Condividi tramite

Guida per l'utente di valutazione: Microsoft Priva

  • Articolo

Benvenuto nel manuale dell'utente di valutazione di Microsoft Priva.

Con il panorama della privacy e delle normative in continua evoluzione, tenere in primo piano la privacy e la protezione dei dati è diventato fondamentale per le organizzazioni. Questa guida ti aiuterà a sfruttare al meglio la tua versione di valutazione gratuita aiutandoti a proteggere i tuoi dati personali e a creare un ambiente di lavoro resiliente alla privacy.

Usando i suggerimenti di Microsoft, imparerai come Microsoft Priva possono aiutarti:

  • Identificare e proteggere in modo proattivo dai rischi per la privacy, ad esempio l'accaccatura dei dati, i trasferimenti dei dati e la condivisione eccessiva dei dati.Proactively identify and protect against privacy risks such as data hoarding, data transfers, and data oversharing.
  • Automatizzare e gestire le richieste oggetto su vasta scala.
  • Consentire ai dipendenti di prendere decisioni intelligenti per la gestione dei dati.

Iniziamo

Microsoft Priva è costituito da due soluzioni, Privacy Risk Management e Subject Rights Requests, entrambe che possono essere sperimentate e acquistate separatamente. I dettagli relativi alle licenze e agli acquisti sono disponibili su Microsoft.com.

Gestione dei rischi per la privacy

Gestione dei rischi per la privacy Priva offre la possibilità di configurare criteri che identificano i rischi per la privacy nell'ambiente Microsoft 365 e consentono di correggerlo facilmente. I criteri di gestione dei rischi per la privacy sono pensati per essere guide interne e possono aiutarti a:

  • Rilevare i dati personali sovraesposti in modo che gli utenti possano proteggerli.
  • Individuare e limitare i trasferimenti di dati personali tra reparti o confini regionali.
  • Aiutare gli utenti a identificare e ridurre la quantità di dati personali inutilizzati archiviati.

Gestione dei rischi per la privacy offre modelli predefiniti per questi scenari che consentono di creare facilmente criteri. È anche possibile ottimizzare l'approccio creando criteri personalizzati, usando uno di questi modelli come punto di partenza. Quando vengono trovate corrispondenze ai criteri, gli amministratori possono esaminare gli avvisi sui risultati e prendere decisioni su come gestire i dati creando problemi per un'ulteriore azione da parte degli utenti. È anche possibile configurare le notifiche tramite posta elettronica e, per i tipi di criteri supportati, le notifiche di Teams per informare i proprietari dei contenuti direttamente sulle corrispondenze ai criteri. Possono intraprendere azioni correttive da queste notifiche e ottenere altre informazioni sulle procedure consigliate per la gestione dei dati con i collegamenti forniti al materiale di formazione.

Richieste di diritti dell'oggetto

Diverse normative sulla privacy in tutto il mondo concedono ai singoli o agli interessati il diritto di presentare richieste di revisione o gestione dei dati personali raccolti dalle aziende su di essi. Queste richieste di diritti dell'interessato sono anche denominate richieste dell'interessato (DSR), richieste di accesso dell'interessato (DSAR) o richieste di diritti dei consumatori. Per le aziende che memorizzano grandi quantità di informazioni, trovare i dati pertinenti può essere un compito formidabile. Per la maggior parte delle organizzazioni, l'assolvimento delle richieste è un processo molto manuale e dispendioso in termini di tempo.

La soluzione Richieste di diritti degli interessati Microsoft Priva è progettata per ridurre la complessità e la durata del tempo necessario per rispondere alle richieste degli interessati. Forniamo automazione, approfondimenti e flussi di lavoro per aiutare le organizzazioni a soddisfare le richieste in modo più sicuro ed efficiente.

Avviare la versione di valutazione di Microsoft Priva

Se si è pronti per iniziare a usare Microsoft Priva, seguire questa procedura per configurare i prerequisiti e iniziare a esplorare i dati analitici sulla privacy.

  1. Conferma abbonamenti e licenze
  2. Impostare le autorizzazioni utente e assegnare ruoli
  3. Seleziona Avvia versione di valutazioneper completare le operazioni seguenti:
    • Le licenze di prova Priva sono abilitate (ciò avviene in tempo reale)
    • Vengono generati dati analitici sulla privacy (questa operazione richiede 24 ore)

Cattura di schermata della schermata iniziale.

Iniziare a individuare e visualizzare i rischi per la privacy

Priva consente di comprendere i dati archiviati dall'organizzazione automatizzando l'individuazione delle risorse dei dati personali e fornendo visualizzazioni di informazioni essenziali. Queste visualizzazioni sono disponibili nelle pagine di panoramica e del profilo dati.

Per iniziare, passare alla sezione Priva del Portale di conformità di Microsoft Purview e visualizzare queste pagine:

  1. Panoramica: fornisce una visualizzazione generale dei dati dell'organizzazione in Microsoft 365. Gli amministratori della privacy possono monitorare le tendenze e le attività, identificare ed esaminare i potenziali rischi che coinvolgono i dati personali e il springboard in attività chiave come la gestione dei criteri o le azioni di richiesta dei diritti degli interessati.
  2. Profilo dati: fornisce uno snapshot dei dati personali archiviati dall'organizzazione in Microsoft 365. Questa pagina consente di visualizzare dove si trovano i dati personali, quali sono i tipi più diffusi nell'organizzazione e quanti tipi diversi esistono in diverse posizioni nell'ambiente Microsoft 365. È anche possibile esplorare i dati personali da questa posizione.

Criteri di Gestione dei rischi per la privacy Priva

Gestione dei rischi per la privacy Priva criteri consentono di risolvere scenari di rischio importanti per l'organizzazione. I nostri modelli di criteri sono incentrati sulla promozione di pratiche di gestione dei dati solide. Gli avvisi informano gli amministratori quando vengono rilevate corrispondenze ai criteri e potrebbero richiedere ulteriori indagini. Email notifiche e suggerimenti in Microsoft Teams aiutano gli utenti a comprendere quali attività comportano rischi per la privacy, consente agli utenti di risolvere immediatamente i problemi e li indirizza alla formazione sulla privacy.

Per iniziare rapidamente, usare un modello con impostazioni predefinite per creare nuovi criteri per sovraesposizione dei dati, trasferimenti di dati e riduzione dei dati e scenari. È anche possibile personalizzare le impostazioni dei modelli per creare criteri in base alle esigenze dell'organizzazione.

Informazioni su come eseguire qualsiasi operazione, dalla configurazione rapida dei criteri alla modifica e all'eliminazione dei criteri nella pagina Crea e gestisci criteri :

  1. Configurazione rapida dei criteri con i modelli: la maggior parte delle impostazioni viene scelta automaticamente per essere subito operativo.
  2. Configurazione dei criteri personalizzati: scegliere un modello e quindi esaminare le singole impostazioni per personalizzare i criteri.
  3. Impostazione di avvisi: consente agli amministratori di sapere quando un evento utente soddisfa le condizioni di un criterio. Si tratta di elementi facoltativi che consentono di controllare la frequenza con cui vengono generati gli avvisi, la soglia per generarli e la gravità.
  4. Test di un criterio: consente di visualizzare informazioni approfondite prima dell'abilitazione di un criterio, in modo da poter valutare il comportamento dei criteri e il tipo di avvisi che possono essere generati.
  5. Attivazione o disattivazione dei criteri Dopo il monitoraggio in modalità di test, è possibile attivare o disattivare un criterio in qualsiasi momento.
  6. Criteri di modifica: modificare le impostazioni di un criterio in qualsiasi momento, indipendentemente dal fatto che sia attivata o in modalità di test.
  7. Eliminazione dei criteri: se è necessario rimuovere un criterio di gestione dei rischi per la privacy esistente.

Analizzare e correggere gli avvisi in Gestione dei rischi per la privacy

Microsoft Priva possono contribuire a fornire visibilità sulle scoperte importanti relative alla sovraesposizione dei dati, alla minimizzazione dei dati o ai criteri di trasferimento dei dati. All'interno della soluzione Gestione dei rischi per la privacy, gli amministratori possono esaminare gli avvisi relativi al contenuto che soddisfa le condizioni dei criteri. La revisione degli avvisi consente di identificare i casi che è necessario completare. È possibile farlo creando problemi. I problemi offrono agli utenti un modo strutturato per esaminare il contenuto, assegnare la gravità del problema e collaborare alla risoluzione dei problemi.

