n aplicaiile cloud. Poi
observa ce aplicaii cloud sunt utilizate n reea identificnd peste 13.000 de aplicaii de pe
toate dispozitivele i poi beneficia de evaluri de riscuri i analize continue.
Microsoft Azure Information Protection te ajut s identifici care sunt datele sensibile i unde
sunt localizate. Poi s caui date marcate cu o anumit sensibilitate sau poi s identifici n mod
inteligent datele sensibile atunci cnd este creat un fiier sau un e-mail. Dup identificare, poi
clasifica i eticheta automat datele toate acestea n baza politicii dorite a companiei.
Office 365
Exist cteva soluii Office 365 specifice care te ajut s identifici sau s gestionezi accesul la
datele cu caracter personal:
Prevenirea pierderii datelor (DLP) din Office i Office 365 poate identifica peste 80 de
tipuri comune de date sensibile, inclusiv date financiare, date medicale i informaii de
identificare personal.
Cutarea de coninut din Centrul de securitate i conformitate Office 365 poate cuta n
cutii potale, foldere publice, grupuri Office 365, Microsoft Teams, site-uri SharePoint
Online, locaii din One Drive pentru business i conversaii din Skype for Business.
Pagina 11 | 33
Cutarea din Office 365 eDiscovery poate fi utilizat pentru a gsi text i metadate n
coninut din activele tale Office 365 SharePoint Online, OneDrive pentru business,
Skype for Business Online i Exchange Online.
SharePoint
Poi utiliza Serviciul de cutare SharePoint pentru a cuta funcionaliti n cadrul aplicaiei,
cu scopul de a gsi date cu caracter personal. Pentru a identifica i cuta coninut sensibil,
SharePoint Server 2016 ofer aceleai capaciti de prevenire a pierderii datelor precum
Office 365.
Limbajul SQL poate fi utilizat pentru a interoga baze de date i pentru a particulariza
instrumente sau servicii care pot contribui la ndeplinirea acestei cerine. Cutarea este acceptat
n ntregime prin interogri, ns nregistrarea complet a urmririi trebuie executat la nivel de
aplicaie. Activitatea Script furnizeaz codul pentru execuia de funcii particularizate, cum ar fi
interogrile complexe de date care nu sunt disponibile n activitile i transformrile integrate
pe care le furnizeaz SQL Server Integration Services. Activitatea Script poate, de asemenea, s
combine funcii ntr-un singur script n loc s utilizeze activiti i transformri multiple. Aceast
suit de produse include i o funcionalitate puternic de business intelligence care ofer
utilizatorilor finali acces la perspectivele asupra datelor.
Pagina 12 | 33
Windows i Windows Server
Pentru a gsi date n Windows, poi utiliza Windows Search pentru a urmri i localiza datele cu
caracter personal pe computerul local i pe orice dispozitive conectate pentru care ai permisiuni
de acces adecvate. Pentru a mbunti capacitile Windows Search de a localiza datele int,
poi configura Opiunile de indexare din Panoul de control pentru a particulariza capacitile
Windows Search (de exemplu prin indexare coninutului fiierelor).
Pagina 13 | 33
Gestioneaz: administreaz modul n care sunt utilizate i accesate datele cu
caracter personal
GDPR furnizeaz subiecilor datelor - persoane asociate datelor - mai mult control cu privire la
modul n care datele lor cu caracter personal sunt capturate i utilizate. Subiecii datelor pot, de
exemplu, s solicite ca organizaia ta s partajeze datele asociate lor, s le transfere datele ctre
alte servicii, s corecteze erorile din datele lor sau s restricioneze procesarea anumitor date n
cazuri specifice. n unele cazuri, aceste solicitri trebuie trimise n perioade de timp fixe.
Guvernarea datelor
Pentru a i ndeplini obligaiile fa de subiecii datelor, va trebui s nelegi ce tipuri de date cu
caracter personal proceseaz organizaia ta, n ce mod i n ce scopuri. Inventarierea datelor
discutat anterior este un prim pas ctre acest lucru. Dup ce inventarierea este finalizat, este,
de asemenea, important s dezvoli i s implementezi un plan de guvernare a datelor. Un plan
de guvernare a datelor te poate ajuta s defineti politici, roluri i responsabiliti pentru accesul,
gestionarea i utilizarea datelor cu caracter personal i te poate ajuta s te asiguri c practicile
de gestionare a datelor se conformeaz cu GDPR. De exemplu, un plan de guvernare a datelor
poate oferi organizaiei tale ncrederea c respect efectiv solicitrile subiecilor datelor de a
terge sau transfera datele.
