Condividi tramite


Criteri di trasferimento dei dati nella gestione dei rischi per la privacy

Il trasferimento di dati personali presenta rischi, in particolare quando vengono trasferiti all'esterno dell'organizzazione o inviati tra determinati reparti o aree geografiche all'interno dell'organizzazione. Ad esempio, se i dati vengono inviati tramite e-mail non crittografate o a destinatari non autorizzati, i dati potrebbero non essere più sicuri. Le attività di trasferimento dei dati come queste possono avere un impatto normativo o violare le procedure di privacy stabilite dell'organizzazione.

I criteri di trasferimento dei dati in Gestione dei rischi per la privacy Microsoft Priva consentono di monitorare i trasferimenti di dati personali all'esterno dell'organizzazione, nonché i trasferimenti interni tra reparti o paesi o aree geografiche diversi. Quando viene rilevata una corrispondenza dei criteri, è possibile inviare notifiche agli utenti in Microsoft Teams o messaggi di posta elettronica con opzioni di correzione che includono la revoca dell'accesso, la conservazione o l'eliminazione di elementi (vedere i dettagli al passaggio 10 del processo di creazione dei criteri).

Il processo di configurazione dei criteri semplifica l'impostazione delle condizioni dei criteri. Hai il controllo completo sui tempi di avviso e la frequenza delle e-mail e suggerimenti in tempo in Microsoft Teams che portano l'attenzione degli utenti sulle procedure di gestione dei dati sicure.

Esistono due modi per creare un criterio: da un modello, che è la nostra rapida opzione "predefinita" usando le impostazioni predefinite; o l'opzione personalizzata , che è un processo guidato per l'impostazione di condizioni, avvisi e notifiche.

Configurazione rapida: usare un modello con le impostazioni predefinite

I criteri di trasferimento dei dati predefiniti rilevano quando i dati personali vengono inviati a destinatari esterni all'organizzazione. Ad esempio, rileva quando un utente dell'organizzazione invia un messaggio di posta elettronica di Exchange a un destinatario esterno nei campi A, Cc o Ccn .

Seguire questa procedura per creare un criterio di trasferimento dati predefinito:

  1. Accedere a uno dei portali seguenti usando le credenziali per un account amministratore dell'organizzazione di Microsoft 365:

  2. Vai alla soluzione di gestione dei rischi per la privacy e seleziona la pagina Criteri .

  3. Selezionare Crea un criterio.

  4. Nella casella Trasferimento dati selezionare Crea.

  5. Un riquadro a comparsa contiene i dettagli dei criteri. Selezionando Impostazioni visualizzazione verranno visualizzate le impostazioni predefinite. È possibile modificare le impostazioni da qui, che consente di seguire il processo guidato descritto di seguito. Per continuare a creare i criteri usando le impostazioni predefinite, è sufficiente immettere un nome descrittivo e quindi selezionare Crea criterio.

I criteri verranno creati e saranno elencati nella pagina Criteri . Inizia in modalità di test in modo da poter monitorare le prestazioni prima di attivarla.

Impostazioni predefinite dei criteri di trasferimento dati

Un criterio di trasferimento dati creato dal modello rileverà:

  • Quando i dati personali all'interno dell'organizzazione vengono trasferiti o condivisi con un destinatario o una posizione all'esterno dell'organizzazione.

  • Quando i dati personali vengono condivisi esternamente da una di queste posizioni all'interno dell'organizzazione:

    • Exchange. Esempio: invio di un messaggio di posta elettronica contenente dati personali a un indirizzo di posta elettronica di un destinatario esterno all'organizzazione.
    • OneDrive e SharePoint. Esempi: invio di un collegamento a un file o a un sito che contiene dati personali a utenti esterni all'organizzazione; copiare o spostare un file in un percorso di OneDrive o SharePoint esterno all'organizzazione.
    • Teams. Esempio: invio di un messaggio di chat di Teams contenente dati personali a un destinatario esterno all'organizzazione.
  • Tipi di dati basati sui gruppi di classificazione seguenti:

    • Regolamento generale sulla protezione dei dati (GDPR) dell'UE
    • Informazioni personali degli Stati Uniti
    • US Patriot Act
    • Legge statunitense sulla notifica di violazione dello Stato
    • US Gramm-Leach-Bliley Act (GLBA)
    • HIPAA (Health Insurance Portability and Accountability Act)
    • Health Records Act (HRIP) Australia
    • Legge sulla privacy australiana
    • Informazioni personali Giappone
    • Protezione delle informazioni personali giappone

Configurazione personalizzata: processo guidato di creazione dei criteri

L'opzione per i criteri personalizzati è un processo guidato per creare un nuovo criterio impostando condizioni, designando la gravità e la frequenza degli avvisi e attivando le notifiche tramite posta elettronica degli utenti.

Completa i passaggi seguenti per creare un nuovo criterio di trasferimento dei dati:

  1. Accedere a uno dei portali seguenti usando le credenziali per un account amministratore dell'organizzazione di Microsoft 365:

  2. Vai alla soluzione di gestione dei rischi per la privacy e seleziona la pagina Criteri .

  3. Selezionare Crea un criterio.

  4. Nella casella Personalizzato selezionare Crea.

  5. Nella pagina Nome e tipo selezionare il modello di criterio Trasferimento dati . Immettere un nome di criterio che faciliti l'identificazione dall'elenco nella pagina Criteri , immettere una descrizione facoltativa, quindi selezionare Avanti.

  6. Nella pagina Origini dati selezionare tutte le origini dati in Microsoft 365 di cui si vogliono trattare i criteri. Scegliere tra account di posta elettronica di Exchange, account di OneDrive, messaggi di chat e canale di Teams e siti di SharePoint.

