Compliance

Office 365
 

適用版本:Office 365

上次修改主題的時間:2017-02-03

註記注意事項:
這份文件中的資訊適用於全球版 Office 365。如果您使用 Office 365 的國家/地區雲端執行個體,包括 Office 365 美國。由 21Vianet 運作的政府版、Office 365 Germany 和 Office 365,請參閱 Microsoft National Clouds
註記注意事項:
協力廠商功能的可用性會依地區而有所不同。

Microsoft Office 365 符合產業標準法規,且專為協助符合您企業的法規需求而設計。如需詳細資訊,請參閱法規規範

如需下列產業認證的詳細資訊,請參閱獨立查驗安全性、稽核和憑證。如需 FISMA 和 FedRAMP 的詳細資訊,請參閱 FedRAMP/FISMA:常見問題集

  • SAS 70 / SSAE16 評估

  • ISO 27001 認證

  • 歐盟示範條款

  • 歐盟安全港

  • HIPAA 業務關聯協議

  • FISMA/FedRAMP 操作授權

  • Microsoft 資料處理協議

  • PCI DSS 等級一

此外,請注意下列事項:

  • Gramm-Leach-Bliley Act 金融服務業現代化法案 (GLB)   GLB 針對美國金融機構制訂了最低的安全性和隱私規定。軟體或服務無法宣稱「符合 GLB 規範」,是因為符合 GLB 規範的條件還包括程序和原則。GLB 影響 Office 365 服務的兩大條例為:

    • 金融隱私規定   此條例規範金融機構對於客戶個人財務資訊的收集與披露。

    • 安全保護規定   此條例要求所有金融機構必須設計、落實以及維護安全保護機制,以保護客戶資訊,不論這些資訊由金融機構自行收集或從其他金融機構取得。

  • 支付卡產業資料安全標準 (PCI-DSS) 等級一   Office 365 用於處理信用卡資料的訂單、帳單和支付系統符合支付卡產業 (PCI) 等級一標準,客戶可以放心使用信用卡購買服務。獨立第三方會稽核並判斷支援 Office 365 的 Microsoft Online Commerce Platform (OCP) 是否符合 PCI-DSS 1.2 版。

  • PCI 規範資料   Office 365 服務不適合用來處理、傳輸或儲存 PCI 規範資料。PCI-DSS 是設計來保護和維護敏感資料在整個資料生命週期傳輸和儲存安全性的產業標準。支援信用卡和轉帳卡交易的組織至少在一定程度上必須符合 PCI 標準。

    受 PCI-DSS 影響,市場上有許多雜音紛擾。許多客戶表示他們組織內的所有資料均必須符合 PCI 認證和規範,而 Microsoft Online Services 也必須證明符合該項標準。雖然 Microsoft Online Services 確實必須符合標準來處理主帳號 (PAN) 資料,不過客戶不應使用 Office 365 服務來傳輸或儲存 PAN 資料供自身使用。

    註記注意事項:
    符合 PCI 標準的規定只適用於主帳號 (PAN) 在線上環境內傳輸或儲存的情況。為符合標準,PAN 資料必須在傳輸和儲存期間進行加密。此外還必須提供報告,證明此加密機制已成功保護 PAN 資料。因此,這項服務不適合作為未加密 PAN 資料的儲存媒介,公司應實施客戶端原則,防止將未加密 PAN 資料傳送到線上環境。客戶應自行判斷本身在內部和服務內是否有足夠的客戶端原則和控管能力,可強制執行 PAN 資料的加密及提供足夠的報告。

若要檢視跨 Office 365 規劃的功能可用性,請參閱 Office 365 平台服務說明

有關此主題的註解或問題?將您的意見反應傳送到 Office 365 服務說明意見反應。需要 Office 365 的說明嗎?請造訪 Microsoft 支援中心。想要與客戶服務人員交談?移至選取方案頁面,然後按一下頂端紅色橫幅中的 [立即聊天]

 
顯示: