Güven Merkezi: Office 365 ve Microsoft Dynamics CRM Online için Güvenlik, Gizlilik ve Uyumluluk Bilgileri
Yönetim erişimi
Verilerinize başkası tarafından erişilip erişilmediğini anlamanıza olanak tanırız. Bulut ortamında veri erişiminin en önemli kaygılarınızdan biri olduğunu biliyoruz. Bu, hem ihtiyacınız olduğunda verilerinize erişebileceğinizi hem de başka bir kişinin verilerinize erişip erişmediğini bileceğiniz anlamına gelir.
Veri erişimi konusunda Office 365 ve Microsoft Dynamics CRM Online'ın yaklaşımı nedir?
Verilerinize erişim konusundaki yaklaşımımız aşağıda belirtilmiştir:
• Biz her zaman verilerinize erişebilmenizi sağlarız.
• Müşteri verilerine erişim denetime tabidir, günlüğe kaydedilir ve hem Microsoft hem de üçüncü taraflarca erişimin yalnızca iş amaçlı olduğunu doğrulamak için örnek denetimler gerçekleştirilir.
• Müşterilerimizin Exchange Online e-posta gövde verileri ve SharePoint Online ekip sitesi içeriği gibi içeriklerinin1 taşıdığı ek önemin bilincindeyiz. Microsoft çalışanları, iş ortakları2 veya kendi yöneticileriniz gibi başka kişiler hizmet üzerinde barındırılan içeriğe erişirlerse, bu erişimle ilgili bir Sahiplik dışı erişim* ya da bir harici yönetici denetim günlüğü raporu alabilirsiniz. Bu iki rapor, içeriğinize ne zaman erişildiğini bilmenizi sağlar.
• Exchange Yönetim Merkezi’ndeki (EAC) Sahiplik dışı erişim raporu*, posta kutusunun sahibi olmayan kişiler tarafından erişilen posta kutularını listeler. Bir posta kutusuna, sahibi olmayan bir kişi tarafından erişildiğinde, Microsot Exchange bu eylemle ilgili bilgiyi bir posta kutusu denetim günlüğüne kaydeder. Bu günlük, denetlenen posta kutusunda gizli bir klasör içinde tutulan bir e-posta iletisi olarak kaydedilir. Posta kutusu denetim günlüğü girişleri, varsayılan olarak 90 gün boyunca korunur.
*Sahiplik dışı erişim raporu çalıştırmak istediğiniz her posta kutusu için posta kutusu denetim günlüğünü etkinleştirmeniz gerekir. Posta kutusu denetim günlüğü etkin değils, bir raporu çalıştırdığınızda sonuç almazsınız.
Sahiplik dışı posta kutusu erişim raporu çalıştırma hakkında daha fazla bilgi edinin.
• Yönetici denetim raporu, yöneticiler ve yönetici ayrıcalıkları tanınmış kullanıcılar tarafından gerçekleştirilen belirli eylemleri kaydeder. EAC’yi, Microsoft yöneticileri ve temsilci yöneticiler tarafından gerçekleştirilen eylemlerle ilgili denetim günlüğü girdilerini aramak ve görüntülemek için kullanabilirsiniz.
Dış yönetici denetim günlüğünü görüntüleme hakkında daha fazla bilgi alın.
• Azure Active Directory Premium, Office 365 için kimlik yönetimi ve erişim kontrol özellikleri sağlayan bir kimlik platformudur. Azure Active Directory, kullanıcı oturum açma işlemleri, kimlik doğrulama hizmetleri ve Federasyon Hizmetleri gibi, dizin verileri ve temel kimlik hizmetleri için bulut tabanlı mağaza gibi özellikler içerir.
Kuruluşunuzun Azure Active Directory (AD) kiracısının bütünlüğü ve güvenliği ile ilgili görünürlük sağlamak üzere erişim ve kullanım raporlarını kullanmayı öğrenmek için bu makaleyi okuyun.
Verilere yönetim erişimini nasıl görüntülerim?
