Ofte stillede spørgsmål om beskyttelse af personlige oplysninger og sikkerhed
Denne artikel indeholder svar på ofte stillede spørgsmål om beskyttelse af personlige oplysninger og sikkerhed i Microsoft Dynamics 365 Fraud Protection.
Har Fraud Protection haft sikkerhedsbrud i løbet af de seneste 12 måneder? Hvad er beskedprocessen og tidslinjerne for brud?
Fraud Protection følger Microsofts standardmeddelelsesproces om databrud, der er underlagt de generel forordning om databeskyttelse (GDPR), uanset om en kundes data er underlagt GDPR. Yderligere oplysninger, herunder en beskrivelse af processen og links til yderligere oplysninger, finder du i Microsoft Trust Center. Mens du er der, kan du også konfigurere din organisations kontaktperson for beskyttelse af personlige oplysninger angående beskeder.
Du kan også finde flere oplysninger i Azure-, Dynamics 365- og Windows-besked om brud under GDPR.
Understøtter Fraud Protection kryptering af inaktive data? Hvordan implementeres krypteringen? Bliver nogen data krypteret under transit? Hvad er protokollerne?
Tjenesten Fraud Protection krypterer alle kundedata både inaktive og i transit ved hjælp af de seneste egenskaber fra Azure. Disse egenskaber gennemgås jævnligt af Microsofts sikkerhedsteams.
Ved transitdata bruger Fraud Protection kryptering, der er baseret på TLS (Transport Layer Security).
Microsoft-teknologier som f.eks. Azure Cosmos DB, Azure Blob Storage og Azure Data Lake bruges til at gemme inaktive data. Fraud Protection implementerer strenge grænser for tillid til at sikre, at der ikke er uautoriseret adgang til en forhandlers data i miljøet.
Yderligere oplysninger om Microsofts metode til datakryptering af inaktive data og i transit finder du i oversigten over Azure-kryptering og Azure Data Encryption-at-Rest.
Bemærk!
Bemærk, at Dynamics 365 Fraud Protection ikke understøtter funktioner for administrerede taster (CMK) eller Lockbox.
Vil Fraud Protection behandle, tilgå, overføre eller opbevare af dens forhandlers ikke-offentlige personlige data?
Fraud Protection arbejder med de data, som dens forhandlere leverer via API'er, filoverførsel eller andre dokumenterede mekanismer. De data, som handlende leverer, kan indeholde ikke-offentlige personlige oplysninger, som Fraud Protection behandler, sender og opbevarer inden for dets grænse for overholdelse af angivne standarder ved levering af tjenesten. Handlende kan bruge Fraud Protection til at overføre dataene til et andet system eller oprette flere kopier for at opfylde deres forretningsbehov.
Hvem har adgang til de forhandlerdata og -rapporter i Fraud Protection-systemet? Hvordan begrænser Fraud Protection antallet af personer, der har adgang?
Forhandleren og de Microsoft-medarbejdere, som er tildelt Fraud Protection, har adgang til forhandlerens data. I forbindelse med rapporter i produkter er det kun forhandlere, der har adgang til forhandlerdata. Ved rapporter uden for produkter giver Fraud Protection-datateam forhandlere adgang til at få vist rapporterne. Ikke alle Microsoft-medarbejdere har adgang til forhandlerrapporter.
Fraud Protection implementerer netværks- og rollebaserede adgangskontroller for at begrænse og administrere ekstern adgang til dataene i Fraud Protection. Lejere har funktioner til administration af ekstern adgang til deres data.
Fraud Protection følger Microsofts interne politikker og retningslinjer for styring af intern adgang til produktionstjenester og kundedata. Microsofts medarbejdere nægtes som standard adgang til forhandlerdata og -rapporter ifølge princippet om mindste rettighed. Den tildeles kun til medlemmer af de relevante sikkerhedsgrupper. Medlemskab af sikkerhedsgrupper tildeles på brugerkontoniveau, og hver brugerkonto er entydig og identificeret med en bestemt Microsoft-medarbejder.
Microsofts interne politik giver Microsoft-medarbejdere, der har det relevante sikkerhedsgruppemedlemskab, mulighed for at anmode om midlertidig ("rettidig") højere adgang, så de kan udføre servicering og supportaktiviteter på produktionssystemer. Hver anmodning om rettidig adgang spores og gennemses af det interne anmodningssystem.
