Panoramica della gestione dei dati & della privacy
In che modo Microsoft affronta la privacy per i clienti?
Microsoft si impegna a proteggere i dati dei clienti come descritto nelle Condizioni del prodotto e nell'Addendum per la protezione dei dati (DPA). L'approccio di Microsoft alla privacy per i clienti commerciali si basa sui principi seguenti: controllare i dati, sapere dove si trovano i dati e come vengono usati, sicurezza dei dati inattivi e in transito e difendere i dati dall'accesso di terze parti.
In che modo Microsoft implementa i propri impegni in materia di privacy?
Microsoft rispetta i propri impegni in materia di privacy tramite l'Informativa sulla privacy aziendale di Microsoft e lo standard microsoft sulla privacy. Per garantire un'adozione coerente e conforme di questi requisiti, Microsoft ha istituito consigli di governance, consigli di amministrazione e comitati. Il nostro programma per la privacy usa un modello di governance "hub and spoke", in cui le responsabilità di conformità vengono condivise tra l'azienda. L'"hub" è il gruppo CELA (Corporate, External, and Legal Affairs), che include il Chief Privacy Officer, responsabile della governance della privacy. Inoltre, abbiamo un responsabile della protezione dei dati (DPO) dell'Unione europea (UE) designato per soddisfare i requisiti di privacy specifici dell'UE. Gli spoke sono all'interno dei gruppi tecnici e funzionali e sono responsabili dell'implementazione dei requisiti di privacy.
Microsoft soddisfa i propri requisiti di privacy tramite controlli e certificazioni di terze parti, ad esempio ISO 27018 e ISO 27701.
In che modo Microsoft raccoglie ed elabora i dati dei clienti?
Il DPA definisce tre categorie di dati: dati del cliente, dati personali e dati dei servizi professionali.
Microsoft elabora i dati di queste categorie per fornire prodotti e servizi in base alle istruzioni documentate dei clienti e per le operazioni aziendali. In poche parole, Microsoft elabora i dati per la distribuzione dei servizi, la risoluzione dei problemi, la manutenzione e il miglioramento. I dati non vengono utilizzati per la profilatura dell'utente, la pubblicità o la ricerca di mercato.
Le descrizioni dettagliate di queste attività sono disponibili nelle sezioni DPA "Elaborazione per fornire al cliente i prodotti e i servizi" e "Elaborazione dell'evento imprevisto delle operazioni aziendali per fornire i prodotti e i servizi al cliente".
In che modo Microsoft garantisce la riservatezza dei dati dei clienti?
Il modello di governance della privacy di Microsoft garantisce che i controlli della privacy proteggano la riservatezza dei dati dei clienti. Questi controlli sono descritti in dettaglio nei report di terze parti, ad esempio ISO 27001 e 27701, accessibili tramite service trust portal. Questi report riguardano, tra gli altri, i controlli sulla riduzione al minimo dei dati, la conservazione/eliminazione, la posizione e il trasferimento e la condivisione.
Alcune misure chiave da notare sono:
- Accesso ai dati: Microsoft presuppone che tutti i dati dei clienti includano dati personali e applichi misure di sicurezza appropriate senza accedere ai dati per verificarne il contenuto.
- Elaborazione dati: Microsoft pseudonimizza e aggrega i dati per proteggere la riservatezza. Per altri dettagli, vedere il DPA .
- Isolamento dei dati: Microsoft usa tecniche di isolamento dei dati per separare i tenant cloud, assicurando che i clienti possano accedere solo ai propri dati. Per informazioni sul modo in cui il contenuto del cliente è isolato o segregato, vedere l'articolo Panoramica dell'architettura . Inoltre, Microsoft proibisce l'uso dei dati dei clienti negli ambienti di test.
Cosa fa Microsoft per proteggere i dati dei clienti?
Come descritto nel DPA, Microsoft dispone di misure di sicurezza per proteggere i dati dei clienti. Diversi articoli di Service Assurance offrono una panoramica di queste misure di sicurezza. Fare riferimento a sezioni come Crittografia, Gestione accessi, Sicurezza di data center e di rete , Gestione del personale e dei fornitori e Gestione delle vulnerabilità.
In che modo Microsoft gestisce la condivisione dei dati di terze parti?
Per condivisione con terzi si intende la condivisione o la successiva divulgazione dei dati a terze parti. Microsoft condividerà i dati solo se autorizzati dal cliente o richiesti dalla legge applicabile. Microsoft non concede ad alcun governo (incluse le forze dell'ordine o altri enti governativi) l'accesso diretto o incondizionato ai dati dei clienti. Per altre informazioni, vedere il report sulle richieste delle forze dell'ordine e il rapporto sugli ordini di sicurezza nazionale degli Stati Uniti per informazioni su come Microsoft risponde alle richieste governative di accesso ai dati.
Microsoft usa subprocessori o subappaltatori?
Per informazioni sulla gestione dei fornitori da parte di Microsoft, vedere la pagina Gestione fornitori .
Chi ha accesso ai dati dei clienti all'interno di Microsoft?
Per informazioni su come Microsoft gestisce l'accesso ai dati dei clienti, vedere la pagina Gestione delle identità e degli accessi .
Dove si trovano i dati dei clienti?
Per Core Online Services, vedere i nostri impegni descritti nelle Condizioni del prodotto e nel DPA per trovare le informazioni più aggiornate sulla posizione dei dati dei clienti.
Come descritto nel DPA per i servizi online di base, Microsoft archivia i dati dei clienti inattivi in determinate aree geografiche principali (ognuna, un'area geografica) come indicato nelle Condizioni del prodotto. Per i servizi commerciali nell'ambito del limite dei dati dell'UE di Microsoft, Microsoft archivia ed elabora i dati dei clienti all'interno dell'Unione Europea, come indicato nelle Condizioni del prodotto. Microsoft non controlla né limita le aree da cui gli utenti finali del cliente o del cliente possono accedere o spostare i dati dei clienti.
