Condividi tramite


Panoramica sulla conformità

Microsoft Dynamics 365 Fraud Protection è stato progettato pensando a conformità, sicurezza e riservatezza e per essere utilizzato esclusivamente per prevenire frodi e agevolare l'individuazione delle transazioni di pagamento legittime. Microsoft offre Fraud Protection ai sensi delle condizioni di Microsoft Online Services, che includono solide condizioni di protezione dei dati.

Per esaminare le Condizioni dei servizi online Microsoft, che includono le disposizioni specifiche per Fraud Protection, per determinare se Fraud Protection soddisfa le tue esigenze, visita: https://www.microsoft.com/licensing/product-licensing/products.

È tua responsabilità:

  • Informare i tuoi clienti delle tue procedure di elaborazione dei dati, ad esempio divulgando i dati raccolti e come vengono utilizzati.
  • Divulgare l'utilizzo di terze parti che lavorano per tuo conto per elaborare i dati raccolti, inclusi i provider di servizi di Fraud Protection.
  • Rispettare tutte le leggi e i regolamenti applicabili all'utilizzo di Fraud Protection, comprese le leggi sulla protezione dei dati.

Iniziare con trasparenza

Prima di implementare Fraud Protection, assicurati che le informative sulla privacy nella tua esperienza di e-commerce descrivano la tua modalità di utilizzo dei dati personali, inclusa la modalità utilizzata per per prevenire e rilevare le frodi. Puoi sfruttare la documentazione su Fraud Protection per soddisfare le tue esigenze di trasparenza.

Soddisfare le richieste degli interessati

Fraud Protection fornisce strumenti che aiutano a soddisfare le richieste degli interessati da parte dei clienti. Questi strumenti ti consentono di eliminare ed esportare dati transazionali dalle valutazioni che non sono stati elaborati utilizzando tecniche di pseudonimizzazione nella rete di Fraud Protection. Non è possibile accedere, esportare, visualizzare o eliminare i dati transazionali dopo che sono stati elaborati nella rete. I dati transazionali sono definiti come tutti i dati del payload di richiesta e risposta, più eventuali attributi e arricchimenti collegati a una transazione. Fraud Protection può comunque conservare i dati aggregati calcolati con un contributo dalla transazione.

Nota

Il campo ID utente nel payload API per le chiamate di eliminazione o esportazione è obbligatorio affinché Fraud Protection elabori correttamente le richieste dell'interessato (DSR) corrispondenti. L'ID utente deve essere identico a quello fornito per la creazione dell'account, l'accesso all'account o la chiamata all'API di acquisto per lo stesso interessato. Se non viene fornito un ID utente o se viene fornito un ID utente diverso da quello fornito in precedenza, sarà estremamente difficile per Fraud Protection identificare la transazione e le richieste di risposta richieste saranno difficili da elaborare senza attività significative di investimento.

Per ulteriori informazioni, vedi le seguenti risorse:

Nella pagina Richieste dell'interessato, puoi eseguire le seguenti attività per tutte le transazioni:

  • Identificare le transazioni che contengono dati personali
  • Eliminare transazioni
  • Esportare transazioni

Gestire le richieste degli interessati

Una richiesta dell'interessato (DSR) è una richiesta che richiede la modifica di dati personali detenuti da una terza parte.

Per gestire richieste DSR con Fraud Protection:

  1. Nella barra di spostamento sinistra seleziona Impostazioni, quindi Richieste degli interessati.

    Puoi effettuare richieste per ogni valutazione. Per una richiesta, seleziona la valutazione, l'ID interessato e il valore dell'ID interessato.

    • Per la creazione dell'account, l'accesso all'account e la protezione degli acquisti, l'ID interessato è user.userId.
    • Per ulteriori informazioni sugli ID interessato per le valutazioni create utilizzando la procedura guidata per la valutazione, vedi ID interessato.
  2. Seleziona il tipo di richiesta che desideri effettuare (esportazione o eliminazione), quindi rivedi e conferma.

    La tabella Richieste identifica le proprietà seguenti per le richieste. Il registro conserverà i collegamenti dati e le informazioni per 28 giorni.

    • ID richiesta
    • Richiedente
    • Timbro data/ora
    • Tipi di richiesta (eliminazione o esportazione)
    • Stati (in sospeso o completato)
    • Collegamenti dati esportati

API della richiesta degli interessati

Fraud Protection ti consente di rispettare in modo programmatico le richieste degli interessati utilizzando la nostra API. Di seguito è riportato lo schema per le nostre API GDPR.

Payload dell'API GDPR. L'API GDPR viene utilizzata per la Protezione dell'account e la Protezione degli acquisti.

Attributo Tipo Description Obbligatorio?
SubjectID stringa Prende la forma di "User:userId", dove userId è un attributo dell'oggetto User.

Payload dell'API della richiesta degli interessati L'API di richiesta degli interessati viene utilizzata per le Valutazioni.

Attributo Tipo Description Obbligatorio?
AssessmentName stringa Nome della valutazione.
PropertyName stringa Il nome della proprietà che è l'ID interessato. Ad esempio, user.id.
PropertyValue stringa Il valore della proprietà che è l'ID interessato su cui stai effettuando la richiesta. Ad esempio, user123.

Per ulteriore documentazione su questa e altre API di Fraud Protection, vedi API di Dynamics 365 Fraud Protection.

Richiesta dell'interessato per report

Le modifiche ai dati tramite le richieste degli interessati influiscono sui numeri di aggregazione dei report. Fraud Protection ricalcola i report per riflettere i nuovi aggiornamenti dello stato (ad esempio, i tassi di chargeback nella protezione degli acquisti). Tuttavia, mantiene solo shanpshot di dati aggregati al di fuori di tale intervallo di tempo. Lo snapshot aggregato non contiene più dettagli a livello di transazione o informazioni personali. Pertanto, lo snapshot aggregato non può riflettere l'impatto dell'eliminazione del GDPR. Ad esempio, un cliente potrebbe richiedere di eliminare tutte le transazioni nell'account, comprese due transazioni dell'ultimo mese e una transazione di cinque mesi prima. Quando questa richiesta di eliminazione del GDPR viene elaborata in Fraud Protection, un report aggiornato configurato per riflettere gli ultimi quattro mesi di dati potrebbe non mostrare transazioni nel mese precedente. I report precedenti all'intervallo di tempo precedentemente indicato di quattro mesi non verranno aggiornati. Tuttavia, questi report non influiscono su alcuna azione di eliminazione nei dati sottostanti.

Fair Credit Reporting Act

La Fair Credit Reporting Act (FCRA) è una legge federale sulla privacy che regola la divulgazione e l'uso delle informazioni personali dei consumatori per determinare l'idoneità di un consumatore a ottenere un prodotto o un servizio o altrimenti impegnarsi in una transazione. La FCRA si applica anche all'uso delle informazioni personali dei consumatori per transazioni non correlate al credito, come assicurazioni, occupazione e persino acquisti al dettaglio, in cui la reputazione o le caratteristiche personali del consumatore sono rilevanti per l'idoneità.

Perché la FCRA è importante per gli utenti di Fraud Protection? Fraud Protection non è stata progettato per analizzare le caratteristiche o il comportamento degli utenti di carte di credito, che è principalmente un'area che FCRA protegge per i consumatori. Fraud Protection ti informa solo del rischio che la transazione possa essere stata avviata da un truffatore e non se l'acquirente specifico ha precedenti di frode. Se Fraud Protection viene utilizzato in modo improprio per valutare le caratteristiche personali di un determinato acquirente per scopi limitati dalla FCRA, questo abuso potrebbe comportare gravi conseguenze legali sia per gli utenti che per Microsoft. Per questo motivo, prestiamo particolare attenzione a istruire i nostri clienti sui limiti di utilizzo di Fraud Protection.

Pertanto, durante la prima esperienza in Fraud Protection, i moduli di consenso all'utilizzo vengono forniti agli amministratori del tenant, ma solo quando accedono all'applicazione per la prima volta. All'amministratore del prodotto, all'amministratore globale, all'amministratore PSP e all'amministratore di tutte le aree viene presentata questa esperienza utente.