Misure di sicurezza di alto livello dell'Esquema Nacional de Seguridad (ENS) spagnolo
Informazioni generali sull'ENS spagnolo
Nel 2007 il governo spagnolo ha promulgato la Legge 11/2007, un quadro normativo per concedere ai cittadini l'accesso elettronico ai servizi governativi e pubblici. Questa legge è la base per Esquema Nacional de Seguridad (National Security Framework), che è governato dal decreto reale aggiornato (RD) 311/2022. L'obiettivo del quadro normativo consiste nel consolidare la fiducia nella fornitura di servizi elettronici e assicurare l'accesso, l'integrità, la disponibilità, l'autenticità, la riservatezza, la tracciabilità e la conservazione di dati, informazioni e servizi.
Si applica a tutte le agenzie governative ed enti pubblici spagnoli che acquistano servizi cloud, nonché ai fornitori di tecnologie ICT (Information and Communications Technologies). Assiste le agenzie e gli enti nell'implementare controlli efficaci per la sicurezza nel cloud e in locale, nel rispetto degli standard di privacy e sicurezza spagnoli e europei.
Il quadro normativo stabilisce criteri chiave e requisiti obbligatori che le agenzie governative e i relativi provider di servizi devono adottare. Definisce un insieme di controlli di sicurezza specifici, molti dei quali allineati direttamente allo standard ISO/IEC 27001, relativamente a disponibilità, autenticità, integrità, riservatezza e tracciabilità. Il livello di riservatezza delle informazioni basso, intermedio o alto, determina le misure di sicurezza che devono essere adottate per proteggerle.
Rispetto alla sicurezza, ogni agenzia governativa deve adottare un approccio basato sulla gestione dei rischi con cui identificare e valutare i rischi, quindi applicare i controlli di sicurezza appropriati. Anche i provider di servizi devono adeguarsi ai rigorosi requisiti del quadro normativo per assicurarsi che le procedure, le competenze tecniche e le operazioni siano sicure e permettere alle agenzie di adeguarsi alle normative.
Il quadro normativo prevede un processo di accreditamento facoltativo per i sistemi che gestiscono le informazioni con un livello di riservatezza basso, ma obbligatorio per quelli che gestiscono le informazioni con un livello medio o alto di riservatezza. Il controllo viene eseguito da un revisore indipendente accreditato. Il report viene quindi riesaminato durante un processo di certificazione prima dell'accettazione dei controlli di gestione dei rischi nella fase finale dell'accreditamento.
Microsoft e le misure di sicurezza di alto livello dell'ENS spagnolo
Microsoft Azure e Microsoft Office 365 sono stati sottoposti a una valutazione rigorosa da parte di BDO, un revisore indipendente, che ha rilasciato una dichiarazione di adeguamento ufficiale. BDO dichiara che le misure di sicurezza di entrambi i servizi e le rispettive informazioni di sistema e le strutture di elaborazione dati, sono conformi al RD 3/2010 senza bisogno di alcuna misura correttiva. Microsoft è stato il primo provider di servizi cloud iperscalabile a ottenere questa certificazione in Spagna.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure
- Microsoft 365 & Microsoft 365 for Education
- Dynamics 365
Microsoft 365 ed ENS High
Ambienti Microsoft 365 (Office 365)
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Microsoft 365 & l'applicabilità e i servizi nell'ambito di Microsoft 365 for Education
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Microsoft 365 e Microsoft 365 for Education:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Microsoft Viva (include Connections, Insights, Learning e Engage), Microsoft 365 (include Word, Excel, PowerPoint, Outlook, Sharepoint, Exchange, OneNote, OneDrive, Microsoft Planner, Sway, Whiteboard, Delve, Microsoft Forms, Microsoft To Do e Windows), Microsoft Purview (include Audit, Adaptative Protection, Communication Compliance, eDiscovery, Compliance Manager, Information Protection, Data Lifecycle Management, Insider Risk Management, Data Loss Prevention e Unified Data Governance alias Azure Purview), Microsoft Teams (include audioconferenza e sistema telefonico), Microsoft Outlook Web App, Microsoft Outlook Mobile, Microsoft Copilot per Microsoft 365, Copilot in Windows, Microsoft Copilot con protezione dei dati commerciali, protezione Microsoft Exchange Online, Microsoft Defender XDR (include Microsoft Defender per endpoint, Microsoft Defender per identità e Microsoft Defender per Office 365 e Microsoft Defender for Cloud Apps), Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender per Office 365, Microsoft Defender for Cloud Apps, Microsoft Intune |
Dynamics 365 ed ENS High
