Elenchi Top 10

I clienti hanno bisogno di una soluzione di produttività pronta all'uso e che sia intrinsecamente sicura e affidabile. Per agevolare la scelta di un provider di servizi cloud che soddisfi specifiche aspettative in termini di sicurezza e affidabilità dei servizi di produttività sul cloud, abbiamo identificato le principali considerazioni in materia di privacy e sicurezza da tenere presenti prima di decidere.
Con questi tre elenchi Top 10, sarà possibile risparmiare tempo e prendere decisioni più informate.
MostraNascondi
Le 10 domande principali da porre a un provider di servizi cloud quando si valuta se trasferire nel cloud i servizi IT e le risposte offerte da Microsoft Office 365 a queste domande

1. Chi è il proprietario dei dati archiviati nel servizio? I dati verranno usati per la realizzazione di prodotti pubblicitari?
I clienti di Office 365 mantengono la proprietà e il controllo dei loro dati. Microsoft usa i dati solo ed esclusivamente per fornire il servizio per cui è stato sottoscritto un abbonamento. In veste di provider di servizi, Microsoft non analizza la posta elettronica o i documenti dei clienti per scopi pubblicitari. Per altre informazioni, vedere Uso dei dati dei clienti nel Centro protezione di Office 365.


2. Il servizio include controlli per la privacy?
I controlli per la privacy sono abilitati per impostazione predefinita per tutti i clienti del servizio, che possono comunque attivare e disattivare caratteristiche che influiscono sulla privacy in base a specifiche esigenze dell'organizzazione. Microsoft si impegna a rispettare le disposizioni del contratto sull'elaborazione dei dati per quanto riguarda la privacy e la sicurezza.


3. I clienti hanno visibilità su dove vengono archiviati i loro dati nel servizio?
Microsoft assicura la massima trasparenza sulla destinazione dei dati archiviati. Per altre informazioni, vedere Dove sono i dati dei clienti? nel Centro protezione di Office 365.


4. Qual è l'approccio adottato per la sicurezza e quali caratteristiche vengono offerte per proteggere il servizio da attacchi esterni?

La sicurezza rientra tra i principi di progettazione e tra le caratteristiche più importanti di Office 365. L'impegno di Microsoft per la sicurezza abbraccia hardware, software, criteri e controlli, verifiche di revisori indipendenti, oltre alla sicurezza fisica dei data center.


Per quanto riguarda le caratteristiche di sicurezza, esistono in generale due tipi di categorie: 1) sicurezza incorporata e 2) controlli dei clienti. La sicurezza incorporata rappresenta tutte le misure adottate da Microsoft per conto di tutti i clienti di Office 365 per proteggere le loro informazioni e fornire un servizio a disponibilità elevata. I controlli dei clienti sono caratteristiche che consentono di personalizzare Office 365 in base a specifiche esigenze dell'organizzazione. Per informazioni su entrambi i tipi di caratteristiche di sicurezza, vedere la sezione Sicurezza del Centro protezione di Office 365.

5. È possibile rimuovere i propri dati dal servizio?
I dati archiviati in Office 365 sono di proprietà del cliente, che ne conserva ogni diritto, titolarità e interesse. Può inoltre scaricare una copia di tutti i propri dati in qualsiasi momento e per qualsiasi motivo, senza alcun tipo di assistenza da parte di Microsoft. Per altre informazioni, vedere A proposito dei dati personali nel Centro protezione di Office 365.


6. I clienti verranno informati in caso di qualsiasi variazione nel servizio e qualora i dati vengano compromessi?
Microsoft informa i clienti se si verificano importanti variazioni nel servizio riguardo ad aspetti come sicurezza, privacy e conformità. Notificherà inoltre tempestivamente ai clienti eventuali casi di accesso non autorizzato ai loro dati.


7. Le procedure di trattamento e accesso ai dati dei clienti sono trasparenti?
Microsoft condivide aspetti importanti dell'archiviazione dei dati, ad esempio dove risiedono in termini di località geografica, chi in Microsoft è autorizzato ad accedervi e come vengono usate queste informazioni internamente. Per altre informazioni, vedere la sezione su chi può accedere ai dati nel Centro protezione di Office 365.


La posizione di Microsoft sull'accesso ai dati è la seguente:

Microsoft concede sempre al cliente l'accesso ai suoi dati. L'accesso ai dati del cliente è rigorosamente controllato e registrato, anche tramite controlli a campione svolti da Microsoft e da terze parti per verificare che tale accesso avvenga solo per scopi aziendali appropriati. Microsoft riconosce l'estrema importanza dei contenuti dei clienti. Se qualcuno, ad esempio tra il personale Microsoft, i partner o gli amministratori stessi del cliente, accede ai contenuti nel servizio, Microsoft può fornire su richiesta un report su tale accesso.

