Centar za pouzdanost: Informacije o sigurnosti, privatnosti i sukladnosti za usluge Microsoft Online Services.

Administrativni pristup

Omogućujemo vam da utvrdite je li netko pristupio vašim osnovnim podacima.

Znamo da je u oblaku pristup podacima glavna briga. To se odnosi na to da znate da imate pristup podacima kad vam je to potrebno i da znate je li netko drugi pristupio vašim podacima.

Kad je riječ o pristupu naše su obaveze sljedeće:

uvijek vam dajemo pristup podacima
pristup klijentskim podacima strogo je kontroliran, evidentira se i izvode se kontrolne provjere od strane tvrtke Microsoft i trećih strana kako bi se potvrdilo da pristup ostvaren samo za određene poslovne svrhe
svjesni smo posebne važnosti osnovnih klijentskih podataka¹, poput tijela poruke e-pošte na usluzi Exchange Online i sadržaja timskog web-mjesta SharePoint Online. Ako netko - zaposlenici, partneri tvrtke Microsoft² ili vaši administratori - pristupi na usluzi osnovnim klijentskim podacima, na vaš zahtjev možemo vam dati izvješće o tom pristupu. Tako ćete znati kad je vašim podacima možda pristupljeno.

Kako pogledati administratorski pristup podacima

	Vrste podataka koje se prate	Upute
Microsoft Online Services	Stvaranje korisnika, poništavanje lozinki na portalu	Kontaktirajte tehničku podršku usluga Microsoft Online Services
Exchange Online	Pristup poštanskom sandučiću Exchange³	Posjetite upravljačku ploču usluge Exchange (veza je dostupna na stranici administratorskog pregleda na portalu Microsoft Online Services [potrebna je prijava]).
SharePoint Online	Web-mjesto SharePoint, pristup spremniku	Kontaktirajte tehničku podršku usluga Microsoft Online Services
Microsoft Dynamics CRM Online	Pristup osnovnim klijentskim podacima CRM-a	Kontaktirajte tehničku podršku usluga Microsoft Online Services

Napomene:

¹Osnovni podaci za koje klijenti možda imaju povećanje zahtjeve za čuvanje povjerljivosti koji se, kad usluga radi na uobičajen način, prenose šifrirani putem interneta. To se posebno odnosi na tijelo poruke e-pošte na usluzi Exchange Online, privitke pošte, sadržaj timskog web-mjesta SharePoint Online, tijelo datoteke SharePoint Online, izravnu razmjenu poruka ili razgovore na usluzi VOIP.

²Partneri: izvješća o prodavačima (kod kojih je klijent kupio usluge i koji su mu uslugu naplatili), partneri za ACS VOIP i pridružene usluge poput Istraživanja u pokretu (za uslugu BlackBerry® smještenu na poslužitelju) nisu dostupna zbog prirode pristupa podacima koji te strane imaju u uobičajenom tijeku korištenja usluga.

³Za klijente-poduzeća koji su omogućili administracijski centar FOPE, nije moguće dati izvješće o administrativnom pristupu za poštu u redu čekanja u administracijskom centru.

Često postavljana pitanja

Pitanje: Tko ima administrativna prava za usluge Microsoft Online Services? Jesu li to stalni zaposlenici ili podizvođači? Kako tvrtka Microsoft sprečava administratorski pristup klijentskim podacima?

Administratori podatkovne baze, prema definiciji, imaju pristup svim resursima u podatkovnoj bazi, uključujući i klijentske podatke. No Microsoft strogo zabranjuje pristup klijentskim podacima u svrhe koje nisu poslovne poput poboljšanja rada podatkovnih datoteka ili migracije klijenata iz jedne podatkovne baze u drugu.

U sljedećoj tablici navedene su različite razine pristupa za različite vrste podataka:

	Podaci o korištenju	Podaci iz adresara	Klijentski podaci (izuzevši osnovne klijentske podatke)^*)	Osnovni klijentski podaci
Tim za odgovore na rad (ograničeno samo na ključno osoblje)	Da.	Da, prema potrebi.	Da, prema potrebi.	Da, kao izuzetak.
Organizacija podrške	Da, samo ako je potrebno kao odgovor na Upit za podršku.	Da, samo ako je potrebno kao odgovor na Upit za podršku.	Da, samo ako je potrebno kao odgovor na Upit za podršku.	Ne.
Projektiranje	Da.	Bez izravnog pristupa. Moguć je prijenos tijekom rješavanja problema.	Bez izravnog pristupa. Moguć je prijenos tijekom rješavanja problema.	Ne.
Partneri	Uz klijentsko dopuštenje. Provjerite kod partnera za više informacija.	Uz klijentsko dopuštenje. Provjerite kod partnera za više informacija.	Uz klijentsko dopuštenje. Provjerite kod partnera za više informacija.	Uz klijentsko dopuštenje. Provjerite kod partnera za više informacija.
Ostali u tvrtki Microsoft	Ne.	Ne (da za klijente usluge Office 365 za male tvrtke u marketinške svrhe).	Ne.	Ne.

^*Osnovni klijentski podaci uključuju tijela i privitke poruka e-pošte na usluzi Exchange Online, sadržaj na web-mjestu i tijelo datoteke na usluzi SharePoint Online, izravne razmjene poruka i glasovne razgovore i poslovne podatke CRM-a o vašim interakcijama s krajnjim korisnicima.

Pitanje: Što tvrtka Microsoft čini kako podržala prava svojih klijenata da pristupaju svojim podacima? Hoće li klijent imati pristup svojim podacima u bilo kojem trenutku?

