Prywatność i zabezpieczenia — często zadawane pytania
Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące prywatności i zabezpieczeń w usłudze Microsoft Dynamics 365 Fraud Protection.
Czy ochrona przed oszustwami doświadczyła naruszenia zabezpieczeń w ciągu ostatnich 12 miesięcy? Jaki jest proces powiadamiania o naruszeniu i osi czasu?
Ochrona przed oszustwami jest zgodna ze standardowym procesem powiadamiania o naruszeniu danych przez firmę Microsoft podlegającym wymaganiom ogólnego rozporządzenia o ochronie danych (RODO), niezależnie od tego, czy dane klienta podlegają RODO. Aby uzyskać więcej informacji, w tym opis procesu i linki, aby dowiedzieć się więcej, zobacz Centrum zaufania Microsoft. Gdy jesteś tam, możesz również skonfigurować kontakt z prywatnością organizacji pod kątem powiadomień.
Więcej informacji można również znaleźć na platformie Azure, usłudze Dynamics 365 i powiadomieniu o naruszeniu zabezpieczeń systemu Windows w ramach ROZPORZĄDZENIA RODO.
Czy ochrona przed oszustwami obsługuje szyfrowanie danych magazynowanych? Jak jest wdrożone szyfrowanie? Czy dane są szyfrowane podczas przesyłania? Jakie są protokoły?
Usługa Ochrony przed oszustwami szyfruje wszystkie dane klientów, zarówno magazynowane, jak i przesyłane, przy użyciu najnowszych możliwości platformy Azure. Te możliwości są regularnie przeglądane przez zespoły ds. zabezpieczeń firmy Microsoft.
W przypadku danych przesyłanych usługa Fraud Protection używa szyfrowania opartego na protokole Transport Layer Security (TLS).
Technologie firmy Microsoft, takie jak Azure Cosmos DB, Azure Blob Storage i Azure Data Lake, służą do przechowywania danych magazynowanych. Ochrona przed oszustwami implementuje ścisłe granice zaufania w celu zapewnienia, że w jego środowisku nie ma nieautoryzowanego dostępu do danych sprzedawcy.
Aby uzyskać więcej informacji na temat podejścia firmy Microsoft do szyfrowania danych magazynowanych i przesyłanych, zobacz Omówienie usługi Azure Encryption i Usługa Azure Data Encryption at-Rest.
Uwaga
Należy pamiętać, że usługa Dynamics 365 Fraud Protection nie obsługuje funkcji kluczy zarządzanych przez klienta (CMK) ani blokady.
Czy proces ochrony przed oszustwami, dostęp, przesyłanie lub przechowywanie danych osobowych niepublickich sprzedawcy?
Usługa Fraud Protection współpracuje z danymi, które jego handlowcy dostarczają za pośrednictwem interfejsów API, przekazywania plików lub innych udokumentowanych mechanizmów. Dane, które dostarczają handlowcy, mogą zawierać niepublickie dane osobowe, które przetwarza, przesyłają i przechowują w granicach zgodności w celu świadczenia usługi. Handlowcy mogą używać ochrony przed oszustwami w celu przesyłania danych do innego systemu lub tworzenia dodatkowych kopii w celu spełnienia ich potrzeb biznesowych.
KtoTo ma dostęp do danych handlowych i raportów w systemie ochrony przed oszustwami? W jaki sposób ochrona przed oszustwami ogranicza liczbę osób, które mają dostęp?
Sprzedawca i pracownicy firmy Microsoft, którzy są przypisani do ochrony przed oszustwami, mają dostęp do danych sprzedawcy. W przypadku raportów w produktach tylko handlowcy mają dostęp do danych handlowych. W przypadku raportów poza produktami zespół ds. nauki o danych usługi Fraud Protection zapewnia sprzedawcom dostęp do wyświetlania raportów. Nie wszyscy pracownicy firmy Microsoft będą mieli dostęp do raportów sprzedawcy.
Usługa Fraud Protection implementuje mechanizmy kontroli dostępu opartej na rolach i sieci, aby ograniczyć dostęp zewnętrzny do danych w ramach ochrony przed oszustwami i zarządzać nimi. Dzierżawy są wyposażone w funkcje zarządzania dostępem zewnętrznym do ich danych.
Ochrona przed oszustwami jest zgodna z zasadami wewnętrznymi i wytycznymi firmy Microsoft dotyczącymi zarządzania wewnętrznym dostępem do usług produkcyjnych i danych klientów. Domyślnie dostęp do danych i raportów handlowych jest odrzucany personelowi firmy Microsoft zgodnie z zasadą najniższych uprawnień. Jest przyznawana tylko członkom odpowiednich grup zabezpieczeń. Członkostwo w grupie zabezpieczeń jest przyznawane na poziomie konta użytkownika, a każde konto użytkownika jest unikatowe i identyfikowane z określonym pracownikiem firmy Microsoft.
