Beveiligings- en privacyprocedures voor gegevens voor Defender voor Cloud-apps
Notitie
Dit artikel bevat stappen voor als u persoonlijke gegevens van het apparaat of de service wilt verwijderen. Bovendien kunt u het gebruiken om uw verplichtingen met betrekking tot de AVG na te komen. Zie het gedeelte AVG van de Service Trust Portal als u op zoek bent naar algemene informatie over de AVG.
Microsoft Defender voor Cloud Apps is een essentieel onderdeel van de Microsoft Cloud Security-stack. Het is een uitgebreide oplossing waarmee uw organisatie optimaal kan profiteren van de belofte van cloudtoepassingen. Defender voor Cloud Apps houdt u controle over uitgebreide zichtbaarheid, controle en gedetailleerde besturingselementen voor uw gevoelige gegevens.
Defender voor Cloud Apps beschikt over hulpprogramma's waarmee schaduw-IT kan worden ontdekt en risico's kunnen worden beoordeeld, terwijl u beleidsregels kunt afdwingen en activiteiten kunt onderzoeken. Hiermee kunt u de toegang in realtime beheren en bedreigingen stoppen, zodat uw organisatie veiliger naar de cloud kan gaan.
naleving van apps Defender voor Cloud
In een wereld waar gegevensschendingen en aanvallen dagelijks voorkomen, is het essentieel dat organisaties een Cloud Access Security Broker (CASB) kiezen die alles in het werk stelt om hun gegevens te beschermen. Defender voor Cloud Apps, zoals alle Microsoft-cloudproducten en -services, is gebouwd om te voldoen aan de strenge beveiligings- en privacyvereisten van onze klanten.
Om organisaties te helpen voldoen aan nationale/regionale en branchespecifieke vereisten voor het verzamelen en gebruiken van gegevens van personen, biedt Defender voor Cloud Apps een uitgebreide set nalevingsaanbiedingen. De nalevingsaanbiedingen omvatten certificeringen en attestations.
Nalevingsframework en aanbiedingen
Defender voor Cloud Apps voldoet aan veel internationale en branchespecifieke nalevingsstandaarden, waaronder, maar niet beperkt tot:
| Organisatie | Title | Beschrijving |
|---|---|---|
 |
CSA STAR Attestation | Aan Azure en Intune is STAR Attestation voor Cloud Security Alliance toegekend op basis van een onafhankelijke controle. |
|
CSA STAR Certification | Azure, Intune en Power BI zijn toegekend aan Cloud Security Alliance STAR-certificering op Gold-niveau. |
 |
EU-modelclausules | Microsoft biedt eu-standaardcontractbepalingen, garanties voor overdracht van persoonsgegevens. |
 |
HIPAA/HITECH | Microsoft biedt Health Insurance Portability & Accountability Act Business Associate Agreements (BAA's) aan. |
 |
ISO 9001 | Microsoft is gecertificeerd voor de implementatie van deze kwaliteitsbeheerstandaarden. |
 |
ISO/IEC 27001 | Microsoft is gecertificeerd voor de implementatie van deze standaarden voor informatiebeveiligingsbeheer. |
 |
ISO/IEC 27018 | Microsoft was de eerste cloudprovider die zich houdt aan deze praktijkcode voor cloudprivacy. |
 |
PCI DSS | Azure voldoet aan Payment Card Industry Data Security Standards Level 1 versie 3.1. |
 |
SOC 1- en SOC 2 Type 2-rapporten | Microsoft-cloudservices voldoen aan de standaarden voor de besturingselementen van de serviceorganisatie voor operationele beveiliging. |
|
SOC 3 | Microsoft-cloudservices voldoen aan de standaarden voor de besturingselementen van de serviceorganisatie voor operationele beveiliging. |
 |
UK G-Cloud | De Crown Commercial Service heeft de classificatie van Microsoft-cloudservices vernieuwd naar Government Cloud v6. |
Ga naar Microsoft Compliance-aanbiedingen voor meer informatie.
Privacy
U bent de eigenaar van uw gegevens
In Defender voor Cloud Apps kunnen uw beheerders de identificeerbare persoonsgegevens bekijken die zijn opgeslagen in de service vanuit de portal met behulp van de zoekbalk.
Beheer s kunnen zoeken naar de metagegevens van een specifieke gebruiker of de activiteit van een gebruiker. Als u een entiteit selecteert, wordt de pagina Gebruikers geopend. De pagina Gebruikers bevat uitgebreide informatie over de entiteit die wordt opgehaald uit verbonden cloudtoepassingen. Het biedt ook de activiteitengeschiedenis en beveiligingswaarschuwingen van de gebruiker met betrekking tot de gebruiker.
