Wat zijn Microsoft Defender for Cloud Apps procedures voor gegevensbeveiliging en privacy?

Notitie

  • De naam van Microsoft Cloud App Security is gewijzigd. Het heet nu Microsoft Defender for Cloud Apps. In de komende weken werken we de schermafbeeldingen en instructies hier en op gerelateerde pagina's bij. Zie deze aankondiging voor meer informatie over de wijziging. Zie het Microsoft Ignite Security-blog voor meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

  • Microsoft Defender for Cloud Apps maakt nu deel uit van Microsoft 365 Defender. Met de Microsoft 365 Defender-portal kunnen beveiligingsbeheerders hun beveiligingstaken op één locatie uitvoeren. Dit vereenvoudigt werkstromen en voegt de functionaliteit van de andere Microsoft 365 Defender-services toe. Microsoft 365 Defender is de thuisbasis voor het bewaken en beheren van beveiliging in uw Microsoft-identiteiten, gegevens, apparaten, apps en infrastructuur. Zie Microsoft Defender for Cloud Apps in Microsoft 365 Defender voor meer informatie over deze wijzigingen.

Notitie

Dit artikel bevat stappen voor als u persoonlijke gegevens van het apparaat of de service wilt verwijderen. Bovendien kunt u het gebruiken om uw verplichtingen met betrekking tot de AVG na te komen. Zie het gedeelte AVG van de Service Trust Portal als u op zoek bent naar algemene informatie over de AVG.

Microsoft Defender for Cloud Apps is een essentieel onderdeel van de Microsoft Cloud Security-stack. Het is een uitgebreide oplossing waarmee uw organisatie optimaal kan profiteren van de belofte van cloudtoepassingen. Defender voor Cloud Apps houdt u onder controle via uitgebreide zichtbaarheid, controle en gedetailleerde besturingselementen voor uw gevoelige gegevens.

Defender voor Cloud Apps beschikt over hulpprogramma's waarmee u schaduw-IT kunt ontdekken en risico's kunt beoordelen, terwijl u beleidsregels kunt afdwingen en activiteiten kunt onderzoeken. Hiermee kunt u de toegang in realtime beheren en bedreigingen stoppen, zodat uw organisatie veiliger naar de cloud kan gaan.

naleving van Defender voor Cloud apps

In een wereld waarin gegevensschendingen en aanvallen dagelijks voorkomen, is het essentieel dat organisaties een Cloud Access Security Broker (CASB) kiezen die alles in het werk stelt om hun gegevens te beschermen. Defender voor Cloud Apps, zoals alle Microsoft-cloudproducten en -services, is gebouwd om te voldoen aan de strenge beveiligings- en privacyvereisten van onze klanten.

Om organisaties te helpen voldoen aan nationale, regionale en branchespecifieke vereisten voor het verzamelen en gebruiken van gegevens van personen, biedt Defender voor Cloud Apps een uitgebreide set nalevingsaanbiedingen. De nalevingsaanbiedingen omvatten certificeringen en attestations.

Nalevingsframework en aanbiedingen

Defender voor Cloud Apps voldoet aan veel internationale en branchespecifieke nalevingsstandaarden, waaronder, maar niet beperkt tot:

Organisatie Titel Beschrijving
logo csa attestation. CSA STAR Attestation Azure en Intune zijn bekroond met Cloud Security Alliance STAR Attestation op basis van een onafhankelijke audit.
logo csa certification. CSA STAR Certification Azure, Intune en Power BI zijn bekroond met Cloud Security Alliance STAR-certificering op Gold-niveau.
logo EU model clauses. EU-modelclausules Microsoft biedt eu-standaardcontractbepalingen, garanties voor overdracht van persoonsgegevens.
logo HIPAA. HIPAA/HITECH Microsoft biedt Health Insurance Portability & Accountability Act Business Associate Agreements (BAA's).
logo iso 9001. ISO 9001 Microsoft is gecertificeerd voor de implementatie van deze kwaliteitsbeheerstandaarden.
logo iso 27001. ISO/IEC 27001 Microsoft is gecertificeerd voor de implementatie van deze standaarden voor informatiebeveiligingsbeheer.
logo iso 27018. ISO/IEC 27018 Microsoft was de eerste cloudprovider om zich te houden aan deze praktijkcode voor cloudprivacy.
logo PCI. PCI DSS Azure voldoet aan de Data Security Standards Level 1-versie 3.1 van de betaalkaartindustrie.
logo SOC. SOC 1- en SOC 2 Type 2-rapporten Microsoft-cloudservices voldoen aan de standaarden voor serviceorganisatiecontroles voor operationele beveiliging.
logo SOC. SOC 3 Microsoft-cloudservices voldoen aan de standaarden voor serviceorganisatiecontroles voor operationele beveiliging.
logo g-cloud. UK G-Cloud De Crown Commercial Service heeft de classificatie van Microsoft-cloudservices vernieuwd naar Government Cloud v6.

Ga naar Microsoft Compliance-aanbiedingen voor meer informatie.

Privacy

U bent de eigenaar van uw gegevens

  • In Defender voor Cloud Apps kunnen uw beheerders de identificeerbare persoonsgegevens bekijken die zijn opgeslagen in de service vanuit de portal met behulp van de zoekbalk.

  • Beheerders kunnen zoeken naar de metagegevens van een specifieke gebruiker of de activiteit van een gebruiker. Als u op een entiteit klikt, worden de gebruikers en accounts geopend. De pagina Gebruikers en accounts bevat uitgebreide informatie over de entiteit die wordt opgehaald uit verbonden cloudtoepassingen. Het biedt ook de activiteitengeschiedenis en beveiligingswaarschuwingen van de gebruiker met betrekking tot de gebruiker.

  • U bent eigenaar van uw gegevens en kunt op elk gewenst moment abonnementen opzeggen en het verwijderen van uw gegevens aanvragen. Als u uw abonnement niet verlengt, worden uw gegevens verwijderd binnen de tijdlijn die is opgegeven in de voorwaarden voor onlineservices.

  • Als u er ooit voor kiest om de service te beëindigen, kunt u uw gegevens bij u meenemen.

Defender voor Cloud Apps is de processor van uw gegevens

  • Defender voor Cloud Apps gebruikt uw gegevens alleen voor doeleinden die consistent zijn met het leveren van de services waarvoor u zich abonneert.

  • Als een overheid Microsoft benadert voor toegang tot uw gegevens, stuurt Microsoft het onderzoek waar mogelijk door naar u, de klant. Microsoft heeft juridische eisen betwist die niet geldig waren, waardoor de openbaarmaking van een overheidsaanvraag voor klantgegevens is verboden. Meer informatie over wie toegang heeft tot uw gegevens en over welke voorwaarden.

Privacybesturingselementen

  • Met privacybesturingselementen kunt u configureren wie in uw organisatie toegang heeft tot de service en waartoe ze toegang hebben.

Persoonlijke gegevens bijwerken

Persoonsgegevens over gebruikers worden afgeleid van het object van de gebruiker in de gebruikte SaaS-toepassingen. Daarom worden wijzigingen in het gebruikersprofiel in deze toepassingen doorgevoerd in Defender voor Cloud Apps.

Locatie van gegevens

Defender voor Cloud Apps werkt momenteel in datacenters in de Europese Unie, het Verenigd Koninkrijk en het Verenigde Staten (elk een 'geo'). Klantgegevens die door de service worden verzameld, worden als volgt opgeslagen (a) voor klanten waarvan de tenants zijn ingericht in de Europese Unie of het Verenigd Koninkrijk, in de Europese Unie of het Verenigd Koninkrijk; (b) anders een datacenter in de geografische regio dat zich het dichtst bij de locatie bevindt waar de Azure Active Directory tenant van de klant is ingericht; of (c) als Defender voor Cloud Apps een andere onlineservice van Microsoft gebruikt (zoals Azure Active Directory of Azure CDN ) om dergelijke gegevens te verwerken, wordt de geolocatie van de gegevens gedefinieerd door de regels voor gegevensopslag van die andere onlineservice.

Notitie

Defender voor Cloud Apps maakt gebruik van Azure Data Centers over de hele wereld om geoptimaliseerde prestaties te bieden via geolocatie. Dit betekent dat de sessie van een gebruiker kan worden gehost buiten een bepaalde regio, afhankelijk van verkeerspatronen en hun locatie. Om uw privacy te beschermen, worden er echter geen sessiegegevens opgeslagen in deze datacenters.

Meer informatie over privacy

Transparantie

Microsoft biedt transparantie over de procedures:

  • Delen met u waar uw gegevens worden opgeslagen.
  • Bevestigend dat uw gegevens alleen worden gebruikt om overeengekomen diensten te leveren.
  • Opgeven hoe Microsoft-technici en goedgekeurde onderaannemers deze gegevens gebruiken om services te leveren.

Microsoft gebruikt strikte controles om de toegang tot klantgegevens te beheren, waarbij het laagste toegangsniveau wordt verleend dat is vereist voor het voltooien van belangrijke taken en het intrekken van toegang wanneer deze niet meer nodig is.

Gegevensbeveiliging

Defender voor Cloud Apps dwingt gegevensbeveiliging af tijdens de inhoudsinspectie. Bestandsinhoud wordt niet opgeslagen in het datacenter Defender voor Cloud Apps. Alleen de metagegevens van de bestandsrecords en eventuele overeenkomsten die zijn geïdentificeerd, worden opgeslagen.

Gegevensretentie

Defender voor Cloud Apps bewaart gegevens als volgt:

  • Activiteitenlogboek: 180 dagen
  • Detectiegegevens: 90 dagen
  • Waarschuwingen: 180 dagen
  • Beheerlogboek: 120 dagen

U vindt meer informatie over microsoft-gegevensprocedures door de onlineservicevoorwaarden te lezen.

Meer informatie over transparantie

Persoonlijke gegevens verwijderen

Nadat het account van een gebruiker is verwijderd uit een verbonden cloudtoepassing, wordt de kopie van de gegevens binnen twee jaar automatisch verwijderd Defender voor Cloud Apps.

Persoonlijke gegevens exporteren

Defender voor Cloud Apps biedt u de mogelijkheid om alle gebruikersactiviteit en beveiligingswaarschuwingsgegevens te exporteren naar CSV.

Gegevensstroom

Defender voor Cloud Apps biedt u het gemak van het werken met bepaalde gegevens, zoals waarschuwingen en activiteiten, zonder uw gebruikelijke beveiligingswerkstroom te verstoren. SecOps kan bijvoorbeeld liever waarschuwingen weergeven in het siem-product van hun voorkeur, zoals Microsoft Sentinel. Als u dergelijke werkstromen wilt inschakelen, maakt Defender voor Cloud Apps bij de integratie met Producten van Microsoft of derden bepaalde gegevens beschikbaar.

In de volgende tabel ziet u welke gegevens worden weergegeven voor elke productintegratie:

Microsoft-producten

Product Weergegeven gegevens Configuration
Microsoft 365 Defender Waarschuwingen en gebruikersactiviteiten Automatisch ingeschakeld op Microsoft 365 Defender bij onboarding
Microsoft Sentinel Waarschuwingen en detectiegegevens Ingeschakeld in Defender voor Cloud-apps en geconfigureerd in Microsoft Sentinel
Microsoft Purview-nalevingsportal Waarschuwingen voor Office 365 Automatisch gestreamd naar Microsoft Purview-nalevingsportal
Microsoft Defender for Cloud Waarschuwingen voor Azure Standaard ingeschakeld in Defender voor Cloud-apps; kan worden uitgeschakeld in Microsoft Defender voor Cloud
Security-API voor Microsoft Graph Waarschuwingen Beschikbaar via Microsoft Graph beveiligings-API
Microsoft Power Automate Waarschuwingen die worden verzonden om een geautomatiseerde stroom te activeren Geconfigureerd in Defender voor Cloud-apps

Producten van derden

Integratietype Weergegeven gegevens Configuration
Een SIEM-agent gebruiken Waarschuwingen en gebeurtenissen Ingeschakeld en geconfigureerd in Defender voor Cloud-apps
De DEFENDER VOOR CLOUD Apps REST API gebruiken Waarschuwingen en gebeurtenissen Ingeschakeld en geconfigureerd in Defender voor Cloud-apps
ICAP-connector Bestand voor DLP-scan Ingeschakeld en geconfigureerd in Defender voor Cloud-apps

Notitie

Andere producten kunnen Defender voor Cloud op rollen gebaseerde beveiligingsmachtigingen voor apps niet afdwingen om te bepalen wie toegang heeft tot welke gegevens. Zorg er daarom voor dat u begrijpt welke gegevens worden verzonden naar het product dat u wilt gebruiken en wie er toegang heeft.

Beveiliging

Versleuteling

Microsoft maakt gebruik van versleutelingstechnologie om uw gegevens in rust te beveiligen in een Microsoft-database en wanneer deze wordt verzonden tussen gebruikersapparaten en Defender voor Cloud Apps-datacenters. Bovendien wordt alle communicatie tussen Defender voor Cloud Apps en verbonden apps versleuteld via HTTPS.

Notitie

Defender voor Cloud Apps maakt gebruik van TLS-protocollen (Transport Layer Security) 1.2+ om best-in-class-versleuteling te bieden. Systeemeigen clienttoepassingen en -browsers die TLS 1.2+ niet ondersteunen, zijn niet toegankelijk wanneer deze zijn geconfigureerd met sessiebeheer. SaaS-apps die GEBRUIKMAKEN van TLS 1.1 of lager worden echter weergegeven in de browser met TLS 1.2+ wanneer ze zijn geconfigureerd met Defender voor Cloud-apps.

Identiteits- en toegangsbeheer

met Defender voor Cloud Apps kunt u de toegang van beheerders tot de portal beperken op basis van geolocatie met behulp van Azure Active Directory. Het is mogelijk om meervoudige verificatie te vereisen voor toegang tot de Defender voor Cloud Apps-portal met behulp van Azure Active Directory.

Machtigingen

Defender voor Cloud Apps ondersteunt op rollen gebaseerd toegangsbeheer. Office 365 en Azure Active Directory globale beheerders- en beveiligingsbeheerdersrollen hebben volledige toegang tot Defender voor Cloud apps en hebben beveiligingslezers leestoegang. Voor meer informatie.

Besturingselementen van klanten voor organisatiecompatibiliteit

Bereik voor implementatie

met Defender voor Cloud Apps kunt u de implementatie bepalen. Met bereik kunt u alleen specifieke groepen beheren met behulp van Defender voor Cloud Apps of specifieke groepen uitsluiten van Defender voor Cloud Apps-governance. Zie Bereikimplementatie voor meer informatie.

Anoniem maken

U kunt ervoor kiezen om Cloud Discovery-rapporten anoniem te houden. Nadat uw logboekbestanden zijn geüpload naar Microsoft Defender for Cloud Apps, worden alle gebruikersnaamgegevens vervangen door versleutelde gebruikersnamen. Voor specifieke beveiligingsonderzoeken kunt u de echte gebruikersnaam oplossen. Persoonlijke gegevens worden versleuteld met AES-128 met een speciale sleutel per tenant. Voor meer informatie.

Beveiliging en privacy voor Defender voor Cloud Apps voor de Amerikaanse overheid GCC High-klanten

Zie Enterprise Mobility + Security voor servicebeschrijvingen voor de Amerikaanse overheid voor informatie over nalevingsstandaarden voor Defender voor Cloud apps en de locatie van gegevens voor amerikaanse overheid GCC High-klanten.

Volgende stappen

Krijg een gratis proefversie van Defender voor Cloud Apps en bekijk hoe deze voldoet aan uw zakelijke uitdagingen.