Rozwiązania dotyczące zabezpieczeń i prywatności danych dla aplikacji Defender dla Chmury

Uwaga

W tym artykule przedstawiono instrukcje dotyczące usuwania danych osobowych z urządzenia lub usługi, co jest pomocne w wypełnianiu obowiązków wynikających z RODO. Jeśli szukasz ogólnych informacji na temat RODO, zobacz sekcję RODO w portalu zaufania usług.

Microsoft Defender dla Chmury Apps jest krytycznym składnikiem stosu usługi Microsoft Cloud Security. Jest to kompleksowe rozwiązanie, które pomaga organizacji w pełni wykorzystać obietnicę aplikacji w chmurze. Defender dla Chmury Apps zapewnia kontrolę dzięki kompleksowej widoczności, inspekcji i szczegółowym mechanizmom kontroli nad poufnymi danymi.

Defender dla Chmury Apps zawiera narzędzia, które ułatwiają wykrywanie niezatwierdzonych zasobów IT i ocenianie ryzyka przy jednoczesnym umożliwieniu wymuszania zasad i badania działań. Pomaga to kontrolować dostęp w czasie rzeczywistym i zatrzymywać zagrożenia, dzięki czemu organizacja może bezpieczniej przejść do chmury.

zgodność aplikacji Defender dla Chmury

W świecie, w którym naruszenia danych i ataki są codziennymi wystąpieniami, ważne jest, aby organizacje wybierały brokera zabezpieczeń dostępu do chmury (CASB), który dokłada wszelkich starań, aby chronić swoje dane. Defender dla Chmury Apps, podobnie jak wszystkie produkty i usługi w chmurze firmy Microsoft, jest tworzone w celu zaspokojenia rygorystycznych wymagań dotyczących zabezpieczeń i prywatności naszych klientów.

Aby pomóc organizacjom w przestrzeganiu krajowych/regionalnych i branżowych wymagań dotyczących zbierania i używania danych poszczególnych osób, Defender dla Chmury Apps udostępnia kompleksowy zestaw ofert zgodności. Oferty zgodności obejmują certyfikaty i zaświadczania.

Struktura zgodności i oferty

Defender dla Chmury Apps spełnia wiele międzynarodowych i branżowych standardów zgodności, w tym między innymi:

Organizacja Nazwa opis
logo csa attestation. CSA STAR Attestation Platforma Azure i usługa Intune otrzymały zaświadczenie STAR Firmy Cloud Security Alliance na podstawie niezależnego inspekcji.
logo csa certification. CSA STAR Certification Platforma Azure, usługa Intune i usługa Power BI otrzymały certyfikat Cloud Security Alliance STAR na poziomie Gold.
logo EU model clauses. Klauzule modelu UE Firma Microsoft oferuje standardowe klauzule umowne UE, gwarancje dotyczące przekazywania danych osobowych.
logo HIPAA. HIPAA/HITECH Firma Microsoft oferuje umowy bhp Portability &Accountability Act Business Associate Agreement (BAAs).
logo iso 9001. ISO 9001 Firma Microsoft jest certyfikowana pod kątem implementacji tych standardów zarządzania jakością.
logo iso 27001. ISO/IEC 27001 Firma Microsoft jest certyfikowana pod kątem implementacji tych standardów zarządzania zabezpieczeniami informacji.
logo iso 27018. ISO/IEC 27018 Firma Microsoft była pierwszym dostawcą usług w chmurze, który przestrzegał tego kodeksu praktyk w zakresie ochrony prywatności w chmurze.
logo PCI. PCI DSS Platforma Azure jest zgodna ze standardami zabezpieczeń danych w branży kart płatniczych poziom 1 w wersji 3.1.
logo SOC. Raporty SOC 1 i SOC 2 typu 2 Usługi w chmurze firmy Microsoft są zgodne ze standardami kontroli organizacji usług na potrzeby zabezpieczeń operacyjnych.
logo SOC. SOC 3 Usługi w chmurze firmy Microsoft są zgodne ze standardami kontroli organizacji usług na potrzeby zabezpieczeń operacyjnych.
logo g-cloud. UK G-Cloud Usługa Crown Commercial Service odnowiła klasyfikację usług w chmurze firmy Microsoft do chmury dla instytucji rządowych w wersji 6.

Aby uzyskać więcej informacji, zobacz Oferty zgodności firmy Microsoft.

Prywatność

Jesteś właścicielem danych

  • W usłudze Defender dla Chmury Apps administratorzy mogą wyświetlać możliwe do zidentyfikowania dane osobowe przechowywane w usłudze z portalu przy użyciu paska wyszukiwania.

