Code of Practice per la protezione dei dati personali nel cloud ISO/IEC 27018

Panoramica di ISO/IEC 27018

International Organization for Standardization (ISO) è un'organizzazione non governativa indipendente nonché il più grande sviluppatore al mondo di standard internazionali volontari. La famiglia di standard ISO/IEC 27000 aiuta le organizzazioni di ogni tipo e dimensione a mantenere protette le risorse di informazioni.

Nel 2014, ISO ha adottato ISO/IEC 27018:2014, un addendum a ISO/IEC 27001, il primo Code of Practice internazionale per la privacy nel cloud. Basato sulle leggi per la protezione dei dati dell'Unione Europea, fornisce linee guida specifiche ai provider di servizi cloud (CSP) che elaborano informazioni personali (PII) per la valutazione dei rischi e per l'implementazione di controlli all'avanguardia per proteggere tali informazioni.

Microsoft e ISO/IEC 27018

Almeno una volta all'anno, Microsoft Azure e Azure Germania vengono sottoposti a controlli di conformità agli standard ISO/IEC 27001 e ISO/IEC 27018 svolti da un organismo di certificazione di terze parti, che fornisce una convalida indipendente dell'implementazione e dell'efficacia dei controlli di sicurezza applicabili. Come parte del processo di verifica della conformità, gli auditor accertano nella loro dichiarazione di applicabilità che i servizi cloud e i servizi di supporto tecnico commerciali Microsoft che rientrano nell'ambito includono i controlli ISO/IEC 27018 per la protezione delle informazioni personali presenti in Azure. Per mantenere la conformità, i servizi cloud Microsoft devono essere soggetti a revisioni annuali di terze parti.

Seguendo gli standard ISO/IEC 27001 e il Code of Practice integrato in ISO/IEC 27018, Microsoft, il primo tra i principali provider di servizi cloud ad adottarlo, dimostra che i criteri e le procedure di privacy che applica sono affidabili e in linea con standard elevati.

  • I clienti dei servizi cloud Microsoft sanno dove sono archiviati i loro dati. Poiché ISO/IEC 27018 richiede che i CSP comunichino ai clienti i paesi in cui i loro dati possono essere archiviati, i clienti dei servizi cloud Microsoft hanno la visibilità necessaria per l'adeguamento a qualsiasi regola applicabile di sicurezza delle informazioni.
  • I dati dei clienti non verranno usati per scopi di marketing o pubblicitari senza il consenso esplicito. Alcuni CSP usano i dati dei clienti per propri scopi commerciali, inclusa la pubblicità mirata. Poiché Microsoft ha adottato lo standard ISO/IEC 27018 per i propri servizi enterprise cloud interni all'ambito, ai clienti è assicurato che i loro dati non verranno mai usati per tali scopi senza il loro consenso esplicito e che tale consenso non potrà essere una condizione per l'utilizzo del servizio cloud.
  • I clienti Microsoft sanno cosa accade alle informazioni personali. ISO/IEC 27018 richiede criteri che consentano la restituzione, il trasferimento e l'eliminazione sicura delle informazioni personali entro un periodo di tempo ragionevole. Se Microsoft collabora con altre società che necessitano di accedere ai dati dei clienti, comunicherà preventivamente le identità di tali responsabili secondari del trattamento.
  • Microsoft ottempera esclusivamente alle richieste di divulgazione dei dati dei clienti legalmente vincolanti. Se Microsoft dovesse ottemperare a una richiesta di questo tipo, ad esempio in caso di indagine penale, ne informerà sempre il cliente a meno che ciò non sia proibito per legge.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure, Azure per enti pubblici e Azure Germania
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 e Dynamics 365 Germany
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Professional Services: premier e locale per Azure, Dynamics 365, Intune e per le medie e grandi imprese clienti di Microsoft 365 per le aziende
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Microsoft Threat Experts
  • Microsoft Stream
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
  • Office 365 Germany
  • Mapping dei servizi OMS
  • Power Automate (in precedenza Microsoft Flow): servizio cloud autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
  • Servizio cloud PowerApps: autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
  • Servizio cloud Power BI: autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender per endpoint: Rilevamento e reazione dagli endpoint, Analisi e risoluzione automatiche, Secure Score
  • Windows 365

Azure, Dynamics 365 e ISO ISO/IEC 27018

Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure ISO/IEC 27018.

Office 365 e ISO ISO/IEC 27018

Ambienti cloud di Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione tratta i seguenti ambienti cloud di Office 365:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Access online, Azure Active Directory, Servizi di comunicazioni Azure, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-on, Portale per i clienti Office 365, microservizi Office 365 (inclusi, a titolo esemplificativo, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Syphon, Voce, StaffHub, eXtensible Application Program), Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Servizio di crittografia con chiave cliente, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Servizi di comunicazioni Azure, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, componente aggiuntivo Office 365 Advanced Compliance, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High Azure Active Directory, Servizi di comunicazioni Azure, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, componente aggiuntivo Office 365 Advanced Compliance, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Azure Active Directory, Servizi di comunicazioni Azure, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, componente aggiuntivo Office 365 Advanced Compliance, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Controlli, report e certificati di Office 365

I servizi cloud e i servizi di supporto tecnico commerciali Microsoft vengono controllati una volta all'anno per verificare l'adeguamento al Code of Practice ISO/IEC 27018 come parte del processo di certificazione per ISO/IEC 27001.

Domande frequenti

A chi si applica ISO/IEC 27018?

Questo Code of Practice si applica ai provider di servizi cloud che elaborano per contratto informazioni personali per altre organizzazioni. In Microsoft si applica anche al supporto dei provider di servizi cloud.

Qual è la differenza tra "titolari del trattamento delle informazioni personali" e "responsabili del trattamento delle informazioni personali"?

Nel contesto di ISO/IEC 27018:

  • I "titolari" controllano la raccolta, la conservazione, l'elaborazione o l'uso delle informazioni personali; includono chi controlla le informazioni per conto di un'altra società.
  • I "responsabili del trattamento" elaborano le informazioni per conto dei titolari, non prendono decisioni su come usare le informazioni o sugli scopi dell'elaborazione. Microsoft, come fornitore di servizi cloud aziendali ai propri clienti, è un responsabile del trattamento delle informazioni personali.

Dove posso consultare le informazioni sulla conformità di Office 365 agli standard ISO/IEC 27018?

  • È possibile esaminare i certificati ISO/IEC 27018 di BSI (il revisore indipendente che ha convalidato la conformità Microsoft con ISO/IEC 27018) per Office 365.

Posso usare la conformità di Microsoft nel processo di certificazione della mia organizzazione?

Sì. Se la conformità agli standard ISO/IEC 27018 è importante per l'azienda e per le implementazioni distribuite in qualsiasi servizio cloud aziendale Microsoft rientrante nell'ambito, è possibile usare l'attestazione di conformità di Microsoft con ISO/IEC 27018, con la certificazione Microsoft per ISO/IEC 27001, nella propria valutazione della conformità.

Tuttavia, hai la responsabilità di affidare l'incarico a un valutatore affinché valuti la tua implementazione in termini di adeguamento e per i controlli e i processi all'interno dell'organizzazione.

Usare Microsoft Compliance Manager per valutare i rischi

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse