Elenco di controllo di preparazione della conformità di Servizi professionali e supporto tecnico Microsoft al GDPR
1. Introduzione
Questo elenco di controllo per l'idoneità alla responsabilità offre un modo pratico per accedere alle informazioni che potrebbero essere necessarie per supportare il GDPR quando si usano Servizi professionali Microsoft e Servizi di supporto tecnico Microsoft. L'elenco di controllo è organizzato usando i titoli e il numero di riferimento (tra parentesi per ogni articolo dell'elenco di controllo) di un set di controlli di privacy e sicurezza per i responsabili del trattamento dei dati personali tratti da:
- ISO/IEC 27701 per i requisiti di gestione sulla privacy.
- ISO/IEC 27701 per i requisiti delle tecniche di sicurezza.
Questa struttura viene usata anche per organizzare la presentazione dei controlli interni che Microsoft Professional Services implementa per supportare il GDPR e che è possibile scaricare dal Service Trust Portal.
2. Condizioni per la raccolta e il trattamento
| Categoria | Considerazione del cliente | Supporto della documentazione Microsoft | Fa riferimento agli articoli del GDPR |
|---|---|---|---|
| Identificare e documentare la finalità (7.2.1) | Il cliente deve documentare lo scopo per cui vengono trattati i dati personali. | Descrizione del trattamento dei dati che Microsoft esegue per il cliente e le finalità di tale trattamento, che possono essere incluse nella documentazione relativa alla responsabilizzazione del cliente. - Componente aggiuntivo per la protezione dei dati di Prodotti e servizi Microsoft [1] |
(5)(1)(b), (32)(4) |
| Identificare la liceità (7.2.2) | Il cliente deve comprendere i requisiti relativi alla liceità del trattamento, ad esempio se è necessario il previo consenso dell'interessato. | Descrizione del trattamento dei dati personali da parte dei servizi Microsoft per l'inclusione nella documentazione di conformità. - Informazioni chiave di Microsoft Professional Services per valutazioni d'impatto sulla protezione dei dati di Servizi professionali [9] |
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
| Definire quando è necessario ottenere il consenso (7.2.3) | Il cliente deve comprendere i requisiti legali o normativi per ottenere il consenso degli utenti prima del trattamento dei dati personali (quando necessario, se il tipo di trattamento è escluso dal requisito e così via), inclusa la modalità di raccolta del consenso. | Microsoft Professional Services non fornisce supporto diretto per ottenere il consenso dell'utente. | (6)(1)(a), (8)(1), (8)(2) |
| Ottenere e registrare il consenso (7.2.4) | Quando viene determinato che è necessario, il cliente deve ottenere il consenso in modo appropriato. Il cliente deve anche essere a conoscenza di eventuali requisiti per la presentazione e la raccolta di una richiesta di consenso. | Microsoft Professional Services non fornisce supporto diretto per ottenere il consenso dell'utente. | (7)(1), (7)(2), (9)(2)(a) |
| Valutazione dell'impatto sulla protezione dei dati (7.2.5) | Il cliente deve essere a conoscenza dei requisiti per il completamento delle valutazioni dell'impatto sulla privacy (il momento in cui devono essere eseguite, le categorie di dati che potrebbero richiederne una, l'intervallo di tempo per completare la valutazione). | Microsoft Professional Services fornisce informazioni utili su quando e come è necessario condurre una valutazione, una panoramica del programma DPIA di Microsoft e la partecipazione del DPO nella pagina Valutazioni dell'impatto sulla protezione dei dati (DPIA) di Service Trust Portal. Per il supporto delle proprie valutazioni dell'impatto sulla protezione dei dati, vedere: |
Articolo (35) |
| Contratti con i responsabili del trattamento dei dati personali (7.2.6) | Il cliente deve assicurarsi che i propri contratti con i responsabili del trattamento dati includano i requisiti per il supporto con tutti gli obblighi legali o regolamentari rilevanti correlati all'elaborazione e alla protezione dei dati personali. | I contratti Microsoft che determinano l'assistenza da fornire al cliente in relazione agli obblighi ai sensi del GDPR, incluso il supporto per i diritti dell'interessato. - Componente aggiuntivo per la protezione dei dati di Prodotti e servizi Microsoft [1] |
(5) (2) (28)(3)(e), (28)(9) |
| Registri delle attività di trattamento dei dati personali (7.2.7) | Il cliente deve mantenere un registro di tutte le attività necessarie previste per il trattamento dei dati personali (ad esempio, finalità, misure di sicurezza e così via). Qualora il registro delle attività sia di competenza di un rappresentante responsabile del trattamento per conto del cliente, quest'ultimo deve accertarsi di poterlo ottenere. | Microsoft Professional Services gestisce i registri utili per soddisfare gli obblighi previsti dal GDPR. Vedere la documentazione sulla sicurezza di Microsoft Professional Services [2] | (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Diritti degli interessati
