Centrum zabezpečení: Informace o zabezpečení, ochraně osobních údajů a dodržování předpisů pro Office 365 a Microsoft Dynamics CRM Online
Přístup pro správu
Umožňujeme vám zjistit, jestli někdo přistupoval k vašim datům. Uvědomujeme si, že u cloudu je přístup k datům jednou z vašich hlavních starostí. Chcete vědět, jestli budete mít k datům přístup, kdykoli budete potřebovat, i jestli k vašim datům nepřistupoval někdo jiný.
Jaký je u Office 365 a Microsoft Dynamics CRM Online náš postoj k přístupu k datům?
Náš postoj k přístupu k datům je následující:
• Vždy vám zajišťujeme přístup k zákaznickým datům.
• Přístup k zákaznickým datům se přísně kontroluje a protokoluje. Společnost Microsoft i třetí strany provádějí namátkové audity s cílem doložit, že se data používají pouze k řádným obchodním účelům.
• Jsme si dobře vědomi mimořádné důležitosti obsahu našich zákazníků1 , jako jsou data z textů e-mailových zpráv nebo obsah týmového webu služby SharePoint Online. Pokud někdo (zaměstnanci Microsoftu, partneři2 nebo vaši správci) bude pracovat s vaším obsahem ve službě, můžete si o těchto přístupech vytvořit zprávy. Stačí spustit sestavu přístupu k poštovní schránce pro jiného uživatele než vlastníka* nebo externí protokol auditování správce. V těchto dvou zprávách se dozvíte, kdy někdo s vaším obsahem mohl pracovat.
• Sestava přístupu k poštovní schránce pro jiného uživatele než vlastníka* v Centru pro správu Exchange (EAC) obsahuje seznam poštovních schránek, se kterými pracoval někdo jiný než osoba, která poštovní schránku vlastní. Pokud s poštovní schránkou pracuje někdo jiný než vlastník, Microsoft Exchange zaznamená informace o této akci do protokolu auditování poštovní schránky, který je uložený jako e-mailová zpráva ve skryté složce této auditované poštovní schránky. Standardně se položky v protokolu auditování poštovní schránky uchovávají po dobu 90 dnů.
*Protokolování auditování poštovní schránky musíte zapnout pro každou poštovní schránku, pro kterou chcete spustit sestavu přístupu k poštovní schránce pro jiného uživatele než vlastníka. Pokud protokolování auditování poštovní schránky není zapnuté, nezískáte spuštěním sestavy žádné výsledky.
Přečtěte si víc o spouštění sestavy přístupu k poštovní schránce pro jiného uživatele než vlastníka.
• Protokolování auditování správce zaznamenává konkrétní akce provedené správci a uživateli, kteří mají přidělená oprávnění pro správu. V Centru pro správu Exchange můžete vyhledat a prohlížet záznamy z protokolu auditování správce pro akce, které provedli správci Microsoftu a delegovaní správci.
Přečtěte si víc o prohlížení externího protokolu auditování správce.
• Azure Active Directory Premium je platforma identity pro Office 365, která nabízí možnosti pro správu identity a řízení přístupu. Mezi možnosti Azure Active Directory patří cloudové úložiště pro adresářová data a základní sada služeb identity, včetně procesů přihlašování uživatelů, ověřovacích služeb a Federation Services.
Pokud si chcete přečíst o tom, jak můžete pomocí sestav o přístupech a využívání získat lepší vhled do integrity a zabezpečení klienta Azure Active Directory (AD) ve vaší organizaci, přečtěte si tento článek.
Jak zobrazit přístupy pro správu dat?
Služba | Sledované aktivity | Pokyny |
Office 365 a Dynamics CRM Online | Vytvoření uživatelů na portálu, resetování hesel | |
Exchange Online | Přístup do poštovní schránky Exchange 3 | Přejděte na ovládací panel Exchange (odkaz je dostupný ze stránky Přehled správce na portálu Office 365 Online – je vyžadováno přihlášení) |
SharePoint Online | Web služby SharePoint, přístup k úložišti | |
Microsoft Dynamics CRM Online | Přístup k obsahu CRM |
1 Obsah jsou zákaznická data, u nichž mohou mít zákazníci vyšší nároky na zachování důvěrnosti a která jsou při běžném používání služby přenášena prostřednictvím Internetu v zašifrované podobě. Obsah konkrétně představuje: Texty a přílohy e-mailových zpráv v systému Exchange Online, obsah webu a souborů ve službě SharePoint Online, rychlé zprávy, hlasové konverzace a obchodní data CRM o komunikaci s koncovými zákazníky.
2 Sestavy obsahují informace správních přístupech vašich partnerů k obsahu uloženému v rámci služby. Nepokrývají všechny partnerské scénáře. Například nejsou k dispozici sestavy týkající se prodejců (u kterých zákazník kupuje služby a kteří mu služby fakturují), partnerů služeb pokročilé komunikace VOIP a souvisejících služeb, například služby Research in Motion (pro hostovanou službu BlackBerry®) – vzhledem ke způsobu, jakým tyto strany běžně přistupují k datům při používání služeb.
3 U podnikových zákazníků, kteří mají aktivní centrum pro správu služby Exchange Online Protection, není možné vykazovat přístupy pro správu pošty zařazené do fronty v centru pro správu.
Kdo má oprávnění pro správu Office 365 a Microsoft Dynamics CRM Online?
Správci databází společnosti Microsoft mají (podle definice) přístup ke všem prostředkům v databázích – včetně zákaznických dat.
Zákaznická data používáme pouze tak, abychom mohli poskytovat služby. Společnost Microsoft proto striktně brání přístupu k zákaznickým datům k jakýmkoli jiným účelům. Správci databází mohou v rámci poskytování služeb přistupovat k zákaznickým datům při takových činnostech, jako je ladění výkonu databází nebo migrace zákazníků z jedné databáze do jiné.
V následující tabulce jsou uvedeny jednotlivé úrovně přístupu pro různé typy správců a dat:
Správce | Zákaznická data (kromě obsahu) | Obsah |
Tým provozní odezvy (omezeno pouze na klíčové zaměstnance) | Ano, podle potřeby | Ano, na základě výjimky |
Organizace poskytující podporu | Ano, pouze podle potřeby v reakci na dotaz na podporu | Ne |
Technický tým | Nemá přímý přístup. Lze přenést během odstraňování potíží. | Ne |
Partneři | Se souhlasem zákazníka. Další informace vám poskytne partner. | Se souhlasem zákazníka. Další informace vám poskytne partner. |
Další osoby ve společnosti Microsoft | Ne1 | Ne |
1 Některé osoby v Microsoftu můžou použít kontaktní informace koncových uživatelů zadané v adresářích zákazníků Office 365 Business, Business Essentials a Business Premium k posílání reklamních sdělení těmto koncovým uživatelům.
Jakým způsobem podporuje společnost Microsoft práva zákazníků na přístup ke svým datům? Mají zákazníci přístup ke svým datům vždy?
Zákazníci mohou přistupovat ke svým datům a ovládat je prostřednictvím standardních protokolů a přístupových mechanismů definovaných v rámci popisů služby.
Při skončení předplatného nebo používání služby má zákazník vždy možnost data exportovat. Podrobné informace jsou uvedeny v Užívacích právech k online službám, které jsou oficiálním zdrojem pro toto téma (zákazníci se smlouvu Enterprise by si měli přečíst Užívací práva k produktu). Pro vaši orientaci zde uvádíme ustanovení Užívacích práv k online službám platná pro aktuální verzi Office 365:
Vypršení platnosti nebo ukončení online služeb. Po vypršení platnosti nebo ukončení vašeho předplatného k online službám kontaktujte společnost Microsoft a sdělte nám, zda si přejete, abychom:
•(1) zakázali váš účet a odstranili zákaznická data, nebo
•(2) uchovali vaše zákaznická data s omezenou funkčností po dobu nejméně 90 dnů po vypršení platnosti nebo ukončení předplatného („doba uchovávání“), tak abyste mohli data extrahovat.
•Uvedete-li možnost (1), nebudete moci extrahovat zákaznická data ze svého účtu. Pokud neuvedete možnost (1) ani možnost (2), budeme uchovávat zákaznická data v souladu s možností (2).
• Po uplynutí doby uchovávání váš účet zakážeme a zákaznická data odstraníme. Během 30 dnů po skončení doby uchovávání budou zálohované kopie a kopie uložené v mezipaměti odstraněny.
Společnost Microsoft poskytuje před odstraněním zákaznických dat několik oznámení, tak aby byli zákazníci informováni a znovu upozorněni na blížící se odstranění dat, pokud ve stanovené lhůtě nejednají.
V rozsahu, v jakém zákazník potřebuje pomoci při plnění požadavků ochrany osobních údajů v souladu se zákonem, mohou zákazníci na základě řady smluv kontaktovat Oddělení podpory zákazníků společnosti Microsoft , které jim poskytne pomoc při přístupu, změně, odstranění či blokování jejich zákaznických dat. Požadavky, které nelze splnit pomocí standardních nástrojů a procesů, mohou být dále zpoplatněny.
Jaké jsou záruky, že byl přístup pro správu poskytnut pouze autorizovaným uživatelům k plnění jejich pracovních povinností?
Všichni pracovníci služeb Office 365 a Microsoft Dynamics CRM nesou odpovědnost za to, jak nakládají s daty zákazníků, protože je přístup k datům v rámci služeb Office 365 a Microsoft Dynamics CRM Online poskytován takovým způsobem, že je možné každý jednotlivý přístup spojit s konkrétním uživatelem.
