Prepararsi per una nuova era di normative sulla privacy con Microsoft Cloud
Microsoft vanta una lunga esperienza nella protezione dei dati, nella tutela della privacy e nella conformità a normative complesse. Microsoft aderisce a una serie di principi sulla privacy e offre le clausole modello UE a tutti i clienti. Riteniamo che il Regolamento generale sulla protezione dei dati (GDPR) rappresenti un importante passo in avanti per confermare e sostenere il diritto alla privacy del singolo individuo.
Con l’avvicinarsi della data ultima di adeguamento al GDPR, la tua organizzazione dovrà presto dimostrare di aver adottato le misure necessarie per proteggere i dati personali dei clienti in risposta ai controlli regolamentari e alle richieste di informazioni.
Per dimostrare la responsabilità aziendale, è fondamentale implementare controlli di sicurezza adeguati. Altrettanto importante è adottare le procedure appropriate, ad esempio per rispondere alle richieste dei soggetti dei dati (Data Subject Request, DSR) e fornire notifiche in caso di violazioni, in modo da rispettare la conformità al GDPR e allo stesso tempo guadagnare la fiducia dei clienti.
Oggi annunciamo diverse nuove risorse e funzionalità per adempiere agli obblighi del GDPR con Microsoft Cloud. Gli aggiornamenti includono:
- Anteprima pubblica di nuove risorse per la privacy in Microsoft Cloud.
- Nuove funzionalità per gestire le richieste DSR nei servizi Microsoft Cloud per il GDPR.
- Nuove funzionalità Privileged Access Management predisposte per i controlli in Office 365.
- Possibilità di estendere un singolo tenant di Office 365 tra più aree geografiche di data center di Office 365.
Continua a leggere per maggiori informazioni e diversi altri aggiornamenti.
Il Service Trust Portal aiuta a rispettare gli obblighi del GDPR
Per supportare il GDPR oggi annunciamo l’anteprima pubblica di nuove risorse e nuovi strumenti correlati, tra cui DSR e notifiche delle violazioni dei dati per Office 365, Dynamics 365, Azure, Windows, Intune e Professional Services nel Service Trust Portal.
Le risorse per il GDPR includono la documentazione sulle notifiche delle violazioni dei dati, che precisa quando e come Microsoft avviserà la tua e altre organizzazioni in merito a violazioni dei dati personali, quali informazioni verranno fornite da Microsoft e quali strumenti puoi usare per assicurare che le notifiche vengano inviate alle persone giuste.
Abbiamo centralizzato tutte le risorse DSR in un’unica pagina, che include gli strumenti che puoi usare nel Centro sicurezza e conformità di Office 365 e nell’interfaccia di amministrazione di Azure, oltre ai documenti con le istruzioni per individuare, esportare e cancellare i dati da un servizio Microsoft Cloud.
Per saperne di più, visita le risorse per la privacy di Service Trust Portal.
Rispondere alle richieste DSR nei servizi Microsoft Cloud
Per supportare le richieste DSR nei servizi Microsoft Cloud, abbiamo implementato diverse nuove funzionalità, tra cui la scheda Privacy dei dati in Office 365, un portale DSR in Azure e nuove funzionalità di ricerca DSR in Dynamics 365.
- Scheda Privacy dei dati di Office 365: per gestire con una maggiore efficacia ed efficienza le richieste DSR in Office 365, abbiamo aggiunto la scheda Privacy dei dati (in anteprima) nel Centro sicurezza e conformità di Office 365. Nella scheda Privacy dei dati troverai una sezione dedicata al GDPR, che include documentazione e risorse per aiutarti nel percorso di adeguamento al regolamento, oltra a una scheda dedicata all’adempimento delle richieste DSR.
La nuova esperienza DSR è stata pensata per offrire gli strumenti che consentano di creare un caso per una richiesta di dati dell’interessato, cercare e affinare i dati pertinenti in tutte le posizioni di Office 365, come Exchange, SharePoint, OneDrive, Gruppi e ora Microsoft Teams, e quindi esportarli.
Uno scenario DSR può verificarsi ad esempio quando un dipendente che lascia l’azienda chiede che gli vengano forniti i suoi dati. Per gli scenari come questo, è ora disponibile a livello generale per i clienti di Office 365 E5 la funzionalità di Advanced Data Governance per la conservazione dei dati in base a eventi.
Scopri di più sulla scheda Privacy dei dati in Office 365 e sulla conservazione basata su eventi di Advanced Data Governance nel blog della community tecnica.
Per vedere come funziona l’esperienza DSR in Office 365, guarda il video di Mechanics:
- Portale DSR di Azure: la possibilità di elaborare le richieste DSR di Azure è prevista entro la scadenza del 25 maggio 2018, data ultima per conformarsi al GDPR. Gli amministratori dei tenant di Azure avranno uno strumento semplice ma efficace per elaborare le richieste DSR per il GDPR. Tramite il portale DSR di Azure, potranno infatti identificare le informazioni associate a un utente e quindi correggere, modificare, eliminare o esportare i suoi dati. Possono anche identificare le informazioni associate a un soggetto dei dati e potranno elaborare le richieste DSR rispetto a log generati dal sistema, ossia dati prodotti da Microsoft per fornire un determinato servizio.
Portale DSR di Azure per elaborare le richieste DSR.
Per altre informazioni, visita il blog di Azure.
- Funzionalità di ricerca DSR di Dynamics 365: per aiutare i clienti a rispondere alle richieste DSR in Dynamics 365, sono disponibili due nuove funzionalità, la ricerca per pertinenza e il report sulla ricerca di persone. La ricerca per pertinenza consente di trovare risultati in modo semplice e veloce ed è basata sul servizio Ricerca di Azure. Il report sulla ricerca di persone offre una serie predefinita di entità estendibili, create da Microsoft, per identificare i dati personali usati per definire una persona e i ruoli a cui potrebbe essere assegnata.
