Postupy zabezpečení dat a ochrany osobních údajů pro Defender for Cloud Apps

Poznámka:

Tento článek obsahuje postup pro odstranění osobních údajů ze zařízení nebo služby a je možné ho využít jako podporu vašich závazků v rámci GDPR. Pokud hledáte obecné informace o GDPR, přečtěte si část věnovanou GDPR na portálu Service Trust.

Microsoft Defender for Cloud Apps je důležitou součástí zásobníku Microsoft Cloud Security. Jedná se o komplexní řešení, které vaší organizaci pomůže plně využít příslib cloudových aplikací. Defender for Cloud Apps vás udržuje v kontrole prostřednictvím komplexní viditelnosti, auditování a podrobných ovládacích prvků nad citlivými daty.

Defender for Cloud Apps obsahuje nástroje, které pomáhají odhalit stínové IT a vyhodnotit rizika a zároveň vám umožní vynucovat zásady a prošetřovat aktivity. Pomáhá řídit přístup v reálném čase a zastavit hrozby, aby vaše organizace mohl bezpečněji přejít do cloudu.

Dodržování předpisů pro Defender for Cloud Apps

Ve světě, kde dochází k únikům dat a útokům denně, je nezbytné, aby organizace zvolily službu CASB (Cloud Access Security Broker), která se snaží chránit svá data. Defender for Cloud Apps, stejně jako všechny cloudové produkty a služby Microsoftu, je sestavený tak, aby řešil přísné požadavky na zabezpečení a ochranu osobních údajů našich zákazníků.

Program Defender for Cloud Apps poskytuje komplexní sadu nabídek dodržování předpisů, které pomáhají organizacím dodržovat národní/regionální a oborové požadavky, které řídí shromažďování a používání dat jednotlivců. Mezi nabídky dodržování předpisů patří certifikace a ověření identity.

Architektura dodržování předpisů a nabídky

Defender for Cloud Apps splňuje řadu mezinárodních a oborových standardů dodržování předpisů, mezi které patří mimo jiné:

Organizace Titulek Popis
logo csa attestation. Atestace CSA STAR Azure a Intune získaly ověření identity Cloud Security Alliance STAR na základě nezávislého auditu.
logo csa certification. Certifikace CSA STAR Azure, Intune a Power BI získaly certifikaci Cloud Security Alliance STAR na úrovni Gold.
logo EU model clauses. Modelové doložky EU Microsoft nabízí standardní smluvní doložky EU, záruky pro přenos osobních údajů.
logo HIPAA. HIPAA/HITECH Microsoft nabízí smlouvy BAA (Health Insurance Portability & Accountability Act Business Associate Agreements).
logo iso 9001. ISO 9001 Společnost Microsoft je certifikovaná pro svou implementaci těchto standardů řízení kvality.
logo iso 27001. ISO/IEC 27001 Společnost Microsoft je certifikovaná pro implementaci těchto standardů správy zabezpečení informací.
logo iso 27018. ISO/IEC 27018 Microsoft byl prvním poskytovatelem cloudu, který dodržuje tento postup ochrany osobních údajů v cloudu.
logo PCI. PCI DSS Azure splňuje standardy zabezpečení dat v odvětví platebních karet úrovně 1 verze 3.1.
logo SOC. Sestavy SOC 1 a SOC 2 typu 2 Cloudové služby Microsoftu splňují standardy kontrolních mechanismů organizace služeb pro provozní zabezpečení.
logo SOC. SOC 3 Cloudové služby Microsoftu splňují standardy kontrolních mechanismů organizace služeb pro provozní zabezpečení.
logo g-cloud. UK G-Cloud Komerční služba Crown obnovila klasifikaci cloudových služeb Microsoftu na Government Cloud v6.

Další informace najdete v nabídkách microsoftu pro dodržování předpisů.

Ochrana osobních údajů

Jste vlastníkem dat.

  • V Programu Defender for Cloud Apps můžou správci pomocí panelu hledání zobrazit identifikovatelné osobní údaje uložené ve službě na portálu.

