Misure di sicurezza di alto livello dell'Esquema Nacional de Seguridad (ENS) spagnolo

Informazioni generali sull'ENS spagnolo

Nel 2007 il governo spagnolo ha promulgato la Legge 11/2007, un quadro normativo per concedere ai cittadini l'accesso elettronico ai servizi governativi e pubblici. Questa legge è la base per Esquema Nacional de Seguridad (National Security Framework), che è governato dal decreto reale aggiornato (RD) 311/2022. L'obiettivo del quadro normativo consiste nel consolidare la fiducia nella fornitura di servizi elettronici e assicurare l'accesso, l'integrità, la disponibilità, l'autenticità, la riservatezza, la tracciabilità e la conservazione di dati, informazioni e servizi.

Si applica a tutte le agenzie governative ed enti pubblici spagnoli che acquistano servizi cloud, nonché ai fornitori di tecnologie ICT (Information and Communications Technologies). Guida queste agenzie e aziende nell'implementazione di controlli efficaci per la sicurezza nel cloud e in locale, in conformità con gli standard di sicurezza e privacy spagnoli e dell'UE.

Il quadro normativo stabilisce criteri chiave e requisiti obbligatori che le agenzie governative e i relativi provider di servizi devono adottare. Definisce un insieme di controlli di sicurezza specifici, molti dei quali allineati direttamente allo standard ISO/IEC 27001, relativamente a disponibilità, autenticità, integrità, riservatezza e tracciabilità. La riservatezza delle informazioni, bassa, intermedia o elevata, determina le misure di sicurezza che devono essere applicate per proteggerle.

Rispetto alla sicurezza, ogni agenzia governativa deve adottare un approccio basato sulla gestione dei rischi con cui identificare e valutare i rischi, quindi applicare i controlli di sicurezza appropriati. Anche i provider di servizi devono adeguarsi ai rigorosi requisiti del quadro normativo per assicurarsi che le procedure, le competenze tecniche e le operazioni siano sicure e permettere alle agenzie di adeguarsi alle normative.

Il quadro normativo prevede un processo di accreditamento facoltativo per i sistemi che gestiscono le informazioni con un livello di riservatezza basso, ma obbligatorio per quelli che gestiscono le informazioni con un livello medio o alto di riservatezza. Il controllo viene eseguito da un revisore indipendente accreditato. Il report viene quindi riesaminato durante un processo di certificazione prima dell'accettazione dei controlli di gestione dei rischi nella fase finale dell'accreditamento.

Microsoft e le misure di sicurezza di alto livello dell'ENS spagnolo

Microsoft Azure e Microsoft 365 sono stati sottoposti a una rigorosa valutazione da parte di BDO, un revisore indipendente, che ha rilasciato una dichiarazione ufficiale della loro conformità. BDO segnala che le misure di sicurezza in entrambi i servizi, nonché nei sistemi informativi e nelle strutture di elaborazione dati, sono conformi ad alto livello con RD 311/2022 senza richiedere misure correttive. Microsoft è stato il primo provider di servizi cloud iperscalabile a ottenere questa certificazione in Spagna.

Servizi e piattaforme cloud microsoft nell'ambito

  • Azure
  • Microsoft 365 e Microsoft 365 for Education
  • Microsoft Dynamics 365

Microsoft 365 ed ENS High

Ambienti Microsoft 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità e servizi nell'ambito di Microsoft 365 e Microsoft 365 for Education

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Microsoft 365 e Microsoft 365 for Education:

Applicabilità Servizi inclusi nell'ambito
Commerciale Copilot in Windows, Microsoft 365 (include Word, Excel, PowerPoint, Outlook, SharePoint, Exchange, OneNote, OneDrive, Microsoft Planner, Sway, Lavagna, Delve, Microsoft Forms, Microsoft To Do e Windows), Microsoft Copilot per Microsoft 365, Microsoft Copilot con protezione dei dati commerciali, Microsoft Defender for Cloud Apps, Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender per Office 365, Microsoft Defender XDR (include Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender per Office 365 e Microsoft Defender for Cloud Apps), protezione Microsoft Exchange Online, Microsoft Intune, Microsoft Outlook Mobile, Microsoft Outlook Web App, Microsoft Purview (include Audit, Adaptive Protection, Communication Compliance, eDiscovery, Compliance Manager, Information Protection, Data Lifecycle Management, Insider Risk Management, Data Loss Prevention e Unified Data Governance alias Microsoft Purview), Microsoft Teams (include audioconferenza e sistema telefonico), Microsoft Viva (include Connessioni, Informazioni dettagliate, Apprendimento e Engage)

Dynamics 365 ed ENS High

Dynamics 365 l'applicabilità e i servizi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi di Dynamics 365 e la sottoscrizione:

Applicabilità Servizi inclusi nell'ambito
Commerciale Copilot per Dynamics 365, Copilot per il settore finanziario, Copilot per le vendite, Copilot per l'assistenza, Copilot in Power Platform (include Copilot per Power Apps, Copilot per Power Automate, Copilot per Power Pages e Copilot per Power BI), Copilot Studio, archiviazione su disco, Dynamics 365 Business Central, Dynamics 365 Customer Insights Data, Dynamics 365 Customer Insights Journey, Dynamics 365 Customer Insights - Journeys (include Omnichannel), Dynamics 365 Customer Service, Dynamics 365 Customer Voice (include Remote Assist), Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 risorse umane, Dynamics 365 Product Visualize, Dynamics 365 Remote Assist, Dynamics 365 gestione della supply chain, Power Platform (include Power BI, Power Apps, Power Automate e Power Pages)

Microsoft Azure ed ENS High

Azure l'applicabilità e i servizi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi Azure e la sottoscrizione:

Applicabilità Servizi inclusi nell'ambito
Commerciale Azure ai Foundry (include Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio e Azure Content Safety Studio), Azure AI Services (include Azure OpenAI, Ricerca cognitiva di Azure, Visione di Azure AI, Azure ai Visione personalizzata, Lingua di Azure AI, Voce di Azure AI, Traduttore per Azure AI, Informazioni sui documenti di Azure AI, Azure ai servizio Bot, Azure AI Audio & Video, Azure AI Rilevamento anomalie, Sicurezza dei contenuti di Azure AI, Azure AI Personalizza esperienze, Azure Advisor metriche di intelligenza artificiale e Azure Strumento di lettura immersiva di intelligenza artificiale), Azure Analysis Services, Azure Gestione API, Servizio app di Azure, gateway applicazione di Azure, Azure Arc, Backup di Azure, Azure Bastion, cache di Azure per Redis, Azure Confidential Computing, App contenitore di Azure, Istanze di Azure Container, Registro Azure Container, Azure Cosmos DB, Azure Data Factory, Azure Data Lake, Azure Data Lake Analytics, Database di Azure per MariaDB, Database di Azure per MySQL, Database di Azure per PostgreSQL, Azure Databricks, protezione DDoS Azure, Azure DevOps, Griglia di eventi di Azure, Hub eventi di Azure, Azure ExpressRoute, Firewall di Azure, Firewall di Azure Manager, Azure HDInsight, hub IoT di Azure, Azure Key Vault (include Standard, Premium e HSM gestito), servizio Azure Kubernetes, Azure Load Balancer, Log Analytics di Azure, app per la logica Azure, monitoraggio Azure, Azure NetApp Files, bus di servizio di Azure, Azure Site Recovery, Azure SQL, database Azure SQL, Istanza gestita di SQL di Azure, Azure Archiviazione (include BLOB, Archivio, disco, file e data box), Azure Synapse Analytics, desktop virtuale Azure (AVD), Azure Macchine virtuali, Azure Rete virtuale, soluzione Azure VMware, Azure Gateway VPN, Azure Web application firewall, Azure App Web, Copilot per Azure, Fabric Copilot, Microsoft Copilot per Sicurezza, Microsoft Defender Cloud Security Posture Management, Gestione della superficie di attacco esterna di Microsoft Defender (EASM), Microsoft Defender per Cloud, Microsoft Defender per IoT, Microsoft Entra (include ID Entra, governance ID Entra, Entra ID esterno, Entra Domain Services, Entra ID verificato, Entra Gestione delle autorizzazioni, Entra ID dei carichi di lavoro, accesso a Internet Entra e accesso privato Entra), Microsoft Fabric, Microsoft Sentinel, Power BI Embedded

Controlli, report e certificati

La certificazione è valida due anni, con l'obbligo di un controllo di sorveglianza annuale.

Azure

Microsoft 365 e Microsoft 365 for Education

Dynamics 365

Domande frequenti

Come posso ottenere copie dei report di controllo e delle certificazioni?

Il Service Trust Portal rende disponibili i report di controllo e le certificazioni in inglese e spagnolo. I revisori possono usarli per confrontare i risultati dei servizi cloud Microsoft con i requisiti normativi e legali che ti riguardano.

Qual è la fase iniziale del percorso di adeguamento della mia organizzazione?

Se l'organizzazione usa Azure o Office 365, è possibile usare i report di controllo e l'accreditamento Microsoft ENS come parte del processo di accreditamento. Tuttavia, l'utente è responsabile del coinvolgimento di un revisore per valutare l'implementazione per la conformità e per garantire che i controlli e i processi all'interno dell'organizzazione siano allineati al framework.

Risorse

  • Last updated on