Passa al contenuto principale

Residenza dei dati in Azure

Azure ha un numero di aree globali superiore a quello di qualsiasi altro provider di servizi cloud, offrendo la scalabilità e le opzioni di residenza dei dati necessarie per avvicinare le app agli utenti in tutto il mondo.

In qualità di cliente, mantieni la titolarità dei dati del cliente, ovvero il contenuto, i dati personali e gli altri dati forniti per l'archiviazione e l'hosting nei servizi di Azure. Hai anche il controllo di qualsiasi area geografica aggiuntiva in cui decidi di distribuire le soluzioni o replicare i dati.

Quando la funzionalità di un servizio richiede la replica dei dati a livello globale, i dettagli sono indicati di seguito.

  • Microsoft protegge i dati usando più livelli di sicurezza e protocolli di crittografia. Ottieni una panoramica del modo in cui Microsoft usa la crittografia per proteggere i tuoi dati.

    Per impostazione predefinita, chiavi gestite da Microsoft protegge i tuoi dati e i dati di clienti che vengono mantenuti in qualsiasi supporto fisico sono sempre criptati usando i protocolli di crittografia conformi a FIPS 140-2. I clienti possono anche usare chiavi gestite dai clienti (CMK), crittografia doppia e/o moduli di protezione hardware (HSM) per una maggiore protezione dei dati.

    Tutto il traffico di dati che si sposta tra i data center viene protetto con gli standard di sicurezza MAC IEEE 802.1AE, impedendo attacchi fisici "man-in-the-middle". Per mantenere la resilienza, Microsoft usa percorsi di rete variabili che a volte attraversano confini geografici, ma la replica dei dati di clienti tra aree viene sempre trasmessa attraverso connessioni di rete crittografate.

    Inoltre, per ridurre al minimo i rischi per la privacy, Microsoft genera identificatori pseudonimi attraverso i quali può offrire un servizio cloud globale, inclusi il funzionamento e il miglioramento dei servizi, la fatturazione e la protezione da frodi. In tutti i casi, gli identificatori pseudonimi non possono essere usati per identificare direttamente un singolo utente e l'accesso ai dati di clienti che identificano singoli utenti viene sempre protetto come descritto in precedenza.

  • Tutti i servizi di Azure possono essere usati in conformità con il GDPR. Se i clienti che usano servizi di Azure scelgono di trasferire oltre confine contenuti che includono dati personali, dovranno tenere conto dei requisiti legali applicabili a tali trasferimenti. Microsoft fornisce ai clienti servizi e risorse per aiutarli a garantire la conformità ai requisiti del GDPR applicabili alle operazioni specifiche.

    Alcuni servizi online Microsoft condividono dati con terze parti che agiscono come sottoprocessori del trattamento. L'elenco dei sottoprocessori del trattamento di dati per Microsoft Online Services divulgato pubblicamente identifica i sottoprocessori autorizzati a trattare dati di clienti o dati personali. Tutti questi sottoprocessori sono obbligati per contratto a soddisfare o superare gli impegni contrattuali assunti da Microsoft verso i propri clienti.

    Microsoft non fornirà a terze parti (a) accesso diretto, completo o illimitato ai dati di clienti; (b) chiavi di crittografia della piattaforma usate per proteggere i dati di clienti o la possibilità di compromettere tale crittografia; o (c) accesso ai dati qualora Microsoft sia consapevole dell'uso di tali dati per scopi diversi da quelli indicati nella richiesta della terza parte. Altre informazioni sull'approccio di Microsoft alla divulgazione legale dei dati di clienti in relazione ai requisiti governativi sono disponibili qui.

La maggior parte dei servizi di Azure consente di specificare l'area in cui verranno archiviati ed elaborati i dati dei clienti. Microsoft potrebbe replicare i dati in altre aree per assicurare la resilienza dei dati, ma non archivierà o elaborerà i dati dei clienti all'esterno dell'area geografica selezionata. Tu e i tuoi utenti potete spostare, copiare o accedere ai dati dei clienti da qualsiasi località del mondo.