8. Quale tipo di impegno si garantisce in merito a sicurezza e privacy?
Per conto di Office 365, Microsoft è disponibile a sottoscrivere con ogni cliente un contratto sull'elaborazione dei dati, un emendamento sulla sicurezza, un contratto BAA (Business Associate Agreement) HIPAA e le clausole modello UE. Microsoft è inoltre conforme a standard come ISO 27001, FISMA e Fedramp. Per altre informazioni, vedere la sezione Verifiche indipendenti nel Centro protezione di Office 365.

9. In che modo viene assicurata l'affidabilità del servizio?
Microsoft mette in atto procedure consigliate nella progettazione e nelle operazioni, in termini di ridondanza, resilienza, servizi distribuiti e monitoraggio, solo per citare alcuni esempi. Di recente, Microsoft ha iniziato a pubblicare le cifre trimestrali sull'operatività assicurata dal servizio. Per altre informazioni, vedere la sezione Trasparenza nelle operazioni nel Centro protezione di Office 365.


10. Quali sono gli impegni di Microsoft in merito alla disponibilità del servizio?

Microsoft offre un contratto di servizio con copertura finanziaria che garantisce il 99,9% di operatività. Se un cliente riscontra un'operatività inferiore al 99,9%, verrà compensato con crediti di servizio.


Per altre informazioni ed esempi pratici sulle garanzie offerte da Microsoft Office 365 per quanto riguarda le domande precedenti, visitare il Centro protezione di Office 365.

MostraNascondi
Le 10 principali caratteristiche di Office 365 per la sicurezza e la privacy

1. L'accesso fisico ai data center è consentito unicamente al personale autorizzato e sono stati implementati più livelli di sicurezza fisica, come lettori biometrici, sensori di movimento, accesso protetto 24 ore su 24, videosorveglianza e allarmi per le violazioni della sicurezza.


2. Viene usata la crittografia dei dati sia per l'archiviazione che per la trasmissione in rete tra data center e utente.


3. Non vengono eseguite attività di data mining o accesso ai dati per scopi pubblicitari.


4. I dati dei clienti vengono usati solo per fornire il servizio. Le cassette postali non vengono esaminate per nessun altro motivo senza i consenso del cliente.


5. I dati vengono regolarmente sottoposti a backup.


6. Al termine del periodo di validità del servizio, i dati nell'account non vengono eliminati finché il cliente non ha avuto il tempo di trarre vantaggio dalla portabilità dei dati offerta da Microsoft.


7. I dati dei clienti sono ospitati a livello locale.


8. Viene imposta l'applicazione di password complesse per aumentare la sicurezza dei dati.


9. Il cliente è autorizzato a disattivare e attivare le caratteristiche che influiscono sulla privacy in base a specifiche esigenze.


10. Microsoft si impegna a rispettare questi punti con il contratto sull'elaborazione dei dati. Per altre informazioni, vedere la sezione Conformità continua nel Centro protezione

MostraNascondi
I 10 principali standard di conformità di Office 365

1. HIPAA (Health Insurance Portability and Accountability Act): ai clienti che possono essere "entità coperte", secondo la definizione di legge, l'HIPAA impone una serie di requisiti di sicurezza, privacy e documentazione riguardo all'elaborazione di informazioni sanitarie elettroniche protette. Microsoft ha sviluppato Office 365 in modo da garantire misure di sicurezza fisiche, amministrative e tecniche che consentano ai clienti di rispettare la conformità ai requisiti dell'HIPAA. Microsoft è disponibile a sottoscrivere un contratto Business Associate Agreement (BAA) HIPAA con qualsiasi cliente. Per altre informazioni sul contratto BAA HIPAA, vedere le domande frequenti su HIPAA/HITECH (informazioni in lingua inglese).


2. Contratti sull'elaborazione dei dati: Microsoft offre ai clienti altre garanzie contrattuali tramite i Contratti sull'elaborazione dati (Data Processing Agreement, DPA) in relazione alla gestione dei loro dati e alle misure di sicurezza adottate. Con la firma dei DPA, Microsoft si impegna a rispettare oltre 40 specifici requisiti di sicurezza raccolti da regolamentazioni di tutto il mondo. Fare clic qui per firmare. I clienti con contratti Enterprise devono contattare il loro rappresentante per ottenere un contratto DPA.