Pentru a sprijini strategia de guvernare a datelor, serviciile cloud Microsoft sunt dezvoltate prin
metodologiile Microsoft Privacy-by-Design i Privacy-by-Default. Atunci cnd i ncredinezi
datele ctre Azure, Office 365 sau Dynamics 365, rmi unicul proprietar: reii dreptul, titlul i
interesul pentru datele stocate n servicii.
Serviciile cloud Microsoft iau msuri solide pentru a te ajuta s protejezi datele clienilor
mpotriva accesului inadecvat sau a utilizrii de ctre persoane neautorizate, dup cum se
detaliaz n Centrul de autorizare Microsoft. Aceste msuri includ restricionarea accesului de
ctre personalul i subcontractorii Microsoft i definirea atent a cerinelor pentru a rspunde la
solicitarea datelor clienilor de ctre instituiile guvernamentale.
Totui, poi s accesezi datele propriilor clieni n orice moment i cu orice motiv.
n plus, redirecionm solicitrile de date ale instituiilor guvernului pentru a i se adresa direct,
n afara cazului n care acest lucru este interzis prin lege i am contestat pe cale oficial
ncercrile instituiilor guvernamentale de a interzice dezvluirea unor astfel de solicitri.
Pentru a ne asigura c serviciile cloud Microsoft sunt gestionate corect i pentru a furniza
asigurri clienilor, serviciile cloud sunt auditate cel puin anual n baza ctorva standarde
globale de confidenialitate a datelor, inclusiv HIPAA i HITECH, CSA Star Registry i cteva
standarde ISO. Aceste rapoarte pot fi accesate la adresa
https://servicetrust.microsoft.com/Documents/ComplianceReports.
Pagina 14 | 33
Pe lng aceste angajamente, i vom furniza controlul necesar pentru a verifica modul n care
sunt gestionate datele i cine are acces la date specifice din organizaie.
Azure
Azure Active Directory este o soluie de gestionare a identitii i accesului n cloud. Gestioneaz
identitile i controleaz accesul la Azure, local, i la alte resurse, date i aplicaii din cloud.
Cu Azure Active Directory Privileged Identity Management poi atribui drepturi administrative
temporare, Just-In-Time (JIT), utilizatorilor eligibili pentru a gestiona resurse Azure.
Azure Role-Based Access Control (RBAC) te ajut s gestionezi accesul la resursele Azure. Acest
lucru i permite s acorzi acces n baza rolului atribuit utilizatorului, putnd s furnizezi doar
permisiunile de care au nevoie utilizatorii pentru a-i ndeplini sarcinile. Poi particulariza RBAC
conform modelului de afaceri i toleranei fa de riscuri din organizaia ta.
Office 365
Soluiile Office 365 au cteva caracteristici care te ajut s gestionezi datele cu caracter personal:
Caracteristica Reinere din Office 365 te poate ajuta s gestionezi ciclul de via al
e-mailului i documentelor pstrnd coninutul de care ai nevoie i eliminnd coninutul
dup ce nu mai este necesar.
Pagina 15 | 33
Clasificarea datelor
Clasificarea datelor este o parte important din orice plan de guvernare a datelor. Adoptarea
unei scheme de clasificare care se aplic n ntreaga organizaie poate fi foarte util pentru
a rspunsurile la solicitrile subiecilor datelor, deoarece i permite s identifici mai prompt
i s procesezi solicitrile de date.
Azure
Materialul despre clasificarea datelor furnizeaz ndrumri specifice pentru clasificarea datelor n
Azure i i explic principiile din spatele tehnicilor de clasificare a datelor, procesul, terminologia
i implementarea. Documentaia conine o mulime de alte informaii i linkuri.
Dynamics 365
Azure Information Protection te poate ajuta s clasifici i s etichetezi datele n momentul crerii
sau modificrii. Apoi, asupra datelor sensibile se pot aplica protecii (criptare plus autentificare
plus drepturi de utilizare) sau marcaje vizuale. Etichetele de clasificare i proteciile sunt
permanente, nsoind datele pentru a putea fi identificate i protejate n permanen
indiferent unde sunt stocate sau cu cine sunt partajate.
