Nejčastější dotazy k ochraně osobních údajů a zabezpečení
Tento článek obsahuje odpovědi na nejčastější dotazy týkající se ochrany osobních údajů a zabezpečení v Aplikaci Microsoft Dynamics 365 Fraud Protection.
Došlo za posledních 12 měsíců k narušení zabezpečení? Jaké jsou procesy a časové osy oznámení o porušení zabezpečení?
Ochrana před podvody se řídí standardním procesem oznamování úniku dat společnosti Microsoft, který podléhá obecným požadavkům nařízení o ochraně osobních údajů (GDPR) bez ohledu na to, jestli jsou data zákazníka předmětem GDPR. Další informace, včetně popisu procesu a odkazů na další informace, najdete v Centru zabezpečení Microsoftu. I když tam jste, můžete nastavit kontakt na ochranu osobních údajů vaší organizace pro oznámení.
Další informace najdete také v Azure, Dynamics 365 a oznámení o porušení zabezpečení windows v rámci GDPR.
Podporuje ochrana před podvody šifrování neaktivních uložených dat? Jak se šifrování nasadí? Šifrují se nějaká přenášená data? Jaké jsou protokoly?
Služba Ochrana před podvody šifruje všechna neaktivní uložená i přenášená data zákazníků s využitím nejnovějších funkcí Azure. Tyto funkce pravidelně kontrolují bezpečnostní týmy Microsoftu.
Pro přenášená data používá ochrana před podvody šifrování založené na protokolu TLS (Transport Layer Security).
K ukládání neaktivních uložených dat se používají technologie Microsoftu, jako jsou Azure Cosmos DB, Azure Blob Storage a Azure Data Lake. Ochrana před podvody implementuje přísné hranice důvěryhodnosti, aby se zajistilo, že v jeho prostředí neexistuje žádný neoprávněný přístup k datům obchodníka.
Další informace o přístupu Microsoftu k šifrování neaktivních uložených dat a přenosu najdete v přehledu služby Azure Encryption a službě Azure Data Encryption at-Rest.
Poznámka:
Upozorňujeme, že Dynamics 365 Fraud Protection nepodporuje funkce CMK (Customer Managed Keys) ani Lockbox.
Zpracovává proces ochrany před podvody, přístup, přenos nebo ukládání nepřístupných osobních údajů svého obchodníka?
Ochrana před podvody spolupracuje s daty, která obchodníci poskytují prostřednictvím rozhraní API, nahrávání souborů nebo jiných zdokumentovaných mechanismů. Údaje, které obchodníci poskytují, můžou obsahovat neveřejná osobní data, která podvodná ochrana zpracovává, přenáší a ukládá do hranice dodržování předpisů, aby mohla poskytovat službu. Obchodníci můžou pomocí ochrany před podvody přenášet data do jiného systému nebo vytvářet další kopie, které vyhovují jejich obchodním potřebám.
Kdo má přístup k údajům a sestavám obchodníků v systému ochrany před podvody? Jak ochrana před podvody omezuje počet lidí, kteří mají přístup?
Obchodníci a zaměstnanci Microsoftu, kteří jsou přiřazeni k ochraně před podvody, mají přístup k datům obchodníka. V případě sestav v rámci produktů mají k datům obchodníků přístup jenom obchodníci. V případě sestav mimo produkt poskytuje tým pro datové vědy o ochraně podvodů přístup obchodníkům k zobrazení sestav. Ne všichni zaměstnanci Microsoftu budou mít přístup k sestavám obchodníka.
Ochrana před podvody implementuje řízení přístupu na základě rolí a sítě, které omezují a spravují externí přístup k datům v rámci ochrany před podvody. Tenanti mají k dispozici funkce pro správu externího přístupu k datům.
Ochrana před podvody se řídí interními zásadami a pokyny Microsoftu pro správu interního přístupu k produkčním službám a zákaznickým datům. Ve výchozím nastavení je přístup k údajům a sestavám obchodníkům odepřen pracovníkům Microsoftu podle zásady nejnižších oprávnění. Uděluje se pouze členům příslušných skupin zabezpečení. Členství ve skupině zabezpečení je uděleno na úrovni uživatelského účtu a každý uživatelský účet je jedinečný a identifikuje se konkrétním zaměstnancem Microsoftu.
