Domande frequenti sulla sicurezza e sulla privacy
Questo articolo fornisce risposte alle domande frequenti su privacy e sicurezza in Microsoft Dynamics 365 Fraud Protection.
Fraud Protection ha subito una violazione della sicurezza negli ultimi 12 mesi? Quali sono il processo di notifica delle violazioni e le tempistiche?
Fraud Protection segue il processo standard di notifica delle violazioni dei dati di Microsoft soggetto ai requisiti del regolamento generale sulla protezione dei dati (GDPR), indipendentemente dal fatto che i dati del cliente siano soggetti al GDPR. Per ulteriori informazioni, inclusa una descrizione del processo e collegamenti per ulteriori informazioni, vedi Centro protezione Microsoft. Mentre sei lì, puoi anche configurare il contatto per la privacy della tua organizzazione per le notifiche.
Puoi trovare maggiori informazioni anche in Notifica di violazione di Azure, Dynamics 365 e Windows ai sensi del GDPR.
Fraud Protection supporta la crittografia dei dati inattivi? Come viene implementata la crittografia? Ci sono dati crittografati in transito? Quali sono i protocolli?
Il servizio Fraud Protection crittografa tutti i dati dei clienti, sia inattivi che in transito, utilizzando le funzionalità più recenti di Azure. Queste funzionalità vengono regolarmente riviste dai team di sicurezza di Microsoft.
Per i dati in transito, Fraud Protection utilizza la crittografia basata su Transport Layer Security (TLS).
Le tecnologie Microsoft come Azure Cosmos DB, Archiviazione BLOB di Azure e Azure Data Lake vengono usate per archiviare i dati inattivi. Fraud Protection implementa limiti di affidabilità rigorosi per garantire che non vi sia accesso non autorizzato ai dati di un commerciante nel suo ambiente.
Per ulteriori informazioni sull'approccio di Microsoft alla crittografia dei dati inattivi e in transito, vedi Panoramica sulla crittografia di Azure e Crittografia dei dati inattivi di Azure.
Nota
Dynamics 365 Fraud Protection non supporta le funzionalità Customer Managed Keys (CMK) o Lockbox.
Fraud Protection elabora, accede, trasmette o archivia i dati personali non pubblici del suo commerciante?
Fraud Protection funziona con i dati forniti dai suoi commercianti tramite API, caricamento di file o altri meccanismi documentati. I dati forniti dai commercianti potrebbero contenere dati personali non pubblici che Fraud Protection elabora, trasmette e archivia all'interno del proprio limite di conformità per fornire il servizio. I commercianti potrebbero utilizzare Fraud Protection per trasmettere i dati a un sistema diverso o creare copie aggiuntive per soddisfare le proprie esigenze aziendali.
Chi ha accesso ai dati e alle segnalazioni del commerciante nel sistema di Fraud Protection? In che modo Fraud Protection limita il numero di persone che hanno accesso?
Il commerciante e i dipendenti Microsoft assegnati a Fraud Protection hanno accesso ai dati del commerciante. Per i report di prodotto, solo i commercianti hanno accesso ai dati del commerciante. Per i report fuori prodotto, il team di data science di Fraud Protection offre ai commercianti l'accesso per visualizzare i report. Non tutti i dipendenti Microsoft avranno accesso ai report del commerciante.
Fraud Protection implementa controlli di rete e di accesso basati sui ruoli per limitare e gestire l'accesso esterno ai dati all'interno di Fraud Protection. Ai tenant vengono fornite funzionalità per la gestione dell'accesso esterno ai propri dati.
Fraud Protection segue i criteri e le linee guida interne di Microsoft per gestire l'accesso interno ai servizi di produzione e ai dati dei clienti. Per impostazione predefinita, l'accesso ai dati e ai report del commerciante è negato al personale Microsoft, secondo il principio del privilegio minimo. Viene concesso solo ai membri dei gruppi di sicurezza appropriati. L'appartenenza al gruppo di sicurezza è concessa a livello di account utente e ogni account utente è univoco e identificato con uno specifico dipendente Microsoft.
I criteri interni di Microsoft consentono ai dipendenti Microsoft che dispongono dell'appartenenza al gruppo di sicurezza appropriato di richiedere un accesso elevato temporaneo ("just-in-time") in modo che possano eseguire attività di assistenza e supporto sui sistemi di produzione. Ogni richiesta di accesso just-in-time viene tracciata e rivista dal sistema di ticket interno.
Fraud Protection fornisce una procedura pubblicata per uscire dall'accordo di servizio, inclusa la garanzia che tutte le risorse informatiche verranno ripulite dai dati dei tenant dopo che un cliente è uscito dall'ambiente o ha liberato una risorsa?
Sì. Le condizioni di licenza commerciale Microsoft si applicano a Fraud Protection e definiscono le modalità di cancellazione di un servizio. L'addendum sulla protezione dei dati descrive i dettagli su come i dati vengono conservati ed eliminati. I dati pseudonimizzati che un commerciante ha già fornito alla rete Fraud Protection continueranno a essere elaborati all'interno della rete Fraud Protection fino al termine della sua finestra di conservazione scorrevole. Quindi, verranno eliminati.
Fraud Protection collabora con qualsiasi organizzazione di servizi di sicurezza professionale all'interno di Microsoft per la sicurezza e il supporto tecnologico (ad esempio, distribuzione, risposta agli incidenti e reportistica)?
Sì. Fraud Protection fa parte della famiglia di prodotti Dynamics 365 e segue criteri e linee guida definiti per l'organizzazione Dynamics 365 e Cloud e IA. Fraud Protection collabora con Sicurezza di Azure, Centro informazioni sulle minacce Microsoft, Team di risposta agli incidenti di Azure, Sicurezza globale Microsoft e altri team interni di sicurezza e conformità.
Per ulteriori informazioni sulla sicurezza per Fraud Protection, vedi Panoramica sulla sicurezza per Dynamics 365 Fraud Protection.
In che modo Fraud Protection garantisce che gli errori e i rischi relativi alla qualità dei dati ereditati dai partner nella supply chain del cloud vengano ispezionati, contabilizzati e corretti?
Fraud Protection dispone di un team di data science dedicato. Dispone inoltre di un sistema di monitoraggio e avviso progettato per rilevare e rispondere agli errori di qualità dei dati e per mantenere la qualità dei modelli di machine learning (ML). I problemi di qualità dei dati vengono trattati come incidenti di produzione e vengono riesaminati attraverso lo stesso processo utilizzato per mantenere l'affidabilità del servizio.
Fraud Protection conduce regolarmente test di penetrazione della rete dell'infrastruttura del servizio cloud, come prescritto dalle procedure consigliate e dalle linee guida del settore? I risultati dei test di penetrazione della rete sono disponibili per i tenant su loro richiesta?
Fraud Protection utilizza strumenti standard del settore per scansionare il codice e il rilevamento e la gravità dei bug si basano sugli standard NIST 800-30.
Una terza parte indipendente esegue un test di penetrazione (test della penna) nell'ambiente Azure almeno una volta all'anno. L'ambito del test di penetrazione è determinato dalle aree di rischio e dai requisiti di conformità di Azure. I risultati del test sono corretti in base alla criticità. Per ulteriori informazioni, visita il Portale di affidabilità del servizio.
Fraud Protection esegue regolarmente scansioni di vulnerabilità a livello di rete, come prescritto dalle procedure consigliate del settore?
Sì, Fraud Protection segue le procedure consigliate standard del settore. Come illustrato nei report di controllo Azure-Dynamics SOC2, il team di sicurezza Cloud + IA esegue scansioni interne ed esterne frequenti per identificare le vulnerabilità e valutare l'efficacia del processo di gestione delle patch. I servizi vengono scansionati alla ricerca di vulnerabilità note. Nuovi servizi vengono aggiunti alla successiva scansione trimestrale a tempo, in base alla loro data di inclusione. Quindi seguono almeno un programma di scansione trimestrale. Queste scansioni vengono utilizzate per garantire la conformità ai modelli di configurazione di base, convalidare l'installazione delle patch pertinenti e identificare le vulnerabilità. I report analizzati vengono esaminati dal personale appropriato e gli impegni di riparazione sono condotti in modo tempestivo.
Risorse aggiuntive
Domande frequenti sul servizio
Domande frequenti sulle considerazioni legali
Domande frequenti sulla residenza dei dati e GDPR