Állatorvos adatvédelemmel a csatlakozókban
Ez a cikk a legfontosabb témakörökkel foglalkozik, amelyeket meg kell értenie ahhoz, hogy sikeres és biztonságos élményt biztosítson egy Power Platform külső szolgáltatást használó összekötővel. Egyszerűbbé teheti a csatlakozók ellenőrzési folyamatát, amivel időt takaríthat meg.
A cikk elolvasása után meg kell tudja majd válaszolni a következő kérdéseket:
- Milyen ellenőrzést vannak végrehajtva egy külső vállalat szolgáltatását használó csatlakozón?
- Mikor érvényes a Microsoft adatvédelmi irányelve és a külső vállalat adatvédelmi irányelve?
- Hogyan kezeli a Microsoft az Általános adatvédelmi rendeletnek (GDPR) való megfelelést egy külső kiadóhoz képest?
A Microsoft által közzétett összekötők belső vagy külső szolgáltatásokhoz kapcsolódhatnak. Például az olyan összekötők, mint a SharePoint vagy az Excel mindig belső szolgáltatásokhoz fognak kapcsolódni.
A Microsoft ugyanakkor külső szolgáltatásokat is használó összekötőket is közzé tesz. A Salesforce-összekötő például a Salesforce-szolgáltatást használja. Amikor egy csatlakozó elhagyja a Microsoft infrastruktúráját, a Microsoft számos ellenőrzést futtat az adatvédelem érdekében.
Fontos
A szolgáltatás – és nem maga az csatlakozó – határozza meg, hogy ki a felelős az adatok védelméért. Ennek oka az, hogy az a szolgáltatás, amelyhez kapcsolódik tárolja az adatokat, nem a csatlakozó.
Ne feledje, hogy ha az adatok a Microsoft infrastruktúrájában találhatók, akkor a Microsoft a felelős. Amint külső infrastruktúrára költözik, az ellenőrzött közzétevő kezében van az irányítás.
A különbség ismerete lehetővé teszi a megfelelő lépést, és biztosíthatja az adatok biztonságát a teljes kapcsolatban. A részleteket az alábbi szakaszok ismertetik.
Ha az összekötő közzé tevője |
És a szolgáltatási Infrastruktúra |
a Microsoft a következőt teszi: |
Példa |
---|---|---|---|
Microsoft | Külső | - A végpont ellenőrzése - Swagger-ellenőrzés - Kompatibilitástörő változás ellenőrzése - Minőségi és hitelesítési ellenőrzések |
Salesforce |
Microsoft | Belső | Az adatvédelemmel kapcsolatos összes ellenőrzés | SharePoint, Excel |
Ellenőrzött (független kiadókat tartalmaz) |
Külső | - A végpont ellenőrzése - Swagger-ellenőrzés - Kompatibilitástörő változás ellenőrzése - Minőségi és hitelesítési ellenőrzések |
Adobe Creative Cloud |
A Microsoft a Microsoft infrastruktúrája területén található összes adatra alkalmazza érvényes adatvédelmi irányelveit. Amint az adatok egy külső infrastruktúrába kerülnek, például egy ellenőrzött összekötő szolgáltatás használata esetén, a vállalat által beállított szabályzatok veszik át az irányítást.
További információért azzal kapcsolatosan, hogy a Microsoft, hogyan közelít meg olyan problémákat, mint a biztonság, adatvédelem és megfelelés, látogasson el a Microsoft Adatvédelmi központba.
Megjegyzés
Korlátozások vonatkoznak a Microsoft irányelveinek érvényesítésére vonatkozóan ha az összekötő-szolgáltatások külső infrastruktúrában találhatók. Amikor csatlakozik a szolgáltatásukhoz, a Microsoftnak nincs befolyása arra, hogy az adatok hová kerülnek ez a külső vállalattól függ. Az Ön felelőssége, hogy megismerje a használati feltételeiket, vagy hogy együttműködjön velük útmutatástért.
Néhány példa, hogy milyen kérdéseket tehet fel a külső vállalatnak az összekötőkkel kapcsolatosan:
- A vállalati szolgáltatás tárolja az adatokat?
