Az első lépések

megtétele az általános

adatvédelmi

rendelet (GDPR)

alkalmazásában A GDPR-megfelelőség

gyorsabbá tétele

a Microsoft Cloud

használatával

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

2. oldal | 36

Tartalomjegyzék

Bevezetés .................................................................................................................................................................. 4

A Microsoft GDPR iránti elkötelezettsége ........................................................................................... 4

A GDPR megértése – alapozó ........................................................................................................................... 5

Mi az a GDPR? ................................................................................................................................................ 5

Vonatkozik a GDPR a szervezetünkre? ................................................................................................. 5

Mikor alkalmazandó a GDPR? .................................................................................................................. 5

Melyek a GDPR főbb elvei? ....................................................................................................................... 6

Nézzünk pár példát arra, milyen követelményeket ír elő a GDPR ezekhez

az elvekhez kapcsolódóan!........................................................................................................................ 6

Partneri együttműködés a Microsofttal a GDPR megvalósításához vezető úton .......................... 7

Az első lépések a GDPR-rel kapcsolatban .................................................................................................... 8

Platformalapú megközelítés a GDPR alkalmazásához ........................................................................ 8

Intézkedés még ma ............................................................................................................................................. 11

Felfedezés: azonosítani kell, hogy milyen személyes adatokkal rendelkeznek,

és hogy azok hol találhatóak. ..................................................................................................................... 11

Vonatkozik a GDPR az adatainkra? ..................................................................................................... 11

Leltár készítése ............................................................................................................................................ 11

Kezelés: a személyes adatok használatának és elérésének szabályozása .................................. 15

Adatgazdálkodás ........................................................................................................................................ 15

Adatbesorolás ............................................................................................................................................. 17

Védelem: a kitettségek és adatvédelmi incidensek megelőzésére, észlelésére

és kezelésére vonatkozóan előírt biztonsági ellenőrzések kialakítása ........................................ 19

Az adatok védelme .................................................................................................................................... 19

A biztonsági incidensek felismerése és reagálás rájuk ................................................................ 26

Jelentés: az adatkérések végrehajtása, az adatvédelmi incidensek jelentése,

a szükséges nyilvántartások vezetése ...................................................................................................... 31

Nyilvántartás ................................................................................................................................................ 31

A felhőszolgáltatások jelentéskészítési eszközei és dokumentációja .................................... 34

Az érintettek értesítése ............................................................................................................................ 35

Az érintettek kéréseinek kezelése ........................................................................................................ 35

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

3. oldal | 36

Jogi nyilatkozat

A jelen tanulmány az általános adatvédelmi rendelettel kapcsolatos magyarázó szöveg,

a Microsoftnak a közzététel dátuma szerinti értelmezésében. Nagyon sok időt fordítottunk

a GDPR-re, és úgy gondoljuk, alaposan sikerült megértenünk a mögötte rejlő szándékot

és jelentést. A GDPR alkalmazása azonban nagy mértékben függ a tényektől, a rendeletnek

nem minden aspektusa és értelmezése tökéletesen rögzített.

Emiatt ez a tanulmány csupán tájékoztatás céljára szolgál, nem alkalmazható jogi tanácsként,

illetve annak megállapítására, hogyan vonatkozhat a GDPR Önre, illetve a szervezetre.

Azt javasoljuk, hogy jogi képesítéssel rendelkező szakemberrel vitassa meg a rendeletet,

annak alkalmazását a szervezetre, illetve hogy milyen lépésekkel biztosítható leginkább

a követelményeinek való megfelelés.

A MICROSOFT SEMMIFÉLE GARANCIÁT NEM VÁLLAL A

TANULMÁNY TARTALMÁÉRT. A tanulmány tartalmáért kibocsátása után felelősséget nem

vállalunk. A tanulmányban található információk és vélemények előzetes értesítés nélkül

módosulhatnak, beleértve az URL-címeket és az egyéb internetes weboldal-hivatkozásokat is.

Jelen dokumentum nem ad jogot a Microsoft termékeiben megjelenő szellemi tulajdon

felhasználásához. A dokumentum reprodukálása és felhasználása kizárólag belső

tájékoztatási célokra engedélyezett.

Közzétéve: 2017. május

Verziószám: 1.1

© 2017 Microsoft. Minden jog fenntartva.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

4. oldal | 36

Bevezetés 2018. május 25-én egy olyan európai adatvédelmi jogszabály lép hatályba, amely globális

szinten új mércét állít fel a személyes adatok, a biztonság és a megfelelőség tekintetében.

Az általános adatvédelmi rendelet – angol rövidítéssel a GDPR – lényege a természetes

személyek adatainak védelme és adatvédelmének lehetővé tétele. A GDPR szigorú általános

adatvédelmi követelményeket határoz meg a személyes adatok kezelésére és védelmére

vonatkozóan, ugyanakkor előírja az egyéni döntések tiszteletben tartását – attól függetlenül,

hogy hová továbbítják, illetve hol dolgozzák fel és tárolják az adatokat.

A Microsoftnak és ügyfeleinek most végig kell járniuk azt az utat, amelynek végén teljesíteni

tudják a személyes adatok védelmére meghatározott célkitűzéseket. A Microsoft véleménye

az, hogy a személyes adatok védelme alapvető jog, és meggyőződésünk, hogy a GDPR

fontos lépést jelent a természetes személyek adataihoz fűződő jogok tisztázásában és

érvényesítésében. Ugyanakkor látjuk azt is, hogy a GDPR komoly változásokat tesz majd

szükségessé a világ legkülönbözőbb részein működő szervezeteknél.

Bár a GDPR-folyamat kihívásnak tűnhet, mi készen állunk segíteni Önöknek.

A Microsoft GDPR iránti elkötelezettsége

A bizalom kérdése központi szerepet játszik küldetésünkben, hogy bolygónkon minden személy

és szervezet számára lehetővé tegyük, hogy többet érjen el. A bizalom megteremtése során elvi

megközelítéssel járunk el, és határozottan kiállunk a személyes adatok védelme, a biztonság,

a megfelelőség és az átláthatóság elvei mellett. A GDPR alkalmazására való felkészülés során

ezeket az elveket alkalmazzuk.

Számunkra világos, hogy GDPR-megfelelőség közös feladat. Ezért vállaltuk, hogy amikor 2018.

május 25-én megkezdődik a rendelet előírásainak alkalmazása, addigra felhőszolgáltatásainkban

mindenütt elérjük a GDPR-megfelelőséget.

Szintén vállaljuk, hogy az összetett szabályozási követelmények teljesítésével kapcsolatban

szerzett tapasztalataink megosztásával segítjük Önöket abban, hogy a saját szervezetük

számára kialakítsák a GDPR adatvédelmi követelményeinek teljesítése felé vezető saját útjukat.

A felhőszolgáltatók közül a legátfogóbb megfelelőségi és biztonsági kínálatunk és hatalmas

partneri ökoszisztémánk segítségével fel vagyunk készülve arra, hogy akár most, akár a

későbbiekben támogatni tudjuk az Önök adatvédelmi és biztonsági kezdeményezéseit.

A GDPR-folyamat partnerként történő közös végigjárása iránti elkötelezettségünk részeként

dolgoztuk ki ezt a tanulmányt, hogy megkönnyítsük az előkészületeket az Önök számára.

A tanulmány áttekintést ad a GDPR-ről, ismerteti, hogy milyen módon készülünk a GDPR-re, és

példákat osztunk meg arról, hogy milyen lépéseket tehetnek meg Önök a Microsofttal közösen

abból a célból, hogy elinduljanak a GDPR-megfelelőség felé vezető úton.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

5. oldal | 36

További aktuális tájékoztatást is tervezünk majd megosztani arról, hogyan tudunk segíteni

Önöknek megfelelni ennek a fontos új jogszabálynak, és e folyamat részeként előmozdítani

a személyes adatok védelmét. A Microsoft Adatvédelmi Központjának GDPR részén további

eszközöket és információforrásokat talál, illetve részletesebben tájékozódhat arról, hogyan

tud a Microsoft segíteni Önöknek a konkrét GDPR-követelmények teljesítésében.

A GDPR megértése – alapozó

Mielőtt megnéznénk, hogy a Microsoft konkrétan milyen módon tud segítséget nyújtani

Önöknek a GDPR-re való felkészülésben, szeretnénk foglalkozni a rendelet legalapvetőbb

és legfontosabb kérdéseinek némelyikével, illetve azzal, hogy ezek mit jelenthetnek az Önök

szempontjából. Részletesebb áttekintést itt talál.

Mi az a GDPR?

Az általános adatvédelmi rendelet az egész Európai Unióban érvényes új rendelet a személyes

adatok védelméről. A természetes személyek számára nagyobb fokú rendelkezést biztosít a

személyes adataik felett, biztosítja az adatok felhasználásának átláthatóságát, valamint

biztonsági és megfelelőségi intézkedéseket ír elő az adatok védelme érdekében.

Vonatkozik a GDPR a szervezetünkre?

A GDPR szélesebb körben alkalmazandó, mint azt első pillantásra gondolnánk. A rendelet új

szabályokat vezet be a cégek, a közhatalmi szervek, a nonprofit szervezetek, illetve az Európai

Unióban a természetes személyek számára árukat és szolgáltatásokat kínáló vagy az EU-ban

tartózkodó érintettekkel kapcsolatos adatokat gyűjtő és elemző egyéb szervezetek számára.

A GDPR alkalmazandó, függetlenül attól, hogy hol van az Önök tevékenységi helye.

Néhány más államban alkalmazott adatvédelmi jogszabályoktól eltérően a GDPR minden méretű

szervezetre és minden ágazatra vonatkozik. Az EU-ra gyakran tekintenek nemzetközi szinten

mintaként az adatvédelmi kérdésekben, úgyhogy arra számítunk, hogy a GDPR főbb elveit

idővel a világ más részein is elfogadják.

Mikor alkalmazandó a GDPR?

A GDPR 2018. május 25-től alkalmazandó. A jelenleg alkalmazandó, 1995 óta hatályban lévő

adatvédelmi irányelv (95/46/EK irányelv) helyébe lép majd. A GDPR ténylegesen 2016. áprilisa

óta jogszabály az EU-ban, de tekintettel arra, hogy a rendelet betartása érdekében milyen

jelentős változtatásokra kényszerülnek egyes szervezetek, kétéves felkészülési időtartamot

határoztak meg.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

6. oldal | 36

Melyek a GDPR főbb elvei?

A GDPR hat elv köré épül fel:

• Az átláthatóság előírása a személyes adatok kezelésével és használatával kapcsolatban.

• A személyes adatok kezelésének korlátozása meghatározott, jogszerű célokra.

• A személyes adatok gyűjtésének és tárolásának korlátozása a tervezett célokra.

• A természetes személyek számára lehetőség biztosítása személyes adataik helyesbítésére

vagy törlésének kérésére.

• A személyazonosításra alkalmas adatok tárolásának korlátozása a tervezett cél eléréséhez

szükséges időre.

• A személyes adatok a megfelelő biztonsági intézkedések alkalmazásával történő védelmének

biztosítása.

