Windows Azure Panoramica della privacy
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Panoramica della privacy in Windows Azure
Windows Azure
Panoramica della
privacy
Febbraio 2014
P A G I N A | 01Panoramica della privacy in Windows Azure
Sommario
INTRODUZIONE ............................................................................................................................. 3
APPROCCIO DI MICROSOFT ALLA PRIVACY DEL CLOUD .......................................................... 3
I DATI DEI CLIENTI IN WINDOWS AZURE................................................................................... 3
POSIZIONE DEI DATI DEI CLIENTI .......................................................................................................................................................... 4
ACCESSO AI DATI E UTILIZZO ............................................................................................................................................................... 5
IMPEGNI CONTRATTUALI ...................................................................................................................................................................... 5
Direttiva per la protezione dei dati dell'Unione Europea ............................................................................................ 5
Contratto di società in affari HIPAA ................................................................................................................................... 6
SUBAPPALTATORI .................................................................................................................................................................................. 6
RICHIESTE DA PARTE DELLE FORZE DELL'ORDINE ............................................................................................................................... 6
PROTEZIONE DEI DATI INCORPORATA ................................................................................................................................................. 7
Identità e accesso .................................................................................................................................................................................. 7
Crittografia e isolamento dei dati ................................................................................................................................................... 7
Sicurezza della rete ................................................................................................................................................................... 8
CONCLUSIONE E RISORSE AGGIUNTIVE ..................................................................................... 9
Risorse aggiuntive ..................................................................................................................................................................... 9
P A G I N A | 02Panoramica della privacy in Windows Azure
Introduzione
Microsoft è consapevole che i servizi cloud stanno sollevando sfide riguardanti la privacy uniche
per le organizzazioni. Per consentire alle organizzazioni di realizzare i vantaggi del cloud,
Microsoft implementa solide misure di protezione della privacy nei servizi Windows Azure ed
è impegnata a salvaguardare la privacy dei dati dei clienti. Inoltre, Microsoft compie ogni sforzo
ai fini della massima trasparenza, affinché i clienti abbiano la visibilità dalla posizione in cui
risiedono i loro dati e di chi può accedervi.
Nelle pagine seguenti verrà illustrato l'approccio di Microsoft alla privacy nel cloud,
oltre ai criteri specifici, alle procedure operative e alle tecnologie messi in atto per assicurare
la privacy dei dati dei clienti in Windows Azure.
Approccio di Microsoft alla privacy del cloud
Microsoft è da vent'anni all'avanguardia nella creazione di soluzioni online affidabili che
proteggono la privacy dei clienti. Oggi Microsoft gestisce oltre 200 servizi cloud e online
che servono centinaia di milioni di clienti in tutto il mondo. I servizi cloud aziendali Microsoft,
come Office 365 e Windows Azure, sono utilizzati da milioni di utenti finali di società che
affidano i propri dati cruciali a Microsoft.
L'esperienza maturata ha consentito lo sviluppo di procedure aziendali, criteri di privacy,
programmi per la conformità e misure di sicurezza leader nel settore che vengono applicati
all'intero ecosistema di elaborazione cloud. Basato sull'impegno di mettere le organizzazioni
in condizione di controllare la raccolta, l'utilizzo e la distribuzione dei propri dati, il collaudato
approccio alla privacy adottato da Microsoft offre una solida base per soddisfare i requisiti di
privacy dei clienti, contribuendo ad aumentare la fiducia nel cloud computing.
I dati dei clienti in Windows Azure
Con Windows Azure i dati rimangono di proprietà dei clienti. Secondo la definizione di
Microsoft, per dati dei clienti si intendono "tutti i dati, compresi tutto il testo, il software o
i file di immagine forniti da un cliente, o forniti per conto del cliente, a Microsoft attraverso
l'uso dei servizi". Sono inclusi ad esempio i dati caricati per l'archiviazione o l'elaborazione
e le applicazioni eseguite dal cliente in Windows Azure. Per informazioni dettagliate sulla
modalità di classificazione dei dati in Windows Azure, fare riferimento al Centro protezione
Windows Azure.