  • Administracja mogą wyszukiwać metadane określonego użytkownika lub działania użytkownika. Wybranie jednostki powoduje otwarcie strony Użytkownicy. Strona Użytkownicy zawiera szczegółowe informacje o jednostce pobieranej z połączonych aplikacji w chmurze. Udostępnia również historię aktywności użytkownika i alerty zabezpieczeń związane z użytkownikiem.

  • Posiadasz swoje dane i możesz anulować subskrypcje i zażądać usunięcia danych w dowolnym momencie. Jeśli nie odnowisz subskrypcji, twoje dane zostaną usunięte na osi czasu określonej w warunkach usług online.

  • Jeśli kiedykolwiek zdecydujesz się zakończyć usługę, możesz pobrać dane z Tobą.

Defender dla Chmury Apps jest procesorem danych

  • Defender dla Chmury Apps używa Twoich danych tylko do celów, które są zgodne z dostarczaniem usług, do których subskrybujesz.

  • Jeśli instytucje rządowe podchodzą do firmy Microsoft w celu uzyskania dostępu do danych, firma Microsoft przekierowuje zapytanie do Ciebie, klienta, zawsze, gdy jest to możliwe. Firma Microsoft zakwestionowała wymagania prawne, które nie były prawidłowe, co zabraniało ujawnienia żądania rządu dotyczącego danych klientów. Dowiedz się więcej o tym, kto może uzyskiwać dostęp do danych i na jakich warunkach.

Mechanizmy kontroli prywatności

  • Mechanizmy kontroli prywatności ułatwiają skonfigurowanie, kto w organizacji ma dostęp do usługi i do czego może uzyskiwać dostęp.

Aktualizowanie danych osobowych

Dane osobowe użytkowników pochodzą z obiektu użytkownika w używanych aplikacjach SaaS. W związku z tym wszelkie zmiany wprowadzone w profilu użytkownika w tych aplikacjach są odzwierciedlane w usłudze Defender dla Chmury Apps.

Lokalizacja danych

Defender dla Chmury Apps obecnie działa w centrach danych w Unii Europejskiej, Wielkiej Brytanii i Stany Zjednoczone (każdy "Geo").

Defender dla Chmury Apps używa centrów danych platformy Azure na całym świecie do zapewnienia zoptymalizowanej wydajności za pośrednictwem geolokalizacji. Oznacza to, że sesja użytkownika może być hostowana poza określonym regionem, w zależności od wzorców ruchu i ich lokalizacji. Jednak w celu ochrony prywatności żadne dane sesji nie są przechowywane w tych centrach danych.

Aby uzyskać więcej informacji, zobacz temat Microsoft Trust Center.

Defender dla Chmury Apps — lokalizacje przechowywania danych

Dane klienta zebrane przez usługę są przechowywane w spoczynku w następujący sposób:

Lokalizacja aprowizacji klienta Lokalizacja przechowywania danych
Klienci, których dzierżawcy są aprowizowani w Unii Europejskiej lub Wielkiej Brytanii Unii Europejskiej lub Zjednoczonego Królestwa
Wszyscy inni klienci Lokalizacja geograficzna znajdująca się najbliżej lokalizacji, w której zainicjowano aprowizację dzierżawy firmy Microsoft w firmie Microsoft

Jeśli Defender dla Chmury Apps używa innej usługi online firmy Microsoft, takiej jak Microsoft Entra ID lub Azure CDN do przetwarzania takich danych, lokalizacja geograficzna danych jest definiowana przez reguły przechowywania danych tej innej usługi online.

Lokalizacje przechowywania danych ładu aplikacji

Dane klienta zebrane przez usługę są przechowywane w spoczynku w następujący sposób:

Lokalizacja aprowizacji klienta Lokalizacja przechowywania danych
Klienci, których dzierżawy są aprowizowane w Stany Zjednoczone Stany Zjednoczone
Klienci, których dzierżawcy są aprowizowani w Unii Europejskiej lub Wielkiej Brytanii Unii Europejskiej lub Zjednoczonego Królestwa
Klienci, których dzierżawcy są aprowizowani w Azji i Pacyfiku Azja i Pacyfik lub Stany Zjednoczone
Klienci, których dzierżawy są aprowizowane w Kanadzie Kanada lub Stany Zjednoczone
Klienci, których dzierżawy są aprowizowane w Indiach Indie lub Stany Zjednoczone
Klienci, których dzierżawy są aprowizowane w dowolnym innym regionie Stany Zjednoczone lub centrum danych w obszarze geograficznym, które znajduje się najbliżej lokalizacji, w której aprowizowano dzierżawę firmy Microsoft Entra klienta

Jeśli ład aplikacji używa innej usługi online firmy Microsoft, takiej jak Microsoft Entra ID lub Azure CDN do przetwarzania takich danych, lokalizacja geograficzna danych jest definiowana przez reguły przechowywania danych tej innej usługi online.