Jinými slovy, odpovědnost je vynucována prostřednictvím řady prvků zabezpečení systému, mimo jiné využitím jedinečných uživatelských jmen, prvků řízení přístupu k datům a auditů. Používání jedinečných uživatelských jmen na rozdíl od používání obecných uživatelských jmen jako „host“ nebo „správce“ pomáhá vynucovat odpovědnost, protože jednotlivé akce uživatelů jsou spojeny s konkrétními osobami (dále jen „vazba“). Tato vazba je posílena také používáním dvouúrovňového ověřování, například přihlašování pomocí čipové karty s využitím digitálních certifikátů nebo tokenů RSA.
Společnost Microsoft uplatňuje přísnou kontrolu nad tím, kterým rolím pracovníků a pracovníkům bude poskytnut přístup k zákaznickým datům. Přístup pracovníků k IT systémům uchovávajícím zákaznická data je striktně řízen prostřednictvím řízení přístupu na základě rolí (RBAC) a procesů Lockbox (v angličtině) . Řízení přístupu je automatizovaný proces, který se řídí principem rozdělení povinností a principem udělení nejmenšího možného oprávnění. Tento proces zajišťuje, že technik požadující přístup k těmto IT systémům musí splnit požadavky způsobilosti, například prověrku předpokladů, kontrolu otisků prstů, povinná bezpečnostní školení a schválení přístupu . Kromě toho jsou pravidelně kontrolovány úrovně přístupu, aby přístup k systému měli výhradně uživatelé, kteří mají příslušné pracovní odůvodnění.
Přístup uživatele k datům je také omezen rolí uživatele. Správci systému například nemají přístupová práva pro správu databází.
Jaké kontrolní prvky byly zavedeny k omezení fyzického přístupu k mým datům?
Všechna datová centra služeb Office 365 a Microsoft Dynamics CRM Online mají biometrické kontrolní prvky pro přístup, přičemž většina datových center sloužících k poskytování služeb Office 365 a Microsoft Dynamics CRM Online vyžaduje k získání fyzického přístupu k danému datovému centru otisk dlaně.
Fyzický přístup k datovým centrům služeb Office 365 a Microsoft Dynamics CRM Online je řízen dvojúrovňovým ověřováním, které zahrnuje přístupové čtečky karet proxy (je vyžadována přístupová identifikační karta) a biometrické čtečky geometrie ruky.
Bezpečnostní pracovník společnosti Microsoft zasílá čtvrtletně sestavy autorizovaným zaměstnancům, kteří jsou oprávněni schvalovat přístup k datovým centrům. Tyto sestavy obsahují seznam osob, které aktuálně mají k datovým centrům přístup. Autorizovaní zaměstnanci provedou audit tohoto seznamu a ověří, zda všechny osoby i nadále potřebují přístup a zda mají nejnižší úroveň privilegovaného přístupu potřebnou k výkonu jejich pracovních funkcí.
Další informace týkající se způsobu, jakým služby Office 365 a Microsoft Dynamics CRM Online nakládají se zákaznickými daty, naleznete ve směrnicích společnosti Microsoft pro ochranu osobních údajů při vývoji produktů a služeb, v dokumentu White Paper o zabezpečení služeb Office 365, v příručce pro zabezpečení a zajištění kontinuity služeb Microsoft Dynamics CRM Online a v dokumentu White Paper společnosti Microsoft o zásadách ochrany osobních údajů online.
Jakým způsobem prověřuje společnost Microsoft osoby, kterým jsou poskytnuta oprávnění pro správu?
Všichni zaměstnanci společnosti Microsoft v USA musejí v rámci procesu přijetí do pracovního poměru úspěšně absolvovat standardní prověrku předpokladů.
Tato prověrka předpokladů zahrnuje posouzení informací týkajících se vzdělání, zaměstnání a kriminální minulosti uchazeče. Kromě standardní prověrky předpokladů povinné pro všechny nové zaměstnance společnosti Microsoft musejí noví i stávající zaměstnanci, kteří mají přístup k zákaznickým datům nebo kteří spravují klíčové fyzické a logické kontrolní prvky pro přístup, podstoupit prověření porovnáním s kontrolními seznamy pro export. (Export control lists include the Office of Foreign Assets Control List (OFAC), the Bureau of Industry and Security List (BIS), and the Office of Defense Trade Controls Debarred Persons List (DDTC).)
Pokud se požadavek na přístup týká služeb, které nabízíme zákazníkům se speciálními požadavky (například federální vládě Spojených států), mohou být vyžadovány další informace a prověrky, například prověření občanství či sejmutí otisků prstů.
Společnost Microsoft neposkytuje výsledky prověrek zákazníkům, a to z důvodu ochrany osobních údajů svých zaměstnanců.
Další zdroje
•Příručka pro zabezpečení a zajištění kontinuity služeb Microsoft Dynamics CRM Online (v angličtině)
•Zabezpečení služeb Office 365 (dokument White Paper ) (v angličtině)