Condividi tramite

Guida per l'utente di valutazione: Microsoft Priva

  • Articolo

Benvenuto nel manuale dell'utente di valutazione di Microsoft Priva.

Con il panorama della privacy e delle normative in continua evoluzione, tenere in primo piano la privacy e la protezione dei dati è diventato fondamentale per le organizzazioni. Questa guida ti aiuta a sfruttare al meglio la tua versione di valutazione gratuita aiutandoti a proteggere i tuoi dati personali e a creare un luogo di lavoro resiliente alla privacy.

Usando i suggerimenti di Microsoft, imparerai come Microsoft Priva possono aiutarti:

  • Identificare e proteggere in modo proattivo dai rischi per la privacy, ad esempio l'accaccatura dei dati, i trasferimenti dei dati e la condivisione eccessiva dei dati.Proactively identify and protect against privacy risks such as data hoarding, data transfers, and data oversharing.
  • Automatizzare e gestire le richieste oggetto su vasta scala.
  • Consentire ai dipendenti di prendere decisioni intelligenti per la gestione dei dati.

Iniziamo

Microsoft Priva ha due soluzioni a disponibilità generale, la gestione dei rischi per la privacy e le richieste di diritti degli interessati per i dati all'interno di Microsoft 365, entrambe che possono essere modificate e acquistate separatamente. I dettagli relativi alle licenze e agli acquisti sono disponibili su Microsoft.com.

Gestione dei rischi per la privacy

Gestione dei rischi per la privacy Priva offre la possibilità di configurare criteri che identificano i rischi per la privacy nell'ambiente Microsoft 365 e consentono di correggerlo facilmente. I criteri di gestione dei rischi per la privacy sono pensati per essere guide interne e possono aiutarti a:

  • Rilevare i dati personali sovraesposti in modo che gli utenti possano proteggerli.
  • Individuare e limitare i trasferimenti di dati personali tra reparti o confini regionali.
  • Aiutare gli utenti a identificare e ridurre la quantità di dati personali inutilizzati archiviati.

Gestione dei rischi per la privacy offre modelli predefiniti per questi scenari che consentono di creare facilmente criteri. È anche possibile ottimizzare l'approccio creando criteri personalizzati, usando uno di questi modelli come punto di partenza. Quando vengono trovate corrispondenze ai criteri, gli amministratori possono esaminare gli avvisi sui risultati e prendere decisioni su come gestire i dati creando problemi per un'ulteriore azione da parte degli utenti. È anche possibile configurare le notifiche tramite posta elettronica e, per i tipi di criteri supportati, le notifiche di Teams per informare i proprietari dei contenuti direttamente sulle corrispondenze ai criteri. Possono intraprendere azioni correttive da queste notifiche e ottenere altre informazioni sulle procedure consigliate per la gestione dei dati con i collegamenti forniti al materiale di formazione.

Richieste di diritti degli interessati per i dati all'interno di Microsoft 365

Diverse normative sulla privacy in tutto il mondo concedono ai singoli o agli interessati il diritto di presentare richieste di revisione o gestione dei dati personali raccolti dalle aziende su di essi. Queste richieste di diritti dell'interessato sono anche denominate richieste dell'interessato (DSR), richieste di accesso dell'interessato (DSAR) o richieste di diritti dei consumatori. Per le aziende che memorizzano grandi quantità di informazioni, trovare i dati pertinenti può essere un compito formidabile. Per la maggior parte delle organizzazioni, l'assolvimento delle richieste è un processo molto manuale e dispendioso in termini di tempo.

Le richieste di diritti degli interessati per i dati all'interno di Microsoft 365 sono progettate per ridurre la complessità e la durata del tempo necessario per rispondere alle richieste degli interessati. Forniamo automazione, approfondimenti e flussi di lavoro per aiutare le organizzazioni a soddisfare le richieste in modo più sicuro ed efficiente.