    In SharePoint è possibile designare tutti i siti o siti specifici. Se si seleziona Siti di SharePoint specifici, è possibile immettere l'URL del sito nel campo URL. È anche possibile selezionare +Scegli siti, quindi nel riquadro a comparsa selezionare la casella a sinistra del nome del sito da selezionare.

    Altre informazioni sulla scelta delle origini dati. Al termine, seleziona Avanti.

  7. Nella pagina Dati da monitorare scegliere il tipo di dati personali da monitorare. Sono disponibili due opzioni:

    • Gruppi di classificazione: raggruppamenti di tipi di informazioni riservate usati per rilevare contenuti correlati ai dati personali o a normative specifiche. Se si seleziona questa opzione, sarà necessario selezionare +Aggiungi gruppi di classificazione per scegliere uno o più gruppi nell'elenco fornito.
    • Singoli tipi di informazioni riservate: selezionare questa opzione per scegliere da un elenco di singoli tipi di informazioni riservate.

    Altre informazioni sulla scelta dei dati da monitorare. Dopo aver selezionato i dati da monitorare, seleziona Avanti.

  8. Nella pagina Utenti e gruppi scegliere gli utenti dell'organizzazione a cui applicare il criterio. È possibile selezionare tutti i singoli utenti e tutti i Office 365 gruppi di distribuzione oppure utenti e gruppi specifici. Altre informazioni sulla scelta di utenti e gruppi. Al termine, seleziona Avanti.

  9. Nella pagina Condizioni selezionare il tipo di condizione di trasferimento dati che il criterio rileverà:

    • Trasferimenti all'esterno dell'organizzazione: rileva i trasferimenti da utenti o gruppi all'interno dell'organizzazione a utenti esterni o guest all'esterno dell'organizzazione.
    • Trasferimenti attraverso i confini o le aree geografiche dei paesi: per questa opzione, è necessario selezionare un'area del mittente e un'area geografica del destinatario. Scegli i paesi o le aree geografiche designati dai riquadri a comparsa visualizzati, quindi seleziona Aggiungi.
    • Trasferimenti tra utenti: rileva i trasferimenti in base agli attributi Microsoft Entra degli utenti, ad esempio reparti, codici postali o posizione lavorativa.
    • Trasferimenti tra gruppi di Microsoft 365: rileva i trasferimenti tra utenti di due qualsiasi gruppo di Microsoft 365. Sono incluse le cassette postali di Exchange e i siti di SharePoint associati ai gruppi.
    • Trasferimenti tra siti di SharePoint: rileva quando un elemento contenente dati personali è stato copiato o spostato da un sito di SharePoint a un altro sito di SharePoint.
  10. Nella pagina Risultati decidere se inviare una notifica agli utenti quando vengono soddisfatte le condizioni dei criteri. È possibile scegliere una o entrambe le opzioni seguenti oppure entrambe lasciando vuote le caselle di controllo:

    • Quando il contenuto soddisfa la condizione dei criteri, fornisci agli utenti suggerimenti e consigli per i criteri: i suggerimenti per la gestione dei dati verranno visualizzati nell'istanza di Microsoft Teams di un utente quando eseguono un'azione che soddisfa le condizioni del criterio. È necessario fornire un URL per la formazione sulla privacy preferita, che verrà visualizzata anche nel suggerimento. Ottieni dettagli sul comportamento e gli avvisi dei suggerimenti di Teams.

    • Inviare un messaggio di notifica agli utenti quando si verifica una corrispondenza con i criteri: gli utenti ricevono una notifica tramite posta elettronica quando le azioni corrispondono alle condizioni dei criteri. Dopo aver controllato la casella, è possibile visualizzare in anteprima e modificare il messaggio, quindi impostare la frequenza e fornire un collegamento alla formazione sulla privacy (altre informazioni sui messaggi di posta elettronica di notifica). Le opzioni di correzione nei messaggi di posta elettronica dipendono dall'origine dati:

      • Da SharePoint o OneDrive le opzioni di correzione sono Revoca accesso e Mantieni.
      • Da Teams - le opzioni di correzione sono Cestino e Mantieni.
      • Da Exchange: l'opzione di correzione è Mantieni.

      Dopo aver definito i risultati, selezionare Avanti.

  11. Nella pagina Avvisi usare l'interruttore per attivare gli avvisi che un amministratore visualizzerà nella pagina Avvisi della sezione Criteri di Gestione dei rischi per la privacy. È necessario specificare la frequenza di generazione degli avvisi, le soglie per le corrispondenze prima della generazione degli avvisi e la gravità degli avvisi. Altre informazioni sull'impostazione di avvisi per le corrispondenze ai criteri. Al termine, seleziona Avanti.

  12. Nella pagina Modalità scegliere la modalità in cui inserire il criterio: Testalo per primo o Attivalo immediatamente. In modalità di test non verranno inviati avvisi o notifiche. Altre informazioni sui suggerimenti e su cosa analizzare durante il test di un criterio. Al termine, seleziona Avanti.

  13. Nella pagina Fine esaminare le opzioni disponibili. Selezionare Modifica sotto una delle sezioni per modificare le impostazioni. Quando sei soddisfatto delle impostazioni dei criteri, seleziona Invia per creare il criterio.

Dopo alcuni secondi verrà visualizzata una conferma della creazione del criterio. Selezionare Fine nella pagina di conferma, che consente di passare alla pagina Criteri in cui verrà visualizzato il nuovo criterio nella parte superiore della tabella.

Passaggi successivi

Per informazioni dettagliate su come modificare e gestire i criteri, vedere Criteri di gestione dei rischi per la privacy.

Microsoft Priva dichiarazione di non responsabilità legale