Det handlar inte om vart datat hamnar utan vem kan hantera/processera datat. Vem har kontrollen över datat.
Exempel på problem som man får fundera på?
Kan Microsoft i USA bygga om programvaran för att skicka datat någonstans?
Kan en tekniker på Microsoft i USA komma åt datat?
Kan myndigheter i USA be Microsoft att lämna ut datat?
Kör du Azure/MS365 måste du köra auth genom Microsofts IdP.
Alltså kan microsoft själv ställa ut auth-tokens till dina tjänster utan att du ens märker det.
Microsoft är väl as we speak hackade av ryssland och har inte kontroll på situationen.
https://www.theregister.com/2024/03/08/microsoft_confirms_rus...
"In the last year, Microsoft has been breached by China and Russia, the latter incident was enabled by sensitive Microsoft key material exfiltrated from within Microsoft sensitive systems.
This latest disclosure introduces doubt that they have been able to evict Cozy Bear and it’s a reminder of the much deeper issues seemingly plaguing Azure’s authentication and security mechanisms."
Har då ryssen teoretisk access till din data?