Panoramica della gestione dei dati & della privacy
In che modo Microsoft affronta la privacy per i clienti?
L'impegno di Microsoft per la protezione dei dati dei clienti è indicato nelle Condizioni del prodotto e nell'Addendum per la protezione dei dati (DPA). L'approccio alla privacy di Microsoft si basa sui principi seguenti: controllo dei clienti, trasparenza, sicurezza, difesa dei dati dall'accesso di terze parti, nessun targeting basato sui contenuti e conformità alle leggi e alle normative pertinenti. Per altre informazioni, vedere Privacy at Microsoft e il Report sulla privacy di Microsoft per altre informazioni sull'approccio di Microsoft alla protezione della privacy.
In che modo Microsoft implementa i propri impegni in materia di privacy?
Microsoft mantiene l'Informativa sulla privacy aziendale Microsoft e microsoft Privacy Standard per garantire che vengano soddisfatti gli impegni in materia di privacy in tutta l'azienda. Microsoft ha consigli di governance, consigli di amministrazione e comitati per supportare l'adozione e l'implementazione coerenti e conformi dei nostri requisiti di privacy aziendali. Il programma microsoft per la privacy inizia con un modello di governance "hub and spoke", in cui la responsabilità della conformità viene condivisa nell'intera azienda, alcune sono centralizzate e altre vengono distribuite. L'"hub" del team per la privacy aziendale di Microsoft è il gruppo CELA (Corporate, External, and Legal Affairs). Gli spoke si trovano all'interno dei gruppi funzionali e di progettazione dell'azienda.
Microsoft dispone anche di standard di gestione dei dati che forniscono indicazioni su come gestire ogni tipo di classificazione dei dati all'interno di attività o scenari specifici, inclusi i requisiti per soddisfare gli obblighi descritti nelle Condizioni del prodotto e nella DPA.
In che modo Microsoft raccoglie ed elabora i dati dei clienti?
Il ciclo di vita dei dati descrive il modo in cui Microsoft elabora i dati in base alle indicazioni dei clienti e in conformità alle leggi applicabili in materia di sicurezza e privacy, come indicato nelle Condizioni del prodotto e nella DPA. Le fasi del ciclo di vita dei dati includono raccolta, elaborazione, archiviazione, condivisione di terze parti (se applicabile), conservazione, trasferimento ed eliminazione. L'approccio di Microsoft alla privacy informa ogni fase del ciclo di vita dei dati per proteggere la privacy dei clienti.
Microsoft limita la raccolta dei dati dei clienti a tre categorie di dati: dati dei clienti, dati personali e dati dei servizi professionali definiti nel DPA. Microsoft usa ed elabora i dati di queste categorie per fornire prodotti e servizi in base alle istruzioni documentate dei clienti e per gli eventi imprevisti delle operazioni aziendali per fornire i prodotti e i servizi. Le descrizioni specifiche di queste attività di utilizzo ed elaborazione sono definite nelle sezioni "Elaborazione per fornire al cliente i prodotti e i servizi" e "Elaborazione degli eventi imprevisti delle operazioni aziendali per fornire i prodotti e i servizi al cliente", rispettivamente.
In che modo Microsoft gestisce la condivisione di terze parti?
Per condivisione con terzi si intende la condivisione o la successiva divulgazione dei dati a terze parti. Microsoft condividerà i dati solo se autorizzati dal cliente o richiesti dalla legge applicabile. Microsoft non concede ad alcun governo (incluse le forze dell'ordine o altri enti governativi) l'accesso diretto o incondizionato ai dati dei clienti. Per altre informazioni, vedere il report sulle richieste delle forze dell'ordine e il rapporto sugli ordini di sicurezza nazionale degli Stati Uniti per informazioni su come Microsoft risponde alle richieste governative di accesso ai dati.
Microsoft usa subprocessori o subappaltatori?
Per informazioni sulla gestione dei fornitori da parte di Microsoft, vedere la pagina Gestione fornitori .
Chi ha accesso ai dati dei clienti all'interno di Microsoft?
Per informazioni su come Microsoft gestisce l'accesso ai dati dei clienti, vedere la pagina Gestione delle identità e degli accessi .
Dove si trovano i dati dei clienti?
Per Core Online Services, vedere i nostri impegni descritti nelle Condizioni del prodotto e nel DPA per trovare le informazioni più aggiornate sulla posizione dei dati dei clienti.
Come descritto nel DPA per i servizi online di base, Microsoft archivia i dati dei clienti inattivi in determinate aree geografiche principali (ognuna, un'area geografica) come indicato nelle Condizioni del prodotto. Per i servizi commerciali nell'ambito del limite dei dati dell'UE di Microsoft, Microsoft archivia ed elabora i dati dei clienti all'interno dell'Unione Europea, come indicato nelle Condizioni del prodotto. Microsoft non controlla né limita le aree da cui gli utenti finali del cliente o del cliente possono accedere o spostare i dati dei clienti.
