Office 365 tietoturva, esittäjänä Aki Siponen Microsoftilta.

6. EU-mallilausekkeet Jatkuva asiakastietojen
suojan parantaminen

8. Office 365:n osapalveluiden vaatimustenmukaisuus
Asiakkaat pystyvät kehikon avulla helpommin
suhteuttamaan vaatimukset ja palveluiden hyödyt
http://go.microsoft.com/fwlink/p/?LinkId=615657
Asiakas pääsee tutkimaan auditointi- ja
turvallisuusdokumentaatiota
https://trustportal.office.com
Office 365 vaatimustenmukaisuuskehikko

9. A B C D
Luokan palvelut
täyttävät vaatimukset
Microsoftin sitoumus
turvallisuuteen ja
yksityisyydensuojaan
Microsoftin sitoumus
turvallisuuteen ja
yksityisyydensuojaan
Microsoftin sitoumus
turvallisuuteen ja
yksityisyydensuojaan
Microsoftin sitoumus
turvallisuuteen ja
yksityisyydensuojaan
Kansainvälisten
standardien
vaatimukset
Kansainvälisten ja
alueellisten
standardien
vaatimukset
Kansainvälisten,
alueellisten ja
kansallisten
standardien
vaatimukset
Miten palvelut ovat
käyttäjien
käytettävissä
Asiakkaan ylläpitäjä
hallitsee ovatko
palvelut käytettävissä
Asiakkaan ylläpitäjä
hallitsee ovatko
palvelut käytettävissä
Oletuksena palvelut
voivat olla
käytettävissä
Oletuksena palvelut
ovat käytettävissä
Vaatimukset voivat siirtyä D  C  B  A
Palvelut voivat siirtyä A  B  C  D

10. Office 365 compliance framework
A
Microsoft Cloud Services
Privacy and Security commitments
B
Microsoft Cloud Services
Verified with International standards and
terms
C
Microsoft Office 365 Services
Verified with International & Regional
standards and terms
D
Microsoft Cloud Services
Verified with International, Regional and
Industry-specific standards
Strong privacy and security
commitments
• No data mining for advertising
• No voluntary disclosure to Law
Enforcement Agencies
Strong privacy and security
commitments
ISO 27001
ISO 27018
EU Model Clauses (EUMC)
Strong privacy and security
commitments
ISO 27001
ISO 27018
EU Model Clauses (EUMC)
HIPAA Business Associate
Agreement
SOC 1 & 2
Strong Privacy and Security Commitments
ISO 27001
ISO27018
EU Model Clauses (EUMC)
HIPAA Business Associate Agreement
SOC 1 & SOC 2
FedRAMP, IRS 1075, UK Official (IL2)
HITRUST
Contractual commitment to meet US
and EU data residency requirements
Admin control to enable or disable
services in this category
Admin control to enable or disable
services in this category
Services in this category may be
enabled by default
Services in this category are enabled by
default
Power BI
Outlook Mobile for iOS & Android
Sunrise for iOS & Android
Microsoft Dynamics CRM Online
Azure Rights Management
Office 365 Video
Microsoft Intune
Yammer
Office 365 for Enterprise, Education and
Government plans that include:
Exchange Online
SharePoint Online
OneDrive for Business
Skype for Business
Project Online
Azure Active Directory
Multi-factor Authentication
Exchange Online Protection
Access Online
Office 365 ProPlus+
+Applies to only service components. In general if the Applications run on the customer’s side, they are dependent on the customers’ environment and the customer has the control to allow the use or not.
Unique special requirements for environments like GCC, Gallatin, dedicated environments and national clouds are kept separate due to unique requirements. Commitments in the framework applies to the multi-tenant cloud.

11. https://blogs.office.com/2015/11/20/eu-model-clauses-and-hipaa-baa-update-now-available-for-all-yammer-customers/

12. Käyttäjä päättää sijainnin ottaessaan yksittäisen palvelun
käyttöön
Kaikki GA-palvelut saatavissa kaikilla alueilla
Preview-palveluissa alueellinen saatavuus voi olla rajoitettua
Azure Trust Center
https://azure.microsoft.com/en-us/support/trust-
center/services/

13. EU:n mallilausekkeet
Compute
Virtual Machines 
Cloud Services 
Batch 
Web & Mobile
App Service :: Web Apps 
Mobile Services 
Notification Hubs 
Data & Storage
SQL Database 
Storage 
Analytics
HDInsight 
Networking
Virtual Network 
Traffic Manager 
ExpressRoute 
EU:n mallilausekkeet
Media & CDN
Media Services 
Hybrid Integration
BizTalk Services 
Service Bus 
Backup 
Site Recovery 
Identity & Access Management
Azure Active Directory 
Multi-Factor Authentication 
Management
Scheduler 
Azure Management portal 

