Drošības kontroles centrs: drošības, konfidencialitātes un atbilstības informācija pakalpojumam Office 365 un Microsoft Dynamics CRM Online
Administratīvā piekļuve
Mēs ļaujam jums noskaidrot, vai kāds nav piekļuvis jūsu datiem. Mēs zinām, ka piekļuve datiem mākonī jums ir viens no vissvarīgākajiem jautājumiem. Tas nozīmē pārliecību, ka saviem datiem varēsit piekļūt, kad jums tas ir nepieciešams, un informācija par to, vai kāds cits nav piekļuvis jūsu datiem.
Kāda ir Office 365 un Microsoft Dynamics CRM Online nostāja par piekļuvi datiem?
Mūsu nostāja par piekļuvi jūsu datiem ir šāda:
• Mēs vienmēr ļaujam jums piekļūt jūsu klientu datiem.
• Piekļuvi klientu datiem stingri kontrolē, reģistrē un izlases auditu veic gan Microsoft, gan arī trešās personas, lai apstiprinātu, ka piekļuve iespējama tikai atbilstošām darba vajadzībām.
• Mēs apzināmies, ka mūsu klientu saturs1 , piemēram, Exchange Online e-pasta pamatteksta dati un SharePoint Online grupas vietnes saturs, ir īpaši svarīgi. Ja kāds — Microsoft darbinieki, partneri2 vai jūsu administratori — piekļūst saturam pakalpojumā, jūs varat iegūt atskaites par šo piekļuvi, palaižot atskaiti par piekļuvi, ko neveic pastkastes īpašnieks,* vai ārējo administratoru audita žurnālu. Šīs divas atskaites ļauj uzzināt, ja kāds ir mēģinājis piekļūt jūsu saturam.
• Atskaitē par piekļuvi, ko neveic pastkastes īpašnieks,* Exchange administrēšanas centrā (EAC) ir norādītas pastkastes, kurām ir piekļuvusi persona, kas nav pastkastes īpašnieks. Kad pastkastei piekļūst persona, kas nav tās īpašnieks, Microsoft Exchange reģistrē informāciju par šo piekļuvi pastkastes audita žurnālā, kas saglabāts kā e-pasta ziņojums slēptā mapē pastkastē, kurā tiek veikts audits. Pastkastes audita žurnāla ieraksti pēc noklusējuma tiek saglabāti 90 dienas.
* Pastkastes audita reģistrēšana ir jāiespējo katrai pastkastei, kurai vēlaties palaist atskaiti par piekļuvi, ko neveic pastkastes īpašnieks. Ja pastkastes audita reģistrēšana nav iespējota, tad, palaižot atskaiti, rezultāti netiks parādīti.
Iegūstiet papildinformāciju par atskaites palaišanu par piekļuvi, ko neveic pastkastes īpašnieks.
• Administratoru žurnāla reģistrēšana reģistrē noteiktas darbības, ko veikuši administratori un lietotāji, kam ir piešķirtas administratora tiesības. Varat izmantot EAC, lai meklētu un skatītu administratoru audita žurnāla ierakstus par darbībām, ko veikuši Microsoft administratori un pilnvarotie administratori.
Iegūstiet papildinformāciju par ārējā administratoru audita žurnāla skatīšanu.
• Azure Active Directory Premium ir Office 365 identitātes platforma, kas nodrošina identitātes pārvaldības un piekļuves vadības iespējas. Azure Active Directory iespējas ietver mākoņa krātuvi direktorija datiem un identitātes pakalpojumu pamata kopu, ieskaitot lietotāja pieteikšanās procesu, autentifikācijas pakalpojumus un federācijas pakalpojumus.
Lai uzzinātu, kā izmantot piekļuves un lietojuma atskaites, lai gūtu redzamību par organizācijas Azure Active Directory (AD) nomnieka integritāti un drošību, izlasiet šo rakstu.
Kā skatīt administratīvo piekļuvi datiem?
Pakalpojums | Izsekojamās darbības | Norādījumi |
Office 365 un Dynamics CRM Online | Lietotāju izveide portālā, paroļu atiestate | |
Exchange Online | Piekļuve Exchange pastkastei 3 | Atveriet Exchange vadības paneli (saite pieejama Office 365 Online Portāla administratora pārskata lapā ; nepieciešama pieteikšanās) |
SharePoint Online | SharePoint vietne, piekļuve krātuvei | |
Microsoft Dynamics CRM Online | Piekļuve CRM saturam |
1 Saturs ir klienta dati, kuru apstrādē klienti vēlas augstāku konfidencialitātes līmeni un kuri, pakalpojumu izmantojot parastā veidā, internetā tiek pārsūtīti šifrēti. Šajā saturā ietilpst: Exchange Online e-pasta ziņojumu pamatteksts un pielikumi, SharePoint Online vietnes saturs un failu pamatteksts, tūlītējās ziņojumapmaiņas un balss sarunas un CRM biznesa dati par saziņu ar gala klientiem.
2 Atskaites atspoguļo jūsu partneru administratīvo piekļuvi jūsu saturam, kas ir saglabāts šajā pakalpojumā. Visi partneru scenāriji netiek aptverti. Piemēram, atskaites par tālākpārdevējiem (no kuriem klienti ir iegādājušies pakalpojumus un ar kuriem norēķinās), uzlaboto saziņas pakalpojumu VOIP partneriem un saistītajiem pakalpojumiem, piemēram, Research in Motion (viesotajam BlackBerry® pakalpojumam), nav pieejamas, jo atbilstošajiem datiem tiek piekļūts parastā pakalpojumu izmantošanas veidā.
3 Uzņēmumu klientiem, kas ir iespējojuši Exchange Online Protection administrēšanas centru, nevar izveidot atskaites par administratīvo piekļuvi pastam, kas uzkrājies administrēšanas centrā.
Kam ir administratīvās tiesības pakalpojumā Office 365 vai Microsoft Dynamics CRM Online?
Microsoft datu bāzu administratoriem pēc definīcijas ir piekļuve visiem datu bāzes resursiem, ieskaitot klientu datus.
Klientu datus mēs izmantojam tikai pakalpojumu nodrošināšanas nolūkos, tāpēc Microsoft stingri aizliedz piekļūt klientu datiem jebkādā citā nolūkā. Nodrošinot pakalpojumus, datu bāzu administratori var piekļūt klientu datiem, lai veiktu tādas darbības kā datu bāzes veiktspējas regulēšana vai klientu migrēšana no vienas datu bāzes uz citu.
Nākamajā tabulā ir detalizēta informācija par dažādu administratoru atšķirīgajiem piekļuves līmeņiem noteiktiem datu tipiem:
Administrators | Klientu dati (izņemot saturu) | Saturs |
Par darbību atbildīgā grupa (iekļauti tikai galvenie darbinieki) | Jā, pēc vajadzības | Jā, izņēmuma kārtā |
Atbalsta organizācija | Jā, tikai, ja nepieciešams, lai reaģētu uz atbalsta pieprasījumu | Nē |
Inženieri | Nav tiešas piekļuves. Dati var tikt pārsūtīti problēmu novēršanas laikā | Nē |
Partneri | Ar klienta atļauju. Papildinformāciju jautājiet partnerim | Ar klienta atļauju. Papildinformāciju jautājiet partnerim |
Citi Microsoft darbinieki | Nē1 | Nē |
1 Citi Microsoft darbinieki var izmantot gala lietotāju kontaktinformāciju, kas norādīta Office 365 Business, Business Essentials un Business Premium klientu direktorijos, lai nosūtītu šiem gala lietotājiem reklāmas ziņojumus.
Ko Microsoft dara saistībā ar savu klientu tiesībām piekļūt saviem datiem? Vai klienti vienmēr varēs piekļūt saviem datiem?
Klienti saviem datiem var piekļūt un tos kontrolēt, izmantojot standarta protokolus un piekļuves mehānismus, kas definēti pakalpojumu aprakstos.