- Ha igen, hogyan határozza meg a vállalat, hogy mikor kell törölni az adatokat?
- Rendelkezik az csatlakozó olyan biztonsági résekkel vagy van lehetősége egy támadónak, hogy kezelje vagy elfogja az adatokat?
- A vállalat szolgáltatása egyszeri vagy kétfaktoros bejelentkezést alkalmaz?
Az egyes ellenőrzött összekötők adatvédelmi szabályzatára mutató hivatkozást a partnerek által közzétett összes ellenőrzött összekötő listája hivatkozásra kattintva találhatja meg.
Amikor a Microsoft infrastruktúrájában fut egy összekötőszolgáltatás fut, a Microsoft szabályozza a GDPR-megfelelőséget. Amint az adatok átkerülnek a vállalat külső infrastruktúrájába, a Microsoft nem szegi meg az ő GDPR-szabályaikat.
Fontos
A Microsoft összekötőplatform megfelel a GDPR követelményeinek. Tárolás nélkül csak feldolgozza adatokat. A feldolgozás során tiszteletben tartja a Microsoft adatvédelmi és GDPR irányelveit.
Ha például Európában hoz létre egy folyamatot, a Microsoft nem küld kérelmet az Egyesült Államokba, hogy ott dolgozzák fel az adatokat, majd küldi vissza egy külső vállalat szolgáltatásának. Ebben az esetben a Microsoft tiszteletben tatja a földrajzi határokat.
Amikor a külső vállalat nfrastruktúrájában fut egy összekötőszolgáltatás fut, az a vállalat szabályozza a GDPR-megfelelőséget.
Megjegyzés
Ha egy külső vállalat infrastruktúrájában fut egy szolgáltatás az Ön felelőssége hogy megértse a GDPR-követelményeiket. A Microsoftnak nincs befolyása. A külső vállalatok összekötői nem biztos, hogy megfelelnek a GDPR követelményeknek.
Ha külső vállalat összekötőjét használja, akkor érdemes saját kutatást, modellezést és beszállítói auditálást végeznie, és megtennie a stratégiai lépéseket a saját vállalatánál, hogy magabiztos tudása legyen arra vonatkozóan, hogy érinti a GDPR az Ön vállalkozását. Érdemes lehet a használati feltételekkel kapcsolatos dokumentációval kezdeni.
Például csak a külső vállalat adhat választ olyan kérdésekre, mint, hogy van-e „adatutaztatás”, vagy az adatok feldolgozása a földrajzi régióban történik, például:
- EU-ban bejegyzett vállalatok:
- Az adatok elhagyják az EU-t bármikor?
- Az adatok el lesznek küldve az EU-ba bármikor?
- Az USA-ban bejegyzett vállalatok:
- Az adatok el lesznek küldve az EU-ba bármikor?
Amikor az adatokat feldolgozzák a Microsoft infrastruktúrában, a Microsoft ellenőrzi a végpontot, hogy bizonyos minőségi elvárások teljesülnek-e. Az Azure Logic Apps területi határokat kényszerít, de a Power Automate és a Power Apps földrajzi határokat kényszerít.
AzUSA nyugati régiója például egy régió, de az Egyesült Államok földrajzi egység. A Logic Apps alkalmazásban, ha egy felhasználó az USA nyugati régiója beállítást választja, akkor a Microsoft gondoskodik arról, hogy az adatok ne kerülenek ki az USA nyugati régiójába még az USA középső régiójába vagy az USA keleti régiójába sem. Azonban Power Automate a és a Power Apps esetében a Microsoft csak átveszi a földrajzi határokat garantálja. Ez azt jelenti, hogy ha a felhasználó az Egyesült Államokat választja, akkor az adatok az Egyesült Államok bármely részén feldolgozhatóak, beleértve az USA nyugati régióját vagy az USA keleti régióját is. A Microsoft azt garantálja, hogy az adatok nem menekülnek ki az Egyesült Államokon kívülre, például Európába vagy Ázsiába.
