Übersicht über Konformität
Microsoft Dynamics 365 Fraud Protection wurde unter dem Gesichtspunkt der Einhaltung, des Datenschutzes, der Sicherheit und Zuverlässigkeit konzipiert und soll nur dazu dienen, Betrug zu verhindern und legitime Zahlungstransaktionen zu identifizieren. Microsoft bietet Fraud Protection gemäß den Bedingungen von Microsoft Online Services an, die solide Datenschutzbedingungen einschließen.
Die Microsoft Online Services-Bedingungen, welche Fraud Protection-spezifische Bedingungen umfassen und Ihnen ermitteln helfen, ob Fraud Protection Ihre Anforderungen erfüllt, finden Sie unter: https://www.microsoft.com/licensing/product-licensing/products .
Folgendes liegt in Ihrer Verantwortung:
- Informieren Sie Ihre Kunden über Ihre Datenverarbeitungspraktiken, indem Sie zum Beispiel die von Ihnen erfassten Daten und deren Verwendung offenlegen.
- Geben Sie Ihre Nutzung von Dritten bekannt, die in Ihrem Namen arbeiten, um die von Ihnen erfassten Daten zu verarbeiten, einschließlich Fraud Protection Dienstleistern.
- Befolgen Sie alle Gesetze und Vorschriften, die für die Anwendung von Fraud Protection gelten, einschließlich der Datenschutzgesetze.
Beginnen Sie mit Transparenz
Vergewissern Sie sich vor der Implementierung von Fraud Protection, dass in den Angaben zum Datenschutz in Ihrer E-Commerce-Erfahrung beschrieben ist, wie Sie personenbezogene Daten verwenden und wie sie zur Verhinderung und Aufdeckung von Betrug verwendet werden. Nutzen Sie die Dokumentation zu Fraud Protection, um so Ihre Transparenzanforderungen zu erfüllen.
Datenbetreffanforderungen folgen
Fraud Protection bietet Tools, die Ihnen helfen, den Datensubjekt-Aufforderungen Ihrer Kunden nachzukommen. Mit diesen Tools können Sie Transaktionsdaten aus Assessments löschen und exportieren, die im Fraud Protection-Netzwerk nicht mithilfe von Techniken von Pseudonymisierung verarbeitet wurden. Nachdem Transaktionsdaten im Netzwerk verarbeitete wurden, können sie nicht abgerufen, exportiert, angezeigt oder gelöscht werden. Transaktionsdaten werden als alle Daten von der Anfrage und der Antwortnutzdaten sowie allen Attributen und Anreicherungen definiert, die einer Transaktion angefügt sind. Fraud Protection kann noch aggregierte Daten beibehalten, die mit einem Beitrag von der Transaktion berechnet wurden.
Schein
Das Feld Benutzer-ID in der API-Payload für Lösch- oder -Exportaufrufe ist für Fraud Protection obligatorisch, um die entsprechenden Anträge betroffener Personen erfolgreich zu verarbeiten. Die Benutzer-ID sollte mit der ID identisch sein, die für die Kontoerstellung, die Kontoanmeldung oder den Kauf-API-Aufruf für dieselbe betroffene Person bereitgestellt wurde. Wenn keine oder eine andere Benutzer-ID als die zuvor bereitgestellte angegeben wird, ist es für Fraud Protection äußerst schwierig, die Transaktion zu identifizieren, und Anträge betroffener Personen sind ohne erheblichen Investitionsaufwand schwierig zu bearbeiten.
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Dynamics 365 Fraud Protection API.
- Datensubjektanforderungen
- Schutz der Privatsphäre mit der Microsoft Cloud
Auf der Seite Betreffanforderungen können Sie die folgenden Aufgaben für alle Transaktionen ausführen:
- Transaktionen identifizieren, die persönliche Daten enthalten
- Buchungen löschen
- Exportieren von Buchungen
Datenbetreffanforderungen verwalten
Eine betroffene Person (DSR) ist eine Anfrage zur Änderung personenbezogener Daten, die von Dritten gespeichert werden.
DSR-Anfragen mit Fraud Protection verwalten:
Auf der linken Navigationsleiste unter Einstellungen wählen Sie Abhängige Anforderungen.
Sie können Anforderungen für jede Beurteilung stellen. Wählen Sie für eine Anforderung die Beurteilung, die Datenbetreff-ID und den Wert für die Datenbetreff-ID aus.
- Bei Kontoerstellung, Kontoanmeldung und Kaufschutz lautet die Datenbetreff-ID user.userId.
- Weitere Informationen zu den Datensubjekt-IDs für Beurteilungen, die mit dem Beurteilungsassistenten erstellt wurden, finden Sie unter Datensubjekt-IDs.
Wählen Sie den Typ der Anforderung aus, die Sie stellen möchten (exportieren oder löschen) und überprüfen und bestätigen Sie dann.
Die Tabelle Anforderungen identifiziert die folgenden Eigenschaften für die Anforderungen. Die Anmeldungen behalten exportierte Datenlinks und Informationen 28 Tage lang bei.
- Anforderungs-ID
- Anforderer
- Timestamp
- Anforderungstypen (Löschen oder exportieren)
- Status (pendent oder abgeschlossen)
- Exportierte Datenlinks
API für Anträge betroffener Personen
Mit Fraud Protection können Sie, Anträge betroffener Personen mithilfe unserer API programmgesteuert zu erfüllen. Nachfolgend finden Sie das Schema für unsere DSGVO-APIs.
DSGVO-API-Nutzdaten. Die DSGVO-API wird für den Kontoschutz und den Kaufschutz verwendet.
| Attribut | type | Description | Erforderlich? |
|---|---|---|---|
| SubjectID | Zeichenfolge | Hat die Form „Benutzer:userId“, wobei userId ein Attribut des Benutzerobjekts ist. | Ja |
Nutzdaten für die Anforderungs-ID betroffener Personen. Die Anforderungs-API wird für Beurteilung verwendet.
| Attribut | type | Description | Erforderlich? |
|---|---|---|---|
| AssessmentName | Zeichenfolge | Der Name der Beurteilung. | Ja |
| PropertyName | Zeichenfolge | Der Name der Eigenschaft, die die ID der betroffenen Person ist. Zum Beispiel user.id. | Ja |
| PropertyValue | Zeichenfolge | Der Wert der Eigenschaft, bei der es sich um die ID der betroffenen Person handelt, für die Sie die Anforderung stellen. Zum Beispiel user123. | Ja |
Weitere Dokumentation zu dieser und anderen Fraud Protection-APIs finden Sie unter Dynamics 365 Fraud Protection API.
Datenbetreffanforderungen für Berichte
Datenänderungen durch Anfragen betroffener Personen wirken sich auf die Aggregationsnummern der Berichte aus. Fraud Protection berechnet Berichte neu, um neue Statusaktualisierungen widerzuspiegeln (z. B. Rückbuchungs-Raten im Kaufschutz). Außerhalb dieses beweglichen Zeitfensters werden jedoch nur Momentaufnahmen von aggregierten Daten gespeichert. Die aggregierte Momentaufnahme enthält keine Details auf Transaktionsebene oder personenbezogene Daten mehr. Daher kann die aggregierte Momentaufnahme die Auswirkungen der DSGVO-Löschung nicht widerspiegeln. Beispielsweise kann ein Kunde verlangen, alle Transaktionen auf dem Konto zu löschen, darunter zwei Transaktionen aus dem letzten Monat und eine Transaktion von vor fünf Monaten. Wenn diese DSGVO-Löschanforderung im Fraud Protection verarbeitet wird, zeigt ein aktualisierter Bericht, der so konfiguriert ist, dass er die Daten der letzten vier Monate widerspiegelt, möglicherweise keine Transaktionen im Vormonat an. Berichte, die älter als das zuvor angegebene Zeitfenster von vier Monaten sind, werden nicht aktualisiert. Diese Berichte wirken sich jedoch nicht auf Löschaktionen in den zugrunde liegenden Daten aus.
Fair Credit Reporting Act
Der Fair Credit Reporting Act (FCRA) ist ein Bundesgesetz zum Schutz der Privatsphäre, das die Weitergabe und Verwendung von persönlichen Informationen von Verbrauchern regelt, um die Berechtigung eines Verbrauchers zu bestimmen, ein Produkt oder eine Dienstleistung zu erhalten oder eine andere Transaktion zu tätigen. Der FCRA gilt auch für die Verwendung personenbezogener Verbraucherdaten für nicht kreditbezogene Transaktionen wie Versicherungen, Arbeitsverhältnisse oder sogar Einkäufe im Einzelhandel, bei denen die Reputation oder persönliche Merkmale des Verbrauchers für die Berechtigung relevant sind.
Warum ist der FCRA für Benutzer von Fraud Protection wichtig? Fraud Protection wurde nicht entwickelt, um die Eigenschaften oder das Verhalten von Kreditkartennutzern zu analysieren, was in erster Linie ein Bereich ist, den das FCRA für Verbraucher schützt. Fraud Protection informiert Sie nur über das Risiko, dass die Transaktion von einem Betrüger initiiert wurde, nicht aber darüber, ob der betreffende Einkäufer in der Vergangenheit bereits Betrug begangen hat. Sollte Fraud Protection jemals dazu missbraucht werden, die persönlichen Merkmale eines bestimmten Einkäufers für Zwecke zu bewerten, die durch den FCRA eingeschränkt sind, könnte dieser Missbrauch sowohl für Benutzer als auch für Microsoft schwerwiegende rechtliche Konsequenzen nach sich ziehen. Aus diesem Grund legen wir besonderen Wert darauf, unsere Kunden über die Nutzungsbeschränkungen von Fraud Protection aufzuklären.
Aus diesem Grund werden den Administratoren von Mandanten beim ersten Ausführen von Fraud Protection Formulare zur Nutzungseinwilligung zur Verfügung gestellt, allerdings nur, wenn sie zum ersten Mal auf die Anwendung zugreifen. Produkt-Admin, Globaler Administrator, PSP-Admin und Alle Bereiche-Admin werden mit dieser Benutzererfahrung konfrontiert.