Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A partir de 3 de fevereiro de 2025, o Dynamics 365 Fraud Protection não está mais disponível para compra. O suporte à Proteção contra Fraudes terminará em 3 de fevereiro de 2026. Para obter mais informações, consulte o artigo Fim do suporte para o Dynamics 365 Fraud Protection.
Este artigo fornece respostas para perguntas frequentes sobre a avaliação de segurança na Proteção contra Fraudes do Microsoft Dynamics 365.
Autenticação e administração
O aplicativo ou serviço dá suporte ao SSO (logon único) por meio do SAML (Security Assertion Markup Language) 1.1, SAML 2.0 ou Federação de Serviços Web (WS-Fed)?
Sim.
- Portal: SPA – OAuth 2.0 e OpenID Connect, usando o fluxo de código de autenticação com PKCE por meio da biblioteca MSAL v2.
- API de back-end serviço a serviço: OAuth 2.0
- Serviço de impressão digital: Anônimo
- Azure Stack: Token sas (assinatura de acesso compartilhado) para armazenamento
Há uma URL "back door" que permite que usuários ou administradores ignorem o SSO?
Não.
O aplicativo dá suporte à integração do Okta (plataforma SSO)?
A integração do Okta não tem suporte por padrão. O Microsoft Entra dá suporte a integrações personalizadas. Como o comerciante é o proprietário do locatário, o comerciante pode aproveitar os pontos de integração de identidade do Microsoft Entra. Para obter mais informações, consulte a documentação do Microsoft Entra.
O aplicativo ou serviço dá suporte à autenticação de dois fatores (2FA)?
Sim. O comerciante pode habilitar a 2FA na ID do Microsoft Entra.
Qual é a solução 2FA?
A solução de autenticação de dois fatores (2FA) é a Autenticação Multifator do Azure, um recurso da Microsoft Entra. Para obter mais informações, confira Como funciona: Autenticação Multifator do Azure.
O aplicativo dá suporte a senhas no nível do aplicativo?
Não. As identidades de usuário e aplicativo são gerenciadas na conta do Microsoft Entra do cliente.
Qual algoritmo de hash ou criptografia é usado para proteger senhas?
Não aplicável.
O sal hash é usado?
Não aplicável.
O aplicativo ou serviço usa o provisionamento automático de conta? Em caso afirmativo, como isso é realizado (por exemplo, sob demanda via SAML, alimentação automatizada de dados em formato CSV via transmissão segura, ou API)?
Não, e não aplicável.
O aplicativo ou serviço usa o encerramento de acesso imediato da conta, incluindo o fechamento de sessões abertas?
Não. A expiração do token do Microsoft Entra está alinhada com a terminação de acesso do usuário, não com a sessão.
Se o encerramento da conta não for automático, essa ação será executada dentro de uma hora após uma solicitação de encerramento de acesso à conta?
Sim, de acordo com a política do Microsoft Entra. Para obter mais informações, consulte a documentação do Microsoft Entra.
Qual é o tempo limite de ociosidade da sessão do aplicativo?
De acordo com a política do Microsoft Entra, o tempo limite de ociosidade da sessão é alinhado com o período de validade do token.
O aplicativo ou serviço usa um processo de desprovisionamento automático de conta por meio de uma API?
Não.
O aplicativo ou serviço fornece uma estratégia de disposição para conteúdo anexado à conta de um usuário após o desprovisionamento?
Não. Somente os logs de auditoria são acompanhados e mantidos como recursos de acordo com as diretrizes de Termos de Serviços Online (OST) e a Política de Privacidade da Microsoft.
O aplicativo ou serviço permite que o administrador conceda explicitamente autorização a dados e capacidades com base no papel e/ou função, de acordo com o modelo de privilégio mínimo?
Sim. Por meio das funções do Microsoft Entra, os administradores podem conceder acesso em seu locatário.
Uma expectativa mínima é o suporte para a função de administrador, a função de usuário, a função de administrador somente leitura (log) e a função de administrador sem privilégios (sem acesso ao conteúdo). Você fornece esse suporte?