I clienti possono recuperare i propri dati in qualsiasi momento e per qualsiasi motivo, in genere
senza l'assistenza di Microsoft. Quando un cliente sceglie di eliminare i dati o di lasciare il
servizio, Microsoft rimuove i dati dei clienti da tutti i sistemi sotto il proprio controllo. In
coincidenza con la fine del ciclo di vita dei sistemi, il personale operativo di Microsoft segue
rigorose procedure di gestione dei dati e processi di smaltimento dell'hardware.
P A G I N A | 03Panoramica della privacy in Windows Azure
Posizione dei dati dei clienti
Per molti clienti, conoscere e controllare la posizione dei propri dati può essere un elemento
importante ai fini della conformità e della governance. Con Windows Azure, i clienti possono
specificare l'area o le aree geografiche, definite "aree geografiche" e "aree", dei datacenter
Microsoft nei quali saranno archiviati i dati dei clienti. Nella tabella seguente sono indicate le
aree geografiche e le aree disponibili.
Area geografica Area
Asia Pacifico Asia Pacifico orientale(Hong Kong)
Asia Pacifico sud-orientale (Singapore)
Europa Europa settentrionale (Irlanda)
Europe occidentale (Paesi Bassi)
Stati Uniti Stati Uniti centro-settentrionali (Illinois)
Stati Uniti centro-meridionali (Texas)
Stati Uniti orientali (Virginia)
Stati Uniti occidentali (California)
Giappone Giappone orientale (Prefettura di Saitama)
Giappone occidentale (Prefettura di Osaka)
Per un elenco aggiornato di aree geografiche e aree, visitare il Centro protezione
Windows Azure e la pagina relativa alle aree di Windows Azure per informazioni sulla
rete globale di datacenter.
Microsoft potrà trasferire i dati dei clienti in un'area geografica (ad esempio da Europa
settentrionale a Europa occidentale), per la ridondanza dei dati o per altri scopi. I dati BLOB
e delle tabelle di Windows Azure, ad esempio, vengono replicati tra due aree all'interno della
stessa area geografica per una durabilità migliorata dei dati in caso di un importante ripristino
di emergenza del datacenter.
Microsoft non trasferirà i dati dei clienti all'esterno delle aree geografiche specificate dal cliente
(ad esempio dall'Europa agli USA o dagli USA all'Asia) eccetto dove sia necessario fornire
supporto tecnico ai clienti, risolvere problemi relativi al servizio o rispettare i requisiti legali
oppure nei casi in cui il cliente configuri l'account per abilitare tale trasferimento dei dati dei
clienti attraverso l'utilizzo di funzionalità e servizi specifici come descritto nel Centro protezione
Windows Azure.
Microsoft non controlla né limita le aree geografiche dalle quali sia i clienti che i rispettivi utenti
finali possono accedere ai dati dei clienti.
P A G I N A | 04Panoramica della privacy in Windows Azure
Accesso ai dati e utilizzo
L'accesso ai dati da parte del personale Microsoft è limitato. L'accesso ai dati dei clienti avviene
solo se necessario per supportare l'utilizzo di Windows Azure, ad esempio per mettere in atto
misure per la risoluzione dei problemi riguardanti la prevenzione, il rilevamento o la correzione
di problemi di funzionamento di Windows Azure nonché per il miglioramento delle funzionalità
che prevedono il rilevamento e la protezione da minacce emergenti e in continua evoluzione
a danno dell'utente (ad esempio malware o posta indesiderata). Quando viene consentito,
l'accesso è attentamente
controllato e registrato. L'autenticazione avanzata, incluso l'utilizzo di Multi-Factor
Authentication, contribuisce a limitare l'accesso solo al personale autorizzato. L'accesso viene
revocato non appena non risulti più necessario.
Windows Azure non condivide i dati dei clienti con i servizi supportati da inserzionisti.
Microsoft non analizza inoltre i dati dei clienti a scopo pubblicitario.
I controlli e i processi operativi che regolano l'accesso e l'utilizzo dei dati dei clienti in Windows Azure
vengono gestiti rigorosamente e verificati a intervalli regolati da società di controllo accreditate.
