Windows Azure Gizlilik
Gizlilik, Microsoft’un Güvenli Bilgi İşlem girişiminin temellerinden birisidir. Microsoft, ürün ve hizmet döngüsünün tümleşik bir parçası olan gizlilik konusunda çalışmalarını uzun süredir devam ettirmektedir. Gizlilikle ilgili uygulamalarında saydam olmaya çalışıyor, müşterilerine anlamlı gizlilik seçenekleri sunuyor ve depoladığı verileri sorumluluk duygusuyla yönetiyor.
Microsoft Gizlilik İlkeleri, özel gizlilik bildirimleri ve dahili gizlilik standartları Müşteri Verilerini nasıl topladığı, kullandığı ve koruduğunu belirliyor. Bulut gizliliğiyle ilgili genel bilgiler Microsoft Gizlilik Web sitesinden edinilebilir. Ayrıca, Microsoft’un bulut bilgi işlem alanında gizliliği nasıl ele aldığını açıklamak için Bulutta Gizlilik başlıklı bir tanıtım belgesi de yayınlanmıştır.
Windows Azure Gizlilik Bildirimi, Windows Azure’un müşteriler tarafından kullanımına ilişkin özel gizlilik ilkesini ve uygulamalarını açıklamaktadır.
Müşteri Verilerinin Konumu
Microsoft şu anda Windows Azure’u dünyanın çeşitli yerlerindeki veri merkezlerinde işletmektedir.
-
Müşteriler, Müşteri Verilerinin depolanacağı Microsoft veri merkezlerinin coğrafi konumlarını belirtebilir. Hizmetin kullanılabildiği bölgeler aşağıda gösterilmektedir. Hizmetin kullanılabildiği alt bölgeleri ayrı ayrı görmek için: Windows Azure Hizmet Panosu.
ANA BÖLGE ALT BÖLGE Asya Doğu (Hong Kong)
Güneydoğu (Singapur)Avrupa Kuzey (İrlanda)
Batı (Hollanda)ABD Kuzey Orta (Illinois)
Güney Orta (Teksas)
Doğu (Virginia)
Batı (Kaliforniya) - Microsoft, Müşteri Verilerinin yerini veri artıklılığı veya başka amaçlarla ana coğrafi bölge içinde (örneğin, Avrupa) aktarabilir. Örneğin, ana veri merkezinde önemli bir olağanüstü durum yaşanması olasılığına karşı veri dayanıklılığını artırmak için Windows Azure, Blob ve Tablo verilerini aynı ana bölge içindeki iki alt bölge arasında çoğaltır.
-
Microsoft, Müşteri Verilerini müşterinin belirlediği ana coğrafi bölgeler (örneğin, Avrupa’dan ABD’ye veya ABD’den Asya’ya) dışında Microsoft’un müşteri desteği sağlaması, hizmet sorunlarını gidermesi veya yasal gereksinimlere uyma gibi durumlar ya da müşterinin hesabı Müşteri Verilerinin böyle aktarılmasına izin verecek şekilde yapılandırması gibi aşağıdakilerin kullanımının da dahil olduğu durumlar haricinde aktarmaz:
- Global Caching hizmeti sunan İçerik Dağıtım Ağı (CDN) gibi bölgesel seçimi etkinleştirmeyen özellikler;
- Uygulama bölgesine bakılmaksızın ABD’ye yazılım uygulama paketleri yedekleyen Web ve Çalışan Rolleri;
- Uygulama bölgesine bakılmaksızın ABD’de Müşteri Verileri’ni depolayabilen veya aktarabilen önizleme, beta sürümü veya diğer yayın öncesi sürüm özellikleri:
- Avrupalı müşteriler için Müşteri Verilerini Amerika Birleşik Devletleri’ne veya Asyalı müşteriler için ABD ya da Avrupa’ya aktarabilecek olan Windows Azure Active Directory (Erişim Denetimi hariç);
- Microsoft, müşterilerin veya son kullanıcılarının Müşteri Verilerine erişebileceği bölgeleri denetlememekte ve sınırlamamaktadır.