15. Luotettavan pilven periaatteet
15
Yksityisyyden-
suoja & hallinta
Tietoja käsitellään
vain asiakkaan
hyväksymällä
tavalla.
Turvallisuus
Tietojen eheys,
saatavuus ja
luottamuksellisuus
on turvattu
Vaatimusten-
mukaisuus
Suunniteltu
täyttämään
asiakkaalle asetetut
vaatimukset
Läpinäkyvyys
Tiedot tallennus ja
käsittely tehdään
läpinäkyvästi
Luottamuksesi arvoinen sitoumus
“ Olemme sitoutuneet suojelemaan asiakkaidemme tietoja. Ilmoitamme yritys- ja
julkishallinnon asiakkaillemme, jos saamme heidän tietojaan koskevia tietopyyntöjä ja
vastustamme oikeudessa yrityksiä estää ilmoittaminen asiakkaille.”
- Brad Smith, President

16. Mitä Microsoft tekee:
• Datakeskustemme fyysinen
turvallisuus toteutetaan nykyaikaisin
välinein ja menetelmin.
• 24x7 IR-tiimi pienentää uhkia ja
torjuu hyökkäyksiä.
• Tiedot liikkuvat aina salattuna.
• Tiedot suojataan tallennuksessa
useilla palveluihin rakennetuilla
ratkaisuilla ja asiakkaalla on
mahdollisuus käyttää lisäksi
valinnaisia salaus- ja
suojausratkaisuja.
Asiakkaalla on oikeus
odottaa, että:
• Tiedot turvattaisiin alan
parhaiden
teknologioiden ja
prosessien avulla.
• Tiedot kuljetettaisiin ja
tallennettaisiin
salattuina.
Investoinnit tietoturvallisuuteen
shared under NDA only

17. Yksityisyyden suojaaminen
Mitä Microsoft tekee:
• Tiedot säilytetään asiakkaan
määrittelemällä alueella.
• Tietoja ei käytetä markkinointiin,
mainontaan tai kaupallisesti.
• Tietoja luovutetaan muille vain
asiakkaan luvalla tai lain niin vaatiessa.
• Asiakkaalla on käytössään valikoima
työkaluja tietojen kokoamiseen ja
siirtoon.
• Tiedot poistetaan kokonaan180 päivän
kuluttua sopimuksen päättymisestä.
shared under NDA only
Asiakkaalla on oikeus
odottaa, että:
• Tietoja käsiteltäisiin vain
asiakkaan haluamalla tavalla
eikä jaettaisi muille ilman
asiakkaan suostumusta.
• Tietoihin olisi aina pääsy, ne
voisi halutessaan poistaa tai
ottaa mukaansa
lopettaessaan palvelun
käytön.

18. Läpinäkyvyys
Oltava läpinäkyvä
tiedon sijainnista ja
käsittelystä
Hallinta
Asiakkaille on
tarjottava keinot ja
päätösvalta tietojen
hallinnasta
Kommunikaatio
Ilmoitettava
asiakkaille
henkilötietoja
koskevista
tietoturva-
loukkauksista
Riippumaton
arviointi
Vaatimusten-
mukaisuuden
arvioinnin tulokset
saatettava
asiakkaiden tietoon
Suostumus
Tietoja ei saa
käyttää tietoja
markkinointiin ja
mainontaan, paitsi
käyttäjän
suostumuksella
Vastuullisuus
Ilmoitettava
asiakkaille
etukäteen tietojen
poistamista ja
palauttamista
koskevat
toimintatavat

19. Vaatimustenmukaisuuden täyttäminen
Mitä Microsoft tekee:
• Olemme ensimmäisenä ottamassa
käyttöön uusimmat
tietoturvallisuuden ja
yksityisyydensuojan standardit
kuten ISO 27018.
• Palvelumme auditoidaan
säännöllisesti
vaatimustenmukaisuuden
toteamiseksi.
• Autamme asiakkaitamme
täyttämään heille asetetut
vaatimukset
Asiakkaalla on oikeus
odottaa, että:
• Tiedot tallennettaisiin ja niitä
hallittaisiin lainsäädännön ja
viranomaismääräysten
mukaisesti noudattaen
keskeisiä kansainvälisiä
standardeja.
• Palveluiden
vaatimustenmukaisuutta
osoittavat todistukset saa
halutessaan nähtäviksi.
shared under NDA only

