Continuazione dei trasferimenti di dati che si applicano a tutti i servizi di gestione dei dati dell'UE

Esistono scenari in cui Microsoft continuerà a trasferire i dati al di fuori del limite dei dati dell'UE per soddisfare i requisiti operativi del servizio cloud, in cui i dati archiviati nel limite dei dati dell'UE saranno accessibili in remoto da parte di personale esterno al limite dei dati dell'Unione Europea e in cui l'uso da parte di un cliente dei servizi limite dati dell'UE comporterà il trasferimento dei dati al di fuori del limite dei dati dell'Ue per ottenere i risultati desiderati del cliente. Microsoft garantisce che i Dati del cliente, i dati personali con pseudonimi e i trasferimenti di dati dei servizi professionali al di fuori del limite dei dati dell'Ue siano protetti dalle misure di sicurezza dettagliate nei contratti di servizi e nella documentazione del prodotto.

Accesso remoto ai dati archiviati ed elaborati nel limite dei dati dell'Ue

I servizi cloud Microsoft sono costruiti, gestiti, mantenuti sicuri e gestiti da team esperti di tutto il mondo per offrire ai clienti il massimo livello di qualità del servizio, supporto, sicurezza e affidabilità. Questo modello (noto come modello Microsoft DevOps) riunisce sviluppatori e personale operativo che lavorano insieme per creare, mantenere e fornire continuamente i servizi. In questa sezione viene descritto in che modo Microsoft riduce al minimo l'accesso remoto ai Dati dei clienti, i dati personali con pseudonimi e i dati dei servizi professionali e limita tale accesso quando necessario.

Microsoft utilizza un approccio multistrato per proteggere i Dati dei clienti, i dati personali con pseudonimi e i Dati dei servizi professionali dall'accesso non autorizzato da parte di personale Microsoft, che è composto sia dai dipendenti di Microsoft che delle relative filiali e dal personale a contratto di organizzazioni di terze parti che assiste i dipendenti Microsoft. Per accedere ai Dati del cliente, ai dati personali con pseudonimi o ai Dati dei servizi professionali, il personale Microsoft deve disporre di un controllo in background del file in regola, oltre a utilizzare l'autenticazione a più fattori nell'ambito dei requisiti di sicurezza standard Microsoft.

Quando il personale Microsoft deve accedere ai Dati dei clienti, ai dati personali con pseudonimi o ai dati dei servizi professionali archiviati nei sistemi Microsoft all'interno del limite dei dati dell'UE dall'esterno del limite (considerato un trasferimento dei dati ai sensi della legge sulla privacy europea, anche se i dati rimangono all'interno dell'infrastruttura dei data center Microsoft nel limite dell'UE), Microsoft si basa su una tecnologia che garantisce la sicurezza di questo tipo di trasferimento. con accesso controllato e nessuna memoria permanente al punto di accesso remoto. Quando è richiesto il trasferimento di tali dati, Microsoft utilizza la crittografia all'avanguardia per proteggere i Dati dei clienti, i dati personali con pseudonimi e i Dati dei servizi professionali archiviati e in transito. Per altre informazioni, vedere Panoramica sulla crittografia e la gestione delle chiavi.

Come Microsoft protegge i dati dei clienti

Progettiamo i nostri servizi e processi per massimizzare la capacità del personale DevOps di gestire i servizi senza richiedere l'accesso ai Dati dei clienti, impiegando strumenti automatizzati per identificare e riparare i problemi. In rari casi in cui un servizio è in stato di fermo o ha bisogno di una riparazione che non può essere effettuata con strumenti automatizzati, il personale Microsoft autorizzato può richiedere l'accesso remoto ai dati archiviati nel limite dei dati dell'Unione Europea, inclusi i Dati del cliente. Non esiste alcun accesso predefinito ai Dati dei clienti; l'accesso viene fornito al personale Microsoft solo quando un'attività lo richiede. L'accesso ai Dati del cliente deve essere destinato a uno scopo appropriato, deve essere limitato alla quantità e al tipo di Dati del cliente necessari per raggiungere lo scopo appropriato e nei casi in cui lo scopo può essere raggiunto solo attraverso questo livello di accesso. Microsoft utilizza le approvazioni di accesso just-in-time (JIT) che vengono concesse solo per il tempo necessario per raggiungere tale scopo. Microsoft si basa inoltre sul controllo degli accessi basato sui ruoli, in cui l'accesso individuale è soggetto a requisiti rigorosi, come il principio della necessità di sapere, la formazione continua obbligatoria e la supervisione da parte di uno o più responsabili.