  • Správa mohou hledat metadata konkrétního uživatele nebo aktivitu uživatele. Výběrem entity se otevře stránka Uživatelé. Stránka Uživatelé poskytuje komplexní podrobnosti o entitě, která se natahuje z připojených cloudových aplikací. Poskytuje také historii aktivit uživatele a výstrahy zabezpečení související s uživatelem.

  • Vlastníte svá data a můžete kdykoli zrušit předplatná a požádat o odstranění dat. Pokud předplatné neprodloužíte, vaše data se odstraní na časové ose uvedené v podmínkách online služeb.

  • Pokud se někdy rozhodnete službu ukončit, můžete s sebou vzít svá data.

Defender for Cloud Apps je zpracovatelem vašich dat.

  • Defender for Cloud Apps používá vaše data jenom pro účely, které jsou konzistentní s poskytováním služeb, ke kterým se přihlašujete.

  • Pokud se státní správa blíží Microsoftu pro přístup k vašim datům, Microsoft vás dotaz přesměruje, kdykoli je to možné. Microsoft napadl právní požadavky, které nebyly platné, což zakázalo zveřejnění žádosti státní správy o zákaznická data. Přečtěte si další informace o tom, kdo má přístup k vašim datům a jaké podmínky.

Řízení ochrany osobních údajů

  • Řízení ochrany osobních údajů vám pomůže nakonfigurovat, kdo má ve vaší organizaci přístup ke službě a k čemu má přístup.

Aktualizace osobních údajů

Osobní údaje o uživatelích se odvozují z objektu uživatele v používaných aplikacích SaaS. Z tohoto důvodu se všechny změny provedené v profilu uživatele v těchto aplikacích projeví v programu Defender for Cloud Apps.

Umístění dat

Defender for Cloud Apps v současné době působí v datacentrech Evropské unie, Spojeného království a USA (každý z "geo").

Defender for Cloud Apps používá datacentra Azure po celém světě k zajištění optimalizovaného výkonu prostřednictvím geografické polohy. To znamená, že relace uživatele může být hostována mimo konkrétní oblast v závislosti na vzorech provozu a jejich umístění. Kvůli ochraně osobních údajů se ale v těchto datových centrech neukládají žádná data relací.

Další informace najdete na webu Centrum zabezpečení Microsoft.

Umístění úložiště dat Defender for Cloud Apps

Zákaznická data shromážděná službou se ukládají v klidovém stavu následujícím způsobem:

Umístění zřizování zákazníků Umístění úložiště dat
Zákazníci, jejichž tenanti jsou zřízeni v Evropské unii nebo Ve Spojeném království Evropská unie nebo Spojené království
Všichni ostatní zákazníci Geografická oblast, která je nejblíže místu, kde byl zřízen tenant Microsoft Entra zákazníka

Pokud Defender for Cloud Apps používá k zpracování těchto dat jinou online službu Microsoftu, jako je ID Microsoft Entra nebo Azure CDN, je geografické umístění dat definované pravidly úložiště dat této jiné online služby.

Umístění úložiště dat zásad správného řízení aplikací

Zákaznická data shromážděná službou se ukládají v klidovém stavu následujícím způsobem:

Umístění zřizování zákazníků Umístění úložiště dat
Zákazníci, jejichž tenanti jsou zřízeni v USA USA
Zákazníci, jejichž tenanti jsou zřízeni v Evropské unii nebo Ve Spojeném království Evropská unie nebo Spojené království
Zákazníci, jejichž tenanti jsou zřízeni v Asii a Tichomoří Asie a Tichomoří nebo USA
Zákazníci, jejichž tenanti jsou zřízeni v Kanadě Kanada nebo USA
Zákazníci, jejichž tenanti jsou zřízeni v Indii Indie nebo USA
Zákazníci, jejichž tenanti jsou zřízeni v jakékoli jiné oblasti USA nebo datové centrum v geografické oblasti, která je nejblíže umístění, kde byl zřízen tenant Microsoft Entra zákazníka.

Pokud zásady správného řízení aplikací používají k zpracování těchto dat jinou online službu Microsoftu, jako je Microsoft Entra ID nebo Azure CDN, je geografické umístění dat definované pravidly úložiště dat této jiné online služby.

