At a minimum, the DLP solution SHALL restrict sharing credit card numbers, U.S. Individual Taxpayer Identification Numbers (ITIN), and U.S. Social Security numbers (SSN) via email.

Perché è Importante

La posta elettronica rappresenta un vettore primario per l'esfiltrazione di dati, e informazioni sensibili come numeri di carta di credito, numeri di previdenza sociale statunitensi (SSN) e numeri di identificazione personale del contribuente statunitensi (ITIN) vengono spesso presi di mira da malintenzionati o condivisi accidentalmente dai dipendenti. Senza un criterio di prevenzione della perdita dei dati (DLP) che limiti questi tipi di dati, la tua organizzazione rischia violazioni della conformità, sanzioni finanziarie e danni reputazionali ai sensi di normative come il GDPR o l'HIPAA. L'attuazione di restrizioni DLP su questi tipi comuni di dati sensibili è un controllo di sicurezza di base raccomandato da CISA e CIS.

Cosa Verifica Aether365

Questa verifica accerta che la tua soluzione di prevenzione della perdita dei dati (DLP) di Microsoft 365 includa criteri che limitano la condivisione di numeri di carta di credito, numeri di identificazione personale del contribuente statunitensi (ITIN) e numeri di previdenza sociale statunitensi (SSN) tramite posta elettronica. Viene visualizzata nel dashboard di Aether365 sotto la categoria di servizio microsoft-365 e segnala i tenant non conformi per un rischio di gravità media.

Come Risolvere

1. Accedi al portale di conformità Microsoft Purview (https://compliance.microsoft.com) e vai su Data loss prevention quindi Policies.
2. Fai clic su Create policy e seleziona Custom per creare un nuovo criterio DLP. In alternativa, modifica un criterio esistente che copre la posta elettronica.
3. Assegna un nome al criterio, ad esempio "Criterio DLP CISA per Dati Sensibili tramite Posta Elettronica".
4. In Locations, seleziona Exchange email e assicurati che tutte le cassette postali siano incluse.
5. In Define policy settings, scegli Create or customize advanced DLP rules.
6. Fai clic su Create rule e denominala "Limita Condivisione PII tramite Posta Elettronica". Fai clic su Add condition poi Content contains. Seleziona Sensitive info types e aggiungi i seguenti tipi:
   • U.S. Social Security Number (SSN)
   • Credit Card Number
   • U.S. Individual Taxpayer Identification Number (ITIN)
7. In Actions, seleziona Restrict access or encrypt the content in Microsoft 365 locations, quindi scegli Block users from receiving the email e, facoltativamente, notifica al mittente.
8. Imposta la priorità della regola e testala con Test mode prima di applicarla. Una volta convalidata, imposta la modalità su Enforce.
9. Fai clic su Save quindi su Create per finalizzare il criterio. Potrebbero essere necessarie fino a 24 ore per l'applicazione all'interno del tuo tenant.

Conformità

• CIS (Center for Internet Security): CISA.MS.EXO.8.4
• CISA (Cybersecurity and Infrastructure Security Agency): Controllo di base richiesto
• Framework: EIDSCA (Exchange Online Data Security Controls Assessment)

Risorse Correlate

• Learn about data loss prevention in Microsoft Purview
• Get started with Data Loss Prevention policies
• Sensitive information type entity definitions