Nézzünk pár példát arra, milyen követelményeket ír elő a GDPR ezekhez az

elvekhez kapcsolódóan!

• A GDPR értelmében a természetes személyeknek joguk van tudni róla, ha egy szervezet a

személyes adataikat kezeli, és megismerni az adott adatkezelés célját. Az érintettnek joga

van kérni az adatai törlését vagy helyesbítését, kérni a további adatkezelés megszüntetését,

tiltakozni a közvetlen üzletszerzéssel szemben, illetve visszavonni az adatkezelés bizonyos

típusai tekintetében adott hozzájárulását. Az adathordozhatósághoz való jog pedig a

természetes személyek számára megadja a jogot, hogy adataikat máshová átvigyék, és

ehhez segítséget kapjanak.

• A GDPR előírja a szervezetek számára, hogy a személyes adatokat azok érzékenységének

megfelelően védjék. Adatvédelmi incidens esetén az adatkezelőknek általában 72 órán

belül kell értesíteniük a megfelelő hatóságokat. Emellett, amennyiben az incidens

valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira

nézve, a szervezeteknek az érintett személyeket indokolatlan késedelem nélkül értesíteniük kell.

• A személyes adatok kezeléséhez jogalappal kell rendelkezni. A személyes adatok

kezeléséhez adott hozzájárulásnak „önkéntes, konkrét és megfelelő tájékoztatáson alapuló

és egyértelmű” jellegűnek kell lennie. A GDPR alapján a gyermekek tekintetében különleges

hozzájárulási követelményeknek kell megfelelni a védelmük érdekében.

• A szervezeteknek adatvédelmi hatásvizsgálatok végzésével kell előre jelezniük a projektek

adatvédelmi hatásait, és szükség szerint kockázatenyhítő intézkedéseket kell tenniük.

Az adatkezelési tevékenységekről, az adatkezelési hozzájárulásokról és a GDPR

követelményeinek teljesítéséről nyilvántartást kell vezetni.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

7. oldal | 36

• A GDPR-megfelelőség nem egyszeri tevékenység, hanem folyamat. A GDPR előírásainak be

nem tartása súlyos bírságok kiszabásával járhat. A GDPR betartásának biztosítása érdekében

a szervezeteknél célszerű olyan adatvédelmi kultúrát bevezetni, amely védi az egyéneknek

a személyes adataikhoz fűződő érdekeit.

A GDPR részletesebb áttekintéséhez és a szakkifejezések – például álnevesítés, kezelés,

adatkezelők, adatfeldolgozók, érintettek és személyes adatok – jobb megértéséhez keresse

fel a Microsoft.com/GDPR webhelyet. Elhivatottan igyekszünk segíteni Önöknek a GDPR

követelményeinek teljesítésében és az egyének személyes adatok védelméhez fűződő

jogainak további támogatásában.

Partneri együttműködés a Microsofttal a GDPR megvalósításához

vezető úton A GDPR követelményeinek teljesítése az egész vállalkozást érintő kihívás, amely időt,

eszközöket, folyamatokat és szakértelmet igényel, és amely jelentős változásokkal járhat

az Önök adatvédelmi és adatkezelési gyakorlatában. A GDPR-megfelelőséghez vezető út

simább, ha egy jól megtervezett felhőalapú szolgáltatási modellt használnak, és jól működő

adatszabályozási és adatkezelési programmal rendelkeznek. A GDPR követelményeinek sikeres

teljesítésénél számíthat a Microsoft és kiterjedt partneri ökoszisztémájának segítségére.

A Microsoft már régóta nyújt megbízható felhőszolgáltatásokat. Elvi alapú megközelítést

alkalmazunk a személyes adatok védelme, a biztonság, a megfelelőség és az átláthatóság

tekintetében, határozott vállalásaink révén pedig Önök megbízhatnak a mögöttes digitális

technológiákban. Megfelelőségi portfóliónk az egész ágazatban a legkiterjedtebb, és az elsők

között vezettük be olyan alapvető szabványok alkalmazását, mint például az ISO/IEC 27018

szabvány a felhőben tárolt, személyes adatok védelméről. Ügyfeleink és partnereink számára

is előnyt jelent a személyes adatok védelme, a biztonság, a megfelelőség és átláthatóság terén

hosszú évek tapasztalatán keresztül elért vezető szerepünk.

A GDPR-nek való megfelelőségre való felkészülés során a következőket várhatják még tőlünk:

• Az igényeiknek megfelelő technológia. Támaszkodhatnak széles portfóliónkra a

nagyvállalati felhőszolgáltatások területén az olyan GDPR-előírások teljesítésére,

mint például a személyes adatok törlése, helyesbítése, továbbítása, hozzáférése és

tiltakozás a személyes adatok feldolgozása ellen. Emellett kiterjedt globális partneri

ökoszisztémánkra is számíthatnak a Microsoft technológiáinak használatához nyújtott

szakértői támogatással.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

8. oldal | 36

• Szerződéses vállalások. Felhőszolgáltatásainkra vonatkozóan szerződéses

kötelezettségvállalásokkal állunk Önök mögött, például a GDPR új követelményeinek

megfelelő aktuális biztonsági támogatással és értesítésekkel. 2017 márciusától kezdve

a Microsoft felhőszolgáltatásaira vonatkozó ügyfélszerződéseinkben szerepel a vállalás,

hogy a rendelet alkalmazásának megkezdésére a szolgáltatás megfelel majd a GDPR

előírásainak.

• Tapasztalataink megosztása. A GDPR-megfelelőséghez vezető utat közösen járjuk

végig, hogy Önök az általunk már megtanultak adaptálásával alakíthassák ki a saját

szervezetük számára legmegfelelőbb folyamatot.

Az első lépések a GDPR-rel kapcsolatban

Platformalapú megközelítés a GDPR alkalmazásához

Az adatok létrehozására, tárolására, elemzésére és kezelésére Önök által használt rendszerek a

legkülönfélébb informatikai környezetekben elszórva működhetnek – a személyes eszközöktől

kezdve a helyszíni kiszolgálókon, felhőszolgáltatásokon át egészen a tárgyak internetéig. Ez azt

jelenti, hogy az informatikai környezetük nagy részére vonatkozhatnak a GDPR előírásai.

A GDPR előírásainak teljesítésére irányuló törekvéseknél a legcélszerűbb a követelmények

holisztikus megközelítéssel, a teljes szabályozói és jogi adatvédelmi kötelezettségek

kontextusában történő vizsgálata. Például a GDPR által a kitettségek és adatvédelmi incidensek

megelőzésére, észlelésére és kezelésére vonatkozóan előírt biztonsági ellenőrzések jelentős

részben hasonlóak az egyéb adatvédelmi szabványokban – például a felhőben tárolt, személyes

adatok védelméről szóló ISO 27018 szabványban – várt ellenőrzésekhez.

Bevált gyakorlat az egyes szabványok vagy jogszabályok által előírt ellenőrzések egyenkénti

követése helyett az ellenőrzések és képességek olyan általános együttesének meghatározása,

amely megfelel mindezeknek a követelményeknek. Hasonló módon ahelyett, hogy az egyes

technológiákat és megoldásokat mérnénk fel egy olyan átfogó szabályozással szemben, mint

a GDPR, a platformalapú megközelítéssel – például a Windows, a Microsoft SQL Server, a

SharePoint, az Exchange, az Office 365, az Azure és a Dynamics 365 együttes kezelésével –

világosabb folyamatot alakíthatunk ki, amely biztosítja, hogy ne csupán a GDPR előírásainak

tudjunk megfelelni, hanem a számunkra fontos egyéb követelményeknek is.

A GDPR-megfelelőséghez vezető úton történő elinduláshoz azt ajánljuk, koncentráljanak négy

fő lépésre:

• Felfedezés – azonosítani kell, hogy milyen személyes adatokkal rendelkeznek,

és hogy azok hol találhatóak.

• Kezelés – a személyes adatok használatának és elérésének szabályozása.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

9. oldal | 36

• Védelem – a kitettségek és adatvédelmi incidensek megelőzésére, észlelésére

és kezelésére vonatkozóan előírt biztonsági ellenőrzések kialakítása.

• Jelentés – az adatkérések végrehajtása, az adatvédelmi incidensek jelentése,

a szükséges nyilvántartások vezetése.

Felfedezés

Védelem

Kezelés

Jelentés

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

10. oldal | 36

Mindegyik lépésnél felvázoljuk a különböző Microsoft-megoldásokból azokat az eszközöket,

erőforrásokat és funkciókat, amelyek használata megkönnyíti az adott lépéshez tartozó

követelmények kezelését. Bár a jelen dokumentum nem átfogó gyakorlati útmutató,

megadtunk olyan hivatkozásokat is, amelyek segítségével bővebb tájékoztatás érhető

el, valamint a Microsoft.com/GDPR webhely is részletesebb tudnivalókkal szolgál.

Mivel ilyen sok terület érintett, az előkészületekkel célszerű nem megvárni a GDPR érvénybe

lépését, hanem most elvégezni az adatvédelmi és adatkezelési gyakorlatok ellenőrzését.

A következő szakaszok felvázolják a GDPR összetevőinek konkrét elemeit, és olyan módszereket

ismertetnek, amelyeken keresztül a Microsofttól már most is elérhető termékek és szolgáltatások

használatával megtehetők az első lépések.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

11. oldal | 36

Intézkedés még ma

Felfedezés: azonosítani kell, hogy milyen személyes adatokkal rendelkeznek,

és hogy azok hol találhatóak.

A GDPR-megfelelőség felé vezető út első lépése annak felmérése, hogy a GDPR vonatkozik-e az

Önök szervezetére, és ha igen, milyen mértékben. Ennek az elemzésnek a kiindulópontja annak

megértése, hogy milyen adatokkal rendelkeznek, és azok hol találhatók.

Vonatkozik a GDPR az adatainkra?

A GDPR a „személyes adatok” gyűjtését, tárolását, használatát és megosztását szabályozza.

A személyes adat meghatározása a GDPR szerint nagyon általános, azonosított vagy

azonosítható természetes személyre vonatkozó bármely adatot jelent.

Ha az Önök szervezete rendelkezik ilyen adatokkal – ügyféladatbázisokban, az ügyfelek

által kitöltött visszajelzési űrlapokban, levelezési tartalmakban, fényképeken, zárt láncú

videofelvételeken, hűségprogram-nyilvántartásokban, HR-adatbázisokban vagy bárhol

máshol –, vagy ilyen adatokat szeretne gyűjteni, és ha az adatok az EU lakosaié vagy hozzájuk

kapcsolódnak, akkor be kell tartaniuk a GDPR rendelkezéseit. Fontos tudni, hogy a személyes

adatok tárolásának nem feltétlenül az EU-ban kell történnie ahhoz, hogy a GDPR vonatkozzon

rájuk – a GDPR az EU-n kívül gyűjtött, feldolgozott vagy tárolt adatokra is vonatkozik,

amennyiben az adatok EU-lakosokhoz köthetők.