O aplicativo/serviço não tem nenhuma função, exceto a função de administrador. Os usuários na função de administrador são responsáveis por criar funções adicionais dentro de seu locatário. Para obter informações sobre como adicionar e remover funções, consulte Configurar o acesso do usuário.
Se houver permissões de compartilhamento no aplicativo, o aplicativo ou serviço permitirá que o administrador examine as solicitações do usuário para obter acesso adicional aos dados?
Não aplicável.
O aplicativo ou serviço permite que o usuário administrador distingue usuários administradores e usuários regulares?
Não.
Quais direitos estão disponíveis para as várias funções no aplicativo ou serviço?
Para obter mais informações, consulte Funções de usuário e acesso.
Auditoria
O aplicativo ou serviço registra informações em um formato de evento padrão do setor, como CSV, Formato Comum de Evento (CEF) ou Syslog?
Os dados de log não são compartilhados pelo produto. As métricas de serviço e os principais KPIs (indicadores de desempenho) estão disponíveis por meio de exibições do Power BI.
O aplicativo ou serviço coleta ou fornece dados sobre entrada, saída do usuário, alterações de senha e tentativas de entrada com falha?
Sim. Para obter mais informações, consulte relatórios de atividade de auditoria no portal do Microsoft Entra.
O aplicativo ou serviço coleta ou fornece logs de auditoria de ações de administrador (criação/atualização/exclusão da conta de usuário) ou ações específicas do aplicativo?
O aplicativo mantém um histórico de auditoria das principais alterações, como atualizações de regra ou lista. As ações da conta de usuário e o histórico de auditoria correspondente são controlados por meio da ID do Microsoft Entra. Para obter mais informações, consulte a documentação de monitoramento e relatórios do Microsoft Entra.
Para obter informações sobre a auditoria do Microsoft Entra, consulte os eventos principais do diretório para funções de aplicativos e associação a grupos na Lista de Atividades de Auditoria do Microsoft Entra. Para acessar as auditorias no portal Microsoft Entra, consulte Logs de auditoria no Microsoft Entra ID.
O aplicativo ou serviço coleta ou fornece logs de auditoria das ações do usuário (criação, leitura, atualização, exclusão de documentos ou conteúdos)?
Não aplicável. Há suporte apenas para a função de administrador.
O aplicativo ou serviço coleta ou fornece logs de auditoria de ações de metadados (criar/ler/atualizar/excluir)?
Sim. Um histórico de auditoria das principais alterações, como atualizações de lista e regra, é mantido.
A Microsoft pode fornecer trilhas de auditoria para quaisquer atividades executadas em PII (informações de identificação pessoal)?
A única PII está no histórico de auditoria de alterações de regra e lista. Esse histórico é somente leitura e não pode ser modificado.
A Microsoft pode armazenar logs e dados criptografados em repouso?
Os logs são mantidos de acordo com a política padrão dos Serviços Online do Microsoft Azure.
A Microsoft tem procedimentos em vigor para detectar, relatar e alertar sobre o tempo de inatividade da instância do cliente dentro de um período razoável se a instância estiver inoperante?
Sim, recursos avançados de monitoramento e alertas estão em vigor.
Quais informações são fornecidas aos clientes para validar o SLA (contrato de nível de serviço) negociado?
Como cliente, você pode fazer chamadas de servidor para servidor para o serviço e monitorar o SLA diretamente.
Como a notificação de tempo de inatividade é relatada aos clientes?
Nenhuma notificação proativa de tempo de inatividade está em vigor, mas atualmente faz parte do roteiro. Os clientes são notificados sobre quaisquer incidentes descobertos por meio de alertas por meio do canal de comunicações padrão.
Continuidade dos negócios e recuperação de desastres
O aplicativo ou serviço permite que dados não estruturados sejam exportados em massa em um formato não proprietário, como CSV?
No produto, a experiência de GDPR (Regulamento Geral de Proteção de Dados) permite que os usuários exportem dados sob as diretrizes descritas na documentação de conformidade.
Os dados não estruturados mantêm as listas de controle de acesso (ACLs) de segurança?
Não. Para obter mais informações, veja Pedidos de Titulares de Dados e rGPD e CCPA.
O aplicativo ou serviço permite que os bancos de dados sejam exportados em massa em um formato não proprietário?
Não.
Há uma política de backup documentada?
Uma estratégia de replicação e resiliência de dados de várias regiões está em vigor. Para obter mais informações sobre a funcionalidade de backup e restauração, consulte backup online e restauração de dados sob demanda no Azure Cosmos DB.
O aplicativo ou serviço tem um plano de recuperação de desastre documentado?
Para obter mais informações sobre o plano EBCM (gerenciamento de continuidade de negócios) da Microsoft, consulte o white paper do Enterprise Business Continuity Management Program. É necessário fazer login.
Segurança de dados
A Microsoft pode desabilitar a instância do aplicativo no caso de um incidente de segurança?
Sim.
O aplicativo ou serviço protege os dados usando a criptografia TLS (Transport Layer Security)?
Sim.
Qual nível de criptografia TLS é usado?
TLS 1.2.
Quais são os procedimentos para permitir que os clientes acessem os recursos necessários para fazer a verificação de penetração de segurança?
São necessárias as aprovações da CELA (Assuntos Corporativos, Externos e Jurídicos) e de segurança da Microsoft.
O aplicativo ou serviço tem um teste de penetração de segurança de rede de terceiros recente (com menos de três meses de idade)?
Sim. O Azure executa periodicamente esse teste.
O aplicativo ou serviço tem um teste de penetração de segurança de aplicativo de terceiros recente (com menos de três meses de idade)?
Sim. Esse teste será fornecido sob solicitação.
O aplicativo ou serviço usa um método de comunicação seguro, como TLS?
Sim.
O aplicativo ou serviço tem um cliente móvel?
A Proteção contra Fraudes é uma oferta de SaaS (software como serviço) baseada na Web.
O aplicativo pode ser limitado para permitir o tráfego somente de redes confiáveis?
O aplicativo não pode ser limitado por meio da interface do usuário. No entanto, ele pode ser limitado por meio da configuração manual.
O aplicativo tem relatórios de tráfego e a capacidade de alertar sobre o tráfego normal?
Sim. Esses recursos estão disponíveis por meio de alertas e monitoramento internos. Para obter mais informações, consulte monitoramento de chamadas à API.
Se a infraestrutura não dá suporte à criptografia em repouso por padrão, o aplicativo ou serviço permite que os dados em repouso sejam armazenados em um formato criptografado?
Todos os dados são criptografados em repouso. Para obter mais informações, consulte Criptografia de dados no Azure Cosmos DB.
O sistema tem um agendamento de retenção geral para que os dados sejam limpos após um período?
Sim. Para obter mais informações, consulte as diretrizes de Termos de Serviços Online (OST ).
Governança
Você tem um programa de segurança bem definido?
Sim. Para obter informações, consulte Microsoft Security Development Lifecycle (SDL).
A Microsoft estabeleceu políticas de segurança da informação?
Sim. Para obter informações, consulte o Microsoft Security Development Lifecycle (SDL).
A Microsoft tem um relatório de auditoria de terceiros para políticas e segurança do datacenter que posso acessar?
Sim. Para obter mais informações, visite o Portal de Confiança do Serviço da Microsoft.
O aplicativo ou serviço concluiu a autoavaliação CCM da Cloud Security Alliance? Se sim, posso acessá-lo?
Sim. Visite o Portal de Confiança do Serviço da Microsoft.
A Microsoft tem um documento de política de gerenciamento de alterações atual?
Sim.
O aplicativo ou serviço tem uma política de triagem e resposta a incidentes estabelecida e processos estabelecidos?
Sim.
Recursos adicionais
Perguntas frequentes sobre o serviço
Perguntas frequentes sobre considerações legais
Perguntas frequentes sobre privacidade e segurança
Perguntas frequentes sobre residência de dados
Perguntas frequentes sobre conformidade
Exceções de Limite de Dados da UE para Proteção contra Fraudes