Elenchi Top 10

Ai clienti serve una soluzione di produttività pronta per l'uso che sia intrinsecamente sicura e affidabile. Per agevolare la scelta di un provider di servizi cloud che soddisfi specifiche aspettative in termini di sicurezza e affidabilità dei servizi di produttività sul cloud, abbiamo identificato le principali considerazioni in materia di privacy e sicurezza da tenere presenti prima di decidere.

Con questi tre elenchi Top 10, sarà possibile risparmiare tempo e prendere decisioni più informate.

 

Mostra tutto

1. Chi è il proprietario dei dati archiviati nel servizio? I dati verranno usati per campagne pubblicitarie?
I clienti di Office 365 sono i proprietari dei loro dati e li controllano. Microsoft usa i dati solo ed esclusivamente per fornire il servizio per cui è stato sottoscritto un abbonamento. In veste di provider di servizi, Microsoft non analizza la posta elettronica o i documenti dei clienti per scopi pubblicitari. Per altre informazioni, vedi come vengono usati i dati nel Centro protezione di Office 365.

2. Il servizio include controlli per la privacy?
I controlli per la privacy sono abilitati per impostazione predefinita per tutti i clienti del servizio, che possono comunque attivare e disattivare caratteristiche che influiscono sulla privacy in base a specifiche esigenze dell'organizzazione. Microsoft si impegna a rispettare le disposizioni del contratto sull'elaborazione dei dati adottando misure rigorose per quanto riguarda la privacy e la sicurezza.

3. I clienti hanno visibilità su dove vengono archiviati i loro dati nel servizio?
Microsoft assicura la massima trasparenza sulla destinazione dei dati archiviati. Per altre informazioni, vedi dove vengono archiviati i dati nel Centro protezione di Office 365.

4. Qual è l'approccio adottato per la sicurezza e quali caratteristiche vengono offerte per proteggere il servizio da attacchi esterni?
La sicurezza rientra tra i principi di progettazione e tra le caratteristiche più importanti di Office 365. L'impegno di Microsoft per la sicurezza abbraccia hardware, software, criteri e controlli, verifiche di revisori indipendenti, oltre alla sicurezza fisica dei data center.

Per quanto riguarda le caratteristiche di sicurezza, esistono in generale due tipi di categorie: 1) sicurezza incorporata e 2) controlli utente. La sicurezza incorporata rappresenta tutte le misure adottate da Microsoft per conto di tutti i clienti di Office 365 per proteggere le loro informazioni e fornire un servizio a disponibilità elevata. I controlli dei clienti sono caratteristiche che consentono di personalizzare Office 365 in base a specifiche esigenze dell'organizzazione. Per informazioni su entrambi i tipi di caratteristiche di sicurezza, vedi la sezione Sicurezza del Centro protezione di Office 365.

5. È possibile rimuovere i propri dati dal servizio?
I dati archiviati in Office 365 sono di proprietà del cliente, che ne conserva ogni diritto, titolarità e interesse. Durante il periodo di validità dell'abbonamento e per i 90 giorni successivi può inoltre scaricare una copia di tutti i propri dati in qualsiasi momento e per qualunque motivo, senza alcun tipo di assistenza da parte di Microsoft. Per altre informazioni, vedi A proposito dei dati personali nel Centro protezione di Office 365.

6. I clienti verranno informati in caso di qualsiasi variazione nel servizio e qualora i dati vengano compromessi?
Microsoft informa i clienti se si verificano importanti variazioni nel servizio riguardo ad aspetti come sicurezza, privacy e conformità. Notificherà inoltre tempestivamente ai clienti eventuali casi di accesso non autorizzato ai loro dati.

7. Le procedure di trattamento e accesso ai dati dei clienti sono trasparenti?
Microsoft condivide aspetti importanti dell'archiviazione dei dati, ad esempio dove risiedono in termini di località geografica, chi in Microsoft è autorizzato ad accedervi e come vengono usate queste informazioni internamente. Per altre informazioni, vedi la sezione Chi può accedere ai dati del Centro protezione di Office 365.

La posizione di Microsoft sull'accesso ai dati è la seguente:
Microsoft concede sempre al cliente l'accesso ai suoi dati. L'accesso ai dati del cliente è rigorosamente controllato e registrato, anche tramite controlli a campione svolti da Microsoft e da terze parti per verificare che avvenga solo per scopi aziendali appropriati. Microsoft riconosce l'estrema importanza dei contenuti dei clienti. Se qualcuno, ad esempio tra il personale Microsoft, i partner o gli amministratori stessi del cliente, accede ai contenuti nel servizio, Microsoft può fornire su richiesta un report su tale accesso.

