Elenco di controllo di preparazione della conformità di Servizi professionali e supporto tecnico Microsoft al GDPRMicrosoft Support and Professional Services accountability readiness checklist for the GDPR

1. Introduzione1. Introduction

Questo elenco di controllo di preparazione alla conformità offre un modo pratico per accedere alle informazioni necessarie per l'applicazione del GDPR quando si usano Microsoft Professional Services e Servizio Supporto Tecnico Clienti Microsoft. Questo elenco di controllo è destinato ai responsabili del trattamento dei dati personali e comprende i titoli e numeri di riferimento (indicati tra parentesi per ogni argomento) di alcuni controlli per la privacy e sicurezza tratti dagli standard:This accountability readiness checklist provides a convenient way to access information you may need to support GDPR when using Microsoft Professional Services and Support Services. The checklist is organized using the titles and reference number (in parentheses for each checklist topic) of a set of privacy and security controls for personal data processors drawn from:

  • ISO/IEC 27701 per le tecniche e i requisiti di gestione delle informazioni sulla privacy.ISO/IEC 27701 for privacy information management techniques and requirements.
  • ISO/IEC 27001 per i requisiti di gestione della sicurezza delle informazioni in generale.ISO/IEC 27001 for information security management requirements in general.

Questa struttura viene usata anche per organizzare la presentazione dei controlli interni che Microsoft Professional Services implementa per supportare il GDPR e che è possibile scaricare dal Service Trust Portal.This control structure is also used to organize the presentation of the internal controls that Microsoft Professional Services implements to support GDPR, which you can download from the Service Trust Portal.

2. Condizioni per la raccolta e il trattamento2. Conditions for collection and processing

CategoriaCategory Considerazione del clienteCustomer Consideration Supporto della documentazione MicrosoftSupporting Microsoft documentation Fa riferimento agli articoli del GDPRAddresses GDPR Article(s)
Identificare e documentare la finalità (7.2.1)Identify and document purpose (7.2.1) Il cliente deve documentare lo scopo per cui vengono trattati i dati personali.The customer should document the purpose for which personal data is processed. Descrizione del trattamento dei dati che Microsoft esegue per il cliente e le finalità di tale trattamento, che possono essere incluse nella documentazione relativa alla responsabilizzazione del cliente.A description of the processing Microsoft performs for you, and the purposes of that processing, that can be included in your accountability documentation.
- Microsoft Professional Services - Addendum sulla protezione dei dati [1]- Microsoft Professional Services Data Protection Addendum [1]
(5)(1)(b), (32)(4)(5)(1)(b), (32)(4)
Identificare la liceità (7.2.2)Identify lawful basis (7.2.2) Il cliente deve comprendere i requisiti relativi alla liceità del trattamento, ad esempio se è necessario il previo consenso dell'interessato.The customer should understand any requirements related to the lawful basis of processing, such as whether consent must first be given. Descrizione del trattamento dei dati personali da parte dei servizi Microsoft per l'inclusione nella documentazione di conformità.A description of processing personal data by Microsoft services for inclusion in your accountability documentation.
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
Definire quando è necessario ottenere il consenso (7.2.3)Determine when consent is to be obtained (7.2.3) Il cliente deve comprendere i requisiti legali o normativi per ottenere il consenso degli interessati prima del trattamento dei dati personali (quando è necessario, se il tipo di trattamento è escluso dal requisito e così via), incluso il modo in cui viene raccolto il consenso.The customer should understand legal or regulatory requirements for obtaining consent from individuals prior to processing personal data (when it is required, if the type of processing is excluded from the requirement, etc.), including how consent is collected. Microsoft Professional Services non fornisce supporto diretto per ottenere il consenso dell'utente.Microsoft Professional Services does not provide direct support for gaining user consent. (6)(1)(a), (8)(1), (8)(2)(6)(1)(a), (8)(1), (8)(2)
Ottenere e registrare il consenso (7.2.4)Obtain and record consent (7.2.4) Quando è ritenuto necessario, il cliente deve ottenere il consenso in modo appropriato. Il cliente deve anche essere a conoscenza di eventuali requisiti della modalità di presentazione e raccolta di una richiesta di consenso.When it is determined to be required, the customer should appropriately obtain consent. The customer should also be aware of any requirements for how a request for consent is presented and collected Microsoft Professional Services non fornisce supporto diretto per ottenere il consenso dell'utente.Microsoft Professional Services does not provide direct support for gaining user consent. (7)(1), (7)(2), (9)(2)(a)(7)(1), (7)(2), (9)(2)(a)
Valutazione dell'impatto sulla protezione dei dati (7.2.5)Privacy impact assessment (7.2.5) Il cliente deve essere a conoscenza dei requisiti per il completamento delle valutazioni dell'impatto sulla privacy (il momento in cui devono essere eseguite, le categorie di dati che potrebbero richiederne una, l'intervallo di tempo per completare la valutazione).The customer should be aware of requirements for completing privacy impact assessments (when they should be performed, categories of data that might necessitate one, timing of completing the assessment). Microsoft Professional Services fornisce informazioni utili su quando e come è necessario condurre una valutazione, una panoramica del programma DPIA di Microsoft e la partecipazione del DPO nella pagina Valutazioni dell'impatto sulla protezione dei dati (DPIA) di Service Trust Portal.Microsoft Professional Services provides guidance as to when and how to determine when to perform a DPIA, and an overview of the DPIA program at Microsoft including the involvement of the DPO, which is provided in the Service Trust Portal Data Protection Impact Assessments (DPIAs) page.

Per il supporto delle proprie valutazioni dell'impatto sulla protezione dei dati, vedere:For support for your DPIAs see:
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]

Articolo (35)Article (35)
Contratti con i responsabili del trattamento dei dati personali (7.2.6)Contracts with PII Processors (7.2.6) Il cliente deve assicurarsi che i propri contratti con i responsabili del trattamento dati includano i requisiti per il supporto con tutti gli obblighi legali o regolamentari rilevanti correlati all'elaborazione e alla protezione dei dati personali.The customer should ensure that their contracts with processors include requirements for aiding with any relevant legal or regulatory obligations related to processing and protecting personal data. I contratti Microsoft che determinano l'assistenza da fornire al cliente in relazione agli obblighi ai sensi del GDPR, incluso il supporto per i diritti dell'interessato.The Microsoft contracts that require us to aid with your obligations under the GDPR, including support for the data subject's rights.
- Microsoft Professional Services - Addendum sulla protezione dei dati [1]- Microsoft Professional Services Data Protection Addendum [1]
(5) (2) (28)(3)(e), (28)(9)(5)(2), (28)(3)(e), (28)(9)
Registri delle attività di trattamento dei dati personali (7.2.7)Records related to processing PII (7.2.7) Il cliente deve mantenere un registro di tutte le attività necessarie previste per il trattamento dei dati personali (ad esempio, finalità, misure di sicurezza e così via).The customer should maintain all necessary and required records related to processing personal data (for example, purpose, security measures, etc.). Qualora il registro delle attività sia di competenza di un rappresentante responsabile del trattamento per conto del cliente, quest'ultimo deve accertarsi di poterlo ottenere.Where some of these records must be provided by a sub-processor, the customer should ensure that they can obtain such records. Microsoft Professional Services gestisce i registri utili per soddisfare gli obblighi previsti dal GDPR.Microsoft Professional Services maintains records necessary demonstrate compliance and support for accountability under the GDPR. Vedere la documentazione sulla sicurezza di Microsoft Professional Services [2]See the Microsoft Professional Services Security Documentation [2] (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)

3. Diritti degli interessati3. Rights of data subjects

CategoriaCategory Considerazione del clienteCustomer Consideration Supporto della documentazione MicrosoftSupporting Microsoft documentation Fa riferimento agli articoli del GDPRAddresses GDPR Article(s)
Determinare ed esercitare i diritti degli interessati (7.3.1)Determining PII principals’ rights and enabling exercise (7.3.1) Il cliente deve comprendere i requisiti riguardo i diritti dei singoli correlati all'elaborazione dei loro dati personali.The customer should understand requirements around the rights of individuals related to the processing of their personal data. Tali diritti possono includere caratteristiche come l'accesso, la correzione e la cancellazione.These rights may include things such as access, correction, and erasure. Se il cliente usa un sistema di terze parti, deve determinare quali parti del sistema (se presenti) forniscono gli strumenti correlati all'abilitazione degli utenti a esercitare i loro diritti (ad esempio, accedere ai loro dati).Where the customer uses a third-party system, they should determine which (if any) parts of the system provide tools related to enabling individuals to exercise their rights (for example, to access their data). Se il sistema fornisce funzionalità di questo tipo, il cliente deve utilizzarle in base alle esigenze.Where the system provides such capabilities, the customer should utilize them as necessary. Le funzionalità fornite da Microsoft a supporto dei diritti degli interessati.The capabilities Microsoft provides to help you support data subject rights.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
(12) (2)(12)(2)
Definire le informazioni degli interessati (soggetti dei dati) (7.3.2)Determining information for PII principals (data subjects) (7.3.2) Il cliente deve comprendere i requisiti per i tipi di informazioni sul trattamento dei dati personali che devono essere disponibili per essere forniti all'individuo. Ciò può includere:The customer should understand requirements for the types of information about processing of personal data that is to be available to be provided to the individual. This may include things such as:
• Dettagli di contatto del responsabile del trattamento dei dati o del suo rappresentante• Contact details about the controller or its representative;
- Informazioni riguardanti il trattamento (finalità, trasferimento internazionale e relative misure di sicurezza, periodo di conservazione e così via);• information about the processing (purposes, international transfer, and related safeguards, retention period, etc.);
• Informazioni su come l'entità di sicurezza può accedere e/o modificare i propri dati personali; richiesta di cancellazione o limitazione del trattamento; ricezione di una copia dei propri dati personali e portabilità dei propri dati personali• information on how the principal may access and/or amend their personal data; requesting erasure or restriction of processing; receiving a copy of their personal data, and portability of their personal data
• Modalità e origine dei dati personali (se non ottenuti direttamente dall'entità di sicurezza)• How and from where the personal data were obtained (if not obtained from the principal directly)
• Informazioni riguardanti il diritto di presentare reclamo e a chi presentarlo• information about the right to lodge a complaint and to whom;
• Informazioni riguardanti le correzioni dei dati personali• information regarding corrections to personal data;
• Notifica che l'organizzazione non è più in grado di identificare l'interessato (entità di sicurezza delle informazioni personali), nei casi in cui il trattamento non richieda più l'identificazione dell'interessato• Notification that the organization is no longer in position to identify the data subject (PII principal), in cases where the processing no longer requires the identification of the data subject;
• Trasferimento e/o diffusione di dati personali• Transfers and/or disclosures of personal data;
• Presenza di processi decisionali automatizzati basati esclusivamente sul trattamento automatizzato di dati personali• existence of automated decision making based solely on automated processing of personal data;
- Informazioni sulla frequenza con cui le informazioni relative all'interessato sono aggiornate e fornite (ad esempio, notifica "just in time", frequenza definita dall'organizzazione e così via)• information regarding the frequency with which information to the data subject is updated and provided (for example “just in time” notification, organization defined frequency, etc.)
Nel caso in cui il cliente usasse responsabili del trattamento dei dati o sistemi di terze parti, dovrà determinare, eventualmente, quale di queste informazioni potrebbe dover fornire e assicurare di poter ottenere le informazioni richieste da terzi.Where the customer uses third-party systems or processors, they should determine which (if any) of this information may need to be provided by them and ensure that they can obtain the required information from the third party.
Informazioni sui servizi Microsoft che è possibile includere nei dati forniti agli interessati.Information about Microsoft services that you can include in the data you provide to data subjects.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
Fornire informazioni agli interessati (7.3.3)Providing information to PII principals (7.3.3) Il cliente deve rispettare eventuali requisiti su come/quando/in quale formato devono essere fornite le informazioni richieste a un singolo utente correlato al trattamento dei dati personali.The customer should comply with any requirements around how/when/in what form the required information is to be given to an individual related to the processing of their personal data. Nei casi in cui una terza parte può specificare le informazioni necessarie, il cliente deve assicurarsi che sia compresa nei parametri richiesti dal GDPR.In cases where a third party may provide required information, the customer should ensure that it is within the parameters required by the GDPR. Informazioni basate su modelli relativi a Microsoft Professional Services che è possibile includere nei dati forniti agli interessati.Templated information about Microsoft Professional Services that you can include in the data you provide to data subjects.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR [7]- Microsoft Professional Services Data Subject Requests for the GDPR [7]
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
Fornire il meccanismo per modificare o revocare il consenso (7.3.4)Provide mechanism to modify or withdraw consent (7.3.4) Il cliente deve comprendere i requisiti per informare gli utenti circa il diritto di accedere, correggere e/o cancellare i dati personali e per fornire un meccanismo mediante il quale eseguire questa operazione. Se si utilizza un sistema di terze parti e si fornisce questo meccanismo nell'ambito delle funzionalità, il cliente deve utilizzare queste funzionalità in base alle esigenze.The customer should understand requirements for informing users about their right to access, correct, and/or erase their personal data and for providing a mechanism for which them to do so. If a third-party system is used and provides this mechanism as part of its functionality, the customer should utilize that functionality as necessary. Informazioni sulle funzionalità di servizi Microsoft che è possibile usare per definire le informazioni fornite agli interessati quando si richiede il consenso.Information about capabilities in Microsoft services that you can use when defining the information you provide to data subjects when requesting consent.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
Fornire un meccanismo per opporsi al trattamento (7.3.5)Provide mechanism to object to processing (7.3.5) Il cliente deve comprendere i requisiti sui diritti degli oggetti dati. Quando un singolo utente ha il diritto di opporsi all'elaborazione, il cliente deve informarlo e disporre di un modo per effettuare la registrazione e offrirlo al singolo utente per l'obiezione, dalla.The customer should understand requirements around rights of data subjects. Where an individual has a right to object to processing, the customer should inform them, and have a way for the individual to register their objection. Informazioni sui servizi Microsoft relativi all'oggetto da elaborare che è possibile includere nei dati forniti agli interessati.Information about Microsoft services relating to object to processing that you can include in the data you provide to data subjects.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
Condividere l'esercizio dei diritti degli interessati (7.3.6)Sharing the exercising of PII principals' rights (7.3.6) Il cliente deve comprendere i requisiti per la notifica di terze parti con cui i dati personali dell'utente sono stati condivisi, delle istanze di una modifica dei dati apportata ai dati in base a questa procedura diritti individuali (ad esempio un singolo utente che richiede la cancellazione o la modifica e così via)The customer should understand requirements for notifying third-parties with whom personal data has been shared of instances of data modification based on the exercise of individual rights (for example, an individual requesting erasure or modification, etc.) Informazioni sulle funzionalità di servizi Microsoft che consentono di individuare i dati personali condivisi con servizi di terze parti.Information about capabilities in Microsoft services that allow you to discover personal data that you have shared with third parties.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
(19)(19)
Rettifica o cancellazione (7.3.7)Correction or erasure (7.3.7) Il cliente deve comprendere i requisiti per informare gli utenti circa il diritto di accedere, correggere e/o cancellare i dati personali e per fornire un meccanismo mediante il quale eseguire questa operazione. Se si utilizza un sistema di terze parti e si fornisce questo meccanismo nell'ambito delle funzionalità, il cliente deve utilizzare queste funzionalità in base alle esigenze.The customer should understand requirements for informing users about their right to access, correct, and/or erase their personal data and for providing a mechanism for which them to do so. If a third-party system is used and provides this mechanism as part of its functionality, the customer should utilize that functionality as necessary. Informazioni sui servizi Microsoft relativi alla capacità di accedere, correggere o eliminare i dati personali che possono essere inclusi nei dati forniti agli interessati.Information about Microsoft services relating to their ability to access, correct, or erase personal data that you can include in the data you provide to data subjects.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
Fornire una copia dei dati personali elaborati (7.3.8)Providing copy of PII processed (7.3.8) Il cliente deve comprendere i requisiti sulla fornitura di una copia dei dati personali in fase di elaborazione al singolo utente.The customer should understand requirements around providing a copy of the personal data being processed to the individual. Tali requisiti possono includere il formato della copia (ad esempio se è leggibile dal computer), il trasferimento della copia e così via. Se il cliente usa un sistema di terzi che offre la funzionalità per fornire delle copie, tale funzionalità deve essere utilizzata se necessario.These may include requirements around the format of the copy (that is, that it is machine readable), transferring the copy, etc. Where the customer uses a third-party system that provides the functionality to provide copies, they should utilize this functionality as necessary. Informazioni sulle funzionalità nei servizi Microsoft per consentire di ottenere una copia dei loro dati personali che possono essere inclusi nei dati forniti all'interessato.- Richieste degli interessati per Microsoft Professional Services nell'ambito del GDPR e del CCPA [7]Information about capabilities in Microsoft services to allow you to obtain a copy of their personal data that you can include in the data you provide to data subjects.- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7] (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
Gestione richieste (7.3.9)Request management (7.3.9) Il cliente deve comprendere i requisiti per accettare e rispondere alle richieste legittime degli individui in merito al trattamento dei loro dati personali. Se il cliente utilizza un sistema di terze parti, deve comprendere se il sistema è in grado di fornirgli le funzionalità per gestire tali richieste. In tal caso, il cliente deve utilizzarle per gestire le richieste, qualora necessario.The customer should understand requirements for accepting and responding to legitimate requests from individuals related to the processing of their personal data. Where the customer uses a third-party system, they should understand whether that system provides the capabilities for such handling of requests. If so, the customer should utilize such mechanisms to handle requests, as necessary. Informazioni sulle funzionalità dei servizi Microsoft che è possibile usare nel definire le informazioni fornite agli interessati quando si gestiscono le richieste degli interessati. - Richieste degli interessati per Microsoft Professional Services nell'ambito del GDPR e del CCPA [7]Information about capabilities in Microsoft services that you can use when defining the information you provide to data subjects as you manage data subject requests.- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7] (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h)(12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h)
Processo decisionale automatizzato (7.3.10)Automated decision making (7.3.10) Il cliente deve comprendere i requisiti relativi all'elaborazione dei dati personali automatizzata e se le decisioni vengono prese da tale automazione. Possono includere informazioni sull'elaborazione di un singolo utente, l'opposizione a tale elaborazione o per ottenere l'intervento umano. Se queste funzionalità sono fornite da un sistema di terze parti, il cliente deve verificare che la terza parte fornisca le informazioni o il supporto richiesto.The customer should understand requirements around automated personal data processing and where decisions are made by such automation. These may include providing information about the processing to an individual, objecting to such processing, or to obtain human intervention. Where such features are provided by a third-party system, the customer should ensure that the third party provides any required information or support. Informazioni sulle funzionalità di servizi Microsoft in grado di supportare il processo decisionale automatico che è possibile utilizzare nella documentazione sulla conformità e informazioni di riferimento per i soggetti dei dati su queste funzionalità.Information about any capabilities in Microsoft services for that might support automated decision making that you can use in your accountability documentation, and templated information for data subjects about those capabilities.
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)

4. Privacy da progettazione e per impostazione predefinita4. Privacy by design and default

CategoriaCategory Considerazione del clienteCustomer Consideration Supporto della documentazione MicrosoftSupporting Microsoft documentation Fa riferimento agli articoli del GDPRAddresses GDPR Article(s)
Limitazione della raccolta (7.4.1)Limit collection (7.4.1) Il cliente deve comprendere i requisiti relativi ai limiti sulla raccolta dei dati personali (ad esempio che la raccolta deve essere limitata alle informazioni necessarie per uno scopo specifico).The customer should understand requirements around limits on collection of personal data (for example, that the collection should be limited to what is needed for the specified purpose). La descrizione dei dati raccolti dai servizi Microsoft.A description of the data collected by Microsoft services.
- Microsoft Professional Services - Addendum sulla protezione dei dati [1]- Microsoft Professional Services Data Protection Addendum [1]
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]]
(5)(1)(b), (5)(1)(c)(5)(1)(b), (5)(1)(c)
Limitazione del trattamento (7.4.2)Limit processing (7.4.2) Il cliente è responsabile della limitazione dell'elaborazione dei dati personali in modo che siano adeguati allo scopo identificato.The customer is responsible for limiting the processing of personal data so that it is limited to what is adequate for the identified purpose. Una descrizione dei dati raccolti dai servizi Microsoft.A description of the data collected by Microsoft services.
- Microsoft Professional Services - Addendum sulla protezione dei dati [1]- Microsoft Professional Services Data Protection Addendum [1]
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(25)(2)(25)(2)
Definire e documentare la riduzione al minimo dei dati personali e la deidentificazione degli obiettivi (7.4.3)Define and document PII minimization and de-identification objectives (7.4.3) Il cliente deve comprendere i requisiti relativi alla deidentificazione dei dati personali, che potrebbero includere la portata della deidentificazione e le istanze nelle quali non può essere usata.The customer should understand requirements around de-identification of personal data, which may include, when it should be used, the extent to which it should de-identify, and instances when it cannot be used. Il cliente è responsabile della de-identificazione prima del trasferimento dei dati a Microsoft. Microsoft applica la de-identificazione e crea uno pseudonimo internamente, se appropriato, per proteggere ulteriormente la privacy dei dati personali.Customer is responsible for de-identification before transferring data to Microsoft. Microsoft applies de-identification and pseudonymization internally, where appropriate, to provide additional privacy safeguards for personal data. (5)(1)(c)(5)(1)(c)
Conformarsi ai livelli di identificazione (7.4.4)Comply with identification levels (7.4.4) Il cliente deve usare e rispettare gli obiettivi della deidentificazione degli obiettivi e dei metodi stabiliti per l'organizzazione.The customer should use and comply with de-identification objectives and methods set by their organization. Il cliente è responsabile della de-identificazione prima del trasferimento dei dati a Microsoft. Microsoft applica la de-identificazione e crea uno pseudonimo internamente, se appropriato, per proteggere ulteriormente la privacy dei dati personali.Customer is responsible for de-identification before transferring data to Microsoft. Microsoft applies de-identification and pseudonymization internally, where appropriate, to provide additional privacy safeguards for personal data. (5)(1)(c)(5)(1)(c)
Deidentificare ed eliminare i dati personali (7.4.5)PII de-identification and deletion (7.4.5) I clienti devono comprendere le esigenze relative alla conservazione dei dati personali oltre il loro utilizzo per scopi identificati. Qualora gli strumenti fossero forniti dal sistema, il cliente deve utilizzarli per cancellare o eliminare in base alle esigenze.The customer should understand requirements around the retention of personal data past its use for the identified purposes. Where provided tooling by the system, the customer should utilize those tools to erase or delete as necessary. Funzionalità fornite dai servizi Microsoft per supportare i criteri di conservazione dei dati.Capabilities provided by Microsoft Services to support your data retention policies.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)(5)(1)(c),(5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
File temporanei (7.4.6)Temporary files (7.4.6) Il cliente deve essere consapevole dei file temporanei che potrebbero essere inviati a Microsoft e impedire la conformità ai criteri relativi al trattamento dei dati personali (ad esempio, i dati personali potrebbero essere conservati in un file temporaneo più a lungo del necessario o di quanto consentito).The customer should be aware of temporary files that may be sent to Microsoft that could lead to non-compliance with policies around processing of personal data (for example, personal data might be retained in a temporary file longer than required or allowed). Descrizione delle funzionalità offerte dal servizio per identificare i dati personali per supportare i criteri dei file temporanei.A description of capabilities provided by the service to identify personal data to support your temporary file policies.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
(5)(1)(c)(5)(1)(c)
Conservazione (7.4.7)Retention (7.4.7) Il cliente deve determinare per quanto tempo conservare i dati personali, prendendo in considerazione lo scopo identificato.The customer should determine how long personal data should be retained, taking into consideration the identified purposes. Informazioni sulla conservazione dei dati personali dai servizi Microsoft che è possibile includere nella documentazione fornita agli.Information about the retention of personal data by Microsoft services that you can include in documentation provided to data subjects.
- Microsoft Professional Services - Addendum sulla protezione dei dati [1]- Microsoft Professional Services Data Protection Addendum [1]
(13)(2)(a), (14)(2)(a)(13)(2)(a), (14)(2)(a)
Smaltimento (7.4.8)Disposal (7.4.8) Il cliente deve utilizzare qualsiasi meccanismo di cancellazione o eliminazione fornito dal sistema per eliminare i dati personali.The customer should utilize any deletion or disposal mechanisms provided by the system to delete personal data. Funzionalità fornite dai servizi Microsoft per supportare i criteri di eliminazione dei dati.Capabilities provided by Microsoft Services to support your data deletion policies.
- Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
(5)(1)(f)(5)(1)(f)
Procedure di raccolta (7.4.9)Collection procedures (7.4.9) Il cliente deve essere consapevole dei requisiti relativi all'accuratezza dei dati personali (ad esempio, la precisione al momento della raccolta, mantenere aggiornati i dati e così via) e utilizzare i meccanismi forniti dal sistema.The customer should be aware of requirements around the accuracy of personal data (for example, accuracy upon collection, keeping data up-to-date, etc.) and utilize any mechanisms provided by the system for such. In che modo i servizi Microsoft supportano l'accuratezza dei dati personali e tutte le funzionalità che forniscono per supportare i criteri di accuratezza dei dati.How Microsoft services support the accuracy of personal data, and any capabilities they provide to support your data accuracy policy.
Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPA [7]- Microsoft Professional Services Data Subject Requests for the GDPR and CCPA [7]
(5)(1)(d)(5)(1)(d)
Controlli di trasmissione (7.4.10)Transmission controls (7.4.10) Il cliente deve comprendere i requisiti relativi alla sicurezza della trasmissione dei dati personali, incluso chi ha accesso ai meccanismi di trasmissione, i registri di trasmissione e così via.The customer should understand requirements around safeguarding the transmission of personal data, including who has access to transmission mechanisms, records of transmission, etc. Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento.A description of the types of personal data that are transferred by Microsoft services and the locations they are transferred between, and the legal safeguards for the transfer.
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(15)(2), (30)(1)(e), (5)(1)(f)(15)(2), (30)(1)(e), (5)(1)(f)
Identificare le basi per il trasferimento dei dati personali (7.5.1Identify basis for PII transfer (7.5.1 Il cliente deve essere a conoscenza dei requisiti per il trasferimento dei dati personali dell'utente (informazioni personali) in un'altra posizione geografica e documentare quali misure sono disponibili per soddisfare tali requisiti.The customer should be aware of requirements for transferring personal data (PII) to a different geographic location and document what measures are in place to meet such requirements. Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento.A description of the types of personal data that are transferred by Microsoft services and the locations they are transferred between, and the legal safeguards for the transfer.
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
Articoli (44), (45) (46), (47), (48) e (49)Articles (44), (45), (46), (47), (48), and (49)
Aree geografiche e organizzazioni a cui potrebbero essere trasferiti i dati personali (7.5.2)Countries and organizations to which PII might be transferred (7.5.2) Il cliente deve comprendere ed essere in grado di comunicare ai singoli utenti, le aree geografiche in cui i dati personali vengono o potrebbero essere trasferiti. Se una terza parte o un responsabile possono eseguire il trasferimento, il cliente dovrà ottenere queste informazioni dal responsabile del trattamento dei dati.The customer should understand, and be able to provide to the individual, the countries to which personal data is or may be transferred. Where a third-party/processor may perform this transfer, the customer should obtain this information from the processor. Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento.A description of the types of personal data that are transferred by Microsoft services and the locations they are transferred between, and the legal safeguards for the transfer.
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(30)(1)(e)(30)(1)(e)
Registri dei trasferimenti dei dati personali (7.5.3)Records of transfers of PII (personal data) (7.5.3) Il cliente deve mantenere tutti i record necessari e obbligatori relativi al trasferimento di dati personali. Quando un terza parte o un responsabile esegue il trasferimento, il cliente dovrà assicurarsi che essi mantengano i record appropriati e ottenerli se necessario.The customer should maintain all necessary and required records related to transfers of personal data. Where a third-party/processor performs the transfer, the customer should ensure that they maintain the appropriate records and obtain them as necessary. Descrizione dei tipi di dati personali che vengono trasferiti dai servizi Microsoft, le posizioni in cui sono trasferiti e le garanzie legali per il trasferimento.A description of the types of personal data that are transferred by Microsoft services and the locations they are transferred between, and the legal safeguards for the transfer.
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(30)(1)(e)(30)(1)(e)
Registri delle divulgazioni di dati personali a terze parti (7.5.4)Records of PII disclosure to third parties (7.5.4) Il cliente deve comprendere i requisiti relativi alla registrazione a cui sono stati comunicati i dati personali. Possono essere incluse informazioni per l'applicazione della legge, e così via. Quando la terza parte o il responsabile del trattamento dei dati comunica i dati, il cliente deve garantire di poter mantenere i record appropriati e ottenerli in base alle necessità.The customer should understand requirements around recording to whom personal data has been disclosed. This may include disclosures to law enforcement, etc. Where a third-party/processor discloses the data, the customer should ensure that they maintain the appropriate records and obtain them as necessary. Documentazione fornita in merito alle categorie di destinatari della divulgazione di dati personali, compresi i registri di divulgazione disponibili.Documentation provided about the categories of recipients of disclosures of personal data including available records of disclosure.
- Chi può accedere ai dati e secondo quali termini [6]- Who can access your data and on what terms [6]
(30)(1)(d)(30)(1)(d)
Titolare del trattamento dei dati congiunto (7.5.5)Joint controller (7.5.5) Il cliente deve determinare se è titolare congiunto con qualsiasi altra organizzazione e documentare e assegnare adeguatamente le responsabilità.The customer should determine whether they are a joint controller with any other organization, and appropriately document and allocate responsibilities. Microsoft non è un titolare congiunto delle informazioni personali fornite nell'ambito dei dati relativi a supporto e consulenza.Microsoft is not a joint controller of personal information provided as part of Support and Consulting Data. (26)(1), (26)(2), (26)(3)(26)(1), (26)(2), (26)(3)

5. Protezione e sicurezza dei dati5. Data protection & security

CategoriaCategory Considerazione del clienteCustomer Consideration Supporto della documentazione MicrosoftSupporting Microsoft documentation Fa riferimento agli articoli del GDPRAddresses GDPR Article(s)
Comprendere l'organizzazione e il contesto (5.2.1)Understanding the organization and its context (5.2.1) I clienti devono determinare il loro ruolo nell'elaborazione dei dati personali (ad esempio titolare, responsabile, contitolare) per identificare i requisiti appropriati (regolamentazione e così via) per l'elaborazione dei dati personali.Customers should determine their role in processing personal data (for example, controller, processor, co-controller) to identify the appropriate requirements (regulatory, etc.) for processing personal data. In che modo Microsoft considera ciascun servizio come responsabile o titolare durante il trattamento dei dati personali.How Microsoft considers each service as either a processor or controller when processing personal data.
- Microsoft Professional Services - Addendum sulla protezione dei dati [1]- Microsoft Professional Services Data Protection Addendum [1]
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
Comprendere le esigenze e le aspettative delle parti interessate (5.2.2)Understanding the needs and expectations of interested parties (5.2.2) I clienti devono identificare le parti che possono avere un ruolo o un interesse per l'elaborazione dei dati personali (ad esempio regolatori, revisori, soggetti dei dati, responsabili del trattamento dei dati personali con contratto) e prestare particolare attenzione ai requisiti per partecipare a tali parti se necessario.Customers should identify parties that may have a role or interest in their processing of personal data (for example, regulators, auditors, data subjects, contracted personal data processors), and be aware of requirements to engage such parties where required. In che modo Microsoft incorpora le opinioni di tutti gli stakeholder in considerazione dei rischi connessi al trattamento dei dati personali.How Microsoft incorporates the views of all stakeholders in consideration of the risks involved in the processing of personal data.
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)
Determinare l'ambito del sistema di gestione della sicurezza delle informazioni (5.2.3, 5.2.4)Determining the scope of the information security management system (5.2.3, 5.2.4) Nell'ambito di un programma di privacy o di protezione globale di un cliente, dovrebbero essere inclusi l'elaborazione dei dati personali e i requisiti relativi ad essa.As part of any overall security or privacy program that a customer may have, they should include the processing of personal data and requirements relating to it. Come i servizi Microsoft includono il trattamento dei dati personali nella gestione della sicurezza delle informazioni e nei programmi di protezione dei dati personali.How Microsoft services include the processing of personal data in information security management and privacy programs.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Report di controllo ISO 27001 [10]- ISO 27001 Audit Report [10]
(32)(2)(32)(2)
Pianificazione (5.3)Planning (5.3) I clienti devono prendere in considerazione i dati personali come parte di qualsiasi valutazione del rischio che viene completata e applicare i controlli che ritengono necessari per ridurre i rischi correlati ai dati personali controllati.Customers should consider the handling of personal data as part of any risk assessment they complete and apply controls as they deem necessary to mitigate risk related to personal data they control. In che modo i servizi Microsoft considerano i rischi specifici per il trattamento di dati personali come parte del loro programma di sicurezza e privacy complessivo.How Microsoft services consider the risks specific to the processing of personal data as part of their overall security and privacy program.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
(32)(1)(b), (32)(2)(32)(1)(b), (32)(2)
Criteri di sicurezza delle informazioni (6.2)Information Security Policies (6.2) Il cliente deve aggiungere i criteri di protezione delle informazioni esistenti per includere la protezione dei dati personali, compresi i criteri necessari per la conformità alle normative applicabili.The customer should augment any existing information security policies to include protection of personal data, including policies necessary for compliance with any applicable legislation. Criteri Microsoft per la sicurezza delle informazioni e misure specifiche per la protezione delle informazioni personali.Microsoft policies for information security and any specific measures for the protection of personal information.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Report di controllo ISO 27001 [10]- ISO 27001 Audit Report [10]
24(2)24(2)
Considerazione del cliente sull'organizzazione della sicurezza delle informazioni (6.3)Organization of Information Security Customer consideration (6.3) All'interno della propria organizzazione, il cliente deve definire le responsabilità in materia di sicurezza e protezione dei dati personali. Ciò potrebbe includere la definizione di ruoli specifici per la supervisione delle questioni relative alla privacy, incluso un DPO. Dovrebbero essere forniti un'adeguata formazione e un supporto gestionale per poter sostenere questi ruoli.The customer should, within their organization, define responsibilities for security and protection of personal data. This may include establishing specific roles to oversee privacy-related matters, including a DPO. Appropriate training and management support should be provided to support these roles. Microsoft ha pubblicato le informazioni sul responsabile della protezione dei dati di Microsoft, sulla natura dei suoi compiti, sulla struttura di segnalazione e sulle informazioni di contatto.Microsoft has published information on the Microsoft Data Protection Officer, the nature of their duties, reporting structure and contact information.
- Informazioni sul responsabile della protezione dei dati di Microsoft [13]- Microsoft DPO Information [13]
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
Sicurezza delle risorse umane (6.4)Human Resource Security (6.4) Il cliente deve determinare e assegnare la responsabilità di fornire formazione relativa alla protezione dei dati personali dell'utente.The customer should determine and assign responsibility for providing relevant training related to protecting personal data. Panoramica del ruolo del responsabile della protezione dei dati di Microsoft, della natura dei suoi compiti, della struttura di segnalazione e delle informazioni di contatto.An overview of the role of Microsoft's Data Protection Officer, the nature of his duties, reporting structure and contact information.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Descrizione del programma di compatibilità e formazione [3]- Training and Awareness Program Description [3]
(39)(1)(b)(39)(1)(b)
Classificazione delle informazioni (6.5.1)Classification of Information (6.5.1) È consigliabile che il cliente consideri in modo esplicito i dati personali nell'ambito di uno schema di classificazione dei dati.The customer should explicitly consider personal data as part of a data classification scheme. In che modo Microsoft considera i dati personali nella classificazione dei dati e nelle informazioni di codifica e rilevamento.How Microsoft considers personal data in data classification, tagging and tracking information.
- Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clienti [9]- Key Information from Microsoft Professional Services for Customer Data Protection Impact Assessments [9]
(39)(1)(b)(39)(1)(b)
Gestione dei supporti rimovibili (6.5.2)Management of removable media (6.5.2) Il cliente deve determinare i criteri interni per l'uso di supporti rimovibili in relazione alla protezione dei dati personali dell'utente (ad esempio crittografia dispositivi).The customer should determine internal policies for the use of removeable media as it relates to the protection of personal data (for example, encrypting devices). In che modo i servizi Microsoft proteggono la sicurezza delle informazioni personali su qualsiasi supporto rimovibile.How Microsoft services protect the security of personal information on any removeable media.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Insieme di riferimento Microsoft Professional Services [4]- Microsoft Professional Services Control Set [4]
(32)(1)(a), (5)(1)(f)(32)(1)(a), (5)(1)(f)
Trasferimento di supporti fisici (6.5.3)Physical media transfer (6.5.3) Il cliente deve determinare i criteri interni per la protezione dei dati personali durante il trasferimento dei supporti fisici (ad esempio la crittografia).The customer should determine internal policies for protecting personal data when transferring physical media (for example, encryption). In che modo i servizi Microsoft proteggono i dati personali durante il trasferimento di supporti fisici.How Microsoft services protect personal data during any transfer of physical media.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Insieme di riferimento Microsoft Professional Services [4]- Microsoft Professional Services Control Set [4]
(32)(1)(a), (5)(1)(f)(32)(1)(a), (5)(1)(f)
Gestione degli accessi utente (6.6.1)User access management (6.6.1) Il cliente deve essere consapevole delle responsabilità che ha per il controllo dell'accesso all'interno del servizio che sta utilizzando e gestire tali responsabilità in maniera appropriata, con gli strumenti disponibili.The customer should be aware of which responsibilities they have for access control within the service they are using, and manage those responsibilities appropriately, using the tools available. Strumenti forniti dai servizi Microsoft per aiutare a rafforzare il controllo degli accessi.The tools provided by Microsoft services to help you enforce access control.
- Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
(5)(1)(f)(5)(1)(f)
Registrazione dell'utente e annullamento della registrazione (6.6.2)User registration and de-registration (6.6.2) Il cliente deve gestire la registrazione utente e l'annullamento della registrazione all'interno del servizio in uso, con gli strumenti disponibili.The customer should manage user registration and de-registration within the service they utilize, using the tools available to them. Strumenti forniti dai servizi Microsoft per aiutare a rafforzare il controllo degli accessi.The tools provided by Microsoft services to help you enforce access control.
- Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
(5)(1)(f)(5)(1)(f)
Provisioning di accesso utente (6.6.3)User access provisioning (6.6.3) Il cliente deve gestire i profili utente, specialmente per l'accesso autorizzato ai dati personali, all'interno del servizio in uso, con gli strumenti disponibili.The customer should manage user profiles, especially for authorized access to personal data, within the service they utilize, using the tools available to them. In che modo i servizi Microsoft supportano il controllo dell'accesso formale ai dati personali, inclusi gli ID utente, i ruoli e la registrazione e l'annullamento della registrazione degli utenti.How Microsoft services support formal access control to personal data, including user IDs, roles, and the registration and de-registration of users.
- Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
(5)(1)(f)(5)(1)(f)
Gestione accessi con privilegi (6.6.4)Management of privileged access (6.6.4) Il cliente deve gestire l'ID utente, per semplificare la traccia dell'accesso (specialmente ai dati personali), all'interno del servizio che utilizzano e con strumenti disponibili.The customer should manage user ID's to facilitate tracking of access (especially to personal data), within the service they utilize, using the tools available to them. In che modo i servizi Microsoft supportano il controllo dell'accesso formale ai dati personali, inclusi gli ID utente, i ruoli e la registrazione e l'annullamento della registrazione degli utenti.How Microsoft services support formal access control to personal data, including user IDs, roles, and the registration and de-registration of users.
- Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
(5)(1)(f)(5)(1)(f)
Procedure di accesso protetto (6.6.5)Secure log on procedures (6.6.5) Il cliente deve utilizzare meccanismi disponibili nel servizio per garantire l'accesso sicuro alle funzionalità per gli utenti se necessario.The customer should utilize provided mechanisms in the service to ensure secure log on capabilities for their users where necessary. In che modo i servizi Microsoft supportano criteri per il controllo di accesso interno relativi ai dati personali.How Microsoft services support internal access control policies related to personal data.
- Chi può accedere ai dati e secondo quali termini [6]- Who can access your data and on what terms [6]
(5)(1)(f)(5)(1)(f)
Crittografia (6.7)Cryptography (6.7) Il cliente deve determinare quali dati potrebbero dover essere crittografati e se il servizio che stanno utilizzando offre questa capacità. Il cliente deve utilizzare la crittografia secondo necessità, utilizzando gli strumenti a sua disposizione.The customer should determine which data may need to be encrypted, and whether the service they are utilizing offers this capability. The customer should utilize encryption as needed, using the tools available to them. In che modo i servizi Microsoft supportano la crittografia e la creazione degli pseudonimi per ridurre il rischio del trattamento dei dati personali.How Microsoft services support encryption and pseudonymization to reduce the risk of processing personal data.
- Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
(32)(1)(a)(32)(1)(a)
Eliminazione sicura o riutilizzo delle attrezzature (6.8.1)Secure disposal or reuse of equipment (6.8.1) Se il cliente usa servizi di cloud computing (PaaS, SaaS, IaaS) deve comprendere in che modo il provider di servizi cloud assicura che i dati personali dell'utente siano cancellati dallo spazio di archiviazione prima che tale spazio sia assegnato a un altro cliente.Where the customer uses cloud computing services (PaaS, SaaS, IaaS) they should understand how the cloud provider ensures that personal data is erased from storage space prior to that space being assigned to another customer. In che modo Microsoft Professional Services garantisce che i dati personali vengano cancellati dai dispositivi di archiviazione prima che tali attrezzature vengano trasferite o riutilizzate quando si utilizzano i servizi di cloud computing di Microsoft Azure durante servizi professionali.How Microsoft Professional Services ensures that personal data is erased from storage equipment before that equipment is transferred or reused, when utilizing Microsoft Azure cloud computing services during professional services.
- Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
(5)(1)(f)(5)(1)(f)
Politiche della scrivania e dello schermo puliti (6.8.2)Clear desk and clear screen policy (6.8.2) Il cliente deve considerare i rischi relativi al materiale cartaceo che mostra i dati personali e limitare potenzialmente la creazione di tale materiale. Se il sistema in uso offre funzionalità per limitare questa operazione (ad esempio mediante impostazioni per impedire la stampa o il copia e incolla di dati sensibili), il cliente deve considerare la necessità di usare tali funzionalità.The customer should consider risks around hardcopy material that displays personal data, and potentially restrict the creation of such material. Where the system in use provides the capability to restrict this (for example, settings to prevent printing or copying/pasting of sensitive data), the customer should consider the need to utilize those capabilities. In che modo Microsoft consente di gestire il materiale cartaceo.What Microsoft implements to manage hardcopy.
- Microsoft gestisce questi controlli internamente, vedere Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft maintains these controls internally, see Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Insieme di riferimento sul GDPR per Microsoft Professional Services [4]- Microsoft Professional Services GDPR Control Set [4]
(5)(1)(f)(5)(1)(f)
Separazione di ambienti di sviluppo, test e operativi (6.9.1)Separation of development, testing, and operational environments (6.9.1) Il cliente deve considerare le implicazioni relative all'uso dei dati personali negli ambienti di sviluppo e test all'interno dell'organizzazione.The customer should consider the implications of using personal data in development and testing environments within their organization. In che modo Microsoft garantisce che i dati personali siano protetti negli ambienti di sviluppo e test.How Microsoft ensures that personal data is protected in development and test environments.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Insieme di riferimento Microsoft Professional Services [4]- Microsoft Professional Services Control Set [4]
(5)(1)(f)(5)(1)(f)
Backup delle informazioni (6.9.2)Information backup (6.9.2) Il cliente deve garantire di utilizzare funzionalità fornite dal sistema per creare ridondanza dei dati e verificare se necessario.The customer should ensure that they use system provided capabilities to create redundancies in their data and test as necessary. In che modo Microsoft garantisce la disponibilità dei dati che possono includere dati personali, come viene garantita l'accuratezza dei dati ripristinati e quali strumenti e procedure vengono forniti dai servizi Microsoft per consentire di eseguire il backup e il ripristino dei dati.How Microsoft ensures the availability of data that may include personal data, how accuracy of restored data is ensured, and the tools and procedures Microsoft services provide to allow you to back up and restore data.
- Documentazione sulla gestione della continuità aziendale di Microsoft Enterprise [5]- Microsoft Enterprise Business Continuity Management Documentation [5]
(32)(1)(c), (5)(1)(f)(32)(1)(c), (5)(1)(f)
Registrazione eventi (6.9.3)Event logging (6.9.3) Il cliente deve comprendere appieno le funzionalità di registrazione fornite dal sistema e utilizzarle per garantire la possibilità di registrare le azioni correlate ai dati personali che ritengono necessari.The customer should understand the capabilities for logging provided by the system and utilize such capabilities to ensure that they can log actions related to personal data that they deem necessary. I dati del servizio Microsoft registrano, insieme alle attività dell'utente, le eccezioni, i guasti e gli eventi di sicurezza delle informazioni e come è possibile accedere a tali registri da utilizzare come parte del mantenimento dei record.The data Microsoft service records for you, including user activities, exceptions, faults and information security events, and how you can access those logs for use as part of your record keeping.
-Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
- Insieme di riferimento Microsoft Professional Services [4]- Microsoft Professional Services Control Set [4]
(5)(1)(f)(5)(1)(f)
Protezione delle informazioni di registro (6.9.4)Protection of log information (6.9.4) Il cliente deve considerare i requisiti di protezione delle informazioni di registro che possono contenere dati personali o record correlati all'elaborazione dei dati personali. Se il sistema in uso include funzionalità di protezione dei registri, il cliente deve utilizzare queste funzionalità se necessario.The customer should consider requirements for protecting log information that may contain personal data or that may contain records related to personal data processing. Where the system in use provides capabilities to protect logs, the customer should utilize these capabilities where necessary. In che modo Microsoft protegge i registri contenenti i dati personali.How Microsoft protects logs that may contain personal data.
-Documentazione di sicurezza di Microsoft Professional Services[2]- Microsoft Professional Services Security Documentation[2]
- Insieme di riferimento Microsoft Professional Services [4]- Microsoft Professional Services Control Set [4]
(5)(1)(f)(5)(1)(f)
Criteri e procedure di trasferimento delle informazioni (6.10.)Information transfer policies and procedures (6.10.) I clienti devono disporre delle procedure per i casi in cui è possibile trasferire dati personali su supporti fisici (ad esempio un'unità disco rigido che viene spostata tra server o strutture). Questi possono includere registri, autorizzazioni e rilevamento. Quando una terza parte o un altro responsabile effettuano il trasferimento dei supporti fisici, il cliente dovrà assicurarsi che l'organizzazione abbia implementato le procedure per garantire la protezione dei dati personali.The customer should have procedures for cases where personal data may be transferred on physical media (such as a hard drive being moved between servers or facilities). These may include logs, authorizations, and tracking. Where a third-party or other processor may be transferring physical media, the customer should ensure that that organization has procedures in place to ensure security of the personal data. In che modo i servizi Microsoft trasferiscono i supporti fisici che possono contenere dati personali, incluse le circostanze in cui può avere luogo il trasferimento e le misure di protezione intraprese per proteggere i dati.How Microsoft services transfer physical media that may contain personal data, including the circumstances when transfer might occur, and the protective measures taken to protect the data.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Insieme di riferimento Microsoft Professional Services [4]- Microsoft Professional Services Control Set [4]
(5)(1)(f)(5)(1)(f)
Accordi di riservatezza o non divulgazione (6.10.2)Confidentiality or non-disclosure agreements (6.10.2) Il cliente deve determinare la necessità di accordi di riservatezza o di misure equivalenti per gli utenti con accesso o responsabilità collegate ai dati personali.The customer should determine the need for confidentiality agreements or the equivalent for individuals with access to or responsibilities related to personal data. In che modo i servizi Microsoft garantiscono che gli utenti singoli con accesso autorizzato ai dati personali si impegnano a mantenere la riservatezza.How Microsoft services ensure that individuals with authorized access to personal data have committed themselves to confidentiality.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Insieme di riferimento Microsoft Professional Services [4]- Microsoft Professional Services Control Set [4]
(5)(1)(f), (28)(3)(b), (38)(5)(5)(1)(f), (28)(3)(b), (38)(5)
Proteggere i servizi applicativi sulle reti pubbliche (6.11.1)Securing application services on public networks (6.11.1) Il cliente deve conoscere i requisiti per la crittografia dei dati personali, soprattutto quando inviati tramite reti pubbliche. Se il sistema fornisce meccanismi per crittografare i dati, il cliente deve utilizzarli se necessario se necessario.The customer should understand requirements for encryption of personal data, especially when sent over public networks. Where the system provides mechanisms to encrypt data, the customer should utilize those mechanisms where necessary. Descrizioni delle misure adottate dai servizi Microsoft per proteggere i dati in transito (tra cui la crittografia dei dati) e del modo in cui i servizi Microsoft proteggono i dati che possono contenere dati personali quando passano attraverso reti di dati pubbliche, tra cui le misure di crittografia.Descriptions of the measures Microsoft services take to protect data in transit, including encryption of the data, and how Microsoft services protect data that may contain personal data as it passes through public data networks, including any encryption measures.
-Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
(5)(1)(f), (32)(1)(a)(5)(1)(f), (32)(1)(a)
Principi di progettazione dei sistemi protetti (6.11.2)Secure system engineering principles (6.11.2) Il cliente deve comprendere in che modo vengono progettati e realizzati i sistemi per considerare la protezione dei dati personali. Se un cliente utilizza un sistema progettato da terze parti, ha la responsabilità di garantire che tali protezioni siano state considerate.The customer should understand how systems are designed and engineered to consider protection of personal data. Where a customer uses a system engineered by a third party, it is their responsibility to ensure that such protections have been considered. In che modo i servizi Microsoft includono i principi di protezione dei dati personali come parte obbligatoria dei principi di progettazione.How Microsoft services include personal data protection principles as a mandatory part of our secure design/engineering principles.
- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]- Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability [11]
- Cos'è il Security Development Lifecycle?- What is the Security Development Lifecycle?
(25)(1)(25)(1)
Relazioni con i fornitori (6.12)Supplier Relationships (6.12) Il cliente deve verificare che i requisiti di sicurezza delle informazioni e i requisiti di protezione dei dati personali che ricadono sotto la responsabilità di terze parti siano previsti in informazioni contrattuali o altri accordi. Gli accordi dovrebbero prevedere anche le istruzioni per il trattamento.The customer should ensure that any information security and personal data protection requirements and that are the responsibility of a third party are addressed in contractual information or other agreements. The agreements should also address the instructions for processing. In che modo i servizi Microsoft affrontano la sicurezza e la protezione dei dati negli accordi con i fornitori e in che modo si garantisce che tali accordi siano effettivamente implementati.How Microsoft services address security and data protection in our agreements with our suppliers and how we ensure that those agreements are effectively implemented.
- Chi può accedere ai dati e secondo quali termini [6]- Who can access your data and on what terms [6]
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b)(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b)
Gestione degli incidenti e dei miglioramenti di sicurezza delle informazioni (6.13.1)Management of information security incidents and improvements (6.13.1) I clienti devono disporre delle procedure per poter determinare quando si è verificata una violazione di dati personali dell'utente.The customer should have processes for determining when a personal data breach has occurred. In che modo i servizi Microsoft determinano se un incidente di sicurezza è una violazione dei dati personali e come viene comunicata tale violazione all'utente.How Microsoft services determine if a security incident is a breach of personal data, and how we communicate the breach to you.
- Microsoft Professional Services e la notifica delle violazioni nell'ambito del GDPR [8]- Microsoft Professional Services and Breach Notification Under the GDPR [8]
(33)(2)(33)(2)
Responsabilità e procedure (durante gli incidenti di sicurezza delle informazioni) (6.13.2)Responsibilities and procedures (during information security incidents) (6.13.2) Il cliente deve comprendere e documentare le proprie responsabilità durante un evento di violazione dei dati o di incidente di sicurezza che implica i dati personali. Le responsabilità possono includere la notifica delle parti richieste, le comunicazioni con i processori o altri servizi di terze parti e le responsabilità all'interno dell'organizzazione del cliente.The customer should understand and document their responsibilities during a data breach or security incident involving personal data. Responsibilities may include notifying required parties, communications with processors or other third-parties, and responsibilities within the customer's organization. Come comunicare ai servizi Microsoft se si rileva un incidente di sicurezza o una violazione dei dati personali.How to notify Microsoft services if you detect a security incident or breach of personal data.
- Microsoft Professional Services e la notifica delle violazioni nell'ambito del GDPR [8]- Microsoft Professional Services and Breach Notification Under the GDPR [8]
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
Risposta agli incidenti di sicurezza delle informazioni (6.13.3)Response to information security incidents (6.13.3) I clienti devono disporre delle procedure per poter determinare quando si è verificata una violazione di dati personali dell'utente.The customer should have processes for determining when a personal data breach has occurred. Descrizioni delle informazioni fornite dai servizi Microsoft per consentire all'utente di stabilire se si è verificata una violazione dei dati personali.Description of the information Microsoft services provides to help you decide if a breach of personal data has occurred.
- Microsoft Professional Services e la notifica delle violazioni nell'ambito del GDPR [8]- Microsoft Professional Services and Breach Notification Under the GDPR [8]
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)
Protezione dei registri (6.15.1)Protection of records (6.15.1) Il cliente deve comprendere i requisiti per i registri relativi al trattamento dei dati del personale che devono essere mantenuti.The customer should understand the requirements for records related to personal data processing that need to be maintained. Come i servizi Microsoft archiviano i record relativi al trattamento dei dati personali.How Microsoft services store records relating to the processing of personal data.
-Documentazione di sicurezza di Microsoft Professional Services [2]- Microsoft Professional Services Security Documentation [2]
(5)(2), (24)(2)(5)(2), (24)(2)
Verifica indipendente della sicurezza delle informazioni (6.15.2)Independent review of information security (6.15.2) Il cliente deve conoscere i requisiti per la valutazione della sicurezza dell'elaborazione dei dati personali. Possono essere inclusi anche controlli interni o esterni o altre misure per valutare la sicurezza dell'elaborazione. Se il cliente dipende da un'altra organizzazione di terze parti per l'elaborazione parziale o completa, può raccogliere informazioni su tali valutazioni eseguite.The customer should be aware of requirements for assessments of the security of personal data processing. This may include internal or external audits, or other measures for assessing the security of processing. Where the customer is dependent on another organization of third party for all or part of the processing, they should collect information about such assessments performed by them. In che modo i servizi Microsoft testano e valutano l'efficacia delle misure tecniche e organizzative per garantire la sicurezza dell'elaborazione, inclusi i controlli effettuati da terzi.How Microsoft services test and assesses the effectiveness of technical and organizational measures to ensure the security of processing, including any audits by third parties.
- Microsoft Professional Services - Addendum sulla protezione dei dati [1]- Microsoft Professional Services Data Protection Addendum [1]
(32)(1)(d), (32)(2)(32)(1)(d), (32)(2)
Verifica di conformità tecnica (6.15.3)Technical compliance review (6.15.3) Il cliente deve comprendere i requisiti per testare e valutare la sicurezza del trattamento dei dati personali. Possono essere incluse prove tecniche, come i test di penetrazione. Se si usa un sistema o un responsabile di terze parti, si dovrebbero comprendere le responsabilità che si hanno per la protezione e la verifica di sicurezza (ad esempio la gestione delle configurazioni per proteggere i dati e la verifica di tali impostazioni di configurazione). Se la terza parte è responsabile in maniera parziale o completa della sicurezza del trattamento, il cliente deve comprendere quali test o valutazioni esegua la terza parte per garantire la sicurezza del trattamento.The customer should understand requirements for testing and evaluating the security of processing personal data. This may include technical tests such as penetration testing. Where the customer uses a third-party system or processor, they should understand what responsibilities they have for securing and testing the security (for example, managing configurations to secure data and then testing those configuration settings). Where the third party is responsible for all or part of the security of processing, the customer should understand what testing or evaluation the third party performs to ensure the security of the processing. In che modo viene testate la sicurezza dei servizi Microsoft in base ai rischi identificati, inclusi i test di terze parti e i tipi di test tecnici.How Microsoft services are tested security based on identified risks, including tests by third parties, and the types of technical tests.
- Per un elenco di certificazioni esterne, vedere Offerte per la conformità del Centro protezione Microsoft [12]- For a listing of external certifications, see Microsoft Trust Center Compliance offerings [12]
- Per altre informazioni sul test di vulnerabilità delle applicazioni, vedere la documentazione sulla sicurezza di Microsoft Professional Services [2]- For more information about vulnerability testing your applications, see Microsoft Professional Services Security Documentation [2]
(32)(1)(d), (32)(2)(32)(1)(d), (32)(2)
IDID Descrizione/CollegamentiDescription/Links NoteNotes
1 1 Microsoft Professional Services - Addendum sulla protezione dei datiMicrosoft Professional Services Data Protection Addendum
2 2 Documentazione di sicurezza di Microsoft Professional ServicesMicrosoft Professional Services Security Documentation
3 3 Descrizione del programma di compatibilità e formazioneTraining and Awareness Program Description Disponibile su richiesta attraverso il team di gestione degli account del cliente.Available on request through customer’s account management team.
4 4 Insieme di riferimento sul GDPR per Microsoft Professional ServicesMicrosoft Professional Services GDPR Control Set
5 5 Documentazione sulla gestione della continuità aziendale di Microsoft EnterpriseMicrosoft Enterprise Business Continuity Management Documentation Disponibile su richiesta attraverso il team di gestione degli account del cliente.Available on request through customer’s account management team.
6 6 Chi può accedere ai dati personali e a quali condizioniWho can access your data and on what terms
7 7 Richieste degli interessati per Microsoft Professional Services nell'ambito GDPR e del CCPAMicrosoft Professional Services Data Subject Requests for the GDPR and CCPA
8 8 Microsoft Professional Services e la notifica delle violazioni nell'ambito del GDPRMicrosoft Professional Services and Breach Notification Under the GDPR
9 9 Informazioni essenziali di Microsoft Professional Services per le valutazioni dell'impatto sulla protezione dei dati svolte dai clientiKey Information from Microsoft Professional Services for Customer Data Protection Impact Assessments
10 10 Report di controllo ISO 27001ISO 27001 Audit Report
11 11 Microsoft Professional Services ISO/IEC 27001:2013 ISMS Statement of ApplicabilityMicrosoft Professional Services ISO/IEC 27001:2013 ISMS Statement of Applicability SOA attraverso il team di gestione degli account del cliente.SOA on request through customer’s account management team.
12 12 Offerte di conformità di Centro protezione MicrosoftMicrosoft Trust Center Compliance offerings
13 13 Informazioni sul responsabile della protezione dei dati MicrosoftMicrosoft DPO Information

Ulteriori informazioniLearn more