Conformité dans Microsoft 365

Microsoft 365 offre une variété de fonctionnalités de sécurité et de conformité pour aider les organisations à se conformer à certaines réglementations fédérales et internationales et aider à assurer la sécurité des données des clients. Ces fonctionnalités aident à protéger les informations basées sur les exigences suivantes :

Hipaa. HIPAA impose des règles strictes en matière de protection de la vie privée aux clients qui traitent des renseignements électroniques protégés sur la santé.

Contrats de traitement des données. Un accord de traitement des données décrit comment le processeur de données gère et protège les données des clients. Par exemple, le processeur de données pour Microsoft 365 et les règlements sont couverts dans le monde entier. Vous pouvez signer des contrats de traitement de données en ligne dans votre abonnement Microsoft 365 à https://portal.office.com/Commerce /supplements.aspx https://portal.office.com/Commerce/supplements.aspx ou par le biais de votre contrat d’entreprise. Pour utiliser Microsoft 365, de nombreuses organisations s’en remettent à des conseils juridiques pour s’assurer qu’ils sont légalement sûrs. Des suppléments contractuels facultatifs sont disponibles, notamment :

• L’amendement de sécurité Microsoft 365, pour les clients en dehors de l’Europe.
• Microsoft 365 et Microsoft Dynamics CRM Online accords de traitement de données avec des clauses contractuelles standard de l’UE.
  • Contrats de traitement de données Microsoft 365 et Microsoft Dynamics CRM Online.
  • L’accord d’associé de Microsoft 365 et de Microsoft Dynamics CRM ONLINE HIPAA et Health Information Technology for Economic and Clinical Health (HITECH) s’associe à un guide de mise en œuvre.
  • Fisma. Les organismes fédéraux des États-Unis ne peuvent se procurer des systèmes et des services d’information que des organismes qui respectent les règlements de la FISMA.
  • ISO/IEC 27001:2013. Cette norme de l’ISO et de la Commission électrotechnique internationale (CEI) est largement utilisée et la norme la plus connue pour un système de gestion de la sécurité de l’information. Microsoft 365 répond à ce critère de sécurité avec des contrôles physiques, logiques, de processus et de gestion. Depuis 2015, même les contrôles de confidentialité ISO 27018 pour le plus récent audit Microsoft 365 sont inclus.
• Clauses modèles de l’UE. La directive européenne sur la protection des données est un instrument clé pour le droit de l’UE en matière de protection de la vie privée et des droits de l’homme. Les clauses modèles de l’UE légitiment le transfert de données à caractère personnel en dehors de l’UE et constituent la méthode privilégiée pour le transfert de données de données à caractère personnel en dehors de l’UE.
• Le cadre de la sphère de sécurité entre les États-Unis et l’UE. Le cadre de la sphère de sécurité entre les États-Unis et l’UE traite également du transfert de données à caractère personnel en dehors de l’UE. Microsoft 365 suit les principes et processus stipulés par ce cadre.
• La Loi sur les droits à l’éducation familiale et la protection des renseignements personnels (FERPA). Les organismes éducatifs des États-Unis sont tenus de suivre les règlements de la FERPA concernant l’utilisation ou la divulgation des dossiers d’éducation des élèves. Cela inclut également les informations des étudiants envoyer des pièces jointes par courriel et par courriel.
• SSAE 16. Les organisations indépendantes peuvent auditer Microsoft 365 et fournir des rapports SSAE 16 SOC 1 Type I et Type II et SOC 2 Type II sur la façon dont le service implémente les contrôles.
• Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La LPRPDE se rapporte à la façon dont les organisations du secteur privé recueillent, utilisent et divulguent des renseignements personnels en ce qui concerne les entreprises commerciales.
• La Loi Gramm–Leach-Bliley (GLBA). Cette loi protège les renseignements personnels non publics des clients, et les institutions financières sont tenues de respecter ces règlements pour protéger les renseignements de leurs clients.