Impegni contrattuali
Microsoft adotta solidi impegni contrattuali per salvaguardare i dati dei clienti e fornire misure
di protezione della privacy, incluse condizioni specifiche per i clienti in aree geografiche o settori
in cui vigono controlli aggiuntivi riguardanti i dati personali per i clienti.
Direttiva per la protezione dei dati dell'Unione Europea
La legge europea vieta alle aziende di trasferire dati personali dall'Unione Europea eccetto in
presenza di condizioni specifiche. Un modo per trasferire tali dati consiste nell'avvalersi di servizi
cloud di società che rispettano le convenzioni U.S.-EU Safe Harbor e Swiss-U.S. Safe Harbor.
Per soddisfare le richieste di privacy dei dati delle entità europee, Microsoft dispone della
certificazione Safe Harbor del Ministero del Commercio statunitense. La certificazione Safe
Harbor consente il trasferimento legale dei dati personali dell'Unione Europea al di fuori
dell'Unione Europea a Microsoft per l'elaborazione. In questo modo vengono risolti quei casi
limitati nei quali i dati vengono trasferiti al di fuori dell'area geografica specificata dal cliente.
Microsoft offre inoltre impegni contrattuali aggiuntivi ai propri clienti aziendali:
Contratto sull'elaborazione dei dati che illustra la conformità di Microsoft alla Direttiva
UE sulla protezione dei dati personali relativamente alle funzionalità di base di Windows
Azure nell'ambito di ISO/IEC 27001:2005
Clausole contrattuali modello UE che forniscono garanzie contrattuali aggiuntive
relativamente ai trasferimenti di dati personali per Windows Azure nell'ambito
di ISO/IEC 27001:2005
P A G I N A | 05Panoramica della privacy in Windows Azure
Contratto di società in affari HIPAA
Windows Azure è inoltre conforme all'Health Insurance Portability and Accountability Act
(HIPAA) e all'Health Information Technology for Economic and Clinical Health (HITECH) Act.
Si tratta di leggi degli Stati Uniti che si applicano agli istituti sanitari che accedono a
informazioni protette sulla salute dei pazienti. In molti casi, affinché un'azienda sanitaria
tutelata utilizzi un servizio cloud quale Windows Azure, il fornitore di tale servizio deve firmare
un contratto scritto che certifica la conformità a determinate clausole di sicurezza e riservatezza
previste dalle leggi HIPAA e HITECH Act. Per aiutare i clienti a rispettare le leggi HIPAA
e HITECH Act, Microsoft offre ai clienti aziendali un Contratto di società in affari come
addendum al contratto.
Prima di firmare il Contratto di società in affari, i clienti devono leggere la Guida
all'implementazione HIPAA per Windows Azure per comprendere le funzionalità di Windows Azure
interessate. Questo documento include le procedure ottimali per creare applicazioni conformi a
HIPAA e riporta le clausole di Windows Azure per la gestione delle violazioni della protezione.
Subappaltatori
Microsoft può assumere altre società affinché forniscano servizi limitati per suo conto, ad
esempio per fornire assistenza ai clienti. Microsoft divulgherà i dati dei clienti a subappaltatori
esclusivamente per consentire loro di fornire i servizi per i quali sono stati assunti. Ai
subappaltatori è proibito l'utilizzo dei dati dei clienti per alcun altro scopo ed è richiesto
di mantenere la riservatezza delle informazioni dei clienti.
Richiediamo ai subappaltatori di partecipare al Microsoft's Supplier Security & Privacy Assurance
Program per soddisfare i requisiti contrattuali di privacy e sostenere corsi periodici di
formazione sulla privacy. Vincoliamo contrattualmente i subappaltatori a lavorare in strutture
o su apparecchiature controllate da Microsoft per soddisfare i nostri standard di privacy.
Tutti gli altri subappaltatori sono vincolati contrattualmente ad attenersi a standard di privacy
equivalenti ai nostri. Per verificare quali società sono autorizzate a elaborare i dati dei clienti
in Windows Azure, scarica l'elenco dei subappaltatori.