Beidzoties klienta abonementam vai pakalpojuma lietošanai, klients vienmēr var eksportēt savus datus. Pilnīga, detalizēta informācija ir iekļauta tiešsaistes pakalpojumu lietošanas tiesībās, kas šajā ziņā ir autoritatīvs avots (līguma Enterprise klientiem ir jāskatās produkta lietošanas tiesības). Tomēr jūsu ērtībām šeit iekļaujam tiešsaistes pakalpojumu lietošanas tiesību noteikumus atbilstoši pašreizējam Office 365 laidienam:
Tiešsaistes pakalpojuma termiņa beigas vai līguma izbeigšana. Beidzoties jūsu tiešsaistes pakalpojuma abonementa termiņam vai pārtraucot līgumu, jums ir jāsazinās ar Microsoft un jānorāda, vai:
•(1) atspējot jūsu kontu un izdzēst klientu datus;
•(2) paturēt jūsu klientu datus ierobežotas funkcionalitātes kontā vismaz 90 dienas, skaitot no jūsu abonementa beigu vai līguma izbeigšanas datuma ("paturēšanas periods"), lai jūs varētu izgūt šos datus.
•Ja norādīsit 1. variantu, jūs nevarēsit no sava konta izgūt klientu datus. Ja nenorādāt ne 1., ne 2. variantu, mēs saglabājam klientu datus saskaņā ar 2. variantu.
• Beidzoties saglabāšanas periodam, mēs atspējosim jūsu kontu un izdzēsīsim jūsu klientu datus. Kešatmiņā saglabātās vai dublētās kopijas tiks iztīrītas 30 dienu laikā, skaitot no saglabāšanas perioda beigām.
Pirms klientu datu izdzēšanas Microsoft sniedz vairākus paziņojumus, lai informētu klientus un atgādinātu par sagaidāmo datu dzēšanu, ja tie nav neko darījuši noteiktajā laika periodā.
Ja klientiem ir nepieciešama palīdzība konfidencialitātes prasību ievērošanā atbilstoši tiesību aktiem, daudzos līgumos ir noteikumi, saskaņā ar kuriem klienti var sazināties ar Microsoft klientu atbalsta dienestu , lai saņemtu palīdzību saistībā ar piekļuvi saviem klienta datiem, to mainīšanu, dzēšanu vai bloķēšanu. Ja šos pieprasījumus nevar izpildīt, izmantojot standarta rīkus un procesus, par to izpildi tikt prasīta atsevišķa samaksa.
Kā pārliecināties par to, ka tikai pilnvarotiem lietotājiem ir piešķirta administratora piekļuve savu darba pienākumu veikšanai?
Visi Office 365 un Microsoft Dynamics CRM Online darbinieki atbild par savu rīcību ar klientu datiem, jo piekļuve Office 365 un Microsoft Dynamics CRM Online datiem tiek piešķirta veidā, kas ļauj noteikt unikālu lietotāju.
Citiem vārdiem sakot, atbildība tiek nodrošināta, izmantojot sistēmas kontroles pasākumu kopu, ieskaitot unikālu lietotājvārdu izmantošanu, datu piekļuves kontroli un auditu. Atšķirībā no vispārīgiem lietotājvārdiem, piemēram, "Viesis" vai "Administrators", unikālie lietotājvārdi tiek izmantoti, lai nodrošinātu atbildību, lietotāja darbības saistot ar konkrētu personu ("saistījums"). Lai vēl vairāk stiprinātu šo saistījumu, tiek izmantota arī divfaktoru autentificēšana, piemēram, pieteikšanās ar viedkarti, izmantojot ciparsertifikātus vai RSA pilnvaras.
Microsoft stingri kontrolē, kādām darbinieku lomām un kuriem darbiniekiem tiek piešķirta piekļuve klientu datiem. Darbinieku piekļuve IT sistēmām, kurās glabājas klientu dati, tiek stingri kontrolēta, izmantojot lomu piekļuves vadību (role-based access control — RBAC) un slēdzamas kastītes procesus [angļu valodā] . Piekļuves kontrole ir automatizēts process, kas ievēro pienākumu nodalīšanas principus un mazāko iespējamo privilēģiju piešķiršanas principu. Šis process nodrošina, lai inženieris, kas pieprasa piekļuvi šīm IT sistēmām, atbilstu piemērotības prasībām, piemēram, biogrāfijas datu pārbaudes, pirkstu nospiedumu, nepieciešamās drošības apmācības un piekļuves apstiprinājuma prasībām . Turklāt piekļuves līmeņi tiek periodiski pārskatīti, lai nodrošinātu to, ka sistēmai var piekļūt tikai tie lietotāji, kam ir atbilstošs uzņēmējdarbības attaisnojums.
Lietotāju piekļuvi datiem tiek ierobežota arī ar lietotāja lomu. Piemēram, sistēmas administratoriem netiek nodrošināta administratīvā piekļuve datu bāzēm.
Kā tiek ierobežota fiziska piekļuve maniem datiem?
Visos Office 365 un Microsoft Dynamics CRM Online datu centros ir biometriskā piekļuves kontrole, turklāt vairākumā datu centru, kas tiek izmantoti Office 365 un Microsoft Dynamics CRM Online darbības nodrošināšanai, šiem datu centriem fiziski var piekļūt tikai ar plaukstas nospieduma palīdzību.
Fizisko piekļuvi Office 365 un Microsoft Dynamics CRM Online datu centriem kontrolē divu līmeņu autentifikācija, ieskaitot pilnvaras karšu piekļuves lasītājus (nepieciešams kartes piekļuves žetons) un rokas ģeometrijas biometriskos lasītājus.
Reizi ceturksnī Microsoft drošības amatpersona nosūta atskaites pilnvarotiem darbiniekiem, kam ir pilnvaras apstiprināt piekļuvi datu centriem. Šajās atskaitēs ir uzskaitītas personas, kam šobrīd ir piekļuve šiem datu centriem. Pilnvarotie darbinieki pārbauda sarakstu, lai pārliecinātos, vai visām personām joprojām ir nepieciešama piekļuve un vai ir piešķirts vismazākais piekļuves līmenis, kāds nepieciešams darba uzdevumu veikšanai.
Papildinformāciju par Office 365 un/vai Microsoft Dynamics CRM Online izmantotajām metodēm darbam ar klientu datiem skatiet Microsoft norādījumos par konfidencialitāti, izstrādājot produktus un pakalpojumus, tehniskajā dokumentā par Office 365 drošību, Microsoft Dynamics CRM Online drošības un pakalpojumu nepārtrauktības rokasgrāmatā un tehniskajā dokumentā par Microsoft Online konfidencialitāti.
Kāda veida biogrāfijas datus Microsoft pārbauda par personām, kurām tiek piešķirtas administratora tiesības?
Visiem Microsoft darbiniekiem, kas strādā ASV, to nolīgšanas procesā ir sekmīgi jāiztur standarta biogrāfijas datu pārbaude.
Biogrāfijas datu pārbaude ietver ziņas par kandidāta izglītību, nodarbinātību un sodāmību. Bez standarta biogrāfijas datu pārbaudes, kas tiek veikta visiem jaunajiem Microsoft darbiniekiem, jaunajiem un esošajiem darbiniekiem, kuriem ir piekļuve klientu datiem vai kuri pārvalda galvenos fiziskās un loģiskās piekļuves kontroles mehānismus, ir jāiztur eksporta kontroles sarakstu pārbaude. (Eksporta kontroles saraksti ietver Ārvalstu kapitāla kontroles biroja (Office of Foreign Assets Control — OFAC) sarakstu, Nozares un drošības biroja (Bureau of Industry and Security — BIS) sarakstu un Ieroču tirdzniecības kontroles biroja personu sarakstu, kam atņemtas tiesības (Defense Trade Controls Debarred Persons — DDTC).)
Ja piekļuves pieprasījums ir saistīts ar pakalpojumiem, kurus piedāvājam klientiem ar īpašām prasībām (piemēram, ASV federālajai pārvaldei), iespējamas arī papildu informācijas un biogrāfijas datu pārbaudes, piemēram, pilsonības un pirkstu nospiedumu pārbaude.
Lai aizsargātu savu darbinieku konfidencialitāti, Microsoft klientiem neizpauž biogrāfijas datu pārbaudes rezultātus.
Papildu resursi
•Microsoft Dynamics CRM Online drošības un pakalpojumu nepārtrauktības rokasgrāmata [angļu valodā]
•Office 365 drošība (tehniskais dokuments ) [angļu valodā]