Pagina 16 | 33
Office i Office 365
Prevenirea pierderii datelor (DLP) din Office i Office 365 poate identifica peste 80 de
tipuri comune de date sensibile inclusiv date financiare, date medicale i informaii de
identificare personal. n plus, DLP permite organizaiilor s configureze msurile care
vor fi luate dup identificare pentru a proteja informaiile sensibile i pentru a preveni
dezvluirea accidental.
Kitul de instrumente Microsoft pentru clasificarea datelor pentru Windows Server 2012 R2
furnizeaz exemple de reguli i expresii de cutare pe care le poi utiliza pentru a sprijini
activitile de conformitate ntreprinse de specialitii IT, auditorii, contabilii, avocaii i ceilali
specialiti din organizaia ta.
Protejarea datelor
Securitatea datelor este un domeniu complex. Exist numeroase riscuri care trebuie identificate
i luate n considerare - de la intruziunea fizic sau angajaii ru-intenionai, pn la pierderea
accidental sau atacurile hackerilor. Crearea de planuri de management al riscurilor i luarea
unor msuri de reducere a riscurilor, cum ar fi protejarea prin parol, jurnalele de audit i
criptarea, te pot ajuta s asiguri conformitatea.
Serviciul cloud Microsoft este creat special pentru a te ajuta s nelegi riscurile i pentru a te
apra mpotriva lor i este mai sigur dect mediile de calcul locale n multe privine. De exemplu,
centrele noastre de date sunt certificate la standarde recunoscute la nivel internaional, sunt
protejate prin supraveghere fizic permanent i au msuri stricte de control al accesului.
Pagina 17 | 33
Modul n care securizm infrastructura cloud este doar o parte din soluia cuprinztoare de
securitate i fiecare dintre produsele noastre, n cloud sau locale, au caracteristici de securitate
pentru a asigura datele.
Azure
Urmtoarele servicii i instrumente Azure te vor ajuta s protejezi datele cu caracter personal din
mediul cloud:
Microsoft Antimalware pentru servicii cloud i maini virtuale Azure este o capacitate
gratuit n timp real care te ajut s identifici i s elimini virui, spyware i alte programe
malware care vizeaz furtul de date, cu alerte configurabile care te anun atunci cnd
programe malware sau software nedorit ncearc s se instaleze sau ruleze pe
sistemele Azure.
Pagina 18 | 33
Dynamics 365
Poi utiliza conceptele de securitate pentru Dynamics 365 pentru a proteja integritatea i
confidenialitatea datelor dintr-o organizaie Dynamics 365. Poi combina uniti de business,
securitate bazat pe roluri, securitate bazat pe nregistrri i securitatea bazat pe cmpuri
pentru a defini accesul general la informaiile utilizatorilor din organizaia ta Dynamics 365.
Securitatea bazat pe roluri din Dynamics 365 i permite s grupezi un set de privilegii
care limiteaz activitile care pot fi executate de un anumit utilizator. Aceasta este o
capacitate important, n special atunci cnd sunt schimbate rolurile persoanelor dintr-o
organizaie.
Azure Active Directory (Azure AD) din Enterprise Mobility + Security protejeaz
organizaia la nivel de acces prin gestionarea i protejarea identitilor - i a celor
privilegiate i a celor neprivilegiate. Azure AD furnizeaz o identitate comun protejat
pentru a accesa mii de aplicaii Azure AD Premium dispune de MultiFactor
Authentication (MFA), care este un mijloc de control al accesului bazat pe starea
dispozitivului, locaia utilizatorului, identitate i riscul la conectare i pe rapoarte,
audituri i alerte de securitate holistice. Azure AD Privileged Identity Management (PIM)
contribuie la descoperirea, restricionarea i monitorizarea identitilor privilegiate i a
accesului acestora la resurse printr-un expert de securitate wizard, revizuiri i alerte.
Acest lucru permite scanrii precum accesul limitat n timp de tip just in time i just
enough administration.
Pagina 19 | 33
Enterprise Mobility + Security furnizeaz o vizibilitate asupra activitii utilizatorilor,
dispozitivului i datelor la nivel local i n cloud i te ajut s i protejezi datele prin mijloace de
control i aplicare solide.