| Categoria | Considerazione del cliente | Supporto della documentazione Microsoft | Fa riferimento agli articoli del GDPR |
|---|---|---|---|
| Determinare ed esercitare i diritti degli interessati (7.3.1) | Il cliente deve comprendere i requisiti relativi ai diritti degli interessati per quanto riguarda il trattamento dei loro dati personali. Tali diritti possono includere caratteristiche come l'accesso, la correzione e la cancellazione. Se il cliente usa un sistema di terze parti, deve determinare quali parti del sistema (se presenti) forniscono gli strumenti correlati all'abilitazione degli utenti a esercitare i loro diritti (ad esempio, accedere ai loro dati). Se il sistema fornisce funzionalità di questo tipo, il cliente deve utilizzarle in base alle esigenze. | Le funzionalità fornite da Microsoft a supporto dei diritti degli interessati. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] |
(12) (2) |
| Definire le informazioni degli interessati (soggetti dei dati) (7.3.2) | Il cliente deve comprendere i requisiti per i tipi di informazioni sul trattamento dei dati personali che devono essere disponibili per l'utente. Ciò può includere elementi come: • Dettagli di contatto del responsabile del trattamento dei dati o del suo rappresentante • Informazioni riguardanti il trattamento (finalità, trasferimento internazionale e relative misure di sicurezza, periodo di conservazione e così via); • Informazioni su come l'entità di sicurezza può accedere e/o modificare i propri dati personali; richiesta di cancellazione o limitazione del trattamento; ricezione di una copia dei propri dati personali e portabilità dei propri dati personali • Modalità e origine dei dati personali (se non ottenuti direttamente dall'entità di sicurezza) • Informazioni riguardanti il diritto di presentare reclamo e a chi presentarlo • Informazioni riguardanti le correzioni dei dati personali • Notifica che l'organizzazione non è più in grado di identificare l'interessato (entità di sicurezza delle informazioni personali), nei casi in cui il trattamento non richieda più l'identificazione dell'interessato • Trasferimento e/o diffusione di dati personali • Presenza di processi decisionali automatizzati basati esclusivamente sul trattamento automatizzato di dati personali • Informazioni sulla frequenza con cui le informazioni relative all'interessato sono aggiornate e fornite (ad esempio, notifica "just in time", frequenza definita dall'organizzazione e così via) Nel caso in cui il cliente utilizzasse responsabili del trattamento dei dati o sistemi di terze parti, dovrà determinare, eventualmente, quale di queste informazioni potrebbe dover fornire e assicurare di poter ottenere le informazioni richieste da terzi. |
Informazioni sui servizi Microsoft che è possibile includere nei dati forniti agli interessati. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Fornire informazioni agli interessati (7.3.3) | Il cliente deve rispettare eventuali requisiti su come/quando/in quale formato devono essere fornite le informazioni richieste a un singolo utente correlato al trattamento dei dati personali. Nei casi in cui una terza parte può specificare le informazioni necessarie, il cliente deve assicurarsi che sia compresa nei parametri richiesti dal GDPR. | Informazioni basate su modelli relativi a Microsoft Professional Services che è possibile includere nei dati forniti agli interessati. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Fornire il meccanismo per modificare o revocare il consenso (7.3.4) | Il cliente deve comprendere i requisiti per informare gli utenti sul loro diritto di accedere, correggere e/o cancellare i propri dati personali e per fornire un meccanismo per cui farlo. Se viene usato un sistema di terze parti e fornisce questo meccanismo come parte della relativa funzionalità, il cliente deve utilizzare tale funzionalità in base alle esigenze. | Informazioni sulle funzionalità di servizi Microsoft che è possibile usare per definire le informazioni fornite agli interessati quando si richiede il consenso. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Fornire un meccanismo per opporsi al trattamento (7.3.5) | Il cliente deve comprendere i requisiti relativi ai diritti degli interessati. Quando un individuo ha il diritto di opporsi all'elaborazione, il cliente deve informarlo e avere un modo per l'individuo di registrare la propria obiezione. | Informazioni sui servizi Microsoft relativi all'oggetto da elaborare che è possibile includere nei dati forniti agli interessati. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Condividere l'esercizio dei diritti degli interessati (7.3.6) | Il cliente deve comprendere i requisiti per la notifica di terze parti con cui i dati personali dell'utente sono stati condivisi, delle istanze di una modifica dei dati apportata ai dati in base a questa procedura diritti individuali (ad esempio un singolo utente che richiede la cancellazione o la modifica e così via) | Informazioni sulle funzionalità di servizi Microsoft che consentono di individuare i dati personali condivisi con servizi di terze parti. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] |