Richieste da parte delle forze dell'ordine
Microsoft ritiene che i clienti debbano controllare i propri dati archiviati presso le loro sedi
o in un servizio cloud. Di conseguenza, non divulghiamo dati dei clienti a terze parti (incluse
forze dell'ordine, altri enti pubblici o parti di procedimenti civili) ad eccezione dei casi in cui
richiesto dai clienti o dalla legge. In caso una terza parte ci contatti per richiederci dati dei
clienti, tenteremo di reindirizzare la terza parte affinché richieda tali dati direttamente ai nostri
clienti. A tale fine, potremmo fornire alla terza parte informazioni di contatto di base dei clienti.
Richiediamo un decreto ingiuntivo o un mandato prima di decidere di divulgare contenuto alle
P A G I N A | 06Panoramica della privacy in Windows Azure
forze dell'ordine. Se siamo obbligati a divulgare dati su un cliente a terze parti, lo notifichiamo
prontamente al cliente e gli forniamo una copia della richiesta, a meno che ciò non sia
legalmente proibito.
Microsoft pubblica inoltre un report sulle richieste delle forze dell'ordine denominato Law
Enforcement Requests Report in cui vengono fornite informazioni sull'ambito e sul numero
di richieste. Per ulteriori informazioni sul modo in cui Microsoft risponde alle richieste relative
ai dati dei clienti, leggere il post del blog Responding to government legal demands for
Customer Data del General Counsel Microsoft.
Protezione dei dati incorporata
Microsoft ha progettato e implementato la piattaforma Windows Azure per consentire ai clienti
di proteggere i dati e la privacy. Windows Azure rende disponibile l'infrastruttura che consente
ai clienti di effettuare le operazioni seguenti:
Controllare l'accesso alle applicazioni e ai dati
Proteggere i dati in transito e archiviati
Connettersi in modo sicuro a Windows Azure
Identità e accesso
Microsoft offre ai clienti soluzioni complete di gestione di accesso e identità da utilizzare in
Windows Azure e altri servizi cloud Microsoft. In particolare, in Windows Azure sono disponibili
le seguenti funzionalità che consentono ai clienti di controllare l'accesso a propri dati e alle
proprie applicazioni:
Directory cloud aziendale. Le organizzazioni possono sincronizzare le identità locali con
Windows Azure Active Directory e abilitare il Single Sign-On per semplificare l'accesso
degli utenti alle applicazioni cloud.
Monitoraggio dell'accesso. I report sulla sicurezza consentono di monitorare i criteri di
accesso incoerenti e di attenuare potenziali minacce.
Autenticazione avanzata. Windows Azure Multi-Factor Authentication aiuta a impedire
condizioni di accesso non autorizzato fornendo un meccanismo di autenticazione oltre
a una password.
Controllo di accesso basato su ruoli. I clienti possono implementare schemi di
autorizzazione per il controllo dell'accesso degli utenti alle risorse in base alla relativa
assegnazione di ruolo, all'autorizzazione associata al ruolo e alla propria autorizzazione.
Crittografia e isolamento dei dati
In Windows Azure vengono utilizzati tre metodi specifici per proteggere i dati dei clienti:
crittografia, separazione ed eliminazione permanente.
P A G I N A | 07Panoramica della privacy in Windows Azure
Dati in transito. Per i dati in transito, in Windows Azure vengono utilizzati i protocolli
di trasporto standard di settore, quali SSL e TLS, tra i dispositivi dell'utente e i datacenter
Microsoft e tra i datacenter stessi. È inoltre possibile utilizzare IPsec per creare una
connessione VPN con una Rete virtuale di Windows Azure (VNET). I clienti possono
abilitare la crittografia per il traffico che si verifica tra le macchine virtuali e gli utenti finali.
Dati archiviati. I clienti hanno la responsabilità di garantire che i dati archiviati in
Windows Azure vengano crittografati in base ai propri standard. Windows offre una
vasta gamma di funzionalità di crittografia, garantendo ai clienti la flessibilità di scegliere
la soluzione più adatta alle proprie esigenze. Le opzioni disponibili includono servizi di
crittografia .NET, componenti infrastruttura a chiave pubblica di Windows Server,
archiviazione cloud Microsoft StorSimple, Active Directory Rights Management Services
(AD RMS) e BitLocker per scenari di importazione/esportazione dei dati.
