Valvontakeskus: Office 365:n ja Microsoft Dynamics CRM Onlinen tietoturva-, tietosuoja- ja vaatimustenmukaisuustiedot
Järjestelmänvalvojien käyttöoikeudet
Tarjoamme sinulle mahdollisuuden selvittää, onko joku käyttänyt tietojasi. Ymmärrämme, että tietojen käyttö on yksi merkittävimmistä pilvipalveluihin liittyvistä huolenaiheista. Siksi onkin erittäin tärkeää, että tiedät voivasi käyttää tietoja silloin, kun niitä tarvitset, sekä saavasi tietää, jos joku muu on käyttänyt tietojasi.
Mikä on Office 365:n Microsoft Dynamics CRM Onlinen kanta tietojen käyttöön?
Suhtaudumme tietojen käyttöoikeuksiin ja käyttöön seuraavasti:
• Tarjoamme asiakkaiden tiedot aina käytettäviksi.
• Asiakkaiden tietojen käyttöä valvotaan erittäin tarkasti. Sekä Microsoft että ulkopuoliset valvontapalveluita tarjoavat tahot suorittavat auditointeja, joilla valvotaan sitä, että tietoja käytetään vain asianmukaisiin liiketoimintatarkoituksiin. Lisäksi tietojen käyttö kirjataan.
• Ymmärrämme, että erityisen tärkeitä ovat asiakkaiden tärkeimmät tiedot,1 esimerkiksi Exchange Online -sähköpostiviestien leipätekstit ja SharePoint Online -ryhmäsivustojen sisällöt. Jos joku Microsoftin henkilökunnasta, kumppaneista,2 tai omista järjestelmänvalvojistasi käyttää palvelun sisältöä, voit saada käyttöä koskevia raportteja joko suorittamalla muun kuin omistajan käyttöraportin* tai ulkoisen järjestelmänvalvojan hallintalokin. Näiden kahden raportin avulla saat tietää, koska sisältöä on mahdollisesti käytetty.
• Exchange-hallintakeskuksessa saatavilla oleva muun kuin omistajan käyttöraportti* luetteloi postilaatikot, joita on käyttänyt joku muu kuin postilaatikon omistaja. Kun postilaatikkoa käyttää joku muu kuin omistaja, Microsoft Exchange kirjaa tiedot tapahtumasta postilaatikon hallintalokiin, joka tallennetaan sähköpostiviestinä tarkistettavan postilaatikon piilotettuun kansioon. Postilaatikon hallintalokin merkintöjä säilytetään oletusarvoisesti 90 päivän ajan.
*Sinun on otettava postilaatikon hallintalokin kirjaus käyttöön kunkin sellaisen postilaatikon osalta, johon haluat suorittaa muun kuin omistajan käyttöraportin. Jos postilaatikon hallintalokin kirjausta ei ole otettu käyttöön, et saa tuloksia suorittaessasi raporttia.
Lue lisää muun kuin omistajan käyttöraportin suorittamisesta.
• Järjestelmänvalvojan hallintalokeihin tallennetaan tiettyjä järjestelmänvalvojien ja järjestelmänvalvojan oikeudet saaneiden käyttäjien suorittamia toimintoja. Voit etsiä ja tarkastella Exchange-hallintakeskuksessa järjestelmänvalvojan hallintalokin merkintöjä toiminnoista, joita Microsoftin järjestelmänvalvojat tai valtuutetut järjestelmänvalvojat ovat suorittaneet.
Lue lisää ulkoisen järjestelmänvalvojan hallintalokin tarkastelusta.
• Azure Active Directory Premium on Office 365:n alusta, jolla voidaan hallita käyttäjätietoja ja käyttää hallintaominaisuuksia. Azure Active Directory -ominaisuuksia ovat pilvipohjainen tallennuspaikka hakemistotiedoille ja käyttäjätietopalveluiden perustehtävät, kuten kirjautumisprosessit, todennuspalvelut ja liittoutumispalvelut.
Jos haluat oppia käyttämään käyttöraportteja saadaksesi näkyvyyttä organisaatiosi Azure Active Directory (AD) -vuokraajan eheyteen ja suojaukseen, lue tämä artikkeli.
Miten voin nähdä, millä tavalla järjestelmänvalvojat ovat käyttäneet tietoja?