Il personale Microsoft che ha accesso ai Dati del cliente opera da workstation di amministrazione sicure. I SAW sono computer con funzioni limitate che riducono il rischio di compromissione da malware, attacchi di phishing, siti Web falsi e attacchi pass-the-hash (PtH), tra gli altri rischi per la sicurezza, e sono abilitati con contromisure volte a rendere difficile l'esfiltrazione dei dati. Ad esempio, il personale Microsoft che lavora su SAW ha limitato l'accesso a Internet su tali dispositivi e non è in grado di accedere a supporti esterni o rimovibili perché tali funzionalità sono bloccate nell'implementazione SAW. Nel 2022, 2020 e 2019, il programma Per l'ambiente ad alto rischio e Microsoft SAW ha ricevuto premi CSO50 da csoonline.com.

Oltre ai controlli descritti in precedenza, i clienti possono stabilire controlli di accesso aggiuntivi per molti servizi cloud Microsoft abilitando Customer Lockbox. L'implementazione della funzionalità Customer Lockbox varia leggermente in base al servizio, ma Customer Lockbox in genere garantisce che il personale Microsoft non possa accedere ai dati dei clienti per eseguire operazioni di servizio senza l'approvazione esplicita del cliente. Vedi Microsoft Purview Customer Lockbox, Customer Lockbox per Microsoft Azure e Accedi in modo sicuro ai dati dei clienti tramite Customer Lockbox in Power Platform e Dynamics 365 per esempi di Customer Lockbox in azione.

L'accesso ai dati dei clienti viene registrato e monitorato anche da Microsoft. Microsoft esegue controlli regolari per verificare che le misure di gestione dell'accesso funzionino in conformità con i requisiti dei criteri, inclusi gli impegni contrattuali di Microsoft.

In che modo Microsoft protegge i dati personali con pseudonimi nei log generati dal sistema

Attualmente, per accedere ai dati personali con pseudonimi archiviati nel limite dei dati dell'UE, il personale Microsoft può utilizzare un'infrastruttura SAW o VDI (Virtual Desktop Infrastructure). Le misure di sicurezza specifiche per SAW descritte nella sezione precedente si applicano anche quando si utilizza una SAW per accedere a dati personali con pseudonimi. Quando si utilizza un VDI per accedere a dati personali con pseudonimi nel limite dei dati dell'Unione Europea, Microsoft impone limitazioni di accesso per fornire un ambiente sicuro per l'accesso ai dati. Come per le SAW, l'elenco delle utilità consentite sui VDI sono limitati e sono soggetti a rigorosi test di sicurezza prima di essere certificati per l'esecuzione su VDIs. Quando viene utilizzato un VDI, i dati personali con pseudonimi nel limite dei dati dell'UE sono accessibili tramite macchine virtuali ospitate su una macchina fisica situata nel limite dei dati dell'UE e nessun dato persiste al di fuori del limite di dati dell'UE.

In base ai nostri criteri standard, i trasferimenti in blocco di dati al di fuori del limite dei dati dell'UE sono vietati e gli utenti VDI possono accedere solo alle destinazioni URL preapprovate. Inoltre, il personale Microsoft che utilizza l'ambiente VDI non ha accesso amministrativo ai computer fisici situati nel limite dei dati dell'UE.

Per ulteriori informazioni sulle tecnologie usate per proteggere i Dati dei clienti e i dati personali con pseudonimi, vedere le risorse seguenti:

• Utilizzo di macchine virtuali schermate per proteggere le risorse ad alto valore
• Quattro procedure operative che Microsoft usa per proteggere la piattaforma Azure
• Controllo degli accessi del tecnico del servizio Microsoft 365
• Che cos'è VDI (Virtual Desktop Infrastructure)?

Come Microsoft protegge i dati dei servizi professionali

L'accesso ai dati dei servizi professionali da parte del personale Microsoft durante un impegno di supporto dei Servizi online è limitato ai sistemi di gestione del supporto approvati che utilizzano i controlli di sicurezza e autenticazione, inclusa l'autenticazione a due fattori e gli ambienti virtualizzati, se necessario. Quando si accede ai dati dei servizi professionali all'interno del limite di dati dell'Unione Europea, il personale Microsoft utilizza un SAW o VDI. Le misure di sicurezza specifiche per SAW e specifiche per VDI descritte nelle sezioni precedenti si applicano anche quando si utilizza un SAW o un VDI per accedere ai dati dei servizi professionali all'interno del limite di dati dell'UE. Il personale Microsoft può accedere ai dati dei servizi professionali associati a uno specifico impegno di supporto solo fornendo la motivazione aziendale necessaria e ottenendo l'approvazione del responsabile. I dati vengono crittografati sia in transito che inattivi.

Trasferimenti di dati avviati dal cliente

Trasferisce i clienti avviati come parte delle funzionalità del servizio

Il limite dei dati dell'Ue non ha lo scopo di interferire con o limitare i risultati del servizio previsti dai clienti quando utilizzano i servizi Microsoft. Pertanto, se un amministratore o un utente del cliente esegue un'azione nei servizi che avviano un trasferimento di dati al di fuori del limite dei dati dell'UE, Microsoft non limita tali trasferimenti avviati dal cliente. ciò sconvolgerebbe le normali operazioni aziendali per i clienti. I trasferimenti di dati avviati dall'utente al di fuori del limite dei dati dell'UE possono avvenire per diversi motivi, ad esempio:

• Un utente accede ai dati archiviati all'interno del limite dei dati dell'Ue o interagisce con un servizio mentre è al di fuori dell'area dei confini dei dati dell'UE.
• Un utente sceglie di comunicare con altri utenti che si trovano fisicamente al di fuori del limite di dati dell'UE. Gli esempi includono l'invio di un messaggio e-mail o SMS, l'avvio di una chat o di una comunicazione vocale di Teams, ad esempio una chiamata PSTN (Public Switched Telephone Network), la segreteria telefonica, le riunioni tra aree geografiche e così via.
• Un utente configura un servizio per spostare i dati al di fuori del limite dei dati dell'UE.
• Un utente sceglie di combinare i Servizi di confine dei dati dell'UE con altre offerte o esperienze connesse di Microsoft o di terze parti soggette a condizioni distinte da quelle applicabili ai servizi per i limiti dei dati dell'UE (ad esempio utilizzando un'esperienza facoltativa supportata da Bing disponibile tramite le Applicazioni Microsoft 365 o usando un connettore disponibile per sincronizzare i dati da un servizio limite dati dell'UE a un account che l'utente potrebbe avere con un provider diverso da Microsoft).
• Un amministratore del cliente sceglie di connettere i Servizi limite dati dell'UE ad altri servizi offerti da Microsoft o da terze parti, in cui tali altri servizi sono soggetti a condizioni distinte da quelle applicabili ai Servizi limite dati dell'UE (ad esempio configurando un servizio limiti dati DELL'UE per l'invio di query a Bing o stabilendo una connessione tra un servizio limiti dati dell'Ue e un servizio ospitato presso un provider diverso da Microsoft con il cliente ha anche un account).
• Un utente acquisisce e utilizza un'app da un app store presentato all'interno di un servizio di gestione dei dati dell'Unione Europea (ad esempio Teams Store), in cui l'app è soggetta a condizioni diverse da quelle applicabili al servizio limiti dati DELL'UE, ad esempio il contratto di licenza dell'utente finale del provider dell'app.
• Un'organizzazione richiede o sottoscrive una sottoscrizione ai servizi di sicurezza professionale, in cui Microsoft agisce in una capacità del centro operativo di sicurezza remota o esegue analisi forensi per conto e come parte del gruppo di sicurezza dell'organizzazione.

Assolvimento delle richieste di diritti degli interessati in base al GDPR in tutto il mondo

Microsoft ha implementato sistemi per consentire ai clienti di rispondere alle richieste di diritti degli interessati ai sensi del Regolamento generale sulla protezione dei dati (GDPR) (ad esempio, eliminare i dati personali in risposta a una richiesta ai sensi dell'articolo 17 del GDPR) come stabilito dai clienti e questi sistemi sono disponibili per i clienti in tutto il mondo. Per consentire ai clienti di mantenere la conformità al GDPR, i segnali DSR che includono gli identificatori utente devono essere elaborati a livello globale per garantire che tutti i dati correlati a un interessato vengano eliminati o esportati come richiesto. Quando il cliente determina che l'eliminazione dei dati è appropriata in risposta all'utente che richiede l'eliminazione dei dati personali, tutti i dati personali correlati a tale interessato devono essere localizzati ed eliminati da tutti gli archivi dati microsoft, sia all'interno che all'esterno del limite di dati dell'Unione Europea. Allo stesso modo, quando una richiesta di esportazione viene inviata da un amministratore del cliente, Microsoft deve esportare nella posizione di archiviazione specificata dall'amministratore del cliente, anche se al di fuori del limite dei dati dell'UE, tutti i dati personali relativi a tale interessato. Per altre informazioni, vedere Richieste dell'interessato e GDPR e CCPA.

Dati dei servizi professionali

Servizi di consulenza

Servizi professionali I dati forniti a Microsoft per i servizi di consulenza Microsoft, costituiti da pianificazione, consulenza, orientamento, migrazione dei dati, distribuzione e servizi di sviluppo di soluzioni/software, non rientrano nell'ambito del limite dei dati dell'Unione Europea. Questi dati dei servizi professionali per servizi di consulenza sono attualmente archiviati in data center Microsoft basati su Stati Uniti e sono accessibili dal team che il cliente si impegna a fornire i servizi.

VDI

Per analizzare e correggere alcuni casi di supporto clienti, il personale Microsoft può accedere ai dati dei servizi professionali tramite un VDI ospitato su un computer fisico situato al di fuori del limite dei dati dell'Unione Europea. Il personale Microsoft può anche accedere a dati personali pseudonimi nei log generati dal sistema tramite indicatori VPI al di fuori del limite dei dati dell'UE per indagare e risolvere alcuni problemi dei clienti. Entrambi gli scenari comportano l'elaborazione temporanea dei dati dei servizi professionali al di fuori del limite dei dati dell'UE; tuttavia, nessun dato persiste al di fuori del limite dei dati dell'UE.

Titoli dei casi relativi al supporto tecnico

I titoli dei casi di supporto tecnico, considerati dati dei servizi professionali, svolgono un ruolo cruciale nella gestione e nel routing efficaci dei casi di supporto all'interno di Microsoft. Questi titoli sono utilizzati su diversi sistemi e strumenti per migliorare l'efficienza operativa e la distribuzione del servizio. Ciò include routing efficiente dei casi, diagnostica e risoluzione dei problemi, rilevamento dei picchi, valutazione e definizione delle priorità e valutazione delle richieste di servizio. Il titolo del caso di supporto tecnico fornito dal cliente o generato da Microsoft per conto del cliente può essere archiviato in data center al di fuori del limite di dati dell'UE.