Isolamento dei dati. Windows Azure è un servizio multi-tenant, pertanto le distribuzioni e
le macchine virtuali di più clienti sono archiviate nello stesso hardware fisico. Archiviazione
di Windows Azure utilizza l'isolamento logico per separare i dati di ciascun cliente da quelli
di altri clienti. In questo modo i vantaggi economici e di scalabilità dei servizi multi-tenant
vengono garantiti, impedendo rigorosamente ai clienti di accedere ai dati di altri.
Eliminazione permanente dei dati. Quando i clienti eliminano i dati o escono da Windows
Azure, Microsoft si attiene a severi standard che prevedono la sovrascrittura delle risorse di
archiviazione prima del riutilizzo e l'eliminazione fisica dell'hardware rimosso.
Sicurezza della rete
La rete di Windows Azure offre l'infrastruttura necessaria per garantire una connessione sicura
tra le macchine virtuali, oltre che tra i datacenter locali e le macchine virtuali di Windows Azure.
Windows Azure consente di bloccare il traffico non autorizzato verso e tra i datacenter Microsoft
sfruttando più tecnologie, tra cui firewall, NAT, reti LAN partizionate e separazione fisica dei
server di back-end dall'interfaccia per il pubblico.
Isolamento dei dati dei clienti e delle reti. L'isolamento garantito per i dati di ogni
cliente è di fondamentale importanza in qualsiasi architettura cloud condivisa. In Windows
Azure l'abbonamento di un cliente può includere più distribuzioni e ogni distribuzione può
contenere più macchine virtuali. Windows Azure consente di isolare le distribuzioni e le reti
virtuali tra loro. Le singole macchine virtuali non ricevono traffico Internet in entrata, ad
eccezione del traffico trasmesso tramite endpoint definiti dal cliente.
Crittografia delle comunicazioni. La tecnologia di crittografia integrata consente ai
clienti di crittografare le comunicazioni interne alle distribuzioni, tra le distribuzioni, tra
aree di Windows Azure e tra Windows Azure e i datacenter locali. Tutti questi protocolli
sono progettati per garantire un livello elevato di sicurezza della rete, offrendo al tempo
stesso ai clienti la flessibilità e la possibilità di scelta necessarie per configurare Windows
Azure in base alle esigenze aziendali. L'amministratore accede alle macchine virtuali
tramite sessioni Desktop remoto e Windows PowerShell remoto, inoltre il portale di
P A G I N A | 08Panoramica della privacy in Windows Azure
gestione di Windows Azure è sempre crittografato.
Utilizzo di Express Route. Per escludere il traffico da Internet, i clienti che lo desiderano
possono utilizzare un collegamento facoltativo alla rete privata di Express Route nei
datacenter di Windows Azure.
Conclusione e risorse aggiuntive
L'impegno di Microsoft per garantire la privacy è di lunga data ed è parte integrante delle
procedure di sviluppo, distribuzione e gestione di Windows Azure. Microsoft sceglie la
trasparenza nelle procedure di privacy per offrire ai clienti possibilità di scelta appropriate
rispetto alla privacy e per la gestione responsabile dell'archiviazione dei dati.
Nel Centro protezione Windows Azure Microsoft ha pubblicato informazioni dettagliate su
privacy, sicurezza e conformità di Windows Azure con accesso a report di controllo e pacchetti
di conformità per consentire ai clienti di comprendere in modo completo criteri, processi
operativi e tecnologie disponibili per la salvaguardia della privacy dei dati.
I clienti possono anche consultare informazioni più generali sull'impegno di Microsoft per la
sicurezza dei dati dei clienti rispetto a tutti i servizi cloud visitando il sito Web Microsoft Cloud
Privacy e leggendo il white paper Privacy in the Cloud.
Risorse aggiuntive
Informativa sulla privacy di Windows Azure
Sito Web Microsoft Trustworthy Computing Privacy
Law Enforcement Request Report
Data Classification for Cloud Readiness
CISO Perspectives on Data Classification
P A G I N A | 09Puoi anche leggere
