Nejčastější dotazy k posouzení zabezpečení
Tento článek obsahuje odpovědi na nejčastější dotazy týkající se posouzení zabezpečení v Aplikaci Microsoft Dynamics 365 Fraud Protection.
Ověřování a správa
Podporuje aplikace nebo služba jednotné přihlašování prostřednictvím SAML (Security Assertion Markup Language) 1.1, SAML 2.0 nebo Federování webových služeb (WS-Fed)?
Ano.
- Portál: SPA – OAuth 2.0 a OpenID Připojení pomocí toku ověřovacího kódu s PKCE prostřednictvím knihovny MSAL v2.
- Rozhraní API back-endu mezi službami: OAuth 2.0
- Služba otisků prstů: Anonymní
- Azure Stack: Token sdíleného přístupového podpisu (SAS) pro úložiště
Existuje adresa URL back door, která umožňuje uživatelům nebo správcům obejít jednotné přihlašování?
Ne.
Podporuje aplikace integraci Okta (platforma jednotného přihlašování)?
Integrace Okta není ve výchozím nastavení podporovaná. Microsoft Entra podporuje vlastní integrace. Vzhledem k tomu, že obchodník vlastníkem tenanta, může obchodník využívat integrační body identity Microsoft Entra. Další informace naleznete v dokumentaci k Microsoft Entra.
Podporuje aplikace nebo služba dvojúrovňové ověřování (2FA)?
Ano. Obchodník může v Microsoft Entra ID povolit 2FA.
Co je řešení 2FA?
Řešení 2FA je Azure Multi-Factor Authentication, funkce Microsoft Entra. Další informace najdete v tématu Jak to funguje: Azure Multi-Factor Authentication.
Podporuje aplikace hesla na úrovni aplikace?
Ne. Identity uživatelů a aplikací se spravují v účtu Microsoft Entra zákazníka.
Který algoritmus hash nebo šifrování se používá k ochraně hesel?
Nevztahuje se.
Používá se slaňování hodnot hash?
Nevztahuje se.
Používá aplikace nebo služba automatické zřizování účtů? Pokud ano, jak se to dosahuje (například na vyžádání prostřednictvím SAML, automatizované hodnoty oddělené čárkami [CSV] prostřednictvím zabezpečeného přenosu nebo rozhraní API)?
Ne, a nelze je použít.
Používá aplikace nebo služba okamžité ukončení přístupu k účtu, včetně zavření otevřených relací?
Ne. Vypršení platnosti tokenu Microsoft Entra je v souladu s ukončením přístupu uživatele, nikoli s relací.
Pokud ukončení účtu není automatické, provede se tato akce do jedné hodiny od žádosti o ukončení přístupu k účtu?
Ano, podle zásad Microsoft Entra. Další informace naleznete v dokumentaci k Microsoft Entra.
Jaký je časový limit nečinnosti relace aplikace?
V zásadách Microsoft Entra je časový limit nečinnosti relace v souladu s dobou platnosti tokenu.
Používá aplikace nebo služba proces automatického zrušení zřízení účtu prostřednictvím rozhraní API?
Ne.
Poskytuje aplikace nebo služba strategii dispozice pro obsah připojený k účtu uživatele při zrušení zřízení?
Ne. Protokoly auditu se sledují a uchovávají jako funkce podle pokynů pro podmínky online služeb (OST) a prohlášení společnosti Microsoft o zásadách ochrany osobních údajů.
Umožňuje aplikace nebo služba správci explicitně udělit autorizaci datům a možnostem na základě role nebo funkce podle modelu s nejnižšími oprávněními?
Ano. Prostřednictvím rolí Microsoft Entra můžou správci udělit přístup v rámci svého tenanta.
Minimální očekávání je podpora role správce, role uživatele, role správce jen pro čtení (protokol) a neprivilegovaný správce (bez přístupu k obsahu). Poskytujete tuto podporu?
Aplikace nebo služba nemá žádné role s výjimkou role správce. Uživatelé v roli správce zodpovídají za vytváření dalších rolí v rámci svého tenanta. Informace o tom, jak přidávat a odebírat role, najdete v tématu Konfigurace přístupu uživatelů.
Pokud v aplikaci existují oprávnění ke sdílení, umožní aplikace nebo služba správci kontrolovat žádosti o další přístup k datům?
Nevztahuje se.
Umožní aplikace nebo služba správci rozlišit uživatele správce a běžné uživatele?
Ne.
Jaká práva jsou k dispozici pro různé role v aplikaci nebo službě?
Další informace najdete v tématu Role uživatele a přístup.
Auditování
Protokoluje aplikace nebo služba informace ve standardním typu události, jako je CSV, Common Event Format (CEF) nebo Syslog?
Produkt nesdílí data protokolu. Metriky služeb a klíčové ukazatele výkonu (KPI) jsou k dispozici prostřednictvím zobrazení Power BI.
Shromažďuje aplikace nebo služba data o přihlášení, odhlášení, změnách hesla a neúspěšných pokusech o přihlášení?
Ano. Další informace najdete v tématu Sestavy aktivit auditu na portálu Microsoft Entra.
Shromažďuje aplikace nebo služba protokoly auditu akcí správce (vytvoření, aktualizace nebo odstranění uživatelského účtu) nebo akcí specifických pro aplikaci?
Aplikace udržuje historii auditu klíčových změn, jako jsou aktualizace pravidel nebo seznamů. Akce uživatelského účtu a odpovídající historie auditu se řídí prostřednictvím ID Microsoft Entra. Další informace najdete v dokumentaci k sestavám a monitorování microsoft Entra.
Informace o auditování Microsoft Entra naleznete v základních událostech adresáře pro roli aplikace a členství ve skupině v seznamu aktivit auditu Microsoft Entra. Přístup k auditům z portálu Microsoft Entra najdete v protokolech auditu v ID Microsoft Entra.
Shromažďuje aplikace nebo služba protokoly auditu uživatelských akcí (vytvoření dokumentu nebo obsahu, čtení, aktualizace nebo odstranění)?
Nevztahuje se. Podporuje se jenom role správce.
Shromažďuje aplikace nebo služba protokoly auditu akcí metadat (vytvoření, čtení, aktualizace nebo odstranění)?
Ano. Udržuje se historie auditování klíčových změn, jako jsou aktualizace seznamu a pravidel.
Může Společnost Microsoft poskytnout záznamy auditu pro všechny aktivity prováděné s identifikovatelnými osobními údaji (PII)?
Jediné PII je v historii auditu změn pravidel a seznamů. Tato historie je jen pro čtení a nedá se upravit.
Může Microsoft ukládat protokoly a šifrovaná neaktivní uložená data?
Protokoly se spravují podle standardních zásad služeb Microsoft Azure Online Services.
Má Microsoft zavedené postupy pro zjišťování, hlášení a upozorňování na výpadky instance zákazníka v přiměřeném časovém rámci, pokud je instance mimo provoz?
Ano, jsou zavedeny pokročilé možnosti monitorování a upozorňování.
Jaké informace se poskytují zákazníkům, aby ověřili vyjednanou smlouvu o úrovni služeb (SLA)?
Jako zákazník můžete provádět volání mezi servery do služby a přímo monitorovat smlouvu SLA.
Jak se oznámení o výpadku hlásí zákazníkům?
Neproaktivní oznámení o prostojech se nenachází, ale aktuálně je součástí plánu. Zákazníci jsou informováni o všech incidentech zjištěných prostřednictvím upozornění prostřednictvím standardního komunikačního kanálu.
Provozní kontinuita a zotavení po havárii
Umožňuje aplikace nebo služba hromadně exportovat nestrukturovaná data v neproprietárním formátu, jako je csv?
V produktu umožňuje obecné nařízení o ochraně osobních údajů (GDPR) uživatelům exportovat data podle pokynů popsaných v dokumentaci dodržování předpisů.
Uchovávají nestrukturovaná data seznamy řízení přístupu (ACL)?
Ne. Další informace najdete v tématu Prohlášení o zásadách ochrany osobních údajů společnosti Microsoft a Žádosti subjektu údajů Office 365 ve vztahu k nařízením GDPR a CCPA.
Umožňuje aplikace nebo služba hromadně exportovat databáze v neproprietárním formátu?
Ne.
Existují zdokumentované zásady zálohování?
Je zavedená strategie replikace dat ve více oblastech a odolnosti. Další informace o možnostech zálohování a obnovení najdete v tématu Online zálohování a obnovení dat na vyžádání ve službě Azure Cosmos DB.
Má aplikace nebo služba zdokumentovaný plán zotavení po havárii?
Další informace o plánu řízení kontinuity podnikových procesů (EBCM) společnosti Microsoft najdete v dokumentu white paper o programu Enterprise Business Continuity Management Program. (Je vyžadováno přihlášení.)
Zabezpečení dat
Může Microsoft zakázat instanci aplikace v případě incidentu zabezpečení?
Ano.
Chrání aplikace nebo služba data pomocí šifrování TLS (Transport Layer Security)?
Ano.
Jakou úroveň šifrování TLS se používá?
TLS 1.2.
Jaké jsou postupy, jak zákazníkům umožnit přístup k prostředkům, které jsou potřeba k provedení kontroly průniku zabezpečení?
Vyžaduje se firemní, externí a právní záležitosti (CELA) a schválení zabezpečení od Microsoftu.
Má aplikace nebo služba nedávno (méně než tři měsíce staré) test průniku zabezpečení sítě třetí strany?
Ano. Azure tento test pravidelně provádí.
Má aplikace nebo služba nedávno (méně než tři měsíce staré) test průniku zabezpečení aplikace třetí strany?
Ano. Tento test bude k dispozici na vyžádání.
Používá aplikace nebo služba zabezpečenou komunikační metodu, například TLS?
Ano.
Má aplikace nebo služba mobilní klienta?
Ochrana před podvody je webová nabídka softwaru jako služby (SaaS).
Může být aplikace omezená tak, aby umožňovala provoz pouze z důvěryhodných sítí?
Aplikace nemůže být omezena prostřednictvím uživatelského rozhraní (UI). Může se ale omezit prostřednictvím ruční konfigurace.
Má aplikace protokolování provozu a schopnost upozorňovat na normální provoz?
Ano. Tyto funkce jsou dostupné prostřednictvím interního upozorňování a monitorování. Další informace najdete v tématu Monitorování volání rozhraní API.
Pokud infrastruktura ve výchozím nastavení nepodporuje šifrování neaktivních uložených dat, povolí aplikace nebo služba ukládání neaktivních uložených dat v šifrovaných formátech?
Všechna neaktivní uložená data jsou šifrovaná. Další informace najdete v tématu Šifrování dat ve službě Azure Cosmos DB.
Má systém obecný plán uchovávání, aby se data po určité době vyprázdnila?
Ano. Další informace najdete v pokynech pro podmínky online služeb (OST).
Řízení
Máte dobře definovaný program zabezpečení?
Ano. Informace najdete v tématu Microsoft Security Development Lifecycle (SDL).
Zavedla společnost Microsoft zásady zabezpečení informací?
Ano. Informace najdete v tématu SDL (Microsoft Security Development Lifecycle).
Má Microsoft sestavu auditu třetí strany pro zabezpečení a zásady datacentra, ke kterým mám přístup?
Ano. Další informace najdete na portálu Microsoft Service Trust Portal.
Dokončila aplikace nebo služba samoobslužné posouzení Cloud Security Alliance CCM? Pokud ano, můžu k němu přistupovat?
Ano. Navštivte portál Microsoft Service Trust Portal.
Má Microsoft aktuální dokument zásad správy změn?
Ano.
Má aplikace nebo služba zavedenou reakci na incidenty a zásady třídění a zavedené procesy?
Ano.
Další materiály
Nejčastější dotazy k právním aspektům
Nejčastější dotazy k ochraně osobních údajů a zabezpečení
Nejčastější dotazy k rezidenci dat