U bent eigenaar van uw gegevens en kunt abonnementen opzeggen en op elk gewenst moment het verwijderen van uw gegevens aanvragen. Als u uw abonnement niet verlengt, worden uw gegevens verwijderd binnen de tijdlijn die is opgegeven in de voorwaarden voor onlineservices.
Als u er ooit voor kiest om de service te beëindigen, kunt u uw gegevens meenemen.
Defender voor Cloud Apps is de processor van uw gegevens
Defender voor Cloud Apps gebruikt uw gegevens alleen voor doeleinden die consistent zijn met het leveren van de services waarop u zich abonneert.
Als een overheid Microsoft benadert voor toegang tot uw gegevens, stuurt Microsoft waar mogelijk het onderzoek naar u, de klant, om. Microsoft heeft juridische eisen betwist die niet geldig waren, waardoor de openbaarmaking van een overheidsaanvraag voor klantgegevens verboden was. Meer informatie over wie toegang heeft tot uw gegevens en over welke voorwaarden.
Privacybesturingselementen
- Met privacybesturingselementen kunt u configureren wie in uw organisatie toegang heeft tot de service en waartoe ze toegang hebben.
Persoonlijke gegevens bijwerken
Persoonlijke gegevens over gebruikers worden afgeleid van het object van de gebruiker in de gebruikte SaaS-toepassingen. Als gevolg hiervan worden eventuele wijzigingen in het gebruikersprofiel in deze toepassingen doorgevoerd in Defender voor Cloud Apps.
Gegevenslocatie
Defender voor Cloud Apps werkt momenteel in datacenters in de Europese Unie, het Verenigd Koninkrijk en het Verenigde Staten (elk een 'geo').
Defender voor Cloud Apps maakt gebruik van Azure Data Centers over de hele wereld om geoptimaliseerde prestaties te bieden via geolocatie. Dit betekent dat de sessie van een gebruiker buiten een bepaalde regio kan worden gehost, afhankelijk van verkeerspatronen en hun locatie. Om uw privacy te beschermen, worden er echter geen sessiegegevens opgeslagen in deze datacenters.
Zie het Microsoft Vertrouwenscentrum voor meer informatie.
Defender voor Cloud Apps-locaties voor gegevensopslag
Klantgegevens die door de service worden verzameld, worden als volgt opgeslagen:
| Locatie van klantinrichting | Locatie voor gegevensopslag |
|---|---|
| Klanten van wie tenants zijn ingericht in de Europese Unie of het Verenigd Koninkrijk | Ofwel de Europese Unie of het Verenigd Koninkrijk |
| Alle andere klanten | De geografische locatie die zich het dichtst bij de locatie bevindt waar de Microsoft Entra-tenant van de klant is ingericht |
Als Defender voor Cloud Apps een andere onlineservice van Microsoft gebruikt, zoals Microsoft Entra ID of Azure CDN voor het verwerken van dergelijke gegevens, wordt de geografische locatie van de gegevens gedefinieerd door de regels voor gegevensopslag van die andere onlineservice.
Locaties voor app-beheergegevensopslag
Klantgegevens die door de service worden verzameld, worden als volgt opgeslagen:
| Locatie van klantinrichting | Locatie voor gegevensopslag |
|---|---|
| Klanten van wie de tenants zijn ingericht in de Verenigde Staten | Verenigde Staten |
| Klanten van wie tenants zijn ingericht in de Europese Unie of het Verenigd Koninkrijk | Ofwel de Europese Unie of het Verenigd Koninkrijk |
| Klanten wiens tenants worden ingericht in Azië en Stille Oceaan | Azië en Stille Oceaan of de Verenigde Staten |
| Klanten wiens tenants worden ingericht in Canada | Canada of de Verenigde Staten |
| Klanten wiens tenants worden ingericht in India | India of de Verenigde Staten |
| Klanten van wie de tenants zijn ingericht in een andere regio | De Verenigde Staten of een datacenter in de geo die zich het dichtst bij de locatie bevindt waar de Microsoft Entra-tenant van de klant is ingericht |
Als app-governance gebruikmaakt van een andere Microsoft-onlineservice, zoals Microsoft Entra ID of Azure CDN voor het verwerken van dergelijke gegevens, wordt de geografische locatie van de gegevens gedefinieerd door de regels voor gegevensopslag van die andere onlineservice.
