Accedi ai tuoi dati alle tue condizioni

Le procedure operative che disciplinano l'accesso ai dati dei clienti nei servizi aziendali Microsoft sono protette da controlli e autenticazione avanzati che ricadono in due categorie: fisici e logici.

L'accesso a centri dati fisici è protetto da perimetri esterni e interni che aumentano la sicurezza a ogni livello, tra cui la limitazione dei perimetri, i funzionari di sicurezza, rack di server bloccati, controllo dell'accesso a più fattori, sistemi di allarme integrati e sorveglianza continua da parte del centro operativo.

L'accesso virtuale ai dati dei clienti è limitato in base alle esigenze aziendali tramite il controllo degli accessi in base al ruolo, l'autenticazione a più fattori, la riduzione dell'accesso esistente ai dati di produzione e altri controlli. L'accesso ai dati dei clienti è inoltre costantemente monitorato e sia Microsoft sia terze parti eseguono controlli regolari, insieme a controlli a campione, per valutare che gli accessi siano appropriati.

I prodotti e i servizi Microsoft usano protocolli di trasporto sicuri standard di settore quando i dati vengono spostati tramite una rete, tra dispositivi utente e data center Microsoft o all'interno dei data center stessi. Per proteggere i dati inattivi, Microsoft offre un'ampia gamma di funzionalità di crittografia integrate.

La maggior parte dei servizi cloud aziendali Microsoft è composta da servizi multi-tenant, il che significa che i tuoi dati, le tue distribuzioni e le tue macchine virtuali potrebbero essere archiviate sullo stesso hardware fisico degli altri clienti. Microsoft usa l'isolamento logico per separare l'archiviazione e l'elaborazione per diversi clienti tramite tecnologie specializzate progettate per garantire che i tuoi dati non vengano combinati con quelli di altri clienti.

I servizi cloud aziendali con certificazioni verificate, come la ISO 27001, vengono regolarmente verificati da Microsoft e aziende di controllo accreditate, che eseguono controlli a campione per attestare che l'accesso avviene esclusivamente per scopi aziendali legittimi.

Il personale operativo e di supporto Microsoft è disponibile 24 ore al giorno, 365 giorni all'anno in tutto il mondo. La maggior parte delle operazioni del servizio è automatizzata in modo che solo un piccolo insieme richieda l'interazione umana.

I tecnici Microsoft non hanno accesso predefinito ai dati dei clienti nel cloud. Questo accesso gli viene concesso esclusivamente sotto la supervisione del team di gestione e solo quando necessario.

Il personale Microsoft userà i dati dei clienti solo per scopi compatibili con la fornitura dei servizi contrattati, ad esempio la risoluzione dei problemi e il miglioramento delle funzionalità come la  protezione da malware.

• Alimentare tecnologie cloud integrate con Microsoft Online Services e funzioni di Microsoft Cloud: I sottoresponsabili possono elaborare, archiviare o accedere in altro modo ai dati personali e dei clienti, costituiti da identificatori personali con pseudonimo, e fornire questo servizio.
  
• Fornitura di servizi ausiliari: I sottoresponsabili supportano, gestiscono e mantengono Microsoft Online Services. In questi casi, i sottoresponsabili possono elaborare, archiviare o accedere ai dati personali e dei clienti, costituiti da identificatori personali con pseudonimo, fornendo al tempo stesso servizi ausiliari.
• Fornire personale a contratto: Il personale a contratto lavora in stretta collaborazione con i dipendenti Microsoft per gestire, distribuire e mantenere Microsoft Online Services. Durante queste operazioni, il personale del contratto può elaborare i dati personali o dei clienti, costituiti da identificatori personali con pseudonimo, per conto di Microsoft. In tutti questi casi, i dati si trovano solo nei sistemi Microsoft e sono soggetti a criteri e supervisione Microsoft. Le attività di trattamento di questi membri del personale a contratto all'interno di Microsoft Online Services sono soggette a controlli indipendenti eseguiti annualmente da Microsoft.

Microsoft definisce i dati dei clienti come tutti i dati forniti dal cliente a Microsoft tramite l'uso dei servizi cloud aziendali, vedi In che modo Microsoft classifica i dati). Alcuni dati dei clienti sono dati personali secondo la definizione presente nel GDPR. Microsoft elabora anche alcuni dati personali generati o raccolti tramite il funzionamento di Servizi online non contenuti nei dati dei clienti.

L’elenco dei sottoresponsabili di Microsoft Online Services identifica i sottoresponsabili autorizzati ad elaborare i dati personali o dei clienti in Microsoft Online Services. Questo elenco è applicabile a tutti i Microsoft Online Services disciplinati dal DPA Microsoft.

Microsoft pubblica i nomi dei nuovi sottoresponsabili per i suoi servizi online almeno sei mesi prima dell'autorizzazione dei sottoresponsabili per l'esecuzione di servizi che potrebbero comportare l'accesso ai dati dei clienti o ai dati personali.¹

Per ricevere notifiche degli aggiornamenti a questo elenco di sottoresponsabili, segui le istruzioni che descrivono la funzionalità La mia raccolta.