8. Quale tipo di impegno si garantisce in merito a sicurezza e privacy?
Per conto di Office 365, Microsoft è disposta a sottoscrivere con ogni cliente le condizioni per l'elaborazione dei dati, un contratto Business Associate Agreement HIPAA e le clausole modello UE. È inoltre conforme a standard come ISO 27001, ISO 27018, FISMA e FedRAMP. Per altre informazioni, vedi la sezione sulle verifiche indipendenti del Centro protezione di Office 365.

9. In che modo viene assicurata l'affidabilità del servizio?
Microsoft mette in atto procedure consigliate nella progettazione e nelle operazioni, in termini di ridondanza, resilienza, servizi distribuiti e monitoraggio, solo per citare alcuni esempi. Di recente, Microsoft ha iniziato a pubblicare le cifre trimestrali sull'operatività assicurata dal servizio. Per altre informazioni, vedi la sezione Trasparenza delle operazioni del Centro protezione di Office 365.

10. Quali sono gli impegni di Microsoft in merito alla disponibilità del servizio?
Microsoft offre un contratto di servizio con copertura finanziaria che garantisce il 99,9% di operatività. Se un cliente riscontra un'operatività inferiore al 99,9%, verrà compensato con crediti di servizio.

Per altre informazioni ed esempi pratici sulle garanzie offerte da Microsoft Office 365 per quanto riguarda le domande precedenti, visita il Centro protezione di Office 365.

1. L'accesso fisico ai data center è consentito unicamente al personale autorizzato e sono stati implementati più livelli di sicurezza fisica, come lettori biometrici, sensori di movimento, accesso protetto 24 ore su 24, videosorveglianza e allarmi per le violazioni della sicurezza.

2. Viene usata la crittografia dei dati sia per l'archiviazione che per la trasmissione in rete tra data center e utente.

3. Non vengono eseguite attività di data mining o accesso ai dati per scopi pubblicitari.

4. I dati dei clienti vengono usati solo per fornire il servizio. Le cassette postali non vengono esaminate per nessun altro motivo senza il consenso del cliente.

5. I dati vengono regolarmente sottoposti a backup.

6. Al termine del periodo di validità del servizio, i dati nell'account non vengono eliminati finché il cliente non ha avuto il tempo di trarre vantaggio dalla portabilità dei dati offerta da Microsoft.

7. I dati dei clienti sono ospitati a livello locale.

8. Viene imposta l'applicazione di password complesse per aumentare la sicurezza dei dati.

9. Il cliente è autorizzato a disattivare e attivare le caratteristiche che influiscono sulla privacy in base a specifiche esigenze.

10. Microsoft si impegna a rispettare questi punti con le condizioni per l'elaborazione dei dati disposte nel contratto multilicenza. Per altre informazioni, vedi la pagina sulle verifiche indipendenti.

1. Health Insurance Portability and Accountability Act (HIPAA): ai clienti che possono essere "entità coperte", secondo la definizione di legge, l'HIPAA impone una serie di requisiti di sicurezza, privacy e documentazione riguardo all'elaborazione di informazioni sanitarie elettroniche protette. Microsoft ha sviluppato Office 365 in modo da garantire misure di sicurezza fisiche, amministrative e tecniche che consentano ai clienti di rispettare la conformità ai requisiti dell'HIPAA. A ogni cliente viene offerto un contratto Business Associate Agreement (BAA) HIPAA. Per altre informazioni, vedere le domande frequenti su HIPAA/HITECH (in inglese).

2. Condizioni per l'elaborazione dei dati: Microsoft offre ai clienti altre garanzie contrattuali tramite le condizioni per l'elaborazione dei dati che riguardano il trattamento e la salvaguardia dei dati dei clienti. Accettando tali condizioni, Microsoft si impegna a rispettare oltre 40 punti specifici della sicurezza raccolti dalle normative di tutto il mondo. Gli impegni rigorosi delle condizioni per l'elaborazione dati sono a disposizione dei clienti per impostazione predefinita.

3. Le norme FISMA (Federal Information Security Management Act) impongono alle agenzie federali degli Stati Uniti di sviluppare, documentare e implementare controlli per proteggere le informazioni e i sistemi informativi. FedRAMP (Federal Risk and Authorization Program) è un programma federale USA per la gestione dei rischi che fornisce un approccio standard per la valutazione e il monitoraggio della sicurezza di prodotti e servizi cloud. Le domande frequenti su FedRAMP/FISMA (in inglese) descrivono il modo in cui il servizio Office 365 segue i processi relativi a queste norme in materia di sicurezza e privacy.