Har Fraud Protection en publiceret procedure til at afslutte serviceaftalen, inklusive en sikkerhed for, at alle computerressourcer renses for lejerdata, når en kunde er gået ud af miljøet eller har frigivet en ressource?
Ja. Microsoft Commercial Licensing Terms gælder for Fraud Protection og definerer procedurerne til annullering af en tjeneste. Tillægget om databeskyttelse indeholder en beskrivelse af, hvordan data opbevares og slettes. De pseudonymiserede data, som en forhandler allerede har leveret til Fraud Protection-netværket, fortsætter med at blive behandlet i Fraud Protection-netværket, indtil udløbet af vinduet for tilbageholdelse. Derefter slettes de.
Samarbejder Fraud Protection med en organisation af professionelle sikkerhedstjenester i Microsoft angående support til sikkerhed og teknologi (f.eks. udrulning, svar på hændelser og rapportering)?
Ja. Fraud Protection er en del af Dynamics 365-produktfamilien og følger politikker og retningslinjer, der er defineret for organisationen Dynamics 365 samt Sky og AI. Fraud Protection samarbejder med Azure Security, Microsoft Threat Intelligence Center, Azure Incident Response Team, Microsoft Global Security og andre interne sikkerheds- og overholdelsesteams.
Du kan finde flere oplysninger om sikkerhed for Fraud Protection i Sikkerhedsoversigt for Dynamics 365 Fraud Protection.
Hvordan sikrer Fraud Protection, at datakvalitetsfejl og -risici, som nedarves fra partnere i forsyningskædens sky, inspiceres, tages i betragtning og rettes?
Fraud Protection har et dedikeret datavidenskabsteam. Systemet har også overvågning og påmindelse, der er designet til at registrere og reagere på fejl i datakvalitet og til at vedligeholde kvaliteten af modeller til maskinel indlæring (ML). Datakvalitetsproblemer behandles som produktionshændelser og gennemgås i den samme proces, der bruges til at vedligeholde tjenestens pålidelighed.
Udfører Fraud Protection jævnligt test af indtrængen i netværk for infrastrukturen i cloudtjenesten som foruddefineret af bedste fremgangsmåder og vejledning for branchen? Er resultaterne af netværksindtrængningstest tilgængelige for lejere på deres anmodning?
Fraud Protection bruger branchestandardværktøjer til at scanne koden, og fejlregistrering og alvorsgrad er baseret på NIST 800-30-standarderne.
En uafhængig tredjepart foretager indtrængningstest (blyantstest) af Azure-miljøet mindst én gang om året. Omfanget af blyantstesten bestemmes af Azures risikoområder og krav til overholdelse af angivne standarder. Resultaterne af blyantstesten afhjælpes ud fra kritiske krav. Der er flere oplysninger i Service Trust-portalen.
Udfører Fraud Protection jævnligt sårbarhedsscanninger af netværkslag som foruddefineret af bedste fremgangsmåder for en branche?
Ja, Fraud Protection følger branchestandardens bedste fremgangsmåder. Som skitseret i Azure-Dynamics SOC2-revisionsrapporterne udfører Cloud + AI-sikkerhedsteamet hyppige interne og eksterne scanninger for at identificere sårbarheder og vurdere effektiviteten af programrettelsesprocessen. Tjenester scannes for kendte sårbarheder. Der føjes nye tjenester til næste kvartalsvise scanning baseret på inkluderingsdatoen. Derefter følger de mindst en kvartalsvis scanningsplan. Disse scanninger bruges til at sikre overholdelse af basislinjekonfigurationsskabeloner, til at validere, at de relevante rettelser er installeret, og til at identificere sårbarheder. Scanningsrapporter gennemses af det relevante personale, og afhjælpende foranstaltninger udføres rettidigt.
Yderligere ressourcer
Ofte stillede spørgsmål om service
Ofte stillede spørgsmål om juridiske overvejelser
Ofte stillede spørgsmål om dataopbevaring og GDPR
Ofte stillede spørgsmål om overholdelse af angivne standarder