Centrum dôveryhodnosti: Informácie o zabezpečení, ochrane osobných údajov a dodržiavaní súladu, ktoré sa vzťahujú na Office 365 a Microsoft Dynamics CRM Online
Správcovský prístup
Máte možnosť zistiť, či k vašim údajom nepristupovala nepovolaná osoba. Vieme, že v cloude vás najviac znepokojuje okrem iného prístup k údajom. Konkrétne chcete mať istotu, že k svojim údajom budete mať prístup vždy, keď ho budete potrebovať, a že budete vedieť o tom, keď k vašim údajom pristupoval niekto iný.
Ako sú na tom Office 365 a Microsoft Dynamics CRM Online v súvislosti s prístupom k údajom?
K prístupu k vašim údajom sa staviame takto:
• Vždy vám poskytneme prístup k vašim údajom zákazníka.
• Prístup k údajom zákazníkov je prísne regulovaný a zapisovaný do denníkov. Spoločnosť Microsoft a tretie strany vykonávajú audit vzoriek s cieľom overiť, či sa prístup vzťahuje iba na vhodné podnikové účely.
• Rozumieme mimoriadnej dôležitosti obsahu našich zákazníkov1 , akým sú napríklad údaje z e-mailových správ v službe Exchange Online a obsah tímovej lokality SharePointu Online. Ak niekto (pracovník alebo partneri spoločnosti Microsoft2 , prípadne vaši vlastní správcovia) prejde na váš obsah v tejto službe, môžete o tomto prístupe k vášmu obsahu dostať správy spustením správy o prístupe k poštovej schránke pre osobu, ktorá nie je vlastníkom*, alebo spustením denníka auditu externého správcu. Pomocou týchto dvoch správ môžete zistiť, kedy niekto pravdepodobne prešiel na váš obsah.
• Správa o prístupe k poštovej schránke pre osobu, ktorá nie je vlastníkom*, v centre spravovania pre Exchange obsahuje zoznam poštových schránok, do ktorých prešiel niekto iný než vlastník poštovej schránky. Keď do poštovej schránky prejde niekto, kto nie je jej vlastníkom, Microsoft Exchange zaznamená informácie o tejto akcii do denníka auditu poštovej schránky, ktorý je uložený ako e-mailová správa v skrytom priečinku auditovanej poštovej schránky. Položky v denníku auditu poštovej schránky sa predvolene ukladajú na 90 dní.
* Zapisovanie do denníka auditu poštovej schránky treba zapnúť pre každú poštovú schránku, pre ktorú chcete spustiť správu o prístupe k poštovej schránke pre osobu, ktorá nie je vlastníkom. Ak zapisovanie do denníka auditu poštovej schránky zapnuté nie je, po spustení správy nedostanete žiadne výsledky.
Ďalšie informácie o spustení správy o prístupe k poštovej schránke pre osobu, ktorá nie je vlastníkom.
• Pri zapisovaní do denníka auditu správcu sa zaznamenávajú konkrétne akcie vykonané správcami a používateľmi, ktorí majú priradené oprávnenia správcu. Pomocou centra spravovania pre Exchange môžete vyhľadávať a zobrazovať položky z denníka auditu správcu týkajúce sa akcií, ktoré vykonali správcovia a delegovaní správcovia spoločnosti Microsoft.
Ďalšie informácie o zobrazovaní denníka auditu externého správcu.
• Azure Active Directory Premium je platforma identity pre Office 365, ktorá umožňuje riadenie identít a poskytuje možnosti riadenia prístupu. Medzi funkcie platformy Azure Active Directory patrí cloudový ukladací priestor údajov z adresárov a základná skupina služieb identity vrátane procesov prihlasovania používateľov, služieb overovania a služieb federácie.
Informácie o používaní správ o prístupe a používaní na získanie prehľadu o integrite a zabezpečení nájomníka služby Azure Active Directory (AD) vašej organizácie nájdete v tomto článku.
Ako zobrazím správcovský prístup k údajom?
Služba | Sledované činnosti | Pokyny |
Office 365 a Dynamics CRM Online | Vytváranie používateľov portálu, vytváranie nových hesiel | |
Exchange Online | Prístup k poštovej schránke servera Exchange 3 | Prejdite na ovládací panel programu Exchange (prepojenie nájdete na stránke Prehľad správcu na online portáli služieb Office 365 , vyžaduje sa prihlásenie) |
SharePoint Online | Lokalita SharePoint, prístup k ukladaciemu priestoru | |
Microsoft Dynamics CRM Online | Prístup k obsahu v službe CRM |
1 Pod obsahom sa rozumejú údaje zákazníkov, v prípade ktorých môžu zákazníci požadovať vyššiu úroveň zachovania dôvernosti a ktoré sa v prípade bežného používania služby prenášajú zašifrované cez internet. Patria sem predovšetkým: telo e-mailu služby Exchange Online a prílohy, obsah lokality a telo súboru SharePointu Online, okamžité správy a hlasové konverzácie a obchodné údaje služby CRM o interakciách vašich koncových zákazníkov.
2 Zostavy zodpovedajú správcovskému prístupu vašich partnerov k vášmu obsahu uloženému v službe. Nie sú pokryté všetky scenáre partnerov. Správy o predajcoch (v prípade, ak si zákazník kúpil službu od predajcu a predajca vystavuje faktúry zákazníkovi), partneri protokolu VoIP rozšírených komunikačných služieb a priradené služby ako Research in Motion (pre hosťovanú službu BlackBerry®) nie sú napríklad k dispozícii vzhľadom na charakter prístupu týchto strán k údajom počas bežného používania služieb.
3 Podnikoví zákazníci s povoleným centrom spravovania pre Exchange Online Protection nemôžu vykazovať správcovský prístup k pošte vo fronte v centre spravovania.
Kto má oprávnenia správcu na Office 365 alebo Microsoft Dynamics CRM Online?
Správcovia databáz Microsoft majú podľa definície prístup ku všetkým prostriedkom v databáze vrátane údajov zákazníkov.
Údaje zákazníkov používame len na poskytovanie služieb, spoločnosť Microsoft preto prísne zakazuje prístup k údajov zákazníkov na akékoľvek iné účely. V rámci poskytovania služieb môžu správcovia databáz využívať prístup k údajom zákazníkov na aktivity, ako je ladenie výkonu databáz a migrácia zákazníkov z jednej databázy do inej.
Nasledujúca tabuľka obsahuje podrobné informácie o rôznych úrovniach prístupu vzhľadom na rôzne typy správcov a údajov:
Správca | Údaje zákazníkov (s výnimkou obsahu) | Obsah |
Prevádzkový tím (obmedzené iba na kľúčových pracovníkov) | Áno, podľa potreby. | Áno, na základe výnimky. |
Podporná organizácia | Áno, výlučne na základe odpovede na dotaz oddelenia technickej podpory. | Nie. |
Inžinieri | Žiadny priamy prístup. Prenos je možný počas riešenia problémov. | Nie. |
Partneri | S povolením zákazníka. Ďalšie informácie vám poskytne partner. | S povolením zákazníka. Ďalšie informácie vám poskytne partner. |
Iní pracovníci spoločnosti Microsoft | Nie.1 | Nie. |
1 Ostatní v spoločnosti Microsoft môžu na základe kontaktných informácií o koncových používateľoch zadaných v adresároch používateľov služieb Office 365 Business, Business Essentials a Business Premium odosielať týmto koncovým používateľom propagačné oznámenia.
Čo všetko vykonáva spoločnosť Microsoft na podporu práv zákazníkov vzťahujúcich sa na prístup k ich údajom? Budú mať zákazníci nepretržitý prístup k svojim údajom?
Zákazníci môžu na prístup a riadenie svojich údajov používať štandardné protokoly a prístupové mechanizmy zadefinované v popise služby.