Nadzór nad aplikacjami jest teraz częścią Microsoft Defender dla Chmury Apps. W przypadku istniejących klientów do czerwca 2024 r. będziemy przenosić dane, aby dopasować je do miejsca przechowywania danych usługi Microsoft Defender dla Chmury Apps. Po twojej stronie nie jest wymagana żadna praca i nie będzie żadnych przerw w działaniu usługi. Aby uzyskać więcej informacji, zobacz Defender dla Chmury Apps data storage locations (Lokalizacje przechowywania danych w usłudze Defender dla Chmury Apps).

Przezroczystość

Firma Microsoft zapewnia przejrzystość swoich praktyk:

  • Udostępnianie Ci miejsca przechowywania danych.
  • Potwierdzanie, że Dane są używane tylko do dostarczania uzgodnionych usług.
  • Określanie sposobu, w jaki inżynierowie firmy Microsoft i zatwierdzone podwykonawcy używają tych danych do świadczenia usług.

Firma Microsoft używa rygorystycznych mechanizmów kontroli w celu zarządzania dostępem do danych klientów, udzielając najniższego poziomu dostępu wymaganego do wykonywania kluczowych zadań i odwołując dostęp, gdy nie jest już potrzebny.

Ochrona danych

Defender dla Chmury Apps wymusza ochronę danych podczas inspekcji zawartości. Zawartość pliku nie jest przechowywana w centrum danych usługi Defender dla Chmury Apps. Przechowywane są tylko metadane rekordów plików i wszystkie zidentyfikowane dopasowania.

Przechowywanie danych

usługa Defender dla Chmury Apps zachowuje dane w następujący sposób:

  • Dziennik aktywności: 180 dni
  • Dane odnajdywania: 90 dni
  • Alerty: 180 dni
  • Dziennik nadzoru: 120 dni

Więcej informacji na temat praktyk dotyczących danych firmy Microsoft można uzyskać, czytając postanowienia dotyczące usług online.

Dowiedz się więcej o przejrzystości

Udostępnianie danych

Defender dla Chmury Apps udostępnia dane, w tym dane klientów, wśród następujących produktów firmy Microsoft również licencjonowanych przez klienta:

  • Microsoft Defender for Cloud

  • Microsoft Sentinel

  • Usługa Microsoft Defender dla punktu końcowego

  • Microsoft Defender Exposure Management (publiczna wersja zapoznawcza)

  • Microsoft Purview

  • Microsoft Purview

Usuwanie danych osobowych

Po usunięciu konta użytkownika z połączonej aplikacji w chmurze usługa Defender dla Chmury Apps automatycznie usunie kopię danych w ciągu dwóch lat.

Eksportowanie danych osobowych

usługa Defender dla Chmury Apps umożliwia eksportowanie do woluminów CSV wszystkich informacji o aktywności użytkownika i alertach zabezpieczeń.

Przepływ danych

Defender dla Chmury Apps zapewnia wygodę pracy z niektórymi danymi, takimi jak alerty i działania, bez zakłócania zwykłego przepływu pracy zabezpieczeń. Na przykład Metodyka SecOps może preferować wyświetlanie alertów w preferowanym produkcie SIEM, takim jak Microsoft Sentinel. Aby włączyć takie przepływy pracy, podczas integracji z produktami firmy Microsoft lub innych firm, Defender dla Chmury Apps uwidacznia niektóre dane za ich pośrednictwem.

W poniższej tabeli przedstawiono dane widoczne dla każdej integracji produktu:

Produkty firmy Microsoft

Rezultat Ujawnione dane Konfigurowanie
Microsoft Defender XDR Alerty i działania użytkowników Włączone automatycznie w usłudze Microsoft Defender XDR podczas dołączania
Microsoft Sentinel Alerty i dane odnajdywania Włączone w aplikacjach Defender dla Chmury i skonfigurowane w usłudze Microsoft Sentinel
Portal zgodności Microsoft Purview Alerty dla platformy Microsoft 365 Automatycznie przesyłane strumieniowo do portal zgodności Microsoft Purview
Microsoft Defender for Cloud Alerty dotyczące platformy Azure Domyślnie włączone w usłudze Defender dla Chmury Apps; można je wyłączyć w Microsoft Defender dla Chmury
Microsoft Graph — interfejs API Zabezpieczenia Alerty Dostępne za pośrednictwem programu Microsoft Graph interfejs API Zabezpieczenia
Microsoft Power Automate Alerty wysyłane do wyzwalania zautomatyzowanego przepływu Skonfigurowane w aplikacjach Defender dla Chmury
Eksperci ds. zagrożeń firmy Microsoft Alerty Automatycznie przesyłane strumieniowo do ekspertów ds. zagrożeń firmy Microsoft
Microsoft Entra ID — ochrona Alerty Automatycznie przesyłane strumieniowo do Ochrona tożsamości Microsoft Entra
Microsoft Entra ID — ochrona Podzbiór alertów dla modelu ryzyka tożsamości Włączone automatycznie podczas dołączania Ochrona tożsamości Microsoft Entra

