개인 정보 보호 및 보안 FAQ
이 문서에서는 Microsoft Dynamics 365 Fraud Protection의 개인 정보 보호 및 보안에 대한 FAQ(질문과 대답)에 대한 답변을 제공합니다.
사기 방지에서 지난 12개월 동안 보안 위반이 발생하나요? 위반 알림 프로세스 및 타임라인란?
사기 방지는 고객의 데이터가 GDPR의 적용을 받는지 여부에 관계없이 GDPR(일반 데이터 보호 규정) 요구 사항이 적용되는 Microsoft의 표준 데이터 위반 알림 프로세스를 따릅니다. 프로세스에 대한 설명 및 자세한 내용을 보려면 Microsoft 보안 센터를 참조하세요. 사용자가 있는 동안 알림을 위해 조직의 개인 정보 연락처를 설정할 수도 있습니다.
또한 GDPR에 따라 Azure, Dynamics 365 및 Windows 위반 알림에서 자세한 정보를 찾을 수 있습니다.
사기 방지는 미사용 데이터 암호화를 지원하나요? 암호화는 어떻게 배포되나요? 전송 중에 암호화된 데이터가 있나요? 프로토콜이란?
Fraud Protection 서비스는 Azure의 최신 기능을 사용하여 미사용 및 전송 중인 모든 고객 데이터를 암호화합니다. 이러한 기능은 Microsoft 보안 팀에서 정기적으로 검토합니다.
전송 중인 데이터의 경우 Fraud Protection은 TLS(전송 계층 보안)를 기반으로 하는 암호화를 사용합니다.
Azure Cosmos DB, Azure Blob Storage 및 Azure Data Lake와 같은 Microsoft 기술은 미사용 데이터를 저장하는 데 사용됩니다. 사기 방지는 엄격한 신뢰 경계를 구현하여 해당 환경에서 판매자의 데이터에 무단으로 액세스할 수 없도록 합니다.
미사용 및 전송 중인 데이터 암호화에 대한 Microsoft의 접근 방식에 대한 자세한 내용은 Azure 암호화 개요 및 미사용 데이터 암호화를 참조하세요.
참고 항목
Dynamics 365 Fraud Protection은 CMK(고객 관리형 키) 또는 Lockbox 기능을 지원하지 않습니다.
사기 방지는 판매자의 비공개 개인 데이터를 처리, 액세스, 전송 또는 저장하나요?
Fraud Protection은 판매자가 API, 파일 업로드 또는 기타 문서화된 메커니즘을 통해 제공하는 데이터와 함께 작동합니다. 판매자가 제공하는 데이터에는 Fraud Protection이 서비스를 제공하기 위해 규정 준수 경계 내에서 처리, 전송 및 저장하는 비공용 개인 데이터가 포함될 수 있습니다. 판매자는 Fraud Protection을 사용하여 데이터를 다른 시스템으로 전송하거나 비즈니스 요구 사항에 맞게 추가 복사본을 만들 수 있습니다.
사기 방지 시스템에서 가맹점 데이터 및 보고서에 액세스할 수 있는 사람은 누구인가요? 사기 방지는 액세스 권한이 있는 사용자 수를 어떻게 제한하나요?
사기 방지에 할당된 판매자 및 Microsoft 직원은 가맹점의 데이터에 액세스할 수 있습니다. 제품 내 보고서의 경우 판매자만 가맹점 데이터에 액세스할 수 있습니다. 제품 외 보고서의 경우 Fraud Protection의 데이터 과학 팀은 가맹점에게 보고서를 볼 수 있는 액세스 권한을 부여합니다. 모든 Microsoft 직원이 가맹점의 보고서에 액세스할 수 있는 것은 아닙니다.
Fraud Protection은 네트워크 및 역할 기반 액세스 제어를 구현하여 Fraud Protection 내의 데이터에 대한 외부 액세스를 제한하고 관리합니다. 테넌트에는 데이터에 대한 외부 액세스를 관리하기 위한 기능이 제공됩니다.
Fraud Protection은 Microsoft 내부 정책 및 지침을 따라 프로덕션 서비스 및 고객 데이터에 대한 내부 액세스를 관리합니다. 기본적으로 최소 권한 원칙에 따라 판매자 데이터 및 보고서에 대한 액세스는 Microsoft 직원에게 거부됩니다. 적절한 보안 그룹의 구성원에게만 부여됩니다. 보안 그룹 멤버 자격은 사용자 계정 수준에서 부여되며 각 사용자 계정은 고유하며 특정 Microsoft 직원으로 식별됩니다.
Microsoft 내부 정책을 사용하면 적절한 보안 그룹 멤버 자격이 있는 Microsoft 직원이 프로덕션 시스템에서 서비스를 수행하고 활동을 지원할 수 있도록 임시("Just-In-Time") 상승된 액세스를 요청할 수 있습니다. 모든 Just-In-Time 액세스 요청은 내부 발권 시스템에서 추적하고 검토합니다.
Fraud Protection은 고객이 환경을 종료하거나 리소스를 비운 후 모든 컴퓨팅 리소스가 테넌트 데이터를 삭제할 것이라는 보증을 포함하여 서비스 계약을 종료하기 위한 게시된 절차를 제공하나요?
예. Microsoft 상업용 라이선스 조건은 사기 방지에 적용되며 서비스 취소 절차를 정의합니다. 데이터 보호 부록은 데이터를 보존하고 삭제하는 방법에 대한 세부 정보를 설명합니다. 판매자가 이미 사기 방지 네트워크에 제공한 가명 데이터는 슬라이딩 보존 기간이 끝날 때까지 사기 방지 네트워크 내에서 계속 처리됩니다. 그런 다음 삭제됩니다.
Fraud Protection은 Microsoft 내의 모든 전문 보안 서비스 조직과 협력하여 보안 및 기술 지원(예: 배포, 인시던트 대응 및 보고)을 지원하나요?
예. Fraud Protection은 Dynamics 365 제품군의 일부이며 Dynamics 365 및 클라우드 및 AI 조직에 대해 정의된 정책 및 지침을 따릅니다. Fraud Protection은 Azure Security, Microsoft Threat Intelligence Center, Azure 인시던트 대응 팀, Microsoft 글로벌 보안 및 기타 내부 보안 및 규정 준수 팀과 협업합니다.
사기 방지 보안에 대한 자세한 내용은 Dynamics 365 Fraud Protection에 대한 보안 개요를 참조하세요.
사기 방지는 클라우드 공급망의 파트너로부터 상속된 데이터 품질 오류 및 위험을 검사, 고려 및 수정하도록 어떻게 보장하나요?
Fraud Protection에는 전담 데이터 과학 팀이 있습니다. 또한 데이터 품질 오류를 감지하고 대응하고 기본 ML(기계 학습) 모델의 품질을 파악하도록 설계된 모니터링 및 경고 시스템이 있습니다. 데이터 품질 문제는 프로덕션 인시던트로 처리되며 서비스 안정성을 기본 데 사용되는 것과 동일한 프로세스를 통해 검토됩니다.
사기 방지는 업계 모범 사례 및 지침에 따라 클라우드 서비스 인프라의 네트워크 침투 테스트를 정기적으로 수행하나요? 네트워크 침투 테스트의 결과를 테넌트가 요청할 때 사용할 수 있나요?
Fraud Protection은 업계 표준 도구를 사용하여 코드를 검사하고 버그 검색 및 심각도는 NIST 800-30 표준을 기반으로 합니다.
독립적인 타사에서는 적어도 매년 Azure 환경에서 침투 테스트(펜 테스트)를 수행합니다. 펜 테스트의 범위는 Azure의 위험 및 규정 준수 요구 사항에 따라 결정됩니다. 펜 테스트의 결과는 중요도에 따라 수정됩니다. 자세한 내용은 서비스 신뢰 포털을 참조하세요.
사기 방지는 업계 모범 사례에 따라 정기적으로 네트워크 계층 취약성 검사를 수행하나요?
예, 사기 방지는 업계 표준 모범 사례를 따릅니다. Azure-Dynamics SOC2 감사 보고서에 설명된 대로 클라우드 + AI 보안 팀은 자주 내부 및 외부 검사를 수행하여 취약성을 식별하고 패치 관리 프로세스의 효율성을 평가합니다. 서비스는 알려진 취약성을 검사합니다. 새 서비스는 포함 날짜에 따라 다음 시간별 분기별 검사에 추가됩니다. 그런 다음 적어도 분기별 검사 일정을 따릅니다. 이러한 검사는 기준 구성 템플릿을 준수하고, 관련 패치가 설치되어 있는지 확인하고, 취약성을 식별하는 데 사용됩니다. 검사 보고서는 적절한 담당자에 의해 검토되며 수정 작업은 적시에 수행됩니다.