FAQ zu Sicherheit und Privatsphäre
Dieser Artikel enthält Antworten auf häufig gestellte Fragen (FAQ) zum Datenschutz und zur Sicherheit in Microsoft Dynamics 365 Fraud Protection.
Hat Fraud Protection in den letzten 12 Monaten eine Sicherheitsverletzung erlebt? Wie sehen der Benachrichtigungsprozess und die Fristen für Sicherheitsverletzungen aus?
Fraud Protection folgt dem standardmäßigen Benachrichtigungsprozess von Microsoft bei Datenschutzverletzungen gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO), unabhängig davon, ob die Daten eines Kunden der DSGVO unterliegen. Weitere Informationen, einschließlich einer Beschreibung des Prozesses und weiterführenden Links, finden Sie im Microsoft Trust Center. Während Sie dort sind, können Sie auch den Datenschutzkontakt Ihrer Organisation für Benachrichtigungen einrichten.
Weitere Informationen finden Sie auch in Benachrichtigung bei Sicherheitsverletzungen von Azure, Dynamics 365 und Windows gemäß der DSGVO.
Unterstützt Fraud Protection die Verschlüsselung ruhender Daten? Wie wird die Verschlüsselung bereitgestellt? Werden Daten während der Übertragung verschlüsselt? Wie lauten die Protokolle?
Der Fraud Protection-Dienst verschlüsselt alle Kundendaten, sowohl im Ruhezustand als auch während der Übertragung, indem er die neuesten Funktionen von Azure verwendet. Diese Funktionen werden regelmäßig von Microsoft-Sicherheitsteams überprüft.
Für Daten während der Übertragung verwendet Fraud Protection eine Verschlüsselung, die auf Transport Layer Security (TLS) basiert.
Microsoft-Technologien wie Azure Cosmos DB, Azure Blob Storage und Azure Data Lake werden zum Speichern von ruhenden Daten verwendet. Fraud Protection implementiert strenge Vertrauensgrenzen, um sicherzustellen, dass es keinen unbefugten Zugriff auf die Daten eines Händlers in seiner Umgebung gibt.
Weitere Informationen zum Ansatz von Microsoft zur Datenverschlüsselung im Ruhezustand und bei der Übertragung finden Sie unter Übersicht über die Azure-Verschlüsselung und Azure-Datenverschlüsselung im Ruhezustand.
Notiz
Bitte beachten Sie, dass Dynamics 365 Fraud Protection keine Funktionalitäten für Customer Managed Keys (CMK) oder Lockbox unterstützt.
Verarbeitet Fraud Protection die nicht-öffentlichen personenbezogenen Daten seiner Händler, überträgt sie, speichert sie oder greift darauf zu?
Fraud Protection arbeitet mit den Daten, die seine Händler über APIs, Datei-Upload oder andere dokumentierte Mechanismen bereitstellen. Die von Händlern bereitgestellten Daten können nicht-öffentliche personenbezogene Daten enthalten, die Fraud Protection innerhalb seiner Compliance-Grenze verarbeitet, überträgt und speichert, um den Dienst bereitzustellen. Händler können Fraud Protection verwenden, um die Daten an ein anderes System zu übertragen oder zusätzliche Kopien zu erstellen, um ihre Geschäftsanforderungen zu erfüllen.
Wer hat Zugriff auf Händlerdaten und Berichte im Fraud Protection-System? Wie begrenzt Fraud Protection die Anzahl der Personen, die Zugriff haben?
Der Händler und die Fraud Protection zugeordneten Microsoft-Mitarbeiter haben Zugriff auf die Daten des Händlers. Bei produktinternen Berichten haben nur Händler Zugriff auf Händlerdaten. Bei Out-of-Product-Berichten gewährt das Data-Science-Team von Fraud Protection den Händlern Zugriff auf die Berichte. Nicht alle Microsoft-Mitarbeiter haben Zugriff auf die Berichte des Händlers.
Fraud Protection implementiert netzwerk- und rollenbasierte Zugriffskontrollen, um den externen Zugriff auf die Daten innerhalb von Fraud Protection zu beschränken und zu verwalten. Mandanten erhalten Funktionen zur Verwaltung des externen Zugriffs auf ihre Daten.
Fraud Protection folgt den internen Richtlinien von Microsoft, um den internen Zugriff auf Produktionsdienste und Kundendaten zu verwalten. Standardmäßig wird Microsoft-Mitarbeitern gemäß dem Prinzip der geringsten Rechte der Zugriff auf Händlerdaten und -berichte verweigert. Er wird nur Mitgliedern der entsprechenden Sicherheitsgruppen gewährt. Die Mitgliedschaft in einer Sicherheitsgruppe wird auf Benutzerkontoebene gewährt, und jedes Benutzerkonto ist eindeutig und einem bestimmten Microsoft-Mitarbeiter zugeordnet.
