Jedes Werkzeug muss auf die Anforderungen des Datenschutzes hin geprüft werden. In diesem Punkt gibt es einige Informationen, die sich zusammen tragen lassen, um eine bessere Bewertung abgeben zu können.
Vertragliche Konstellation
Microsoft Cloud App Security ist in den Microsoft Service Online Terms (März 2019) zu finden.
MCSA & Sicherheitsrichtlinien
- SSAE 18 SOC 1 Typ II
- SSAE 18 SOC 2 Typ II
Speichern der Daten atRest (Ruhezustand)
- nur Europa (Dublin, Amsterdam)
MCAS ein Kern-Onlinedienst
Allgemeine Hinweise für externe Nutzergenehmigungen
Microsoft Cloud App Security ist der Prozessor eurer Daten
Cloud App Security verwendet Ihre Daten nur für Zwecke, die mit der Bereitstellung der Dienste, die Sie abonnieren, vereinbar sind.
Wenn eine Regierung sich an Microsoft wendet, um Zugang zu Ihren Daten zu erhalten, leitet Microsoft die Anfrage nach Möglichkeit an Sie, den Kunden, weiter. Microsoft hat gesetzliche Anforderungen angefochten, die nicht gültig waren, was die Offenlegung einer behördlichen Anfrage nach Kundendaten verbot. Erfahren Sie mehr darüber, wer auf Ihre Daten zugreifen kann und zu welchen Bedingungen.
Wo speichert MCAS die Daten?
Microsoft Cloud App Security arbeitet derzeit in Rechenzentren in den USA und Europa (jeweils ein “Geo”). Ihr Mandantenkonto wird in einem Geo erstellt, das auf dem Land basiert, das Sie bei der Anmeldung gewählt haben. Insbesondere werden Ihre Daten in einem Rechenzentrum in der Geo, die diesem Standort am nächsten liegt, gespeichert.
Wie lange hebt MCAS die Daten auf?
- Activity log: 180 days
- Discovery data: 90 days
- Alerts: 180 days
Wie lange werden personenbezogene Daten aufgehoben? (Löschfrist)
“After data is deleted from a connected cloud application, Microsoft Cloud App Security will automatically delete the copy of the data within 2 years.”
-> 2 Jahre
Wie kann ich meine personenbezogenen Daten exportieren?
Microsoft Cloud App Security bietet euch die Möglichkeit, alle Benutzeraktivitäten und Sicherheitswarninformationen in CSV zu exportieren.
Link: https://docs.microsoft.com/en-us/cloud-app-security/activity-filters#export
Wie sind meine Daten verschlüsselt?
Microsoft verwendet eine Verschlüsselungstechnologie, um eure Daten zu schützen, während sie sich in einer Microsoft-Datenbank befinden und wenn sie zwischen Benutzergeräten und Cloud App Security-Rechenzentren ausgetauscht werden. (https, TLS 1.2, Bitlocker, SQL Server Encryption)
Anonymisierung der Daten
Es besteht die Möglichkeit auf Wahl,die Cloud Discovery-Berichte anonym zu halten. Nachdem eure Protokolldateien zu Microsoft Cloud App Security hochgeladen wurden, werden alle Informationen zum Benutzernamen durch verschlüsselte Benutzernamen ersetzt (Pseudonomisierung). Für spezifische Sicherheitsuntersuchungen können Sie den echten Benutzernamen auflösen. Private Daten werden mit AES-128 mit einem speziellen Schlüssel pro Mieter verschlüsselt.
mehr Informationen: https://docs.microsoft.com/cloud-app-security/cloud-discovery-anonymizer
Ergebnis
MCAS gehört zu den Microsoft Kerndiensten und für diese gelten die GDPR Regelungen, sowie auch die höheren Anforderungen z.B. des Austausches von Subcontractors. Ebenfalls gilt die ADV aus dem OSts, sowie erfüllt MCAS die üblichen Zertifikate und es gelten die EU-Modelclauses, auch wenn die Daten nur in Europa gespeichert werden.
-> grün
via
https://docs.microsoft.com/en-us/cloud-app-security/cas-compliance-trust