Condividi tramite

Conformità e privacy dei dati

  • Articolo

Microsoft si impegna a garantire i massimi livelli di fiducia, trasparenza, conformità agli standard e conformità alle normative. MicrosoftL'ampia gamma di prodotti e servizi cloud è stata sviluppata da zero per soddisfare le più rigorose richieste di sicurezza e privacy dei nostri clienti.

Per aiutare la tua organizzazione a conformarsi ai requisiti nazionali, regionali e specifici del settore che regolano la raccolta e l'uso dei dati degli individui, Microsoft fornisce il set più completo di offerte di conformità (incluse certificazioni e attestazioni) di qualsiasi fornitore di servizi cloud. Sono inoltre disponibili strumenti per gli amministratori per supportare gli impegni dell'organizzazione. In questa parte del documento esamineremo più in dettaglio le risorse disponibili per stabilire e soddisfare i requisiti della propria organizzazione.

Centro protezione

Il Microsoft Trust Center è una risorsa centralizzata per ottenere informazioni sul portafoglio di prodotti Microsoft. Sono incluse informazioni su sicurezza, privacy, conformità e trasparenza. Sebbene questo contenuto possa contenere un sottoinsieme di queste informazioni per Power Apps, è importante fare sempre riferimento al Microsoft Centro protezione per le informazioni autorevoli più aggiornate.

Per un riferimento rapido, puoi trovare le informazioni del Centro protezione per Microsoft Power Platform qui: https://www.microsoft.com/trust-center/product-overview. Saranno incluse informazioni su Power Apps, Microsoft Power Automate e Power BI.

Posizione dei dati

Microsoft gestisce numerosi data center in tutto il mondo che supportano le applicazioni della piattaforma Power. Microsoft Quando l'organizzazione stabilisce un tenant, stabilisce la località geografica (area geografica) predefinita. Inoltre, quando si creano ambienti per supportare le applicazioni e contengono dati Microsoft Dataverse, gli ambienti possono essere destinati a un'area geografica specifica. Un elenco corrente delle aree geografiche per Microsoft Power Platform è disponibile qui https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Per supportare la continuità delle operazioni, Microsoft è possibile replicare i dati in altre regioni all'interno di un'area geografica, ma i dati non verranno spostati all'esterno dell'area geografica per supportare la resilienza dei dati. Ciò supporta la capacità di eseguire il failover o il ripristino più rapidamente in caso di interruzione grave. Esistono delle ragionevoli eccezioni per mantenere i dati nell'area geografica specifica che sono elencate nel sito precedente, correlate principalmente ad aspetti legali e di supporto. È inoltre importante tenere presente che tu o gli utenti potreste eseguire azioni che espongono i dati all'esterno dell'area geografica. È inoltre possibile configurare altri servizi per accedere ai dati ed esporli all'esterno dell'area geografica. Per impostazione predefinita, gli utenti autorizzati possono accedere alla piattaforma e alle applicazioni e ai dati da qualsiasi parte del mondo in cui è presente la connettività.

Protezione dei dati

I dati durante il transito tra i dispositivi degli utenti e i data center sono protetti. Microsoft Le connessioni stabilite tra i clienti e i data center sono crittografate e tutti gli endpoint pubblici sono protetti mediante TLS, lo standard del settore. Microsoft TLS stabilisce in modo efficace una connessione da browser a server con protezione avanzata per garantire la riservatezza e l'integrità dei dati tra desktop e data center. Anche l'accesso API dall'endpoint del cliente al server è protetto in modo simile. Attualmente, TLS 1.2 (o versioni successive) è richiesto per l'accesso agli endpoint del server.

Anche i dati trasferiti attraverso il gateway dati locale sono crittografati. I dati che gli utenti caricano vengono in genere inviati all'archivio BLOB di Azure e tutti i metadati e gli artefatti del sistema stesso vengono archiviati in un database SQL di Azure e nell'archiviazione tabelle di Azure.

Tutti gli ambienti del database Dataverse usano SQL Server Transparent Data Encryption (TDE) per eseguire la crittografia dei dati in tempo reale se scritti su disco, detta anche crittografia in inattività.