Die interne Richtlinie von Microsoft ermöglicht es Microsoft-Mitarbeitern, die über die entsprechende Sicherheitsgruppenmitgliedschaft verfügen, temporären („Just-In-Time“) erhöhten Zugriff anzufordern, damit sie Wartungs- und Supportaktivitäten auf Produktionssystemen durchführen können. Jede Just-in-Time-Zugangsanfrage wird vom internen Ticketing-System verfolgt und überprüft.
Bietet Fraud Protection ein veröffentlichtes Verfahren zum Beenden der Servicevereinbarung, einschließlich einer Zusicherung, dass alle Computerressourcen von Mandantendaten bereinigt werden, nachdem ein Kunde die Umgebung verlassen oder eine Ressource freigemacht hat?
Ja. Microsofts kommerzielle Lizenzbedingungen gelten für Fraud Protection und definieren die Verfahren zur Kündigung eines Dienstes. Im Nachtrag zum Datenschutz werden Einzelheiten dazu beschrieben, wie Daten aufbewahrt und gelöscht werden. Die pseudonymisierten Daten, die ein Händler bereits an das Fraud Protection-Netzwerk übermittelt hat, werden innerhalb des Fraud Protection-Netzwerks bis zum Ende ihres gleitenden Aufbewahrungszeitraums weiter verarbeitet. Danach werden sie gelöscht.
Arbeitet Fraud Protection mit einer professionellen Sicherheitsdienstorganisation innerhalb von Microsoft zusammen, um Sicherheits- und Technologiesupport zu erhalten (z. B. Bereitstellung, Reaktion auf Vorfälle und Berichterstellung)?
Ja. Fraud Protection ist Teil der Dynamics 365-Produktfamilie und folgt Richtlinien und Leitfäden, die für die Dynamics 365- und Cloud- und KI-Organisation definiert sind. Fraud Protection arbeitet mit Azure Security, Microsoft Threat Intelligence Center, Azure Incident Response Team, Microsoft Global Security und anderen internen Sicherheits- und Compliance-Teams zusammen.
Weitere Informationen zur Sicherheit für Fraud Protection finden Sie unter Sicherheitsüberblick für Dynamics 365 Fraud Protection.
Wie stellt Fraud Protection sicher, dass Datenqualitätsfehler und Risiken, die von Partnern in der Cloud-Lieferkette übernommen werden, geprüft, berücksichtigt und korrigiert werden?
Fraud Protection verfügt über ein dediziertes Data-Science-Team. Es verfügt auch über ein Überwachungs- und Warnsystem, das darauf ausgelegt ist, Datenqualitätsfehler zu erkennen und darauf zu reagieren und die Qualität von Modellen für maschinelles Lernen (ML) aufrechtzuerhalten. Datenqualitätsprobleme werden als Produktionsvorfälle behandelt und durch denselben Prozess überprüft, der zur Aufrechterhaltung der Dienstzuverlässigkeit verwendet wird.
Führt Fraud Protection regelmäßig Netzwerk-Penetrationstests der Clouddienst-Infrastruktur durch, wie in den Best Practices und Leitlinien der Branche vorgeschrieben? Stehen den Mandanten die Ergebnisse der Netzpenetrationstests auf Anfrage zur Verfügung?
Fraud Protection verwendet branchenübliche Tools zum Scannen des Codes, und die Fehlererkennung und der Schweregrad basieren auf den NIST 800-30-Standards.
Ein unabhängiger Dritter führt mindestens einmal jährlich einen Penetrationstest (Pentest) in der Azure-Umgebung durch. Der Umfang des Penetrationstests wird durch die Risikobereiche und Compliance-Anforderungen von Azure bestimmt. Die Ergebnisse des Pen-Tests werden basierend auf der Kritikalität korrigiert. Weitere Informationen finden Sie im Service Trust Portal.
Führt Fraud Protection regelmäßig Schwachstellen-Scans auf Netzwerkebene durch, wie es die Best Practices der Branche vorschreiben?
Ja, Fraud Protection folgt branchenüblichen Best Practices. Wie in den Überwachungsberichten von Azure-Dynamics SOC2 beschrieben, führt das Cloud + AI Security-Team häufig interne und externe Scans durch, um Schwachstellen zu identifizieren und die Effektivität des Patch-Management-Prozesses zu bewerten. Dienste werden auf bekannte Schwachstellen gescannt. Neue Dienste werden basierend auf ihrem Aufnahmedatum zum nächsten zeitgesteuerten vierteljährlichen Scan hinzugefügt. Sie folgen dann mindestens einem vierteljährlichen Scan-Zeitplan. Diese Scans werden verwendet, um die Einhaltung der Basiskonfigurationsvorlagen sicherzustellen, zu überprüfen, ob relevante Patches installiert sind, und Schwachstellen zu identifizieren. Die Scan-Berichte werden von entsprechendem Personal überprüft, und es werden zeitnah Abhilfemaßnahmen ergriffen.
Zusätzliche Ressourcen
Häufig gestellte Fragen zum Dienst
Häufig gestellte Fragen zu rechtlichen Überlegungen
Häufig gestellte Fragen zu Datenresidenz und DSGVO