(19) |
| Rettifica o cancellazione (7.3.7) | Il cliente deve comprendere i requisiti per informare gli utenti sul loro diritto di accedere, correggere e/o cancellare i propri dati personali e per fornire un meccanismo per cui farlo. Se viene usato un sistema di terze parti e fornisce questo meccanismo come parte della relativa funzionalità, il cliente deve utilizzare tale funzionalità in base alle esigenze. | Informazioni sui servizi Microsoft relativi alla capacità di accedere, correggere o eliminare i dati personali che possono essere inclusi nei dati forniti agli interessati. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] |
|
| Fornire una copia dei dati personali elaborati (7.3.8) | Il cliente deve comprendere i requisiti sulla fornitura di una copia dei dati personali in fase di elaborazione al singolo utente. Questi possono includere requisiti relativi al formato della copia (ovvero che è leggibile dal computer), al trasferimento della copia e così via. Se il cliente usa un sistema di terze parti che fornisce la funzionalità per fornire copie, deve usare questa funzionalità in base alle esigenze. | Informazioni sulle funzionalità nei servizi Microsoft per consentire di ottenere una copia dei loro dati personali che possono essere inclusi nei dati forniti all'interessato.- Richieste degli interessati per Microsoft Professional Services nell'ambito del GDPR e del CCPA [7] | (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Gestione richieste (7.3.9) | Il cliente deve comprendere i requisiti per l'accettazione e la risposta a richieste legittime da parte di persone correlate al trattamento dei propri dati personali. Quando il cliente usa un sistema di terze parti, deve comprendere se tale sistema fornisce le funzionalità per la gestione delle richieste. In tal caso, il cliente deve utilizzare tali meccanismi per gestire le richieste, se necessario. | Informazioni sulle funzionalità dei servizi Microsoft che è possibile usare nel definire le informazioni fornite agli interessati quando si gestiscono le richieste degli interessati. - Richieste degli interessati per Microsoft Professional Services nell'ambito del GDPR e del CCPA [7] | (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h) |
| Processo decisionale automatizzato (7.3.10) | Il cliente deve comprendere i requisiti relativi all'elaborazione automatizzata dei dati personali e alla posizione in cui le decisioni vengono prese da tale automazione. Possono essere incluse le informazioni sul trattamento di un singolo utente, l'opposizione a tale trattamento o l'ottenimento dell'intervento umano. Se queste funzionalità sono fornite da un sistema di terze parti, il cliente deve verificare che la terza parte fornisca le informazioni o il supporto richiesto. | Informazioni sulle funzionalità di servizi Microsoft in grado di supportare il processo decisionale automatico che è possibile utilizzare nella documentazione sulla conformità e informazioni di riferimento per i soggetti dei dati su queste funzionalità. - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Privacy da progettazione e per impostazione predefinita
| Categoria | Considerazione del cliente | Supporto della documentazione Microsoft | Fa riferimento agli articoli del GDPR |
|---|---|---|---|
| Limitazione della raccolta (7.4.1) | Il cliente deve comprendere i requisiti relativi ai limiti sulla raccolta dei dati personali (ad esempio che la raccolta deve essere limitata alle informazioni necessarie per uno scopo specifico). | Una descrizione dei dati raccolti dai servizi Microsoft. - Componente aggiuntivo per la protezione dei dati di Prodotti e servizi Microsoft [1] - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]] |
(5)(1)(b), (5)(1)(c) |
| Limitazione del trattamento (7.4.2) | Il cliente è responsabile di limitare il trattamento dei dati personali in modo che sia limitato a ciò che è adeguato allo scopo identificato. | Una descrizione dei dati raccolti dai servizi Microsoft. - Componente aggiuntivo per la protezione dei dati di Prodotti e servizi Microsoft [1] - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(25)(2) |
| Definire e documentare la riduzione al minimo dei dati personali e la deidentificazione degli obiettivi (7.4.3) | Il cliente deve comprendere i requisiti relativi alla deidentificazione dei dati personali, che potrebbero includere la portata della deidentificazione e le istanze nelle quali non può essere usata. | Il cliente è responsabile della de-identificazione prima di trasferire i dati a Microsoft. Microsoft applica la deidentificazione e la creazione di uno pseudonimo internamente, se appropriato, per fornire misure di sicurezza della privacy aggiuntive per i dati personali. | (5)(1)(c) |