Azure Information Protection extinde controlul asupra datelor de-a lungul ntregului
ciclu de via al datelor - de la creare pn la stocarea local i n servicii cloud,
partajarea intern sau extern, monitorizarea distribuiei fiierelor i n final rspunsul la
activitile neateptate.
Cloud App Security ofer vizibilitate i mijloace solide de control al datelor pentru
software-ul ca serviciu (SaaS) i aplicaiile cloud pe care le utilizeaz angajaii, pentru a
avea un context complet i pentru a ncepe s controlezi datele cu politici detaliate.
Numeroase mijloace de control sunt disponibile n mod implicit. SharePoint i OneDrive pentru
business, de exemplu, utilizeaz ambele criptare pentru date n tranzit i n standby. n plus, poi
configura i implementa certificate digitale pentru a ascunde datele cu caracter personal i poi
utiliza mijloacele de control Office Access pentru a acorda i restriciona accesul la datele cu
caracter personal.
Pagina 20 | 33
Office 365 ofer alte caracteristici care te ajut s protejezi datele i s identifici cnd se produc
bree de securitate:
Scorul de securitate i ofer perspective asupra poziiei de securitate i asupra
caracteristicilor disponibile pentru a reduce riscurile, echilibrnd, n acelai timp,
productivitatea i securitatea.
Advanced Threat Protection (ATP) pentru Exchange Online te ajut s protejezi n timp
real e-mailul mpotriva atacurilor noi, sofisticate cu malware. De asemenea, i permite s
creezi politici care te ajut s mpiedici utilizatorii s acceseze ataamente sau site-uri
web ru-intenionate trimise prin e-mail. ATP pentru Exchange Online include protecie
mpotriva programelor malware i viruilor, protecie n momentul clicului mpotriva
URL-urilor ru-intenionate i capaciti de raportare detaliat i urmrire a URL-urilor.
Information Rights Management (IRM) te ajut pe tine i pe utilizatorii ti s prevenii
imprimarea, redirecionarea, salvarea, editarea sau copierea informaiilor sensibile de
ctre persoane neautorizate. Cu IRM n SharePoint Online poi limita aciunile posibile
ale utilizatorilor asupra fiierelor care au fost descrcate din liste sau biblioteci, cum ar
fi imprimarea copiilor fiierelor sau copierea de text din acestea. Cu IRM n Exchange
Online poi mpiedica scurgerea informaiilor sensibile din mesaje e-mail i ataamente
prin e-mail, online i offline.
Management de dispozitive mobile (MDM) pentru Office 365 i permite s configurezi
politici i reguli pentru a securiza i gestiona dispozitivele iPhones, iPads, Android i
telefoanele Windows nregistrate de utilizatori. De exemplu, poi terge de la distan
un dispozitiv i poi vizualiza rapoarte detaliate pentru acesta. Office 365 utilizeaz, de
asemenea autentificarea multi-factor pentru a furniza securitate suplimentar.
SQL Server i Baza de date SQL Azure ofer mijloace de control pentru gestionarea accesului la
baza de date i autorizare la cteva niveluri:
Firewallul Bazei de date SQL Azure limiteaz accesul la bazele de date individuale de pe
serverul Bazei de date SQL Azure prin restricionarea accesului exclusiv la conexiuni
autorizate. Poi crea reguli pentru firewall la nivel de server i de baz de date,
specificnd intervalele de IP-uri aprobate pentru conectare.
Autentificarea la SQL Server te ajut s te asiguri c numai utilizatorii autorizai cu
acreditri valide pot accesa serverul bazei de date. SQL Server accept att autentificarea
prin Windows, ct i datele de conectare SQL Server. Autentificarea prin Windows ofer
securitate integrat i este recomandat ca opiune mai sigur, n care procesul de
autentificare este complet criptat. Baza de date SQL Azure accept autentificarea prin
Azure Active Directory, care ofer capacitate de sign-on unic i este acceptat pentru
domenii gestionate i integrate.
Pagina 21 | 33
Autorizarea SQL Server i permite s gestionezi permisiunile conform principiului de
acordare de privilegii minime. SQL Server i Baz de date SQL utilizeaz securitate bazat
pe roluri, care accept controlul detaliat al permisiunilor pentru date prin gestionarea
apartenenelor la roluri i permisiunile-la nivel de obiect.