App-beheer maakt nu deel uit van Microsoft Defender voor Cloud Apps. Voor bestaande klanten verplaatsen we uw gegevens tegen juni 2024 zodat deze overeenkomen met uw Microsoft Defender voor Cloud Apps-gegevenslocatie. Er is geen werk aan uw kant vereist en er zijn geen serviceonderbrekingen. Zie Defender voor Cloud Apps-locaties voor gegevensopslag voor meer informatie.
Transparency
Microsoft biedt transparantie over de procedures:
- Delen met u waar uw gegevens worden opgeslagen.
- Bevestigend dat uw gegevens alleen worden gebruikt om overeengekomen diensten te leveren.
- Opgeven hoe Microsoft-technici en goedgekeurde onderaannemers deze gegevens gebruiken om services te leveren.
Microsoft gebruikt strikte controles om de toegang tot klantgegevens te beheren, waarbij het laagste toegangsniveau wordt verleend dat is vereist voor het voltooien van belangrijke taken en het intrekken van toegang wanneer deze niet meer nodig is.
Gegevensbescherming
Defender voor Cloud Apps dwingt gegevensbeveiliging af tijdens inhoudsinspectie. Bestandsinhoud wordt niet opgeslagen in het datacenter Defender voor Cloud Apps. Alleen de metagegevens van de bestandsrecords en overeenkomsten die zijn geïdentificeerd, worden opgeslagen.
Gegevensretentie
Defender voor Cloud Apps bewaart gegevens als volgt:
- Activiteitenlogboek: 180 dagen
- Detectiegegevens: 90 dagen
- Waarschuwingen: 180 dagen
- Beheerlogboek: 120 dagen
U vindt meer informatie over microsoft-gegevensprocedures door de onlineservicevoorwaarden te lezen.
Meer informatie over transparantie
Delen van gegevens
Defender voor Cloud Apps deelt gegevens, inclusief klantgegevens, onder de volgende Microsoft-producten die ook zijn gelicentieerd door de klant:
Microsoft Defender for Cloud
Microsoft Sentinel
Microsoft Defender voor Eindpunten
Microsoft Security Exposure Management (openbare preview)
Microsoft Purview
Microsoft Purview
Persoonlijke gegevens verwijderen
Nadat het account van een gebruiker is verwijderd uit een verbonden cloudtoepassing, verwijdert Defender voor Cloud Apps de kopie van de gegevens automatisch binnen twee jaar.
Persoonlijke gegevens exporteren
Defender voor Cloud Apps biedt u de mogelijkheid om alle informatie over gebruikersactiviteiten en beveiligingswaarschuwingen te exporteren naar CSV.
Gegevensstroom
Defender voor Cloud Apps biedt u het gemak van het werken met bepaalde gegevens, zoals waarschuwingen en activiteiten, zonder uw gebruikelijke beveiligingswerkstroom te verstoren. SecOps kan bijvoorbeeld liever waarschuwingen weergeven in hun favoriete SIEM-product, zoals Microsoft Sentinel. Als u dergelijke werkstromen wilt inschakelen, worden bij het integreren met Microsoft- of producten van derden, Defender voor Cloud Apps bepaalde gegevens beschikbaar maken.