| Conformarsi ai livelli di identificazione (7.4.4) | Il cliente deve usare e rispettare gli obiettivi della deidentificazione degli obiettivi e dei metodi stabiliti per l'organizzazione. | Il cliente è responsabile della de-identificazione prima di trasferire i dati a Microsoft. Microsoft applica la deidentificazione e la creazione di uno pseudonimo internamente, se appropriato, per fornire misure di sicurezza della privacy aggiuntive per i dati personali. | (5)(1)(c) |
| Deidentificare ed eliminare i dati personali (7.4.5) | Il cliente deve comprendere i requisiti relativi alla conservazione dei dati personali oltre il suo utilizzo per gli scopi identificati. Se forniti dal sistema, il cliente deve utilizzare tali strumenti per cancellare o eliminare in base alle esigenze. | Funzionalità fornite dai servizi Microsoft per supportare i criteri di conservazione dei dati. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| File temporanei (7.4.6) | Il cliente deve essere consapevole dei file temporanei che potrebbero essere inviati a Microsoft e impedire la conformità ai criteri relativi al trattamento dei dati personali (ad esempio, i dati personali potrebbero essere conservati in un file temporaneo più a lungo del necessario o di quanto consentito). | Descrizione delle funzionalità offerte dal servizio per identificare i dati personali per supportare i criteri dei file temporanei. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] |
(5)(1)(c) |
| Conservazione (7.4.7) | Il cliente deve determinare per quanto tempo conservare i dati personali, prendendo in considerazione lo scopo identificato. | Informazioni sulla conservazione dei dati personali dai servizi Microsoft che è possibile includere nella documentazione fornita agli. - Microsoft Professional Services - Addendum sulla protezione dei dati [1] |
(13)(2)(a), (14)(2)(a) |
| Smaltimento (7.4.8) | Il cliente deve utilizzare qualsiasi meccanismo di cancellazione o eliminazione fornito dal sistema per eliminare i dati personali. | Funzionalità fornite dai servizi Microsoft per supportare i criteri di eliminazione dei dati. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] |
(5)(1)(f) |
| Procedure di raccolta (7.4.9) | Il cliente deve essere consapevole dei requisiti relativi all'accuratezza dei dati personali (ad esempio, la precisione al momento della raccolta, mantenere aggiornati i dati e così via) e utilizzare i meccanismi forniti dal sistema. | In che modo i servizi Microsoft supportano l'accuratezza dei dati personali e tutte le funzionalità che forniscono per supportare i criteri di accuratezza dei dati. - Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7] |
(5)(1)(d) |
| Controlli di trasmissione (7.4.10) | Il cliente deve comprendere i requisiti relativi alla sicurezza della trasmissione dei dati personali, incluso chi ha accesso ai meccanismi di trasmissione, i registri di trasmissione e così via. | Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento. - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Identificare la base per il trasferimento di informazioni personali (7.5.1) | Il cliente deve essere a conoscenza dei requisiti per il trasferimento dei dati personali dell'utente (informazioni personali) in un'altra posizione geografica e documentare quali misure sono disponibili per soddisfare tali requisiti. | Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento. - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
Articoli (44), (45) (46), (47), (48) e (49) |
| Aree geografiche e organizzazioni a cui potrebbero essere trasferiti i dati personali (7.5.2) | Il cliente deve comprendere ed essere in grado di fornire al singolo, ai paesi in cui i dati personali sono o possono essere trasferiti. Se un terzo/responsabile del trattamento può eseguire questo trasferimento, il cliente deve ottenere queste informazioni dal responsabile del trattamento. | Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento. - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(30)(1)(e) |
| Registri dei trasferimenti dei dati personali (7.5.3) | Il cliente deve mantenere tutti i record necessari e necessari relativi ai trasferimenti di dati personali. Se un terzo/responsabile del trattamento esegue il trasferimento, il cliente deve assicurarsi di mantenere i record appropriati e di ottenerli in base alle esigenze. | Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento. - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(30)(1)(e) |
| Registri delle divulgazioni di dati personali a terze parti (7.5.4) | Il cliente deve comprendere i requisiti relativi alla registrazione a cui sono stati comunicati i dati personali. Ciò può includere la divulgazione alle forze dell'ordine e così via. Se un terzo/responsabile del trattamento divulga i dati, il cliente deve assicurarsi di mantenere i record appropriati e di ottenerli in base alle esigenze. | Documentazione fornita in merito alle categorie di destinatari della divulgazione di dati personali, compresi i registri di divulgazione disponibili. - Chi può accedere ai dati e secondo quali termini [6] |