Mascarea dinamic a datelor (DDM) este o capacitate integrat care poate fi utilizat
pentru a limita expunerea datelor sensibile prin mascarea acestora atunci cnd sunt
accesate de utilizatori sau aplicaii fr privilegii. Cmpurile de date desemnate sunt
mascate rapid n rezultatele interogrilor, n timp ce datele din baza de date rmn
neschimbate. DDM este uor de configurat i nu necesit nicio modificare n aplicaie.
Pentru utilizatorii de Baz de date SQL Azure, mascarea dinamic a datelor poate
descoperi automat datele care pot fi sensibile i pot sugera aplicarea mtilor
corespunztoare.
Securitatea la nivel de rnd (RLS) este o capacitate integrat suplimentar care permite
clienilor SQL Server i Baz de date SQL s implementeze restriciile pentru accesul
rndurilor de date. RLS poate fi utilizat pentru a permite accesul detaliat la rnduri
dintr-un tabel de baz de date, pentru a controla mai bine ce utilizatori pot accesa
datele. Avnd n vedere c logica pentru restricionarea accesului este localizat la nivelul
bazei de date, aceast capacitate simplific mult designul i implementarea securitii
aplicaiei.
SQL Server i Baz de date SQL ofer un set puternic de capaciti integrate care protejeaz
datele i identific momentul n care se produce o bre de securitate:
Always Encrypted este o caracteristic premier n domeniu, care este conceput pentru
a proteja datele foarte sensibile n SQL Server i n Baza de date SQL. Always Encrypted
permite clienilor s cripteze datele sensibile n interiorul aplicaiilor i s nu dezvluie
niciodat cheile de criptare ctre motorul bazei de date. Mecanismul este transparent
pentru aplicaii, deoarece criptarea i decriptarea datelor este realizat transparent ntr-
un driver client compatibil cu Always Encrypted.
Pagina 22 | 33
Auditurile pentru Baz de date SQL i auditurile pentru SQL Server monitorizeaz
evenimentele din bazele de date i le noteaz ntr-un jurnal de audit. Auditarea i
permite s nelegi activitile continue din baza de date i s analizezi i s investighezi
activitatea istoric pentru a identifica posibile ameninri sau abuzuri i nclcri ale
securitii.
Detecia ameninrilor din Baz de date SQL detecteaz activitile anormale din baza de
date indicnd posibile ameninri asupra bazei de date. Detecia ameninrilor utilizeaz
un set avansat de algoritmi pentru a nva i profila n mod continuu comportamentele
aplicaiilor i ofer imediat o notificare dac detecteaz activiti neobinuite sau
suspecte. Detecia ameninrilor te poate ajuta s ndeplineti cerinele de notificare cu
privire la breele de securitate din GDPR.
Pagina 23 | 33
Windows Information Protection continu ceea ce a nceput BitLocker. n timp ce
BitLocker protejeaz ntregul disc al unui dispozitiv, Windows Information Protection
protejeaz datele de utilizatorii i aplicaiile neautorizate care ruleaz pe un computer.
De asemenea, te ajut s mpiedici scurgerile de date din documente business ctre
documente non-business sau locaii locations de pe web.
Mainile virtuale ecranate i permit s utilizezi BitLocker pentru a cripta discurile i
mainile virtuale (VM) care ruleaz pe Hyper-V, pentru a mpiedica administratorii
compromii sau ru-intenionai s atace coninutul mainilor virtuale protejate.
Just Enough Administration i Just in Time Administration permit administratorilor s
i ndeplineasc sarcinile regulate, permindu-i, n acelai timp, s limitezi domeniul
capacitilor i timpul alocate administratorilor. Dac o acreditare privilegiat este
compromis, dimensiunea daunelor este limitat n mod semnificativ. Aceast tehnic
furnizeaz administratorilor un singur nivel de acces necesar n perioada n care lucreaz la
proiect.
Pagina 24 | 33
Creezi un plan de recuperare pentru a remedia problema. Paii de neutralizare a crizei,
precum izolarea n carantin a sistemelor afectate se poate produce imediat i n paralel
cu diagnosticarea. Remedierile pe termen mai lung pot fi planificate dup ce riscul
imediat a trecut.
Creezi o analiz ulterioar care evideniaz detaliile incidentului, cu intenia de a revizui
politicile, procedurile i procesele pentru a preveni reapariia evenimentului. Aceast
etap este conform cu Articolul 31 din GDPR care impune nregistrarea faptelor din
jurul breei, a efectelor sale i a planului de remediere aplicat.
Azure
Protejarea datelor personale n sisteme, raportarea i verificarea conformitii sunt cerine cheie ale
GDPR. Urmtoarele servicii i instrumente Azure te vor ajuta s ndeplineti aceste obligaii GDPR:
Serviciile integrate n Azure i permit s nelegi mai rapid i mai uor postura de
securitate general i s detectezi i s investighezi ameninrile asupra mediului tu
cloud. Azure Security Center utilizeaz analize complexe de securitate. Sunt utilizate
inovaii n tehnologii big data i de nvare programat pentru a evalua evenimente n
ntregul sistem cloud - detectnd ameninri care ar fi imposibil de identificat folosind
abordrile manuale i anticipnd evoluia atacurilor. Aceste analize de securitate includ:
Investigarea integrat ameninrilor, care caut ameninrile cunoscute utiliznd
informaii globale despre ameninri de la produse i servicii Microsoft, de la
Microsoft Digital Crimes Unit (DCU), de la Microsoft Security Response Center
(MSRC) i din surse externe.
Analiza comportamentelor, care aplic modele cunoscute pentru a descoperi
comportamente ru-intenionate.
Detecia anomaliilor, care utilizeaz profiluri statistice pentru a crea o line de
baz istoric. Ofer alerte n cazul deviaiilor de la linii de baz cunoscute care se
conformeaz cu un potenial vector de atac.
n plus, Security Center furnizeaz alerte de securitate prioritizate care i ofer
perspective asupra campaniei de atac, inclusiv asupra evenimentelor asociate i asupra
resurselor afectate.
Azure Log Analytics furnizeaz opiuni configurabile de auditare i nregistrare
de securitate care te pot ajuta s colectezi i s analizezi datele generate de
resursele locale sau din cloud. Acesta ofer perspective n timp real utiliznd
cutare integrat i tablouri de bord particularizate pentru a analiza prompt
nregistrrile din toate sarcinile de lucru i serverele indiferent de locaia fizic.
Acesta faciliteaz rspunsurile rapide i investigaiile detaliate n cazul oricror
evenimente de securitate.
Pagina 25 | 33
Dynamics 365
ntreinem i actualizm Dynamics 365 (online) n mod regulat pentru a asigura securitatea,
performanele i disponibilitatea i pentru a oferi caracteristici i funcionaliti noi. Din cnd n
cnd, rspundem i la incidente de service. Pentru fiecare dintre aceste activiti, administratorul
Dynamics 365 pentru organizaia ta primete notificri prin e-mail. n timpul unui incident de
service, un reprezentant de servicii clieni Dynamics 365 (online) te poate apela telefonic i i
poate trimite ulterior un e-mail. Consult detaliile complete ale politicilor i comunicrilor pentru
Dynamics 365 pe TechNet.
Microsoft Advanced Threat Analytics (ATA) este un produs pentru utilizare local, care
ajut specialitii IT s i protejeze organizaia de atacuri intite complexe prin analiza,
nvarea i identificarea automat a comportamentelor normale i anormale ale
entitilor (utilizatori, dispozitive i resurse). ATA identific ameninrile persistente
complexe (APT) la nivel local prin detectarea comportamentelor suspecte ale
utilizatorilor i entitilor (dispozitive i resurse), folosind nvarea programat i
informaiile din Active Directory, sistemele SIEM i jurnalele de evenimente Windows
de la nivel local. De asemenea, detecteaz atacurile ru-intenionate cunoscute (precum
Pass the Hash). n final, ofer o cronologie simpl a atacurilor, cu informaii clare
i relevante privind atacurile, pentru a te putea concentra rapid asupra aspectelor
importante.
Cloud App Security furnizeaz protecie mpotriva ameninrilor pentru aplicaiile tale
cloud care sunt mbuntite cu informaiile i cercetrile vaste privind ameninrile din
cadrul Microsoft. Poi identifica utilizarea cu risc ridicat, incidentele de securitate i poi
detecta comportamentele anormale ale utilizatorilor, pentru a preveni ameninrile.
Euristica complex a nvrii programate din Cloud App Security analizeaz modul n
care fiecare utilizator interacioneaz cu fiecare aplicaie SaaS i, printr-o analiz
comportamental, evalueaz riscurile din fiecare tranzacie. Sunt incluse aici
autentificrile simultane din dou ri, descrcarea brusc de teraoctei de date sau
ncercrile multiple de conectare euate, care pot semnifica un atac n for.
Pagina 26 | 33
Azure Active Directory (Azure AD) Premium furnizeaz detecie a ameninrilor la nivel
de identitate din cloud. Azure AD monitorizeaz utilizarea aplicaiilor i i protejeaz
afacerea de ameninrile complexe prin rapoarte de securitate i monitorizare.
Rapoartele privind accesul i utilizarea ofer vizibilitate asupra integritii i securitii
directorului organizaiei. De asemenea, Azure AD furnizeaz protecia identitii prin
notificri, analiz i recomandri de remedii.
Office 365 are cteva capaciti care te ajut s identifici breele de securitate i s rspunzi n
mod adecvat:
Advanced Threat Protection pentru Exchange Online te ajut s protejezi n timp real
e-mailul mpotriva atacurilor noi, sofisticate cu malware. De asemenea, i permite s
creezi politici care te ajut s mpiedici utilizatorii s acceseze ataamente sau site-uri
web ru-intenionate trimise prin e-mail.
Pagina 27 | 33
SQL Server i Baz de date SQL Azure
SQL Server i Baz de date SQL ofer un set puternic de capaciti integrate care identific
momentul n care se produce o bre de securitate:
Auditurile pentru Baz de date SQL i auditurile pentru SQL Server monitorizeaz
evenimentele din bazele de date i le noteaz ntr-un jurnal de audit. Auditarea i
permite s nelegi activitile continue din baza de date i s analizezi i s investighezi
activitatea istoric pentru a identifica posibile ameninri sau abuzuri i nclcri ale
securitii.
Detecia ameninrilor din Baz de date SQL detecteaz activitile anormale din baza de
date indicnd posibile ameninri asupra bazei de date. Detecia ameninrilor utilizeaz
un set avansat de algoritmi pentru a nva i profila n mod continuu comportamentele
aplicaiilor i ofer imediat o notificare dac detecteaz activiti neobinuite sau
suspecte. Detecia ameninrilor te poate ajuta s ndeplineti cerinele de notificare cu
privire la breele de securitate din GDPR.
Pagina 28 | 33
Raporteaz: d curs solicitrilor de date, raporteaz breele de securitate i
pstreaz documentaia necesar.
GDPR stabilete noi standarde de transparen, rspundere i pstrare a nregistrrilor. Va trebui
s fii mai transparent nu doar cu privire la modul de gestionare a datelor personale, ci i cu
privire la modul n care menii n mod activ documentaia care definete procesele i utilizarea
datelor cu caracter personal.
Pstrarea nregistrrilor
Organizaiile care proceseaz date cu caracter personal vor trebui s pstreze nregistrri cu
privire la scopurile procesrii, la categoriile de date cu caracter personal procesate, la identitatea
terilor cu care sunt mprtite datele, la rile tere care primesc date cu caracter personal i la
baza legal a acestor transferuri, la msurile organizaionale i de securitate tehnic i la
perioadele de retenie a datelor aplicabile diferitelor seturi de date. O modalitate de a reui
acest lucru este prin utilizarea instrumentelor de auditare, care pot s asigure c orice procesare
a datelor - colectare, utilizare, partajare sau de alt natur - este monitorizat i nregistrat.
Serviciile cloud Microsoft ofer servicii de auditare integrate ce te pot ajuta s te conformezi
cu acest standard.
Pe Service Trust Portal, putei afla informaii detaliate despre diferite oferte pentru Azure, Office 365
i Dynamics 365 legate de conformitate, securitate, confidenialitate i ncredere, inclusiv rapoarte i
atestri. Auditurile efectuate de teri independeni i rapoartele de evaluare GRC (administrare,
managementul riscurilor i conformitate) te ajut s fii la curent cu modul n care serviciile cloud
Microsoft se conformeaz cu standardele globale care conteaz pentru organizaia ta. Documentele
cu privire la ncredere te pot ajuta s nelegi modul n care serviciile Microsoft i protejeaz datele i
cum poi gestiona securitatea datelor i conformitatea pentru serviciile cloud.