In de volgende tabel ziet u welke gegevens worden weergegeven voor elke productintegratie:
Microsoft-producten
| Product | Weergegeven gegevens | Configuratie |
|---|---|---|
| Microsoft Defender XDR | Waarschuwingen en gebruikersactiviteiten | Automatisch ingeschakeld op Microsoft Defender XDR bij onboarding |
| Microsoft Sentinel | Waarschuwingen en detectiegegevens | Ingeschakeld in Defender voor Cloud-apps en geconfigureerd in Microsoft Sentinel |
| Microsoft Purview-nalevingsportal | Waarschuwingen voor Microsoft 365 | Automatisch gestreamd naar Microsoft Purview-nalevingsportal |
| Microsoft Defender for Cloud | Waarschuwingen voor Azure | Standaard ingeschakeld in Defender voor Cloud Apps; kan worden uitgeschakeld in Microsoft Defender voor Cloud |
| Security-API voor Microsoft Graph | Waarschuwingen | Beschikbaar via Microsoft Graph beveiligings-API |
| Microsoft Power Automate | Waarschuwingen die worden verzonden om een geautomatiseerde stroom te activeren | Geconfigureerd in Defender voor Cloud-apps |
| Microsoft Threat Experts | Waarschuwingen | Automatisch gestreamd naar Microsoft Threat Experts |
| Microsoft Entra ID-beveiliging | Waarschuwingen | Automatisch gestreamd naar Microsoft Entra ID Protection |
| Microsoft Entra ID-beveiliging | Subset van waarschuwingen voor identiteitsrisicomodel | Automatisch ingeschakeld op Microsoft Entra ID Protection bij onboarding |
Producten van derden
| Integratietype | Weergegeven gegevens | Configuratie |
|---|---|---|
| Een SIEM-agent gebruiken | Waarschuwingen en gebeurtenissen | Ingeschakeld en geconfigureerd in Defender voor Cloud-apps |
| De DEFENDER VOOR CLOUD Apps REST API gebruiken | Waarschuwingen en gebeurtenissen | Ingeschakeld en geconfigureerd in Defender voor Cloud-apps |
| ICAP-connector | Bestand voor DLP-scan | Ingeschakeld en geconfigureerd in Defender voor Cloud-apps |
Notitie
Andere producten dwingen mogelijk niet Defender voor Cloud op rollen gebaseerde beveiligingsmachtigingen voor apps af om te bepalen wie toegang heeft tot welke gegevens. Voordat u integreert met andere producten, moet u daarom weten welke gegevens naar het product worden verzonden dat u wilt gebruiken en wie er toegang toe heeft.
Beveiliging
Versleuteling
Microsoft gebruikt versleutelingstechnologie om uw gegevens in rust te beschermen in een Microsoft-database en wanneer deze tussen gebruikersapparaten en Defender voor Cloud Apps-datacenters reist. Bovendien wordt alle communicatie tussen Defender voor Cloud Apps en verbonden apps versleuteld met HTTPS.
Notitie
Defender voor Cloud Apps maakt gebruik van TLS-protocollen (Transport Layer Security) 1.2+ om versleuteling van de beste klasse te bieden. Systeemeigen clienttoepassingen en -browsers die TLS 1.2+ niet ondersteunen, zijn niet toegankelijk wanneer ze zijn geconfigureerd met sessiebeheer. SaaS-apps die gebruikmaken van TLS 1.1 of lager, worden echter in de browser weergegeven als tls 1.2+ wanneer ze zijn geconfigureerd met Defender voor Cloud-apps.
Identiteits- en toegangsbeheer
Defender voor Cloud Apps stelt u in staat om de toegang van beheerders tot de portal te beperken op basis van geolocatie met behulp van Microsoft Entra-id. Het is mogelijk om meervoudige verificatie te vereisen voor toegang tot de Defender voor Cloud Apps-portal met behulp van Microsoft Entra-id.
Machtigingen
Defender voor Cloud Apps ondersteunt op rollen gebaseerd toegangsbeheer. Microsoft 365- en Microsoft Entra Global-beheerders- en beveiligingsbeheerdersrollen hebben volledige toegang tot Defender voor Cloud-apps en beveiligingslezers hebben leestoegang. Voor meer informatie.
Klantcontroles voor organisatiecompatibiliteit
Bereik voor implementatie
Defender voor Cloud Apps stelt u in staat om uw implementatie te bepalen. Met bereik kunt u alleen specifieke groepen beheren met behulp van Defender voor Cloud Apps of specifieke groepen uitsluiten van Defender voor Cloud Apps-governance. Zie Bereikimplementatie voor meer informatie.
Anoniem maken
U kunt ervoor kiezen om Cloud Discovery-rapporten anoniem te houden. Nadat uw logboekbestanden zijn geüpload naar Microsoft Defender voor Cloud Apps, worden alle gebruikersnaamgegevens vervangen door versleutelde gebruikersnamen. Voor specifieke beveiligingsonderzoeken kunt u de echte gebruikersnaam oplossen. Persoonlijke gegevens worden versleuteld met AES-128 met een speciale sleutel per tenant. Voor meer informatie.
Beveiliging en privacy voor Defender voor Cloud Apps GCC High-klanten van de Amerikaanse overheid
Zie de servicebeschrijving enterprise Mobility + Security for US Government service voor meer informatie over Defender voor Cloud-nalevingsstandaarden voor apps en de locatie van gegevens voor GCC High-klanten van de Amerikaanse overheid.
Volgende stappen
- Overzicht van Defender voor Cloud-apps
- documentatie voor Defender voor Cloud-apps
- Registreren voor Defender voor Cloud-apps
Krijg een gratis proefversie van Defender voor Cloud Apps en bekijk hoe deze voldoet aan uw zakelijke uitdagingen.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor