通过

合规性概览

  • 项目

Microsoft Dynamics 365 欺诈防护旨在考虑到合规性、隐私、安全和机密性,仅用于防止欺诈并帮助识别合法付款交易。 Microsoft 根据 Microsoft Online Services 条款提供欺诈保护,其中包括可靠的数据保护条款。

若要查看 Microsoft Online Services 条款(包括特定于欺诈保护的规定),以确定欺诈保护是否符合要求,请访问: https://www.microsoft.com/licensing/product-licensing/products

你有责任:

  • 向客户通报数据处理实践,例如,通过披露收集的数据及其使用方式。
  • 披露你代表你处理收集的数据的第三方的使用,包括欺诈保护服务提供商。
  • 遵守适用于使用欺诈保护的所有法律和法规,包括数据保护法。

从透明度开始

在实施欺诈保护之前,请确保电子商务体验中的隐私披露描述如何使用个人数据,包括如何使用这些数据来预防和检测欺诈。 可以利用欺诈保护文档来满足透明度需求。

遵循数据主体请求

欺诈保护提供了工具,可帮助你遵守来自客户的数据主体请求。 借助这些工具,可以从欺诈保护网络中未使用假名化技术处理的评估中删除和导出事务数据。 在网络中处理事务数据后,无法访问、导出、查看或删除事务数据。 事务数据定义为请求和响应有效负载中的所有数据,以及附加到事务的任何属性和扩充。 欺诈保护仍可能会保留使用交易贡献计算的聚合数据。

注意

“删除”或“导出”调用的 API 有效负载中的“用户 ID”字段对于欺诈保护必须成功处理相应的数据主体请求(DSR)。 用户 ID 应与为同一数据主体的帐户创建、帐户登录或购买 API 调用提供的 ID 相同。 如果未提供用户 ID,或者从以前提供的用户 ID 提供不同的用户 ID,则欺诈保护很难识别交易,而 DSR 将难以处理,而无需大量投资。

有关更多信息,请参见以下资源:

在“主题请求”页上,可以为所有事务执行以下任务:

  • 标识包含个人数据的事务
  • 删除事务
  • 导出事务

管理数据主体请求。

数据主体请求(DSR)是要求修改第三方持有的个人数据的请求。

使用欺诈保护管理 DSR 请求:

  1. 在左侧导航栏上,选择设置,然后选择“主题请求”。

    可以为每个评估提出请求。 对于请求,请选择评估、数据主体 ID 和数据主体 ID 的值。

    • 对于帐户创建、帐户登录和购买保护,数据主体 ID 为 user.userId。
    • 有关使用 评估向导创建的评估的数据主体 ID 的详细信息,请参阅 数据主体 ID

  2. 选择要发出的请求类型(导出或删除),然后查看并确认。

    “请求”表标识请求的以下属性。 日志将导出的数据链接和信息保留 28 天。

    • 请求 ID
    • Requestor
    • 时间戳
    • 请求类型(删除或导出)
    • 状态(挂起或完成)
    • 导出的数据链接

数据主体请求 API

利用欺诈保护,可以使用我们的 API 以编程方式遵守数据主体请求。 下面是 GDPR API 的架构。

GDPR API 有效负载。 GDPR API 用于帐户保护和购买保护

属性 类型 说明 必需?
SubjectID string 采用“User:userId”的形式,其中 userId 是 User 对象的属性。

使用者请求 API 有效负载。 主题请求 API 用于 评估

属性 类型 说明 必需?
AssessmentName string 评估的名称。
PropertyName string 数据主体 ID 的属性的名称。 例如 user.id
PropertyValue string 要发出请求的数据主体 ID 的属性的值。 例如, user123

有关此 API 和其他欺诈防护 API 的进一步文档,请参阅 Dynamics 365 欺诈保护 API

报表的数据主体请求

通过数据主体请求修改数据会影响报表的聚合编号。 欺诈保护重新计算报告以反映新的状态更新(例如,购买保护中的退款率)。 但是,它只保留快照移动时间范围之外的聚合数据。 聚合快照不再包含事务级详细信息或个人身份信息。 因此,聚合快照无法反映 GDPR 删除的影响。 例如,客户可能会请求删除帐户上的所有事务,包括上个月的两笔交易和五个月前的一笔交易。 在欺诈保护中处理此 GDPR 删除请求时,配置为反映过去四个月数据的更新报告可能不会显示上个月的任何交易。 不会更新早于之前所述的时间范围四个月的报表。 但是,这些报告不会影响基础数据中的任何删除操作。

公平信用报告法

公平信用报告法(FCRA)是一项联邦隐私法,用于规范消费者个人信息的披露和使用,以确定消费者获得产品或服务或从事交易的资格。 FCRA 还适用于使用消费者个人信息进行非信用相关交易,如保险、就业,甚至零售购买,消费者的声誉或个人特征与资格相关。

为什么 FCRA 对欺诈保护的用户很重要? 欺诈保护不是为了分析信用卡用户的特征或行为,这主要是 FCRA 为消费者保护的领域。 欺诈保护只会通知你交易可能是由欺诈者发起的风险,而不是特定购买者是否有欺诈行为的历史。 如果欺诈保护曾经被滥用,以评估给定购买者出于受 FCRA 限制的目的的个人特征,这种滥用可能会给用户和 Microsoft 带来严重的法律后果。 因此,我们特别小心地向客户介绍欺诈保护的使用限制。

因此,在欺诈保护的首次运行体验期间,使用许可表单将提供给租户管理员,但前提是他们首次访问应用程序。 产品管理员、全局管理员、PSP 管理员和所有区域管理员都呈现此用户体验。