Zasady wewnętrzne firmy Microsoft umożliwiają pracownikom firmy Microsoft, którzy mają odpowiednie członkostwo w grupie zabezpieczeń w celu żądania tymczasowego dostępu ("just-in-time"), dzięki czemu mogą wykonywać działania związane z obsługą i pomocą techniczną w systemach produkcyjnych. Każde żądanie dostępu typu dokładnie na czas jest śledzone i sprawdzane na wewnętrznej platformie obsługi biletów.
Czy ochrona przed oszustwami zapewnia opublikowaną procedurę zakończenia umowy dotyczącej usług, w tym zapewnienie, że wszystkie zasoby obliczeniowe zostaną oczyszczone z danych dzierżawy po opuszczeniu środowiska przez klienta lub opuszczeniu zasobu?
Tak. Postanowienia licencyjne komercyjne firmy Microsoft mają zastosowanie do ochrony przed oszustwami i definiują procedury anulowania usługi. Dodatek ochrony danych opisuje szczegółowe informacje o sposobie przechowywania i usuwania danych. Pseudonimizowane dane, które sprzedawca dostarczył już sieci ochrony przed oszustwami, będą nadal przetwarzane w sieci ochrony przed oszustwami do końca okna przechowywania przesuwanego. Zostanie on usunięty.
Czy ochrona przed oszustwami współpracuje z dowolną profesjonalną organizacją usług zabezpieczeń w firmie Microsoft w celu zapewnienia obsługi zabezpieczeń i technologii (na przykład wdrażania, reagowania na zdarzenia i raportowania)?
Tak. Ochrona przed oszustwami jest częścią rodziny produktów Dynamics 365 i jest zgodna z zasadami i wytycznymi zdefiniowanymi dla organizacji dynamics 365 i chmury i sztucznej inteligencji. Usługa Fraud Protection współpracuje z zespołami ds. zabezpieczeń platformy Azure, centrum analizy zagrożeń firmy Microsoft, zespołem reagowania na zdarzenia platformy Azure, globalnymi zabezpieczeniami firmy Microsoft i innymi zespołami ds. zabezpieczeń i zgodności wewnętrznych.
Aby uzyskać więcej informacji na temat zabezpieczeń ochrony przed oszustwami, zobacz Security overview for Dynamics 365 Fraud Protection (Omówienie zabezpieczeń usługi Dynamics 365 Fraud Protection).
W jaki sposób ochrona przed oszustwami zapewnia, że błędy i zagrożenia dotyczące jakości danych dziedziczone przez partnerów w łańcuchu dostaw w chmurze są sprawdzane, uwzględniane i poprawiane?
Usługa Fraud Protection ma dedykowany zespół ds. nauki o danych. Ma on również system monitorowania i zgłaszania alertów przeznaczony do wykrywania błędów jakości danych i reagowania na nie oraz do utrzymania jakości modeli uczenia maszynowego (ML). Problemy z jakością danych są traktowane jako zdarzenia produkcyjne i są przeglądane przez ten sam proces, który jest używany do utrzymania niezawodności usługi.
Czy ochrona przed oszustwami regularnie przeprowadza testy penetracyjne sieci infrastruktury usług w chmurze zgodnie z najlepszymi rozwiązaniami i wskazówkami branżowymi? Czy wyniki testów penetracyjnych sieci są dostępne dla dzierżawców na ich żądanie?
Ochrona przed oszustwami używa standardowych narzędzi do skanowania kodu, a wykrywanie usterek i ważność są oparte na standardach NIST 800-30.
Niezależna firma zewnętrzna wykonuje test penetryjny (test penetrowy) w środowisku platformy Azure co najmniej rocznie. Zakres testu penetrowego jest określany przez obszary ryzyka i zgodności platformy Azure. Wyniki testu piórowego są korygowane w oparciu o krytyczność. Aby uzyskać więcej informacji, zobacz Portal zaufania usług.
Czy ochrona przed oszustwami regularnie przeprowadza skanowanie pod kątem luk w zabezpieczeniach warstwy sieciowej zgodnie z najlepszymi rozwiązaniami branżowymi?
Tak, ochrona przed oszustwami jest zgodna ze standardami branżowymi najlepszych rozwiązań. Jak opisano w raportach inspekcji soc2 usługi Azure-Dynamics, zespół ds. zabezpieczeń chmury i sztucznej inteligencji przeprowadza częste wewnętrzne i zewnętrzne skanowania w celu zidentyfikowania luk w zabezpieczeniach i oceny skuteczności procesu zarządzania poprawkami. Usługi są skanowane pod kątem znanych luk w zabezpieczeniach. Nowe usługi są dodawane do następnego kwartalnego skanowania na podstawie daty dołączenia. Następnie są zgodne z co najmniej kwartalnym harmonogramem skanowania. Te skanowania służą do zapewnienia zgodności z szablonami konfiguracji punktu odniesienia, sprawdzania, czy są zainstalowane odpowiednie poprawki, i identyfikowania luk w zabezpieczeniach. Raporty skanowania są przeglądane przez odpowiedniego personelu, a działania korygujące są przeprowadzane w odpowiednim czasie.
Dodatkowe zasoby
Często zadawane pytania dotyczące usługi
Zagadnienia prawne — często zadawane pytania
Często zadawane pytania dotyczące rezydencji danych i RODO