La pagina Analizzare e correggere gli avvisi fornirà informazioni per le azioni seguenti:

  1. Visualizza gli avvisi e i problemi correnti: la pagina Panoramica di Priva fornisce una panoramica dei recenti risultati con aggiornamenti sulle aree di preoccupazione principali.
  2. Gestire gli avvisi: accedere alla pagina Avvisi per valutare gli avvisi attivi e specificare quelli da completare.
  3. Gestire i problemi: i problemi vengono creati dagli amministratori durante la valutazione di avvisi sulle corrispondenze ai criteri e possono essere risolti dalla pagina Problemi.
  4. Rivedere il contenuto e correggere i problemi: esaminare il contenuto associato a un problema, è possibile aprire la scheda Contenuto e visualizzare i dettagli sul file, le eventuali attività registrate e la cronologia di correzione, selezionare Correzione per eseguire una o più azioni.

Notifiche utente in Gestione dei rischi per la privacy

Quando si configurano criteri in Gestione dei rischi per la privacy Priva, è possibile scegliere di notificare agli utenti quando le loro azioni soddisfano le condizioni impostate nel criterio. Esistono due tipi di notifiche: i messaggi di posta elettronica, disponibili per tutti e tre i tipi di criteri, e i suggerimenti visualizzati in Teams, disponibili solo per il tipo di criterio di trasferimento dati. Quando si crea o si modifica un criterio, è possibile decidere se attivare queste notifiche, con quale frequenza inviarle e personalizzare il contenuto.

L'invio di notifiche agli utenti può essere un componente importante per aiutare l'organizzazione a raggiungere i propri obiettivi in materia di privacy. Le notifiche sono progettate per:

  • Comunicare immediatamente agli utenti quando le loro azioni potrebbero esporre i dati personali a rischi per la privacy.
  • Fornire metodi di correzione direttamente all'interno dei messaggi di posta elettronica, in modo che gli utenti possano intervenire rapidamente per proteggere i dati a rischio.
  • Indirizzare gli utenti alle linee guida e alle procedure consigliate per la privacy dell'organizzazione.

Esplorare le notifiche degli utenti per scoprire cosa è possibile configurare nell'organizzazione:

  1. Preparare il contenuto della formazione per le notifiche: è necessario includere un collegamento alla formazione sulla privacy se si sceglie di inviare notifiche agli utenti quando vengono rilevate corrispondenze ai criteri.
  2. Impostare le notifiche di posta elettronica degli utenti: configurare le notifiche tramite posta elettronica per tutti i tipi di criteri quando si crea un nuovo criterio o si modifica un criterio esistente.
  3. Inviare notifiche in Teams: per i criteri di trasferimento dei dati, è possibile scegliere di ricevere suggerimenti e suggerimenti per i criteri nei canali di Teams sicuri quando viene rilevata una corrispondenza dei criteri.
  4. Visualizzare in anteprima e personalizzare il contenuto della posta elettronica: quando gli utenti ricevono notifiche di posta elettronica sulle corrispondenze ai criteri, possono seguire le istruzioni nei messaggi di posta elettronica per intraprendere immediatamente azioni correttive. È possibile visualizzare in anteprima il contenuto del messaggio di posta elettronica e apportare modifiche personalizzate durante la modifica di questa impostazione nel processo di creazione o modifica dei criteri.

Informazioni sul flusso di lavoro Richieste di diritti dell'oggetto

Quando si crea una richiesta nella soluzione Subject Rights Requests, le informazioni fornite vengono usate per cercare corrispondenze con l'interessato nell'ambiente Microsoft 365 dell'organizzazione. Gli elementi corrispondenti vengono compilati per la revisione, per scegliere gli elementi da includere e per redigere le informazioni necessarie. Più utenti possono collaborare a questi passaggi nell'interfaccia Subject Rights Requests. La pagina Panoramica della richiesta fornisce lo stato delle fasi di avanzamento e indicazioni sui passaggi successivi da eseguire.

Informazioni sui passaggi di avanzamento per le richieste e la pagina dei dettagli delle richieste

Selezionare Richieste di diritti degli interessati Priva nel riquadro di spostamento sinistro del Portale di conformità di Microsoft Purview per accedere alle richieste create dall'organizzazione e visualizzarne lo stato.