(30)(1)(d) |
| Titolare del trattamento dei dati congiunto (7.5.5) | Il cliente deve determinare se è titolare congiunto con qualsiasi altra organizzazione e documentare e assegnare adeguatamente le responsabilità. | Microsoft non è un titolare del trattamento congiunto delle informazioni personali fornite nell'ambito dei dati del supporto e dei servizi professionali. | (26)(1), (26)(2), (26)(3) |
5. Protezione e sicurezza dei dati
| Categoria | Considerazione del cliente | Supporto della documentazione Microsoft | Fa riferimento agli articoli del GDPR |
|---|---|---|---|
| Comprendere l'organizzazione e il contesto (5.2.1) | I clienti devono determinare il loro ruolo nell'elaborazione dei dati personali (ad esempio titolare, responsabile, contitolare) per identificare i requisiti appropriati (regolamentazione e così via) per l'elaborazione dei dati personali. | In che modo Microsoft considera ciascun servizio come responsabile o titolare durante il trattamento dei dati personali. - Componente aggiuntivo per la protezione dei dati di Prodotti e servizi Microsoft [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Comprendere le esigenze e le aspettative delle parti interessate (5.2.2) | I clienti devono identificare le parti che possono avere un ruolo o un interesse per l'elaborazione dei dati personali (ad esempio regolatori, revisori, soggetti dei dati, responsabili del trattamento dei dati personali con contratto) e prestare particolare attenzione ai requisiti per partecipare a tali parti se necessario. | In che modo Microsoft incorpora le opinioni di tutti gli stakeholder in considerazione dei rischi connessi al trattamento dei dati personali. - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Determinare l'ambito del sistema di gestione della sicurezza delle informazioni (5.2.3, 5.2.4) | Nell'ambito di un programma di privacy o di protezione globale di un cliente, dovrebbero essere inclusi l'elaborazione dei dati personali e i requisiti relativi ad essa. | Come i servizi Microsoft includono il trattamento dei dati personali nella gestione della sicurezza delle informazioni e nei programmi di protezione dei dati personali. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Report di controllo ISO 27001 [10] |
(32)(2) |
| Pianificazione (5.3) | I clienti devono prendere in considerazione i dati personali come parte di qualsiasi valutazione del rischio che viene completata e applicare i controlli che ritengono necessari per ridurre i rischi correlati ai dati personali controllati. | In che modo i servizi Microsoft considerano i rischi specifici per il trattamento di dati personali come parte del loro programma di sicurezza e privacy complessivo. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] |
(32)(1)(b), (32)(2) |
| Criteri di sicurezza delle informazioni (6.2) | Il cliente deve aggiungere i criteri di protezione delle informazioni esistenti per includere la protezione dei dati personali, compresi i criteri necessari per la conformità alle normative applicabili. | Criteri Microsoft per la sicurezza delle informazioni e misure specifiche per la protezione delle informazioni personali. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Report di controllo ISO 27001 [10] |
24(2) |
| Considerazione del cliente sull'organizzazione della sicurezza delle informazioni (6.3) | Il cliente, all’interno dell’organizzazione, deve definire le responsabilità in materia di sicurezza e protezione dei dati personali. Questo include la creazione di ruoli specifici per la supervisione delle questioni relative alla privacy, tra cui il ruolo di responsabile della protezione dei dati. È opportuno fornire una formazione appropriata e assistenza alla gestione per supportare questi ruoli. | Microsoft ha pubblicato le informazioni sul responsabile della protezione dei dati di Microsoft, sulla natura dei suoi compiti, sulla struttura di segnalazione e sulle informazioni di contatto. - Informazioni sul responsabile della protezione dei dati di Microsoft [13] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Sicurezza delle risorse umane (6.4) | Il cliente deve determinare e assegnare la responsabilità di fornire formazione relativa alla protezione dei dati personali dell'utente. | Panoramica del ruolo del Responsabile della protezione dei dati di Microsoft, della natura dei loro compiti, della struttura di segnalazione e delle informazioni di contatto. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Descrizione del programma di compatibilità e formazione [3] |
(39)(1)(b) |
| Classificazione delle informazioni (6.5.1) | È consigliabile che il cliente consideri in modo esplicito i dati personali nell'ambito di uno schema di classificazione dei dati. | In che modo Microsoft considera i dati personali nella classificazione dei dati e nelle informazioni di codifica e rilevamento. - Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9] |