AB Veri Koruma Yönergesi
AB Veri Koruma Yönergesi (95/46/EC), Avrupa Birliği’nde kişisel verilerin işlenmesiyle ilgili bir ana çizgi çizmektedir. AB’de, ABD’ye veya çoğu diğer ülkeye göre daha sıkı gizlilik kuralları uygulanmaktadır. Uluslararası iş etkinliklerinin gerektirdiği sürekli bilgi akışına (kişisel verilerin sınır aşırı aktarılması dahil) olanak tanımak için, Avrupa Komisyonu ABD Ticaret Bakanlığı ile, ABD kurumlarının Güvenli Liman Çerçevesi‘ne uyduklarını kendi kendilerine onaylamalarına olanak tanıyan bir anlaşma yapmıştır. Microsoft (bu bakımdan, ABD’deki tüm yan kuruluşlarımız dahil olmak üzere), ABD Ticaret Bakanlığı nezdinde Güvenli Liman onaylıdır . AB Üye Devletlerine ek olarak, Avrupa Ekonomik Alanı üyeleri (İzlanda, Liechtenstein ve Norveç) de Güvenli Liman programı kapsamında onaylanmış olan organizasyonların, kendi ülkelerinden ABD’ye sınır aşırı aktarımları yapmalarına doğrulamak üzere yeterli gizlilik koruması sağladıklarını kabul etmektedirler. İsviçre, İsviçre’den Microsoft’un da onaylı olduğu ABD’ye aktarımları yasallaştırmak için, ABD Ticaret Bakanlığı ile yaklaşık olarak özdeş bir anlaşma (“İsviçre-ABD Güvenli Liman”) yapmıştır.
Güvenli Liman onayı, AB kişisel verilerinin AB dışında işlenmek üzere Microsoft’a aktarılmasına olanak tanır. AB Veri Koruma Yönergesi ve karşılıklı anlaşmamız kapsamında, Microsoft veri işleyicisi olarak davranırken, müşteri ise verilerin nihai sahibi olarak veri denetleyicisidir ve verilerin Microsoft’a yasalara uygun olarak aktarılmasını sağlamaktan sorumludur. Microsoft’un AB Müşteri Verilerini AB Dışına yalnızca çok sınırlı koşullarda aktaracağını belirtmek önemlidir. Ayrıntılar için Verilerin Konumu bölümüne bakın.
Microsoft ayrıca, toplu lisans müşterilerine sözleşmeye dayalı ek taahhütler de sunmaktadır:
- AB Veri Koruma Yönergesi’ne ve ISO/IEC 27001:2005 kapsamında Windows Azure çekirdek özelliklerine ilişkin gereksinimlere uygunluğumuzu ayrıntılandıran bir Veri İşleme Anlaşması.
-
ISO/IEC 27001:2005 kapsamında Windows Azure çekirdek özelliklerine ilişkin kişisel verilerin aktarılmasıyla ilgili sözleşmeye dayalı ek garantiler sağlayan AB Model Sözleşme Maddeleri.
Müşteri Verileri ve Diğer Veri Türleri
- Müşteri Verileri, Hizmetleri kullanımınızda sağladığınız veya sizin adınıza sağlanan metinler, sesler, yazılımlar veya görüntü dosyaları dahil tüm verilerdir. Örneğin Müşteri Verileri, Hizmetlerde depolama veya işleme için yüklediğiniz verileri ve Hizmetlerde barındırılması için sizin veya son kullanıcılarınızın yüklediği uygulamaları içermektedir. Yapılandırma ve teknik ayarlarla bilgileri içermez.
- Yönetici Verileri Hizmetler ile ilgili kaydolma, satın alma veya yönetim işlemleri sırasında ad, adres, telefon numarası ve e-posta adresi gibi yöneticilerle ilgili (hesap ilgili kişisi ve abonelik yöneticileri dahil) sağlanan bilgilerdir.
- Metaveriler, yapılandırma ve teknik ayarlarla bilgileri içerir. Örneğin, bir Windows Azure Sanal Makinesi veya Windows Azure SQL Veritabanı için bir veritabanı tasarımının disk yapılandırma ayarlarını içerir.
-
Erişim Denetimi Verileri, Windows Azure içerisindeki diğer veri türlerine veya işlevlerine olan erişimi yönetmek için kullanılır. Buna parolalar, güvenlik sertifikaları ve diğer kimlik doğrulamayla ilgili veriler dahildir.