Qui è possibile ottenere uno snapshot dell'attività della richiesta e delle richieste che richiedono attenzione urgente in base alla scadenza impostata per la richiesta. Puoi vedere quali richieste sono state create in questo portale (origine: Microsoft 365) rispetto a quelle create tramite l'API (origine: esterna). È anche possibile ordinare l'elenco o le richieste di gruppo visualizzate in base alla residenza dell'interessato, alla normativa, alla relazione dell'interessato con l'organizzazione e altro ancora.

La colonna "Stage" mostrerà il passaggio in cui si trova la richiesta corrispondente. Se si seleziona una richiesta, verrà visualizzata una pagina di panoramica personalizzata che consente di visualizzare i dettagli sulla fase della richiesta per fornire indicazioni sulle operazioni da eseguire successivamente.

Creare una richiesta e definire le impostazioni di ricerca

Per creare una richiesta, gli utenti dovranno avere i ruoli all'interno del gruppo di ruoli Amministratori della richiesta di diritti dell'oggetto. È possibile creare una richiesta in due modi principali:

  • Da un modello, una rapida opzione predefinita che usa impostazioni predefinite personalizzate; O
  • L'opzione personalizzata, che è un processo guidato per esaminare tutte le impostazioni.

Informazioni per creare una richiesta e definire le impostazioni di ricerca:

  1. Informazioni sui tipi di richiesta: Richieste di diritti degli interessati Priva supporta tre diversi tipi di richieste: accesso, esportazione, elenco contrassegnato per il completamento.
  2. Introduzione alla prima richiesta: configurazione predefinita semplice per la prima richiesta che usa le impostazioni predefinite. Questa prima esperienza consente di esplorare il flusso di lavoro con richiesta di diritti dell'oggetto e di conoscerne le funzionalità.
  3. Modelli di richiesta di dati: con pochi dettagli, è possibile creare una richiesta usando le impostazioni predefinite e diventare rapidamente operativo. Facoltativamente, è possibile modificare queste impostazioni per una maggiore flessibilità.
  4. Richiesta personalizzata: processo guidato per la creazione di un criterio. Dopo aver scelto l'opzione del modello personalizzato, è possibile esaminare le singole impostazioni per personalizzare la ricerca.
  5. Definire le impostazioni di ricerca: è possibile migliorare gli identificatori da usare per trovare l'interessato e usare le impostazioni di ricerca per migliorare la ricerca. È anche possibile scegliere di ottenere una stima dei dati prima del recupero degli elementi di contenuto, che consente di visualizzare in anteprima i risultati e modificare la query di ricerca in base a quanto trovato. È possibile effettuare queste selezioni nella pagina Impostazioni di ricerca della creazione guidata richiesta.
  6. Affinamento della ricerca: scegliere "Perfezionamento della ricerca" nella pagina Impostazioni di ricerca o modificare la query di ricerca nella fase di stima dei dati e verrà chiesto di fornire dettagli sugli attributi personali e di avere la possibilità di impostare condizioni per assegnare ulteriormente i risultati della ricerca.

Stima e recupero dei dati

Dopo aver creato una richiesta, Priva inizia immediatamente a cercare corrispondenze all'interessato nel contenuto all'interno dell'ambiente Microsoft 365. Dopo aver identificato gli elementi che soddisfano i criteri, la stima verrà visualizzata nella scheda di riepilogo Stima dati nella pagina Panoramica della richiesta e la fase di stima dei dati nel riquadro dello stato di avanzamento passerà a un segno di spunta. La quantità di dati nell'ambito della ricerca influirà sul tempo necessario per completare la stima.

La richiesta passerà automaticamente alla fase successiva di Recupero dati, in cui tutti gli elementi di contenuto vengono raccolti insieme agli stakeholder per collaborare alla revisione dei dati. In alcuni casi, la stima dei dati verrà sospesa prima di passare al recupero e si riceverà una notifica dei passaggi successivi da eseguire prima di continuare.