Casi inoltrati a tecnici del prodotto

Se un tecnico del supporto tecnico non è in grado di risolvere direttamente un caso, potrebbe essere necessario inoltrarlo al team del prodotto per ulteriori soluzioni. In questi casi, i dati dei servizi professionali per un caso di supporto possono essere archiviati in data center al di fuori del limite dei dati dell'Ue. Questi dati possono includere la descrizione del caso di supporto e le fasi di riproduzione. L'accesso ai dati dei servizi professionali per risolvere il caso è descritto in Accesso remoto ai dati archiviati ed elaborati nel limite dei dati dell'Unione Europea più indietro in questo articolo.

Messaggi vocali del cliente nei casi di supporto

Quando un cliente chiama Microsoft per richiedere supporto e lascia un messaggio vocale per un agente del supporto, la segreteria telefonica, considerata dati dei servizi professionali, può essere archiviata al di fuori del limite dei dati dell'UE. È in corso il lavoro per archiviare i messaggi vocali nel limite dei dati dell'Ue.

Protezione dei clienti

Per proteggersi dalle minacce globali alla sicurezza informatica, Microsoft deve eseguire operazioni di sicurezza a livello globale. A tale scopo, Microsoft trasferisce (come descritto in dettaglio in Operazioni di sicurezza più avanti in questo articolo) dati personali con pseudonimi limitati e Dati dei servizi professionali al di fuori del limite dei dati dell'Unione Europea e, in rari casi, dati del cliente limitati. Gli attori malintenzionati operano a livello globale, lanciando attacchi distribuiti geograficamente, utilizzando tattiche stealth coordinate e sfuggendo al rilevamento. L'analisi dei dati sulle minacce contestuali oltre i confini geografici consente ai servizi di sicurezza Microsoft di proteggere i clienti fornendo rilevamenti di sicurezza, protezioni e risposte automatizzati di alta qualità.

I risultati di questo analisi cross-boundary alimentano più scenari di protezione, tra cui la segnalazione ai clienti di attività dannose, attacchi o tentativi di violazione.

La presenza di protezioni di sicurezza efficaci favorisce i clienti e l'ecosistema informatico e supporta gli obblighi normativi in materia di sicurezza dei Dati dei clienti, dati personali con pseudonimi, Dati dei servizi professionali e infrastruttura critica. Coerentemente con il GDPR e con la Carta dei diritti fondamentali dell'UE, l'approccio di Microsoft fornisce valore promuovendo la privacy, la protezione dei dati e la sicurezza.

L'accesso ai dati limitati del cliente, ai dati personali con pseudonimi e ai dati dei servizi professionali trasferiti fuori dall'UE per le operazioni di sicurezza è limitato al personale di sicurezza Microsoft e l'utilizzo è limitato a scopi di sicurezza, tra cui il rilevamento, l'analisi, la prevenzione e la risposta a incidenti di sicurezza. I Dati dei clienti trasferiti, i dati personali con pseudonimi e i Dati dei servizi professionali sono protetti tramite crittografia e restrizioni di accesso. Per ulteriori informazioni sui controlli di accesso, vedere Accesso remoto ai dati archiviati ed elaborati nel limite dei dati dell'Unione Europea più indietro in questo articolo.

Esempi di funzionalità per i clienti fornite da Microsoft tramite l'uso dei segnali incrociati includono:

• Per garantire la protezione da sofisticate minacce alla sicurezza moderne, Microsoft si basa sulle sue funzionalità di analisi avanzate, tra cui l'intelligenza artificiale, per analizzare i dati aggregati correlati alla sicurezza, inclusi i log attività, per proteggersi, rilevare, analizzare, rispondere e correggere questi attacchi. I dati dei clienti limitati, i dati personali con pseudonimi consolidati a livello globale e i dati dei servizi professionali vengono utilizzati per creare riepiloghi statistici per ridurre i risultati falsi positivi, migliorare l'efficacia e creare modelli di apprendimento automatico univoci per rilevamenti avanzati di minacce note e sconosciute in quasi tempo reale. I modelli globali ci consentono di ottimizzare e abilitare modelli personalizzati per operazioni specifiche. Senza questa funzionalità di analisi centralizzata su tutti i dati globali, l'efficienza di questi servizi si ridurrebbe notevolmente e non saremmo in grado di proteggere i nostri clienti né fornire un'esperienza utente coerente.
• Il cloud iperscala consente un'analisi continua e diversificata dei log generati dal sistema correlati alla sicurezza senza che si sia a conoscenza di un attacco specifico. In molti casi, i log globali generati dal sistema consentono a Microsoft o ai suoi clienti di interrompere gli attacchi sconosciuti in precedenza, mentre in altri casi Microsoft e i clienti possono usare i log generati dal sistema per identificare le minacce che non sono state rilevate inizialmente, ma che possono essere trovate in seguito in base a nuove threat intelligence.
• Rilevare un utente aziendale compromesso identificando gli accessi in un singolo account da più aree geografiche, entro un breve periodo (attacchi "viaggi impossibili"). Per consentire la protezione da questi tipi di scenari, i prodotti di sicurezza Microsoft (e, se applicabile, le operazioni di sicurezza e i team di Threat Intelligence) elaborano e archiviano dati come Microsoft Entra log generati dal sistema di autenticazione a livello centrale tra aree geografiche.
• Rilevare l'esfiltrazione dei dati dall'azienda, aggregando diversi segnali di accesso dannoso all'archiviazione dei dati da varie posizioni, una tecnica utilizzata da attori malintenzionati per volare sotto il radar di rilevamento (noto come attacchi "bassi e lenti").

Per ridurre al minimo l'impatto sulla privacy di questo lavoro, i team di cacciatori di minacce alla sicurezza di Microsoft limitano i trasferimenti continui ai log generati dal sistema e alle informazioni di configurazione del servizio necessari per rilevare e analizzare gli indicatori preliminari di attività dannose o violazione. I dati con pseudonimi inclusi e i dati dei servizi professionali vengono consolidati e archiviati principalmente nel Stati Uniti ma possono includere altre aree geografiche del data center in tutto il mondo per il lavoro di rilevamento delle minacce, come descritto in precedenza. I dati personali con pseudonimi vengono trasferiti e protetti in conformità alle condizioni del DPA e agli impegni contrattuali applicabili. Nei rari casi in cui i dati dei clienti o i dati dei servizi professionali sono accessibili o trasferiti a seguito di un'indagine sulla sicurezza, vengono eseguiti tramite approvazioni e controlli elevati, come indicato nelle sezioni Come Microsoft protegge i dati dei clienti e Come Microsoft protegge i dati dei servizi professionali più indietro in questo articolo.

Operazioni di sicurezza

Le operazioni di sicurezza Microsoft utilizzano una raccolta di servizi interni per monitorare, analizzare e rispondere alle minacce su cui si basano i clienti per le loro operazioni quotidiane. I dati personali con pseudonimi oltre i confini geografici, i dati limitati dei clienti o i dati dei servizi professionali limitati elaborati per queste operazioni consentono di bloccare i tentativi di utenti malintenzionati contro l'infrastruttura cloud e Microsoft Servizi online.

I dati personali con pseudonimi e i dati dei servizi professionali elaborati per motivi di sicurezza vengono trasferiti a qualsiasi area geografica di Azure in tutto il mondo. In questo modo le operazioni di sicurezza di Microsoft, come Microsoft Security Response Center (MSRC), possono fornire servizi di sicurezza 24 ore al giorno, 365 giorni all'anno in modo efficiente ed efficace in risposta alle minacce in tutto il mondo. I dati vengono utilizzati per il monitoraggio, le indagini e le risposte agli incidenti di sicurezza all'interno della piattaforma, dei prodotti e dei servizi di Microsoft, proteggendo clienti e Microsoft dalle minacce alla sicurezza e alla privacy. Ad esempio, quando un indirizzo IP o un numero di telefono viene determinato come usato in attività fraudolente, viene pubblicato a livello globale per bloccare l'accesso da qualsiasi carico di lavoro che lo utilizza.