Per impostazione predefinita, Microsoft memorizza e gestisce le chiavi di crittografia del database per i tuoi ambienti, così non devi farlo tu. La funzionalità di gestione delle chiavi nell'interfaccia di amministrazione di Power Platform offre agli amministratori la possibilità di gestire autonomamente le chiavi di crittografia dei database associate agli ambienti di Dynamics 365 (online). Puoi leggere maggiori informazioni sulla gestione delle tue chiavi qui ma in genere è consigliabile Microsoft gestire personalmente le chiavi, a meno che tu non abbia una specifica esigenza aziendale di gestirle autonomamente.

Risorse per gestire la conformità al GDPR

Il regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea (UE) conferisce importanti diritti alle persone in merito ai propri dati. Fare riferimento al Microsoft Learn Riepilogo Regolamento generale sulla protezione dei dati per una panoramica di GDPR, inclusa la terminologia, un piano d'azione e checklist di preparazione per aiutarti a soddisfare i tuoi obblighi ai sensi di GDPR quando utilizzi prodotti e servizi. Microsoft

Puoi scoprire di più su GDPR e su come Microsoft aiuta a supportare questo progetto e i nostri clienti che ne sono interessati.

  • Il Microsoft Trust Center fornisce informazioni generali, best practice di conformità e documentazione utile per la responsabilità GDPR, come valutazioni di impatto sulla protezione dei dati, richieste degli interessati e notifiche di violazione dei dati.
  • Il portale Service Trust fornisce informazioni su come i Microsoft servizi contribuiscono a supportare la conformità con GDPR.

In qualità di amministratore, una delle attività principali a supporto della privacy sarà correlata alle richieste relative ai diritti dell'interessato (DSR). Queste sono richieste formali di un interessato a un titolare del trattamento dei dati (probabilmente la tua organizzazione) per agire sui propri dati personali nei tuoi sistemi. Gli oggetti dei dati hanno il diritto di ottenere copie, richiedere correzioni, limitare l'elaborazione dei dati, eliminare i dati e ricevere copie in formato elettronico in modo che possano essere spostati a un altro titolare del trattamento dei dati.

I collegamenti seguenti puntano a informazioni dettagliate che consentono di rispondere alle richieste DSR dipendentemente dalle funzionalità utilizzate dall'organizzazione.

Area funzionale della piattaforma Collegamento a procedure dettagliate di risposta
Power Apps Rispondere alle richieste di esportazione dei dati dei clienti in base ai diritti dell'interessato (DSR) Power Apps
Dataverse Rispondere alle richieste di diritti dell'interessato (DSR) per i dati dei clienti Dataverse
Power Automate Rispondere alle richieste degli interessati per Power Automate
Microsoft Conti (MSA) Rispondere alle richieste sui diritti degli interessati
App di interazione con i clienti Richieste di riservatezza da parte degli interessati di Dynamics 365

Centro protezione e conformità di Microsoft 365

Utilizza Microsoft Purview Compliance Manager per gestire i tuoi sforzi di conformità tra i servizi cloud in un unico posto. Microsoft

Eventi del log di controllo di Power Automate

Nella ricerca del log di controllo del centro conformità, gli amministratori possono cercare e visualizzare eventi Power Automate. Gli eventi includono Creato flusso, Modificato flusso, Eliminato flusso, Modificate autorizzazioni, Eliminate autorizzazioni, Avviato un periodo di valutazione a pagamento, Rinnovato un periodo di valutazione a pagamento. Utilizzando il portale è possibile scegliere l'elemento da cercare e una finestra temporale.

  1. Accedi al portale di conformità Purview Microsoft .

  2. In Soluzioni, seleziona Controllo.

  3. In Attività, seleziona le attività Power Automate da controllare.

    Seleziona le attività Power Automate da controllare.

  4. Seleziona Cerca.

  5. Al termine della ricerca, seleziona per visualizzare l'elenco delle attività correlate.

  6. Seleziona una riga nell'elenco per visualizzare i dettagli dell'attività.

I dati di controllo vengono conservati per 90 giorni. È possibile eseguire le esportazioni CDSV dei dati per poterli spostare in Excel o in PowerBI per ulteriori analisi. Una procedura dettagliata completa sull'utilizzo delle informazioni di controllo è disponibile qui: https://flow.microsoft.com/blog/security-and-compliance-center/