Per altre informazioni, visitare Microsoft Privacy - Where is Your Data Located (Privacy Microsoft - Dove si trovano i dati).
Per i servizi di Azure e M365, visitare La residenza dei dati di Azure e le posizioni dei dati M365.
Altri percorsi dati dei servizi:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Defender per identità criteri per i dati personali
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Microsoft Professional Services
- Microsoft Threat Protection
Che cos'è il limite dei dati di Microsoft EU?
Il limite dei dati dell'UE è un impegno di Microsoft Online Services che offre ai clienti dell'UE e dell'EFTA un maggiore controllo e trasparenza sulla posizione in cui i dati vengono archiviati ed elaborati. A partire dal 1° gennaio 2023, Microsoft offrirà ai clienti la possibilità di archiviare ed elaborare i dati dei clienti entro il limite dei dati dell'UE per i servizi Microsoft 365, Azure, Power Platform e Dynamics 365. Con questa versione, Microsoft espande gli impegni esistenti in materia di archiviazione ed elaborazione locale, riducendo notevolmente i flussi di dati fuori dall'Europa e basandosi sulle soluzioni di residenza dei dati leader del settore.
Nelle prossime fasi del limite dei dati dell'UE, Microsoft espanderà la soluzione EU Data Boundary per includere l'archiviazione e il trattamento di altre categorie di dati personali, inclusi i dati forniti quando si riceve il supporto tecnico.
Per altre informazioni, vedere:
In che modo Microsoft elimina i dati dei clienti quando un cliente lascia il servizio?
Quando un cliente termina la sottoscrizione, Microsoft conserva i dati dei clienti in un account per funzioni limitate per 90 giorni, consentendo al cliente di estrarre i dati. Dopo questo periodo, Microsoft elimina i dati a meno che la conservazione non sia autorizzata o richiesta dalla legge. Non più di 180 giorni dopo la fine di una sottoscrizione, Microsoft disabilita l'account ed elimina tutti i dati, rendendoli irrecuperabili.
Microsoft elimina anche i dati personali nei log generati dal sistema. Per qualsiasi abbonamento, un sottoscrittore può contattare il Supporto tecnico Microsoft e richiedere il deprovisioning rapido della sottoscrizione. Quando un cliente usa questo processo, tutti i dati utente vengono eliminati 3 giorni dopo che l'amministratore immette il codice di blocco fornito da Microsoft. Questa eliminazione include i dati in SharePoint Online e Exchange Online in attesa o archiviati in cassette postali inattive.
Microsoft segue le linee guida NIST SP-800-88 per la distruzione dei dispositivi che sono in grado di contenere dati, come descritto nell'articolo Distruzione dei dispositivi contenenti dati .
Microsoft fornisce indicazioni ai clienti sulla conformità al GDPR?
Microsoft gestisce la documentazione sussidiaria per assistere i clienti nel loro ruolo di titolare del trattamento dei dati. Alcune risorse principali del GDPR da notare sono disponibili di seguito; tuttavia, i clienti devono consultare i propri professionisti legali e di conformità per comprendere e attuare i propri obblighi GDPR.
- Panoramica del regolamento generale sulla protezione dei dati
- Analisi dell'impatto sulla protezione dei dati
- Richieste degli interessati
- Notifica di violazione
- Data Protection Impact Assessment (DPIA)
Normative esterne correlate & certificazioni
I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli correlati alla privacy, vedere la tabella seguente.
Azure e Dynamics 365
Controlli esterni | Sezione | Data report più recente |
---|---|---|
ISO 27018 Dichiarazione di applicabilità Certificato |
A-2.1: Scopo del processore di informazioni personali del cloud pubblico | 8 aprile 2024 |
ISO 27701 Dichiarazione di applicabilità Certificato |
Tutti i controlli | 8 aprile 2024 |
SOC 1 | DS-15: Risoluzione/scadenza della sottoscrizione del cliente SDL-1: metodologia del ciclo di vita dello sviluppo della sicurezza (SDL) LA-4: Protezione dei dati riservati dei clienti |
16 agosto 2024 |
SOC 2 SOC 3 |
DS-15: Risoluzione/scadenza della sottoscrizione del cliente SDL-1: metodologia del ciclo di vita dello sviluppo della sicurezza (SDL) LA-4: Protezione dei dati riservati dei clienti SOC2-1: Classificazione degli asset SOC2-7: Obblighi di riservatezza e sicurezza pubblicati |
20 maggio 2024 |
Microsoft 365
Controlli esterni | Sezione | Data report più recente |
---|---|---|
ISO 27018 Dichiarazione di applicabilità Certificato |
A-2.1: Scopo del processore di informazioni personali del cloud pubblico | Marzo 2024 |
ISO 27701 Dichiarazione di applicabilità Certificato |
Tutti i controlli | Marzo 2024 |
SOC 2 | CA-12: Contratti di servizio CA-17: Criteri di sicurezza Microsoft CA-25: Aggiornamenti del framework di controllo |
23 gennaio 2024 |
Risorse
- Centro protezione Microsoft: Principi sulla privacy: Principi di privacy
- Conformità ai requisiti di trasferimento dell'UE per i dati personali in Microsoft Cloud
- Informazioni sulla privacy e sulla protezione dei dati di Microsoft Professional Services
- Domande frequenti sulla valutazione dell'impatto sul trasferimento dei dati
- Data Residency, sovranità dei dati e conformità nel cloud Microsoft