Miután az adatok elhagyják a Microsoftot, és a felhasználó által kiválasztott földrajzi helyre kerülnek, az adatok használatát és tárolását a külső vállalat által beállított szabályzat szabályozza. A Microsoft csak a vállalat platformjának proxyjaként jár el, és kéréseket küld a végpont felé.
Ha ellenőrzött külső összekötőt használ, meg kell értenie a vállalat által kínált feltételeket, hogy megértse, hogyan és hol dolgozzák fel az adatait.
A Swagger-ellenőrzése méri az összekötők minőségi szintjét. A Microsoft az ellenőrzést annak biztosítására futtatja, hogy az összekötő betartsa az Open API-szabványokat, megfeleljen az összekötő-követelmények és irányelveknek, valamint megfelelő egyéni Microsoft-bővítményeket (x-ms) tartalmazzon.
Az csatlakozók frissítésekor a Microsoft hitelesítési tesztet kényszerít ki annak biztosítására, hogy minden kompatibilis legyen. Az ellenőrzési szabályok elfogják a kompatibilitástörő változásokat azáltal, hogy összehasonlítják az aktuális Swagger-verziót az előző Swagger-verziókkal. Például egy paraméter, amit egy nem kötelezőként jelölt cég most kötelező.
A Microsoft minden összekötő esetében minőségellenőrzést végez. A minőségellenőrzések közé tartozik a telepítés utáni funkcionális ellenőrzés, valamint tesztelés annak biztosítására, hogy a működés a várt módon működik. A Microsoft hitelesítési ellenőrzéseket is végez. Az egyik típus annak biztosítására használható, hogy a közzétevő számára engedélyezett-e összekötő fejlesztése. Egy másik típus az összes összekötőkód vizsgálata kártevő szoftverek vagy vírusok észlelése érdekében.
Futásidőben ellenőrzés történik, hogy a felhasználó rendelkezik-e a híváshoz szükséges jogosultsággal, majd a háttérrendszer hívásához bekéri a jogkivonatokat/titkokat.
A Microsoft a használható hitelesítés típusát nem korlátozza a külső vállalatok számára. Ezt a mögöttes csatlakozószolgáltatás által biztosított API által támogatott hitelesítés határozza meg. Az összekötők különböző típusú hitelesítéseket támogatnak (például Microsoft Entra azonosító, alapszintű hitelesítés vagy OAuth).
Ha a használandó hitelesítés típusa:
Microsoft Entra Azonosító: A felhasználónak be kell jelentkeznie az azonosítóba Microsoft Entra (és ha a vállalati házirend többtényezős hitelesítést, tanúsítványokat vagy intelligens kártya kényszeríti a felhasználót, ez itt is kényszeríthető). Ez a kényszerítés a felhasználó és Microsoft Entra az azonosító között történik, amely független magától az összekötőtől. Számos szolgáltatás, különösen a Microsoft által nyújtott szolgáltatások, ID-t használnak Microsoft Entra .
Alapszintű hitelesítés: A felhasználónevet és a jelszót a rendszer elküldi az API-kérésben. Ezek a titkok egy belső jogkivonat-tárolóban vannak tárolva és titkosítva, amelyet csak a Microsoft Power Platform érhet el.
OAuth—A rendszer beolvassa az összekötő átirányítási URL-címét a beállításokból, és elküldi a felhasználónak, hogy közvetlenül jelentkezzen be a szolgáltatásba, és adja meg a beleegyezését. A rendszer nem tárolja el a felhasználói hitelesítő adatokat. Ha a bejelentkezés sikeres, és a felhasználó megadta a beleegyezését az adatokhoz a nevükben történő hozzáféréshez, a rendszer visszaküld egy hitelesítési kódot a Microsoft Power Platform számára. A hitelesítési kód alapján a hozzáférési jogkivonat be lesz olvasva és helyben lesz tárolva. A hozzáférési jogkivonat csak a Microsoft Power Platform számára érhető el.
Nagyra értékeljük az összekötőplatform problémáival kapcsolatos visszajelzéseket és az új funkciókkal kapcsolatos ötleteket. Ha visszajelzést szeretne küldeni, lépjen a Problémák küldése vagy segítség kérése az összekötőkkel kapcsolatban részre, és válassza ki a visszajelzés típusát.