Leltár készítése

Annak megértéséhez, hogy a GDPR valóban vonatkozik-e az Önök szervezetére, és ha igen,

milyen kötelezettségeket ír elő, fontos a szervezet adatairól leltárt készíteni. Ez megkönnyíti

annak megértését, hogy mely adatok személyesek, illetve azoknak a rendszereknek az

azonosítását, ahol az adatok gyűjtése és tárolása történik, hogy miért történt az adatgyűjtés,

hogyan történik az adatok feldolgozása és megosztása, illetve mennyi ideig őrzik meg őket.

Íme néhány példa olyan konkrét módszerekre, amelyekkel felhőalapú és helyszíni kínálatunk

segítséget nyújthat a GDPR első lépéséhez.

Azure

Mivel az Azure nyitott és rugalmas felhőplatform, tartalmaz egy olyan szolgáltatást,

amely megkönnyíti az adatforrások egyszerű felfedezhetőségét és azonosíthatóságát.

A Microsoft Azure Data Catalog teljes mértékben felügyelt felhőszolgáltatás, amely regisztrációs

és felderítőrendszert biztosít a szervezet adatforrásaihoz. Másképpen fogalmazva az Azure Data

Catalog lényege, hogy megkönnyítse az adatforrások felfedezését, értelmezését és használatát,

így jobban kihasználhatók a meglévő adatok. Attól kezdve, hogy egy adatforrás regisztrálva

van az Azure Data Catalog adatbázisában, a szolgáltatás elkezdi indexelni a metaadatait, így

egyszerű kereséssel felfedezhetők a szükséges adatok.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

12. oldal | 36

Dynamics 365

A Dynamics 365 többféle láthatósági és auditálási funkciót biztosít, amelyek a Dynamics 365

jelentéskészítési és elemzési irányítópultjain keresztül használhatók fel a személyes adatok

azonosítására:

• A Dynamics 365-ben szerepel egy Jelentés varázsló, amelynek használatával

egyszerűen, XML- vagy SQL-alapú lekérdezések nélkül készíthetők jelentések.

• A Dynamics 365 irányítópultjai áttekintést adnak az üzleti adatokról – olyan, további

lépések alapjául felhasználható információkat nyújtanak, amelyek az egész szervezetre

vonatkozóan megtekinthetőek.

• A Microsoft Power BI egy olyan önkiszolgáló üzletiintelligencia-platform, amely

felhasználható az adatok felfedezésére, elemzésére és vizualizálására, illetve az így

létrejövő információk munkatársakkal való megosztására és a közös munkavégzésre.

Enterprise Mobility + Security (EMS) csomag

Az Enterprise Mobility + Security olyan személyazonosságra épülő biztonsági technológiákat

nyújt, amelyek segítségével felfedezhetik, kézben tarthatják és védhetik a szervezet birtokában

lévő személyes adatokat, illetve feltárhatják az esetleges holt tereket, és észlelhetik az előforduló

adatvédelmi incidenseket.

A Microsoft Cloud App Security átfogó szolgáltatás, amely a felhőalkalmazások adataihoz

részletesebb láthatóságot, széles körű ellenőrzési lehetőségeket és továbbfejlesztett védelmet

nyújt. Látható vele, hogy a hálózatban milyen felhőalkalmazások vannak használatban – több

mint 13 000 alkalmazást képes azonosítani az összes készülékről –, valamint kockázatértékelést

és folyamatos elemzési információkat biztosít.

A Microsoft Azure Information Protection segítséget nyújt az érzékeny adatok azonosításában

és helyének meghatározásában. Egyrészt lehetőséget ad az adott érzékenységűként megjelölt

adatok keresésére, másrészt a fájlok vagy e-mailek létrehozásakor intelligens módon azonosítja

az érzékeny adatokat. Az azonosítást követően az adatokat automatikusan besorolhatjuk és

felcímkézhetjük – mindez a vállalat megfelelő házirendje alapján történhet.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

13. oldal | 36

Office 365

Az Office 365 több olyan konkrét megoldást is kínál, amelyek segítséget jelentenek a személyes

adatok azonosításában, illetve elérésük kezelésében:

• Az Office és az Office 365 adatveszteség-megelőzési funkciója több mint 80 gyakori

érzékeny adattípust képes azonosítani, például pénzügyi, orvosi és személyazonosításra

alkalmas információkat.

• Az Office 365 Biztonsági és megfelelőségi központ Tartalomkeresés funkciója a

postaládákban, a nyilvános mappákban, az Office 365-csoportokban, a Microsoft

Teams-munkaterületeken, a SharePoint Online-webhelyeken, a OneDrive Vállalati

verzió helyein, illetve a Skype Vállalati verzió beszélgetéseiben egyszerre tud keresni.

• Az Office 365 feltárási kereső funkciójával az összes Office 365-állományban – a SharePoint

Online-ban, a OneDrive Vállalati verzióban, a Skype Vállalati online verzióban és az

Exchange Online-ban végezhető keresés.

• Az Office 365 speciális feltárási, funkciója – amely gépi tanulási technológiákra támaszkodik –

az adott témához (például megfelelőségi vizsgálathoz) tartozó dokumentumok gyors

azonosításához nyújthat segítséget, ráadásul nagyobb pontossággal, mint a hagyományos,

kulcsszavakon vagy nagy mennyiségű dokumentum manuális átnézésén alapuló keresések.

A speciális feltárási funkcióval jelentős mértékben csökkenthető a releváns dokumentumok

és adatkapcsolatok azonosításához szükséges anyagi és munkaerő-ráfordítás, mivel

a rendszer a gépi tanulás útján megtanulja intelligens módon megvizsgálni a nagy méretű

adathalmazokat, és gyorsan a lényegre tud összpontosítani – így előzetesen csökkenti

az áttekintendő adatok mennyiségét.

• A speciális adatgazdálkodás intelligens adatokon és géppel segített elemzési

információkon keresztül nyújt segítséget a szervezet számára legfontosabb adatok

megkereséséhez, besorolásához, a vonatkozó házirendek beállításához, illetve az

életciklusuk kezeléséhez szükséges intézkedésekhez.

SharePoint

A SharePoint keresési szolgáltatására és az alkalmazáson belüli keresési funkcióra támaszkodva

is lehetőség van személyes adatok követésére. Az érzékeny tartalmak azonosításához és

kereséséhez a SharePoint Server 2016 ugyanolyan adatveszteség-megelőzési funkciókat

nyújt, mint az Office 365.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

14. oldal | 36

SQL Server és Azure SQL Database

Az SQL nyelv használható adatbázisok lekérdezésére, illetve olyan eszközök vagy szolgáltatások

testreszabására, amelyek segítséget jelenthetnek ennél a követelménynél. A keresés a

lekérdezéseken keresztül teljes mértékben támogatott, bár a nyomon követési adatok teljes

naplózását az alkalmazás szintjén kell megvalósítani. A Parancsfájl feladat egyéni függvények –

például a beépített feladatokban nem használható összetett adatlekérdezések és az SQL Server

Integration Services által biztosított átalakítások – végrehajtására használható kódot

biztosítanak. A Parancsfájl feladat emellett a függvényeket több feladat és átalakítás

helyett egyetlen parancsfájlban tudja egyesíteni. Ez a programcsomag ezenkívül hatékony

üzletiintelligencia-funkciókat is biztosít, amelyek segítségével végfelhasználói szinten

elérhetők az adatelemzések.

Windows és Windows Server

Az adatok Windows rendszeren belüli megkeresése céljából a Windows Search funkcióval

nyomon követhetők és megtalálhatók a személyes adatok a helyi gépen és bármely eszközön,

amelynek elérésére megvan a szükséges jogosultság. A Windows Search adatkeresési

képességeinek fokozása érdekében a Vezérlőpulton az indexelési beállításokkal

testreszabhatók a Windows Search képességei (például a fájlok tartalmának indexelése).

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

15. oldal | 36

Kezelés: a személyes adatok használatának és elérésének szabályozása

A GDPR az érintetteknek – azoknak a személyeknek, akikhez az adatok kapcsolódnak – nagyobb

fokú rendelkezést ad azzal kapcsolatban, hogyan történik személyes adataik rögzítése és

használata. Az érintettek kérhetik például, hogy az Önök szervezete ossza meg a hozzájuk

kapcsolódó adatokat velük, továbbítsa az adataikat más szolgáltatásba, javítsa ki az adataikban

a hibákat, illetve bizonyos esetekben korlátozza bizonyos adatok további feldolgozását. Egyes

esetekben ezeket a kéréseket adott időn belül kell kezelni.

Adatgazdálkodás

Az érintettekkel szembeni kötelezettségek teljesítéséhez világosan látni kell, hogy a szervezet

milyen típusú személyes adatokat kezel, hogyan, illetve milyen célra. Az előzőekben tárgyalt

adatleltár az első lépés ahhoz, hogy ez láthatóvá váljon. A leltár elkészülte után fontos egy

adatgazdálkodási tervet kidolgozni és végrehajtani. Az adatgazdálkodási terv megkönnyítheti

a szabályok, szerep- és feladatkörök meghatározását, valamint annak biztosítását, hogy

az adatkezelési gyakorlat a GDPR-nek megfelelő legyen. Az adatgazdálkodási terv például

megnyugtatóan igazolhatja a szervezet számára, hogy eredményesen tiszteletben tartja az

érintettek adatok törlésére vagy továbbítására vonatkozó igényeit.

Microsoft-felhőszolgáltatások

Az adatgazdálkodási stratégiák támogatása érdekében a Microsoft felhőszolgáltatásainak

fejlesztése a Microsoft beépített adatvédelmi és alapértelmezett adatvédelmi módszertanával

készül. Aki az Azure, az Office 365 vagy a Dynamics 365 szolgáltatásaira bízza az adatait, azok

kizárólagos tulajdonosa marad, és a szolgáltatásokban tárolt adatokra vonatkozóan Önöknél

maradnak a jogok, jogcímek és érdekeltségek.

A Microsoft felhőszolgáltatásai komoly intézkedésekkel segítik az ügyféladatok védelmét az

illetéktelen hozzáféréssel vagy használattal szemben, ahogyan ezt a Microsoft adatvédelmi

központja részletesen is ismerteti. Az ilyen intézkedések közé tartozik a Microsoft munkatársai

és alvállalkozói általi hozzáférés korlátozása, valamint az ügyféladatokkal kapcsolatos

kormányzati kérésekre történő reagálásra vonatkozó követelmények gondos meghatározása.

Ugyanakkor saját ügyféladataikhoz bármikor és bármilyen okból hozzáférhetnek.

Emellett az adataikra vonatkozó kormányzati megkereséseket közvetlenül Önökhöz irányítjuk

át, kivéve, ha ennek jogi akadálya van, és már bírósági eljárások keretében is szembeszálltunk

az ilyen kérések közlésének tiltására irányuló kormányzati kísérletekkel.

A Microsoft felhőszolgáltatásainak megfelelő felügyelete és ügyfeleinkkel szembeni

biztosítékként a felhőszolgáltatásokat legalább évenként többféle nemzetközi

adatvédelmi szabvány – például a HIPAA és a HITECH, a CSA Star Registry, valamint

több ISO-szabvány – alapján auditáljuk. Az erről szóló jelentések elérhetők a

https://servicetrust.microsoft.com/Documents/ComplianceReports webhelyen.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

16. oldal | 36

A fenti vállalások mellett biztosítjuk azokat a lehetőségeket is, amelyekkel ellenőrizhető az

adatok kezelési módja, illetve hogy a szervezeten belül kinek milyen adatokhoz van hozzáférése.

