보안 평가 FAQ
이 문서에서는 Microsoft Dynamics 365 Fraud Protection의 보안 평가에 대한 질문과 대답을 제공합니다.
인증 및 관리
애플리케이션 또는 서비스에서 SAML(Security Assertion Markup Language) 1.1, SAML 2.0 또는 WS-Fed(Web Services Federation)를 통해 SSO(Single Sign-On)를 지원하나요?
예.
- 포털: SPA - OAuth 2.0 및 OpenID 커넥트 MSAL v2 라이브러리를 통해 PKCE로 인증 코드 흐름을 사용합니다.
- 서비스 대 서비스 백 엔드 API: OAuth 2.0
- 지문 서비스: 익명
- Azure Stack: 스토리지에 대한 SAS(공유 액세스 서명) 토큰
사용자 또는 관리자가 SSO를 우회할 수 있는 "백도어" URL이 있나요?
아니요.
애플리케이션이 Okta 통합(SSO 플랫폼)을 지원하나요?
Okta 통합은 기본적으로 지원되지 않습니다. Microsoft Entra는 사용자 지정 통합을 지원합니다. 가맹점이 테넌트 소유이기 때문에 가맹점은 Microsoft Entra ID 통합 지점을 활용할 수 있습니다. 자세한 내용은 Microsoft Entra 설명서를 참조 하세요.
애플리케이션 또는 서비스가 2FA(2단계 인증)를 지원하나요?
예. 판매자는 Microsoft Entra ID에서 2FA를 사용하도록 설정할 수 있습니다.
2FA 솔루션이란?
2FA 솔루션은 Microsoft Entra 기능인 Azure Multi-Factor Authentication입니다. 자세한 내용은 작동 방법: Azure Multi-Factor Authentication을 참조하세요.
애플리케이션에서 애플리케이션 수준 암호를 지원하나요?
아니요. 사용자 및 애플리케이션 ID는 고객의 Microsoft Entra 계정에서 관리됩니다.
암호를 보호하는 데 사용되는 해시 또는 암호화 알고리즘은 무엇인가요?
해당 없음.
해시 솔팅을 사용하나요?
해당 없음.
애플리케이션 또는 서비스에서 자동 계정 프로비저닝을 사용하나요? 그렇다면 어떻게 수행됩니다(예: SAML을 통한 주문형, 보안 전송을 통한 자동화된 쉼표로 구분된 값 [CSV] 피드 또는 API)?
아니요, 적용할 수 없습니다.
애플리케이션 또는 서비스는 열려 있는 세션 닫기를 포함하여 즉각적인 계정 액세스 종료를 사용하나요?
아니요. Microsoft Entra 토큰 만료는 세션이 아닌 사용자 액세스 종료에 맞춰집니다.
계정 종료가 자동으로 수행되지 않는 경우 이 작업은 계정 액세스 종료 요청 후 1시간 이내에 수행합니까?
예, Microsoft Entra 정책에 따라. 자세한 내용은 Microsoft Entra 설명서를 참조 하세요.
애플리케이션의 세션 유휴 시간 제한은 무엇인가요?
Microsoft Entra 정책에 따라 세션 유휴 시간 제한은 토큰 유효 기간에 맞춰집니다.
애플리케이션 또는 서비스에서 API를 통해 자동 계정 프로비전 해제 프로세스를 사용하나요?
아니요.
애플리케이션 또는 서비스는 프로비전 해제 시 사용자 계정에 연결된 콘텐츠에 대한 처리 전략을 제공하나요?
아니요. 감사 로그만 추적되고 OST(온라인 서비스 약관) 지침 및 Microsoft 개인정보처리방침에 따라 기능으로 유지됩니다.
애플리케이션 또는 서비스에서 관리자가 최소 권한 모델에 따라 역할 및/또는 함수에 따라 데이터 및 기능에 대한 권한 부여를 명시적으로 허용하나요?
예. 관리자는 Microsoft Entra 역할을 통해 테넌트 내에서 액세스 권한을 부여할 수 있습니다.
최소한의 기대는 관리자 역할, 사용자 역할, 읽기 전용 관리자(로그) 역할 및 권한 없는 관리자(콘텐츠에 대한 액세스 없음) 역할에 대한 지원입니다. 이 지원을 제공합니까?
애플리케이션/서비스에는 관리자 역할을 제외한 역할이 없습니다. 관리자 역할의 사용자는 테넌트 내에서 추가 역할을 만들 책임이 있습니다. 역할을 추가하고 제거하는 방법에 대한 자세한 내용은 사용자 액세스 구성을 참조하세요.
애플리케이션에 공유 권한이 있는 경우 애플리케이션 또는 서비스에서 관리자가 데이터에 대한 추가 액세스에 대한 사용자 요청을 검토하도록 허용하나요?
해당 없음.
애플리케이션 또는 서비스를 통해 관리자 사용자가 관리자 사용자와 일반 사용자를 구분할 수 있나요?
아니요.
애플리케이션 또는 서비스의 다양한 역할에 사용할 수 있는 권한은 무엇인가요?
자세한 내용은 사용자 역할 및 액세스를 참조하세요.
감사
애플리케이션 또는 서비스가 CSV, CEF(Common Event Format) 또는 Syslog와 같은 업계 표준 유형의 이벤트 형식으로 정보를 기록하나요?
로그 데이터는 제품에서 공유되지 않습니다. 서비스 메트릭 및 KPI(핵심 성과 지표)는 Power BI 보기를 통해 사용할 수 있습니다.
애플리케이션 또는 서비스에서 사용자 로그인, 로그아웃, 암호 변경 및 실패한 로그인 시도에 대한 데이터를 수집하거나 제공하나요?
예. 자세한 내용은 Microsoft Entra 포털의 감사 활동 보고서를 참조 하세요.
애플리케이션 또는 서비스에서 관리자 작업(사용자 계정 만들기/업데이트/삭제) 또는 애플리케이션별 작업의 감사 로그를 수집하거나 제공하나요?
애플리케이션은 규칙 또는 목록 업데이트와 같은 주요 변경 내용의 감사 기록을 기본. 사용자 계정 작업 및 해당 감사 기록은 Microsoft Entra ID를 통해 제어됩니다. 자세한 내용은 Microsoft Entra 보고서 및 모니터링 설명서를 참조 하세요.
Microsoft Entra 감사에 대한 자세한 내용은 Microsoft Entra 감사 활동 목록에서 애플리케이션 역할 및 그룹 멤버 자격에 대한 핵심 디렉터리 이벤트를 참조하세요. Microsoft Entra 포털에서 감사에 액세스하려면 Microsoft Entra ID의 감사 로그를 참조하세요.
애플리케이션 또는 서비스에서 사용자 작업(문서 또는 콘텐츠 만들기/읽기/업데이트/삭제)의 감사 로그를 수집하거나 제공하나요?
해당 없음. 관리자 역할만 지원됩니다.
애플리케이션 또는 서비스가 메타데이터 작업의 감사 로그를 수집하거나 제공하나요(만들기/읽기/업데이트/삭제)?
예. 목록 및 규칙 업데이트와 같은 주요 변경 내용에 대한 감사 기록은 기본.
Microsoft에서 PII(개인 식별 정보)에서 수행되는 모든 활동에 대한 감사 내역을 제공할 수 있나요?
유일한 PII는 규칙 및 목록 변경 내용의 감사 기록에 있습니다. 이 기록은 읽기 전용이며 수정할 수 없습니다.
Microsoft는 미사용 로그 및 암호화된 데이터를 저장할 수 있나요?
로그는 표준 Microsoft Azure Online Services 정책에 따라 기본.
인스턴스가 다운된 경우 적절한 시간 프레임 내에 고객 인스턴스의 가동 중지 시간을 감지, 보고 및 경고하는 절차가 Microsoft에 있나요?
예, 고급 모니터링 및 경고 기능이 있습니다.
협상된 SLA(서비스 수준 계약)의 유효성을 검사하기 위해 고객에게 제공되는 정보는 무엇인가요?
고객은 서비스에 대한 서버-서버 호출을 수행하고 SLA를 직접 모니터링할 수 있습니다.
고객에게 가동 중지 시간 알림은 어떻게 보고되는가?
사전 가동 중지 시간 알림은 없지만 현재 로드맵의 일부입니다. 고객은 표준 통신 채널을 통해 경고를 통해 검색되는 인시던트에 대해 알림을 받습니다.
비즈니스 연속성 및 재해 복구
애플리케이션 또는 서비스에서 CSV와 같은 비독점 형식으로 비정형 데이터를 대량으로 내보낼 수 있나요?
제품에서 GDPR(일반 데이터 보호 규정) 환경을 통해 사용자는 규정 준수 설명서에 설명된 지침에 따라 데이터를 내보낼 수 있습니다.
구조화되지 않은 데이터는 ACL(보안 액세스 제어 목록)을 유지하나요?
아니요. 자세한 내용은 데이터 주체 요청, GDPR 및 CCPA를 참조하세요.
애플리케이션 또는 서비스에서 데이터베이스를 독점이 아닌 형식으로 대량으로 내보낼 수 있나요?
아니요.
문서화된 백업 정책이 있나요?
다중 지역 데이터 복제본(replica) 및 복원력 전략이 마련되어 있습니다. 백업 및 복원 기능에 대한 자세한 내용은 Azure Cosmos DB의 온라인 백업 및 주문형 데이터 복원을 참조하세요.
애플리케이션 또는 서비스에 문서화된 재해 복구 계획이 있나요?
Microsoft EBCM(엔터프라이즈 비즈니스 연속성 관리) 계획에 대한 자세한 내용은 엔터프라이즈 비즈니스 연속성 관리 프로그램 백서를 참조 하세요. (로그인이 필요합니다.)
데이터 보안
Microsoft에서 보안 인시던트가 발생할 경우 애플리케이션 인스턴스를 사용하지 않도록 설정할 수 있나요?
예.
애플리케이션 또는 서비스가 TLS(전송 계층 보안) 암호화를 사용하여 데이터를 보호하나요?
예.
어떤 수준의 TLS 암호화가 사용되나요?
TLS 1.2.
고객이 보안 침투 검사를 수행하는 데 필요한 리소스에 액세스할 수 있도록 허용하는 절차는 무엇인가요?
회사, 외부, 법률 업무(CELA) 및 Microsoft의 보안 승인이 필요합니다.
애플리케이션 또는 서비스에 최근(3개월 미만) 타사 네트워크 보안 침투 테스트가 있나요?
예. Azure는 주기적으로 이 테스트를 수행합니다.
애플리케이션 또는 서비스에 최근(3개월 미만) 타사 애플리케이션 보안 침투 테스트가 있나요?
예. 이 테스트는 요청에 따라 제공됩니다.
애플리케이션 또는 서비스에서 TLS와 같은 보안 통신 방법을 사용하나요?
예.
애플리케이션 또는 서비스에 모바일 클라이언트가 있나요?
Fraud Protection은 웹 기반 SaaS(Software as a Service) 제품입니다.
신뢰할 수 있는 네트워크의 트래픽만 허용하도록 애플리케이션을 제한할 수 있나요?
애플리케이션은 UI(사용자 인터페이스)를 통해 제한할 수 없습니다. 그러나 수동 구성을 통해 제한할 수 있습니다.
애플리케이션에 트래픽 보고 및 일반 트래픽에 대해 경고하는 기능이 있나요?
예. 이러한 기능은 내부 경고 및 모니터링을 통해 사용할 수 있습니다. 자세한 내용은 API 호출 모니터링을 참조 하세요.
인프라가 기본적으로 미사용 데이터 암호화를 지원하지 않는 경우 애플리케이션 또는 서비스에서 미사용 데이터를 암호화된 형식으로 저장할 수 있나요?
모든 데이터는 미사용 시 암호화됩니다. 자세한 내용은 Azure Cosmos DB의 데이터 암호화를 참조하세요.
시스템에 일반 보존 일정이 있으므로 일정 기간 후에 데이터가 제거됩니까?
예. 자세한 내용은 OST(Online Services Terms) 지침을 참조하세요.
거버넌스
잘 정의된 보안 프로그램이 있나요?
예. 자세한 내용은 Microsoft SDL(보안 개발 수명 주기)을 참조하세요.
Microsoft에서 정보 보안 정책을 설정했나요?
예. 자세한 내용은 Microsoft SDL(보안 개발 수명 주기)을 참조하세요.
Microsoft에 액세스할 수 있는 데이터 센터 보안 및 정책에 대한 타사 감사 보고서가 있나요?
예. 자세한 내용은 Microsoft 서비스 신뢰 포털을 참조하세요.
애플리케이션 또는 서비스가 Cloud Security Alliance CCM 자체 평가를 완료했는지 여부 그렇다면 액세스할 수 있나요?
예. Microsoft 서비스 신뢰 포털을 방문합니다.
Microsoft에 현재 변경 관리 정책 문서가 있나요?
예.
애플리케이션 또는 서비스에 설정된 인시던트 대응 및 심사 정책과 설정된 프로세스가 있나요?
예.