20. Asiakkaalla on oikeus
odottaa, että:
• Pilvipalvelun tuottaja kuvaa
selkeästi ja ymmärrettävästi,
miten asiakkaan tietoja
käytetään, hallitaan ja
suojataan.
• Pilvipalvelun tuottajan kertoo
millä tavoin asiakkaan tietoja
koskevien viranomaisten
tietopyyntöjen osalta
toimitaan.
Läpinäkyvyyden säilyttäminen
• Tarjoamme asiakkaalle
ymmärrettävällä kielellä selkeät
ehdot siitä, mitä teemme – ja mitä
emme tee – asiakkaan tiedoilla.
• Kun vastaamme viranomaisten
tietopyyntöihin, puolustamme
asiakkaan oikeuksia ja
yksityisyydensuojaa sekä
varmistamme tietopyyntöjen
lainmukaisuuden.
• Kerromme jokaisen palvelun osalta,
missä tietoja tallennetaan ja
käsitellään.
shared under NDA only
Mitä Microsoft tekee:

21. Yrityskäyttöön rakennettu

22. Hybridipilven tuki
Yksityinen
pilvi
Yhdenmukaista ja yhdistä
omat konesalit
MICROSOFTIN RATKAISUT
Julkinen
pilvi
Skaalautuvuus, ketteryys ja
pienemmät kustannukset
MICROSOFTIN RATKAISUT
Hybridi
pilvi
Siirrä vähemmän
sensitiiviset tiedot
MICROSOFTIN RATKAISUT
Yhdenmukaiset alustat ja työkalut | yksi hallintakonsoli
Siirry pilvipalveluihin omaan tahtiin
shared under NDA only

23. Avoin ja joustava infrastruktuuri
Alustat tiedon tallennukseen, sovelluskehitykseen ja laitteet valintasi mukaan
Yhdenmukainen käyttökokemus kaikilla laitteilla
Tukee Windows-, iOS- ja Android-laitteita
Kaikki tiedot, kaiken kokoisena, kaikkialla
Tallenna, käytä, yhdistä ja analysoi rakenteista ja ei-rakenteista
data omista konesaleista ja pilvestä.
Laajennettava sovelluskehitysalusta
Suunnittele, kehitä, testaa, ota käyttöön ja hallitse erilaisissa
ympäristöissä ja eri päätelaitteilla toimivia sovelluksia
Joustava infrastruktuuri
Käytä, hallitse ja seuraa epäyhtenäistä IT-ympäristöä
Microsoft
Luotettava
pilven
infrastruktuuri
shared under NDA only

24. Luotettava palvelutuotanto
99.9% saatavuus
Takeena palvelutasosopimus
Alhainen hiilijalanjälki
Monistettu ja joustava rakenne
Vikasietoinen ja eriytetty
Maantieteellinen
hajauttaminen nopeuttaa
toipumista häiriöistä
Palvelutaso toteutetaan
ohjelmiston joustavuudella,
eikä monistamalla laitteistoja
Palvelutason alituksista
korvaus asiakkaalle
Luotettava ja joustava palveluiden tuotanto
shared under NDA only

25. Globaali konesaliverkosto
100+ konesalia yli 40 maassa
shared under NDA only
EUROPE
AUSTRIA
EUROPE
FINLAND

26. Edelläkävijä
shared under NDA only

27. Edelläkävijyys pilviekosysteemissä
Teemme yhteistyötä standardisointijärjestöjen ja viranomaisten
kanssa edistääksemme standardeihin perustuvaa
lähestymistapaa vaatimustenmukaisuuden osoittamiseen.
Edistämme yhdessä muiden johtavien teknologiayhtiöiden
kanssa uudistuksia valtioiden tietoverkkoseurannan
käytäntöihin.
Kumppanoidumme teollisuuden ja viranomaisten kanssa
vastataksemme trendeihin ja kehittyviin standardeihin sekä
poistaaksemme digitaalista markkinaa uhkaavat tekijät.
shared under NDA only

28. S I TO U T U M I N E N | LU OT TA M U S | U S KOT TAV U U S
Sitoudumme asiakkaan
luottamuksen arvoisiin
periaatteisiin
Luottamuksen arvoista
ylivertaisuutta
Kokenut digitaalisen
pilvimaailman
puolustaja
shared under NDA only

30. http://www.microsoft.com/en-us/TrustCenter/default.aspx
https://trustportal.office.com
http://www.microsoft.com/about/corporatecitizenship/en-us/transparencyhub/
http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140402_microsoft.pdf

31. aki.siponen@microsoft.com