Informazioni su ciò che accade durante la stima e il recupero dei dati:

  1. Sospendere la stima dei dati: esistono due motivi per cui una richiesta verrà sospesa nella fase di stima dei dati: se è stato selezionato "ottieni prima una stima" o se si prevede che la stima restituisca un numero elevato di elementi da rivedere (oltre 10.000 elementi).
  2. Visualizzare e modificare le query di ricerca: per visualizzare informazioni dettagliate sulla ricerca della richiesta, selezionare Visualizza dettagli query di ricerca nella scheda riepilogo Stima dati. Si apre un riquadro a comparsa che riepiloga la query e mostra altri dettagli su ciò che è stato trovato.
  3. Recuperare i dati: vengono recuperati file, messaggi di posta elettronica, chat, immagini e altri elementi di contenuto contenenti i dati personali dell'interessato. Una volta completata questa fase, il riquadro di stato nella pagina di panoramica della richiesta spunta automaticamente il passaggio Recupera dati. I dati recuperati sono pronti per la revisione nella scheda "dati raccolti" per la richiesta.

Esaminare i dati e collaborare a una richiesta di diritti in base all'argomento

Dopo aver raccolto i dati per una richiesta di diritti dell'oggetto, la fase successiva consiste nel esaminare gli elementi, decidere quali elementi includere nella richiesta e, se necessario, redigere le informazioni. Per impostazione predefinita, solo gli elementi inclusi fanno parte dei report dell'interessato per una richiesta di accesso o esportazione. Facoltativamente, è possibile escludere gli elementi o contrassegnarli come non corrispondenti, mostrando di aver esaminato l'elemento e determinato che non era applicabile alla richiesta o che si trattava di una corrispondenza falsa positiva.

Visita la pagina di revisione e collaborazione per altre informazioni sui punti seguenti:

  1. Informazioni sulle attività per il completamento della revisione dei dati: la fase Di revisione dei dati è quando i collaboratori esaminano gli elementi di contenuto nella scheda Dati raccolti. Verrà automaticamente configurato un canale teams per facilitare la revisione del contenuto da parte di tutti gli stakeholder. È possibile disabilitare la creazione dei canali di Teams per le nuove richieste all'interno delle impostazioni qui.
  2. Collaborare alla revisione dei dati: gli amministratori di Subject Rights Request possono visualizzare tutte le richieste. È possibile aggiungere altri utenti per collaborare a una richiesta, per consentire loro l'accesso per visualizzare la richiesta e usare i dati raccolti al suo interno per spostare la richiesta al completamento.
  3. Completa la revisione" Quando tutti gli elementi sono stati rivisti e hai incluso il contenuto richiesto, è il momento di chiudere il passaggio della revisione. Qualsiasi collaboratore in una richiesta può completare la revisione.

Generare report e chiudere una richiesta

Dopo aver completato la revisione dei dati per una richiesta di diritti dell'argomento, la fase successiva consiste nel generare i report necessari per soddisfare la richiesta. Priva creerà report e raccoglierà i file contrassegnati come Includi durante il processo di revisione dei dati. I file selezionati da questi pacchetti di dati possono essere inviati all'interessato per completare la richiesta.

Per informazioni su come ottenere report e chiudere le richieste:

  1. Informazioni sui report: dopo aver selezionato Completa revisione nella fase di revisione dei dati della richiesta di diritti dell'oggetto, i report finali per la richiesta inizieranno a essere generati automaticamente.
  2. Informazioni sui pacchetti di dati: il pacchetto di dati con richiesta di diritti dell'oggetto contiene gli elementi contrassegnati come "Includi" durante la fase di revisione dei dati del processo.
  3. Selezionare i periodi di conservazione dei dati per report e dati: il periodo di conservazione predefinito è 30 giorni dalla data in cui viene chiusa una richiesta di diritti dell'oggetto. Il periodo di conservazione dei dati è definito in Priva "Impostazioni" e si applica a tutte le richieste di diritti degli interessati. Qui è possibile visualizzare o modificare il periodo di conservazione dei dati.
  4. Chiudi richiesta: dopo aver eseguito tutte le azioni necessarie relative alla richiesta di diritti dell'oggetto, contrassegnare la richiesta come chiusa selezionando Chiudi la richiesta nell'angolo in alto a destra della pagina dei dettagli della richiesta.

Integrare ed estendere tramite Microsoft API Graph e Power Automate

È possibile integrare Richieste di diritti degli interessati Priva con i processi e gli strumenti aziendali esistenti usando l'API Subject Rights Request di Microsoft Graph. È anche possibile estendere le funzionalità di automazione delle richieste di diritti degli interessati usando i flussi predefiniti di Power Automate per attività come l'impostazione di promemoria del calendario e la creazione di casi in ServiceNow.

