Centrul de autorizare: Informații de securitate, confidențialitate și conformitate pentru Office 365 și Microsoft Dynamics CRM Online
Acces administrativ
Vă ajutăm să aflați dacă cineva v-a accesat datele. Știm că, în cloud, accesul la date este una dintre preocupările dvs. principale. Acest lucru înseamnă nu numai să știți că vă veți putea accesa datele atunci când trebuie, ci și să aflați dacă altcineva v-a accesat datele.
Care este poziția Office 365 și Microsoft Dynamics CRM Online în ceea ce privește accesul la date?
Poziția noastră în ceea ce privește accesul la datele dvs. este următoarea:
• Vă oferim întotdeauna acces la datele dvs. de client.
• Accesul la datele de client este strict controlat și înregistrat în jurnale și sunt efectuate auditări prin sondaj, atât de către Microsoft, cât și de către terți, pentru a atesta faptul că accesul se face doar în scopuri comerciale adecvate.
• Recunoaștem importanța majoră pe care o are conținutul deținut de clienții noștri,1 cum ar fi datele din corpul e-mailurilor Exchange Online și conținutul site-urilor de echipă SharePoint Online. Dacă cineva, de exemplu personalul Microsoft, partenerii2 sau administratorii dvs., vă accesează conținutul din cadrul serviciului, puteți obține rapoarte despre acel acces fie prin rularea unui raport de acces al non-proprietarilor la cutiile poștale*, fie prin intermediul unui jurnal de audit al administratorului extern. Aceste două rapoarte vă permit să aflați când este posibil să fi fost accesat conținutul dvs.
• Raportul de acces al non-proprietarilor la cutiile poștale* din Centrul de administrare Exchange listează cutiile poștale care au fost accesate de altcineva în afară de persoana care deține cutia poștală. Atunci când o cutie poștală este accesată de altcineva în afară de proprietar, Microsoft Exchange înregistrează informațiile despre această acțiune într-un jurnal de audit pentru cutia poștală, care este stocat sub forma unui mesaj de e-mail într-un folder ascuns din cutia poștală care este auditată. Intrările din jurnalul de audit pentru cutia poștală sunt păstrate implicit timp de 90 de zile.
*Trebuie să activați înregistrarea în jurnalul de audit pentru cutia poștală pentru fiecare cutie poștală pentru care doriți să rulați un raport de acces al non-proprietarilor la cutiile poștale. În cazul în care înregistrarea în jurnal de auditare a cutiei poștale nu este activată, nu veți obține niciun rezultat atunci când rulați un raport.
Aflați mai multe despre rularea unui raport de acces al non-proprietarilor la cutiile poștale.
• Înregistrarea în jurnal de auditare pentru administrator înregistrează acțiuni specifice efectuate de către administratorii și utilizatorii cărora le-au fost atribuite privilegii administrative. Puteți utiliza Centrul de administrare Exchange pentru a căuta și vizualiza intrările din jurnalul de audit al administratorului pentru acțiunile efectuate de administratorii Microsoft și de administratorii delegați.
Aflați mai multe despre vizualizarea jurnalului de audit al administratorului extern.
• Azure Active Directory Premium este o platformă de identitate pentru Office 365, care oferă capacități de gestionare a identității și de control al accesului. Capacitățile Azure Active Directory includ un depozit bazat pe cloud pentru datele din directoare și un set de servicii de identitate de bază, incluzând procese de conectare a utilizatorilor, servicii de autentificare și servicii de federalizare.
Pentru a afla cum să utilizați rapoartele de acces și de utilizare pentru a obține vizibilitate asupra integrității și securității entității găzduite Azure Active Directory (AD) a organizației dvs., citiți acest articol.
Cum pot vizualiza accesul administrativ la date?
Serviciu | Activități urmărite | Instrucțiuni |
Office 365 și Dynamics CRM Online | Crearea în portal a utilizatorilor, resetări de parole | |
Exchange Online | Accesul la cutiile poștale Exchange 3 | Vizitați Panoul de control Exchange (link disponibil din pagina Prezentare generală administrator din Portalul Office 365 Online ; este necesară conectarea) |
SharePoint Online | Site SharePoint, acces la stocare | |
Microsoft Dynamics CRM Online | Accesul la conținutul CRM |
1 Conținutul desemnează datele de client de la care clienții pot avea așteptări mai mari în ceea ce privește confidențialitatea și care, atunci când serviciul este utilizat în mod normal, sunt transferate în formă criptată prin internet. Mai precis, termenul acoperă: Corpul e-mailurilor și atașările Exchange Online, conținutul site-urilor și corpul fișierelor din SharePoint Online, mesageria instant și conversațiile vocale, precum și datele comerciale CRM despre interacțiunile cu clienții dvs. finali.