Produkty innych firm

Typ integracji Ujawnione dane Konfigurowanie
Korzystanie z agenta SIEM Alerty i zdarzenia Włączone i skonfigurowane w aplikacjach Defender dla Chmury
Korzystanie z interfejsu API REST usługi Defender dla Chmury Apps Alerty i zdarzenia Włączone i skonfigurowane w aplikacjach Defender dla Chmury
Łącznik ICAP Plik skanowania DLP Włączone i skonfigurowane w aplikacjach Defender dla Chmury

Uwaga

Inne produkty mogą nie wymuszać uprawnień zabezpieczeń opartych na rolach Defender dla Chmury Apps, aby kontrolować, kto ma dostęp do jakich danych. W związku z tym przed integracją z innymi produktami upewnij się, że rozumiesz, jakie dane są wysyłane do produktu, którego chcesz używać i kto ma do niego dostęp.

Zabezpieczenia

Szyfrowanie

Firma Microsoft korzysta z technologii szyfrowania w celu ochrony danych przechowywanych w bazie danych firmy Microsoft oraz podczas podróży między urządzeniami użytkowników a centrami danych usługi Defender dla Chmury Apps. Ponadto cała komunikacja między aplikacjami Defender dla Chmury i połączonymi aplikacjami jest szyfrowana przy użyciu protokołu HTTPS.

Uwaga

Defender dla Chmury Apps wykorzystuje protokoły Transport Layer Security (TLS) 1.2+ w celu zapewnienia najlepszego szyfrowania klasy. Natywne aplikacje klienckie i przeglądarki, które nie obsługują protokołu TLS 1.2 lub nowszego, nie będą dostępne po skonfigurowaniu z kontrolą sesji. Jednak aplikacje SaaS korzystające z protokołu TLS 1.1 lub starszego będą wyświetlane w przeglądarce jako korzystające z protokołu TLS 1.2 lub nowszego podczas konfigurowania z aplikacjami Defender dla Chmury.

Zarządzanie tożsamościami i dostępem

Defender dla Chmury Apps umożliwia ograniczenie dostępu administratorów do portalu na podstawie geolokalizacji przy użyciu identyfikatora Entra firmy Microsoft. Istnieje możliwość wymagania uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do portalu Defender dla Chmury Apps przy użyciu identyfikatora Entra firmy Microsoft.

Uprawnienia

usługa Defender dla Chmury Apps obsługuje kontrolę dostępu opartą na rolach. Role administratora globalnego platformy Microsoft 365 i administratora zabezpieczeń firmy Microsoft mają pełny dostęp do aplikacji Defender dla Chmury, a czytelnicy zabezpieczeń mają dostęp do odczytu. Aby uzyskać więcej informacji.

Kontrola klienta pod kątem zgodności organizacji

Wdrożenie w zakresie

Defender dla Chmury Apps umożliwia określanie zakresu wdrożenia. Określanie zakresu umożliwia zarządzanie tylko określonymi grupami przy użyciu aplikacji Defender dla Chmury lub wykluczanie określonych grup z ładu w usłudze Defender dla Chmury Apps. Aby uzyskać więcej informacji, zobacz Wdrażanie w zakresie.

Zachowywanie anonimowości

Możesz zachować anonimowość raportów usługi Cloud Discovery . Po przekazaniu plików dziennika do aplikacji Microsoft Defender dla Chmury wszystkie informacje o nazwie użytkownika są zastępowane zaszyfrowanymi nazwami użytkownika. W przypadku konkretnych badań zabezpieczeń można rozpoznać rzeczywistą nazwę użytkownika. Prywatne dane są szyfrowane przy użyciu algorytmu AES-128 z kluczem dedykowanym dla danej dzierżawy. Aby uzyskać więcej informacji.

Zabezpieczenia i prywatność w przypadku aplikacji Defender dla Chmury Dla instytucji rządowych USA GCC High

Aby uzyskać informacje na temat standardów zgodności Defender dla Chmury Apps i lokalizacji danych dla klientów GCC High dla instytucji rządowych USA, zobacz Enterprise Mobility + Security for US Government service description (Opis usługi Enterprise Mobility + Security for US Government).

Następne kroki

Uzyskaj bezpłatną wersję próbną usługi Defender dla Chmury Apps i zobacz, jak spełnia twoje wyzwania biznesowe.