合規性常見問題
本文提供 Microsoft Dynamics 365 詐騙保護中合規性常見問題 (FAQ) 的解答。
從事詐騙保護的工作人員和轉包商是否會收到有關數據保護和資訊安全的定期培訓?
是。
詐騙保護持有哪些資訊安全認證?
目前,詐騙保護會保存下列資訊安全性認證:23 NYCRR 500、 AFM 和 DNB (荷蘭)、AMF 和 ACPR (法國)、APRA (澳大利亞)、阿根廷 PDPA、CDSA、CFTC 1.31、CSA STAR 證明、CSA STAR 認證、CSA STAR 自我評估、加拿大隱私法、DPP (英國)、歐盟 EN 301 549、歐盟 ENISA IAF、歐盟示範條款、歐盟-美國隱私權盾、歐洲銀行管理局、 FCA 和 PRA (UK)、FERPA (US)、FFIEC (US)、FINMA (瑞士)、FSA (丹麥)、GLBA (US)、GSMA SAS-SM、德國 C5、GxP (FDA 21 CFR 第 11 部分)、HIPAA 和 HITECH 法 (US), HITRUST, ISO 20000-1:2011, ISO 22301:2012、ISO 27001:2013、ISO 27017:2015、ISO 27018:2014、ISO 27701:2019、ISO 9001:2015、日本 My Number Act、KNF (波蘭)、MAS 和 ABS(新加坡)、MPAA (US) NBB 和 FSMA (比利時), NEN 7510:2011 (荷蘭), NHS IG 工具組 (英國), 荷蘭 BIR 2012, OSFI (加拿大)、OSPAR、PCI 3DS、PCI DSS 層級 1、RBI 和 IRDAI (印度)、SEC 17a-4(US)、SEC 法規 SCI、SOC 1 Type 2、SOC 2 Type 2、SOC 3、SOX (US)、西班牙 DPA、TISAX、TruSight 和 WCAG 2.0。
若要存取最新的稽核報告,請參閱 服務信任入口網站。
詐騙保護會轉包其任何數據處理活動嗎?
否。
詐騙保護有哪些程式可用於處置機密客戶數據?
Microsoft使用業界標準程式來刪除客戶數據和專業服務數據。 已建立硬碟和異地備份磁帶的銷毀指導方針,以確保適當處置。
詐騙保護中如何確保數據機密性?
詐騙保護要求所有存取都會使用 Microsoft Entra 進行驗證,並實作角色型訪問控制,以防止其他客戶未經授權的存取。 詐騙保護也遵循許多內部安全性程式,以授權和稽核Microsoft人員對數據的所有存取權,並且只有在確保服務穩定性並解決問題時,才允許存取。
如Microsoft數據保護增補 Microsoft授權資源和文件網站的 [授權檔 ] 頁面上所述:
Microsoft將確保參與處理客戶數據、專業服務數據和個人資料的人員只會根據客戶的指示處理這類數據,或如數據保護增補中所述,且即使在參與結束之後,仍有義務維護這類數據的機密性和安全性。 Microsoft應根據適用的數據保護需求和業界標準,為其員工提供定期和強制性的數據隱私權和安全性訓練和安全性訓練,以及瞭解客戶數據、專業服務數據和個人資料。
詐騙保護是否受限於任何與安全性相關的法律或法規需求? 如果是,他們是什麼,以及詐騙保護如何開會?
Microsoft受到各種法律和法規義務的約束。 如需安全性、隱私權和合規性的相關信息,請參閱 Microsoft信任中心。
詐騙保護採取哪些步驟,以確保其收集和維護的用戶數據正確性?
商家有責任確保數據的正確性。
詐騙保護是否可讓使用者存取其所收集的數據,以便更正任何錯誤?
否。 想要更新或存取其數據的用戶應該透過商家執行此動作。
詐騙保護提供工具來協助客戶管理數據主體存取要求(DSR)。 如需詳細資訊,請參閱 保護數據的安全性措施。
詐騙保護是否定期進行內部稽核,如業界最佳做法和指引所規定? 客戶可以使用稽核結果嗎?
詐騙保護遵循Microsoft內部和外部稽核的步調。 內部稽核結果不會提供給客戶。 不過,所有外部稽核結果都會發佈至 服務信任入口網站。 如需詳細資訊,請參閱 操作安全性保證 (OSA) 。
詐騙保護是否以結構化且業界接受的格式產生稽核判斷提示?
是。 身為軟體即服務 (SaaS) 應用程式,詐騙保護會在 Azure 上執行,並包含 ISO 27001、27018、SOC2、SOC3 和 PCI 合規性。 此外,Azure 涵蓋 Azure 中詐騙保護所依賴之所有服務的各種產業合規性。
詐騙保護網路中數據的保留期限為何?
詐騙保護網路內處理的數據會偽名化,並保留 24 個月。 授權Microsoft人員可以根據Microsoft原則,存取您的數據,以提供在線服務或專業服務。 若要深入瞭解Microsoft如何處理您的數據,請流覽 Microsoft產品和服務數據保護增補(DPA)
詐騙保護內的哪些人員可以存取客戶數據?
請注意,Microsoft員工,包括Microsoft核准的轉包商,可以透過客戶的許可權存取客戶數據,以提供在線服務或專業服務。 與交易相關的數據會在傳輸至詐騙網路之前進行去識別和匯總。 Microsoft員工可以存取與詐騙網路中交易相關的匯總數據,以改善在線服務。
詐騙保護是否在裝置指紋中使用 Cookie?
是。 詐騙保護會使用 Cookie 來收集裝置的資訊,而不是針對特定個人。 若要選擇不使用 Cookie,您可以,但它會降低裝置指紋。
詐騙保護裝置指紋是否受到廣告封鎖程序的影響?
如果已正確設定 用於 Web 整合的 DNS/SSL 憑證資訊,則指紋腳本會被視為第一方整合,並將排除在大部分廣告封鎖程式之外。