Vanliga frågor om sekretess och säkerhet
Den här artikeln innehåller svar på vanliga frågor och svar om sekretess och säkerhet i Microsoft Dynamics 365 Fraud Protection.
Har Bedrägeriskydd upplevt ett säkerhetsintrång under de senaste 12 månaderna? Vad är processen för meddelanden om intrång och tidslinjer?
Bedrägeriskydd följer Microsofts standardprocess för anmälan om dataintrång som omfattas av GDPR-kraven (General Data Protection Regulation), oavsett om en kunds data omfattas av GDPR. Mer information, inklusive en beskrivning av processen och länkar för mer information, finns i Microsoft Trust Center. När du är där kan du också konfigurera organisationens sekretesskontakt för meddelanden.
Du kan också hitta mer information i Azure, Dynamics 365 och Windows-meddelande om intrång under GDPR.
Stöder Bedrägeriskydd kryptering av vilande data? Hur distribueras krypteringen? Krypteras data under överföring? Vilka är protokollen?
Bedrägeriskyddstjänsten krypterar alla kunddata, både i vila och under överföring, med hjälp av de senaste funktionerna i Azure. Dessa funktioner granskas regelbundet av Microsofts säkerhetsteam.
För data under överföring använder Bedrägeriskydd kryptering som baseras på TLS (Transport Layer Security).
Microsoft-tekniker som Azure Cosmos DB, Azure Blob Storage och Azure Data Lake används för att lagra vilande data. Bedrägeriskydd implementerar strikta förtroendegränser för att säkerställa att det inte finns någon obehörig åtkomst till en handlares data i dess miljö.
Mer information om Microsofts metod för datakryptering i vila och under överföring finns i Översikt över Azure-kryptering och Azure Data Encryption-at-Rest.
Kommentar
Observera att Dynamics 365 Fraud Protection inte stöder kundhanterade nycklar (CMK) eller låsbox-funktioner.
Behandlar bedrägeriskydd, åtkomst, överföring eller lagring av handlarens icke-offentliga personuppgifter?
Bedrägeriskydd fungerar med de data som säljarna tillhandahåller via API:er, filuppladdning eller andra dokumenterade mekanismer. De data som handlarna tillhandahåller kan innehålla icke-offentliga personuppgifter som Bedrägeriskydd bearbetar, överför och lagrar inom dess efterlevnadsgräns för att tillhandahålla tjänsten. Säljare kan använda Bedrägeriskydd för att överföra data till ett annat system eller skapa ytterligare kopior för att uppfylla sina affärsbehov.
Vem har tillgång till handelsdata och rapporter i bedrägeriskyddssystemet? Hur begränsar bedrägeriskyddet antalet personer som har åtkomst?
Handlaren och Microsoft-anställda som har tilldelats bedrägeriskydd har åtkomst till handlarens data. För produktrapporter är det bara handlare som har åtkomst till handelsdata. För rapporter som inte är produktbaserade ger Fraud Protections datavetenskapsteam säljarna tillgång till att visa rapporterna. Alla Microsoft-anställda har inte åtkomst till handlarens rapporter.
Bedrägeriskydd implementerar nätverks- och rollbaserade åtkomstkontroller för att begränsa och hantera extern åtkomst till data i Bedrägeriskydd. Klientorganisationer har funktioner för att hantera extern åtkomst till sina data.
Bedrägeriskydd följer Microsofts interna principer och riktlinjer för att hantera intern åtkomst till produktionstjänster och kunddata. Som standard nekas åtkomst till handelsdata och rapporter till Microsofts personal, enligt principen om minsta behörighet. Det beviljas endast till medlemmar i lämpliga säkerhetsgrupper. Medlemskap i säkerhetsgrupper beviljas på användarkontonivå och varje användarkonto är unikt och identifieras med en specifik Microsoft-anställd.
Microsofts interna princip gör att Microsoft-anställda som har rätt medlemskap i säkerhetsgruppen kan begära tillfällig (just-in-time) förhöjd åtkomst så att de kan utföra service- och supportaktiviteter i produktionssystem. Alla förfrågningar om just-in-time-åtkomst spåras och granskas av det interna ärendesystemet.