Gli analisti della sicurezza accedono a dati consolidati da posizioni in tutto il mondo, poiché MSRC ha un modello operativo di follow-the-sun, con competenze e competenze distribuite per fornire monitoraggio e risposta continui per le indagini sulla sicurezza, inclusi, a titolo esemplitario, gli scenari seguenti:

• Il cliente ha identificato attività dannose nel tenant o negli abbonamenti e ha contattato il supporto Microsoft per assistenza nella risoluzione dell'incidente.
• MSRC ha una chiara indicazione di compromissione in un tenant, una sottoscrizione o una risorsa del cliente e invia una notifica al cliente, aiuta a indagare e rispondere all'incidente, dopo l'approvazione del cliente.
• Nel corso di un'indagine relativa a un incidente, nel caso in cui venga identificato un incidente di sicurezza che ha impatto sui clienti, Microsoft Security Response Center (MSRC) effettuerà, in conformità con un protocollo rigoroso, ulteriori indagini per facilitare la notifica e la risposta all'incidente di sicurezza.
• Condivisione di informazioni sulle minacce e dettagli delle indagini tra i team di sicurezza interni di Microsoft per la risposta e la correzione Agile.

Per ulteriori informazioni sui controlli di accesso, vedere Accesso remoto ai dati archiviati ed elaborati nel limite dei dati dell'Unione Europea più indietro in questo articolo.

Security Threat Intelligence

I servizi Microsoft Threat Intelligence monitorano, esaminano e rispondono alle minacce che si trovano ad affrontare gli ambienti dei clienti. I dati raccolti per le indagini sulla sicurezza possono includere dati personali con pseudonimi nei log generati dal sistema, dati limitati dei clienti e dati limitati dei servizi professionali. Questi dati vengono usati per bloccare tentativi dannosi contro le infrastrutture cloud dei clienti e fornire tempestivamente informazioni sulle minacce e indicazioni di compromissione alle organizzazioni, aiutandole ad aumentare il livello di protezione.

Per le indagini sulle minacce in cui vengono rilevate prove di una minaccia dello Stato nazione o di altre azioni dannose da parte di attori sofisticati, i team Microsoft che raccolgono informazioni sulle minacce, come il Microsoft Threat Intelligence Center (MSTIC), avvisano i clienti dell'attività indicata. MSTIC è in grado di identificare attività dannose tramite log generati dal sistema consolidati a livello globale e dati diagnostici raccolti da vari prodotti e servizi Microsoft, in combinazione con l'analisi di esperti del personale MSTIC.

L'accesso da parte di team di analisti distribuiti geograficamente a log generati dal sistema consolidato a livello globale per motivi di sicurezza è di fondamentale importanza per l'identificazione tempestiva di un attacco o una violazione, fornendo un'indagine non interrotta. Gli analisti MSTIC possiedono specifiche conoscenze e competenze degli aggressori che non possono essere semplicemente replicate in altre aree geografiche in quanto potrebbero avere competenze specifiche degli avversari regionali. Di conseguenza, le operazioni di analisi MSTIC superano necessariamente i confini geopolitici per fornire ai clienti il più alto livello di competenza. Per ulteriori informazioni sui controlli di accesso, vedere Accesso remoto ai dati archiviati ed elaborati nel limite dei dati dell'Unione Europea più indietro in questo articolo.

Per offrire ai clienti le migliori informazioni sulle minacce, MSTIC deve sfruttare i segnali globali per scenari come:

• Malicious Nation State attività che sono utilizzati per raggiungere gli obiettivi di intelligence nazionale.
• Attività dannose stato nazione che utilizzano malware commodity e tattiche in attacchi distruttivi, irrecuperabili, o vengono utilizzati per mascherare l'identità dell'autore dell'attacco (falsa bandiera) e fornire plausibile catturabilità. Attività criminali dannose utilizzate in schemi di estorzione finanziaria illecita (ad esempio, attacchi ransomware contro risorse critiche civili o infrastrutture).

Servizi in anteprima/versioni di valutazione

Solo i servizi Microsoft a pagamento generalmente disponibili sono inclusi nel limite dei dati dell'Unione Europea. I servizi in anteprima o resi disponibili come versioni di valutazione gratuite non sono inclusi.

Servizi deprecati

I servizi che, a partire dal 31 dicembre 2022, Microsoft ha annunciato di essere deprecati non sono inclusi nel limite dei dati dell'Ue. I servizi cloud Microsoft seguono i criteri moderni relativi al ciclo di vita e nella maggior parte dei casi, quando abbiamo annunciato che un servizio è stato deprecato, abbiamo anche consigliato un'offerta di prodotto alternativa o successiva nell'ambito del limite dei dati dell'UE. Ad esempio, Microsoft Stream (versione classica) è un servizio video aziendale per Microsoft 365 sostituito da Stream (su SharePoint). Ai clienti è stato comunicato che Stream (versione classica) era in fase di deprecazione il 15 aprile 2024. Le linee guida per la migrazione e gli strumenti di anteprima pubblica sono stati resi disponibili per assistere i clienti nella migrazione a Stream (su SharePoint), che si trova all'interno del limite dei dati dell'UE.

Software e applicazioni client locali

I dati archiviati in applicazioni client e software locali non sono inclusi nel limite dei dati dell'UE, in quanto Microsoft non controlla ciò che accade negli ambienti locali dei clienti. Anche i dati di diagnostica generati dall'uso di software e applicazioni client locali non sono inclusi nel limite dei dati dell'UE.

Nota

I log generati dal sistema e i dati diagnostici relativi all'uso di Microsoft 365 Apps (sottoscrizione) sono inclusi nel limite dei dati dell'UE. Per altre informazioni, vedere Raccolta di telemetria di Microsoft 365.

Dati della directory

Microsoft può replicare dati limitati Microsoft Entra directory da Microsoft Entra (inclusi nome utente e indirizzo di posta elettronica) al di fuori del limite dei dati dell'UE per fornire il servizio.

Trasporti di rete

Per ridurre la latenza del routing e mantenere la resilienza del routing, Microsoft usa percorsi di rete variabili che possono occasionalmente comportare il routing del traffico dei clienti al di fuori del limite di dati dell'UE. Ciò può includere il bilanciamento del carico da parte dei server proxy.

Qualità del servizio e della piattaforma, resilienza e gestione

Il personale Microsoft può richiedere che alcuni pseudonimi personali provenienti da log generati dal sistema e dati dei servizi professionali provenienti da casi di supporto vengano consolidati a livello globale per garantire che i servizi siano in esecuzione in modo efficiente e per calcolare e monitorare le metriche di qualità globale in tempo reale per i servizi. In questi trasferimenti può essere inclusa una quantità limitata di dati personali con pseudonimi, ad esempio ID oggetto o ID univoci primari e dati dei servizi professionali, ad esempio gli ID di monitoraggio o gli ID delle sessioni dei casi di supporto dei servizi online. Questi dati vengono usati per risolvere vari problemi di funzionalità e gestione del servizio. Ecco alcuni esempi:

• Calcolare il numero di utenti interessati da un evento che influisce sul servizio per determinarne la pervasività e la gravità o calcolare gli utenti attivi mensili (MAU) e gli utenti attivi giornalieri (DAU) dei servizi per garantire che i calcoli di fatturazione basati su questi dati siano completi e accurati. I dati personali con pseudonimi trasferiti ai fini del calcolo di MAU e DAU vengono conservati al di fuori del limite di dati dell'Unione Europea solo per il tempo necessario per compilare analisi aggregate.

• Una quantità limitata di dati personali con pseudonimi viene inviata a data center situati al di fuori del limite di dati dell'Unione Europea allo scopo di convalidare lo stato della licenza di abbonamento di un cliente.