隱私權與安全性常見問題
本文提供 Microsoft Dynamics 365 詐騙保護中隱私權和安全性常見問題 (FAQ) 的解答。
詐騙保護在過去 12 個月中是否有安全性缺口? 什麼是缺口通知程序和時程表?
詐騙保護遵循 Microsoft 的標準數據外洩通知程式,並受限於一般數據保護規定 (GDPR) 需求,無論客戶的數據是否受限於 GDPR。 如需詳細資訊,包括程式的描述和深入了解的連結,請參閱 Microsoft 信任中心。 當您在場時,您也可以設定組織的隱私權聯繫人以取得通知。
您也可以在 GDPR 底下找到 Azure、Dynamics 365 和 Windows 外洩通知中的詳細資訊。
詐騙保護是否支援待用數據的加密? 如何部署加密? 傳輸中是否有任何數據加密? 通訊協議是什麼?
詐騙保護服務會使用 Azure 的最新功能,加密待用和傳輸中的所有客戶數據。 Microsoft 安全性小組會定期檢閱這些功能。
針對傳輸中的數據,詐騙保護會使用以傳輸層安全性 (TLS) 為基礎的加密。
Azure Cosmos DB、Azure Blob 儲存體 和 Azure Data Lake 等 Microsoft 技術可用來儲存待用數據。 詐騙保護會實作嚴格的信任界限,以確保其環境中不會未經授權存取商家的數據。
如需 Microsoft 待用和傳輸中數據加密方法的詳細資訊,請參閱 Azure 加密概觀 和 Azure 待用數據加密。
注意
請注意,Dynamics 365 詐騙保護不支援客戶自控密鑰 (CMK) 或加密箱功能。
詐騙保護會處理、存取、傳輸或儲存其商家的非公用個人資料嗎?
詐騙保護適用於其商家透過 API、檔案上傳或其他記載機制提供的數據。 商家提供的數據可能包含詐騙保護處理、傳輸及儲存在其合規性界限內以提供服務的非公用個人資料。 商家可能會使用詐騙保護將數據傳輸到不同的系統,或建立其他複本以符合其業務需求。
神秘 可以存取詐騙保護系統中的商家數據和報告? 詐騙保護如何限制可存取的人員數目?
指派給詐騙保護的商家和 Microsoft 員工可以存取商家的數據。 針對產品內報表,只有商家可以存取商家數據。 針對產品外的報告,詐騙保護的數據科學小組可讓商家存取以檢視報告。 並非所有 Microsoft 員工都能存取商家的報告。
詐騙保護會實作網路和角色型訪問控制,以限制和管理詐騙保護內數據的外部存取。 租使用者會提供功能來管理其數據的外部存取。
詐騙保護遵循 Microsoft 內部原則和指導方針,以管理對生產服務和客戶數據的內部存取。 根據最低許可權原則,預設會拒絕存取商家數據和報表給 Microsoft 人員。 它只會授與適當的安全組成員。 安全組成員資格會授與用戶帳戶層級,且每個用戶帳戶都是唯一的,且會與特定 Microsoft 員工識別。
Microsoft 內部原則可讓具有適當安全組成員資格的 Microsoft 員工要求暫時性(「Just-In-Time」)提高存取權,以便他們可以在生產系統上執行維護及支持活動。 每個 Just-In-Time 存取要求都會由內部票證系統進行追蹤和審查。
詐騙保護是否提供退出服務安排的已發佈程式,包括保證客戶離開環境或清空資源之後,所有計算資源都會清理租用戶數據?
是。 Microsoft 商業授權條款 適用於詐騙保護,並定義取消服務的程式。 數據保護增補會說明如何保留和刪除資料的詳細數據。 已提供給詐騙保護網路之商家的化名數據將繼續在詐騙保護網路內處理,直到其滑動保留時段結束為止。 然後將會刪除它。
詐騙保護是否與 Microsoft 內任何專業安全性服務組織共同合作,以支援安全性和技術支援(例如部署、事件回應和報告)。
是。 詐騙保護是 Dynamics 365 系列產品的一部分,並遵循針對 Dynamics 365 和 Cloud & AI 組織定義的原則和指導方針。 詐騙防護會與 Azure 安全性、Microsoft 威脅情報中心、Azure 事件回應小組、Microsoft 全域安全性和其他內部安全性與合規性小組共同作業。
如需詐騙保護安全性的詳細資訊,請參閱 Dynamics 365 Fraud Protection 的安全性概觀。
詐騙保護如何確保從雲端供應鏈中的合作夥伴繼承的數據品質錯誤和風險會受到檢查、考慮及更正?
詐騙保護具有專用的數據科學小組。 它也具有監視和警示系統,其設計目的是要偵測和響應數據品質錯誤,以及維護機器學習 (ML) 模型的品質。 數據質量問題會被視為生產事件,並透過用於維護服務可靠性的相同程序進行檢閱。
詐騙保護是否定期對雲端服務基礎結構進行網路滲透測試,如業界最佳做法和指引所規定? 在租使用者的要求下,網路滲透測試的結果是否可供租使用者使用?
詐騙保護使用業界標準工具來掃描程序代碼,而錯誤偵測和嚴重性是以 NIST 800-30 標準為基礎。
獨立第三方至少每年在 Azure 環境中執行滲透測試(手寫筆測試)。 畫筆測試的範圍取決於 Azure 的風險和合規性需求領域。 筆測試的結果會根據關鍵性進行補救。 如需詳細資訊,請參閱 服務信任入口網站。
詐騙保護是否定期執行網路層弱點掃描,如業界最佳做法所規定?
是,詐騙保護遵循業界標準最佳做法。 如 Azure-Dynamics SOC2 稽核報告中所述,Cloud + AI Security 小組會執行頻繁的內部和外部掃描,以識別弱點並評估修補程式管理程式的有效性。 系統會掃描服務是否有已知的弱點。 新的服務會根據其包含日期,新增至下一次每季掃描的時間。 然後,他們至少遵循每季掃描排程。 這些掃描是用來確保與基準組態範本的合規性、驗證已安裝相關的修補程式,以及識別弱點。 掃描報告會由適當的人員檢閱,並及時進行補救工作。