Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menyediakan jawaban atas tanya jawab umum (FAQ) tentang privasi dan keamanan di Perlindungan Penipuan Microsoft Dynamics 365.
Apakah Perlindungan Penipuan mengalami pelanggaran keamanan dalam 12 bulan terakhir? Apa saja proses pemberitahuan pelanggaran dan garis waktu?
Perlindungan Penipuan mengikuti proses pemberitahuan pelanggaran data standar Microsoft tunduk pada persyaratan Peraturan Perlindungan Data Umum (GDPR), terlepas dari apakah data pelanggan tunduk pada GDPR. Untuk informasi selengkapnya, termasuk deskripsi proses dan tautan untuk mempelajari selengkapnya, lihat Pusat Kepercayaan Microsoft. Saat berada di sana, Anda juga dapat menyiapkan kontak privasi organisasi untuk pemberitahuan.
Anda juga dapat menemukan informasi selengkapnya di Azure, Dynamics 365, dan pemberitahuan pelanggaran Windows di bawah GDPR.
Apakah Perlindungan Penipuan mendukung enkripsi data tidak aktif? Bagaimana enkripsi disebarkan? Apakah ada data yang dienkripsi saat transit? Apa saja protokolnya?
Layanan Perlindungan Penipuan mengenkripsi semua data pelanggan, baik saat tidak aktif maupun saat transit, dengan menggunakan kemampuan terbaru Azure. Kemampuan ini secara teratur ditinjau oleh tim keamanan Microsoft.
Untuk data saat transit, Perlindungan Penipuan menggunakan enkripsi yang didasarkan pada Keamanan Lapisan Transportasi (TLS).
Teknologi Microsoft seperti Azure Cosmos DB, Azure Blob Storage, dan Azure Data Lake digunakan untuk menyimpan data tidak aktif. Perlindungan Penipuan menerapkan batas kepercayaan yang ketat untuk memastikan bahwa tidak ada akses tidak sah ke data pedagang di lingkungannya.
Untuk informasi selengkapnya tentang pendekatan Microsoft untuk enkripsi data saat tidak aktif dan saat transit, lihat Gambaran umum enkripsi Azure dan Azure Data Encryption-at-Rest.
Catatan
Harap dicatat bahwa Dynamics 365 Fraud Protection tidak mendukung kemampuan Customer Managed Keys (CMK) atau Lockbox.
Apakah Perlindungan Penipuan memproses, mengakses, mengirimkan, atau menyimpan data pribadi non-publik pedagangnya?
Perlindungan Penipuan bekerja dengan data yang disediakan pedagangnya melalui API, unggahan file, atau mekanisme terdokumen lainnya. Data yang diberikan pedagang mungkin berisi data pribadi non-publik yang diproses, ditransmisikan, dan disimpan di dalam batas kepatuhannya untuk menyediakan layanan. Pedagang mungkin menggunakan Perlindungan Penipuan untuk mengirimkan data ke sistem yang berbeda atau membuat salinan tambahan untuk memenuhi kebutuhan bisnis mereka.
Siapa memiliki akses ke data pedagang dan laporan dalam sistem Perlindungan Penipuan? Bagaimana Perlindungan Penipuan membatasi jumlah orang yang memiliki akses?
Pedagang dan karyawan Microsoft yang ditugaskan ke Perlindungan Penipuan memiliki akses ke data pedagang. Untuk laporan dalam produk, hanya pedagang yang memiliki akses ke data pedagang. Untuk laporan di luar produk, tim ilmu data Fraud Protection memberi pedagang akses untuk melihat laporan. Tidak semua karyawan Microsoft akan memiliki akses ke laporan pedagang.
Perlindungan Penipuan menerapkan kontrol akses berbasis jaringan dan peran untuk membatasi dan mengelola akses eksternal ke data di dalam Perlindungan Penipuan. Penyewa disediakan dengan fungsionalitas untuk mengelola akses eksternal ke data mereka.
Perlindungan Penipuan mengikuti kebijakan dan panduan internal Microsoft untuk mengelola akses internal ke layanan produksi dan data pelanggan. Secara default, akses ke data pedagang dan laporan ditolak untuk personel Microsoft, sesuai dengan prinsip hak istimewa paling sedikit. Ini hanya diberikan kepada anggota kelompok keamanan yang sesuai. Keanggotaan grup keamanan diberikan di tingkat akun pengguna, dan setiap akun pengguna unik dan diidentifikasi dengan karyawan Microsoft tertentu.