2 Rapoartele reflectă accesul administrativ al partenerilor dvs. la conținutul pe care l-ați stocat în serviciu. Nu sunt acoperite toate scenariile legate de parteneri. De exemplu, rapoartele despre reselleri (în cazul în care clientul a achiziționat serviciile de la reseller și sunt facturate de acesta), despre partenerii VOIP de servicii de comunicații avansate și despre serviciile asociate, cum ar fi Research in Motion (pentru serviciul găzduit BlackBerry®) nu sunt disponibile, din cauza naturii accesului la date pe care îl au acești terți, în cursul obișnuit al utilizării serviciilor.
3 Pentru clienții întreprinderi care au activat centrul de administrare Exchange Online Protection, accesul administrativ la corespondența aflată în coadă în centrul de administrare nu poate fi raportat.
Cine are drepturi administrative asupra Office 365 sau Microsoft Dynamics CRM Online?
Prin definiție, administratorii de baze de date Microsoft au acces la toate resursele dintr-o bază de date, inclusiv la datele de client.
Utilizăm datele de client doar pentru a furniza serviciile; prin urmare, Microsoft interzice ferm accesul la datele de client pentru orice alte scopuri. Ca parte a procesului de furnizare a serviciilor, administratorii de baze de date pot accesa datele de client pentru activități precum reglarea performanței bazelor de date sau migrarea clienților de la o bază de date la alta.
Tabelul următor detaliază nivelurile de acces pentru diversele tipuri de administratori și de date:
Administrator | Datele de client (cu excepția conținutului) | Conținut |
Echipa de răspuns la operațiuni (limitată numai la personalul cheie) | Da, după cum este necesar. | Da, prin excepție. |
Organizație care acordă asistență | Da, doar dacă este necesar ca răspuns la o solicitare de asistență. | Nu. |
Inginerie | Fără acces direct. Pot fi transferate în timpul depanării. | Nu. |
Parteneri | Cu permisiunea clientului. Contactați-vă partenerul pentru informații suplimentare. | Cu permisiunea clientului. Contactați-vă partenerul pentru informații suplimentare. |
Alte persoane de la Microsoft | Nu.1 | Nu. |
1 Alte persoane de la Microsoft pot utiliza informațiile de contact ale utilizatorilor finali, specificate în directoarele clienților Office 365 Business, Business Essentials și Business Premium, pentru a trimite comunicări promoționale acelor utilizatori finali.
Ce face Microsoft pentru a veni în sprijinul drepturilor clienților săi de a-și accesa propriile date? Clienții vor avea acces la datele proprii tot timpul?
Clienții își pot accesa și controla datele prin intermediul protocoalelor standard și a mecanismelor de acces definite în descrierile serviciului.
La sfârșitul abonamentului unui client sau la terminarea utilizării serviciului, clientul poate întotdeauna să își exporte datele. Detaliile complete sunt cuprinse în Drepturile de utilizare a serviciilor online, care constituie sursa de autoritate cu privire la acest subiect (clienții cu un contract Enterprise ar trebui să consulte Drepturile de utilizare a produsului). Totuși, pentru comoditate, includem aici prevederile Drepturilor de utilizare a serviciilor online, pentru ediția curentă de Office 365:
Expirarea sau terminarea serviciului online. La expirarea sau terminarea abonamentului la serviciul online, trebuie să contactați Microsoft și să ne spuneți dacă doriți:
•(1) să vă dezactivăm contul și apoi să ștergem datele de client; sau
•(2) să vă păstrăm datele de client într-un cont cu funcționalitate limitată, cel puțin 90 de zile după expirarea sau terminarea abonamentului dvs. („perioada de păstrare”), pentru a vă da posibilitatea să vă extrageți datele.
•Dacă indicați opțiunea (1), nu veți putea să extrageți datele de client din contul dvs. Dacă nu indicați nici opțiunea (1), nici opțiunea (2), vom păstra datele de client în conformitate cu opțiunea (2).
• După expirarea perioadei de reținere, vă vom dezactiva contul, apoi vom șterge datele dvs. de client. Copiile memorate în cache sau copiile backup vor fi complet șterse în termen de 30 de zile de la sfârșitul perioadei de reținere.
Microsoft oferă mai multe notificări înainte de a șterge datele de client, astfel încât clienții să fie informați și să li se reamintească de ștergerea viitoare, dacă nu acționează în intervalul de timp stipulat.
În măsura în care un client are nevoie de ajutor în îndeplinirea solicitărilor de confidențialitate, așa cum este prevăzut de lege, în temeiul mai multor acorduri, clienții pot contacta Asistența pentru clienți Microsoft pentru a solicita ajutor privind accesarea, modificarea, ștergerea sau blocarea datelor lor de client. Pentru solicitările care nu pot fi îndeplinite prin instrumente și procese standard poate fi percepută o taxă suplimentară.
Cum mă pot asigura că numai utilizatorilor autorizați li s-a acordat accesul administrativ pentru a-și îndeplini responsabilitățile postului lor?
Tot personalul Office 365 și Microsoft Dynamics CRM Online este responsabil pentru modul în care gestionează datele de client, deoarece accesul la datele Office 365 și la Microsoft Dynamics CRM Online este acordat într-o manieră care permite urmărirea la nivel de utilizator unic.
Cu alte cuvinte, responsabilitatea este impusă prin intermediul unui set de controale de sistem, inclusiv utilizarea numelor de utilizator unice, controalelor de acces la date și auditărilor. Spre deosebire de numele de utilizator generice, cum ar fi „Invitat” sau „Administrator”, numele de utilizator unice sunt folosite pentru a impune responsabilitatea, prin identificarea acțiunilor utilizatorului ca fiind o anumită persoană (proces denumit „legare”). Autentificarea prin doi factori, cum ar fi conectările prin smart card utilizând certificate digitale sau simboluri RSA, se utilizează, de asemenea, pentru a consolida și mai mult această legătură.
Microsoft aplică o serie de controale stricte pentru a determina cărora dintre rolurile de personal și căror membri al personalului le acordă acces la datele de client. Accesul personalului la sistemele IT care stochează date de client este strict controlat prin intermediul controlului accesului pe bază de roluri (RBAC) și al proceselor de tip „lock box” [engleză] . Controlul accesului este un proces automat care respectă principiul separării îndatoririlor și principiul de acordare a privilegiilor minime. Acest proces se asigură că inginerul care solicită acces la aceste sisteme IT a îndeplinit cerințele de eligibilitate, cum ar fi verificarea antecedentelor, amprentarea, instruirea de securitate obligatorie și aprobările de acces . În plus, nivelurile de acces sunt revizuite periodic, pentru a ne asigura că numai utilizatorii care au o justificare de afaceri corespunzătoare au acces la sisteme.
Accesul utilizatorilor la date este limitat, de asemenea, după rolul utilizatorului. De exemplu, administratorilor de sistem nu li se asigură accesul administrativ la baze de date.
Ce controale sunt în vigoare pentru a restricționa accesul fizic la datele mele?
Toate centrele de date Office 365 și Microsoft Dynamics CRM Online au controale de acces biometric, majoritatea centrelor de date utilizate pentru a furniza serviciile Office 365 și Microsoft Dynamics CRM Online necesitând amprente palmare pentru a obține acces fizic la centrele de date.
Accesul fizic la centrele de date Office 365 și Microsoft Dynamics CRM Online este controlat prin autentificare pe două niveluri, care include cititoare de carduri pentru acces proxy (necesită o legitimație cu card de acces) și cititoare biometrice pentru palmă.
Trimestrial, funcționarul Microsoft responsabil cu securitatea trimite rapoarte personalului autorizat, care are autoritatea de a aproba accesul la centrul de date. Rapoartele conțin lista de persoane care au în prezent acces la centrele de date. Personalul autorizat verifică lista, pentru a se asigura că toate persoanele încă au nevoie de acces și au cel mai mic nivel de privilegii pentru acces necesar pentru a-și îndeplini îndatoririle de serviciu.
Pentru informații suplimentare cu privire la abordarea datelor de client de către Office 365 și/sau Microsoft Dynamics CRM Online, consultați Ghidul privind confidențialitatea Microsoft pentru dezvoltarea produselor și a serviciilor, cartea albă Securitatea Office 365, Ghidul de continuitate al securității și serviciilor Microsoft Dynamics CRM Online și cartea albă Confidențialitatea Microsoft Online.
Ce tip de investigație a antecedentelor face Microsoft referitor la persoanele cărora li s-au acordat drepturi administrative?
Toți angajații Microsoft cu domiciliul în S.U.A. trebuie să treacă cu succes de o verificare standard a antecedentelor, ca parte a procesului de angajare.
Astfel de verificări ale antecedentelor includ o verificare a informațiilor legate de educația unui candidat, de experiența profesională și cazierul acestuia. Pe lângă verificarea standard a antecedentelor, efectuată pentru toți angajații noi de la Microsoft, personalul nou și existent care are acces la datele de client sau care gestionează controale cheie de acces, fizice și logice, trebuie să fie verificat în raport cu listele de control pentru export definite de SUA. (Listele de control pentru export includ Lista Biroului de control al mărfurilor străine (OFAC - Office of Foreign Assets Control), lista Biroului de securitate și industrie (BIS - Bureau of Industry and Security) și lista persoanelor interzise de Biroul de controale comerciale pe probleme de apărare (DDTC - Office of Defense Trade Controls.)
Informații suplimentare și verificări ale antecedentelor, cum ar fi verificarea cetățeniei și amprentarea, se pot aplica și dacă solicitarea de acces este legată de serviciile pe care le oferim clienților cu cerințe specializate (de exemplu, guvernului federal S.U.A.).
Pentru a proteja confidențialitatea angajaților săi, Microsoft nu le face cunoscute clienților rezultatele verificărilor antecedentelor.
Resurse suplimentare
•Ghidul continuității securității și serviciilor Microsoft Dynamics CRM Online [în limba engleză]
•Securitatea Office 365 (carte albă ) [în limba engleză]