FAQs sobre privacidade e segurança
Este artigo fornece respostas para perguntas frequentes sobre privacidade e segurança na Proteção contra Fraude do Microsoft Dynamics 365.
A Proteção contra Fraude sofreu uma violação de segurança nos últimos 12 meses? Quais são o processo de notificação de violação e prazos?
A Proteção contra Fraude segue o processo padrão de notificação de violação de dados da Microsoft, sujeito aos requisitos do Regulamento Geral de Proteção de Dados (GDPR), independentemente de os dados de um cliente estarem sujeitos ao GDPR. Para obter mais informações, incluindo uma descrição do processo e links para saber mais, consulte a Central de Confiabilidade da Microsoft. Enquanto estiver lá, você também pode configurar o contato de privacidade da sua organização para notificações.
Também pode encontrar mais informações no Azure, Dynamics 365 e notificação de violação do Windows ao abrigo do RGPD.
A Proteção contra Fraude suporta a encriptação de dados em repouso? Como a criptografia é implantada? Há algum dado criptografado em trânsito? Quais são os protocolos?
O serviço de Proteção contra Fraude criptografa todos os dados do cliente, em repouso e em trânsito, usando os recursos mais recentes do Azure. Esses recursos são revisados regularmente pelas equipes de segurança da Microsoft.
Para dados em trânsito, a Proteção contra Fraude usa criptografia baseada em TLS (Transport Layer Security).
As tecnologias da Microsoft, como o Azure Cosmos DB, o Armazenamento de Blobs do Azure e o Azure Data Lake, são usadas para armazenar dados em repouso. A Proteção contra Fraude implementa limites de confiança rigorosos para garantir que não há acesso não autorizado aos dados de um comerciante em seu ambiente.
Para obter mais informações sobre a abordagem da Microsoft à criptografia de dados em repouso e em trânsito, consulte Visão geral da criptografia do Azure e Criptografia de dados do Azure em repouso.
Nota
Tenha em atenção que a Proteção contra Fraude do Dynamics 365 não suporta as capacidades de Chaves Geridas pelo Cliente (CMK) ou Lockbox.
A Proteção contra Fraude processa, acessa, transmite ou armazena os dados pessoais não públicos do comerciante?
A Proteção contra Fraude funciona com os dados que os seus comerciantes fornecem através de APIs, carregamento de ficheiros ou outros mecanismos documentados. Os dados fornecidos pelos comerciantes podem conter dados pessoais não públicos que a Proteção contra Fraude processa, transmite e armazena dentro do seu limite de conformidade para fornecer o serviço. Os comerciantes podem usar a Proteção contra fraude para transmitir os dados para um sistema diferente ou criar cópias adicionais para atender às suas necessidades comerciais.
Quem tem acesso aos dados e relatórios do comerciante no sistema de Proteção contra Fraudes? Como a Proteção contra Fraude limita o número de pessoas que têm acesso?
O comerciante e os funcionários da Microsoft atribuídos à Proteção contra Fraude têm acesso aos dados do comerciante. Para relatórios no produto, apenas os comerciantes têm acesso aos dados do comerciante. Para relatórios fora do produto, a equipe de ciência de dados da Proteção contra Fraude dá aos comerciantes acesso para visualizar os relatórios. Nem todos os funcionários da Microsoft terão acesso aos relatórios do comerciante.
A Proteção contra Fraude implementa controles de acesso baseados em rede e função para limitar e gerenciar o acesso externo aos dados dentro da Proteção contra Fraude. Os locatários recebem funcionalidades para gerenciar o acesso externo aos seus dados.
A Proteção contra Fraude segue as políticas e diretrizes internas da Microsoft para gerenciar o acesso interno aos serviços de produção e aos dados dos clientes. Por predefinição, o acesso aos dados e relatórios do comerciante é negado ao pessoal da Microsoft, de acordo com o princípio do menor privilégio. É concedido apenas a membros dos grupos de segurança apropriados. A associação ao grupo de segurança é concedida no nível da conta de usuário e cada conta de usuário é exclusiva e identificada com um funcionário específico da Microsoft.
A política interna da Microsoft permite que os funcionários da Microsoft que tenham a associação de grupo de segurança apropriada solicitem acesso elevado temporário ("just-in-time") para que possam executar atividades de manutenção e suporte em sistemas de produção. Todos os pedidos de acesso just-in-time são monitorizados e revistos pelo sistema de pedidos suporte interno.
A Proteção contra Fraude fornece um procedimento publicado para sair do acordo de serviço, incluindo uma garantia de que todos os recursos de computação serão limpos dos dados do locatário depois que um cliente sair do ambiente ou desocupar um recurso?
Sim. Os Termos de Licenciamento Comercial da Microsoft aplicam-se à Proteção contra Fraude e definem os procedimentos para cancelar um serviço. A adenda de proteção de dados descreve os detalhes sobre como os dados são retidos e excluídos. Os dados pseudonimizados que um comerciante já forneceu à Rede de Proteção contra Fraude continuarão a ser processados dentro da Rede de Proteção contra Fraude até o final de sua janela de retenção deslizante. Em seguida, será eliminado.
A Proteção contra Fraude colabora com qualquer organização profissional de serviços de segurança dentro da Microsoft para suporte de segurança e tecnologia (por exemplo, implantação, resposta a incidentes e relatórios)?
Sim. A Proteção contra Fraude faz parte da família de produtos Dynamics 365 e segue políticas e diretrizes definidas para a organização Dynamics 365 e Cloud & AI. A Proteção contra Fraudes colabora com a Segurança do Azure, o Centro de Inteligência de Ameaças da Microsoft, a Equipe de Resposta a Incidentes do Azure, a Segurança Global da Microsoft e outras equipes internas de segurança e conformidade.
Para obter mais informações sobre segurança para Proteção contra fraude, consulte Visão geral de segurança da Proteção contra fraude do Dynamics 365.
Como a Proteção contra Fraudes garante que os erros e riscos de qualidade de dados herdados de parceiros na cadeia de suprimentos em nuvem sejam inspecionados, contabilizados e corrigidos?
A Proteção contra Fraudes tem uma equipe dedicada de ciência de dados. Ele também tem um sistema de monitoramento e alerta que é projetado para detetar e responder a erros de qualidade de dados e para manter a qualidade dos modelos de aprendizado de máquina (ML). Os problemas de qualidade de dados são tratados como incidentes de produção e são revisados através do mesmo processo usado para manter a confiabilidade do serviço.
A Proteção contra Fraudes realiza regularmente testes de penetração de rede da infraestrutura de serviços em nuvem, conforme prescrito pelas melhores práticas e orientações do setor? Os resultados dos testes de penetração de rede estão disponíveis para os inquilinos a seu pedido?
A Proteção contra Fraudes usa ferramentas padrão do setor para verificar o código, e a deteção e a gravidade de bugs são baseadas nos padrões NIST 800-30.
Um terceiro independente faz um teste de penetração (teste de caneta) no ambiente do Azure pelo menos anualmente. O escopo do teste de caneta é determinado pelas áreas de risco e requisitos de conformidade do Azure. Os resultados do teste da caneta são remediados com base na criticidade. Para obter mais informações, consulte o Portal de Confiança do Serviço.
A Proteção contra Fraude realiza regularmente verificações de vulnerabilidade na camada de rede, conforme prescrito pelas práticas recomendadas do setor?
Sim, a Proteção contra Fraude segue as práticas recomendadas padrão do setor. Conforme descrito nos relatórios de auditoria do Azure-Dynamics SOC2, a equipe Cloud + AI Security realiza verificações internas e externas frequentes para identificar vulnerabilidades e avaliar a eficácia do processo de gerenciamento de patches. Os serviços são verificados em busca de vulnerabilidades conhecidas. Novos serviços são adicionados à próxima verificação trimestral cronometrada, com base em sua data de inclusão. Em seguida, eles seguem pelo menos um cronograma de varredura trimestral. Essas verificações são usadas para garantir a conformidade com os modelos de configuração de linha de base, validar se patches relevantes estão instalados e identificar vulnerabilidades. Os relatórios de digitalização são revisados pelo pessoal apropriado e os esforços de remediação são conduzidos em tempo hábil.
Recursos adicionais
Perguntas frequentes sobre residência de dados e GDPR
Perguntas frequentes sobre conformidade
Exceções dos limites de dados da UE para proteção contra fraudes