Interní zásady Společnosti Microsoft umožňují zaměstnancům Microsoftu, kteří mají odpovídající členství ve skupině zabezpečení, požádat o dočasný přístup se zvýšenými oprávněními ("just-in-time"), aby mohli provádět servisní a podpůrné aktivity v produkčních systémech. Každý požadavek na přístup za běhu je sledován a kontrolován interním systémem ticketingu.
Poskytuje ochrana před podvody publikovaný postup pro ukončení uspořádání služeb, včetně záruky, že všechny výpočetní prostředky budou po ukončení prostředí nebo vyřazení prostředku po ukončení prostředí nebo vyřazení prostředku sanitizovány všechny výpočetní prostředky?
Ano. Komerční licenční podmínky společnosti Microsoft se vztahují na ochranu před podvody a definují postupy pro zrušení služby. Dodatek o ochraně dat popisuje podrobnosti o tom, jak se data uchovávají a odstraňují. Pseudonymizovaná data, která obchodník již poskytl síti pro ochranu před podvody, budou nadále zpracovávána uvnitř sítě Pro ochranu před podvody až do konce klouzavého intervalu uchovávání informací. Potom se odstraní.
Spolupracuje ochrana před podvody s jakoukoli organizací v rámci Microsoftu pro podporu zabezpečení a technologií (například nasazení, reakce na incidenty a hlášení)?
Ano. Ochrana před podvody je součástí řady produktů Dynamics 365 a řídí se zásadami a pokyny definovanými pro organizaci Dynamics 365 a Cloud &AI. Ochrana před podvody spolupracuje se službou Azure Security, Microsoft Threat Intelligence Center, týmem reakce na incidenty Azure, globálním zabezpečením Microsoftu a dalšími interními týmy zabezpečení a dodržování předpisů.
Další informace o zabezpečení ochrany před podvody najdete v tématu Přehled zabezpečení pro Dynamics 365 Fraud Protection.
Jak zajišťuje ochrana před podvody chyby a rizika kvality dat, která jsou zděděna od partnerů v dodavatelském řetězci cloudu, jsou kontrolována, zohledněny a opravena?
Ochrana před podvody má vyhrazený tým pro datové vědy. Má také systém monitorování a upozorňování, který je navržený tak, aby detekoval chyby kvality dat a reagoval na ně a zachoval kvalitu modelů strojového učení (ML). Problémy s kvalitou dat se považují za produkční incidenty a prověřují se stejným procesem, který se používá k zachování spolehlivosti služeb.
Provádí ochrana před podvody pravidelně testy průniku sítě v infrastruktuře cloudových služeb, jak jsou předepsány osvědčenými postupy a pokyny v odvětví? Jsou výsledky testů průniku sítě k dispozici pro tenanty na jejich žádost?
Ochrana před podvody používá ke kontrole kódu standardní nástroje a detekce a závažnost chyb jsou založeny na standardech NIST 800-30.
Nezávislá třetí strana provede penetrační test (penetrační test) v prostředí Azure alespoň ročně. Rozsah testu pera je určen oblastmi rizik a požadavků na dodržování předpisů v Azure. Zjištění testu pera se opravují na základě závažnosti. Další informace najdete na portálu Service Trust Portal.
Provádí ochrana před podvody pravidelně kontroly ohrožení zabezpečení na úrovni sítě, jak je předepsáno osvědčenými postupy v odvětví?
Ano, Ochrana před podvody se řídí standardními osvědčenými postupy. Jak je uvedeno v sestavách auditu Azure-Dynamics SOC2, tým zabezpečení Cloud + AI provádí časté interní a externí kontroly za účelem identifikace ohrožení zabezpečení a posouzení efektivity procesu správy oprav. Služby se prohledávají kvůli známým ohrožením zabezpečení. Nové služby se přidají do příštího čtvrtletního prohledávání na základě data zahrnutí. Pak se řídí alespoň čtvrtletním plánem kontroly. Tyto kontroly slouží k zajištění dodržování předpisů se standardními šablonami konfigurace, ověření, že jsou nainstalované relevantní opravy, a identifikují ohrožení zabezpečení. Zprávy o skenování jsou zkontrolovány příslušnými pracovníky a nápravné úsilí probíhá včas.
Další materiály
Nejčastější dotazy k právním aspektům
Nejčastější dotazy k rezidenci dat a GDPR