3. Le norme FISMA (Federal Information Security Management Act) impongono alle agenzie federali degli Stati Uniti di sviluppare, documentare e implementare controlli per proteggere le informazioni e i sistemi informativi. FedRAMP (Federal Risk and Authorization Program) è un programma federale USA per la gestione dei rischi che fornisce un approccio standard per la valutazione e il monitoraggio della sicurezza di prodotti e servizi cloud. Le domande frequenti su FedRAMP/FISMA (informazioni in lingua inglese) descrivono i processi implementati nel servizio Office 365 per rispettare le direttive FedRAMP/FISMA in termini di sicurezza e privacy.

4. ISO 27001: ISO 27001 è uno dei migliori benchmark per la sicurezza disponibili al mondo. In base alle verifiche effettuate, Office 365 risulta conforme all'insieme rigoroso di controlli fisici, logici, dei processi e di gestione definiti dallo standard ISO 27001:2013. Nelle verifiche più recenti sono inclusi anche i controlli della privacy ISO 27018. L'inserimento di questi nuovi controlli ISO 27018 nella valutazione ISO rappresenta un'ulteriore conferma del livello di protezione offerto da Office 365 nei confronti della privacy dei dati dei clienti.


5. Clausole modello dell'Unione Europea (UE): la direttiva per la protezione dei dati dell'Unione Europea, uno strumento chiave della legge comunitaria sulla privacy e sui diritti umani, richiede ai clienti dell'Unione Europea di legittimare il trasferimento dei dati personali al di fuori dell'Unione. Le clausole modello UE sono riconosciute come metodo privilegiato per legittimare il trasferimento di dati personali al di fuori dell'Unione Europea per ambienti di cloud computing. La disponibilità a sottoscrivere le clausole modello UE implica investimenti e lo sviluppo dei controlli e dei processi operativi necessari per soddisfare gli esatti requisiti previsti da tali clausole. Se un provider di servizi cloud non è disposto a sottoscrivere le clausole modello UE, può essere difficile per i clienti accertarsi che sia in grado di garantire la conformità ai requisiti della direttiva per la protezione dei dati dell'Unione Europea per il trasferimento di dati personali in giurisdizioni che non forniscono "adeguata protezione". Per informazioni sull'approccio adottato da Microsoft e approvato dalle autorità competenti nei confronti delle clausole modello UE, vedere le domande frequenti sulle clausole modello UE.


6. Safe Harbor Framework tra USA e UE: anche il quadro normativo Safe Harbor Framework vigente tra USA e UE consente ai clienti di trasferire legalmente i dati personali al di fuori dell'Unione Europea nell'ambito della direttiva comunitaria per la protezione dei dati. Office 365 si attiene ai principi e ai processi stipulati dal quadro normativo Safe Harbor Framework tra USA e UE.


7. FERPA (Family Education Rights and Privacy Act): le norme FERPA impongono agli istituti di istruzione requisiti in merito all'uso o alla divulgazione delle informazioni didattiche degli studenti, inclusi messaggi di posta elettronica e allegati. Microsoft si attiene alle restrizioni sull'uso e la divulgazione imposte dal FERPA che limitano l'uso delle informazioni didattiche, accettando anche di non analizzare messaggi di posta elettronica o documenti a scopi pubblicitari.

8. SSAE 16 (Statement on Standards for Attestation Engagements No. 16): Office 365 è stato controllato da terze parti indipendenti e può fornire report SSAE16 SOC 1 Tipo I e Tipo II e SOC 2 Tipo II sui controlli implementati dal servizio.


9. PIPEDA (Canadian Personal Information Protection and Electronic Documents Act): le norme PIPEDA regolamentano la raccolta, l'uso e la divulgazione di dati personali nel corso di attività commerciali da parte di organizzazioni del settore privato. Microsoft supporta la conformità a queste norme tramite l'amministrazione di Office 365.


10. GLBA (Gramm-Leach-Bliley Act): il Gramm-Leach-Bliley Act richiede agli istituti finanziari di mettere in atto processi per proteggere le informazioni personali di tipo non pubblico dei clienti. Impone criteri per proteggere le informazioni da minacce prevedibili per la sicurezza e l'integrità dei dati. I clienti soggetti al GLBA possono usare Office 365 e rispettare la conformità ai requisiti GLBA.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"},{"functionName":"AddDynaCss","params":"#c4bb7163-eac0-a97b-9ee4-3b3e65353464|pmg-float-right|680"},{"functionName":"AutoMiddle","params":".pmgJS-frame1|.pmgJS-target1"}, {"functionName":"AutoMiddle","params":".pmgJS-frame2|.pmgJS-target2"}, {"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"} ]}