Hizmet | İzlenen Etkinlikler | Yönergeler |
Office 365 ve Dynamics CRM Online | Portal'da kullanıcı oluşturma, Parola Sıfırlamaları | |
Exchange Online | Exchange posta kutusu erişimi 3 | Exchange Denetim Masası'na gidin ( Office 365 Çevrimiçi Portal 'ın Yönetici Genel Bakışı sayfasında bağlantı bulunur; oturum açılması gerekir) |
SharePoint Online | SharePoint sitesi, depolama erişimi | |
Microsoft Dynamics CRM Online | CRM içerik erişimi |
1 İçerik, müşterilerin daha yüksek bir gizlilik beklentisinin olabileceği, hizmet normal şekilde kullanılırken Internet üzerinde şifreli olarak aktarılan müşteri verileridir. Özellikle şunları içerir: Exchange Online e-posta gövdesi ve ekleri, SharePoint Online site içeriği ve dosya gövdesi, anlık ileti ve sesli sohbetler ve son müşteri etkileşimlerinizle ilgili CRM iş verileri.
2 Raporlar, iş ortaklarınızın hizmette depolanan içeriğinize yönetim erişimlerini yansıtır. Tüm iş ortağı senaryoları dahil değildir. Örneğin, satıcılarla (müşterinin hizmetleri satıcıdan satın aldığı ve satıcının fatura düzenlediği durumlarda), gelişmiş iletişim hizmetleri VOIP iş ortaklarıyla ve Research in Motion (barındırılan BlackBerry® hizmeti için) gibi hizmetlerle ilgili raporlar, hizmetlerin normal kullanımı sırasında ilgili tarafların verilere erişme biçimleri nedeniyle sunulmaz.
3 Exchange Online Protection yönetim merkezini etkinleştiren kurumsal müşteriler için, yönetim merkezinde kuyruğa alınan e-posta idari erişimi raporlanabilir değildir.
Kimler Office 365 veya Microsoft Dynamics CRM Online için yönetici haklarına sahiptir?
Microsoft veritabanı yöneticileri, görev tanımları nedeniyle veritabanındaki tüm kaynaklara (müşteri verileri dahil) erişebilir.
Müşteri verilerini yalnızca hizmetleri sunmak üzere kullanırız; bu nedenle Microsoft başka amaçlarla müşteri verilerine erişilmesini kesin olarak yasaklar. Hizmetleri sunmanın bir parçası olarak, veritabanı yöneticileri veritabanlarının performans ayarlaması veya müşterilerin bir veritabanından diğerine geçirilmesi gibi işlemler için müşteri verilerine erişebilir.
Aşağıdaki tabloda, farklı yöneticiler ve veri türleri için farklı erişim düzeylerinin ayrıntıları yer almaktadır:
Yönetici | Müşteri Verileri (İçerik Hariç) | İçerik |
Operasyonlar yanıt verme ekibi (yalnızca bu konuda görevli personelle sınırlıdır) | Evet, gerektiğinde. | Evet, özel durumlarda. |
Destek kuruluşu | Evet, yalnızca destek sorgusuna yanıt vermek için gerektiğinde. | Hayır. |
Mühendislik | Doğrudan erişim yok. Sorun giderme sırasında aktarılabilir. | Hayır. |
Ortaklar | Müşterinin izni ile. Daha fazla bilgi için iş ortağınızla görüşün. | Müşterinin izni ile. Daha fazla bilgi için iş ortağınızla görüşün. |
Microsoft'taki diğer kişiler | Hayır.1 | Hayır. |
1 Microsoft’taki diğer kişiler, Office 365 İşletme, Temel İşletme ve İş Ekstra ürünlerinin dizinlerinde bulunan belirli son kullanıcıların iletişim bilgilerini, bu kişilerle promosyon amaçlı iletişim kurmak amacıyla kullanabilir.
Microsoft, müşterilerinin verilerine erişme hakkını desteklemek için ne yapmaktadır? Müşteriler her zaman verilerine erişebilecek mi?
Müşteriler, hizmet açıklamalarında tanımlı standart protokoller ve erişim mekanizmaları aracılığıyla verilerine erişebilir ve verilerini denetleyebilir.
Müşteri aboneliğinin veya hizmet kullanımının sonunda, müşteri her zaman verilerini dışa aktarabilir. Tam ayrıntılar, bu konudaki en kesin kaynak olan Çevrimiçi Hizmet Kullanım Hakları'nda yer alır (Kurumsal Anlaşma müşterileri Ürün Kullanım Hakları'na başvurmalıdır). Ancak, size kolaylık sağlamak amacıyla, Office 365'in geçerli sürümünden itibaren Çevrimiçi Hizmet Kullanım Hakları'nın provizyonlarını dahil ediyoruz:
Çevrimiçi Hizmet Geçerliliğinin veya Kullanımının Sona Ermesi. Çevrimiçi hizmet aboneliğinizin geçerliliğinin sona ermesi veya hizmetin sonlandırılmasından sonra, Microsoft'a başvurmanız ve bizden:
•(1) hesabınızı devre dışı bırakmamızı ve sonra müşteri verilerini silmemizi veya
•(2) aboneliğinizin geçerliliği sonra erdikten veya aboneliğiniz sonlandırıldıktan sonra verileri alabilmeniz için müşteri verilerinizin en az 90 gün boyunca ("bekletme dönemi") sınırlı işleve sahip bir hesapta bekletilmesini istemeniz gerekir.
•(1) seçeneği belirlerseniz, müşteri verilerini hesabınızdan alamazsınız. (1) veya (2). seçenekleri belirlemezseniz, müşteri verilerini (2). seçeneğe göre saklarız.
• Bekletme döneminin sona ermesinin ardından hesabınızı devre dışı bırakır, daha sonra da müşteri verilerinizi sileriz. Önbelleğe alınan veya yedeklenen kopyalar, bekletme döneminin sonundan itibaren 30 gün içinde silinir.
Microsoft, müşterilere belirlenen süre içinde işlem yapmamaları durumunda verilerinin silineceğini bildirmek ve anımsatmak için müşteri verilerini silmeden önce birden çok bildirim gönderir.
Müşterinin yasalar uyarınca zorunlu olan gizlilik isteklerini yerine getirmek için yardıma gereksinim duyduğu ölçüde, birçok sözleşme çerçevesinde müşteriler müşteri verilerine erişme, değiştirme, silme veya engelleme konusunda yardım almak için Microsoft Müşteri Desteği 'ne başvurabilir. Standart araçlar ve süreçler aracılığıyla yerine getirilemeyen istekler, ek ücrete tabi olabilir.
İdari erişim izinlerinin yalnızca yetkili kullanıcılara işle ilgili sorumluluklarını yerine getirmeleri için verildiğinden nasıl emin olabilirim?
Office 365 ve Microsoft Dynamics CRM Online verilerine erişim benzersiz bir kullanıcıya kadar izlenebilecek şekilde verildiği için, tüm Office 365 ve Microsoft Dynamics CRM Online personeli müşteri verileri ile ilgili olarak yaptıkları işlemlerden sorumlu tutulur.
Diğer bir deyişle, bu sorumlu olma durumu benzersiz kullanıcı adları, veri erişim denetimleri ve denetim dahil bir dizi sistem denetimi aracılığıyla uygulanır. Kullanıcı işlemlerini belirli bir kişi ile tanımlamak için "Konuk" veya "Yönetici" gibi genel kullanıcı adları değil, benzersiz kullanıcı adları kullanılır (buna "ilişkilendirme" denir). Bu ilişkilendirmeyi güçlendirmek için dijital sertifika veya RSA belirteçleri kullanan akıllı kartlarla oturum açma gibi iki kademeli kimlik doğrulama yöntemleri de kullanılır.
Microsoft, hangi personel rollerine ve personele müşteri verilerine erişim hakkı verileceği konusunda katı denetimler uygular. Müşteri verilerinin depolandığı BT sistemlerine personel erişimi, rol tabanlı erişim denetimi (RBAC) ve kasa işlemleri [İngilizce] aracılığıyla sıkı denetime tabidir. Erişim denetimi, görevler ayrılığı ilkesini ve en düşük ayrıcalığı verme ilkesini izleyen otomatik bir işlemdir. Bu işlem, bu BT sistemlerine erişim isteyen mühendisin özgeçmiş araştırması, parmak izi, gerekli güvenlik eğitimi ve erişim onayları gibi uygunluk gereksinimlerini karşıladığını doğrular . Ayrıca, erişim düzeyleri yalnızca uygun iş gerekçelerine sahip kullanıcıların sistemlere erişmesini sağlamak için düzenli olarak gözden geçirilir.