Per altre informazioni, visitare Microsoft Privacy - Where is Your Data Located (Privacy Microsoft - Dove si trovano i dati).
Per i servizi di Azure e M365, visitare La residenza dei dati di Azure e le posizioni dei dati M365.
Altri percorsi dati dei servizi:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Defender per identità criteri per i dati personali
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Microsoft Professional Services
- Microsoft Threat Protection
Limite dei dati di Microsoft EU
Il 6 maggio 2021, Microsoft ha annunciato il limite dei dati dell'UE per Microsoft Cloud, il nuovo impegno di Microsoft per i clienti in Europa. Il limite dei dati dell'UE è un limite geograficamente definito all'interno del quale Microsoft si è impegnata a archiviare ed elaborare i dati dei clienti per i principali Servizi online, tra cui Azure, Dynamics 365, Power Platform e Microsoft 365, in circostanze limitate in cui i dati dei clienti continueranno a essere trasferiti al di fuori del limite dei dati dell'UE.
Per altre informazioni, vedere:
In che modo Microsoft elimina i dati dei clienti quando un cliente lascia il servizio?
Microsoft Data Handling Standard specifica per quanto tempo i dati dei clienti vengono conservati dopo l'eliminazione. Quando un cliente termina la sottoscrizione, Microsoft conserva i dati dei clienti in un account di funzione limitato per 90 giorni per consentire al cliente di estrarre i dati. Al termine del periodo di conservazione di 90 giorni, Microsoft eliminerà i dati dei clienti, a meno che non siano autorizzati a conservarli o non siano tenuti a conservarli per legge. Non più di 180 giorni dopo la scadenza o la chiusura di una sottoscrizione a Microsoft Servizi online, Microsoft disabilita l'account ed elimina tutti i dati dei clienti dall'account. Una volta trascorso il periodo di conservazione massimo per tutti i dati, il rendering dei dati viene reso commercialmente irreversibile.
Microsoft elimina anche tutti i dati di diagnostica e generati dal servizio come parte del ciclo di vita dei dati Microsoft standard, a meno che i dati non siano necessari per mantenere la sicurezza e la stabilità del servizio. Per qualsiasi abbonamento, un sottoscrittore può contattare il Supporto tecnico Microsoft e richiedere il deprovisioning rapido della sottoscrizione. Quando un cliente usa questo processo, tutti i dati utente vengono eliminati 3 giorni dopo che l'amministratore immette il codice di blocco fornito da Microsoft. Questa eliminazione include i dati in SharePoint Online e Exchange Online in attesa o archiviati in cassette postali inattive.
Microsoft segue le linee guida NIST SP-800-88 per la distruzione dei dispositivi che sono in grado di contenere dati, come descritto nell'articolo Distruzione dei dispositivi contenenti dati .
Normative esterne correlate & certificazioni
I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli correlati alla privacy, vedere la tabella seguente.
Azure e Dynamics 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
| ISO 27018 Dichiarazione di applicabilità Certificato |
A-2.1: Scopo del processore di informazioni personali del cloud pubblico | 6 novembre 2023 |
| ISO 27701 Dichiarazione di applicabilità Certificato |
Tutti i controlli | 6 novembre 2023 |
| SOC 1 | DS-15: Risoluzione/scadenza della sottoscrizione del cliente SDL-1: metodologia del ciclo di vita dello sviluppo della sicurezza (SDL) LA-4: Protezione dei dati riservati dei clienti |
17 novembre 2023 |
| SOC 2 SOC 3 |
DS-15: Risoluzione/scadenza della sottoscrizione del cliente SDL-1: metodologia del ciclo di vita dello sviluppo della sicurezza (SDL) LA-4: Protezione dei dati riservati dei clienti SOC2-1: Classificazione degli asset SOC2-7: Obblighi di riservatezza e sicurezza pubblicati |
17 novembre 2023 |
Microsoft 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
| ISO 27018 Dichiarazione di applicabilità Certificato |
A-2.1: Scopo del processore di informazioni personali del cloud pubblico | Marzo 2024 |
| ISO 27701 Dichiarazione di applicabilità Certificato |
Tutti i controlli | Marzo 2024 |
| SOC 2 | CA-12: Contratti di servizio CA-17: Criteri di sicurezza Microsoft CA-25: Aggiornamenti del framework di controllo |
23 gennaio 2024 |
Risorse
- Centro protezione Microsoft: Principi sulla privacy: Principi di privacy
- Conformità ai requisiti di trasferimento dell'UE per i dati personali in Microsoft Cloud
- Informazioni sulla privacy e sulla protezione dei dati di Microsoft Professional Services
- Domande frequenti sulla valutazione dell'impatto sul trasferimento dei dati
- Data Residency, sovranità dei dati e conformità nel cloud Microsoft
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per