Condividi tramite


Code of Practice per la protezione dei dati personali nel cloud ISO/IEC 27018

Panoramica di ISO/IEC 27018

International Organization for Standardization (ISO) è un'organizzazione non governativa indipendente nonché il più grande sviluppatore al mondo di standard internazionali volontari. La famiglia di standard ISO/IEC 27000 aiuta le organizzazioni di ogni tipo e dimensione a mantenere protette le risorse di informazioni.

Nel 2014, ISO ha adottato ISO/IEC 27018:2014, un addendum a ISO/IEC 27001, il primo Code of Practice internazionale per la privacy nel cloud. Basato sulle leggi per la protezione dei dati dell'Unione Europea, fornisce linee guida specifiche ai provider di servizi cloud (CSP) che elaborano informazioni personali (PII) per la valutazione dei rischi e per l'implementazione di controlli all'avanguardia per proteggere tali informazioni.

Microsoft e ISO/IEC 27018

Almeno una volta all'anno, Microsoft Azure e Azure Germania vengono controllati per la conformità con ISO/IEC 27001 e ISO/IEC 27018 da un organismo di certificazione di terze parti accreditato. Questo controllo fornisce la convalida indipendente che i controlli di sicurezza applicabili sono in atto e funzionano in modo efficace. Come parte del processo di verifica della conformità, gli auditor accertano nella loro dichiarazione di applicabilità che i servizi cloud e i servizi di supporto tecnico commerciali Microsoft che rientrano nell'ambito includono i controlli ISO/IEC 27018 per la protezione delle informazioni personali presenti in Azure. Per mantenere la conformità, i servizi cloud Microsoft devono essere soggetti a revisioni annuali di terze parti.

Seguendo gli standard ISO/IEC 27001 e il codice di condotta incorporato in ISO/IEC 27018, Microsoft dimostra che le sue politiche e procedure sulla privacy sono solide e in linea con i suoi standard elevati.

  • I clienti dei servizi cloud Microsoft sanno dove sono archiviati i loro dati. Poiché ISO/IEC 27018 richiede che i CSP comunichino ai clienti i paesi in cui i loro dati possono essere archiviati, i clienti dei servizi cloud Microsoft hanno la visibilità necessaria per l'adeguamento a qualsiasi regola applicabile di sicurezza delle informazioni.
  • I dati dei clienti non verranno usati per scopi di marketing o pubblicitari senza il consenso esplicito. Alcuni CSP usano i dati dei clienti per propri scopi commerciali, inclusa la pubblicità mirata. Poiché Microsoft ha adottato ISO/IEC 27018 per i servizi cloud aziendali nell'ambito, i clienti possono essere certi che i loro dati non verranno mai usati per tali scopi senza il consenso esplicito e che il consenso non può essere una condizione per l'uso del servizio cloud.
  • I clienti Microsoft sanno cosa accade alle informazioni personali. ISO/IEC 27018 richiede criteri che consentano la restituzione, il trasferimento e l'eliminazione sicura delle informazioni personali entro un periodo di tempo ragionevole. Se Microsoft collabora con altre società che necessitano di accedere ai dati dei clienti, comunicherà preventivamente le identità di tali responsabili secondari del trattamento.
  • Microsoft ottempera esclusivamente alle richieste di divulgazione dei dati dei clienti legalmente vincolanti. Se Microsoft deve conformarsi a tale richiesta (come nel caso di un'indagine penale), informerà sempre il cliente, a meno che non sia vietato dalla legge.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure, Azure per enti pubblici e Azure Germania
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 e Dynamics 365 Germany
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Professional Services: premier e locale per Azure, Dynamics 365, Intune e per le medie e grandi imprese clienti di Microsoft 365 per le aziende
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Microsoft Threat Experts
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
  • Office 365 Germany
  • Mapping dei servizi OMS
  • Power Automate (in precedenza Microsoft Flow): servizio cloud autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
  • Servizio cloud PowerApps: autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
  • Servizio cloud Power BI: autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender per endpoint: Rilevamento e reazione dagli endpoint, Analisi e risoluzione automatiche, Secure Score
  • Windows 365

Azure, Dynamics 365 e ISO ISO/IEC 27018

Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure ISO/IEC 27018.

Office 365 e ISO ISO/IEC 27018

Ambienti di Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Access Online, Microsoft Entra ID, Servizio comunicazioni di Azure, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, componente aggiuntivo Conformità avanzata di Office 365, Portale clienti di Office 365, Microservizi di Office 365 (inclusi, a titolo esemplificativo, Kaizala, ObjectStore, Sway, Servizio documenti di PowerPoint Online, Servizio di annotazione query, Sincronizzazione dati dell'istituto di istruzione, Siphon, Voce, StaffHub, programma applicazioni eXtensible), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Infrastruttura di Office Services, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Crittografia dei servizi con Chiave cliente Microsoft Purview, SharePoint Online, Skype per le aziende, Stream
GCC ID Microsoft Entra, Servizio comunicazioni di Azure, Compliance Manager, Delve, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, componente aggiuntivo Conformità avanzata di Office 365, Centro conformità di Office 365 Security &, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High ID Microsoft Entra, Servizio comunicazioni di Azure, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, componente aggiuntivo Conformità avanzata di Office 365, Centro conformità & sicurezza di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD ID Microsoft Entra, Servizio comunicazioni di Azure, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, componente aggiuntivo Conformità avanzata di Office 365, Centro conformità & sicurezza di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Controlli, report e certificati di Office 365

I servizi cloud e i servizi di supporto tecnico commerciali Microsoft vengono controllati una volta all'anno per verificare l'adeguamento al Code of Practice ISO/IEC 27018 come parte del processo di certificazione per ISO/IEC 27001.

Domande frequenti

A chi si applica ISO/IEC 27018?

Questo Code of Practice si applica ai provider di servizi cloud che elaborano per contratto informazioni personali per altre organizzazioni. In Microsoft si applica anche al supporto dei provider di servizi cloud.

Qual è la differenza tra "titolari del trattamento delle informazioni personali" e "responsabili del trattamento delle informazioni personali"?

Nel contesto di ISO/IEC 27018:

  • I "controller" controllano la raccolta, la conservazione, l'elaborazione o l'uso di informazioni personali; includono le parti che lo controllano per conto di un'altra società.
  • "Processori" elaborano le informazioni per conto dei titolari del trattamento; non prendono decisioni su come usare le informazioni o gli scopi del trattamento. Microsoft, come fornitore di servizi cloud aziendali ai propri clienti, è un responsabile del trattamento delle informazioni personali.

Dove posso consultare le informazioni sulla conformità di Office 365 agli standard ISO/IEC 27018?

  • È possibile esaminare i certificati ISO/IEC 27018 di BSI (il revisore indipendente che ha convalidato la conformità Microsoft con ISO/IEC 27018) per Office 365.

Posso usare la conformità di Microsoft nel processo di certificazione della mia organizzazione?

Sì. Se la conformità agli standard ISO/IEC 27018 è importante per l'azienda e per le implementazioni distribuite in qualsiasi servizio cloud aziendale Microsoft rientrante nell'ambito, è possibile usare l'attestazione di conformità di Microsoft con ISO/IEC 27018, con la certificazione Microsoft per ISO/IEC 27001, nella propria valutazione della conformità.

Tuttavia, è responsabilità dell'utente coinvolgere un valutatore per valutare l'implementazione per la conformità e per i controlli e i processi all'interno della propria organizzazione.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse