Център за сигурност: Информация за защита, поверителност и съответствие за Office 365 и Microsoft Dynamics CRM Online

Административен достъп

Ние ви даваме възможност да откриете дали някой е осъществявал достъп до вашите данни. Ние знаем, че достъпът до данните в облака е едно от основните ви притеснения. Това означава, че ще имате възможност за достъп до своите данни, когато ви е необходимо, както и че ще знаете дали някой друг е осъществявал достъп до тях.

Каква е позицията на Office 365 и Microsoft Dynamics CRM Online за достъпа до данните?

Нашата позиция по отношение на достъпа до данните ви е следната:

Винаги ви даваме достъп до вашите данни на клиента.

Достъпът до данните на клиента е строго контролиран и регистриран и се извършват периодични одити както от Microsoft, така и от трети лица, за да се потвърди, че този достъп е само за съответните бизнес цели.

Признаваме изключителната важност на съдържанието на нашите клиенти1 , например основния текст на имейлите в Exchange Online и съдържанието на екипните сайтове в SharePoint Online. Ако някой – персонал и партньори на Microsoft2 или вашите администратори – има достъп до съдържанието на услугата, можете да получавате отчети по отношение на този достъп, като пуснете или отчет за достъп до пощенска кутия не от собственик*, или регистрационен файл за проверка от външен администратор. Тези два отчета ви позволяват да се информирате, когато може да е отваряно ваше съдържание.

Отчетът за достъп до пощенска кутия не от собственик в центъра за администриране на Exchange (EAC) съдържа списък на пощенските кутии, които са отваряни от някого, който не е собственик на пощенската кутия. Когато пощенска кутия е отваряна не от собственик, Microsoft Exchange регистрира информация за това действие в регистрационен файл за проверка на пощенска кутия, който се съхранява като имейл съобщение в скрита папка в проверяваната пощенска кутия. Записите в регистрационния файл за проверка на пощенска кутия се запазват за 90 дни по подразбиране.

* Трябва да разрешите записването в регистрационен файл проверка за всяка пощенска кутия, за която искате да пуснете отчет за достъп до пощенска кутия не от собственик. Ако записването в регистрационен файл за проверка на пощенска кутия не е разрешено, няма да получите резултати, когато пуснете отчет.

Научете повече за пускането на отчет за достъп до пощенска кутия не от собственик.

Регистрирането за проверка на администратор записва определени действия, извършени от администраторите и потребителите, на които са дадени административни привилегии. Можете да използвате EAC, за да търсите и разглеждате записи от регистрационния файл за проверка на администратор за действия, изпълнени от администратори на Microsoft и делегирани администратори.

Научете повече за преглеждане на регистрационния файл за проверка на външен администратор.

Azure Active Directory Premium е платформа за самоличности за Office 365, която предоставя управление на самоличности и възможности за управление на достъпа. Възможностите на Azure Active Directory включват базирано на облак хранилище за данни от справочни указатели и основен набор от услуги за самоличности, включително процеси за влизане на потребители, услуги за удостоверяване и услуги за улесняване на достъпа.

За да научите как да използвате отчетите за достъп и използване, така че да получите представа за целостта и защитата на клиента на Azure Active Directory (AD) на вашата организация, прочетете тази статия.

Как мога да видя административния достъп до данните?

Услуга

Следени дейности

Указания

Office 365 и Dynamics CRM Online

Създаване на потребители в портала, нулиране на пароли

Създаване на ново искане за техническо обслужване

Exchange Online

Достъп до пощенски кутии на Exchange 3

Посетете контролния панел на Exchange (връзка, достъпна от страницата "Общ преглед на администратора" в онлайн портала на Office 365 ; изисква се влизане)

SharePoint Online

Сайт на SharePoint, достъп до мястото за съхранение

Създаване на ново искане за техническо обслужване

Microsoft Dynamics CRM Online

Достъп до съдържанието на CRM

Създаване на ново искане за техническо обслужване

1 Съдържание са данните на клиента, за които клиентът може да има повишени очаквания за поверителност и които при нормално използване на услугата се прехвърлят шифровани по интернет. По-конкретно то включва: Основния текст и прикачените файлове на имейлите в Exchange Online, съдържанието на сайтовете и съдържанието на файловете в SharePoint Online, незабавните съобщения или гласови разговори, и фирмена информация от CRM, отнасяща се до отношенията с крайните ви клиенти.

2 Отчетите отразяват административния достъп на вашите партньори до съдържанието ви, съхранено в услугата. Не са обхванати всички случаи на партньори. Например отчети на търговците (откъде клиентът е закупил услугите и на кого е платил, търговецът), VOIP партньорите на услуги за разширени комуникации и свързаните услуги, например Research in Motion (за хоствана услуга на BlackBerry®), не са налични поради естеството на достъпа на страните до данните при нормален начин на използване на услугите.

3 За корпоративните клиенти, които са разрешили центъра за администриране на Exchange Online Protection, административният достъп до пощата в опашката на центъра за администриране не може да бъде отчетен.

Кой има административни права за Office 365 или Microsoft Dynamics CRM Online?

Администраторите на бази данни на Microsoft по определение имат достъп до всички ресурси на дадена база данни, включително до данните на клиента.

Ние използваме данните на клиентите само за да предоставим услугите. Затова Microsoft строго забранява достъпа до данни на клиента за всякакви други цели. Като част от предоставянето на услугите администраторите могат да имат достъп до данни на клиента за дейности като настройване на производителността на базите данни или мигриране на потребители от една база в друга.

В следващата таблица са дадени подробни данни за различните нива на достъп за различните администратори и различните типове данни:

Администратор

Данни на клиента (не включва съдържание)

Съдържание

Екип, отговорен за операциите (ограничен само до основния персонал)

Да, според нуждите.

Да, по изключение.

Организация по поддръжката

Да, само ако е необходимо в отговор на искане за поддръжка.

Не.

Инженерно-технически работи

Няма директен достъп. Възможно е да бъдат прехвърляни по време на отстраняване на проблеми.

Не.

Партньори

С разрешение на клиента. Свържете се с партньора за повече информация.

С разрешение на клиента. Свържете се с партньора за повече информация.

Други в Microsoft

Не.1

Не.


1 Другите в Microsoft могат да използват информацията за връзка на крайните потребители, посочени в справочните указатели на Office 365 Business, Business Essentials и Business Premium, за да изпращат промоционални съобщения до тези крайни потребители.

Какво прави Microsoft, за да поддържа правата на своите клиенти за достъп до техните данни? Имат ли клиентите достъп до своите данни през цялото време?

Клиентите имат достъп до и контрол върху своите данни чрез стандартните протоколи и механизми за достъп, дефинирани в описанията на услугите.

В края на абонамента на клиента или на използването на услугата, клиентът винаги може да експортира своите данни. Пълните подробности се съдържат в "Права за използване на онлайн услугите", който е официалният източник по този въпрос (Клиентите с корпоративно споразумение трябва да се консултират в правата за използване на продукта). За ваше удобство обаче договореностите от "Права за използване на онлайн услугите" за това издание на Office 365 са включени по-долу:

Изтичане на срока или прекратяване на онлайн услугата. При изтичане на срока или прекратяване на абонамента за вашата онлайн услуга трябва да се обърнете към Microsoft и да ни кажете дали:

(1) да забраним вашия акаунт и след това да изтрием данните на клиента, или

(2) да запазим вашите данни на клиента в акаунт с ограничени функции за поне 90 дни след изтичане на срока или прекратяване на вашия абонамент ("период на съхранение"), така че да може да извлечете тези данни.

Ако посочите (1), няма да може да извлечете данните на клиента от вашия акаунт. Ако не посочите (1) или (2), ще запазим данните на клиента в съответствие с (2).

След изтичане на периода на съхранение ще дезактивираме вашия акаунт и след това ще изтрием вашите данни на клиента. Кешираните или архивираните копия ще бъдат прочистени в рамките на 30 дни след изтичане на срока за съхранение.

Microsoft предоставя многократни известия, преди да изтрие данните на клиента, така че клиентите да бъдат информирани и да им бъде напомнено за предстоящото изтриване на данни, ако те не са взели мерки в договорения период от време.

В степента, в която клиентът се нуждае от помощ за изпълнение на исканията за поверителност според закона, и въз основа на много споразумения клиентите могат да се обърнат към Поддръжка на клиентите на Microsoft за помощ при достъп до, промяна, изтриване или блокиране на техните данни на клиентите. Искания, които не могат да бъдат изпълнени с помощта на стандартните средства и процеси, може да бъдат предмет на доплащане.

Как мога да бъда сигурен, че се дава административен достъп само на упълномощени потребители, за да изпълнят своята работа?

Целият персонал на Office 365 и Microsoft Dynamics CRM Online е отговорен за боравенето си с данни на клиента, тъй като достъпът до данните от Office 365 и Microsoft Dynamics CRM Online е даден по начин, който може да бъде проследен до отделен потребител.