Azure

Az Azure Active Directory a felhőben működő identitás- és hozzáférés-kezelési megoldás.

Kezeli az identitásokat és az Azure hozzáférését, a helyszíni és egyéb, a felhőben működő

erőforrásokat, adatokat és alkalmazásokat. Az Azure Active Directory Privileged Identity

Management segítségével átmeneti, igény szerinti rendszergazdai jogok adhatók meg

a feltételeknek megfelelő felhasználóknak az Azure-erőforrások kezelése céljából.

Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) segítségével kezelhető az Azure-

erőforrások hozzáférése. Így a hozzáférés a felhasználóhoz hozzárendelt szerepkör alapján

adható meg, tehát könnyebb csak a felhasználó számára a munkavégzéshez szükséges

engedélyeket megadni. Az RBAC a szervezet üzleti modelljének és kockázattűrésének

megfelelően szabható testre.

Office 365

Az Office 365-megoldások több olyan funkciót is tartalmaznak, amelyek segítséget jelentenek

a személyes adatok kezelésében:

• Az Office 365 Biztonsági és megfelelőségi központ adatgazdálkodási funkciói

megkönnyítik az Exchange Online-postaládák, a SharePoint Online-webhelyek és

a OneDrive Vállalati verzió-helyek tartalmának archiválását és megőrzését, valamint

az adatok importálását az Office 365-szervezetbe.

• Az Office 365 Adatmegőrzés funkciója megkönnyíti az e-mailek és dokumentumok

kezelését – a szükséges tartalmakat megtartja, illetve eltávolítja a tartalmakat, ha

azokra már nincs szükség.

• A speciális adatgazdálkodás intelligens adatokon és géppel segített elemzési

információkon keresztül nyújt segítséget a szervezet számára legfontosabb adatok

megkereséséhez, besorolásához, a vonatkozó házirendek beállításához, illetve az

életciklusuk kezeléséhez szükséges intézkedésekhez.

• A SharePoint Online adatkezelési házirendjeivel szabályozható, hogy meddig legyenek

megőrizve a tartalmak, auditálható, hogy mit tesznek az emberek a tartalmakkal,

valamint vonalkóddal vagy címkével láthatók el a dokumentumok.

• Az Exchange Online naplózása a bejövő és kimenő levelezési kommunikáció rögzítésével

megkönnyítheti a reagálást a jogi, szabályozói és megfelelőségi igényekre.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

17. oldal | 36

Adatbesorolás

Az adatok osztályozása minden adatgazdálkodási tervnek fontos részét képezi. A szervezet

egészére érvényes osztályozási rendszer elfogadása különösen hasznos lehet az érintettek

kéréseivel kapcsolatos reagálás során, mivel lehetővé teszi a személyes adatokra vonatkozó

kérések gyorsabb azonosítását és feldolgozását.

Már jelenleg is tudunk olyan útmutatással és eszközökkel szolgálni, amelyek segítségével

megoldhatók az adatok osztályozásához kapcsolódó összetett kérdések.

Azure

A Data Classification (Adatbesorolás) című tanulmány konkrét útmutatást ad az Azure

adatbesorolásához, és végigvezeti az olvasót az adatbesorolási technikák mögöttes elvein,

a folyamaton, a terminológián és a végrehajtáson. Az anyag bőséges további tájékoztatást

és hivatkozásokat tartalmaz.

Dynamics 365

A Dynamics 365 (online) biztonsági és megfelelőségi tervezési útmutatója átfogó tájékoztatást

nyújt a Dynamics 365 (online) olyan környezetekben történő telepítésének főbb megfelelőségi

és biztonsági szempontjainak megértéséhez, amelyekben nagyvállalati címtárintegrálási

szolgáltatások működnek, például címtár-szinkronizálás és egyszeri bejelentkezés.

Az adatvédelmi és titokmegőrzési házirendekről, az adatbesorolásról és ezek hatásáról

tartalmaz tudnivalókat.

Enterprise Mobility + Security (EMS)

Az Azure Information Protection létrehozáskor vagy módosításkor tudja megkönnyíteni az

adatok besorolását és felcímkézését. A bizalmas adatokhoz védelem (titkosítás, hitelesítés és

használati jogok) vagy vizuális megjelölés állítható be. A besorolási megjelölés és a védelem

tartós jellegű, kíséri az adatokat, hogy azok mindig azonosíthatóak és védettek legyenek – attól

függetlenül, hogy azokat hol tárolják, vagy hogy kivel osztják meg őket.

Office és Office 365

• Az Office és az Office 365 Adatveszteség-megelőzés (DLP) funkciója a bizalmas

adatok több mint 80 gyakori típusát tudja azonosítani, például pénzügyi, orvosi és

személyazonosításra alkalmas információkat. A DLP emellett lehetővé teszi a szervezetek

számára, hogy az azonosítás esetén végrehajtandó műveleteket állítsanak-e be a

bizalmas adatok védelme és véletlen közlésének megelőzése céljából.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

18. oldal | 36

• A Speciális adatgazdálkodás intelligens adatokon és géppel segített elemzési

információkon keresztül nyújt segítséget a szervezet számára legfontosabb adatok

megkereséséhez, besorolásához, a vonatkozó házirendek beállításához, illetve az

életciklusuk kezeléséhez szükséges intézkedésekhez. Az adatok automatikus elemzés és

házirendjavaslatok alapján besorolhatók, majd elvégezhetők az adatok helyben történő

megőrzésére vagy a szükséges elemek törlésére irányuló műveletek. A helyi adatok és

a harmadik felekhez tartozó adatforrások egyaránt feldolgozhatók az Office 365-ben,

és üzenettípus szerint besorolhatók. Az üzenettípus szerinti besorolás lehetővé teszi

a különböző adatforrások keresését, rendezését és exportálását, ami megkönnyíti

a feltárási ellenőrzések végrehajtásának folyamatát.

Windows és Windows Server

A Windows Server 2012 R2-ben található Microsoft Data Classification Toolkit (Microsoft

Adatbesorolási Eszközkészlet) keresési mintakifejezéseket és szabályokat biztosít, amelyek

használatával segíthetők a szervezet informatikai szakemberei, auditorai, számviteli szakemberei,

jogászai és más megfelelőségi szakemberei által végzett megfelelőségi tevékenységek.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

19. oldal | 36

Védelem: a kitettségek és adatvédelmi incidensek megelőzésére, észlelésére

és kezelésére vonatkozóan előírt biztonsági ellenőrzések kialakítása

A szervezetek számára egyre világosabbá válik az információbiztonság fontossága – de a GDPR

szintet lép. Előírja a szervezetek számára a megfelelő műszaki és szervezési lépések megtételét

a személyes adatok elvesztéssel, jogosulatlan hozzáféréssel vagy közléssel szembeni védelme

érdekében.

Az adatok védelme

Az adatbiztonság összetett terület. Sokféle típusú azonosítandó és figyelembe veendő

kockázat van – a fizikai behatolástól vagy a rosszindulatú alkalmazottaktól kezdve a véletlen

adatvesztésen át a hackerekig. A kockázatkezelési tervek kidolgozásával és kockázatenyhítési

lépésekkel – például jelszavas védelem, auditnaplók és titkosítás – biztosítható a megfelelőség.

A Microsoft felhője konkrétan úgy van kialakítva, hogy megkönnyítse a kockázatok megértését

és az ellenük történő védekezést. Számos szempontból biztonságosabb, mint a helyszíni

számítástechnikai környezetek. Például adatközpontjaink nemzetközileg elismert biztonsági

szabványok alapján rendelkeznek tanúsítással, 24 órás fizikai megfigyelés védi őket, és

hozzáférésük szigorúan szabályozott.

Felhőinfrastruktúránk védelme mindössze része egy átfogó biztonsági megoldásnak, és minden

termékünk – akár a felhőben, akár a helyszínen működik – olyan biztonsági funkciókkal vannak

ellátva, amelyek megkönnyítik Önöknek a saját adataik védelmét.

Azure

A személyes adatok védelmét a felhőalapú környezetben a következő Azure-szolgáltatások

és -eszközök segítik:

• Az Azure Biztonsági központ az Azure-erőforrások biztonságának láthatóságát és kézben

tarthatóságát biztosítja. Folyamatosan figyeli az erőforrásokat, és hasznos biztonsági

ajánlásokat ad. Lehetővé teszi házirendek meghatározását az Azure-előfizetésekhez és

az erőforráscsoportokhoz a vállalat biztonsági követelményei, a használt alkalmazások

típusai és az adatok érzékenységi szintjének megfelelően. Emellett házirenden alapuló

biztonsági ajánlásokat ad, amelyek a szolgáltatások felelőseit végigvezetik a szükséges

ellenőrzési lehetőségek megvalósításának folyamatán – például az erőforrásoknál a

kártevőirtó vagy a lemeztitkosítás bekapcsolásán. A Biztonsági központ megkönnyíti

továbbá a Microsoft és partnerei biztonsági szolgáltatásainak és eszközeinek gyors

rendszerbe állítását, amelyekkel megerősíthető a felhőalapú környezet védelme.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

20. oldal | 36

• Az Azure adattitkosítása a tárolt és az úton lévő adatokat óvja. Az adatok például a

társzolgáltatási titkosítás használatával automatikusan titkosíthatóak az adatoknak

az Azure Storage-ba való írásakor. Emellett az Azure Disk Encryption szolgáltatással

titkosíthatóak az operációs rendszerek, illetve a Windows és Linux rendszerű virtuális

gépek által használt adatlemezek. Az alkalmazások és az Azure közötti haladó adatok

védettek, így a magas szintű biztonság folyamatosan megvan.

• Az Azure Key Vault a kriptográfiai kulcsok, a tanúsítványok, illetve az adatokat védő

jelszavak biztonságos tárolását teszi lehetővé. A Key Vault szolgáltatás hardveres

biztonsági modulokat használ, és úgy van kialakítva, hogy a kulcsok – következésképpen

az adatok – feletti ellenőrzés megmaradjon Önöknél, tehát garantált, hogy a Microsoft

nem láthatja és nem tudja elérni a kulcsaikat. Önök az Azure naplózási funkciójával

figyelemmel kísérhetik és naplózhatják a tárolt kulcsok használatát, a naplókat pedig

az Azure HDInsight szolgáltatásba vagy egyéb biztonságiinformáció- és eseménykezelő

(SIEM) rendszerbe importálva további elemzést és fenyegetésészlelést végezhetnek.

• A Microsoft Antimalware Azure-os felhőszolgáltatásokra és virtuális gépekre

tervezett kiadása ingyenes, valós időben működő védelmi funkció, amely a vírusok,

kémprogramok és egyéb kártevő szoftverek azonosítását és eltávolítását olyan

konfigurálható riasztásokkal könnyíti meg, amelyek jelzést adnak, amikor rosszindulatú

vagy nemkívánatos szoftverek próbálják meg telepíteni magukat, illetve futnak az Önök

Azure-rendszerein.

Dynamics 365

A Dynamics 365 biztonsági koncepcióinak alkalmazásával védhető az adatok sértetlensége és

biztonsága a Dynamics 365-szervezetekben. Az üzleti egységek, a szerepköralapú biztonság, a

nyilvántartás-alapú biztonság és a mezőalapú biztonság egyesített alkalmazásával általánosan

definiálható a felhasználók által a Dynamics 365-szervezetben tárolt adatok hozzáférhetősége.

• A Dynamics 365 szerepköralapú biztonsága lehetővé teszi az adott felhasználó által

végrehajtható feladatokat korlátozó jogosultságok csoportba rendezését. Ez egy fontos

képesség, különösen akkor, amikor a szervezeten belül megváltozik az emberek

szerepköre.

• A Dynamics 365 nyilvántartás-alapú biztonsága konkrét rekordok hozzáférésének

korlátozását teszi lehetővé.

• A Dynamics 365 mezőalapú biztonsága konkrét, nagy hatású mezők – például

személyazonosításra alkalmas információk – hozzáférésének korlátozását teszi lehetővé.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

21. oldal | 36

Enterprise Mobility + Security (EMS)

Az adatvédelmi incidensek nagy részénél a támadók gyenge, alapértelmezett vagy

eltulajdonított felhasználói hitelesítő adatok révén szereznek hozzáférést a vállalati

hálózathoz. Biztonsági megközelítésünk kiindulópontja a rendszer bejáratánál

megvalósított identitásvédelem és a kockázatalapú feltételes hozzáférés.

• Az Enterprise Mobility + Security megoldásban az Azure Active Directory (Azure AD)

a szervezet védelmét a hozzáférés szintjén könnyíti meg az identitások kezelésével

és védelmével – beleértve a különleges engedélyekkel rendelkező és nem rendelkező

identitásokat is. Az Azure AD egyetlen védett közös identitást biztosít alkalmazások

ezreinek az eléréséhez. Az Azure AD Premium szolgáltatás tartalmazza a többtényezős

hitelesítést is, amely az eszköz állapota, a felhasználó tartózkodási helye, identitása és

a bejelentkezési kockázat, illetve holisztikus biztonsági jelentések, átvilágítások és

riasztások alapján szabályozza a hozzáférést. Az Azure AD Privileged Identity

Management (PIM) szolgáltatás egy biztonsági varázslón, ellenőrzéseken és riasztásokon

keresztül könnyíti meg a különleges engedélyekkel rendelkező identitások és az

erőforrásokhoz való hozzáférésük felfedezését, korlátozását és figyelését. Ez lehetővé

teszi az olyan forgatókönyvek alkalmazását, mint például az időben korlátozott „igény

szerinti” működés és a „Just Enough Administration” típusú hozzáférés.

Az Enterprise Mobility + Security csomag részletesebb láthatóságot biztosít a felhasználóhoz,

az eszközhöz és az adatokhoz kapcsolódó tevékenységekhez a helyszíni és a felhőben működő

szolgáltatások esetében egyaránt, továbbá szigorú szabályozási lehetőségekkel és végrehajtással

segíti elő az adatok védelmét.

• Az Azure Information Protection szolgáltatás megkönnyíti az adatok feletti kontroll

kiterjesztését az adatok teljes életciklusára – a létrehozástól kezdve a helyszíni és

felhőbeli tároláson, valamint a belső vagy külső megosztáson és a fájlok terjesztésének

figyelésén keresztül egészen a váratlan tevékenységekre történő reagálásig.

• A Cloud App Security szolgáltatás az alkalmazottak által használt szoftverszolgáltatások

(Saas) és felhőalkalmazások részletes láthatóságát és szigorú adatkezelési szabályozását

biztosítja, így a teljes környezet láthatóvá válik, és megkezdhető az adatok elemszintű

házirendeken keresztüli szabályozása.

• A Microsoft Intune a felhőből nyújt mobileszköz-felügyeleti, mobilalkalmazás-felügyeleti

és számítógép-felügyeleti funkciókat. Az Intune használatával az alkalmazottak számára

a vállalati alkalmazásokhoz, adatokhoz és erőforrásokhoz gyakorlatilag bárhonnan, szinte

bármilyen eszközön nyújtható hozzáférés a vállalati információk nagyfokú biztonságának

megőrzése mellett.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

22. oldal | 36

Office és Office 365

Az Office 365 platform az alkalmazásfejlesztéstől kezdve a fizikai adatközpontokon át a

végfelhasználói hozzáférésig minden szinten integrálja a biztonságot. Az Office 365 alkalmazásai

egyrészt az adatok védelmének folyamatát egyszerűbbé tevő, beépített biztonsági funkciókat

tartalmaznak, másrészt rugalmasan lehetővé teszik a biztonság egyéni üzleti igényeknek megfelelő

konfigurálását, felügyeletét és integrálását. Az Office 365 megfelelőségi keretrendszere több mint

1000 ellenőrzési pontot tartalmaz; ez teszi lehetővé, hogy az Office 365-öt naprakészen tartsuk a

folyamatosan változó iparági szabványokhoz képest – ez több mint 50 tanúsítást és igazolást jelent.

Számos biztonsági ellenőrzés alapértelmezett módon elérhető. Például a SharePoint és a

OneDrive Vállalati verzió titkosítást használ a tárolt és az úton lévő adatokhoz egyaránt.

Emellett digitális tanúsítványok konfigurálásával és telepítésével gátolható a személyes

adatok láthatósága, és az Office hozzáférés-vezérlési beállításaival adható meg vagy

korlátozható a hozzáférés a személyes adatokhoz.

Az Office 365 további funkciókkal is elősegíti az adatok védelmét és az adatvédelmi

incidensek azonosítását előfordulásuk esetén:

• A biztonsági pontszám betekintést ad a biztonság aktuális helyzetébe, illetve hogy

milyen funkciók állnak rendelkezésre a kockázat csökkentésére olyan módon, hogy

megmarad a hatékonyság és a biztonság egyensúlya.

• Az Exchange Online Komplex veszélyforrások elleni védelem szolgáltatása valós időben

segít az e-maileket az új, kifinomult kártevők támadásaival szemben megvédeni. Emellett

olyan házirendek létrehozását is lehetővé teszi, amelyekkel megakadályozható, hogy a

felhasználók az e-mailekben rosszindulatú mellékletekhez vagy rosszindulatú webhelyek

hivatkozásaihoz férjenek hozzá. Az Exchange Online Komplex veszélyforrások elleni

védelem szolgáltatása ismeretlen kártevőkkel és vírusokkal szembeni védelmet, a

rosszindulatú URL-címekkel szemben kattintáskori védelmet is nyújt, emellett

széleskörű jelentéskészítési és URL-címkövetési képességeket is biztosít.

• A Tartalomvédelmi szolgáltatás segít Önöknek és felhasználóiknak megakadályozni a

bizalmas információk illetéktelen nyomtatását, továbbítását, mentését, módosítását

vagy másolását. Az Exchange Online tartalomvédelmi szolgáltatásával könnyebben

megakadályozható az e-mailekben és a mellékletekben szereplő bizalmas információk

e-mailen keresztül, online vagy offline történő kiszivárgása.

• Az Office 365 mobileszköz-felügyeleti funkciója olyan házirendek és szabályok beállítását

teszi lehetővé, amelyekkel könnyebben megoldható a felhasználók beléptetett iPhone,

iPad készülékeinek, illetve Android- és Windows-alapú telefonjainak védelme és

felügyelete. Lehetőség van például az eszközök távoli törlésére és az eszközökről

részletes jelentések megtekintésére. Az Office 365 többtényezős hitelesítés

használatával is elősegíti a további biztonságot.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

23. oldal | 36

SQL Server és Azure SQL Database

Az SQL Server és az Azure SQL Database több szinten szabályozza az adatbázisok

hozzáférésének és jogosultságainak kezelését:

• Az Azure SQL Database tűzfala a hozzáférést kizárólag az engedélyezett kapcsolatokra

szűkítve korlátozza az egyes adatbázisok elérhetőségét az Azure SQL Database-

kiszolgálón. Tűzfalszabályokat lehet létrehozni a kiszolgáló és az adatbázisok szintjén

egyaránt, és megadhatók a kapcsolódódásra engedélyezett IP-címek tartományai.

• Az SQL Server-hitelesítés segít biztosítani azt, hogy csak jogosult, érvényes hitelesítési

adatokkal rendelkező felhasználók tudják elérni az adatbázis-kiszolgálót. Az SQL Server

a Windows-hitelesítést és az SQL Server rendszer bejelentkezését egyaránt támogatja.

A Windows-hitelesítést integrált biztonságot nyújt, használata biztonságosabb

lehetőségként ajánlott, mivel a hitelesítési folyamat teljes egészében titkosított.

Az Azure SQL Database támogatja az Azure Active Directory-hitelesítés, használatát,

amely lehetőséget ad az egyszeri bejelentkezésre, valamint a felügyelt és integrált

tartományokban egyaránt támogatott.

• Az SQL Server-hitelesítés az engedélyek kezelését a minimális jogosultság elve szerint

teszi lehetővé. Az SQL Server és az SQL Database szerepköralapú biztonságot használ,

amely szerepkörtagságok és objektumszintű engedélyek kezelésén keresztül támogatja

az adatengedélyek elemszintű szabályozását.

• A dinamikus adatmaszkolás beépített funkció, amelynek használatával a bizalmas adatok

láthatósága az adatok kitakarásával korlátozható, amikor jogosultsággal nem rendelkező

felhasználók vagy alkalmazások érik el őket. A lekérdezések eredményeiben a kijelölt

adatmezők a folyamat során kitakarva láthatóak, ugyanakkor az adatbázisban az adatok

változatlanok maradnak. A dinamikus adatmaszkolás könnyen konfigurálható, és

az alkalmazásban nem igényel változtatásokat. Az Azure SQL Database, dinamikus

adatmaszkolási funkciója automatikusan képes felfedezni a potenciálisan bizalmas

információkat, és javaslatot tesz a megfelelő maszkok alkalmazására.

• A sorszintű biztonság további beépített funkció, amelynek használatával az SQL Server

és az SQL Database felhasználói számára az adatsorok hozzáféréséhez állíthatók be

korlátozások. A sorszintű biztonság segítségével finomhangolt hozzáférés-vezérlés

alkalmazható az adatbázistábla soraira, így jobban szabályozható, hogy melyik

felhasználó milyen adatokat érhet el. Mivel a hozzáférést korlátozó logika az adatbázis

szintjén található, ez a képesség nagyban egyszerűsíti az alkalmazásbiztonság

megtervezését és megvalósítását.

Az SQL Server és az SQL Database egy sor beépített funkciót tartalmaz, amelyek védik

az adatokat, és azonosítják az előforduló adatvédelmi incidenseket:

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

24. oldal | 36

• A transzparens adattitkosítás a tárolt adatokat védi az adatbázis titkosításával,

a kapcsolódó biztonsági másolatkészítéssel és a tranzakciós naplófájlokkal a fizikai

tárolási rétegben. Ez a titkosítás az alkalmazás szempontjából transzparens, és a jobb

teljesítmény érdekében hardveres gyorsítást használ.

• A Transport Layer Security (TLS) az SQL Database-kapcsolatoknál továbbítás közben

védi az adatokat.

• Az Always Encrypted (folyamatos titkosítás) az iparágban elsőként bevezetett funkció,

amely a rendkívül bizalmas adatok védelmét célozza az SQL Server és SQL Database

rendszerekben. Az Always Encrypted funkció lehetővé teszi, hogy az ügyfelek a bizalmas

adatokat az ügyfélalkalmazásokon belül titkosítsák, és egyáltalán ne közöljék a titkosítási

kulcsokat az adatbázismotorral. A mechanizmus az alkalmazások szempontjából

transzparens, mivel az adatok titkosítása és visszafejtése transzparens módon az

Always Encrypted funkció használatára felkészített ügyfél-illesztőprogram végzi.

• Az SQL Database naplózása és az SQL Server Audit funkciója követi az adatbázis-

eseményeket, és azokat auditnaplóba írja. A naplózás a potenciális fenyegetések, a

gyanított visszaélések és a biztonsági szabálysértések azonosítása céljából lehetővé

teszi a folyamatban lévő adatbázis-tevékenységek áttekintését, illetve a korábbi

tevékenységek elemzését és vizsgálatát.

• Az SQL Database fenyegetésészlelési funkciója az adatbázis szempontjából potenciális

biztonsági fenyegetést jelentő tevékenységanomáliákat észleli az adatbázisban.

A fenyegetésészlelés egy sor fejlett algoritmus alkalmazásával folyamatosan tanulja az

alkalmazások viselkedését, azokról profilt készít, a szokatlan vagy gyanús tevékenységek

észlelése esetén pedig azonnali értesítést küld. A fenyegetésészlelés megkönnyíti a

GDPR adatvédelmi incidensekkel kapcsolatos értesítési kötelezettségének teljesítését.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

25. oldal | 36

Windows és Windows Server

A Windows 10 és a Windows Server 2016 rendszer az iparágban vezető titkosítást, kártevőirtó

technológiákat, illetve identitás- és hozzáférés-kezelő megoldásokat tartalmaz, amelyek

segítségével a jelszavak helyett a hitelesítést biztonságosabb formáira lehet átállni:

• A Windows Hello a jelszavak helyett kényelmes, nagyvállalati szintű alternatívát jelent,

amely egy természetes (biometrikus) vagy egy ismereten alapuló (PIN-kód) módszer

alkalmazásával ellenőrzi a személyazonosságot, így az intelligens kártyák biztonsági

előnyeit további perifériák szükségessége nélkül nyújtja.

• A Windows Defender víruskereső robusztus kártevőirtó megoldás, amely azonnal

használatra kész voltával segíti elő a folyamatos védelmet. A Windows Defender

víruskereső gyorsan észleli a kártevőket, és védekezik ellenük, amikor a környezet

bármelyik részében megjelenik egy fenyegetés, azonnal képes segítséget nyújtani

az eszközök védelmében.

• A Device Guard az eszközök és kiszolgálók zárolását teszi lehetővé az új és ismeretlen

kártevő-változatokkal és a fejlett fenyegetésekkel szembeni védekezés érdekében.

Az észlelésre épülő megoldásoktól – például a víruskeresőktől – eltérő módon, amelyek

a legújabb fenyegetések észleléséhez folyamatos frissítést igényelnek, a Device Guard

zárolja az eszközöket, hogy azokon csak a kiválasztott, engedélyezett alkalmazások

futhassanak, így biztosít hatékony ellenszert a kártevők ellen.

• A Credential Guard funkció a teljes Windows operációs rendszer biztonságának sérülése

esetén is képes elszigetelni az eszközön a titkos információkat, például az egyszeri

bejelentkezés tokenjeit. Ez a megoldás alapjában véve az olyan nehezen kivédhető

támadások alkalmazását akadályozza meg, mint a „Pass the Hash”.

• A Windows 10 és a Windows Server 2016 rendszerben a BitLocker meghajtótitkosítás

nagyvállalati szintű titkosítással segíti elő az adatok védelmét az eszközök elveszítése

vagy eltulajdonítása esetén. A BitLocker a számítógép merevlemezes és flash

meghajtóinak teljes titkosításával akadályozza meg, hogy illetéktelen felhasználók

hozzáférjenek az adatokhoz.

• A Windows Információvédelem ott folytatja, ahol a BitLocker befejezte. Míg a BitLocker

egy eszköz egész lemezét védi, a Windows Információvédelem az adatokat védi az

illetéktelen felhasználókkal szemben, illetve a gépen futó alkalmazásokat. Emellett

segít megelőzni az adatok szivárgását az üzleti dokumentumokból nem üzleti

dokumentumokba vagy a weben található helyekre.

• A védett virtuális gépek lehetővé teszik a BitLocker használatát a Hyper-V használatával

működő lemezek és virtuális gépek titkosítására, így megakadályozható, hogy a sérült

biztonságú vagy rosszindulatú rendszergazdák a védett virtuális gépek tartalmát támadják.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

26. oldal | 36

• A Just Enough Administration és az igény szerinti felügyelet funkciók segítségével

a rendszergazdák elvégezhetik a szokásos feladataikat és műveleteiket, ugyanakkor

korlátozható a képességek köre és a végrehajtási időkeret. Ha rendszergazdai szintű

hitelesítő adatok biztonsága sérül, a károkozási lehetőség jelentősen korlátozott lesz

Ez a technika lehetővé teszi, hogy a rendszergazdák számára csak a szükséges szintű

hozzáférés legyen elérhető, a projekten történő munkavégzésük idejére.

A biztonsági incidensek felismerése és reagálás rájuk

A GDPR bizonyos esetekben előírja, hogy adatvédelmi incidens esetén a szervezeteknek rövid

határidővel értesíteniük kell a szabályozó szerveket. Egyes esetekben az érintett értesítése is

előírás. E kötelezettség teljesítése szempontjából előnyös, ha a szervezetek figyelni és észlelni

tudják a rendszerbe történő behatolásokat.

Az olyan incidensek esetén, ahol részben vagy egészében a mi feladatunk a reagálás, részletes

biztonságiincidens-válaszkezelési folyamatokat alakítottunk ki, például az Azure és az Office 365

számára.

Ezenkívül a Shared Responsibilities in Cloud Computing (Közös felelősségi területek a felhőalapú

számítástechnikában) című tanulmányban ismertetjük, hogyan működünk együtt ügyfeleinkkel

a közös felelősségi modell keretében.

Ha Önök potenciális incidenst észleltek, mi saját incidenskezelési programunkat ajánljuk

és alkalmazzuk. Ez egy négy lépésből álló folyamat:

• Az esemény kiterjedtségének és súlyosságának felmérése. A megállapítások alapján

a felmérés eredménye információbiztonsági/adatvédelmi csoporthoz kerülhet.

• Műszaki vizsgálat vagy nyomozás, a terjedés megállítására, az enyhítésre és a kerülő

megoldásokra irányuló stratégiák azonosítása. Ha az információbiztonsági/adatvédelmi

csoport úgy véli, hogy személyes adatok válhattak ismertté jogellenes tevékenységet

folytató vagy illetéktelen személy számára, párhuzamosan megkezdődik a GDPR által

előírt értesítési folyamat is.

• Helyreállítási terv készítése a probléma enyhítésére. A krízis továbbterjedését célzó

lépéseknek – például az érintett rendszerek karanténba zárásának – haladéktalanul,

a diagnózissal párhuzamosan meg kell történniük. Megtervezhető a hatások hosszabb

távú enyhítése is, amire a közvetlen kockázat elmúlta után kerülhet sor.

• Utólagos elemzés, amely felvázolja az incidens részleteit, hogy a házirendek, eljárások és

folyamatok felülvizsgálatával elkerülhető legyen az esemény megismétlődése. Ez a fázis

a GDPR 33. cikkével összhangban rögzíti az incidenshez kapcsolódó tényeket, annak

hatásait és az orvoslására tett intézkedéseket.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

27. oldal | 36

Azure

A rendszerekben található személyes adatok védelme, a megfelelőséggel kapcsolatos

jelentéskészítés és felülvizsgálatok a GDPR fő követelményei közé tartoznak. A GDPR ezen

előírásainak teljesítését az Azure következő szolgáltatásai és eszközei könnyítik meg:

• Az Azure-ral integrált szolgáltatások gyorsabban és könnyebben áttekinthetővé

teszik az általános biztonsági helyzetet, illetve a felhőalapú környezettel szembeni

fenyegetések észlelését és kivizsgálását. Az Azure Security Center fejlett biztonsági

elemzési folyamatokat alkalmaz. A big data és a gépi tanulási technológiák területén

áttörést jelentő algoritmusok használatával értékeli ki az eseményeket a felhő teljes

szerkezetében – olyan fenyegetéseket is észlelve, amelyek manuális megközelítés

alkalmazásával nem lennének azonosíthatóak, és előre jelezve a támadások fejlődését.

Ilyen biztonsági elemzési folyamatok a következők:

• Integrált fenyegetésfelderítés, amely a Microsoft termékeiből és

szolgáltatásaiból, a Microsoft digitális bűnüldözési csoportjától, a Microsoft

Security Response Centertől (MSRC) és külső forrásokból származó általános

fenyegetésfelderítési információk alapján keresi az ismert rosszindulatú

tényezőket.

• Viselkedéselemzés, amely ismert minták felhasználásával fedezi fel

a rosszindulatú magatartást.

• Anomáliadetektálás, amely statisztikai alapú profilkészítéssel alakít ki egy

előzmény-alaphelyzetet. Az így kialakított alaphelyzetektől való olyan

eltérések esetén, amelyek megfelelnek a potenciális támadások vektorainak,

figyelmeztetést ad ki.

A Security Center emellett prioritási szint szerint besorolt biztonsági riasztásokat

nyújt, amelyek betekintést adnak a támadási kampányba, többek között a kapcsolódó

eseményekbe és az érintett erőforrások adataiba.

• Az Azure Log Analytics konfigurálható biztonsági audit- és naplózási funkciókat

biztosít, amelyek segítségével a felhőben vagy a helyszíni környezetben található

erőforrások által generált adatok gyűjthetők és elemezhetők. Az integrált keresés

és egyéni irányítópultok használatával valós időben nyújt adatokat a fizikai

helyszíntől függetlenül a munkaterhelésekben és a kiszolgálókon elérhető

rekordok millióinak azonnali elemzéséhez. Bármilyen biztonsági esemény

esetén megkönnyíti a gyors reagálást és az alapos kivizsgálást.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

28. oldal | 36

Dynamics 365

A Dynamics 365 (online) rendszeres karbantartásával és frissítésével gondoskodunk a

szolgáltatás biztonságáról, teljesítményéről és rendelkezésre állásáról, illetve új funkciókat

teszünk elérhetővé benne. Emellett a szolgáltatási incidensekre is rendszeresen reagálunk,

Az Önök szervezetében a Dynamics 365-rendszergazda minden ilyen tevékenység esetén e-

mailben kap értesítést. Szolgáltatási incidens esetén a Dynamics 365 (online) ügyfélszolgálatának

képviselője is jelentkezhet telefonon, majd e-mailben. A Dynamics 365-re vonatkozó szabályaink

és kommunikációnk részletes leírása a TechNeten található.