Tillhandahåller Bedrägeriskydd en publicerad procedur för att avsluta tjänstarrangemanget, inklusive en försäkran om att alla databehandlingsresurser kommer att saneras av klientdata efter att en kund har lämnat miljön eller lämnat en resurs?
Ja. Microsofts kommersiella licensvillkor gäller för Bedrägeriskydd och definierar procedurerna för att avbryta en tjänst. Tillägget dataskydd beskriver information om hur data bevaras och tas bort. De pseudonymiserade data som en handlare redan har tillhandahållit till bedrägeriskyddsnätverket kommer att fortsätta att bearbetas inom nätverket för bedrägeriskydd fram till slutet av dess glidande kvarhållningsfönster. Den tas sedan bort.
Samarbetar Bedrägeriskydd med någon professionell säkerhetstjänstorganisation inom Microsoft för säkerhets- och teknikstöd (till exempel distribution, incidenthantering och rapportering)?
Ja. Bedrägeriskydd är en del av Dynamics 365-serien med produkter och följer principer och riktlinjer som definieras för Dynamics 365- och Cloud & AI-organisationen. Bedrägeriskydd samarbetar med Azure Security, Microsoft Threat Intelligence Center, Azure Incident Response Team, Microsoft Global Security och andra interna säkerhets- och efterlevnadsteam.
Mer information om säkerhet för bedrägeriskydd finns i Säkerhetsöversikt för Dynamics 365 Bedrägeriskydd.
Hur säkerställer Bedrägeriskydd att datakvalitetsfel och risker som ärvs från partner i molnförsörjningskedjan inspekteras, redovisas och korrigeras?
Bedrägeriskydd har ett dedikerat datavetenskapsteam. Det har också ett övervaknings- och aviseringssystem som är utformat för att identifiera och svara på datakvalitetsfel och för att upprätthålla kvaliteten på maskininlärningsmodeller (ML). Datakvalitetsproblem behandlas som produktionsincidenter och granskas genom samma process som används för att upprätthålla tjänstens tillförlitlighet.
Utför Bedrägeriskydd regelbundet nätverkspenetreringstester av molntjänstinfrastrukturen, enligt branschtips och vägledning? Är resultatet av nätverkspenetreringstesterna tillgängliga för klientorganisationer på begäran?
Bedrägeriskydd använder branschstandardverktyg för att skanna koden, och buggidentifiering och allvarlighetsgrad baseras på NIST 800-30-standarder.
En oberoende tredje part utför ett intrångstest (penntest) i Azure-miljön minst varje år. Omfånget för penntestet bestäms av Azures risk- och efterlevnadskrav. Resultaten av penntestet åtgärdas baserat på allvarlighetsgrad. Mer information finns i Service Trust Portal.
Utför Bedrägeriskydd regelbundet sårbarhetsgenomsökningar på nätverksnivå, enligt branschtipsen?
Ja, Bedrägeriskydd följer branschstandardens metodtips. Som beskrivs i Azure-Dynamics SOC2-granskningsrapporter utför Cloud + AI Security-teamet frekventa interna och externa genomsökningar för att identifiera sårbarheter och utvärdera effektiviteten i korrigeringshanteringsprocessen. Tjänster genomsöks efter kända sårbarheter. Nya tjänster läggs till i nästa tidsfördelade kvartalsgenomsökning baserat på deras datum för inkludering. De följer sedan minst ett kvartalsvis genomsökningsschema. Dessa genomsökningar används för att säkerställa kompatibilitet med baslinjekonfigurationsmallar, verifiera att relevanta korrigeringar är installerade och identifiera sårbarheter. Genomsökningsrapporterna granskas av lämplig personal och reparationsarbetet utförs i tid.
Ytterligare resurser
Vanliga frågor och svar om tjänsten
Vanliga frågor och svar om juridiska överväganden
Vanliga frågor och svar om datahemvist och GDPR