Microsofts skyplattform er etablert og driftet med meget stort fokus på sikkerhet. Dataene er sikret på mange nivåer både fysisk og i den digitale sfæren. Kunden eier sine egne data og har full kontroll på dem, inkludert hvor disse er lagret. Dataene i Microsofts skytjenester ment for det Europeiske markedet er lagret i Europa, i to datasentre henholdsvis i Irland og Nederland. Data lagres i Irland, med backup og «reserve» i Nederland. Microsoft lagrer ikke data utenfor regionen, heller ikke i USA. Amerikanske myndigheter har ikke tilgang til dataene som er lagret utenfor egne landegrenser, og må gå gjennom det enkelte lands rettssystem for eventuelt å få innsyn i dataene.
Dette er spesielt viktig for kunder i strengt regulerte bransjer eller i land med strenge databeskyttelseslover. Norge er et slikt land og blir i tillegg underlagt kravene i GDPR direktivet. Microsofts skytjenester tilfredsstiller kravene til informasjonssikkerhet for å lagre og behandle personopplysninger, også det som kan betraktes som sensitive. Microsoft har en generell databehandleravtale som tilfredsstiller norske myndigheters krav og GDPR.
Sikkerheten er godt dokumentert gjennom en omfattende sertifisering av tjenestene. Kravet til revisjon av sikkerhet er ivaretatt ved at 3.dje part foretar sertifisering. Det at persondataene ikke er lagret på norsk jord er ikke et problem med hensyn på myndighetenes krav.
Slik beskyttes dine data i Microsofts skytjenester:
Fysisk sikring: Datasentrene i Irland og Nederland er meget godt sikret med flere lag, og et meget begrenset antall personer har fysisk tilgang. Avanserte alarmsystemer og video-overvåkning hindrer uvedkommende adgang. De som har fysisk tilgang må autentisere seg med biometriske data, og har ikke tilgang til data lagret på servere.
Kryptering av data både når de er lagret i datasentrene, og når de er under transport til brukere, og mellom datasentrene i Irland og i Nederland.
Tilgang for Microsofts personell eller system til kundedata: (Inside-trussel): Microsofts personell har ikke tilgang til kundedata under normal drift, og har heller ikke behov for det. Ved de meget sjeldne gangene en teknikker trenger adgang til kundedata for feilsøking for en kunde, må en leder i Microsoft gi tilgang. Dette begrenser Microsoft-ansattes tilgang til dine data. Microsoft analyserer ikke data for å bruke dette i markedsføring på noen måte (Datamining).
Backup: Microsoft tar backup av dine data.
Tilgang: Azure Ad styrer tilgang og kan settes opp med 2 faktor autentisering for utvalgte brukere (Administratorer). Man kan ha 2 faktor-autentisering utenfor kontoret. Det stilles også krav til brukerens passord.
Overvåkning: Kundens administrator blir varslet ved mistenkelig aktivitet.
Tap av data ved sletting: Dette er håndtert gjennom tilgjengelige tjenester i Office 365.
Data på avveie: Egne brukere forhindres fra å sende sensitive data ut av organisasjonen ved klassifisering og policies.
Katastrofeberedskap: Håndtert gjennom 2 datasentre i 2 ulike land. Redundans og eget backupregime.