Dynamics 365 l'applicabilità e i servizi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi di Dynamics 365 e la sottoscrizione:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Copilot Studio, Dynamics 365 Sales, Dynamics 365 Customer Insights Journey, Dynamics 365 Customer Insights Data, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Business Central, Dynamics 365 Customer Service (include Omnichannel), Dynamics 365 Field Service (include Remote Assist), Dynamics 365 Human Resources, Dynamics 365 Project Operations, Dynamics 365 Commerce, Dynamics 365 Fraud Protection, Dynamics 365 Customer Voice, Power Platform (include Power BI, Power Apps, Power Automate e Power Pages), Copilot in Power Platform (include Copilot per Power Apps, Copilot per Power Automate, Copilot per Power Pages) e Copilot per Power BI), Copilot for Sales, Copilot for Service, Copilot per il settore finanziario, Copilot per Dynamics 365 |
Microsoft Azure ed ENS High
Applicabilità e servizi nell'ambito di Azure
Usare la tabella seguente per determinare l'applicabilità per i servizi e la sottoscrizione di Azure:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Azure Confidential Computing, Microsoft Entra (include Entra ID, Entra ID Governance, Entra External ID, Entra external ID, Entra Domain Services, Entra Verified ID, Entra Permissions Management, Entra ID dei carichi di lavoro, Entra Internet Access y Entra Private Access), Azure Site Recovery, Azure Rete virtuale, Azure ExpressRoute, Azure Load Balancer, Backup di Azure, Azure AI Services (include Azure OpenAI, Ricerca cognitiva di Azure, Azure AI Vision, Azure AI Visione personalizzata, Azure AI Language, Azure AI Speech, Azure AI Translator, Azure AI Document Intelligence, Azure AI servizio Bot, Azure AI Audio & Video, Azure AI Rilevamento anomalie, Sicurezza dei contenuti di Azure AI, Azure AI Personalizer, Azure AI Metrics Advisor y Azure AI Strumento di lettura immersiva), Studio AI della piattaforma Azure (include Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio y Azure Content Safety Studio), Copilot per Azure, Azure SQL, Azure Cosmos DB, database Azure SQL, Database di Azure per PostgreSQL, Istanza gestita di SQL di Azure, Database di Azure per MySQL, cache di Azure per Redis, Database di Azure per MariaDB, Archiviazione di Azure (include BLOB, Archivio, Disco, File y Data Box), Azure Synapse Analytics |
| Azure Databricks, Azure Data Factory, Azure HDInsight, Azure Analysis Services, Azure Data Lake, Azure Data Lake Analytics, Microsoft Fabric, Fabric Copilot, Power BI Embedded, Azure DevOps, hub IoT di Azure, Hub eventi di Azure, Azure Log Analytics, Monitoraggio di Azure, Azure Key Vault (include Standard, Premium y Managed HSM), Microsoft Sentinel, Microsoft Copilot per la sicurezza, Microsoft Defender per IoT, Microsoft Defender per cloud, Microsoft Defender Cloud Security Posture Management, Gestione della superficie di attacco esterna di Microsoft Defender (EASM), Protezione DDOS di Azure, Firewall di Azure, Firewall di Azure Manager, Azure Web application firewall, gateway applicazione di Azure, Azure Gateway VPN, Azure Bastion, Azure Macchine virtuali, servizio Azure Kubernetes, Istanze di Azure Container, Registro Azure Container, App contenitori di Azure, Servizio app di Azure, App Web di Azure, App per la logica di Azure, Gestione API di Azure, bus di servizio di Azure, Griglia di eventi di Azure, soluzione Azure VMWare, Desktop virtuale Azure (AVD), Azure Arc |
Controlli, report e certificati
La certificazione è valida due anni, con l'obbligo di un controllo di sorveglianza annuale.
Azure
- Certificato di Azure National Security Framework (ENS) (spagnolo)
- Report di controllo di Azure National Security Framework (ENS) (spagnolo)
Microsoft 365 e Microsoft 365 for Education
- Microsoft 365 & certificato Microsoft 365 for Education National Security Framework (ENS) (spagnolo)
- Microsoft 365 & Report di controllo di Microsoft 365 for Education National Security Framework (ENS) (spagnolo)
Dynamics 365
- Certificato ENS (National Security Framework) Dynamics 365 (spagnolo)
- Dynamics 365 rapporto di controllo ens (national security framework) (spagnolo)
Domande frequenti
Come posso ottenere copie dei report di controllo e delle certificazioni?
Il Service Trust Portal rende disponibili i report di controllo e le certificazioni in inglese e spagnolo. I revisori possono usarli per confrontare i risultati dei servizi cloud Microsoft con i requisiti normativi e legali che ti riguardano.
Qual è la fase iniziale del percorso di adeguamento della mia organizzazione?
Se la tua organizzazione usa Azure o Office 365, puoi usare l'accreditamento e il report di controllo ENS di Microsoft ai fini del tuo processo di accreditamento. Hai tuttavia la responsabilità di affidare l'incarico a un revisore affinché valuti la tua implementazione in termini di conformità e di garantire che i controlli e i processi all'interno dell'organizzazione siano in linea con il quadro normativo.
Risorse
- Esquema Nacional de Seguridad di Spagna (Spagnolo e Inglese)
- Condizioni di Microsoft Online Services
- Conformità nel Centro protezione Microsoft