Enterprise Mobility + Security (EMS)

Átfogó fenyegetésfelderítésünk modern viselkedéselemzési és anomáliaészlelési technológiák

alkalmazásával leplezi le a gyanús tevékenységeket, illetve mutat rá a fenyegetésekre – a helyszíni

rendszerekben és a felhőben egyaránt. Ez ugyanúgy érvényes az ismert rosszindulatú támadásokra

(például „Pass the Hash”, „Pass the Ticket”) és a rendszerünk biztonsági réseire. A hatékony

támogatásnak köszönhetően lehetséges az azonnali fellépés az észlelt támadásokkal szemben, illetve

a helyreállítás racionalizálása. Fenyegetésfelderítésünket a Microsoft Intelligent Security Graph funkció

is segíti, amely hatalmas számú adathalmazra és a felhőben megvalósított gépi tanulásra támaszkodik:

• A Microsoft Advanced Threat Analytics (ATA) helyszíni rendszerekben működő termékként

segíti az információbiztonsági munkatársaknak az entitások (felhasználók, eszközök és

erőforrások) normális és abnormális viselkedésének automatikus elemzésével, tanulásával

és azonosításával a fejlett, célzott támadásokkal szemben megvédeniük a szervezetüket.

Az ATA a felhasználók és entitások (eszközök és erőforrások) gyanús magatartásának

észlelésével, gépi tanulás és a helyszíni Active Directoryban, SIEM rendszerekben és a

Windows eseménynaplóiban található információk használatával észleli a fejlett tartós

fenyegetéseket. Emellett az ismert rosszindulatú támadásokat (például „Pass the Hash”) is

észleli. Végezetül a támadás egyszerű kronológiáját is megadja a támadásokra vonatkozó

világos és releváns információkkal, hogy a figyelmet a valóban fontos tényezőkre

összpontosítsa.

• A Cloud App Security a felhőalkalmazások számára a fenyegetésekkel szemben nyújtott

védelme mögött a Microsoft által a fenyegetésekkel kapcsolatban felhalmozott hatalmas

mennyiségű ismeretanyaga és kutatásai állnak. Azonosíthatók a nagy kockázatot magukban

rejtő használatok, a biztonsági incidensek, illetve az abnormális felhasználói viselkedés

észlelésével előzhetők meg a fenyegetések. A Cloud App Security fejlett gépi tanulási

heurisztikája megtanulja, hogyan használják az egyes felhasználók az egyes SaaS-

alkalmazásokat, és a viselkedés elemzésével méri fel az egyes tranzakciókhoz kapcsolódó

kockázatokat. Ilyen például az egyidejű bejelentkezés két országból, a több terabájtnyi adat

hirtelen letöltése vagy több sikertelen bejelentkezési kísérlet, amely találgatásos támadás

jele lehet.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

29. oldal | 36

• Az Azure Active Directory (Azure AD) Premium szolgáltatás a felhőben nyújt

identitásszintű fenyegetésészlelést. Az Azure AD az alkalmazások használatát figyeli, és

biztonsági jelentéskészítéssel és figyeléssel védi a vállalkozást a fejlett fenyegetésekkel

szemben. A hozzáférési és használati jelentésekből látható a szervezet címtárának

sértetlensége és biztonsága. Az Azure AD emellett értesítésekkel, elemzésekkel és

korrekciós intézkedések ajánlásával nyújt identitásvédelmet.

Office és Office 365

Az Office 365 többféle funkcióval segíti az előforduló az adatvédelmi incidensek azonosítását

és a rájuk való reagálást:

• A fenyegetések felderítése az Office 365-ben komplex veszélyforrások proaktív

felfedezését és a velük szembeni védekezést könnyíti meg. A részletes betekintés

a veszélyforrásokba – amely részben a Microsoft globális jelenlétének, az Intelligent

Security Graph funkciónak, illetve az informatikai fenyegetésekre vadászó partnerek

információinak köszönhetően érhető el –, megkönnyíti a riasztások gyors és hatékony

bekapcsolását, a dinamikus házirendek, illetve a biztonsági megoldások használatát.

• A Speciális biztonságkezelés lehetővé teszi a nagy kockázatot jelentő és a normálistól

eltérő használatok azonosítását, figyelmeztetve a potenciális incidensekre. Emellett

lehetővé teszi a nagy kockázatot jelentő és gyanús tevékenységeket követő és azokra

reagáló tevékenységszabályzatok beállítását. A Productivity App Discovery funkció is

rendelkezésre áll, amelynek segítségével a szervezet naplófájljaiban található információk

segítségével értelmezhető a felhasználók alkalmazáshasználata az Office 365-ben és más

felhőalkalmazásokban, és ennek alapján megtehetők a szükséges lépések.

• Az Exchange online Komplex veszélyforrások elleni védelem szolgáltatása valós időben

segít az e-maileket az új, kifinomult kártevők támadásaival szemben megvédeni. Emellett

olyan házirendek létrehozását is lehetővé teszi, amelyekkel megakadályozható, hogy a

felhasználók az e-mailekben rosszindulatú mellékletekhez vagy rosszindulatú webhelyek

hivatkozásaihoz férjenek hozzá.

SQL Server és Azure SQL Database

Az SQL Server és az SQL Database egy sor beépített funkciót tartalmaz, amelyek azonosítják

az előforduló adatvédelmi incidenseket:

• Az SQL Database naplózása és az SQL Server Audit funkciója követi az adatbázis-

eseményeket, és azokat auditnaplóba írja. A naplózás a potenciális fenyegetések, a

gyanított visszaélések és a biztonsági szabálysértések azonosítása céljából lehetővé

teszi a folyamatban lévő adatbázis-tevékenységek áttekintését, illetve a korábbi

tevékenységek elemzését és vizsgálatát.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

30. oldal | 36

• Az SQL Database fenyegetésészlelési funkciója az adatbázis szempontjából potenciális

biztonsági fenyegetést jelentő tevékenységanomáliákat észleli az adatbázisban.

A fenyegetésészlelés egy sor fejlett algoritmus alkalmazásával folyamatosan tanulja az

alkalmazások viselkedését, azokról profilt készít, a szokatlan vagy gyanús tevékenységek

észlelése esetén pedig azonnali értesítést küld. A fenyegetésészlelés megkönnyíti a

GDPR adatvédelmi incidensekkel kapcsolatos értesítési kötelezettségének teljesítését.

Windows és Windows Server

A Windows Defender Komplex veszélyforrások elleni védelme (ATP) a biztonsági üzemeltetési

csoportok számára lehetővé teszi a hálózatban előforduló adatvédelmi incidensek észlelését,

kivizsgálását, terjedésük megakadályozását és kezelését. A Windows Defender ATP segítségével

megoldható a komplex veszélyforrások észlelése, kivizsgálása és kezelése az összes végponton,

akár 6 hónapra visszanyúló előzményadatokkal – akár olyan helyzetekben is, amikor a

végpontok offline állapotúak, a hálózati tartományon kívül vannak, a rendszert lemezkép alapján

újratelepítették, vagy már nem is léteznek a végpontok. A Windows Defender ATP a GDPR egyik

fontos követelményének teljesítését segíti elő, miszerint világos eljárásokkal kell rendelkezni

az adatvédelmi incidensek észleléséhez, kivizsgálásához és jelentéséhez.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

31. oldal | 36

Jelentés: az adatkérések végrehajtása, az adatvédelmi incidensek jelentése,

a szükséges nyilvántartások vezetése

A GDPR új normákat határoz meg az átláthatóság, az elszámoltathatóság és a nyilvántartási

követelmények terén. Transzparensebbnek kell lenni nem csupán azzal kapcsolatban, hogyan

kezeljük a személyes adatokat, hanem azzal kapcsolatban is, hogyan tartjuk aktívan karban

a folyamatainkat és a személyes adatok használatát meghatározó dokumentumokat.

Nyilvántartás

A személyes adatok kezelését végző szervezeteknek nyilvántartást kell vezetniük az adatkezelés

céljairól; a kezelt személyes adatok kategóriáiról; azoknak a harmadik feleknek a személyazonosságáról,

akikkel megosztják az adatokat; arról, hogy harmadik országok kapnak-e (és milyen harmadik országok

kapnak) személyes adatokat, illetve az ilyen adattovábbítások jogalapjáról; a szervezési és technikai

biztonsági intézkedésekről; valamint a különböző adatkategóriák tekintetében alkalmazandó

adatmegőrzési időkről. Ez például auditeszközök használatával valósítható meg, amelyek segíthetnek

biztosítani, hogy az adatok mindennemű kezelése – attól függetlenül, hogy az adatok gyűjtéséről,

használatáról, megosztásáról vagy egyéb kezeléséről van-e szó – követve és nyilvántartva legyen.

A Microsoft felhőszolgáltatásai beépített auditszolgáltatásokat kínálnak, amelyek segítséget

jelenthetnek ennek a normának a teljesítésében.

Az Azure, az Office 365 és a Dynamics 365

A Service Trust Portal széles körű tájékoztatást tartalmaz az Azure, az Office 365 és a Dynamics

365 különböző megfelelőségi, biztonsági, adatvédelmi és megbízhatósági lehetőségeiről, például

a jelentésekről és tanúsítványokról. A külső, független auditálási és GRC- (governance, risk

management, compliance – kormányzat, kockázatkezelés, megfelelőség) jelentések segítségével

naprakész tájékoztatás érhető el arról, hogy a Microsoft felhőszolgáltatásai hogyan teljesítik az

adott szervezet számára fontos globális normákat. A megbízhatósági jelentés pedig világos képet

adnak arról, hogyan védik a Microsoft felhőszolgáltatásai az Önök adatait, illetve Önök hogyan

kezelhetik az adatok biztonságát és a megfelelőséget saját felhőszolgáltatásaikban.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

32. oldal | 36

Azure

A biztonsághoz kapcsolódó események auditálása és naplózása, illetve a kapcsolódó riasztások

fontos összetevőket jelentenek a hatékony adatvédelmi stratégiák szempontjából.

Az Azure naplózási és auditfunkciói a következőket teszik lehetővé:

• Auditnapló létrehozása az Azure-ben telepített alkalmazásokhoz és az Azure

virtuálisgép-gyűjteményéből létrehozott virtuális gépekhez.

• Nagy méretű adathalmazokon központosított elemzés végrehajtása az Azure

infrastruktúra-szolgáltatási (IaaS) és platformszolgáltatási (PaaS) biztonsági eseményein

végzett adatgyűjtéssel. A következő lépésben az Azure HDInsight használatával

összesíthetők és elemezhetők ezek az események, majd folyamatos figyelés céljából

a helyszíni SIEM rendszerekbe exportálhatók.

• A hozzáférés figyelhető, a használatról pedig jelentések készíthetők az Azure

felügyeleti műveleteket – többek között a rendszer hozzáférését is – naplózó funkciójára

támaszkodva, így auditnapló hozható létre az illetéktelen vagy véletlen változtatások

esetére. Az auditnaplók lekérhetők az Azure Active Directory-bérlőhöz, így meg lehet

nézni a hozzáférésről és a használatról szóló jelentéseket.

• A Windows biztonsági eseménynaplóiból és más, biztonsághoz kapcsolódó naplókból

adatgyűjtésre beállítható Azure Diagnostics szolgáltatás segítségével a biztonsági

riasztások helyszíni SIEM rendszerekbe exportálhatók.

• Az Azure Marketplace külső biztonsági megfigyelő, jelentéskészítő és riasztási

eszközöket is kínál.

A Microsoft Azure Monitor szolgáltatás lehetővé teszi a szervezetek számára, hogy egyetlen

központi irányítópultról, egyszerűen tudják megnézni és kezelni az összes adatfigyelési

feladatot. Részletes, naprakész teljesítmény- és kihasználtsági adatokat, minden API-hívást

követő tevékenységnaplót, valamint olyan diagnosztikai naplókat tesz elérhetővé, amelyek

segítségével követhetők az Azure-erőforrásokban jelentkező problémák. Emellett riasztások is

beállíthatók, és automatikus intézkedések hajthatók végre. Az Azure Monitor a meglévő eszközökkel

integrálható, így részletes, végponttól végpontig terjedő figyelési és elemzési funkciók valósíthatók

meg az Azure Monitor és a már megszokott elemzőeszközök együttes használatával.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

33. oldal | 36

Office és Office 365

• Az Office 365 Biztonsági és megfelelőségi központjának Szolgáltatásminőség-biztosítás

szakasza részletes információkat szolgáltat a kockázatértékeléshez, a Microsoft

megfelelőségi jelentéseinek adataival és az auditált ellenőrzési lehetőségek transzparens

állapotával együtt. Például:

• A Microsoft biztonsági gyakorlata az Office 365-ben tárolt ügyféladatokkal kapcsolatban.

• Az Office 365-ről szóló független, harmadik felek által készített auditjelentések.

• Megvalósítási és tesztadatok az olyan biztonsági, adatvédelmi és megfelelőségi

ellenőrzési lehetőségekhez, amelyek az ügyfelek számára megkönnyítik a megfelelést a

szabványoknak, a jogszabályoknak és az ágazatokra egységesen vonatkozó előírásoknak –

ilyen például az ISO 27001 és az ISO 27018 szabvány, illetve a Health Insurance Portability

and Accountability Act (HIPAA, az egészségügyi biztosítás hordozhatóságáról és

felelősségre vonhatóságáról szóló határozat).

• Az Office 365 auditnaplói lehetővé teszik a felhasználói és felügyeleti tevékenységek

figyelését és nyomon követését az Office 365-ben, ami megkönnyíti a biztonsági és

megfelelőségi problémák korai észlelését és kivizsgálását. Az Office 365 auditnapló-

keresési oldalának használatával elkezdhetik rögzíteni a szervezeten belüli felhasználói és

felügyeleti tevékenységeket. Miután az Office 365 elkészítette az auditnaplót, a

tevékenységek széles skálájára lehet rákeresni benne, például a OneDrive vagy a

SharePoint Online felé irányuló feltöltésekre vagy a felhasználói jelszavak módosítására.

Az Exchange Online pedig beállítható olyan módon, hogy kövesse a rendszergazdák által

végrehajtott változtatásokat, illetve minden olyan esetet, amikor a postaládához valaki

más fér hozzá, mint a tulajdonosa.

• Az Ügyfélszéf funkcióval ellenőrizhető, a segítségnyújtás során hogyan férhet hozzá

a Microsoft támogatási szakértője az adatokhoz. Ha a szakértőnek egy probléma

meghatározásához és kijavításához hozzáférésre van szüksége az adatokhoz, az

Ügyfélszéf funkcióval jóváhagyható vagy elutasítható a hozzáférési kérés. A mérnök csak

jóváhagyás esetén tudja elérni az adatokat. Minden kéréshez érvényességi idő tartozik,

és a probléma megoldása után a kérés lezárul, és a rendszer visszavonja a hozzáférést.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

34. oldal | 36

Enterprise Mobility + Security (EMS)

Az Azure Information Protection szolgáltatás széles körű naplózási és jelentéskészítési

funkciókkal elemzi a bizalmas adatok terjesztését. A dokumentumkövetés lehetővé teszi, hogy a

felhasználók és a rendszergazdák figyeljék a megosztott adatokkal kapcsolatos tevékenységeket,

és ha váratlan esemény történik, visszavonják a hozzáférést. Az Azure Information Protection a

fájlmegosztásokban, a SharePoint-webhelyeken és -tárakban, az online adattárakban, valamint

az asztali vagy laptop számítógépek meghajtóin található strukturálatlan adatokat elemezze.

Ha hozzáférhetők a fájlok, lehetőség van minden fájl tartalmának átvizsgálására és annak

megállapítására, hogy az adott fájlban szerepelnek-e bizonyos kategóriákba tartozó személyes

adatok. Ezt követően a jelen lévő adatok típustól függően mindegyik fájl besorolható és

címkével látható el. Erről a folyamatról jelentések is generálhatók, amelyekben szerepel, hogy

milyen fájlokon történt vizsgálat, a fájl milyen besorolási házirendeknek felelt meg, és milyen

címke lett beállítva hozzá.

Windows és Windows Server

A Windows Eseménynapló széles körű naplózási funkciókkal rendelkezik, amelyek lehetővé

teszik a rendszergazdák számára, hogy megtekintsék az operációs rendszerrel, az alkalmazás- és

a felhasználói tevékenységekkel kapcsolatban naplózott adatokat. Ez a naplórendszer beállítható

úgy, hogy a felhasználói és alkalmazásműveletekről részletes auditnaplót készítsen, beleértve a

fájlokhoz való hozzáférést, az alkalmazáshasználatot és a házirendváltozásokat – és ezek csupán

példaként szolgálnak. A Windows Eseménynapló a rendszergazdák számára lehetővé teszi azt is,

hogy az ügyfelek és kiszolgálók eseményeit jelentéskészítési és auditálási célból egyetlen

központi helyre továbbítsák.

A felhőszolgáltatások jelentéskészítési eszközei és dokumentációja

Ahogyan a személyes adatokat kezelő bármely más adatbázis vagy rendszer esetében, a

felhőszolgáltatások használatát is megfelelő módon nyilván kell tartania és át kell látnia az

adott szervezetnek. Elképzelhető például, hogy a szervezetnek látnia kell a nevében más

szolgáltatók által tárolt személyes adatokat; az ezekre a szolgáltatókra vonatkozó szerződéses

jogviszonyokat; illetve hogy mi történik, amikor megszűnik a szolgáltatói jogviszony.

Az ilyen információk kezelésében úgy tudunk segítséget nyújtani, hogy egyszerű és világos

jelentéskészítési eszközöket biztosítunk az Önök Microsoft felhőben elérhető fiókjához, és

részletesen dokumentáljuk felhőszolgáltatásainkat, azok működését, illetve szerződéses

kapcsolatunkat Önökkel.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

35. oldal | 36

Az érintettek értesítése

A GDPR megváltoztatja az adatvédelmi követelményeket, és szigorúbb kötelezettségeket

határoz meg az adatfeldolgozók és adatkezelők számára a személyek jogai és szabadságai

szempontjából kockázatot eredményező adatvédelmi incidensekre vonatkozó értesítésekhez.

Az új rendelet értelmében – a 17., 31. és 32. cikkben meghatározottak szerint – az

adatfeldolgozónak az adatvédelmi incidensről az adatkezelőt indokolatlan késedelem

nélkül értesítenie kell, miután az a tudomására jutott.

Az adatkezelőnek, miután tudomására jutott az incidens, 72 órán belül értesítenie kell a

megfelelő adatvédelmi hatóságot. Ha az incidens jelentős kockázatot jelent a természetes

személyek jogai és szabadságai szempontjából, az adatkezelőnek az érintett személyeket

is indokolatlan késedelem nélkül értesítenie kell. Ez azt jelenti, hogy ha Önök adatkezelői

szerepükben adatfeldolgozót vesznek igénybe, akkor feltétlenül világos elvárásokat kell

meghatározniuk a szerződésekben a potenciális incidensekkel kapcsolatos értesítésekre

vonatkozóan.

Az olyan incidensek esetén, ahol részben vagy egészében a Microsoft feladata a reagálás,

részletes biztonságiincidens-válaszkezelési folyamatokat alakítottunk ki, például az Azure, az

Office 365 és a Dynamics 365 számára. A GDPR-rel kapcsolatos vállalásainkat szerződéseink

szövege is tükrözi.

A Microsoft termékei és szolgáltatásai – például az Azure, a Dynamics 365, az Enterprise Mobility

+ Security, az Office 365 és a Windows 10 – már most is olyan megoldásokat kínálnak, amelyek

segítségével észlelhetők és felmérhetők a biztonsági fenyegetések és incidensek, és teljesíthetők

a GDPR incidensekkel kapcsolatos értesítési követelményei.

Az érintettek kéréseinek kezelése

A GDPR legfontosabb elemei közé tartoznak az „érintettek” jogai, amelyeket a tájékoztatásról

és az adatokhoz való hozzáférésről szóló 2. szakasz, a 3. szakasz („Helyesbítés és törlés”), illetve

a 4. szakasz („A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben”) cikkei

szabályoznak.

Ezek a kötelezettségek Önöknél mint adatkezelőnél hatással lehetnek az informatikai

környezetre és a működésre, illetve az adatfeldolgozóként bevont szolgáltatók informatikai

környezetére és működésére.

A helyes adatgazdálkodás az adatvédelmi törvények egyik legfontosabb összetevője, és kiemelten

szerepel az általános adatok és a személyes adatok védelmével foglalkozó legtöbb törvényben és

szabályozásban. A GDPR értelmében az egyik fontos adatgazdálkodási elem a 35., 36. és 37. cikkben

vázolt konkrét körülmények esetén az adatvédelmi tisztviselő kijelölése. Az adatvédelmi tisztviselőt a

személyes adatok védelméhez kapcsolódó összes témába be kell vonni.

Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában

36. oldal | 36

A GDPR irányítási szempontból második legfontosabb eleme az adatvédelmi tisztviselő

irányítása alatt elvégzett adatvédelmi megfelelőségi ellenőrzés, amelynek végterméke

az adatvédelmi hatásvizsgálat. A 35. cikk (11) bekezdése konkrétan meghatározza a

követelményeket, miszerint az adatkezelő szükség szerint, de legalább az adatkezelési

műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése

céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően

történik-e.

A Microsoft adatvédelmi központja tartalmaz tájékoztatást arról, hogyan tudjuk Önöket segíteni

ebben a folyamatban, és egy külön szakasz ismerteti a Microsoft álláspontját és vállalásait a

GDPR kapcsán.