Zákazník môže po ukončení predplatného alebo používania služby svoje údaje vždy exportovať. Úplné podrobnosti sa nachádzajú v právach na používanie online služieb, čo je referenčný zdroj k tejto téme (zákazníci so zmluvou Enterprise by si mali prečítať práva na používanie produktov). Na zjednodušenie však nižšie uvádzame ustanovenia práv na používanie online služieb z aktuálneho vydania služieb Office 365:
Uplynutie platnosti alebo ukončenie online služby. Po uplynutí platnosti alebo ukončení predplatného online služby je potrebné, aby ste sa obrátili na spoločnosť Microsoft a oznámili nám, či máme:
•(1) vaše konto vypnúť a údaje zákazníka odstrániť, alebo
•(2) vaše údaje zákazníka ponechať v konte s obmedzenou funkčnosťou najmenej 90 dní po uplynutí platnosti alebo ukončení predplatného (ďalej len „doba uchovávania“), aby ste údaje mohli extrahovať.
•Ak si vyberiete možnosť (1), údaje zákazníka nebudete môcť zo svojho konta extrahovať. Ak si nevyberiete ani jednu z možností (1) alebo (2), údaje zákazníka uchováme v súlade s bodom (2).
• Po uplynutí doby uchovávania vaše konto vypneme a vaše údaje zákazníka odstránime. Kópie vo vyrovnávacej pamäti alebo záložné kópie sa vymažú do 30 dní od dátumu ukončenia doby uchovávania.
Spoločnosť Microsoft poskytuje pred odstránením údajov zákazníka viacero oznámení s informáciami, v ktorých zákazníkom pripomína nastávajúce odstránenie údajov, ak v rámci určeného časového rámca nevykonajú príslušné kroky.
Do rozsahu, v akom zákazník potrebuje pomoc pri plnení požiadaviek týkajúcich sa ochrany osobných údajov vyžadovaných zákonom v rámci mnohých zmlúv, sa zákazníci môžu obrátiť na oddelenie služieb zákazníkom spoločnosti Microsoft a požiadať o pomoc so zmenou, odstránením alebo blokovaním svojich údajov zákazníka a s prístupom k nim. Na požiadavky, ktoré nie je možné splniť prostredníctvom štandardných nástrojov a procesov, sa môžu vzťahovať dodatočné poplatky.
Akú mám istotu, že správcovský prístup bol poskytnutý iba oprávneným používateľom na plnenie ich pracovných povinností?
Každý pracovník služieb Office 365 a Microsoft Dynamics CRM Online nesie zodpovednosť za manipuláciu s údajmi zákazníka, pretože prístup k údajom zo služieb Office 365 a Microsoft Dynamics CRM Online sa udeľuje spôsobom, ktorý je možné sledovať až ku konkrétnemu používateľovi.
Inými slovami – zodpovednosť sa uplatňuje prostredníctvom súboru systémových kontrolných mechanizmov vrátane používania jedinečných mien používateľov, kontrolných mechanizmov prístupu k údajom a auditov. Na rozdiel od všeobecných mien používateľov, ako napríklad „hosť“ alebo „správca“, sa jedinečné mená používateľov používajú na uplatnenie zodpovednosti formou priradenia používateľských aktivít špecifickej osobe (označovaného ako „väzba“). Na posilnenie tejto väzby sa používa dvojfaktorové overovanie, ako napríklad prihlásenia prostredníctvom karty Smart Card pomocou digitálnych certifikátov alebo tokenov RSA.
Spoločnosť Microsoft používa prísne kontrolné mechanizmy, na základe ktorých sa prideľuje prístup k údajom zákazníka pre úlohy pracovníkov a samotných pracovníkov. Prístup pracovníkov k IT systémom, v ktorých sa ukladajú údaje zákazníkov, je prísne kontrolovaný prostredníctvom kontroly prístupu na základe rolí (RBAC) a procesov uzamknutej schránky [v angličtine] . Kontrola prístupu je automatický proces, ktorý sa uskutočňuje na základe princípu delenia povinností a udeľovania čo najmenších oprávnení. Vďaka tomuto procesu možno mať istotu, že inžinier, ktorý žiada o prístup k týmto IT systémom, spĺňa kvalifikačné požiadavky, napríklad používa obrazovku pozadia a odtlačky prstov, má požadované školenie zabezpečenia a schválený prístup . Tieto úrovne prístupu sa navyše pravidelne kontrolujú, aby mali do systémov prístup len používatelia s príslušným obchodným odôvodnením.