Kebijakan internal Microsoft memungkinkan karyawan Microsoft yang memiliki keanggotaan grup keamanan yang sesuai untuk meminta akses sementara ("just-in-time") yang ditinggikan sehingga mereka dapat melakukan layanan dan mendukung aktivitas pada sistem produksi. Setiap permintaan akses just-in-time dilacak dan ditinjau oleh sistem tiket internal.
Apakah Perlindungan Penipuan menyediakan prosedur yang diterbitkan untuk keluar dari pengaturan layanan, termasuk jaminan bahwa semua sumber daya komputasi akan dibersihkan dari data penyewa setelah pelanggan keluar dari lingkungan atau mengosongkan sumber daya?
Ya. Ketentuan Lisensi Komersial Microsoft berlaku untuk Perlindungan Penipuan dan menentukan prosedur untuk membatalkan layanan. Adendum perlindungan data menjelaskan detail tentang bagaimana data disimpan dan dihapus. Data pseudonim yang telah disediakan pedagang ke Jaringan Perlindungan Penipuan akan terus diproses di dalam Jaringan Perlindungan Penipuan hingga akhir jendela retensi gesernya. Kemudian akan dihapus.
Apakah Perlindungan Penipuan berkolaborasi dengan organisasi layanan keamanan profesional apa pun dalam Microsoft untuk dukungan keamanan dan teknologi (misalnya, penyebaran, respons insiden, dan pelaporan)?
Ya. Perlindungan Penipuan adalah bagian dari keluarga produk Dynamics 365, dan mengikuti kebijakan dan panduan yang ditentukan untuk organisasi Dynamics 365 dan Cloud & AI. Perlindungan Penipuan berkolaborasi dengan Azure Security, Microsoft Threat Intelligence Center, Azure Incident Response Team, Microsoft Global Security, dan tim keamanan dan kepatuhan internal lainnya.
Untuk informasi selengkapnya tentang keamanan untuk Perlindungan Penipuan, lihat Gambaran umum keamanan untuk Dynamics 365 Fraud Protection.
Bagaimana Perlindungan Penipuan memastikan bahwa kesalahan dan risiko kualitas data yang diwarisi dari mitra dalam rantai pasokan cloud diperiksa, diperhitungkan, dan dikoreksi?
Perlindungan Penipuan memiliki tim ilmu data khusus. Ini juga memiliki sistem pemantauan dan peringatan yang dirancang untuk mendeteksi dan merespons kesalahan kualitas data, dan untuk menjaga kualitas model pembelajaran mesin (ML). Masalah kualitas data diperlakukan sebagai insiden produksi dan ditinjau melalui proses yang sama yang digunakan untuk menjaga keandalan layanan.
Apakah Perlindungan Penipuan secara teratur melakukan pengujian penetrasi jaringan infrastruktur layanan cloud, sebagaimana ditentukan oleh praktik dan panduan terbaik industri? Apakah hasil pengujian penetrasi jaringan tersedia untuk penyewa atas permintaan mereka?
Perlindungan Penipuan menggunakan alat standar industri untuk memindai kode, dan deteksi bug dan tingkat keparahan didasarkan pada standar NIST 800-30.
Pihak ketiga independen melakukan uji penetrasi (uji pena) pada lingkungan Azure setidaknya setiap tahun. Cakupan pengujian pena ditentukan oleh area persyaratan risiko dan kepatuhan Azure. Temuan uji pena diremadiasi berdasarkan kekritisan. Untuk informasi selengkapnya, lihat Portal Kepercayaan Layanan.
Apakah Perlindungan Penipuan secara teratur melakukan pemindaian kerentanan lapisan jaringan, seperti yang ditentukan oleh praktik terbaik industri?
Ya, Perlindungan Penipuan mengikuti praktik terbaik standar industri. Seperti yang diuraikan dalam laporan audit Azure-Dynamics SOC2, tim Cloud + AI Security melakukan pemindaian internal dan eksternal yang sering untuk mengidentifikasi kerentanan dan menilai efektivitas proses manajemen patch. Layanan dipindai untuk kerentanan yang diketahui. Layanan baru ditambahkan ke pemindaian triwulanan berikutnya, berdasarkan tanggal penyertaannya. Mereka kemudian mengikuti setidaknya jadwal pemindaian triwulanan. Pemindaian ini digunakan untuk memastikan kepatuhan terhadap templat konfigurasi dasar, memvalidasi bahwa patch yang relevan diinstal, dan mengidentifikasi kerentanan. Laporan pemindaian ditinjau oleh personel yang sesuai, dan upaya remediasi dilakukan tepat waktu.