Centar za pouzdanost: Centar za pouzdanost: Informacije o bezbednosti, privatnosti i usaglašenosti za Office 365 i Microsoft Dynamics CRM Online
Administrativni pristup
Omogućavamo vam da saznate da li je neko pristupio vašim podacima. Znamo da je u oblaku pristup podacima jedna od vaših najvećih briga. To podrazumeva da znate da ćete uvek moći da pristupite podacima kada je to neophodno i da znate da li neko drugi ima pristup vašim podacima.
Kakav je stav usluga Office 365 i Microsoft Dynamics CRM Online u vezi sa pristupom podacima?
Naš stav o pristupu podacima je sledeći:
• Uvek vam dajemo pristup vašim podacima o klijentu.
• Pristup podacima o klijentu se strogo kontroliše i evidentira, a uzorke nadgledanja izvršavaju korporacija Microsoft i treće strane kako bi potvrdili da im se pristupa samo u odgovarajuće poslovne svrhe.
• Uviđamo dodatnu važnost sadržaja svojih klijenata,1 kao što su podaci tela Exchange Online e-pošte i sadržaj SharePoint Online lokacije tima. Ako neko – Microsoft osoblje, partneri,2 ili vaši administratori – pristupi vašem sadržaju u usluzi, vi dobijate izveštaje u vezi sa tim pristupom tako što ćete pokrenuti izveštaj o pristupu poštanskom sandučetu osobe koja nije vlasnik* ili spoljnu evidenciju administratorskog nadzora. Ta dva izveštaja vam omogućavaju da znate kada je pristupljeno sadržaju.
• Izveštaj o pristupu poštanskom sandučetu osobe koja nije vlasnik* u Exchange centru administracije (EAC) navodi poštanske sandučiće kojima je pristupila osoba koja nije vlasnik. Kada poštanskom sandučetu pristupi osoba koja nije vlasnik, Microsoft Exchange evidentira informacije o toj radnji u evidenciji nadzora poštanskog sandučeta koja se skladišti kao e-poruka u skrivenoj fascikli u poštanskom sandučetu koje se nadgleda. Unosi se podrazumevano zadržavaju 90 dana u evidenciji nadzora poštanskog sandučeta.
*Morate da omogućite evidentiranje nadzora za svako poštansko sanduče za koje želite da pokrenete izveštaj o pristupu poštanskom sandučetu osobe koja nije vlasnik. Ako evidentiranje nadzora nije omogućeno, nećete dobiti rezultate kada pokrenete izveštaj.
Saznajte više o pokretanju izveštaja o pristupu poštanskom sandučetu osobe koja nije vlasnik.
• Evidencija administratorskog nadzora zapisuje određene radnje koje izvršavaju administratori i korisnici kojima su dodeljene administrativne privilegije. EAC možete da koristite da biste potražili i prikazali unose iz evidencije administratorskog nadzora za radnje koje su izvršili Microsoft administratori i delegirani administratori.
Saznajte više o prikazivanju spoljne evidencije administratorskog nadzora.
• Azure Active Directory Premium je platforma identiteta za Office 365 koja pruža upravljanje identitetom i mogućnosti kontrole pristupa. Azure Active Directory mogućnosti uključuju skladište zasnovano na tehnologiji oblaka za podatke direktorijuma i osnovni skup usluga identiteta, uključujući proces prijavljivanja korisnika, usluge potvrde identiteta i usluge za ujedinjavanje.
Pročitajte ovaj članak da biste saznali kako da koristite izveštaje o pristupu i korišćenju da biste dobili uvid u integritet i bezbednost Azure Active Directory (AD) zakupca organizacije.
Kako da prikažem administrativni pristup podacima?
Usluga | Praćene radnje | Uputstva |
Office 365 i Dynamics CRM Online | Kreiranje korisnika na portalu, poništavanja lozinki | |
Exchange Online | Pristup Exchange poštanskom sandučetu 3 | Posetite Exchange kontrolnu tablu (veza je dostupna na stranici „Pregled administratora“ portala Office 365 Online ; neophodno je prijavljivanje) |
SharePoint Online | SharePoint lokacija, pristup skladištu | |
Microsoft Dynamics CRM Online | Pristup CRM sadržaju |
1 Sadržaj predstavlja podatke o klijentu za koje klijenti imaju povećana očekivanja za poverljivost i koji se šifrovani prenose putem interneta kada se usluga koristi normalno. On posebno uključuje: Telo i priloge Exchange Online e-pošte, sadržaj i telo datoteke SharePoint Online lokacije, razmenu trenutnih poruka i glasovne razgovore i CRM poslovne podatke o interakcijama sa krajnjim klijentom.
2 Izveštaji odražavaju partnerov administrativni pristup sadržaju uskladištenom u usluzi. Nisu pokrivene sve situacije partnera. Na primer, izveštaji o prodavcima (gde je klijent kupio usluge od prodavca i prodavac ih naplaćuje), VOIP partneri za napredne usluge komunikacije i povezane usluge kao što je Research in Motion (za hostovanu BlackBerry® uslugu) nisu dostupni zbog prirode pristupa podacima koje ove strane imaju pri uobičajenom korišćenju usluga.
3 Za klijente iz velikih preduzeća koji su omogućili Exchange Online Protection centar administracije, nije moguće izveštavanje o administrativnom pristupu pošti u redu čekanja u centru administracije.
Ko ima administrativna prava za 365 ili Microsoft Dynamics CRM Online?
Administratori Microsoft baze podataka podrazumevano imaju pristup svim resursima u bazi podataka, uključujući podatke o klijentima.
Podatke o klijentima koristimo samo kako bismo pružili usluge. Microsoft stoga strogo zabranjuje pristup podacima o klijentu u bilo koje druge svrhe. U sklopu pružanja usluga, administratori baze podataka mogu da pristupe podacima o klijentu zbog radnji kao što su precizno podešavanje performansi baza podataka ili migriranje klijenata iz jedne baze podataka u drugu.
Sledeća tabela detaljno navodi različite nivoe pristupa za različite administratore i tipove podataka:
Administrator | Podaci o klijentu (isključujući sadržaj) | Sadržaj |
Tim za odziv operacija (ograničeno samo na ključno osoblje) | Da, po potrebi. | Da, po izuzetku. |
Organizacija podrške | Da, samo ako je zahtevano u odzivu na upit za podršku. | Ne. |
Inženjering | Nema direktnog pristupa. Može se preneti tokom rešavanja problema. | Ne. |
Partneri | Uz dozvolu klijenta. Obratite se partneru za dodatne informacije. | Uz dozvolu klijenta. Obratite se partneru za dodatne informacije. |
Druge osobe u korporaciji Microsoft | Ne.1 | Ne. |
1 Druge osobe iz korporacije Microsoft mogu da koriste kontakt informacije krajnjih korisnika navedene u direktorijumima korisnika usluga Office 365 Business, Business Essentials i Business Premium kako bi im slale komunikacije.
Šta korporacija Microsoft čini kako bi podržala prava klijenata na pristup podacima? Da li će klijenti uvek imati pristup podacima?
Korisnici mogu da pristupe podacima i da ih kontrolišu putem standardnih protokola i mehanizama pristupa definisanih u okviru opisa usluge.
Klijent uvek može da izveze podatke nakon završetka pretplate ili korišćenja usluge. Potpuni detalji su sadržani u Korisničkim pravima nad uslugama na mreži, koji su relevantan izvor za ovu temu (korisnici ugovora za preduzeća treba da pogledaju Korisnička prava nad proizvodom). Međutim, kako bi vam bilo lakše, ovde uključujemo dodele Korisničkih prava nad uslugom na mreži, počev od trenutnog izdanja usluge Office 365:
Istek ili prekid usluge na mreži. Nakon isteka ili prekida pretplate na uslugu na mreži morate da se obratite korporaciji Microsoft i da nam kažete da li:
•(1) da onemogućimo nalog, a zatim obrišemo podatke o klijentu; odnosno
•(2) da zadržimo podatke o klijentu u nalogu sa ograničenom funkcijom barem 90 dana nakon isteka ili prekida pretplate („period zadržavanja“) kako biste mogli da izdvojite podatke.
•Ako izaberete (1), nećete moći da izdvojite podatke o klijentu iz naloga. Ako ne izaberete ni (1) ni (2), zadržaćemo podatke o klijentu u skladu sa (2).
• Nakon isteka perioda zadržavanja, onemogući ćemo vaš nalog i potom izbrisati podatke o klijentu. Keširane ili rezervne kopije očistiće se u roku od 30 dana od završetka perioda zadržavanja.
Microsoft pruža više obaveštenja pre brisanja podataka o klijentu, tako da se klijenti obaveštavaju o predstojećem brisanju podataka i podsećaju na njega ako ne izvrše nikakvu radnju u propisanom vremenskom okviru.
U meri u kojoj je klijentu potrebna pomoć pri ispunjavanju zahteva za privatnošću koje propisuje zakon, u okviru više ugovora korisnici mogu da se obrate Microsoft podršci za korisnike za pomoć pri pristupu svojim podacima o klijentu, njihovom brisanju ili blokiranju. Zahtevi koji ne mogu da se ispune putem standardnih alatki i procesa mogu da podležu dodatnoj naplati.
Kako da budem siguran da je administrativni pristup dodeljen samo ovlašćenim korisnicima kako bi ispunjavali svoje poslovne odgovornosti?
Svo Office 365 i Microsoft Dynamics CRM Online osoblje snosi odgovornost za rukovanje podacima o klijentu jer se pristup Office 365 i Microsoft Dynamics CRM Online podacima dodeljuje tako da se može pratiti do jedinstvenog korisnika.
Drugim rečima, odgovornost se nameće putem skupa sistemskih kontrola, uključujući korišćenje jedinstvenih korisničkih imena, kontrola pristupa podacima i nadzora. Za razliku od generičkih korisničkih imena poput „Gost“ ili „Administrator“, koriste se jedinstvena korisnička imena kako bi nametnula odgovornost identifikacijom radnji korisnika sa određenom osobom (što se naziva „povezivanje“). Kako bi se pojačalo to povezivanje koristi se i dvostruka potvrda identiteta, npr. prijave pomoću pametne kartice korišćenjem digitalnih certifikata ili RSA tokena.
Microsoft primenjuje stroge kontrole nad tim kojim ulogama osoblja i kom osoblju će se dodeliti pristup korisničkim podacima. Pristup osoblja IT sistemima koji skladište podatke o klijentu strogo se kontroliše putem kontrole pristupa na osnovu uloga (RBAC) i procesa zaključanog polja [engleski] . Kontrola pristupa je automatizovani proces koji prati razdvajanje principa dužnosti i principa dodele najmanje privilegije. Taj proces obezbeđuje da inženjer koji traži pristup ovim IT sistemima ispunjava zahteve prihvatljivosti, npr. provera kriminalnog dosijea, provera otiska prsta, neophodna obuka o bezbednosti i odobrenja pristupa . Pored toga, nivoi pristupa se periodično pregledaju kako bi se obezbedilo da samo korisnici sa odgovarajućim poslovnim opravdanjem imaju pristup sistemima.
Korisnički pristup podacima ograničava i uloga korisnika. Na primer, administratorima sistema nije pružen administrativni pristup bazi podataka.
Koje kontrole su primenjene za ograničavanje fizičkog pristupa podacima?
Svi Office 365 i Microsoft Dynamics CRM Online centri podataka imaju biometrijske kontrole pristupa, pri čemu većina centara podataka koji se koriste za pružanje usluga Office 365 i Microsoft Dynamics CRM Online zahteva otiske dlana za dobijanje fizičkog pristupa centrima podataka.
Fizički pristup Office 365 i Microsoft Dynamics CRM Online centrima podataka kontroliše dvostruka potvrda identiteta, uključujući čitače proxy kartica za pristup (neophodna je oznaka kartice za pristup) i biometrijske čitače geometrije šake.
Microsoft službenik za bezbednost kvartalno šalje izveštaje ovlašćenom osoblju koje ima ovlašćenje da odobri pristup centrima podataka. Izveštaji sadrže listu osoba koje trenutno imaju pristup centrima podataka. Ovlašćeno osoblje nadgleda listu kako bi obezbedilo da je svim osobama i dalje neophodan pristup i da imaju pristup sa najnižim privilegijama neophodnim za obavljanje poslovne funkcije.
Dodatne informacije koje se odnose na pristup usluge Office 365 i/ili Microsoft Dynamics CRM Online podacima o klijentu, potražite u Microsoft vodiču za privatnost za razvoj proizvoda i usluga, beloj knjizi o bezbednosti usluge Office 365, vodiču za bezbednost i kontinuitet usluge Microsoft Dynamics CRM Online i beloj knjizi o Microsoft privatnosti na mreži.
Koju vrstu istrage kriminalnog dosijea Microsoft vrši nad osobama kojima su dodeljena administrativna prava?
Svi državljani Sjedinjenih Država zaposleni u korporaciji Microsoft moraju uspešno da dovrše standardnu proveru kriminalnog dosijea u sklopu procesa zapošljavanja.
Provere kriminalnog dosijea uključuju pregledanje informacija u vezi sa obrazovanjem, zaposlenjem i kriminalnom prošlošću kandidata. Pored standardne provere kriminalnog dosijea koja se vrši za svo novo osoblje korporacije Microsoft, novo i postojeće osoblje koje ima pristup podacima o klijentu ili upravlja ključnim fizičkim i logičkim kontrolama pristupa mora da se podvrgne proverama u odnosu na liste kontrole izvoza. (Liste kontrole izvoza uključuju listu kancelarije za kontrolu strane imovine (OFAC), listu biroa za industriju i bezbednost (BIS) i listu isključenih osoba kancelarije odbrane za kontrolu trgovine (DDTC).)
Dodatne informacije i provere kriminalnog dosijea, kao što su provera državljanstva i otiska prsta, mogu takođe da se izvrše ako se zahtev za pristup odnosi na usluge koje nudimo korisnicima sa specijalizovanim zahtevima, (na primer, savezna vlada Sjedinjenih Država).
Kako bi zaštitila privatnost zaposlenih, korporacija Microsoft ne deli rezultate provera kriminalnih dosijea sa klijentima.
Dodatni resursi
•Vodič za bezbednost i kontinuitet usluge Microsoft Dynamics CRM Online [engleski]
•Bezbednost usluge Office 365 (bela knjiga ) [engleski]