(39)(1)(b) |
| Gestione dei supporti rimovibili (6.5.2) | Il cliente deve determinare i criteri interni per l'uso di supporti rimovibili in relazione alla protezione dei dati personali dell'utente (ad esempio crittografia dispositivi). | In che modo i servizi Microsoft proteggono la sicurezza delle informazioni personali su qualsiasi supporto rimovibile. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Insieme di riferimento Microsoft Professional Services [4] |
(32)(1)(a), (5)(1)(f) |
| Trasferimento di supporti fisici (6.5.3) | Il cliente deve determinare i criteri interni per la protezione dei dati personali durante il trasferimento dei supporti fisici (ad esempio la crittografia). | In che modo i servizi Microsoft proteggono i dati personali durante il trasferimento di supporti fisici. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Insieme di riferimento Microsoft Professional Services [4] |
(32)(1)(a), (5)(1)(f) |
| Gestione degli accessi utente (6.6.1) | Il cliente deve essere consapevole delle responsabilità che ha per il controllo dell'accesso all'interno del servizio che sta utilizzando e gestire tali responsabilità in maniera appropriata, con gli strumenti disponibili. | Strumenti forniti dai servizi Microsoft per aiutare a rafforzare il controllo degli accessi. - Documentazione di sicurezza di Microsoft Professional Services [2] |
(5)(1)(f) |
| Registrazione dell'utente e annullamento della registrazione (6.6.2) | Il cliente deve gestire la registrazione utente e l'annullamento della registrazione all'interno del servizio in uso, con gli strumenti disponibili. | Strumenti forniti dai servizi Microsoft per aiutare a rafforzare il controllo degli accessi. - Documentazione di sicurezza di Microsoft Professional Services [2] |
(5)(1)(f) |
| Provisioning di accesso utente (6.6.3) | Il cliente deve gestire i profili utente, specialmente per l'accesso autorizzato ai dati personali, all'interno del servizio in uso, con gli strumenti disponibili. | In che modo i servizi Microsoft supportano il controllo dell'accesso formale ai dati personali, inclusi gli ID utente, i ruoli e la registrazione e l'annullamento della registrazione degli utenti. - Documentazione di sicurezza di Microsoft Professional Services [2] |
(5)(1)(f) |
| Gestione accessi con privilegi (6.6.4) | Il cliente deve gestire l'ID utente, per semplificare la traccia dell'accesso (specialmente ai dati personali), all'interno del servizio che utilizzano e con strumenti disponibili. | In che modo i servizi Microsoft supportano il controllo dell'accesso formale ai dati personali, inclusi gli ID utente, i ruoli e la registrazione e l'annullamento della registrazione degli utenti. - Documentazione di sicurezza di Microsoft Professional Services [2] |
(5)(1)(f) |
| Procedure di accesso protetto (6.6.5) | Il cliente deve utilizzare meccanismi disponibili nel servizio per garantire l'accesso sicuro alle funzionalità per gli utenti se necessario. | In che modo i servizi Microsoft supportano criteri per il controllo di accesso interno relativi ai dati personali. - Chi può accedere ai dati e secondo quali termini [6] |
(5)(1)(f) |
| Crittografia (6.7) | Il cliente deve determinare quali dati potrebbero dover essere crittografati e se il servizio che utilizza offre questa funzionalità. Il cliente deve utilizzare la crittografia in base alle esigenze, usando gli strumenti disponibili. | In che modo i servizi Microsoft supportano la crittografia e la creazione degli pseudonimi per ridurre il rischio del trattamento dei dati personali. - Documentazione di sicurezza di Microsoft Professional Services [2] |
(32)(1)(a) |
| Eliminazione sicura o riutilizzo delle attrezzature (6.8.1) | Se il cliente usa servizi di cloud computing (PaaS, SaaS, IaaS) deve comprendere in che modo il provider di servizi cloud assicura che i dati personali dell'utente siano cancellati dallo spazio di archiviazione prima che tale spazio sia assegnato a un altro cliente. | In che modo Microsoft Professional Services garantisce che i dati personali vengano cancellati dai dispositivi di archiviazione prima che tali attrezzature vengano trasferite o riutilizzate quando si utilizzano i servizi di cloud computing di Microsoft Azure durante servizi professionali. - Documentazione di sicurezza di Microsoft Professional Services [2] |
(5)(1)(f) |
| Politiche della scrivania e dello schermo puliti (6.8.2) | Il cliente deve considerare i rischi relativi al materiale cartaceo che mostra i dati personali e limitare possibilmente la creazione di tale materiale. Se il sistema in uso consente di limitare l'operazione, ad esempio le impostazioni per evitare la stampa o il copia e incolla di dati sensibili, il cliente deve considerare la necessità di usare tali funzionalità. | In che modo Microsoft consente di gestire il materiale cartaceo. - Microsoft gestisce questi controlli internamente, vedere Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Insieme di riferimento sul GDPR per Microsoft Professional Services [4] |
(5)(1)(f) |
| Separazione di ambienti di sviluppo, test e operativi (6.9.1) | Il cliente deve considerare le implicazioni relative all'uso dei dati personali negli ambienti di sviluppo e test all'interno dell'organizzazione. | In che modo Microsoft garantisce che i dati personali siano protetti negli ambienti di sviluppo e test. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Insieme di riferimento Microsoft Professional Services [4] |
(5)(1)(f) |
| Backup delle informazioni (6.9.2) | Il cliente deve garantire di utilizzare funzionalità fornite dal sistema per creare ridondanza dei dati e verificare se necessario. | In che modo Microsoft garantisce la disponibilità dei dati che possono includere dati personali, come viene garantita l'accuratezza dei dati ripristinati e quali strumenti e procedure vengono forniti dai servizi Microsoft per consentire di eseguire il backup e il ripristino dei dati. - Documentazione sulla gestione della continuità aziendale di Microsoft Enterprise [5] |
(32)(1)(c), (5)(1)(f) |
| Registrazione eventi (6.9.3) | Il cliente deve comprendere appieno le funzionalità di registrazione fornite dal sistema e utilizzarle per garantire la possibilità di registrare le azioni correlate ai dati personali che ritengono necessari. | I dati del servizio Microsoft registrano, insieme alle attività dell'utente, le eccezioni, i guasti e gli eventi di sicurezza delle informazioni e come è possibile accedere a tali registri da utilizzare come parte del mantenimento dei record. -Documentazione di sicurezza di Microsoft Professional Services [2] - Insieme di riferimento Microsoft Professional Services [4] |
(5)(1)(f) |
| Protezione delle informazioni di registro (6.9.4) | Il cliente deve prendere in considerazione i requisiti per la protezione delle informazioni di log che possono contenere dati personali o che possono contenere record correlati al trattamento dei dati personali. Se il sistema in uso offre funzionalità per proteggere i log, il cliente deve usare queste funzionalità se necessario. | In che modo Microsoft protegge i registri contenenti i dati personali. -Documentazione di sicurezza di Microsoft Professional Services[2] - Insieme di riferimento Microsoft Professional Services [4] |
(5)(1)(f) |
| Criteri e procedure di trasferimento delle informazioni (6.10.) | Il cliente deve avere procedure per i casi in cui i dati personali possono essere trasferiti su supporti fisici (ad esempio un disco rigido spostato tra server o strutture). Questi possono includere log, autorizzazioni e rilevamento. Se un terzo o un altro responsabile del trattamento può trasferire supporti fisici, il cliente deve assicurarsi che l'organizzazione disponga di procedure per garantire la sicurezza dei dati personali. | In che modo i servizi Microsoft trasferiscono i supporti fisici che possono contenere dati personali, incluse le circostanze in cui può avere luogo il trasferimento e le misure di protezione intraprese per proteggere i dati. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Insieme di riferimento Microsoft Professional Services [4] |
(5)(1)(f) |
| Accordi di riservatezza o non divulgazione (6.10.2) | Il cliente deve determinare la necessità di accordi di riservatezza o di misure equivalenti per gli utenti con accesso o responsabilità collegate ai dati personali. | In che modo i servizi Microsoft garantiscono che gli utenti singoli con accesso autorizzato ai dati personali si impegnano a mantenere la riservatezza. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Insieme di riferimento Microsoft Professional Services [4] |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Proteggere i servizi applicativi sulle reti pubbliche (6.11.1) | Il cliente deve comprendere i requisiti per la crittografia dei dati personali, in particolare quando viene inviato tramite reti pubbliche. Se il sistema fornisce meccanismi per crittografare i dati, il cliente deve utilizzare tali meccanismi se necessario. | Descrizioni delle misure adottate dai servizi Microsoft per proteggere i dati in transito (tra cui la crittografia dei dati) e del modo in cui i servizi Microsoft proteggono i dati che possono contenere dati personali quando passano attraverso reti di dati pubbliche, tra cui le misure di crittografia. -Documentazione di sicurezza di Microsoft Professional Services [2] |
(5)(1)(f), (32)(1)(a) |
| Principi di progettazione dei sistemi protetti (6.11.2) | Il cliente deve comprendere in che modo i sistemi sono stati progettati e organizzati per considerare la protezione dei dati personali. Nel caso in cui un cliente usi un sistema progettato da terze parti, è loro responsabilità assicurare che tali protezioni siano state considerate. | In che modo i servizi Microsoft includono i principi di protezione dei dati personali come parte obbligatoria dei principi di progettazione. - Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11] - Cos'è il Security Development Lifecycle? |
