Del via

Ofte stillede spørgsmål om sikkerhedsvurdering

  • Artikel

Denne artikel indeholder svar på ofte stillede spørgsmål om sikkerhedsvurdering i Microsoft Dynamics 365 Fraud Protection.

Godkendelse og administration

Understøtter programmet eller tjenesten enkeltlogon (SSO) via Security Assertion Markup Language (SAML) 1.1, SAML 2.0 eller Web Services Federation (WS-Fed)?

Ja.

  • Portal: SPA - OAuth 2.0 og OpenID Connect med brug af godkendelseskode-flow med PKCE via MSAL v2 biblioteket.
  • Service-til-service backend-API: OAuth 2.0
  • Fingeraftrykstjeneste: Anonym
  • Azure Stack: SAS-token (Shared Access Signature) til lager

Findes der en URL-adresse med "bagindgang", der tillader brugere eller administratorer at springe over SSO?

Nej

Understøtter programmet Okta-integration (SSO-platform)?

Okta-integration understøttes ikke som standard. Microsoft Entra understøtter brugerdefinerede integrationer. Da forhandleren ejer lejeren, kan forhandleren drage fordel af Microsoft Entra-identitetsintegrationspunkter. Du kan få flere oplysninger i dokumentationen til Microsoft Entra.

Understøtter programmet eller tjenesten godkendelse med to faktorer (2FA)?

Ja. Forhandleren kan aktivere 2FA i Microsoft Entra ID.

Hvad er 2FA-løsningen?

2FA-løsningen er Azure Multi-Factor Authentication, en Microsoft Entra-funktion. Du kan finde flere oplysninger under Sådan fungerer det: Azure Multi-Factor Authentication.

Understøtter programmet adgangskoder på programniveau?

Nej. Bruger- og programidentiteter administreres på kundens Microsoft Entra-konto.

Hvilken hash- eller krypteringsalgoritme bruges til at beskytte adgangskoder?

Ikke relevant.

Bruges hash-saltning?

Ikke relevant.

Bruger programmet eller tjenesten automatisk klargøring af konto? Hvordan gøres det i så fald (f.eks. efter anmodning via SAML, automatiske kommaseparerede værdier [CSV] i feed via sikker overførsel eller API)?

Nej, og ikke relevant.

Bruger programmet eller tjenesten en umiddelbar kontoadgangsafslutning, herunder lukning af åbne sessioner?

Nej. Udløb af Microsoft Entra-token er justeret i forhold til afslutning af brugeradgang og ikke sessionen.

Hvis kontoafslutningen ikke er automatisk, udføres denne handling så inden for en time af en anmodning om afslutning af kontoadgang?

Ja, pr. Microsoft Entra-politik. Du kan få flere oplysninger i dokumentationen til Microsoft Entra.

Hvad er sessionens timeout for inaktivitet i programmet?

I henhold til Microsoft Entra-politikken justeres timeout for inaktiv session med tokenets gyldighedsperiode.

Bruger programmet eller tjenesten en automatisk proces for deaktivering af klargjort konto via en API?

Nej.

Giver programmet eller tjenesten en dispositionsstrategi for indhold, der er knyttet til en brugers konto, ved deaktivering af klargøring?

Nej. Det er kun overvågningslogge, der spores og bibeholdes som funktioner pr. OST-retningslinjer (Online Services Terms) og Microsofts erklæring om beskyttelse af personlige oplysninger.

Giver programmet eller tjenesten administratoren mulighed for direkte at give tilladelse til data og egenskaber, der er baseret på rolle og/eller funktion, i overensstemmelse med den mindste rettighedsmodel?

Ja. Via Microsoft Entra-roller kan administratorer give adgang i deres lejer.

Som minimum forventes understøttelse af rollen som administrator, bruger, skrivebeskyttet administrator (log) og ikke-privilegeret administrator (ingen adgang til indhold). Findes denne understøttelse?

Programmet/tjenesten har ingen roller ud over rollen som administrator. Brugere i administratorrollen er ansvarlige for at oprette flere roller inden for deres lejer. Du kan finde oplysninger om, hvordan du tilføjer og fjerner roller, under Konfigurere brugeradgang.

Hvis der er delingstilladelser i programmet, kan programmet eller tjenesten give administratoren tilladelse til at gennemse brugeranmodninger om yderligere adgang til data?

Ikke relevant.

Lader programmet eller tjenesten administratorbrugeren skelne mellem administratorbrugere og almindelige brugere?

Nej

Hvilke rettigheder er tilgængelige for de forskellige roller i programmet eller tjenesten?

Du kan finde flere oplysninger i Brugerroller og -adgang.

Overvågning

Indeholder program- eller servicelogfilen oplysninger i en branchestandardtype af hændelsesformat, f.eks. CSV, Common Event Format (CEF) eller Syslog?

Logdata bliver ikke delt af produktet. Servicemålepunkter og KPI'er (Key Performance Indicators) kan ses i Power BI-visninger.

Indsamler eller leverer programmet eller tjenesten data om brugerlogon, log af, adgangskodeændringer og mislykkede logonforsøg?

Ja. Du kan få flere oplysninger under Overvågning af aktivitetsrapporter på Microsoft Entra-portalen.

Indsamler eller leverer programmet eller tjenesten revisionslogge over administratorhandlinger (oprettelse/opdatering/sletning af brugerkonto) eller programspecifikke handlinger?

Programmet vedligeholder en revisionsoversigt over nøgleændringer, f.eks. regel- eller listeopdateringer. Brugerkontohandlinger og tilsvarende overvågningshistorik styres via Microsoft Entra ID. Du kan få flere oplysninger i Microsoft Entra-rapporter og -overvågningsdokumentation.

Du kan få oplysninger om Microsoft Entra-overvågning i de centrale kataloghændelser for programrolle og gruppemedlemskab på listen over Microsoft Entra-overvågningsaktiviteter. Hvis du vil have adgang til overvågninger fra Microsoft Entra-portalen, skal du se Overvågningslogge i Microsoft Entra-id.

Indsamler eller leverer programmet eller tjenesten revisionslogge over brugerhandlinger (oprettelse/læsning/opdatering/sletning af dokument eller indhold)?

Ikke relevant. Kun administratorrollen understøttes.

Indsamler eller leverer programmet eller tjenesten revisionslogge over metadatahandlinger (oprettelse/læsning/opdatering/sletning)?

Ja. En revisionsoversigt over nøgleændringer, f.eks. regel- eller listeopdateringer, vedligeholdes.

Kan Microsoft levere revisionsspor til alle aktiviteter, der udføres på personidentificerbare oplysninger (PII)?

De eneste PII findes i revisionshistorikken for regel- og listeændringer. Denne historik er skrivebeskyttet og kan ikke ændres.

Kan Microsoft opbevare logge og krypterede inaktive data?

Logge vedligeholdes pr. standardpolitik for Microsoft Azure Online Services.

Har Microsoft procedurer på plads til at registrere, rapportere og advare om nedetiden for kundeforekomsten inden for en rimelig tidsramme, hvis forekomsten er nede?

Ja, vi har implementeret avancerede overvågnings- og varslingsfunktioner.

Hvilke oplysninger gives til kunderne for at validere den indgående serviceniveauaftale (SLA)?

Som kunde kan du foretage et server-til-server-opkald til tjenesten og overvåge SLA direkte.

Hvordan bliver besked om nedetid rapporteret til kunderne?

Der findes ingen proaktiv besked om nedetid, men den er i øjeblikket en del af fremtidsplanen. Kunderne får besked om eventuelle hændelser, der er opdaget, via en besked gennem standardkommunikationskanalen.

Forretningskontinuitet og it-katastrofeberedskab

Giver programmet eller tjenesten mulighed for at eksportere ustrukturerede data samlet i et ikke-beskyttet format, f.eks. CSV?

I produktet kan brugerne benytte generel forordning om databeskyttelse (GDPR) til at eksportere data under de retningslinjer, der er beskrevet i Dokumentation om overholdelse af angivne standarder.

Bevarer de ustrukturerede data sikkerhedsadgangskontrollister (ACL'er)?

Nej Yderligere oplysninger finder du i Anmodninger fra de registrerede personer GDPR og CCPA.

Giver programmet eller tjenesten mulighed for at eksportere databaser samlet i et ikke-beskyttet format?

Nej

Er der en dokumenteret backuppolitik?

Der er indført en strategi for datareplikering i flere områder og modstandsdygtighed. Yderligere oplysninger om funktionen til backup og gendannelse finder du under Online backup og datagendannelse efter behov i Azure Cosmos DB.

Har programmet eller tjenesten en dokumenteret plan for it-katastrofeberedskab?

Yderligere oplysninger om planen Microsoft Enterprise Business Continuity Management (EBCM) du i Hvidbogen om programmet Enterprise Business Continuity Management. (Logon er påkrævet).

Datasikkerhed

Kan Microsoft deaktivere programforekomsten i tilfælde af en sikkerhedsrelateret hændelse?

Ja.

Beskytter programmet eller tjenesten data ved hjælp af TLS-kryptering (Transport Layer Security)?

Ja.

Hvilket TLS-krypteringsniveau bruges?

TLS 1.2.

Hvilke procedurer giver kunderne adgang til de ressourcer, der skal bruges til scanning af sikkerhedsindtrængning?

CELA (Corporate, External, & Legal Affairs) og sikkerhedsgodkendelse fra Microsoft er påkrævet.

Har programmet eller tjenesten en nyere (under tre måneder gammel) indtrængningstest af netværkssikkerhed fra tredjepart?

Ja. Azure udfører jævnligt denne test.

Har programmet eller tjenesten en nyere (under tre måneder gammel) indtrængningstest af programsikkerhed fra tredjepart?

Ja. Denne test vil blive leveret efter anmodning.

Bruger programmet eller tjenesten en sikker kommunikationsmetode, f.eks. TLS?

Ja.

Har programmet eller tjenesten en mobilklient?

Fraud Protection er et webbaseret Software som en service-tilbud (SaaS).

Kan programmet være begrænset, så det kun tillader trafik fra netværk, der er tillid til?

Programmet kan ikke begrænses via brugergrænsefladen (UI). Det kan dog være begrænset gennem manuel konfiguration.

Har programmet trafikrapportering og giver det mulighed for at give besked om normal trafik?

Ja. Disse funktioner er tilgængelige via intern varsling og overvågning. Du kan finde flere oplysninger under Overvågning af API-kald.

Hvis infrastrukturen ikke understøtter standardkryptering af inaktive data, giver programmet eller tjenesten så mulighed for, at inaktive data gemmes i et krypteret format?

Alle inaktive data krypteres. Du kan finde flere oplysninger under Datakryptering i Azure Cosmos DB.

Har systemet en generel opbevaringsplan, så dataene slettes efter en given periode?

Ja. Yderligere oplysninger finder du i retningslinjerne Vilkår for onlinetjenester.

Styring

Er der et veldefineret sikkerhedsprogram?

Ja. Du kan finde oplysninger i Microsoft Security Development Lifecycle (SDL).

Har Microsoft etableret informationssikkerhedspolitik?

Ja. Du kan finde flere oplysninger i Microsoft Security Development Lifecycle (SDL).

Har Microsoft en revisionsrapport fra tredjepart til datacenterets sikkerhed og politikker, som jeg kan se?

Ja. Yderligere oplysninger finder du ved at besøge Microsoft Service Trust-portalen.

Har programmet eller tjenesten fuldført selvvurdering med Cloud Security Alliance CCM? Har jeg i så fald adgang til den?

Ja. Besøg Microsoft Service Trust-portalen.

Har Microsoft et aktuelt dokument om politik for ændringsstyring?

Ja.

Har programmet eller tjenesten fastlagte hændelsessvar og udvælgelsespolitikker og etablerede processer?

Ja.

Yderligere ressourcer

Ofte stillede spørgsmål om service

Ofte stillede spørgsmål om juridiske overvejelser

Ofte stillede spørgsmål om beskyttelse af personlige oplysninger og sikkerhed

Ofte stillede spørgsmål om dataopbevaring

Ofte stillede spørgsmål om overholdelse af angivne standarder

Undtagelser for EU-datagrænser for Fraud Protection