Misure di sicurezza di alto livello dell'Esquema Nacional de Seguridad (ENS) spagnolo

Informazioni generali sull'ENS spagnolo

Nel 2007 il governo spagnolo ha promulgato la Legge 11/2007, un quadro normativo per concedere ai cittadini l'accesso elettronico ai servizi governativi e pubblici. Questa legge è la base dell'Esquema Nacional de Seguridad regolamentato dal Decreto Reale (RD) 3/2010. L'obiettivo del quadro normativo consiste nel consolidare la fiducia nella fornitura di servizi elettronici e assicurare l'accesso, l'integrità, la disponibilità, l'autenticità, la riservatezza, la tracciabilità e la conservazione di dati, informazioni e servizi.

Si applica a tutte le agenzie governative ed enti pubblici spagnoli che acquistano servizi cloud, nonché ai fornitori di tecnologie ICT (Information and Communications Technologies). Assiste le agenzie e gli enti nell'implementare controlli efficaci per la sicurezza nel cloud e in locale, nel rispetto degli standard di privacy e sicurezza spagnoli e europei.

Il quadro normativo stabilisce criteri chiave e requisiti obbligatori che le agenzie governative e i relativi provider di servizi devono adottare. Definisce un insieme di controlli di sicurezza specifici, molti dei quali allineati direttamente allo standard ISO/IEC 27001, relativamente a disponibilità, autenticità, integrità, riservatezza e tracciabilità. Il livello di riservatezza delle informazioni basso, intermedio o alto, determina le misure di sicurezza che devono essere adottate per proteggerle.

Rispetto alla sicurezza, ogni agenzia governativa deve adottare un approccio basato sulla gestione dei rischi con cui identificare e valutare i rischi, quindi applicare i controlli di sicurezza appropriati. Anche i provider di servizi devono adeguarsi ai rigorosi requisiti del quadro normativo per assicurarsi che le procedure, le competenze tecniche e le operazioni siano sicure e permettere alle agenzie di adeguarsi alle normative.

Il quadro normativo prevede un processo di accreditamento facoltativo per i sistemi che gestiscono le informazioni con un livello di riservatezza basso, ma obbligatorio per quelli che gestiscono le informazioni con un livello medio o alto di riservatezza. Il controllo viene eseguito da un revisore indipendente accreditato. Il report viene quindi riesaminato durante un processo di certificazione prima dell'accettazione dei controlli di gestione dei rischi nella fase finale dell'accreditamento.

Microsoft e le misure di sicurezza di alto livello dell'ENS spagnolo

Microsoft Azure e Microsoft Office 365 sono stati sottoposti a una valutazione rigorosa da parte di BDO, un revisore indipendente, che ha rilasciato una dichiarazione di adeguamento ufficiale. BDO dichiara che le misure di sicurezza di entrambi i servizi e le rispettive informazioni di sistema e le strutture di elaborazione dati, sono conformi al RD 3/2010 senza bisogno di alcuna misura correttiva. Microsoft è stato il primo provider di servizi cloud iperscalabile a ottenere questa certificazione in Spagna.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

• Azure
• Office 365

Office 365 ed ENS High

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

• Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
• Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
• Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
• Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
• Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità	Servizi inclusi nell'ambito
Commerciale	Exchange Online, Exchange Online Protection, Microsoft Teams, MyAnalytics, Portale per i clienti di Office 365, Office Online, Infrastruttura di servizio di Office, Outlook Mobile, SharePoint Online, Skype for Business

Controlli, report e certificati

La certificazione è valida due anni, con l'obbligo di un controllo di sorveglianza annuale.

Azure

• Certificazione di Azure ai sensi del Quadro normativo nazionale di sicurezza ENS
• Report di controllo di Azure ai sensi del Quadro normativo nazionale di sicurezza spagnolo (ENS)
• Report di controllo di Azure ai sensi del Quadro normativo nazionale di sicurezza spagnolo (ENS)
• Certificazione ai sensi del Quadro normativo nazionale di sicurezza spagnolo (ENS)

Office 365

• Certificazione di Office 365 ai sensi del Quadro normativo nazionale di sicurezza ENS
• Report di controllo di Office 365 ai sensi del Quadro normativo nazionale di sicurezza spagnolo (ENS)
• Report di controllo di Office 365 ai sensi del Quadro normativo nazionale di sicurezza spagnolo (ENS)
• Certificazione di Office 365 ai sensi del Quadro normativo nazionale di sicurezza spagnolo (ENS)

Domande frequenti

Come posso ottenere copie dei report di controllo e delle certificazioni?

Il Service Trust Portal rende disponibili i report di controllo e le certificazioni in inglese e spagnolo. I revisori possono usarli per confrontare i risultati dei servizi cloud Microsoft con i requisiti normativi e legali che ti riguardano.

Qual è la fase iniziale del percorso di adeguamento della mia organizzazione?

Se la tua organizzazione usa Azure o Office 365, puoi usare l'accreditamento e il report di controllo ENS di Microsoft ai fini del tuo processo di accreditamento. Hai tuttavia la responsabilità di affidare l'incarico a un revisore affinché valuti la tua implementazione in termini di conformità e di garantire che i controlli e i processi all'interno dell'organizzazione siano in linea con il quadro normativo.

Risorse

• Esquema Nacional de Seguridad di Spagna (Spagnolo e Inglese)
• Condizioni di Microsoft Online Services
• Conformità nel Centro protezione Microsoft