Verilere kullanıcı erişimi de kullanıcı rolüne göre sınırlanır. Örneğin, sistem yöneticilerine veritabanı yönetim erişimi verilmez.
Verilerime fiziksel erişimi kısıtlamak için ne tür denetimler uygulanmaktadır?
Tüm Office 365 ve Microsoft Dynamics CRM Online veri merkezlerinde biyometrik erişim denetimler uygulanır ve Office 365 ile Microsoft Dynamics CRM Online sağlamak için kullanılan veri merkezlerinin çoğunda veri merkezlerine fiziksel erişim elde etmek için avuç içi baskısı gerekir.
Office 365 ve Microsoft Dynamics CRM Online veri merkezlerine fiziksel erişim, proxy kart erişim okuyucuları (kart erişim rozeti gerekir) ve el geometrisi biyometrik okuyucuları içeren iki kademeli bir kimlik doğrulama süreci ile denetlenir.
Microsoft Güvenlik Görevlisi, üç ayda bir veri merkezi erişimini onaylama konusunda yetkili personele rapor gönderir. Bu raporlar, halihazırda veri merkezine erişimi olan kişilerin listesini içerir. Yetkili personel, tüm kişilerin hala erişim gereksinimi olduğunu belirlemek ve görev tanımlarını gerçekleştirebilmek için gereken en az ayrıcalıklı erişim düzeyine sahip olmalarını sağlamak için listeyi denetler.
Office 365 ve/veya Microsoft Dynamics CRM Online'ın müşteri verilerine yaklaşımı konusunda ek bilgi için, lütfen Ürün ve Hizmetleri Geliştirmek için Microsoft Gizlilik Yönergeleri, Office 365 Güvenliği teknik incelemesi, Microsoft Dynamics CRM Online Güvenlik ve Hizmet Sürekliliği Kılavuzu ve Microsoft Çevrimiçi Gizlilik teknik incelemesine başvurun.
Microsoft, yönetici hakları verilen kişiler için ne tür bir özgeçmiş araştırması yapar?
ABD'de bulunan tüm Microsoft çalışanlarının işe alınma sürecinin bir parçası olarak standart bir özgeçmiş denetiminden geçmesi gerekir.
Özgeçmiş denetimleri, adayın eğitim durumu, çalışma geçmişi ve adli sicili ile ilgili bilgiler içerir. Tüm yeni Microsoft personeline uygulanan standart özgeçmiş denetiminin yanı sıra müşteri verilerine erişen veya önemli fiziksel veya mantıksal erişim denetimlerini yöneten tüm yeni ve mevcut personel, ihracat denetim listeleri çerçevesinde de denetimden geçmelidir. (İhracat denetim listeleri, Yurtdışı Varlıklar Dairesi Denetim Listesi (OFAC), Endüstri ve Güvenlik Bürosu Listesi (BIS) ve Savunma Dairesi Ticari Denetimler Yasaklı Kişiler Listesi'ni (DDTC) içerir.)
Erişim isteğinin, özel gereksinimleri olan müşterilere (örneğin ABD federal devleti) sunduğumuz hizmetlerle ilgili olduğu durumlarda vatandaşlık denetimleri ve parmak izi gibi ek bilgiler ve özgeçmiş denetimleri de geçerli olabilir.
Microsoft, çalışanlarının gizliliğini korumak için özgeçmiş denetimlerinin sonuçlarını müşteriler ile paylaşmaz.
Ek kaynaklar
•Microsoft Dynamics CRM Çevrimiçi Güvenlik ve Hizmet Sürekliliği Kılavuzu [İngilizce]
•Office 365 Güvenliği (teknik inceleme ) [İngilizce]