4. ISO 27001: ISO 27001 è uno dei migliori benchmark per la sicurezza disponibili al mondo. Molti prodotti di Office 365 sono stati verificati in modo da soddisfare l'insieme rigoroso di controlli fisici, logici, di processo e di gestione definiti dallo standard ISO 27001:2013. Sono inclusi anche i controlli della privacy ISO 27018 nelle verifiche più recenti. L'inserimento di questi nuovi controlli ISO 27018 nella valutazione ISO rappresenta un'ulteriore conferma del livello di protezione offerto da Office 365 nei confronti della privacy dei dati dei clienti.

5. Clausole modello dell'Unione Europea (UE): la direttiva per la protezione dei dati dell'Unione Europea, uno strumento chiave della legge comunitaria sulla privacy e sui diritti umani, richiede ai clienti dell'Unione Europea di legittimare il trasferimento dei dati personali al di fuori dell'Unione. Le clausole modello UE sono riconosciute come metodo privilegiato per legittimare il trasferimento di dati personali al di fuori dell'Unione Europea per ambienti di cloud computing. La disponibilità a sottoscrivere le clausole modello UE implica investimenti e lo sviluppo dei controlli e dei processi operativi necessari per soddisfare gli esatti requisiti previsti da tali clausole. Se un provider di servizi cloud non è disposto a sottoscrivere le clausole modello UE, può essere difficile per i clienti accertarsi che sia in grado di garantire la conformità ai requisiti della direttiva per la protezione dei dati dell'Unione Europea per il trasferimento di dati personali in giurisdizioni che non forniscono "adeguata protezione". Le domande frequenti sulle clausole modello UE descrivono l'approccio di Microsoft approvato dagli organi di controllo per le clausole modello UE.

6. ISO 27018: Microsoft è il primo grosso provider di servizi cloud a essere stato dichiarato conforme allo standard ISO 27018, che stabilisce un approccio internazionale e uniforme alla protezione della privacy per i dati personali archiviati nel cloud. La conformità a ISO 27018 significa che Microsoft elabora le informazioni personali esclusivamente in conformità alle istruzioni del cliente, assicura la massima trasparenza sul trattamento dei dati dei clienti, fornisce misure efficaci di sicurezza per le informazioni personali nel proprio cloud e non usa i dati dei clienti a scopo pubblicitario. Informa inoltre i clienti nel caso in cui un ente pubblico acceda ai loro dati.

7. Family Educational Rights and Privacy Act (FERPA): il FERPA impone requisiti agli istituti di istruzione degli USA relativamente all'uso o alla divulgazione di record didattici degli studenti, tra cui posta elettronica e allegati. Microsoft si attiene alle restrizioni sull'uso e la divulgazione imposte dal FERPA che limitano l'uso dei record didattici degli studenti, accettando anche di non analizzare messaggi di posta elettronica o documenti a scopi pubblicitari.

8. Statement on Standards for Attestation Engagements n. 16 (SSAE 16): Office 365 è stato controllato da terze parti indipendenti e può fornire report SSAE16 SOC 1 Tipo I e Tipo II e SOC 2 Tipo II sui controlli implementati dal servizio.

9. Gramm-Leach-Bliley Act (GLBA): il Gramm-Leach-Bliley Act richiede agli istituti finanziari di mettere in atto processi per proteggere le informazioni personali di tipo non pubblico dei clienti. Impone criteri per proteggere le informazioni da minacce prevedibili per la sicurezza e l'integrità dei dati. I clienti soggetti al GLBA possono usare Office 365 e rispettare la conformità ai relativi requisiti.

10. Health Information Trust Alliance (HITRUST): il team di Office 365, in collaborazione con un revisore indipendente, ha completato una valutazione della conformità di Microsoft alle specifiche HITRUST. Considerato uno standard importante dalle organizzazioni dell'assistenza sanitaria USA, HITRUST ha istituito il Common Security Framework (CSF), un framework di certificazione che può essere usato da tutte le organizzazioni che creano, accedono, archiviano o scambiano dati sanitari e finanziari personali.

Per altre informazioni sulla conformità di Office 365, fai riferimento al documento Framework di conformità agli standard e alle normative di settore.

Was this information helpful?

Great! Any other feedback?

How can we improve it?


To protect your privacy, please do not include contact information in your feedback. Review our privacy policy.

×