Gestione delle violazioni dei dati in base al nuovo regolamento GDPR
Per il GDPR, le organizzazioni devono soddisfare requisiti più rigorosi nel caso di violazioni dei dati. Dovranno tra l’altro notificare sia l’autorità di controllo che le persone interessate da una violazione, in genere entro 72 ore dal momento in cui ne sono venute a conoscenza. Microsoft 365 include una serie completa di funzionalità per proteggere l’ambiente, rilevare le violazioni dei dati e rispondere adeguatamente. Ad esempio, Office 365 Advanced Threat Protection (ATP) protegge l’ecosistema di Office 365 dell’organizzazione aiutando a impedire che email o file business critical pericolosi compromettano gli account utente. Lo scopo di Windows Defender ATP è proteggere gli account utente ed evitare che vengano danneggiati da file Web pericolosi o malware dei dispositivi.
Gli allegati sicuri di ATP bloccano gli allegati email pericolosi.
Se Microsoft identifica una violazione dei dati personali, secondo la definizione del GDPR, invierà una notifica all’amministratore del tenant. Inoltre, è consigliabile designare anche un alias di contatto per la privacy in Azure Active Directory, che riceverà una notifica in aggiunta a quella inviata agli amministratori.
Raccolta, elaborazione e revisione del consenso degli utenti con Azure Active Directory
In base al GDPR, le aziende devono ora trovare una soluzione per elaborare il consenso degli utenti, oltre ad avere funzionalità di report per il controllo. Con le condizioni per l’utilizzo di Azure Active Directory, le organizzazioni possono ora raccogliere, elaborare e revisionare il consenso degli utenti con facilità. Possono richiedere agli utenti di visualizzare e accettare le condizioni per l’utilizzo prima di poter accedere a un’applicazione. Le condizioni possono essere qualsiasi documento legato alle pratiche legali o aziendali dell’organizzazione.
Esempio di condizioni per l’utilizzo di Azure Active Directory in più lingue.
Per saperne di più, vedi la documentazione delle condizioni per l’utilizzo di Azure Active Directory.
Controlli per l’accesso amministrativo con privilegi
Mentre le organizzazioni si impegnano a ridurre il rischio di violazione dei dati associato agli account con privilegi, avvertono anche l’esigenza di rispondere alle autorità di controllo e fornire una traccia documentata degli accessi con privilegi, che delinea come avviene l’accesso ai dati dei clienti. Per aiutare le organizzazioni a proteggere i dati e rispondere a questi obblighi di conformità, abbiamo introdotto le nuove funzionalità Privileged Access Management in Microsoft 365, che forniscono controlli con limiti di tempo e possono restringere l’ambito dell’accesso ai dati.
Con le funzionalità Privileged Access Management di Office 365, le organizzazioni possono proteggere più efficacemente i dati registrando o applicando un flusso di lavoro di approvazione con l’ambito definito in base alle attività ad alto rischio all’interno di Office 365. Ad esempio, gli amministratori godono di ampi privilegi per eseguire attività che possono fornire l’accesso illimitato ai dati dell’organizzazione, come una regola di journal, che può inviare email a una cassetta postale esterna e divulgare dati sensibili senza che venga rilevato. Le funzionalità Privileged Access Management in Office 365 consentono di applicare criteri che richiedono l’approvazione prima che chiunque possa eseguire queste attività ad alto rischio. Le richieste di accesso possono essere approvate automaticamente o manualmente e tutte queste attività vengono registrate e possono essere controllate. Per saperne di più, guarda questo video:
Siamo lieti di annunciare la distribuzione dell’anteprima pubblica di Privileged Access Management in Office 365. Per iniziare, visita la pagina delle anteprime di Office (immetti il codice PAM044) e quindi leggi le informazioni dettagliate nel blog della community tecnica.
Soddisfare i requisiti di residenza globale dei dati
Sempre più spesso governi, autorità di controllo indipendenti e organizzazioni con requisiti di conformità adottano linee guida sulla residenza dei dati per questioni di privacy. Queste linee guida limitano il flusso libero di informazioni a livello transfrontaliero e impongono alle organizzazioni di archiviare i loro dati entro aree geografiche definite. Anche se il GDPR non prevede obblighi in merito alla residenza dei dati, molti clienti ci segnalano l’esigenza di archiviare i loro dati con flessibilità, in aree geografiche a loro scelta per soddisfare requisiti di residenza dei dati locali, specifici del settore o aziendali.
La funzionalità Multi-Geo Capabilities consente di estendere un singolo tenant di Office 365 tra più aree geografiche di data center e offrono ai clienti la possibilità di archiviare i loro dati di Office 365, per ogni singolo dipendente, in aree geografiche a loro scelta. Questa funzionalità è stata introdotta per Exchange Online e OneDrive for Business. Per saperne di più, leggi le informazioni sui controlli per la posizione globale dei dati con Multi-Geo Capabilities in Office 365.
Inizia oggi stesso il percorso di adeguamento al GDPR con Microsoft Cloud
A prescindere dalla fase che hai raggiunto nel percorso di adeguamento al GDPR, possiamo aiutarti con diverse risorse disponibili per iniziare oggi stesso:
- Scarica il white paper gratuito e l’eBook.
- Segui una valutazione online gratuita del GDPR.
Scopri di più su come Microsoft può aiutarti a prepararti per il regolamento GDPR.
– Alym Rayani, responsabile del team Microsoft 365