Disattivare un account non basta. Regole di inoltro, caselle condivise, deleghe, token OAuth sopravvivono all'uscita, fuori dalla vista della directory Microsoft. Noi li stanamo e vi consegniamo un rilievo datato. Senza mai copiare i vostri dati.
Non scegliete voi il calendario: l'uscita impone la data. Ciò che resta aperto dopo, invece, non si vede da solo.
Una regola di inoltro, una delega o un token OAuth continuano a funzionare dopo la disattivazione dell'account. Nessuno li vede senza andarli a cercare.
Contenzioso, concorrenza, dati sensibili: in caso di uscita tesa, sapere e poter dimostrare che tutto è interrotto cambia tutto.
I questionari di cyber-assicurazione e gli obblighi della catena di fornitura chiedono un processo di revoca degli accessi in uscita. Qui, ne avete la prova.
La directory Microsoft mostra l'account. Il resto vive altrove: è lì che andiamo a guardare.
I messaggi che continuano a partire verso un indirizzo esterno, anche con l'account chiuso.
Le caselle a cui chi è uscito manteneva l'accesso, e i diritti di invio per suo conto (Send-As).
Le deleghe di calendario e casella lasciate aperte verso altri account.
I canali privati e i team in cui l'ex membro figura ancora.
I file condivisi tramite link, ancora aperti dopo la sua uscita.
Le applicazioni di terze parti che aveva autorizzato, il cui token non è revocato.
Tutto questo vive dietro le API di amministrazione Exchange, Teams e Purview, non nella directory. Per questo una semplice occhiata all'account non basta.
La misurazione avviene nel vostro browser, sul vostro tenant. Non vediamo né le vostre email né i vostri file, solo impostazioni.
La raccolta gira nel vostro browser, sul vostro Microsoft 365. Nessun dato viene copiato sui nostri server.
Leggiamo impostazioni, non modifichiamo nulla. Autorizzazione al minimo necessario, revocabile in qualsiasi momento.
Ognuna delle nostre letture appare nei vostri stessi log di controllo Microsoft. La fiducia si verifica, non si promette.
Il risultato è un rilievo datato, da conservare e presentare. Non è un parere legale: è un documento fattuale e verificabile sullo stato dei vostri accessi.
Il perimetro normativo applicabile alla vostra organizzazione, a titolo indicativo. Ogni riferimento rimanda alla sua fonte ufficiale.
Autorità di protezione dei dati : Garante Privacy (Garante per la Protezione dei Dati Personali) · https://www.garanteprivacy.it/web/garante-privacy-en
Autorità per la cybersicurezza : ACN (Agenzia per la Cybersicurezza Nazionale) · https://www.acn.gov.it/portale/en/home
Recepimento nazionale di NIS2
Contenu indicatif, pas un avis juridique. Relecture juriste local obligatoire.