Palvelu | Seuratut toiminnot | Ohjeet |
Office 365 ja Dynamics CRM Online | Käyttäjien luominen portaalissa, salasanojen vaihtaminen | |
Exchange Online | Exchange-postilaatikon käyttöoikeudet 3 | Siirry Exchange Control Panel ‑sivulle (voit käyttää linkkiä, joka on Admin Overview -sivulla Office 365 -verkkoportaalissa ; tarvitset käyttäjätunnukset) |
SharePoint Online | SharePoint-sivuston ja tallennustilan käyttö | |
Microsoft Dynamics CRM Online | CRM-sisällön käyttöoikeudet |
1 Sisältö koostuu asiakkaan tiedoista, joita asiakas haluaa käsiteltävän erityisen luottamuksellisesti ja jotka palvelun normaalissa käytössä siirretään yleensä Internetissä salatussa muodossa. Tällaisia tietoja ovat nimenomaisesti ainakin Exchange Online -sähköpostiviestien leipätekstit ja liitetiedostot, SharePoint Online -sivuston sisältö, -tiedostojen varsinainen sisältö, pikaviestintä ja äänikeskustelut sekä CRM-yritystiedot loppuasiakkaidesi toimista.
2 Raporteissa kerrotaan kumppaneidesi järjestelmänvalvojaoikeuksista palveluun tallentamasi sisällön osalta. Raportit eivät kata kaikkia kumppaneihin liittyviä tilanteita. Esimerkiksi raportteja jälleenmyyjistä (eli tahoista, joilta asiakas on ostanut palvelut, ja joista jälleenmyyjä laskuttaa), ACS VOIP -kumppaneista ja liittyvien palveluiden palveluntarjoajista, kuten Research in Motion (Hosted BlackBerry® -palvelu), ei ole saatavilla, koska he voivat käyttää tietoja joka tapauksessa palveluiden normaalin käytön yhteydessä.
3 Exchange Online Protection -hallintakeskuksen käyttöön ottaneille yrityskäyttäjille ei voida raportoida hallintakeskuksessa jonoon asetettujen sähköpostien käytöstä.
Kenellä on Office 365:n tai Microsoft Dynamics CRM Onlinen järjestelmänvalvojaoikeudet?
Microsoftin tietokannan järjestelmänvalvojilla on automaattisesti käyttöoikeudet kaikkiin tietokannan sisältämiin resursseihin, myös asiakkaiden tietoihin.
Käytämme asiakkaiden tietoja ainoastaan palvelujen tarjoamista varten. Microsoft on kieltänyt ehdottomasti asiakkaiden tietojen käyttämisen mihin tahansa muihin tarkoituksiin. Tietokannan järjestelmänvalvojat voivat käyttää asiakkaiden tietoja palvelujen tarjoamisen yhteydessä esimerkiksi tietokantojen suorituskyvyn parantamiseen tai asiakkaiden siirtämiseen tietokannasta toiseen.
Seuraavassa taulukossa luetellaan erilaisten järjestelmänvalvoja- ja tietotyyppien erilaiset käyttöoikeustasot:
Järjestelmänvalvoja | Asiakkaan tiedot (pois lukien sisältö) | Sisältö |
Toiminnoista vastaava tiimi (vain olennaisimmat henkilöt) | Kyllä, tarpeen mukaan. | Kyllä, mutta vain poikkeustilanteissa. |
Tukiorganisaatio | Kyllä, vain tukipyyntöihin vastaamisen edellyttämällä tavalla. | Ei. |
Insinöörit | Ei suoraa käyttöoikeutta. Voidaan myöntää ongelmanratkaisun yhteydessä. | Ei. |
Kumppanit | Asiakkaan suostumuksella. Pyydä lisätietoja kumppaniltasi. | Asiakkaan suostumuksella. Pyydä lisätietoja kumppaniltasi. |
Muut Microsoftin edustajat | Ei.1 | Ei. |
1 Muut Microsoftin edustajat saattavat käyttää Office 365 Business-, Business Essentials- ja Business Premium -tilaajien hakemistoissa määritettyjen loppukäyttäjien yhteystietoja markkinointiviestintään.
Miten Microsoft tukee asiakkaidensa oikeutta käyttää tietojaan? Ovatko tiedot asiakkaiden käytettävissä milloin tahansa?
Asiakkaat voivat käyttää ja hallita tietojaan vakioprotokollilla ja -käyttötavoilla, jotka on määritetty palveluiden kuvauksissa.