Avviare la versione di valutazione di Microsoft Priva

Se si è pronti per iniziare a usare Microsoft Priva, seguire questa procedura per configurare i prerequisiti e iniziare a esplorare i dati analitici sulla privacy.

  1. Conferma abbonamenti e licenze
  2. Impostare le autorizzazioni utente e assegnare ruoli
  3. Seleziona Avvia versione di valutazioneper completare le operazioni seguenti:
    • Le licenze di prova Priva sono abilitate (ciò avviene in tempo reale)
    • Vengono generati dati analitici sulla privacy (questa operazione richiede 24 ore)

Iniziare a individuare e visualizzare i rischi per la privacy

Priva consente di comprendere i dati archiviati dall'organizzazione automatizzando l'individuazione delle risorse dei dati personali e fornendo visualizzazioni di informazioni essenziali. Queste visualizzazioni sono disponibili nelle pagine di panoramica e del profilo dati.

Per iniziare, vai al portale di Microsoft Priva e apri Gestione dei rischi per la privacy.

La pagina Panoramica offre una visualizzazione generale dei dati dell'organizzazione in Microsoft 365. Gli amministratori della privacy possono monitorare le tendenze e le attività, identificare ed esaminare i potenziali rischi che coinvolgono i dati personali e il springboard in attività chiave come la gestione dei criteri o le azioni di richiesta dei diritti degli interessati.

È possibile visualizzare dati analitici sui dati personali archiviati dall'organizzazione in Microsoft 365 per vedere dove si trovano i dati personali, quali sono i tipi più diffusi nell'organizzazione e quanti tipi diversi esistono in diverse posizioni nell'ambiente Microsoft 365.

Per altre informazioni, vedere Trovare e visualizzare i dati personali.

Criteri di gestione dei rischi per la privacy

Gestione dei rischi per la privacy Priva criteri consentono di risolvere scenari di rischio importanti per l'organizzazione. I nostri modelli di criteri sono incentrati sulla promozione di pratiche di gestione dei dati solide. Gli avvisi informano gli amministratori quando vengono rilevate corrispondenze ai criteri e potrebbero richiedere ulteriori indagini. Email notifiche e suggerimenti in Microsoft Teams aiutano gli utenti a comprendere quali attività comportano rischi per la privacy, consente agli utenti di risolvere immediatamente i problemi e li indirizza alla formazione sulla privacy.

Per iniziare rapidamente, usare un modello con impostazioni predefinite per creare nuovi criteri per sovraesposizione dei dati, trasferimenti di dati e riduzione dei dati e scenari. È anche possibile personalizzare le impostazioni dei modelli per creare criteri in base alle esigenze dell'organizzazione.

Informazioni su come eseguire qualsiasi operazione, dalla configurazione rapida dei criteri alla modifica e all'eliminazione dei criteri nella pagina Crea e gestisci criteri :

  1. Configurazione rapida dei criteri con i modelli: la maggior parte delle impostazioni viene scelta automaticamente per essere subito operativo.
  2. Configurazione dei criteri personalizzati: scegliere un modello e quindi esaminare le singole impostazioni per personalizzare i criteri.
  3. Impostazione di avvisi: consente agli amministratori di sapere quando un evento utente soddisfa le condizioni di un criterio. Si tratta di elementi facoltativi che consentono di controllare la frequenza con cui vengono generati gli avvisi, la soglia per generarli e la gravità.
  4. Test di un criterio: consente di visualizzare informazioni approfondite prima che un criterio sia attivato, in modo da poter valutare il comportamento di un criterio e il tipo di avvisi che potrebbe essere visualizzato.
  5. Attivazione o disattivazione dei criteri Dopo il monitoraggio in modalità di test, è possibile attivare o disattivare un criterio in qualsiasi momento.
  6. Criteri di modifica: modificare le impostazioni di un criterio in qualsiasi momento, indipendentemente dal fatto che sia attivata o in modalità di test.
  7. Eliminazione dei criteri: se è necessario rimuovere un criterio di gestione dei rischi per la privacy esistente.

Analizzare e correggere gli avvisi nella gestione dei rischi per la privacy

La gestione dei rischi per la privacy può contribuire a fornire visibilità sulle scoperte importanti relative alla sovraesposizione dei dati, alla minimizzazione dei dati o ai criteri di trasferimento dei dati . All'interno della soluzione Gestione dei rischi per la privacy, gli amministratori possono esaminare gli avvisi relativi al contenuto che soddisfa le condizioni dei criteri. La revisione degli avvisi consente di identificare i casi che è necessario completare. È possibile farlo creando problemi. I problemi offrono agli utenti un modo strutturato per esaminare il contenuto, assegnare la gravità del problema e collaborare alla risoluzione dei problemi.

La pagina Analizzare e correggere gli avvisi fornirà informazioni per le azioni seguenti:

  1. Visualizza gli avvisi e i problemi correnti: la pagina Panoramica di Priva fornisce una panoramica dei recenti risultati con aggiornamenti sulle aree di preoccupazione principali.
  2. Gestire gli avvisi: accedere alla pagina Avvisi per valutare gli avvisi attivi e specificare quelli da completare.
  3. Gestire i problemi: i problemi vengono creati dagli amministratori durante la valutazione di avvisi sulle corrispondenze ai criteri e possono essere risolti dalla pagina Problemi.
  4. Rivedere il contenuto e correggere i problemi: esaminare il contenuto associato a un problema, è possibile aprire la scheda Contenuto e visualizzare i dettagli sul file, le eventuali attività registrate e la cronologia di correzione, selezionare Correzione per eseguire una o più azioni.

Notifiche degli utenti nella gestione dei rischi per la privacy

Quando si configurano criteri, è possibile scegliere di inviare una notifica agli utenti quando le loro azioni soddisfano le condizioni impostate nel criterio. Esistono due tipi di notifiche: i messaggi di posta elettronica, disponibili per tutti e tre i tipi di criteri, e i suggerimenti visualizzati in Teams, disponibili solo per il tipo di criterio di trasferimento dati. Quando si crea o si modifica un criterio, è possibile decidere se attivare queste notifiche, con quale frequenza inviarle e personalizzare il contenuto.

L'invio di notifiche agli utenti può essere un componente importante per aiutare l'organizzazione a raggiungere i propri obiettivi in materia di privacy. Le notifiche sono progettate per:

  • Comunicare immediatamente agli utenti quando le loro azioni potrebbero esporre i dati personali a rischi per la privacy.
  • Fornire metodi di correzione direttamente all'interno dei messaggi di posta elettronica, in modo che gli utenti possano intervenire rapidamente per proteggere i dati a rischio.
  • Indirizzare gli utenti alle linee guida e alle procedure consigliate per la privacy dell'organizzazione.

Esplorare le notifiche degli utenti per scoprire cosa è possibile configurare nell'organizzazione:

  1. Preparare il contenuto della formazione per le notifiche: è necessario includere un collegamento alla formazione sulla privacy se si sceglie di inviare notifiche agli utenti quando vengono rilevate corrispondenze ai criteri.
  2. Impostare le notifiche di posta elettronica degli utenti: configurare le notifiche tramite posta elettronica per tutti i tipi di criteri quando si crea un nuovo criterio o si modifica un criterio esistente.
  3. Inviare notifiche in Teams: per i criteri di trasferimento dei dati, è possibile scegliere di ricevere suggerimenti e suggerimenti per i criteri nei canali di Teams sicuri quando viene rilevata una corrispondenza dei criteri.
  4. Visualizzare in anteprima e personalizzare il contenuto della posta elettronica: quando gli utenti ricevono notifiche di posta elettronica sulle corrispondenze ai criteri, possono seguire le istruzioni nei messaggi di posta elettronica per intraprendere immediatamente azioni correttive. È possibile visualizzare in anteprima il contenuto del messaggio di posta elettronica e apportare modifiche personalizzate durante la modifica di questa impostazione nel processo di creazione o modifica dei criteri.

Informazioni sulle richieste di diritti dell'oggetto per i dati nel flusso di lavoro di Microsoft 365

Quando si crea una richiesta, le informazioni fornite vengono usate per cercare corrispondenze con l'interessato nell'ambiente Microsoft 365 dell'organizzazione. Gli elementi corrispondenti vengono compilati per la revisione, per scegliere gli elementi da includere e per redigere le informazioni necessarie. Più utenti possono collaborare a questi passaggi nell'interfaccia Subject Rights Requests. La pagina Panoramica della richiesta fornisce lo stato delle fasi di avanzamento e indicazioni sui passaggi successivi da eseguire.

Informazioni sui passaggi di avanzamento per le richieste e la pagina dei dettagli delle richieste

Quando si passa alle richieste di diritti dell'oggetto per i dati all'interno di Microsoft 365, vengono visualizzate le richieste create dall'organizzazione e visualizzarne lo stato.

Qui è possibile ottenere uno snapshot dell'attività della richiesta e delle richieste che richiedono attenzione urgente in base alla scadenza impostata per la richiesta. Puoi vedere quali richieste sono state create in questo portale (origine: Microsoft 365) rispetto a quelle create tramite l'API (origine: esterna). È anche possibile ordinare l'elenco o le richieste di gruppo visualizzate in base alla residenza dell'interessato, alla normativa, alla relazione dell'interessato con l'organizzazione e altro ancora.

La colonna "Stage" mostra il passaggio in cui si trova la richiesta corrispondente. Se si seleziona una richiesta, viene visualizzata una pagina di panoramica personalizzata che consente di visualizzare i dettagli sulla fase della richiesta per fornire indicazioni sulle operazioni da eseguire successivamente.

Creare una richiesta e definire le impostazioni di ricerca

Per creare una richiesta, gli utenti devono avere i ruoli all'interno del gruppo di ruoli Subject Rights Request Administrators. È possibile creare una richiesta in due modi principali:

  • Da un modello, una rapida opzione predefinita che usa impostazioni predefinite personalizzate; o
  • L'opzione personalizzata, che è un processo guidato per esaminare tutte le impostazioni.

Informazioni per creare una richiesta e definire le impostazioni di ricerca:

  1. Informazioni sui tipi di richiesta: Richieste di diritti degli interessati Priva supporta tre diversi tipi di richieste: accesso, esportazione, elenco contrassegnato per il completamento.
  2. Introduzione alla prima richiesta: configurazione predefinita semplice per la prima richiesta che usa le impostazioni predefinite. Questa prima esperienza consente di esplorare il flusso di lavoro con richiesta di diritti dell'oggetto e di conoscerne le funzionalità.
  3. Modelli di richiesta di dati: con pochi dettagli, è possibile creare una richiesta usando le impostazioni predefinite e diventare rapidamente operativo. Se si vuole, è possibile modificare queste impostazioni per una maggiore flessibilità.
  4. Richiesta personalizzata: processo guidato per la creazione di un criterio. Dopo aver scelto l'opzione del modello personalizzato, è possibile esaminare le singole impostazioni per personalizzare la ricerca.
  5. Definire le impostazioni di ricerca: è possibile migliorare gli identificatori da usare per trovare l'interessato e per effettuare una ricerca più mirata usando le impostazioni di ricerca. È possibile scegliere di ottenere una stima dei dati prima del recupero degli elementi di contenuto, in modo da visualizzare in anteprima i risultati e modificare la query di ricerca in base a quanto trovato. È possibile effettuare queste selezioni nella pagina Impostazioni di ricerca della creazione guidata richiesta.
  6. Affinamento della ricerca: scegliere "Perfeziona la ricerca" nella pagina Impostazioni di ricerca o modificare la query di ricerca nella fase di stima dei dati e viene chiesto di fornire dettagli per gli attributi personali e di impostare le condizioni per assegnare ulteriormente i risultati della ricerca.

Stima e recupero dei dati

Dopo aver creato una richiesta, Priva inizia immediatamente a cercare corrispondenze all'interessato nel contenuto all'interno dell'ambiente Microsoft 365. Dopo aver identificato gli elementi che soddisfano i criteri, la stima viene visualizzata nella scheda di riepilogo Stima dati nella pagina Panoramica della richiesta e la fase di stima dei dati nel riquadro dello stato di avanzamento passerà a un segno di spunta. La quantità di dati all'interno dell'ambito della ricerca influisce sul tempo necessario per completare la stima.

La richiesta passerà automaticamente alla fase successiva di Recupero dati, in cui tutti gli elementi di contenuto vengono raccolti insieme agli stakeholder per collaborare alla revisione dei dati. In alcuni casi, la stima dei dati verrà sospesa prima di passare al recupero e si riceverà una notifica dei passaggi successivi da eseguire prima di continuare.

Informazioni su ciò che accade durante la stima e il recupero dei dati:

  1. Sospendere la stima dei dati: ci sono due motivi per cui una richiesta viene sospesa nella fase di stima dei dati: se è stato selezionato "ottieni prima una stima" o se si prevede che la stima restituisca un numero elevato di elementi da rivedere (oltre 10.000 elementi).
  2. Visualizzare e modificare le query di ricerca: per visualizzare informazioni dettagliate sulla ricerca della richiesta, selezionare Visualizza dettagli query di ricerca nella scheda riepilogo Stima dati. Si apre un riquadro a comparsa che riepiloga la query e mostra altri dettagli su ciò che è stato trovato.
  3. Recuperare i dati: vengono recuperati file, messaggi di posta elettronica, chat, immagini e altri elementi di contenuto contenenti i dati personali dell'interessato. Una volta completata questa fase, il riquadro di stato nella pagina di panoramica della richiesta spunta automaticamente il passaggio Recupera dati. I dati recuperati sono pronti per la revisione nella scheda "dati raccolti" per la richiesta.

Esaminare i dati e collaborare a una richiesta di diritti in base all'argomento

Dopo aver raccolto i dati per una richiesta di diritti dell'oggetto, la fase successiva consiste nel esaminare gli elementi, decidere quali elementi includere nella richiesta e, se necessario, redigere le informazioni. Per impostazione predefinita, solo gli elementi inclusi fanno parte dei report dell'interessato per una richiesta di accesso o esportazione. Facoltativamente, è possibile escludere elementi o contrassegnarli come non corrispondenti, mostrando di aver esaminato l'elemento e determinato che non era applicabile alla richiesta o che si tratta di una corrispondenza falsa positiva.

Visita la pagina di revisione e collaborazione per altre informazioni sui punti seguenti:

  1. Informazioni sulle attività per il completamento della revisione dei dati: la fase Di revisione dei dati è quando i collaboratori esaminano gli elementi di contenuto nella scheda Dati raccolti. Verrà automaticamente configurato un canale teams per facilitare la revisione del contenuto da parte di tutti gli stakeholder. È possibile disabilitare la creazione dei canali di Teams per le nuove richieste all'interno delle impostazioni qui.
  2. Collaborare alla revisione dei dati: gli amministratori di Subject Rights Request possono visualizzare tutte le richieste. È possibile aggiungere altri utenti per collaborare a una richiesta, per consentire loro l'accesso per visualizzare la richiesta e usare i dati raccolti al suo interno per spostare la richiesta al completamento.
  3. Completa la revisione" Quando tutti gli elementi sono stati rivisti e hai incluso il contenuto richiesto, è il momento di chiudere il passaggio della revisione. Qualsiasi collaboratore in una richiesta può completare la revisione.

Generare report e chiudere una richiesta

Dopo aver completato la revisione dei dati per una richiesta di diritti dell'argomento, la fase successiva consiste nel generare i report necessari per soddisfare la richiesta. Priva creerà report e raccoglierà i file contrassegnati come Includi durante il processo di revisione dei dati. I file selezionati da questi pacchetti di dati possono essere inviati all'interessato per completare la richiesta.

Per informazioni su come ottenere report e chiudere le richieste:

  1. Informazioni sui report: dopo aver selezionato Completa revisione nella fase di revisione dei dati della richiesta di diritti dell'oggetto, i report finali per la richiesta inizieranno a essere generati automaticamente.
  2. Informazioni sui pacchetti di dati: il pacchetto di dati con richiesta di diritti dell'oggetto contiene gli elementi contrassegnati come "Includi" durante la fase di revisione dei dati del processo.
  3. Selezionare i periodi di conservazione dei dati per report e dati: il periodo di conservazione predefinito è 30 giorni dalla data in cui viene chiusa una richiesta di diritti dell'oggetto. Il periodo di conservazione dei dati è definito in Priva "Impostazioni" e si applica a tutte le richieste di diritti degli interessati. Qui è possibile visualizzare o modificare il periodo di conservazione dei dati.
  4. Chiudi richiesta: dopo aver eseguito tutte le azioni necessarie relative alla richiesta di diritti dell'oggetto, contrassegnare la richiesta come chiusa selezionando Chiudi la richiesta nell'angolo in alto a destra della pagina dei dettagli della richiesta.

Integrare ed estendere tramite Microsoft API Graph e Power Automate

È possibile integrare Richieste di diritti degli interessati Priva con i processi e gli strumenti aziendali esistenti usando l'API Subject Rights Request di Microsoft Graph. È anche possibile estendere le funzionalità di automazione delle richieste di diritti degli interessati usando i flussi predefiniti di Power Automate per attività come l'impostazione di promemoria del calendario e la creazione di casi in ServiceNow.

Integrazione con Microsoft API Graph

L'API Subject Rights Request di Microsoft 365 offre un modo semplice ma efficace per introdurre l'automazione nella strategia esistente per i diritti in materia. Quando una persona richiede informazioni dall'organizzazione, le nostre API consentono di creare tali richieste all'interno di Microsoft 365 in base ai criteri per tale richiesta. È possibile creare la richiesta di diritti dell'oggetto in Microsoft 365, tenere traccia dello stato di avanzamento e recuperare il contenuto quando la richiesta ha completato la generazione di report.

Le nostre API sono disponibili per chiunque per rendere le proprie soluzioni più estensibili, ad esempio isv, partner che vogliono includere Microsoft 365 nelle loro soluzioni e organizzazioni che cercano di usare le API con le applicazioni line-of-business. Visualizza la documentazione completa in Usare l'API per la richiesta dei diritti degli oggetti di Microsoft Graph.

Usare i modelli di Power Automate

Microsoft Power Automate è un servizio per flussi di lavoro che automatizza le azioni tra applicazioni e servizi. Subject Rights Requests include modelli predefiniti di Power Automate che consentono agli utenti di gestire le richieste di diritti degli interessati. Gli utenti possono configurare flussi di automazione per processi come la creazione di ticket in ServiceNow e l'aggiunta di promemoria del calendario sulle date di scadenza. Altre informazioni sui modelli di Power Automate per le richieste di diritti degli interessati.

Risorse

Microsoft Learn: ottenere informazioni dettagliate su Microsoft Priva e su come implementarlo per l'organizzazione.

Versione di valutazione di Microsoft Priva: per provare gratuitamente Microsoft Priva, visitare https://aka.ms/trypriva.

Perché Microsoft Priva: scopri di più sulle funzionalità Priva in questo video.

Scopri di più o acquista Microsoft Priva: La gestione dei rischi per la privacy e le richieste di diritti dell'soggetto per i dati all'interno di Microsoft 365 vengono vendute separatamente. Blog, dettagli sulle licenze e sugli acquisti sono disponibili su Microsoft.com.