Altre informazioni sulla posizione dei dati dei clienti

Archiviazione dei dati per i servizi a livello di area

La maggior parte dei servizi di Azure viene distribuita a livello di area e consente al cliente di specificare l'area in cui verrà distribuito il servizio. Sono inclusi, ad esempio, servizi di Azure come macchine virtuali, archiviazione e database SQL. Per un elenco completo dei servizi a livello di area, vedi Prodotti disponibili in base all'area.

Microsoft non archivia o elabora i dati dei clienti al di fuori dell'area geografica specificata dal cliente senza l'autorizzazione del cliente.

Microsoft potrebbe copiare i dati dei clienti tra aree all'interno di un'area geografica specifica, per garantirne la ridondanza o per altri scopi operativi. Con l'archiviazione con ridondanza geografica, ad esempio, i dati di BLOB, file, code e tabelle vengono replicati tra due aree all'interno della stessa area geografica per garantirne durabilità avanzata in caso di gravi problemi del data center.

È possibile che il personale Microsoft, inclusi i sub-responsabili del trattamento, situato all'esterno dell'area geografica gestisca in modalità remota i sistemi di elaborazione dati nell'area geografica, ma non eseguirà l'accesso ai dati dei clienti senza l'autorizzazione del cliente.

È possibile che i servizi seguenti archivino o elaborino alcuni dati all'esterno dell'area geografica specificata:

  • Servizi cloud di Azure, che prevedono il backup di pacchetti di distribuzione software del ruolo di lavoro e Web negli Stati Uniti, indipendentemente dall'area di distribuzione.
  • Esplora dati di Azure (ADX) archivia i dati di utilizzo parziali e le tracce del servizio in un cluster centrale situato in Europa per un periodo di tempo limitato.
  • Language Understanding, che può archiviare i dati dell'apprendimento attivo negli Stati Uniti, in Europa o in Australia in base alle aree usate dal cliente per la creazione. Altre informazioni
  • Azure Machine Learning può archiviare testo a mano libera per nomi di asset forniti dal cliente, ad esempio nomi per aree di lavoro, nomi per gruppi di risorse, nomi per esperimenti, nomi di file e nomi di immagini, e parametri di esecuzione di esperimenti, ad esempio metadati degli esperimenti, negli Stati Uniti per finalità di debug.
  • Azure Databricks archivia le informazioni sull'identità seguenti negli Stati Uniti per fornire ai clienti funzionalità di gestione dell'account e degli accessi: nome utente, nome, cognome e indirizzo di posta elettronica. Questi dati sono archiviati negli Stati Uniti per supportare la piattaforma di Azure Databricks globale.
  • Console seriale di Azure, che archivia tutti i dati inattivi del cliente nell'area geografica selezionata dal cliente, ma che in caso di uso tramite il portale di Azure può elaborare i comandi e le risposte della console all'esterno dell'area geografica esclusivamente per finalità di fornitura dell'esperienza console nel portale.
  • Anteprima, beta o altri servizi provvisori, che in genere archiviano i dati clienti negli Stati Uniti, potrebbero archiviarli globalmente.

I clienti possono configurare i servizi, livelli o piani di Azure seguenti per archiviare i dati dei clienti solo in una singola area a Singapore, Hong Kong o Brasile meridionale:

1La residenza dei dati in una singola area viene attualmente fornita per impostazione predefinita solo nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico e nell'area Brasile meridionale (Stato di San Paolo) dell'area geografica Brasile. Per tutte le altre aree i dati dei clienti vengono archiviati nell'area Geo.

2La residenza dei dati in una singola area viene attualmente fornita per impostazione predefinita solo nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico. Per tutte le altre aree i dati dei clienti vengono archiviati nell'area Geo.

3La funzionalità di anteprima per abilitare l'archiviazione di tutti i dati dei clienti in una singola area è attualmente solo disponibile nell'area Asia sud-orientale (Singapore) dell'area geografica Asia Pacifico e nell'area Brasile meridionale (Stato di San Paolo) dell'area geografica Brasile. Per tutte le altre aree i dati dei clienti vengono archiviati nell'area Geo.

4Azure Databricks archivia le informazioni sull'identità seguenti negli Stati Uniti per fornire funzionalità di gestione account e di accesso ai clienti: nome utente, nome, cognome e indirizzo di posta elettronica. Questi dati vengono archiviati negli Stati Uniti per supportare la piattaforma Azure Databricks globale. La possibilità di consentire l'archiviazione di tutti gli altri dati dei clienti in un'unica area geografica è attualmente disponibile nella regione Asia sud-orientale (Singapore) della Geo Asia Pacifico e nella regione Brasile meridionale (Stato di San Paolo) della Geo del Brasile. Per tutte le altre aree geografiche, i dati dei clienti vengono archiviati in Geo (soggetto all'eccezione indicata in precedenza).

5Le opzioni Archiviazione con ridondanza della zona (classica), Archiviazione con ridondanza geografica/Archiviazione con ridondanza geografica e accesso in lettura, Archiviazione con ridondanza geografica della zona/Archiviazione con ridondanza geografica della zona e accesso in lettura archiviano i dati in più aree.

Archiviazione dei dati per i servizi non a livello di area

Alcuni servizi di Azure non consentono al cliente di specificare l'area in cui verrà distribuito il servizio. Questi servizi possono archiviare o elaborare i dati dei clienti in qualsiasi data center Microsoft all'interno delle aree pubbliche di Azure, se non diversamente specificato.

  • Rete per la distribuzione di contenuti di Azure, che offre un servizio di caching globale e prevede l'archiviazione dei dati dei clienti in posizioni periferiche in tutto il mondo. Posizioni Azure CDN POP per area geografica.
  • Azure Active Directory (Azure AD) opera come servizio non a livello di area e in base ai requisiti dei clienti, tra cui disponibilità e scalabilità, può archiviare i dati di Azure AD (Azure AD Dati di Core Store e componenti e dati del servizio di Azure AD) a livello globale. È tuttavia possibile che alcuni tenant Azure AD siano configurati per archiviare i dati di Azure AD in determinate posizioni geografiche. Altre informazioni
  • Microsoft Defender per il cloud, che può archiviare una copia dei dati dei clienti correlati alla sicurezza, raccolti o associati a una risorsa cliente (ad esempio una macchina virtuale o Azure AD tenant):

    (a) nella stessa area geografica della risorsa, ad eccezione delle aree geografiche in cui Microsoft deve ancora distribuire Microsoft Defender per il cloud. In tal caso, una copia di tali dati verrà archiviata nella Stati Uniti; e

    (b) se Microsoft Defender per il cloud usa un altro Servizio online Microsoft per elaborare tali dati, può archiviare tali dati in conformità alle regole di georilevazione di tale altro Servizio online.

    (c) se un cliente effettua il provisioning del proprio tenant nell'Unione Europea o nel Stati Uniti, Microsoft archivierà i dati dei clienti inattivi solo in tale area geografica.

    (d) gli impegni geografici in (a) e (c) non si applicano alle seguenti funzionalità: Soluzione di sicurezza (WAF).

  • Microsoft Defender per IoT può usare altri Microsoft Online Services per elaborare i dati dei clienti correlati alla sicurezza. Questi dati possono essere archiviati in conformità alle regole di georilevazione dell'altro Servizio online.
  • Microsoft Fabric consente di selezionare un’area di Azure in cui vengono archiviati i dati del cliente durante la creazione di una nuova capacità di Microsoft Fabric. L'opzione predefinita elencata è l’area di origine del tenant dell'utente. Se l'utente seleziona tale area, tutti i dati associati, compresi i Dati del cliente, verranno archiviati in tale posizione geografica. Se un utente seleziona un'area diversa, alcuni dati del cliente rimarranno comunque nella home Geo. Altre informazioni.
  • Servizi che forniscono funzioni di instradamento globale e non elaborano o archiviano i dati dei clienti. Sono inclusi Gestione traffico di Azure, che fornisce il bilanciamento del carico tra aree diverse, e DNS Azure, che fornisce servizi DNS (Domain Name Service) per il routing ad aree diverse.

Per un elenco completo dei servizi non a livello di area, vedi Prodotti disponibili in base all'area e seleziona Non a livello di area.

Serve aiuto?