Procedure di sicurezza e privacy dei dati per le app di Defender per il cloud
Nota
In questo articolo vengono illustrate le procedure per eliminare i dati personali dal dispositivo o dal servizio ed è possibile usare queste informazioni a supporto degli obblighi previsti dal Regolamento generale sulla protezione dei dati (GDPR). Se si stanno cercando informazioni generati su GDPR, vedere la sezione dedicata a GDPR del portale Service Trust.
Microsoft Defender for Cloud Apps è un componente fondamentale dello stack di Microsoft Cloud Security. È una soluzione completa che aiuta l'organizzazione a sfruttare appieno il potenziale offerto dalle applicazioni cloud. Defender per il cloud App consente di controllare tramite visibilità, controllo e controlli granulari completi sui dati sensibili.
Defender per il cloud App include strumenti che consentono di scoprire shadow IT e valutare i rischi, consentendo di applicare i criteri e analizzare le attività. Aiuta a controllare l'accesso in tempo reale e a bloccare condizioni di minaccia, in modo che l'organizzazione possa effettuare la transizione al cloud in maggiore sicurezza.
conformità delle app Defender per il cloud
In un mondo in cui le violazioni e gli attacchi dei dati sono occorrenze quotidiane, è essenziale per le organizzazioni scegliere un Cloud Access Security Broker (CASB) che fa ogni sforzo per proteggere i dati. Defender per il cloud App, come tutti i prodotti e i servizi cloud Microsoft, è progettato per soddisfare le rigorose esigenze di sicurezza e privacy dei clienti.
Per aiutare le organizzazioni a rispettare i requisiti nazionali/regionali e specifici del settore che regolano la raccolta e l'uso dei dati dei singoli utenti, Defender per il cloud App offre un set completo di offerte di conformità. Le offerte per la conformità includono certificazioni e attestazioni.
Framework e offerte per la conformità
Defender per il cloud App soddisfa molti standard di conformità internazionali e specifici del settore, tra cui, a titolo esemplificativo:
| Organizzazione | Posizione | Descrizione |
|---|---|---|
 |
Attestazione STAR CSA | Azure e Intune hanno ottenuto l'attestazione STAR di Cloud Security Alliance in base a un controllo indipendente. |
|
Certificazione CSA STAR | Azure, Intune e Power BI hanno ottenuto la certificazione STAR di Cloud Security Alliance di livello Gold. |
 |
Clausole contrattuali tipo UE | Microsoft offre clausole contrattuali tipo UE, a garanzia dei trasferimenti dei dati personali. |
 |
HIPAA/HITECH | Microsoft offre contratti Business Associate Agreement (BAA) HIPAA (Health Insurance Portability & Accountability Act). |
 |
ISO 9001 | Microsoft è certificata per l'implementazione di questi standard di gestione della qualità. |
 |
ISO/IEC 27001 | Microsoft è certificata per l'implementazione di questi standard di gestione della sicurezza delle informazioni. |
 |
ISO/IEC 27018 | Microsoft è il primo provider di cloud a rispettare questo codice di condotta per la privacy nel cloud. |
 |
PCI DSS | Azure è conforme agli standard PCI DSS (Payment Card Industry Data Security Standards) di livello 1 versione 3.1. |
 |
Report di tipo 2 SOC 1 e SOC 2 | I servizi cloud Microsoft sono conformi agli standard SOC (Service Organization Controls) per la sicurezza operativa. |
|
SOC 3 | I servizi cloud Microsoft sono conformi agli standard SOC (Service Organization Controls) per la sicurezza operativa. |
 |
G-Cloud Regno Unito | Il servizio Crown Commercial Service ha rinnovato la classificazione Government Cloud v6 per i servizi cloud Microsoft. |
Per altre informazioni, vedere Offerte di conformità Microsoft.
Riservatezza
L'utente è proprietario dei suoi dati
In app Defender per il cloud gli amministratori possono visualizzare i dati personali identificabili archiviati nel servizio dal portale usando la barra di ricerca.
Amministrazione possono cercare i metadati di un utente specifico o l'attività dell'utente. La selezione di un'entità apre la pagina Utenti. La pagina Utenti fornisce informazioni complete sull'entità estratta dalle applicazioni cloud connesse. Fornisce inoltre la cronologia delle attività dell'utente e gli avvisi di sicurezza correlati all'utente.
L'utente è il proprietario dei suoi dati e può annullare le sottoscrizioni e richiedere l'eliminazione dei dati in qualsiasi momento. Se non si rinnova la sottoscrizione, i dati verranno eliminati entro la sequenza temporale specificata nelle Condizioni per i servizi online.
Nel caso scelga di interrompere il servizio, l'utente può portare i dati personali con sé.
Defender per il cloud App è il responsabile del trattamento dei dati
Defender per il cloud App usa i dati solo per scopi coerenti con la fornitura dei servizi a cui si effettua la sottoscrizione.
Nel caso Microsoft riceva richieste di accesso ai dati di un cliente da parte di enti pubblici, Microsoft reindirizzerà la richiesta al cliente, laddove possibile. Microsoft ha contestato richieste legali non valide, che proibivano la divulgazione di una richiesta da enti pubblici per i dati dei clienti. Altre informazioni su chi può accedere ai dati e in base a quali condizioni.
Controlli Privacy
- I controlli sulla privacy consentono di configurare gli utenti dell'organizzazione che hanno accesso al servizio e quali elementi sono accessibili.
Aggiornamento dei dati personali
I dati personali sugli utenti derivano dall'oggetto dell'utente nelle applicazioni SaaS usate. Per questo motivo, tutte le modifiche apportate al profilo utente in queste applicazioni vengono riflesse in Defender per il cloud App.
Ubicazione dei dati
Defender per il cloud Le app attualmente operano nei data center dell'Unione europea, del Regno Unito e delle Stati Uniti (ognuna "Geo").
Defender per il cloud App usa data center di Azure in tutto il mondo per offrire prestazioni ottimizzate tramite la georilevazione. Ciò significa che la sessione di un utente può essere ospitata all'esterno di una determinata area, a seconda dei modelli di traffico e della relativa posizione. Tuttavia, per proteggere la privacy, non vengono archiviati dati di sessione in questi data center.
Per ulteriori informazioni, vedi il Centro protezione Microsoft.
Defender per il cloud percorsi di archiviazione dei dati delle app
I dati dei clienti raccolti dal servizio vengono archiviati inattivi come segue:
| Località di provisioning dei clienti | Posizione di archiviazione dei dati |
|---|---|
| Clienti di cui viene effettuato il provisioning dei tenant nell'Unione europea o nel Regno Unito | L'Unione europea o il Regno Unito |
| Tutti gli altri clienti | Area geografica più vicina alla posizione in cui è stato effettuato il provisioning del tenant Microsoft Entra del cliente |
Se Defender per il cloud Apps usa un altro servizio online Microsoft, ad esempio Microsoft Entra ID o Rete CDN di Azure per elaborare tali dati, la posizione geografica dei dati viene definita dalle regole di archiviazione dei dati di tale altro servizio online.
Percorsi di archiviazione dei dati di governance delle app
I dati dei clienti raccolti dal servizio vengono archiviati inattivi come segue:
| Località di provisioning dei clienti | Posizione di archiviazione dei dati |
|---|---|
| Clienti di cui viene effettuato il provisioning dei tenant nel Stati Uniti | Stati Uniti |
| Clienti di cui viene effettuato il provisioning dei tenant nell'Unione europea o nel Regno Unito | L'Unione europea o il Regno Unito |
| Clienti di cui viene effettuato il provisioning dei tenant in Asia Pacifico | Asia Pacifico o il Stati Uniti |
| Clienti di cui viene effettuato il provisioning dei tenant in Canada | Canada o il Stati Uniti |
| Clienti di cui viene effettuato il provisioning dei tenant in India | India o il Stati Uniti |
| Clienti di cui viene effettuato il provisioning dei tenant in qualsiasi altra area | Il Stati Uniti o un data center nell'area geografica più vicina alla posizione in cui è stato effettuato il provisioning del tenant Di Microsoft Entra del cliente |
Se la governance delle app usa un altro servizio online Microsoft, ad esempio Microsoft Entra ID o Rete CDN di Azure per elaborare tali dati, la posizione geografica dei dati viene definita dalle regole di archiviazione dei dati di tale altro servizio online.
La governance delle app fa ora parte di app di Microsoft Defender per il cloud. Per i clienti esistenti, entro giugno 2024, i dati verranno spostati in modo che corrispondano alla residenza dei dati delle app Microsoft Defender per il cloud. Non è necessario alcun lavoro sul lato e non ci saranno interruzioni del servizio. Per altre informazioni, vedere Defender per il cloud Percorsi di archiviazione dei dati delle app.
Trasparenza
Microsoft è trasparente in merito alle sue pratiche:
- Comunica all'utente dove vengono archiviati i suoi dati.
- Dichiara che i dati dell'utente sono utilizzati solo per distribuire servizi concordati.
- Specifica in che modo i tecnici Microsoft e i subappaltatori approvati usano questi dati per fornire servizi.
Microsoft usa controlli rigorosi per gestire l'accesso ai dati dei clienti, concedendo il livello di accesso più basso necessario per completare le attività chiave e revocando l'accesso quando non è più necessario.
Protezione dei dati
Defender per il cloud App applica la protezione dei dati durante l'ispezione del contenuto. Il contenuto dei file non viene archiviato nel data center delle app di Defender per il cloud. Vengono archiviati soltanto i metadati dei record di file ed eventuali corrispondenze rilevate.
Conservazione dei dati
Defender per il cloud App conserva i dati come segue:
- Log attività: 180 giorni
- Dati di individuazione: 90 giorni
- Avvisi: 180 giorni
- Log di governance: 120 giorni
Maggiori informazioni sulle procedure di trattamento dei dati adottate da Microsoft sono disponibili nelle condizioni dei servizi online.
Altre informazioni sulla trasparenza
Condivisione dei dati
Defender per il cloud App condivide i dati, inclusi i dati dei clienti, tra i seguenti prodotti Microsoft concessi in licenza anche dal cliente:
Microsoft Defender for Cloud
Microsoft Sentinel
Microsoft Defender per endpoint
Microsoft Security Exposure Management (anteprima pubblica)
Microsoft Purview
Microsoft Purview
Eliminazione dei dati personali
Dopo l'eliminazione dell'account di un utente da un'applicazione cloud connessa, Defender per il cloud App eliminerà automaticamente la copia dei dati entro due anni.
Esportazione dei dati personali
Defender per il cloud App offre la possibilità di esportare in CSV tutte le attività utente e le informazioni sugli avvisi di sicurezza.
Flusso di dati
Defender per il cloud App offre la comodità di usare alcuni dati, ad esempio avvisi e attività, senza interrompere il normale flusso di lavoro di sicurezza. Ad esempio, SecOps potrebbe preferire la visualizzazione degli avvisi nel prodotto SIEM preferito, ad esempio Microsoft Sentinel. Per abilitare tali flussi di lavoro, quando si esegue l'integrazione con prodotti Microsoft o di terze parti, Defender per il cloud Apps espone alcuni dati tramite di essi.