С други думи отговорността е предизвикана от набор от средства за контрол на системата, включващ уникални имена на потребители, контроли за достъп до данните и одити. За разлика от общите имена на потребители като "Гост" или "Администратор", се използват уникални потребителски имена за прилагане на отчетност чрез свързване на действията на потребителите с конкретно лице (което се нарича "обвързване"). Използва се и двустепенно удостоверяване, например влизане със смарт карти с използване на цифрови сертификати или RSA маркери, за да се усили допълнително това обвързване.

Microsoft прилага строг контрол върху това, на кои роли от персонала и на коя част от персонала се дава достъп до данните на клиента. Достъпът на персонала до ИТ системите, които съхраняват данните на клиента, е строго контролиран чрез управление на достъпа на базата на роли (RBAC) и процеси от типа "затворена кутия" [на английски] . Управлението на достъпа е автоматизиран процес, който следва принципа на разделение на задълженията и принципа за даване на най-малки привилегии. Този процес гарантира, че инженерът, който иска достъп до тези ИТ системи, е изпълнил необходимите изисквания за избор, като напр. проучване на миналото, пръстов отпечатък, задължително обучение във връзка със защитата и одобрения за достъп . Освен това нивата на достъп се преглеждат периодично, за да се гарантира,че само потребителите, които имат съответните служебни основания, имат достъп до системите.

Потребителският достъп до данните се ограничава и от ролята на потребителя. Например на системните администратори не се дава административен достъп до базите данни.

Какви средства за контрол се използват, за да бъде ограничен физическият достъп до моите данни?

Всички центрове за данни на Office 365 и Microsoft Dynamics CRM Online имат биометрични средства за контрол на достъпа, като по-голямата част от центровете за данни, използвани за осигуряване на Office 365 и Microsoft Dynamics CRM Online, изискват снемане на отпечатък от дланта, за да се получи физически достъп до центровете за данни.

Физическият достъп до центровете за данни за Office 365 и Microsoft Dynamics CRM Online се контролира чрез двустепенно удостоверяване, включващо четци на карти на упълномощени (изисква се показване на карта за достъп) и биометрични четци на геометрията на дланта.

На всяко тримесечие отговорникът по защитата на Microsoft изпраща отчети на персонала, упълномощен с правата да одобрява достъпа до центровете за данни. Тези отчети съдържат списък на лицата, които в момента имат достъп до центровете за данни. Упълномощеният персонал проверява този списък, за да гарантира, че за всички лица продължава да е необходим достъп и имат минималното ниво на привилегирован достъп, необходимо за извършване на тяхната работа.

За допълнителна информация относно подхода към данните на клиента в Office 365 и/или Microsoft Dynamics CRM Online прегледайте указанията за поверителност на Microsoft при разработка на продукти и услуги, техническия документ за защитата в Office 365, ръководството за защита и непрекъснатост на услугите в Microsoft Dynamics CRM Online и техническия документ за онлайн поверителност на Microsoft.

Какви проучвания на миналото на хората, на които се дават административни права, прави Microsoft?

За всички служители на Microsoft в САЩ се изисква да отговарят на стандартна проверка на миналото като част от процедурата за назначаване.

Проверките на миналото включват преглед на информацията, свързана с образование, трудова биография и съдимост. Освен стандартната проверка на миналото, която се прилага за новите служители на Microsoft, новият и съществуващият персонал с достъп до данни на клиента или който управлява важните средства за физически и логически достъп трябва да премине проверка по списъците за контрол на експорта. (Списъците за контрол на експорта включват списъка за контрол на службата за контрол на чуждестранните активи (OFAC), списъка на бюрото за индустрия и сигурност (BIS) и списъка на лицата, лишени от права, на службата за контрол на търговията за отбрана (Office of Defense Trade Controls – DDTC).)

Може да се приложат и допълнителни проверки на информацията и миналото, например за гражданство и вземане на пръстови отпечатъци, ако искането за достъп се отнася услуги, които предлагаме на клиенти със специални изисквания (напр. федералното правителство на САЩ).

За да защити поверителността на данните на своите служители, Microsoft не споделя резултатите от проверките на миналото им с клиентите си.

Допълнителни ресурси

Ръководство за защита и непрекъснатост на услугата за Microsoft Dynamics CRM Online [на английски]

Защита на Office 365 (технически документ ) [на английски]