Często zadawane pytania dotyczące oceny zabezpieczeń
Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące oceny zabezpieczeń w usłudze Microsoft Dynamics 365 Fraud Protection.
Uwierzytelnianie i administracja
Czy aplikacja lub usługa obsługuje logowanie jednokrotne (SSO) za pośrednictwem usługi Security Assertion Markup Language (SAML) 1.1, SAML 2.0 lub federacyjnej usług sieci Web (WS-Fed)?
Tak.
- Portal: SPA - OAuth 2.0 i OpenID Połączenie, przy użyciu przepływu kodu uwierzytelniania z PKCE za pośrednictwem biblioteki MSAL v2.
- Interfejs API zaplecza service-to-service: OAuth 2.0
- Usługa odcisków palców: anonimowa
- Azure Stack: token sygnatury dostępu współdzielonego (SAS) dla magazynu
Czy istnieje adres URL "tylnej drzwi", który umożliwia użytkownikom lub administratorom obejście logowania jednokrotnego?
L.p.
Czy aplikacja obsługuje integrację usługi Okta (platforma logowania jednokrotnego)?
Integracja z usługą Okta nie jest domyślnie obsługiwana. Firma Microsoft Entra obsługuje niestandardowe integracje. Ponieważ sprzedawca jest właścicielem dzierżawy, kupca może korzystać z punktów integracji tożsamości Firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz dokumentację firmy Microsoft Entra.
Czy aplikacja lub usługa obsługuje uwierzytelnianie dwuskładnikowe (2FA)?
Tak. Sprzedawca może włączyć uwierzytelnianie 2FA w usłudze Microsoft Entra ID.
Co to jest rozwiązanie 2FA?
Rozwiązanie 2FA to usługa Azure Multi-Factor Authentication— funkcja firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Jak to działa: Azure Multi-Factor Authentication.
Czy aplikacja obsługuje hasła na poziomie aplikacji?
L.p. Tożsamości użytkowników i aplikacji są zarządzane na koncie Microsoft Entra klienta.
Który algorytm skrótu lub szyfrowania jest używany do ochrony haseł?
Nie dotyczy.
Czy używane jest soli skrótu?
Nie dotyczy.
Czy aplikacja lub usługa używa automatycznej aprowizacji kont? Jeśli tak, w jaki sposób jest to realizowane (na przykład na żądanie za pośrednictwem protokołu SAML, automatyczne wartości rozdzielane przecinkami [CSV] za pośrednictwem bezpiecznej transmisji lub interfejsu API)?
Nie, i nie dotyczy.
Czy aplikacja lub usługa korzysta z natychmiastowego zakończenia dostępu do konta, w tym zamykania otwartych sesji?
L.p. Wygaśnięcie tokenu microsoft Entra jest zgodne z kończeniem dostępu użytkownika, a nie sesją.
Jeśli zakończenie konta nie jest automatyczne, czy ta akcja jest wykonywana w ciągu jednej godziny od żądania zakończenia dostępu do konta?
Tak, zgodnie z zasadami firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz dokumentację firmy Microsoft Entra.
Jaki jest limit czasu bezczynności sesji aplikacji?
Zgodnie z zasadami firmy Microsoft limit czasu bezczynności sesji jest zgodny z okresem ważności tokenu.
Czy aplikacja lub usługa korzysta z automatycznego procesu anulowania aprowizacji konta za pośrednictwem interfejsu API?
L.p.
Czy aplikacja lub usługa zapewnia strategię usuwania zawartości dołączonej do konta użytkownika podczas anulowania aprowizacji?
L.p. Tylko dzienniki inspekcji są śledzone i zachowywane jako funkcje zgodnie z wytycznymi dotyczącymi warunków dotyczących usług online i zasadami zachowania poufności informacji firmy Microsoft.
Czy aplikacja lub usługa pozwala administratorowi jawnie udzielić autoryzacji do danych i możliwości na podstawie roli i/lub funkcji, zgodnie z modelem najniższych uprawnień?
Tak. Za pośrednictwem ról firmy Microsoft Entra administratorzy mogą udzielać dostępu w ramach dzierżawy.
Minimalne oczekiwania to obsługa roli administratora, roli użytkownika, roli administratora tylko do odczytu (dziennika) i roli administratora nieuprzywilejowanego (bez dostępu do zawartości). Czy zapewniasz tę pomoc techniczną?
Aplikacja/usługa nie ma żadnych ról z wyjątkiem roli administratora. Użytkownicy w roli administratora są odpowiedzialni za tworzenie dodatkowych ról w ramach dzierżawy. Aby uzyskać informacje na temat dodawania i usuwania ról, zobacz Konfigurowanie dostępu użytkowników.
Jeśli w aplikacji istnieją uprawnienia do udostępniania, czy aplikacja lub usługa pozwoli administratorowi przejrzeć żądania użytkowników dotyczące dodatkowego dostępu do danych?
Nie dotyczy.
Czy aplikacja lub usługa zezwala administratorowi na rozróżnianie użytkowników administratorów i zwykłych użytkowników?
L.p.
Jakie prawa są dostępne dla różnych ról w aplikacji lub usłudze?
Aby uzyskać więcej informacji, zobacz Role użytkowników i dostęp.
Inspekcja
Czy informacje o dzienniku aplikacji lub usługi w standardowym dla branży formacie zdarzenia, takim jak CSV, Common Event Format (CEF) lub Syslog?
Dane dziennika nie są udostępniane przez produkt. Metryki usługi i kluczowe wskaźniki wydajności (KPI) są dostępne za pośrednictwem widoków usługi Power BI.
Czy aplikacja lub usługa zbiera lub dostarcza dane dotyczące logowania użytkownika, wylogowania, zmian haseł i nieudanych prób logowania?
Tak. Aby uzyskać więcej informacji, zobacz Audit activity reports in the Microsoft Entra portal (Raporty dotyczące inspekcji w witrynie Microsoft Entra Portal).
Czy aplikacja lub usługa zbiera lub udostępnia dzienniki inspekcji akcji administratora (tworzenie/aktualizowanie/usuwanie konta użytkownika) lub akcje specyficzne dla aplikacji?
Aplikacja utrzymuje historię inspekcji kluczowych zmian, takich jak aktualizacje reguły lub listy. Akcje konta użytkownika i odpowiednia historia inspekcji są kontrolowane za pośrednictwem identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dokumentację dotyczącą raportów i monitorowania firmy Microsoft.
Aby uzyskać informacje na temat inspekcji firmy Microsoft Entra, zobacz podstawowe zdarzenia katalogu dla roli aplikacji i członkostwa w grupie na liście działań inspekcji firmy Microsoft Entra. Aby uzyskać dostęp do inspekcji z witryny Microsoft Entra Portal, zobacz Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft.
Czy aplikacja lub usługa zbiera lub udostępnia dzienniki inspekcji akcji użytkownika (dokument lub zawartość: tworzenie/odczytywanie/aktualizowanie/usuwanie)?
Nie dotyczy. Obsługiwana jest tylko rola administratora.
Czy aplikacja lub usługa zbiera lub udostępnia dzienniki inspekcji akcji metadanych (create/read/update/delete)?
Tak. Historia inspekcji kluczowych zmian, takich jak aktualizacje listy i reguł, jest zachowywana.
Czy firma Microsoft może udostępniać dzienniki inspekcji dla wszelkich działań wykonywanych na danych osobowych ??
Jedyne dane osobowe znajdują się w historii inspekcji zmian reguł i list. Ta historia jest tylko do odczytu i nie można jej modyfikować.
Czy firma Microsoft może przechowywać dzienniki i zaszyfrowane dane magazynowane?
Dzienniki są utrzymywane zgodnie ze standardowymi zasadami usług Online Services platformy Microsoft Azure.
Czy firma Microsoft ma procedury wykrywania, zgłaszania i zgłaszania alertów dotyczących przestoju wystąpienia klienta w rozsądnym przedziale czasu, jeśli wystąpienie nie działa?
Tak, istnieją zaawansowane funkcje monitorowania i alertów.
Jakie informacje są udostępniane klientom w celu zweryfikowania wynegocjowanej umowy dotyczącej poziomu usług (SLA)?
Jako klient możesz wykonywać wywołania serwer-serwer do usługi i monitorować umowę SLA bezpośrednio.
Jak powiadomienia o przestojach są zgłaszane klientom?
Nie ma żadnych proaktywnych powiadomień o przestojach, ale jest ona obecnie częścią planu działania. Klienci są powiadamiani o wszelkich zdarzeniach, które są wykrywane za pośrednictwem alertów za pośrednictwem standardowego kanału komunikacji.
Ciągłość działania i odzyskiwanie po awarii
Czy aplikacja lub usługa umożliwia zbiorcze eksportowanie danych bez struktury w formacie innym niż zastrzeżony, na przykład CSV?
W produkcie środowisko ogólnego rozporządzenia o ochronie danych (RODO) umożliwia użytkownikom eksportowanie danych zgodnie z wytycznymi opisanymi w dokumentacji dotyczącej zgodności.
Czy dane bez struktury zachowują listy kontroli dostępu do zabezpieczeń (ACL)?
L.p. Aby uzyskać więcej informacji, zobacz sekcję Żądania osób, których dane dotyczą, oraz RODO i CCPA.
Czy aplikacja lub usługa umożliwia zbiorcze eksportowanie baz danych w formacie niezawłaszanym?
L.p.
Czy istnieją udokumentowane zasady tworzenia kopii zapasowych?
Istnieje strategia replikacji danych i odporności w wielu regionach. Aby uzyskać więcej informacji na temat możliwości tworzenia kopii zapasowych i przywracania, zobacz Tworzenie kopii zapasowych online i przywracanie danych na żądanie w usłudze Azure Cosmos DB.
Czy aplikacja lub usługa ma udokumentowany plan odzyskiwania po awarii?
Aby uzyskać więcej informacji na temat planu zarządzania ciągłością działalności biznesowej (EBCM) firmy Microsoft, zobacz oficjalny dokument Enterprise Business Continuity Management Program. (Wymagane jest logowanie).
Bezpieczeństwo danych
Czy firma Microsoft może wyłączyć wystąpienie aplikacji w przypadku zdarzenia zabezpieczeń?
Tak.
Czy aplikacja lub usługa chroni dane przy użyciu szyfrowania Tls (Transport Layer Security)?
Tak.
Jaki poziom szyfrowania TLS jest używany?
TLS 1.2.
Jakie procedury umożliwiają klientom dostęp do zasobów wymaganych do skanowania penetracyjnego zabezpieczeń?
Wymagane są elementy firmowe, zewnętrzne i prawne (CELA) oraz zatwierdzenie zabezpieczeń od firmy Microsoft.
Czy aplikacja lub usługa ma ostatni (mniej niż trzy miesiące) test penetracyjny zabezpieczeń sieci innej firmy?
Tak. Platforma Azure okresowo wykonuje ten test.
Czy aplikacja lub usługa ma ostatni (mniej niż trzy miesiące) test penetracyjny zabezpieczeń aplikacji innych firm?
Tak. Ten test zostanie udostępniony na żądanie.
Czy aplikacja lub usługa używa bezpiecznej metody komunikacji, takiej jak TLS?
Tak.
Czy aplikacja lub usługa ma klienta mobilnego?
Ochrona przed oszustwami to internetowa oferta oprogramowania jako usługi (SaaS).
Czy aplikacja może być ograniczona tak, aby zezwalała na ruch tylko z zaufanych sieci?
Aplikacja nie może być ograniczona za pośrednictwem interfejsu użytkownika. Można go jednak ograniczyć za pomocą konfiguracji ręcznej.
Czy aplikacja ma raportowanie ruchu i możliwość zgłaszania alertów dotyczących normalnego ruchu?
Tak. Te możliwości są dostępne za pośrednictwem wewnętrznego alertu i monitorowania. Aby uzyskać więcej informacji, zobacz Monitorowanie wywołań interfejsu API.
Jeśli infrastruktura domyślnie nie obsługuje szyfrowania magazynowanego, czy aplikacja lub usługa umożliwia przechowywanie danych magazynowanych w formacie zaszyfrowanym?
Wszystkie dane są szyfrowane w spoczynku. Aby uzyskać więcej informacji, zobacz Szyfrowanie danych w usłudze Azure Cosmos DB.
Czy system ma ogólny harmonogram przechowywania, dzięki czemu dane są czyszczone po upływie okresu?
Tak. Aby uzyskać więcej informacji, zobacz wytyczne dotyczące warunków dotyczących usług online (OST).
Ład korporacyjny
Czy masz dobrze zdefiniowany program zabezpieczeń?
Tak. Aby uzyskać więcej informacji, zobacz Microsoft Security Development Lifecycle (SDL).
Czy firma Microsoft ustanowiła zasady zabezpieczeń informacji?
Tak. Aby uzyskać informacje, zobacz Cykl projektowania zabezpieczeń firmy Microsoft (SDL).
Czy firma Microsoft ma raport inspekcji innej firmy dla zabezpieczeń i zasad centrum danych, do których mogę uzyskać dostęp?
Tak. Aby uzyskać więcej informacji, odwiedź portal zaufania usług firmy Microsoft.
Czy aplikacja lub usługa zakończyła samodzielną ocenę programu Cloud Security Alliance CCM? Jeśli tak, czy mogę uzyskać do niego dostęp?
Tak. Odwiedź portal zaufania usług firmy Microsoft.
Czy firma Microsoft ma bieżący dokument zasad zarządzania zmianami?
Tak.
Czy aplikacja lub usługa ma ustalone zasady reagowania na zdarzenia i klasyfikację oraz ustanowione procesy?
Tak.
Dodatkowe zasoby
Często zadawane pytania dotyczące usługi
Zagadnienia prawne — często zadawane pytania
Prywatność i zabezpieczenia — często zadawane pytania
Często zadawane pytania dotyczące rezydencji danych