IT revizorji revizijske in svetovalne hiše KPMG so s pregledom dokumentov, testiranjem delovanja storitev v testnem okolju in intervjuji ugotovili, da Microsoftove storitve v računalniškem oblaku Office 365 upoštevajo zahteve slovenskega Zakona o varovanju osebnih podatkov. Prav tako je Microsoft certificiral sistem upravljanja varovanja informacij po mednarodnem standardu ISO/IEC 27001:2005 in zunanji instituciji omogočil pregled informacijske varnosti po revizorskih standardih SAS70 Type II. Office 365 na nivoju EU dosega skladnost s Standardnimi pogodbenimi klavzulami (EU model clausses), ki veljajo kot eno najstrožjih načel Evropske Komisije za področje izvoza in obdelave podatkov izven meja Slovenije. IT revizijo, ki je bila opravljena med 29. februarjem in 22. marcem 2012, je pri družbi KPMG poslovno svetovanje naročila slovenska podružnica Microsofta.
Najpomembnejše ugotovitve:
• Microsoftova enota Global Foundation Services Division, ki podpira delovanje spletnih storitev Office 365, je aktivno certificirana po standardu ISO/IEC 27001:2005 (številka certifikata: IS 533913).
• Omenjena Microsoftova enota je bila že junija 2011 pregledana tudi s strani zunanje institucije, ki je izdala poročilo po standardih GFS SAS Type II. V okviru tega pregleda je zunanja institucija preverila Microsoftov program informacijske varnosti, upravljanje s sredstvi in storitve varovanja podatkov, storitve podatkovnega centra, dostopne kontrole in upravljanje s spremembami.
• Storitve Office 365 upoštevajo Zakon o varstvu osebnih podatkov in evropskih določil o prenosu osebnih podatkov obdelovalcev s sedežem v tretjih državah.
Varen pristan
Microsoft shranjuje podatke uporabnikov storitev Office 365 iz Evropske unije v dveh podatkovnih centrih v Dublinu in Amsterdamu. V primeru potrebe po zagotavljanju večje razpoložljivosti storitev se lahko podatki prenesejo tudi v Združene države Amerike, pri čemer pa Microsoft zagotavlja izpolnjevanje evropskih določilih Varnega pristana (Safe Harbor), kar je certificirala tudi družba eTrust.
Zaradi izpolnjevanja določil Varnega pristana uporabnikom storitev Office 365 ni treba pridobiti posebnega dovoljenja informacijskega pooblaščenca, ki je sicer potrebno pri uporabi storitev, kjer lahko pride do prenosa podatkov v tretje države. Informacijski pooblaščenec je namreč leta 2010 odločil (odločba), da Združene države Amerike zagotavljajo ustrezno raven varstva osebnih podatkov v delu, ko gre za iznos osebnih podatkov organizacijam, ki delujejo po načelih Varnega pristana.