Nella tabella seguente vengono illustrati i dati visualizzati per ogni integrazione del prodotto:
Prodotti Microsoft
| Prodotto | Dati esposti | Impostazione |
|---|---|---|
| Microsoft Defender XDR | Avvisi e attività utente | Abilitato automaticamente in Microsoft Defender XDR al momento dell'onboarding |
| Microsoft Sentinel | Avvisi e dati di individuazione | Abilitato in app Defender per il cloud e configurato in Microsoft Sentinel |
| Portale di conformità di Microsoft Purview | Avvisi per Microsoft 365 | Flusso automatico in Portale di conformità di Microsoft Purview |
| Microsoft Defender for Cloud | Avvisi per Azure | Abilitato per impostazione predefinita nelle app di Defender per il cloud; può essere disabilitato in Microsoft Defender per il cloud |
| API Microsoft Graph Security | Avvisi | Disponibile tramite Microsoft Graph API Sicurezza |
| Microsoft Power Automate | Avvisi inviati per attivare un flusso automatizzato | Configurato nelle app di Defender per il cloud |
| Microsoft Threat Experts | Avvisi | Flusso automatico a Microsoft Threat Experts |
| Microsoft Entra ID Protection | Avvisi | Flusso automatico in Microsoft Entra ID Protection |
| Microsoft Entra ID Protection | Subset di avvisi per il modello di rischio di identità | Abilitato automaticamente in Microsoft Entra ID Protection al momento dell'onboarding |
Prodotti di terze parti
| Tipo di integrazione | Dati esposti | Impostazione |
|---|---|---|
| Uso di un agente SIEM | Avvisi ed eventi | Abilitato e configurato nelle app di Defender per il cloud |
| Uso dell'API REST delle app Defender per il cloud | Avvisi ed eventi | Abilitato e configurato nelle app di Defender per il cloud |
| Connettore ICAP | File per l'analisi DLP | Abilitato e configurato nelle app di Defender per il cloud |
Nota
Altri prodotti potrebbero non applicare Defender per il cloud autorizzazioni di sicurezza basate sui ruoli delle app per controllare chi può accedere ai dati. Pertanto, prima di integrarsi con altri prodotti, assicurarsi di comprendere quali dati vengono inviati al prodotto che si vuole usare e chi può accedervi.
Sicurezza
Crittografia
Microsoft usa la tecnologia di crittografia per proteggere i dati mentre sono inattivi in un database Microsoft e quando si sposta tra i dispositivi utente e i data center delle app di Defender per il cloud. Inoltre, tutte le comunicazioni tra app Defender per il cloud e le app connesse vengono crittografate tramite HTTPS.
Nota
Defender per il cloud Apps sfrutta i protocolli Tls (Transport Layer Security) 1.2+ per fornire la crittografia migliore in classe. Le applicazioni client native e i browser che non supportano TLS 1.2+, non saranno accessibili se configurati con il controllo sessione. Tuttavia, le app SaaS che usano TLS 1.1 o versioni precedenti verranno visualizzate nel browser come con TLS 1.2+ se configurate con app Defender per il cloud.
Gestione delle identità e dell'accesso
Defender per il cloud App consente di limitare l'accesso degli amministratori al portale in base alla georilevazione usando Microsoft Entra ID. È possibile richiedere l'autenticazione a più fattori per accedere al portale delle app di Defender per il cloud usando Microsoft Entra ID.
Autorizzazioni
Defender per il cloud App supporta il controllo degli accessi in base al ruolo. I ruoli di amministratore globale e amministratore della sicurezza di Microsoft Entra e Microsoft Entra hanno accesso completo alle app di Defender per il cloud e ai lettori di sicurezza hanno accesso in lettura. Per altre informazioni.
Controlli del cliente per la conformità dell'organizzazione
Distribuzione con ambito
Defender per il cloud App consente di definire l'ambito della distribuzione. La definizione dell'ambito consente di gestire solo gruppi specifici usando app Defender per il cloud o di escludere gruppi specifici dalla governance delle app di Defender per il cloud. Per altre informazioni, vedere Distribuzione con ambito.
Anonimato
È possibile scegliere di mantenere anonimi i report di Cloud Discovery. Dopo il caricamento dei file di log in app Microsoft Defender per il cloud, tutte le informazioni sul nome utente vengono sostituite con nomi utente crittografati. Per indagini specifiche di sicurezza, è possibile risalire al nome utente effettivo. I dati privati vengono crittografati secondo la specifica AES-128 con una chiave dedicata per ogni tenant. Per altre informazioni.
Sicurezza e privacy per i clienti di Defender per il cloud App US Government GCC High
Per informazioni sugli standard di conformità delle app di Defender per il cloud e sulla posizione dei dati per i clienti di US Government GCC High, vedere Descrizione del servizio Enterprise Mobility + Security for US Government.
Passaggi successivi
- Panoramica delle app Defender per il cloud
- documentazione di app Defender per il cloud
- Iscriversi alle app di Defender per il cloud
Ottieni una versione di valutazione gratuita di Defender per il cloud Apps e scopri come soddisfa le tue sfide aziendali.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per