Prístup používateľov k údajom je limitovaný aj rolou používateľa. Správcovia systému nemajú napríklad správcovský prístup k databázam.
Aké kontrolné mechanizmy používate na obmedzenie fyzického prístupu k mojim údajom?
Všetky údajové centrá služieb Office 365 a Microsoft Dynamics CRM Online disponujú biometrickou kontrolou prístupu a väčšina údajových centier, ktoré poskytujú služby Office 365 a Microsoft Dynamics CRM Online, vyžaduje na získanie fyzického prístupu do údajových centier načítanie odtlačku dlane.
Fyzický prístup do údajových centier služieb Office 365 a Microsoft Dynamics CRM Online sa riadi prostredníctvom dvojvrstvového overovania vrátane proxy čítačiek prístupových kariet (vyžaduje sa fyzická prístupová karta) a biometrických čítačiek geometrie ruky.
Každý štvrťrok hlavný zástupca spoločnosti Microsoft pre oblasť zabezpečenia odosiela správy autorizovaným pracovníkom s oprávnením na schválenie prístupu do údajového centra. Tieto správy obsahujú zoznam osôb, ktoré v súčasnej dobe disponujú prístupom do údajových centier. Autorizovaný pracovníci vykonajú audit zoznamu s cieľom overiť, či všetky osoby stále potrebujú udelený prístup a či disponujú úrovňou prístupu s najnižšími oprávneniami potrebnými na vykonávanie svojich pracovných povinností.
Ďalšie informácie týkajúce sa prístupu k údajom zákazníkov v službách Office 365 a/alebo Microsoft Dynamics CRM Online nájdete v pokynoch spoločnosti Microsoft o vývoji produktov a služieb, technickej dokumentácii k zabezpečeniu služieb Office 365, sprievodcovi bezpečnosťou a kontinuitou služieb Microsoft Dynamics CRM Online a technickej dokumentácii o ochrane osobných údajov spoločnosti Microsoft online.
Aký typ prieskumu minulosti vykonáva spoločnosť Microsoft u osôb s udelenými správcovskými oprávneniami?
Všetci zamestnanci spoločnosti Microsoft v USA musia v rámci náborového procesu úspešne absolvovať štandardnú kontrolu minulosti.
Kontrola minulosti zahŕňa kontrolu informácií týkajúcich sa vzdelania, zamestnania a kriminálnej histórie kandidáta. Okrem bežnej kontroly minulosti, ktorá sa vzťahuje na všetkých nových zamestnancov spoločnosti Microsoft, musia noví a existujúci zamestnanci, ktorí majú prístup k údajom zákazníkov alebo spravujú kľúčové fyzické a logické riadenia prístupu, podstúpiť kontroly podľa zoznamov regulácie vývozu. (Zoznamy regulácie vývozu zahŕňajú zoznam Úradu kontroly zahraničných aktív (OFAC), zoznam Úradu pre priemysel a zabezpečenie (BIS) a zoznam vylúčených osôb Úradu ochranných obchodných opatrení (DDTC).)
Ak sa žiadosť o udelenie prístupu vzťahuje na služby, ktoré ponúkame zákazníkom so špeciálnymi požiadavkami (napríklad federálnej vláde USA), môžu sa vyžadovať ďalšie informácie a kontroly minulosti, napríklad kontroly občianstva a odtlačkov prstov.
S cieľom chrániť osobné údaje zamestnancov spoločnosť Microsoft nezdieľa výsledky kontrol minulosti so svojimi zákazníkmi.
Ďalšie zdroje informácií
•Sprievodca bezpečnosťou a kontinuitou služieb Microsoft Dynamics CRM Online [v angličtine]
•Zabezpečenie služieb Office 365 (technická dokumentácia ) [v angličtine]