Практика работы и политики корпорации Microsoft в отношении безопасности онлайн-данных сформировались в результате более чем 15-летнего опыта работы в этой области. Корпорация инвестирует средства в строительство безопасных систем и ЦОДов, которые обеспечивают необходимую защиту персональных данных, при этом политики безопасности и уровень защиты данных в ЦОДах Microsoft сопоставимы с уровнем защиты данных в автономных ЦОДах самых требовательных в вопросах безопасности организаций, а порой, и превосходят его

Соответствие требованиям Федерального закона «О персональных данных» ()

Местонахождение и передача данных

Компоненты предложения Microsoft в части защиты персональных данных

Параметры соответствия:

Трансграничная передача персональных данных (ст. 12 152-ФЗ) Соглашение между оператором персональных данных и третьим лицом, которому поручена обработка (ст. 6.3 152-ФЗ) Меры по обеспечению безопасности персональных данных (ст. 19 152-ФЗ)

Характеристики Office 365 позволяют клиентам соблюдать требования 152-ФЗ, с учетом предусмотренных законодательством ограничений в отношении некоторых видов информации и информационных систем, а также отраслевых ограничений.

Ответ на вопрос о том, может ли конкретный клиент использовать Office 365 в соответствии с российским законодательством о защите персональных данных, зависит от: (i) особенностей информационной системы клиента (или сегмента информационной системы клиента, который планируется передать в облако), а также (ii) набора мер по защите данных, которые определены клиентом как необходимые для обеспечения соответствующего уровня защиты с учетом актуальных угроз безопасности.

Microsoft готов предоставить клиентам любую информацию об Office 365, которая необходима им для принятия решения по этому вопросу.

Российское законодательство НЕ запрещает трансграничную передачу персональных данных и НЕ содержит требования хранить данные только на территории России

Cогласно Федеральному закону «О персональных данных» трансграничная передача персональных данных может осуществляться: (i) на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данныхi; (ii) на территории иностранных государств, обеспечивающих адекватную защиту персональных данных, перечень которых утвержден Роскомнадзоромii; (iii) при наличии письменного согласия субъекта персональных данных, (iv) в других случаях, предусмотренных законом.

На веб-странице Data maps page в Траст Центре Office 365 описано каким образом местонахождение клиента определяет основное место хранения его данных.

Microsoft раскрывает информацию о том, кто и в каких случаях может иметь доступ к клиентским данным:

Transparency page

Положения Соглашения об обработке данных Office 365 (Приложения к Соглашению о регистрации EA/EAS):

Траст Центр  Trust Center

Cодержит подробную информацию об Онлайн-сервисах Microsoft

Сертификат ISO 27001

EU Model Clauses
Позволяют передавать персональные данные за пределы ЕС (в том числе в США) в соответствии с законодательством Европейского Союза

Сертификат Safe Harbor
Распространяется на передачу персональных данных в США компаниям, имеющим соответствующую сертификацию (таким как Microsoft)

Cоглашение об обработке данных/ Data Processing Agreement (DPA)
Предусматривает возможность передачи данных за пределы ЕС аффилированным лицам Microsoft и их субподрядчикам.