Conformità e privacy dei dati

  • Articolo

Microsoft si impegna per i livelli più elevati di attendibilità, trasparenza e conformità agli standard e con le normative. L'ampia suite di prodotti e servizi cloud di Microsoft è stata creata da zero per soddisfare le più rigorose esigenze di sicurezza e privacy dei clienti.

Per aiutare l'organizzazione a rispettare i requisiti nazionali, regionali e specifici del settore che regolano la raccolta e l'uso dei dati delle persone, Microsoft fornisce il set più completo di offerte di conformità (incluse certificazioni e attestazioni) di qualsiasi altro provider di servizi cloud. Sono inoltre disponibili strumenti per gli amministratori per supportare gli impegni dell'organizzazione. In questa parte del documento esamineremo più in dettaglio le risorse disponibili per stabilire e soddisfare i requisiti della propria organizzazione.

Centro protezione

Il Centro protezione di Microsoft è una risorsa centralizzata per ottenere informazioni sul portfolio dei prodotti Microsoft. Sono incluse informazioni su sicurezza, privacy, conformità e trasparenza. Anche se questo documento può contenere parte di queste informazioni per Power Apps, è importante fare sempre riferimento al Centro protezione di Microsoft per informazioni autorevoli più aggiornate.

Per un riferimento rapido, puoi trovare le informazioni del Centro protezione per Microsoft Power Platform qui: https://www.microsoft.com/trust-center/product-overview. Saranno incluse informazioni su Power Apps, Microsoft Power Automate e Power BI.

Posizione dei dati

Microsoft gestisce numerosi data center nel mondo che supportano le applicazioni Microsoft Power Platform. Quando l'organizzazione stabilisce un tenant, stabilisce la località geografica (area geografica) predefinita. Inoltre, quando si creano ambienti per supportare le applicazioni e contengono dati Microsoft Dataverse, gli ambienti possono essere destinati a un'area geografica specifica. Un elenco corrente delle aree geografiche per Microsoft Power Platform è disponibile qui https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Per garantire la continuità operativa, Microsoft potrebbe replicare i dati in altre regioni all'interno di un'area geografica, ma i dati non verranno spostati all'esterno dell'area geografica per supportare la resilienza dei dati. Ciò supporta la capacità di eseguire il failover o il ripristino più rapidamente in caso di interruzione grave. Esistono delle ragionevoli eccezioni per mantenere i dati nell'area geografica specifica che sono elencate nel sito precedente, correlate principalmente ad aspetti legali e di supporto. È inoltre importante tenere presente che tu o gli utenti potreste eseguire azioni che espongono i dati all'esterno dell'area geografica. È inoltre possibile configurare altri servizi per accedere ai dati ed esporli all'esterno dell'area geografica. Per impostazione predefinita, gli utenti autorizzati possono accedere alla piattaforma e alle applicazioni e ai dati da qualsiasi parte del mondo in cui è presente la connettività.

Protezione dei dati

I dati in transito tra i dispositivi utente e i data center di Microsoft sono protetti. Le connessioni stabilite tra i clienti e i data center Microsoft sono crittografate e tutti gli endpoint pubblici sono protetti tramite TLS standard del settore. TLS stabilisce in modo efficace una connessione da browser a server con protezione avanzata per garantire la riservatezza e l'integrità dei dati tra desktop e data center. Anche l'accesso API dall'endpoint del cliente al server è protetto in modo simile. Attualmente, TLS 1.2 (o versioni successive) è richiesto per l'accesso agli endpoint del server.

Anche i dati trasferiti attraverso il gateway dati locale sono crittografati. I dati che gli utenti caricano vengono in genere inviati all'archivio BLOB di Azure e tutti i metadati e gli artefatti del sistema stesso vengono archiviati in un database SQL di Azure e nell'archiviazione tabelle di Azure.

Tutti gli ambienti del database Dataverse usano SQL Server Transparent Data Encryption (TDE) per eseguire la crittografia dei dati in tempo reale se scritti su disco, detta anche crittografia in inattività.

