Condividi tramite


Notifica di violazione di Microsoft Azure, Dynamics 365 e Power Platform ai sensi del GDPR

Per Microsoft, il rispetto degli obblighi derivanti dal Regolamento generale sulla protezione dei dati (GDPR) è importante. Microsoft adotta misure di sicurezza estese all'interno del suo Servizi online per proteggere da violazioni dei dati. Queste misure includono controlli di sicurezza fisici e logici, nonché processi di sicurezza automatizzati, politiche complete sulla sicurezza delle informazioni e sulla privacy e formazione sulla sicurezza e sulla privacy per tutto il personale.

La sicurezza è integrata in Microsoft Azure, Dynamics 365 e Power Platofrm fin dall'inizio, a partire dal ciclo di vita dello sviluppo della sicurezza, un processo di sviluppo obbligatorio che incorpora metodologie di privacy by design e privacy per impostazione predefinita. Il principio guida della strategia di sicurezza di Microsoft è "presupporre una violazione", che è un'estensione della strategia di difesa approfondita. Sfidando costantemente le funzionalità di sicurezza di Microsoft Azure, Dynamics 365 e Power Platofrm Microsoft può rimanere al passo con le minacce emergenti. Per altre informazioni sulla sicurezza di Azure, vedere queste risorse.

Microsoft dispone di un servizio di risposta agli eventi imprevisti globale dedicato 24x7 che consente di attenuare gli effetti degli attacchi contro Microsoft Azure, Dynamics 365 e Power Platform. Attestato da più controlli di sicurezza e conformità (ad esempio , ISO/IEC 27018), Microsoft impiega operazioni e processi rigorosi nei propri data center per impedire l'accesso non autorizzato, tra cui monitoraggio video 24x7, personale di sicurezza qualificato, smart card e controlli biometrici.

Rilevamento di potenziali violazioni

A causa della natura del cloud computing moderno, non tutte le violazioni dei dati che si verificano in un ambiente cloud dei clienti coinvolgono Servizi Microsoft Azure, Dynamics 365 o Power Platform. Microsoft usa un modello di responsabilità condivisa per i servizi Microsoft Azure, Dynamics 365 e Power Platform per definire le funzionalità di sicurezza e account operativi. La responsabilità condivisa è un aspetto importante quando si parla di sicurezza di un servizio cloud, poiché sia il fornitore di servizi cloud sia il cliente sono responsabili di diverse parti della sicurezza del cloud.

Microsoft non monitora né risponde agli eventi imprevisti di sicurezza nell'ambito della responsabilità del cliente. Una compromissione della sicurezza solo del cliente non verrebbe elaborata come un evento imprevisto di sicurezza Microsoft e richiederebbe al tenant del cliente di gestire il lavoro di risposta. La risposta agli eventi imprevisti dei clienti può comportare la collaborazione con il supporto clienti di Microsoft Azure, Dynamics 365 supporto clienti e/o il supporto clienti di Power Platform, in base a contratti di servizio appropriati. Microsoft offre anche vari servizi (ad esempio, Microsoft Defender per il cloud) che i clienti possono usare per lo sviluppo e la gestione della risposta agli eventi imprevisti di sicurezza.

Microsoft risponde a una potenziale violazione dei dati in base al processo di risposta agli eventi imprevisti di sicurezza, che è un sottoinsieme del piano di gestione degli eventi imprevisti Microsoft. La risposta agli eventi imprevisti di sicurezza di Azure di Microsoft viene implementata usando un processo in cinque fasi: rilevamento, valutazione, diagnosi, stabilizzazione e chiusura. Il team di risposta in caso di incidenti di sicurezza può alternare le fasi di diagnosi e stabilizzazione man mano che l'indagine procede. Di seguito è riportata una panoramica del processo di risposta in caso di incidenti di sicurezza:

Fase Descrizione
1: Rilevamento Prima indicazione di un potenziale incidente.
2: Valutazione Un membro del team di risposta agli eventi imprevisti su chiamata valuta l'impatto e la gravità dell'evento. In base alle prove, la valutazione può causare o meno un'ulteriore escalation al team di risposta alla sicurezza.
3: Diagnostica Gli esperti del team di intervento della sicurezza svolgono le indagini tecniche o forensi, identificano le strategie di contenimento, mitigazione e le soluzioni alternative. Se il team della sicurezza ritiene che i dati del cliente potrebbero essere stati esposti a un individuo non autorizzato o a un criminale, il processo di notifica dell'incidente al cliente si svolge in parallelo.
4: Stabilizzazione e ripristino Il team di risposta agli eventi imprevisti crea un piano di ripristino per mitigare il problema. I passaggi di contenimento della crisi, ad esempio la quarantena dei sistemi interessati, possono verificarsi immediatamente e in parallelo con la diagnosi. È possibile pianificare mitigazioni a lungo termine che si verificano dopo il superamento del rischio immediato.
5: Chiusura e relazione finale Il team di intervento per gli incidenti crea una relazione finale dettagliata dell'incidente finalizzata alla revisione di criteri, procedure e interventi per prevenire il ripetersi dell'evento.

I processi di rilevamento usati da Microsoft Azure, Dynamics 365 e Power Platform sono progettati per individuare gli eventi che rischiano la riservatezza, l'integrità e la disponibilità dei servizi Azure, Dynamics 365 e Power Platform. Diversi eventi possono dare il via a un'indagine:

  • Avvisi di sistema automatici tramite framework di monitoraggio e avviso interni. Questi avvisi potrebbero interferire con avvisi basati su firma come antimalware, rilevamento di intrusioni o tramite algoritmi progettati per tracciare il profilo dell'attività prevista e segnalare anomalie.
  • Report di prima parte dei servizi Microsoft in esecuzione su Microsoft Azure e Azure per enti pubblici.
  • Le vulnerabilità di sicurezza vengono segnalate a Microsoft Security Response Center (MSRC) tramite Segnalare un problema. MSRC collabora con partner e ricercatori di sicurezza di tutto il mondo per prevenire gli incidenti e migliorare la sicurezza dei prodotti Microsoft.
  • Report dei clienti tramite portali, tra cui il portale del supporto clienti di Microsoft Azure, Dynamics 365 il supporto clienti, il supporto clienti di Power Platform, il portale di Microsoft Azure e il portale di gestione Azure per enti pubblici, che descrivono le attività sospette attribuiti all'infrastruttura di Azure (anziché le attività che si verificano nell'ambito del cliente di responsabilità).
  • Attività di Red Team e Blue Team per la sicurezza. Questa strategia usa un red team altamente qualificato di esperti di sicurezza Microsoft offensivi per individuare e attaccare potenziali debolezze in Microsoft Azure. Il Blue Team di intervento per la sicurezza deve rilevare e difendersi dall'attività del Read Team. Le azioni del Red team e del Blue Team vengono usate per verificare che gli interventi per la sicurezza di Azure gestiscano in modo efficace gli incidenti. Le attività di Security Red Team e Blue Team vengono gestite in base alle regole di engagement per garantire la protezione dei dati dei clienti e dei dati personali.
  • Escalation da parte degli operatori di Microsoft Azure, Dynamics 365 e Power Platform Services. I dipendenti Microsoft sono addestrati per identificare e inoltrare potenziali problemi riguardanti la sicurezza.

Risposta alla violazione dei dati di Microsoft Azure, Dynamics 365 e Power Platform

Microsoft assegna all'indagine adeguati livelli di priorità e gravità determinando l'impatto funzionale, la recuperabilità e l'impatto dell'evento sulle informazioni. La priorità e la gravità possono cambiare nel corso dell'indagine sulla base di nuove scoperte e conclusioni. Gli eventi di sicurezza che comportano rischi imminenti o confermati per i dati del cliente sono considerati di gravità elevata e vengono seguiti 24 ore su 24 fino a quando non vengono risolti.

Il team di risposta agli eventi imprevisti della sicurezza collabora con i tecnici del servizio Microsoft e gli esperti in materia applicabili per classificare l'evento in base ai dati fattuali delle prove. Un evento di sicurezza può essere classificato come:

  • Falso positivo: evento che soddisfa i criteri di rilevamento, ma che fa parte di una normale pratica aziendale e può essere necessario filtrare. I team di servizio identificheranno la causa radice dei falsi positivi e li affronteranno in modo sistematico per ottimizzarli in base alle esigenze.
  • Evento di sicurezza: si è verificato un evento osservabile in un sistema, un servizio e/o una rete per tentativi di attacco, aggirare i controlli di sicurezza. Oppure un problema identificato in cui i fatti indicano che i dati del cliente o i dati personali potrebbero essere stati persi, eliminati, modificati, divulgati o accessibili senza autorizzazione.
  • Incidente di sicurezza/Evento imprevisto per la sicurezza segnalabile dal cliente/Evento imprevisto sulla privacy (CRSPI): una violazione confermata (ad esempio dichiarata) della sicurezza che causa la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali o ai dati personali dei clienti durante l'elaborazione da parte di Microsoft.
  • Evento di privacy: evento di sicurezza che influisce sui dati dei clienti o sui dati personali o sul trattamento dei dati che comporta conseguenze impreviste per la privacy, inclusa la non conformità con le politiche, gli standard e i controlli sulla privacy di Microsoft.
  • Evento imprevisto della privacy/Evento imprevisto della privacy segnalabile dal cliente(CRSPI): evento imprevisto di sicurezza che interessa i dati dei clienti o i dati personali, i dati o l'elaborazione dei dati che comporta conseguenze impreviste per la privacy, tra cui la non conformità con le politiche, gli standard e i controlli microsoft sulla privacy.

Per dichiarare un CRSPI, Microsoft deve stabilire che l'accesso non autorizzato ai dati del cliente è effettivamente o probabilmente avvenuto e/o che esiste un impegno legale o contrattuale perché la notifica abbia luogo. Un incidente viene generalmente dichiarato un CRSPI dopo la conclusione della fase diagnostica di un incidente di sicurezza. Tuttavia, la dichiarazione può avvenire in qualsiasi momento, in modo che tutte le informazioni pertinenti siano disponibili.

Microsoft verifica che il rischio del cliente e dell'azienda sia contenuto correttamente e che vengano implementate misure correttive. Se necessario, vengono eseguiti i passaggi di mitigazione di emergenza per risolvere i rischi di sicurezza immediati associati all'evento.

Microsoft completa anche una relazione finale interna per violazioni dei dati. Come parte di questo esercizio, viene valutata l'adeguatezza delle procedure di risposta e operative e vengono identificati e implementati tutti gli aggiornamenti che potrebbero essere necessari per la procedura operativa standard di risposta agli eventi imprevisti di sicurezza o i processi correlati. La relazione finale interna per violazioni dei dati è un registro altamente riservato che non è disponibile per i clienti. Le relazioni finali, tuttavia, possono essere riepilogate e incluse nelle altre notifiche di eventi relative al cliente. Questi report vengono forniti ai revisori esterni per la revisione nell'ambito dei cicli di controllo di routine di Microsoft Azure, Dynamics 365 e Power Platform.

Notifica al cliente

Microsoft invia una notifica ai clienti interessati e alle autorità competenti sulle violazioni dei dati come previsto. Microsoft si basa su una forte compartimentazione interna nel funzionamento di Microsoft Azure, Dynamics 365 e Power Platform. Un vantaggio di questa struttura è che la maggior parte degli incidenti può essere ricondotta a clienti specifici. L'obiettivo è fornire ai clienti interessati una comunicazione accurata, attuabile e tempestiva nel momento in cui i dati vengono violati.

Dopo aver dichiarato un CRSPI, il processo di notifica si verificherà nel modo più rapido possibile, pur considerando i rischi per la sicurezza del passaggio rapido. Le notifiche dei clienti vengono recapitate senza ritardi indebiti e, in ogni caso, in non più di 72 ore dal momento in cui è stata dichiarata una violazione , ad eccezione di alcune circostanze limitate, alcuni esempi sono i seguenti:

  • Microsoft ritiene che l'esecuzione di una notifica aumenti il rischio per altri clienti. Ad esempio, l'atto di notifica può dare una mancia a un avversario e causare un'impossibilità di correzione.
  • La sequenza temporale di 72 ore potrebbe lasciare alcuni dettagli degli eventi imprevisti non disponibili. Questi vengono forniti ai clienti e alle autorità di regolamentazione man mano che procedono le indagini.

Microsoft fornisce ai clienti informazioni dettagliate affinché possano svolgere indagini interne e rispettare gli impegni assunti con gli utenti finali, senza ritardare ingiustificatamente il processo di notifica. La notifica di una violazione dei dati per Azure verrà recapitata al pannello notifiche sull'integrità dei servizi di Microsoft Azure di un cliente come avviso di sicurezza. Se giustificato, uno o più dei ruoli seguenti possono essere notificati tramite posta elettronica di un evento imprevisto per la sicurezza o la privacy in combinazione o al posto di una notifica sull'integrità del servizio:

Il team di Microsoft Azure o Azure per enti pubblici può anche scegliere di inviare una notifica ad altri membri del personale Microsoft, ad esempio i membri del team del servizio di supporto clienti (CSS) microsoft e i responsabili degli account (AM) o CSAM (Customer Success Account Manager) del cliente. Tali figure hanno spesso strette relazioni con il cliente e possono facilitare una correzione più rapida.

La notifica di una violazione dei dati per Microsoft Dynamics 365 e Power Platform verrà recapitata al interfaccia di amministrazione di Microsoft 365 in "Centro messaggi" e "Integrità dei servizi dashboard". Per altre informazioni, vedere Criteri e comunicazioni per Power Platform e servizi di Dynamics 365.

Funzionalità di sicurezza predefinite di Microsoft Dynamics 365 e Power Platform

Microsoft Dynamics 365 e Power Platform sfruttano l'infrastruttura del servizio cloud e le funzionalità di sicurezza predefinite per proteggere i dati usando misure e meccanismi di sicurezza per proteggere i dati. Inoltre, Dynamics 365 e Power Platform offrono accesso efficiente ai dati e collaborazione con l'integrità e la privacy dei dati nelle aree seguenti: identità sicura, protezione dei dati, sicurezza basata sui ruoli e gestione delle minacce.

Le offerte Microsoft Dynamics 365 e Power Platform seguono le stesse misure tecniche e organizzative adottate da uno o più team di servizi di Microsoft Azure per la protezione contro i processi di violazione dei dati. Pertanto, tutte le informazioni documentate nel documento di notifica "Violazione dei dati di Microsoft Azure" si applicano anche a Microsoft Dynamics 365 e Power Platform.

Ulteriori informazioni

Centro protezione Microsoft