Zásady správného řízení aplikací jsou teď součástí Programu Microsoft Defender for Cloud Apps. Pro stávající zákazníky budeme do června 2024 přesouvat vaše data tak, aby odpovídala vaší rezidenci dat v programu Microsoft Defender for Cloud Apps. Na vaší straně není nutná žádná práce a nedojde k přerušení služeb. Další informace naleznete v tématu Defender for Cloud Apps umístění úložiště dat.

Transparency

Microsoft poskytuje transparentnost svých postupů:

  • Sdílení s vámi, kde jsou uložena vaše data.
  • Potvrzení, že vaše data se používají pouze k poskytování dohodnutých služeb.
  • Určení způsobu, jakým technici Microsoftu a schválené subdodavatele používají tato data k poskytování služeb.

Microsoft používá přísné kontroly pro řízení přístupu k zákaznickým datům, udělení nejnižší úrovně přístupu potřebné k dokončení klíčových úkolů a odvolání přístupu, když už není potřeba.

Ochrana dat

Defender for Cloud Apps vynucuje ochranu dat během kontroly obsahu. Obsah souboru se neukládá v datacentru Defenderu for Cloud Apps. Ukládají se pouze metadata záznamů souboru a všech identifikovaných shod.

Uchovávání dat

Defender for Cloud Apps uchovává data následujícím způsobem:

  • Protokol aktivit: 180 dnů
  • Data zjišťování: 90 dnů
  • Upozornění: 180 dnů
  • Protokol zásad správného řízení: 120 dnů

Další informace o postupech microsoftových dat najdete v podmínkách online služeb.

Další informace o transparentnosti

Sdílení dat

Defender for Cloud Apps sdílí data, včetně zákaznických dat, mezi následujícími produkty Microsoftu, které zákazník také licencoval:

  • Microsoft Defender for Cloud

  • Microsoft Sentinel

  • Microsoft Defender for Endpoint

  • Správa expozice v programu Microsoft Defender (Public Preview)

  • Microsoft Purview

  • Microsoft Purview

Odstranění osobních údajů

Jakmile se účet uživatele odstraní z připojené cloudové aplikace, Defender for Cloud Apps automaticky odstraní kopii dat do dvou let.

Export osobních údajů

Defender for Cloud Apps umožňuje exportovat do sdíleného svazku clusteru všechny aktivity uživatelů a informace o výstrahách zabezpečení.

Tok dat

Defender for Cloud Apps vám poskytuje pohodlí při práci s některými daty, jako jsou výstrahy a aktivity, aniž by došlo k narušení vašeho obvyklého pracovního postupu zabezpečení. Například SecOps může preferovat zobrazení výstrah v preferovaném produktu SIEM, jako je Microsoft Sentinel. Aby bylo možné tyto pracovní postupy povolit, při integraci s produkty Microsoftu nebo jinými výrobci zpřístupňuje Defender for Cloud Apps některá data.

Následující tabulka ukazuje, jaká data se zobrazí pro každou integraci produktů:

Produkty Microsoftu

Produkt Vystavená data Konfigurace
Microsoft Defender XDR Upozornění a aktivity uživatelů Automatické povolení v XDR v programu Microsoft Defender při onboardingu
Microsoft Sentinel Upozornění a data zjišťování Povoleno v programu Defender for Cloud Apps a nakonfigurované v Microsoft Sentinelu
Portál pro dodržování předpisů Microsoft Purview Upozornění pro Microsoft 365 Automaticky streamováno do Portál dodržování předpisů Microsoft Purview
Microsoft Defender for Cloud Upozornění pro Azure Ve výchozím nastavení je v programu Defender for Cloud Apps povoleno; v programu Microsoft Defender for Cloud je možné zakázat.
Rozhraní Microsoft Graph Security API Výstrahy K dispozici prostřednictvím Rozhraní API pro zabezpečení Microsoft Graphu
Microsoft Power Automate Výstrahy odeslané pro aktivaci automatizovaného toku Nakonfigurováno v Defenderu for Cloud Apps
Odborníci na hrozby Microsoftu Výstrahy Automatické streamování do odborníků na hrozby Microsoftu
Ochrana Microsoft Entra ID Výstrahy Automatické streamování do služby Microsoft Entra ID Protection
Ochrana Microsoft Entra ID Podmnožina výstrah pro model rizik identit Automatické povolení služby Microsoft Entra ID Protection při onboardingu