Per impostazione predefinita, Microsoft archivia e gestisce le chiavi di crittografia degli ambienti al posto tuo. La funzionalità di gestione delle chiavi nell'interfaccia di amministrazione di Power Platform offre agli amministratori la possibilità di gestire autonomamente le chiavi di crittografia dei database associate agli ambienti di Dynamics 365 (online). Ulteriori informazioni sulla gestione delle proprie chiavi sono disponibili qui, ma in genere è consigliabile delegare a Microsoft la gestione delle chiavi a meno che non vi sia una specifica esigenza aziendale.

Risorse per gestire la conformità al GDPR

Il regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea (UE) conferisce importanti diritti alle persone in merito ai propri dati. Fai riferimento al Riepilogo sul Regolamento generale sulla protezione dei dati di Microsoft Learn per una panoramica sul GDPR, inclusa la terminologia, un piano d'azione e gli elenchi di controllo della preparazione per aiutarti a rispettare gli obblighi previsti dal GDPR quando utilizzi i prodotti e i servizi Microsoft.

Puoi saperne di più sul GDPR e su come Microsoft aiuta a supportarlo e i nostri clienti che ne sono interessati.

  • Il Centro protezione Microsoft fornisce informazioni generali, procedure consigliate di conformità e documentazione utili alla responsabilità del GDPR, come le valutazioni dell'impatto sulla protezione dei dati, le richieste degli interessati e la notifica di violazione dei dati.
  • Il Service Trust Portal fornisce informazioni su come i servizi Microsoft aiutano a supportare la conformità al GDPR.

In qualità di amministratore, una delle attività principali a supporto della privacy sarà correlata alle richieste relative ai diritti dell'interessato (DSR). Queste sono richieste formali di un interessato a un titolare del trattamento dei dati (probabilmente la tua organizzazione) per agire sui propri dati personali nei tuoi sistemi. Gli oggetti dei dati hanno il diritto di ottenere copie, richiedere correzioni, limitare l'elaborazione dei dati, eliminare i dati e ricevere copie in formato elettronico in modo che possano essere spostati a un altro titolare del trattamento dei dati.

I collegamenti seguenti puntano a informazioni dettagliate che consentono di rispondere alle richieste DSR dipendentemente dalle funzionalità utilizzate dall'organizzazione.

Area funzionale della piattaforma Collegamento a procedure dettagliate di risposta
Power Apps Risposta alla richieste relative ai diritti dell'interessato (DSR) per esportare i dati dei clienti di Power Apps
Dataverse Risposta alla richieste relative ai diritti dell'interessato (DSR) per i dati dei clienti di Dataverse
Power Automate Risposta alle richieste dell'interessato per Power Automate
Account Microsoft (MSA) Rispondere alle richieste di diritti dell'interessato
App di interazione con i clienti Richieste degli interessati per Dynamics 365 per la privacy

Centro protezione e conformità di Microsoft 365

Usa il Microsoft Purview Compliance Manager per gestire i tuoi sforzi di conformità su servizi cloud Microsoft in un'unica posizione.

Eventi del log di controllo di Power Automate

Nella ricerca del log di controllo del centro conformità, gli amministratori possono cercare e visualizzare eventi Power Automate. Gli eventi includono Creato flusso, Modificato flusso, Eliminato flusso, Modificate autorizzazioni, Eliminate autorizzazioni, Avviato un periodo di valutazione a pagamento, Rinnovato un periodo di valutazione a pagamento. Utilizzando il portale è possibile scegliere l'elemento da cercare e una finestra temporale.

  1. Accedi al portale di conformità di Microsoft Purview.

  2. In Soluzioni, seleziona Controllo.

  3. In Attività, seleziona le attività Power Automate da controllare.

    Seleziona le attività Power Automate da controllare.

  4. Seleziona Cerca.

  5. Al termine della ricerca, seleziona per visualizzare l'elenco delle attività correlate.

    Elenco di impegni Power Automate.

  6. Seleziona una riga nell'elenco per visualizzare i dettagli dell'attività.

    Elenco di impegni Power Automate.

I dati di controllo vengono conservati per 90 giorni. È possibile eseguire le esportazioni CDSV dei dati per poterli spostare in Excel o in PowerBI per ulteriori analisi. Una procedura dettagliata completa sull'utilizzo delle informazioni di controllo è disponibile qui: https://flow.microsoft.com/blog/security-and-compliance-center/