Kun asiakkaan tilaus tai palvelun käyttö päättyy, asiakas voi aina viedä tietonsa. Tarkat tiedot tästä sisältyvät verkkopalveluiden käyttöoikeuksiin, jotka määrittävät ensisijaisesti tähän liittyvät kysymykset (Enterprise Agreement -sopimuksen tehneiden asiakkaiden on perehdyttävä tuotteen käyttöoikeuksiin). Olemme kuitenkin liittäneet Office 365:n nykyiseen versioon liittyvät verkkopalveluiden käyttöoikeuksien säännökset tähän:
Verkkopalvelutilauksen päättyminen tai lopettaminen. Kun verkkopalvelun tilausjaksosi päättyy tai lopetat tilauksen, sinun on otettava yhteyttä Microsoftiin ja kerrottava haluatko
•1) poistaa tilin käytöstä ja poistaa sitten asiakastiedot;
•2) säilyttää asiakastiedot rajoitetut toiminnot tarjoavassa tilissä ainakin 90 päivän ajan tilauksen päättymisen tai lopettamisen jälkeen (tätä ajanjaksoa kutsutaan "säilytysajaksi"), jotta voit noutaa tai hakea tiedot palvelusta.
•Jos valitset ensimmäisen vaihtoehdon, et voi noutaa tai hakea tilisi asiakastietoja. Jos et valitse kumpaakaan vaihtoehtoa, säilytämme tietosi toisen vaihtoehdon mukaisesti.
• Kun säilytysaika on kulunut, poistamme tilisi käytöstä ja poistamme sitten asiakastietosi. Välimuistiin tallennetut kopiot ja varmuuskopiot poistetaan 30 päivän kuluessa säilytysajan päättymisestä.
Microsoft ilmoittaa asiakastietojen poistamisesta etukäteen useita kertoja. Asiakkaat siis tietävät, jos heidän tietonsa tullaan poistamaan, sillä he saavat useita muistutuksia siitä, että tiedot poistetaan, jos he eivät toimi määritetyssä ajassa.
Jos asiakas tarvitsee apua lakien vaatimien tietoturvapyyntöjen täyttämisessä, asiakkaat voivat useiden sopimusten nojalla ottaa yhteyttä Microsoftin asiakastukeen . Tuki auttaa asiakkaita asiakastietojen käytössä, muokkaamisessa, poistamisessa tai estämisessä. Pyynnöistä, joita ei voida toteuttaa vakiotyökaluilla ja -prosesseilla, voidaan periä lisämaksu.
Mistä tiedän, että vain asianmukaisilla käyttäjillä (eli sellaisilla käyttäjillä, jotka tarvitsevat oikeuksia työnsä tekemiseen) on järjestelmänvalvojien oikeudet tietojen käyttämiseen?
Kaikki Office 365:n ja Microsoft Dynamics CRM Onlinen työntekijät ovat vastuussa asiakastietojen käytöstä, koska Office 365:n ja Microsoft Dynamics CRM Onlinen tietojen käyttöoikeudet myönnetään siten, että kunkin tietoja käyttävän käyttäjät toimet voidaan selvittää.
Vastuullisuutta valvotaan useilla järjestelmämenetelmillä ja -ominaisuuksilla, muun muassa yksilöllisillä käyttäjänimillä, tietojen käytön valvontaominaisuuksilla ja auditoinneilla. Emme käytä yleisiä käyttäjänimiä, kuten "Vieras" tai "Järjestelmänvalvoja," vaan käytämme yksilöllisiä käyttäjänimiä, jolloin kaikki toiminnot voidaan yhdistää tiettyyn käyttäjään (tätä kutsutaan "sitomiseksi"). Lisäksi täydennämme tätä kaksivaiheisella todentamisella, kuten älykorttikirjautumisella, digitaalisilla varmenteilla sekä RSA-tunnuksilla.
Microsoft valvoo tarkasti sitä, mitkä työntekijät ja minkä työntekijäroolien työntekijät voivat käyttää asiakkaiden tietoja. Työntekijöiden pääsyä asiakastietojen säilyttämiseen käytettäviin IT-järjestelmiin valvotaan erittäin tarkasti roolipohjaisen käyttöoikeuksien valvonnan avulla ja käyttämällä lock box -prosesseja [vain englanniksi] . Käyttöoikeuksien valvonta on automatisoitu prosessi, jossa noudatetaan tehtävien eriyttämisen ja pienimmän etuoikeuden myöntämisen periaatetta. Tämän prosessin avulla varmistetaan, että näiden IT-järjestelmien käyttöoikeuksia pyytävä teknikko täyttää kelpoisuusvaatimukset, kuten taustaseulonnan, sormenjälkitarkastukset, edellytetyn turvallisuuskoulutuksen ja käyttöoikeuksien edellyttämät hyväksynnät . Lisäksi käyttöoikeustasot tarkistetaan säännöllisesti, mikä takaa sen, että järjestelmiä voivat käyttää vain sellaiset käyttäjät, jotka tarvitsevat tietoja työssään tai liiketoimintaan liittyvissä tarkoituksissa.
Käyttäjien tietojen käyttöoikeuksia rajoitetaan myös käyttäjäroolien avulla. Esimerkiksi järjestelmänvalvojille ei myönnetä tietokannan järjestelmänvalvojaoikeuksia.
Miten tietojen käyttöä valvotaan fyysisesti?
Kaikissa Office 365:n ja Microsoft Dynamics CRM Onlinen palvelinkeskuksissa on biometriset kulunvalvontajärjestelmät. Lisäksi useimmat Office 365- ja Microsoft Dynamics CRM Online -palvelun tarjoamisessa käytettävät palvelinkeskukset edellyttävät, että käyttäjien on tunnistauduttava kämmenjäljillään päästäkseen sisään palvelinkeskuksiin.
Office 365:n ja Microsoft Dynamics CRM Onlinen palvelinkeskusten fyysistä sisäänpääsyä valvotaan kaksivaiheisella todentamisella, joka käsittää muun muassa kulkukorttilukijoita (sisäänpääsy edellyttää kulkukorttia) sekä biometrisiä käden muotoon perustuvia tunnistautumismenetelmiä.
Microsoftin tietoturvavastaava lähettää neljännesvuosittain raportin asianmukaiselle henkilöstölle, joilla on oikeudet hyväksyä palvelinkeskusten käyttö- ja kulkuoikeuksia. Tämä raportti sisältää luettelon henkilöistä, joilla on tällä hetkellä käyttö- ja kulkuoikeudet palvelinkeskuksiin. Nämä henkilöt tarkistavat luettelon ja varmistavat, että kaikki luetteloon kuuluvat edelleen tarvitsevat oikeuksia ja että heillä on pienin mahdollinen työnsä suorittamisen edellyttämä oikeustaso.
Lisätietoja Office 365:n ja/tai Microsoft Dynamics CRM Onlinen tavasta käsitellä asiakastietoja löydät Microsoftin tuotteiden ja palveluiden kehitystyön tietosuojaohjeista, Office 365:n suojauksen teknisestä raportista, Microsoft Dynamics CRM Onlinen turvallisuutta ja palvelun jatkuvuutta koskevasta oppaasta sekä Microsoft Onlinen tietosuojaa koskevasta teknisestä raportista.
Millaisen taustatutkimuksen Microsoft tekee henkilöille, joille myönnetään järjestelmänvalvojaoikeudet?
Kaikkien Yhdysvalloissa toimivien Microsoftin työntekijöiden on läpäistävä alan tavallinen turvallisuus- ja taustatutkimus palkkaamisen yhteydessä.
Näissä tutkimuksissa tarkistetaan työntekijöiden koulutus- ja työhistoriatiedot sekä mahdolliset rikosrekisterimerkinnät. Tämän kaikkien uusien Microsoftin työntekijöiden vakiotarkistuksen lisäksi kaikkien uusien ja nykyisten työntekijöiden, jotka käyttävät asiakastietoja tai vastaavat kulunvalvonnasta tai käyttöoikeuksien valvomisesta, on läpäistävä tiettyjen valtionhallinnon vientiä koskevien luetteloiden vaatimukset. Näitä ovat muun muassa seuraavat: Office of Foreign Assets Control List (OFAC), Bureau of Industry and Security List (BIS) ja Office of Defense Trade Controls Debarred Persons List (DDTC).
Lisäksi saatamme käyttää muita tietoja ja tarkistuksia (kuten kansalaisuuden varmistamista ja sormenjälkitarkistuksia), jos käyttöoikeudet liittyvät palveluihin, joita tarjoamme asiakkaille, joilla on erityisvaatimuksia (esimerkiksi Yhdysvaltain liittovaltion hallitus).
Microsoft ei jaa työntekijöiden tausta- ja turvallisuustarkistusten tuloksia asiakkaiden kanssa työntekijöidensä tietoturvan takaamiseksi.
Lisäresurssit
•Microsoft Dynamics CRM Onlinen tietoturvaopas ja palvelun jatkuvuusopas [vain englanniksi]
•Office 365:n turvallisuus (tekninen raportti ) [englanniksi]