(25)(1) |
| Relazioni con i fornitori (6.12) | Il cliente deve verificare che i requisiti di sicurezza delle informazioni e di protezione dei dati personali che ricadono sotto la responsabilità di terze parti siano trattati nelle informazioni contrattuali o in altri accordi. Gli accordi devono anche riguardare le istruzioni per il trattamento. | In che modo i servizi Microsoft affrontano la sicurezza e la protezione dei dati negli accordi con i fornitori e in che modo si garantisce che tali accordi siano effettivamente implementati. - Chi può accedere ai dati e secondo quali termini [6] |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
| Gestione degli incidenti e dei miglioramenti di sicurezza delle informazioni (6.13.1) | I clienti devono disporre delle procedure per poter determinare quando si è verificata una violazione di dati personali dell'utente. | In che modo i servizi Microsoft determinano se un incidente di sicurezza è una violazione dei dati personali e come viene comunicata tale violazione all'utente. - Microsoft Professional Services e la notifica delle violazioni nell'ambito del GDPR [8] |
(33)(2) |
| Responsabilità e procedure (durante gli incidenti di sicurezza delle informazioni) (6.13.2) | Il cliente deve comprendere e documentare le proprie responsabilità durante una violazione dei dati o un evento imprevisto di sicurezza che coinvolge dati personali. Le responsabilità possono includere la notifica alle parti necessarie, le comunicazioni con i responsabili del trattamento o altre terze parti e le responsabilità all'interno dell'organizzazione del cliente. | Come comunicare ai servizi Microsoft se si rileva un incidente di sicurezza o una violazione dei dati personali. - Microsoft Professional Services e la notifica delle violazioni nell'ambito del GDPR [8] |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Risposta agli incidenti di sicurezza delle informazioni (6.13.3) | I clienti devono disporre delle procedure per poter determinare quando si è verificata una violazione di dati personali dell'utente. | Descrizioni delle informazioni fornite dai servizi Microsoft per consentire all'utente di stabilire se si è verificata una violazione dei dati personali. - Microsoft Professional Services e la notifica delle violazioni nell'ambito del GDPR [8] |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Protezione dei registri (6.15.1) | Il cliente deve comprendere i requisiti per i registri relativi al trattamento dei dati del personale che devono essere mantenuti. | Come i servizi Microsoft archiviano i record relativi al trattamento dei dati personali. -Documentazione di sicurezza di Microsoft Professional Services [2] |
(5)(2), (24)(2) |
| Verifica indipendente della sicurezza delle informazioni (6.15.2) | Il cliente deve essere a conoscenza dei requisiti per la valutazione della sicurezza del trattamento dei dati personali. Questo può includere l’esecuzione di controlli interni o esterni o altre misure di valutazione della sicurezza dell’elaborazione. Se il cliente è dipendente di un’organizzazione di terze parti per tutto o parte del processo di elaborazione, è necessario raccogliere informazioni sulle valutazioni eseguite dall'organizzazione. | In che modo i servizi Microsoft testano e valutano l'efficacia delle misure tecniche e organizzative per garantire la sicurezza dell'elaborazione, inclusi i controlli effettuati da terzi. - Microsoft Professional Services - Addendum sulla protezione dei dati [1] |
(32)(1)(d), (32)(2) |
| Verifica di conformità tecnica (6.15.3) | Il cliente deve comprendere i requisiti per la verifica e la valutazione della sicurezza dell’elaborazione dei dati personali. Questo può includere l’esecuzione di test tecnici come il test di penetrazione. Laddove il cliente usi un sistema o un processore di terze parti, deve comprendere quali responsabilità hanno nella protezione e nei test della sicurezza, ad esempio la gestione delle configurazioni per la protezione dei dati e la successiva verifica delle impostazioni di configurazione. Se le terze parti sono responsabili di tutto o parte del processo di elaborazione, il cliente deve comprendere che tipo di test o di valutazioni vengono eseguiti per garantire la sicurezza dell'elaborazione. | In che modo viene testate la sicurezza dei servizi Microsoft in base ai rischi identificati, inclusi i test di terze parti e i tipi di test tecnici. - Per un elenco delle certificazioni esterne, vedere Microsoft Trust Center Compliance offerings [12] - Per altre informazioni sul test di vulnerabilità delle applicazioni, vedere la documentazione sulla sicurezza di Microsoft Professional Services [2] |
(32)(1)(d), (32)(2) |
6. Bibliografia di risorse e collegamenti
Ulteriori informazioni
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per