Perguntas frequentes de privacidade e segurança
Este artigo fornece respostas a perguntas frequentes sobre privacidade e segurança no Microsoft Dynamics 365 Fraud Protection.
O Fraud Protection sofreu uma violação de segurança nos últimos 12 meses? Quais são o processo e as linhas do tempo de notificação de violação?
O Fraud Protection segue o processo de notificação de violação de dados padrão da Microsoft de acordo com os requisitos da GDPR (Regulamento Geral sobre a Proteção de Dados), independentemente de os dados de um cliente estarem sujeitos à GDPR. Para obter mais informações, incluindo uma descrição do processo e links para saber mais, consulte Central de Confiabilidade da Microsoft. Na Central, você também pode configurar o contato de privacidade da sua organização para recebimento das notificações.
Você também pode encontrar mais informações em Notificação de violação do Azure, Dynamics 365 e Windows no GDPR.
O Fraud Protection dá suporte à criptografia de dados inativos? Como a criptografia é implantada? Algum dado é criptografado em trânsito? Quais são os protocolos?
O serviço do Fraud Protection criptografa todos os dados do cliente, inativos e em trânsito, usando os recursos mais recentes do Azure. Esses recursos são revisados regularmente pelas equipes de segurança da Microsoft.
Para dados em trânsito, o Fraud Protection usa criptografia baseada no TLS (Transport Layer Security).
As tecnologias da Microsoft, como Azure Cosmos DB, Armazenamento de Blobs do Azure e Azure data Lake, são usadas para armazenar dados inativos. O Fraud Protection implementa limites de confiança rígidos para garantir que não haja acesso não autorizado a dados de um comerciante em seu ambiente.
Para obter mais informações sobre a abordagem da Microsoft à criptografia de dados inativos e em trânsito, consulte Visão geral da criptografia do Azure e Criptografia de dados inativos no Azure.
Observação
Observe que o Dynamics 365 Fraud Protection não oferece suporte a Chaves Gerenciadas pelo Cliente (CMK) ou a recursos de lockbox.
O Fraud Protection processa, acessa, transmite ou armazena os dados pessoais não públicos do comerciante?
O Fraud Protection funciona com os dados fornecidos pelos comerciantes via APIs, carregamento de arquivos ou outros mecanismos documentados. Os dados que os comerciantes fornecem podem conter dados pessoais não públicos que o Fraud Protection processa, transmite e armazena no limite de conformidade para fornecer o serviço. Os comerciantes podem usar o Fraud Protection para transmitir os dados a um sistema diferente ou criar cópias adicionais para atender às necessidades de negócios.
Quem tem acesso aos dados e relatórios do comerciante no sistema do Fraud Protection? Como o Fraud Protection limita o número de pessoas que têm acesso?
O comerciante e os funcionários da Microsoft atribuídos ao Fraud Protection têm acesso aos dados do comerciante. Para relatórios no produto, somente os comerciantes têm acesso aos dados do comerciante. Para relatórios fora do produto, a equipe de ciência de dados do Fraud Protection oferece aos comerciantes acesso para exibir os relatórios. Nem todos os funcionários da Microsoft terão acesso aos relatórios do comerciante.
O Fraud Protection implementa os controles de acesso baseado em função e rede para limitar e gerenciar o acesso externo aos dados no Fraud Protection. Os locatários recebem a funcionalidade de gerenciamento de acesso externo a seus dados.
O Fraud Protection segue políticas e diretrizes internas da Microsoft para gerenciar o acesso interno a serviços de produção e a dados de clientes. Por padrão, o acesso a dados e relatórios do comerciante é negado ao pessoal da Microsoft, de acordo com o princípio de privilégio mínimo. Ele é concedido somente a membros dos grupos de segurança apropriados. A associação ao grupo de segurança é concedida no nível da conta de usuário e cada conta de usuário é exclusiva e identificada com um funcionário específico da Microsoft.
A política interna da Microsoft permite que funcionários da Microsoft que tenham a associação ao grupo de segurança apropriada solicitem acesso elevado temporário ("just-in-time") para que possam executar atividades de serviço e suporte em sistemas de produção. Cada solicitação de acesso just-in-time é rastreada e revisada pelo sistema de tíquete interno.
O Fraud Protection fornece um procedimento publicado para sair da organização de serviços, incluindo uma garantia de que todos os dados do locatário serão removidos dos recursos de computação depois que um cliente sair do ambiente ou desocupar um recurso?
Sim. Os Termos de Licenciamento Comercial se aplicam ao Fraud Protection e definem os procedimentos para cancelamento de um serviço. O adendo de proteção de dados descreve os detalhes sobre como os dados são retidos e excluídos. Os dados pseudonimizados que um comerciante já forneceu à rede do Fraud Protection continuarão sendo processados na rede do Fraud Protection até o final da janela de retenção deslizante. Em seguida, serão excluídos.
O Fraud Protection colabora com qualquer organização de serviços profissionais de segurança da Microsoft para suporte à segurança e tecnologia (por exemplo, implantação, resposta a incidentes e relatórios)?
Sim. O Fraud Protection faz parte da família de produtos Dynamics 365 e segue as políticas e diretrizes definidas para a organização do Dynamics 365 e Nuvem e IA. O Fraud Protection colabora com a Segurança do Azure, a Central de Inteligência contra Ameaças da Microsoft, a Equipe de Resposta a Incidentes do Azure, o Microsoft Global Security e outras equipes internas de segurança e conformidade.
Para obter mais informações sobre segurança para o Fraud Protection, consulte Visão geral de segurança para o Dynamics 365 Fraud Protection.
Como o Fraud Protection garante que os erros e os riscos de qualidade de dados herdados de parceiros na cadeia de fornecimento de nuvem sejam inspecionados, contabilizados e corrigidos?
O Fraud Protection tem uma equipe de ciência dedicada. Ele também tem um sistema de monitoramento e alerta projetado para detectar e responder a erros de qualidade de dados, bem como para manter a qualidade dos modelos ML (Machine Learning). Os problemas de qualidade de dados são tratados como incidentes de produção e são analisados durante o mesmo processo usado para manter a confiabilidade do serviço.
O Fraud Protection conduz regularmente testes de penetração de rede da infraestrutura de serviço em nuvem, conforme prescrito nas melhores práticas do setor e orientações? Os resultados dos testes de penetração de rede estão disponíveis para locatários mediante solicitação?
O Fraud Protection usa ferramentas padrão do setor para verificar o código, e a detecção e a gravidade do bug são baseadas nos padrões NIST 800-30.
Um terceiro independente executa um teste de penetração (pentest) no ambiente do Azure pelo menos uma vez ao ano. O escopo do pentest é determinado pelas áreas de risco e requisitos de conformidade do Azure. As conclusões do pentest são remediadas com base na importância. Para obter mais informações, consulte o Portal de Confiança do Serviço.
O Fraud Protection conduz regularmente verificações de vulnerabilidade na camada de rede, conforme prescrito pelas melhores práticas do setor?
Sim, o Fraud Protection segue as melhores práticas padrão do setor. Como descrito nos relatórios de auditoria do Azure Dynamics SOC2, a equipe de segurança de Nuvem + IA executa verificações internas e externas frequentes para identificar vulnerabilidades e avaliar a eficiência do processo de gerenciamento de patches. Os serviços são verificados em busca de vulnerabilidades conhecidas. Novos serviços são adicionados à próxima verificação trimestral, com base na data de inclusão. Depois eles seguem uma programação de verificação trimestral. Essas verificações são usadas para garantir a conformidade com os modelos de configuração de linha de base, validar se os patches relevantes estão instalados e identificar as vulnerabilidades. Os relatórios de verificação são revisados pela equipe apropriada e os esforços de correção são conduzidos de maneira oportuna.
Recursos adicionais
Perguntas frequentes de considerações legais
Perguntas frequentes sobre residência de dados e GDPR