Azure
S efectuezi analize centralizate a unor seturi mari de date prin colectarea evenimentelor
de securitate din infrastructura ca serviciu (IaaS) i platforma ca serviciu (PaaS) din Azure.
Poi apoi s utilizezi Azure HDInsight pentru a agrega i analiza aceste evenimente i le
poi exporta n sisteme SIEM locale pentru monitorizare continu.
Pagina 29 | 33
S monitorizezi raportarea accesului i utilizrii prin capacitatea Azure de nregistrare
a operaiilor administrative, inclusiv accesul la sistem, pentru a crea un lan de audit n
cazul modificrilor neautorizate sau accidentale. Poi extrage jurnale de audit pentru
entitatea gzduit din Azure Active Directory i poi vizualiza rapoartele privind accesul
i utilizarea.
S expori alerte de securitate n sisteme SIEM locale folosind Azure Diagnostics, care
poate fi configurat pentru a colecta jurnale de evenimente de securitate Windows i alte
jurnale de securitate specifice.
Pagina 30 | 33
Jurnalele de audit Office 365 i permit s monitorizezi i s urmreti activitile
utilizatorului i administratorului n sarcini de lucru din Office 365, care contribuie
la detectarea i investigarea timpurie a problemelor de conformitate i securitate.
Utilizeaz pagina de cutare a auditurilor Office 365 pentru a ncepe s nregistrezi
activitatea utilizatorilor i administratorilor din organizaia ta. Dup ce Office 365
pregtete jurnalul de audit, poi cuta o gam larg de activiti, inclusiv ncrcrile
n OneDrive sau SharePoint Online ori resetrile parolelor utilizatorilor. Exchange
Online poate fi configurat pentru a monitoriza modificrile efectuate de
administratori i pentru a urmri cnd o cutie potal este accesat de alt
persoan dect deintorul acesteia.
Windows Event Log furnizeaz capaciti extinse de nregistrare care permit administratorilor s
vizualizeze informaii nregistrate despre sistemul de operare, aplicare i activitile utilizatorilor.
Acest sistem de nregistrare poate fi configurat pentru a audita aciuni detaliate ale utilizatorilor
i aplicaiilor, inclusiv accesul la fiiere, utilizarea aplicaiilor i modificrile de politic. Windows
Event Log permite, de asemenea, administratorilor s redirecioneze evenimente de la clieni i
servere ctre o locaie central n scop de raportare i audit.
Pagina 31 | 33
Instrumente de raportare i documentaie din serviciile cloud
La fel ca n cazul oricror alte baze de date sau sisteme care gestioneaz date cu caracter
personal, utilizarea serviciilor cloud trebuie bine nregistrat i neleas de organizaia ta.
De exemplu, organizaia ta va trebui s neleag datele cu caracter personal pstrate de
furnizorii de servicii n numele organizaiei; relaia contractual care guverneaz respectivii
furnizori i ce se ntmpl cu datele atunci cnd o relaie de servicii se ncheie.
Te ajutm s gestionezi aceste informaii prin meninerea unor instrumente de raportare simple
i clare cu privire la contul tu din serviciile cloud Microsoft, mpreun cu documentaie extins
despre serviciile noastre cloud, modul n care funcioneaz i relaia noastr contractual cu tine.
Produsele i serviciile Microsoft - cum ar fi Azure, Dynamics 365, Enterprise Mobility + Security,
Office 365 i Windows 10 - au n prezent soluii disponibile pentru a te ajuta s detectezi i s
evaluezi ameninrile i breele de securitate i s ndeplineti obligaiile de notificare n caz de
bree din GDPR.
Pagina 32 | 33
Aceste obligaii pot avea efect asupra mediului i operaiilor IT ale Controlorului de date i
asupra mediului i operaiilor IT ale oricror furnizori de servicii angajai ca Procesatori de date.
Guvernarea adecvat a datelor a fost un element cheie al legilor privind confidenialitatea i este
promovat n majoritatea legilor i regulamentelor de protecie i confidenialitate a datelor.
Un element cheie al guvernrii n baza GDPR este numirea unui Reprezentant de protejare a
datelor (DPO) n circumstane specifice descrise n Articolele 35, 36 i 37. DPO trebuie s fie
implicat n toate problemele legate de protecia datelor cu caracter personal.
Pagina 33 | 33