Produkty třetích stran

Typ integrace Vystavená data Konfigurace
Použití agenta SIEM Výstrahy a události Povolené a nakonfigurované v Defenderu for Cloud Apps
Použití rozhraní REST API služby Defender for Cloud Apps Výstrahy a události Povolené a nakonfigurované v Defenderu for Cloud Apps
Konektor ICAP Soubor pro kontrolu ochrany před únikem informací Povolené a nakonfigurované v Defenderu for Cloud Apps

Poznámka:

Jiné produkty nemusí vynucovat oprávnění zabezpečení defenderu for Cloud Apps k řízení, kdo má přístup k jakým datům. Před integrací s jinými produkty se proto ujistěte, že rozumíte tomu, jaká data se odesílají do produktu, který chcete použít, a kdo k němu má přístup.

Zabezpečení

Šifrování

Microsoft používá šifrovací technologii k ochraně dat v klidovém stavu v databázi Microsoftu a při cestě mezi uživatelskými zařízeními a datacentry Defenderu for Cloud Apps. Kromě toho se veškerá komunikace mezi Defenderem for Cloud Apps a připojenými aplikacemi šifruje pomocí protokolu HTTPS.

Poznámka:

Defender for Cloud Apps využívá protokoly TLS (Transport Layer Security) 1.2+ k zajištění nejlepšího šifrování ve třídě. Nativní klientské aplikace a prohlížeče, které nepodporují protokol TLS 1.2 nebo novější, nebudou při konfiguraci s řízením relací přístupné. Aplikace SaaS, které používají protokol TLS 1.1 nebo nižší, se ale v prohlížeči zobrazí jako protokol TLS 1.2 nebo novější, když jsou nakonfigurované pro Defender for Cloud Apps.

Správa identit a přístupu

Defender for Cloud Apps umožňuje omezit přístup správců na portál na základě geografické polohy pomocí ID Microsoft Entra. Pro přístup k portálu Defender for Cloud Apps pomocí ID Microsoft Entra je možné vyžadovat vícefaktorové ověřování.

Oprávnění

Defender for Cloud Apps podporuje řízení přístupu na základě role. Role globálního správce Microsoftu 365 a Microsoft Entra a správce zabezpečení mají úplný přístup k Programu Defender for Cloud Apps a čtenáři zabezpečení mají přístup ke čtení. Další informace.

Řízení zákazníků pro dodržování předpisů organizace

Nasazení s vymezeným oborem

Defender for Cloud Apps umožňuje nastavit rozsah nasazení. Obory umožňují řídit pouze konkrétní skupiny pomocí Defenderu pro Cloud Apps nebo vyloučit konkrétní skupiny z zásad správného řízení defenderu pro Cloud Apps. Další informace najdete v tématu Nasazení s vymezeným oborem.

Anonymizace

Můžete se rozhodnout zachovat anonymní sestavy Cloud Discovery . Po nahrání souborů protokolu do Programu Microsoft Defender for Cloud Apps se všechny informace o uživatelském jménu nahradí šifrovanými uživatelskými jmény. Pro konkrétní šetření zabezpečení můžete vyřešit skutečné uživatelské jméno. Soukromá data se šifrují pomocí AES-128 s vyhrazeným klíčem na každého tenanta. Další informace.

Zabezpečení a ochrana osobních údajů pro zákazníky programu Defender for Cloud Apps US Government GCC High

Informace o standardech dodržování předpisů Defender for Cloud Apps a o umístění dat pro zákazníky GCC pro státní správu USA najdete v popisu služby Enterprise Mobility + Security pro státní správu USA.

Další kroky

Získejte bezplatnou zkušební verzi Defenderu for Cloud Apps a podívejte se, jak splňuje vaše obchodní výzvy.