Integrazione con Microsoft API Graph

L'API Subject Rights Request di Microsoft 365 offre un modo semplice ma efficace per introdurre l'automazione nella strategia esistente per i diritti in materia. Quando una persona richiede informazioni dall'organizzazione, le nostre API consentono di creare tali richieste all'interno di Microsoft 365 in base ai criteri per tale richiesta. È possibile creare la richiesta di diritti dell'oggetto in Microsoft 365, tenere traccia dello stato di avanzamento e recuperare il contenuto quando la richiesta ha completato la generazione di report.

Le nostre API sono disponibili per chiunque per rendere le proprie soluzioni più estensibili, ad esempio isv, partner che vogliono includere Microsoft 365 nelle loro soluzioni e organizzazioni che cercano di usare le API con le applicazioni line-of-business. Visualizza la documentazione completa in Usare l'API per la richiesta dei diritti degli oggetti di Microsoft Graph.

Usare i modelli di Power Automate

Microsoft Power Automate è un servizio per flussi di lavoro che automatizza le azioni tra applicazioni e servizi. Subject Rights Requests include modelli predefiniti di Power Automate che consentono agli utenti di gestire le richieste di diritti degli interessati. Gli utenti possono configurare flussi di automazione per processi come la creazione di ticket in ServiceNow e l'aggiunta di promemoria del calendario sulle date di scadenza. Altre informazioni sui modelli di Power Automate per le richieste di diritti degli interessati.

Corrispondenza dei dati per le richieste di diritti degli interessati

Grazie alla corrispondenza dei dati, le organizzazioni possono abilitare Microsoft Priva per identificare gli interessati in base ai valori di dati specificati esatti. Ciò consente di aumentare l'accuratezza dell'individuazione del contenuto dell'interessato che corrisponde a tali valori di dati sia per il personale interno che per gli utenti esterni con cui si interagisce. Semplifica inoltre la necessità di fornire manualmente i campi durante la creazione di richieste di diritti in base all'argomento.

Nota: per usare la funzionalità di corrispondenza dei dati, è necessario essere un membro del gruppo di ruoli Gestione privacy. Da Priva nella Portale di conformità di Microsoft Purview seleziona Impostazioni nel riquadro di spostamento superiore e quindi Corrispondenza dati. Da qui, sarà necessario definire lo schema dei dati personali e fornire un caricamento dei dati personali come illustrato di seguito. Si noti che è possibile aggiungere elementi ed eliminare gli elementi aggiunti, ma non modificarli.

Informazioni su come configurare la corrispondenza dei dati:

  1. Preparare l'importazione dei dati: prima di definire lo schema o caricare i dati, è necessario identificare l'origine delle informazioni dell'interessato.
  2. Definire lo schema dei dati personali" Il primo passaggio per configurare la corrispondenza dei dati consiste nel definire lo schema dei dati personali, che descriverà gli attributi per gli interessati.
  3. Creare tipi di informazioni riservate: il secondo passaggio per configurare la corrispondenza dei dati consiste nel creare tipi di informazioni riservate univoci per la corrispondenza dei dati personali (PDM). I tipi di informazioni riservate (SITs) sono classificatori basati su criteri che rilevano informazioni riservate come i numeri di previdenza sociale o di carta di credito.
  4. Caricare dati personali: dopo aver definito lo schema dei dati personali e i tipi di informazioni riservate, il terzo passaggio consiste nel caricare i dati personali.

Risorse aggiuntive

Microsoft Learn: Ottenere informazioni dettagliate su come funziona Microsoft Priva e su come implementarlo al meglio per l'organizzazione. Per altre informazioni, vedere la panoramica di Priva.

Versione di valutazione di Microsoft Priva: per provare gratuitamente Microsoft Priva, visitare https://aka.ms/trypriva.

Perché Microsoft Priva: scopri di più sulle funzionalità Priva in questo video.

Scopri di più o acquista Microsoft Priva: Privacy Risk Management e Subject Rights Requests vengono venduti separatamente. Blog, dettagli sulle licenze e sugli acquisti sono disponibili su Microsoft.com.