Klijenti imaju mogućnost pristupa svojim podacima i upravljanja njima kroz standardne protokole i mehanizme pristupa koji su definirani unutar opisa usluge.

Na završetku klijentske pretplate ili korištenja usluge, klijent ima mogućnost izvoza svojih podataka. Sve pojedinosti nalaze se u Korisničkim pravima za proizvod (to je nadležni izvor za ovu temu), no kako bismo vam olakšali u nastavku navodimo propise koji stupaju na snagu sa izdanjem usluge Office 365:

Istek ili ukidanje usluge Online Service. Nakon isteka ili ukidanja pretplate na uslugu Online Service, morate kontaktirati tvrtku Microsoft i javiti želite li:

(1) onemogućiti svoj račun i izbrisati klijentske podatke; ili
(2) zadržati svoje klijentske podatke na računu s ograničenim funkcijama barem 90 dana nakon isteka ili ukidanja vaše pretplate ("razdoblje zadržavanja") kako biste mogli izdvojiti podatke.

Ako odaberete mogućnost (1), nećete imati mogućnost izdvajanja klijentskih podataka s računa. Ako odaberete (2) obeštetit ćete nas u slučaju bilo kakvih troškova. Ako ne odaberete (1) ni (2), zadržat ćemo klijentske podatke sukladno točki (2).
Nakon isteka razdoblja zadržavanja, onemogućit ćemo vaš račun, a nakon toga ćemo izbrisati klijentske podatke. Kopije privremeno spremljene u memoriju ili sigurnosne kopije bit će izbrisane u roku 30 dana od završetka razdoblja zadržavanja.

Za brisanje klijentskih podataka ne snosimo nikakvu odgovornost. Prihvaćate da, osim onoga što je navedeno u ovim odredbama, nemamo nikakve obaveze da i dalje čuvamo, izvozimo ili vraćamo klijentske podatke. Prihvaćate da nemamo nikakve odgovornosti u bilo kojem smislu za brisanje klijentskih podataka sukladno ovim odredbama.

Tvrtka Microsoft šalje više obavijesti prije brisanja klijentskih podataka kako bi klijenti bili informirani o tome da će se podaci uskoro izbrisati ako ne reagiraju u predviđenom roku.

U mjeri u kojoj klijentu treba pomoć da ispuni zakonske zahtjeve za zaštitu privatnosti, prema brojnim sporazumima klijent može kontaktirati korisničku podršku tvrtke Microsoft kako bi dobio pomoć u pristupu, promjeni, brisanju ili blokiranju svojih klijentskih podataka. Zahtjevi bez mogućnosti rješavanja kroz standardne alate i postupke možda će se dodatno naplaćivati.

Pitanje: Kako mogu biti siguran da samo ovlašteni korisnici imaju dodijeljen administrativni pristup kako bi ispunili svoje poslovne odgovornosti?

Svi zaposlenici koji rade na uslugama Microsoft Online Services odgovorni su za svoj rad na klijentskim podacima, što znači da je pristup podacima na uslugama Microsoft Online Services dodijeljen tako da je moguće pratiti jedinstvenog korisnika. Drugim riječima, odgovornost se osnažuje kroz niz sistemskih kontrola, uključujući korištenje jedinstvenih korisničkih imena, kontrola pristupa podacima i revizije. Za razliku od generičkih korisničkih imena kao što je "Gost" ili "Administrator", jedinstvena korisnička imena koriste se za pojačanu odgovornost čime se identificiraju korisničke akcije do određene osobe (navedene kao "povezane"). Također se koristi autentikacija s dva čimbenika, poput prijave pametnim karticama pomoću digitalnih certifikata ili RSA tokena kako bi se dodatno ojačala ta veza.

Korisnički pristup podacima također je ograničen korisničkom ulogom, na primjer, sistemski administratori nemaju administrativni pristup podatkovnoj bazi.

Tvrtka Microsoft primjenjuje stroge kontrole kad je riječ o tome koje će korisničke uloge i korisnici imati pristup podacima. Korisnici imaju obavezu ispunjavanja obrasca uz pružanje poslovnog opravdanja za traženje pristupa. To mora odobriti osoba nadređena korisniku prije dobivanja pristupa. Nadalje, razine pristupa pregledavaju se periodički kako bi se osiguralo da pristup sustavu imaju samo korisnici s odgovarajućim poslovnim opravdanjem.

Pitanje: Koje su kontrolne mjere uvedene kako bi se spriječio fizički pristup mojim podacima?

Svi podatkovni centri usluga Microsoft Online Services imaju biometričke kontrole pristupa, a u većini podatkovnih centara koji daju usluge Microsoft Online Services za ostvarivanje fizičkog pristupa podatkovnim centrima potreban je otisak dlana. Fizički pristup podatkovnim centrima usluga Microsoft Online Services kontrolira se dvostupanjskom autentikacijom uključujući čitače pristupne proxy-kartice (potrebna je značka za pristup karticom) i biometrijske čitače geometrije ruke.

Dodatne informacije o pristupu usluga Microsoft Online Services klijentskim podacima saznajte u pravilima o zaštiti privatnosti usluge Microsoft Online, Microsoftovim smjernicama za zaštitu privatnosti za proizvode i usluge u razvoju, opisu sigurnosne usluge Office 365 i u tehničkoj dokumentaciji o zaštiti privatnosti usluge Microsoft Online.

Usluge Microsoft Security Officer kvartalno će slati izvješća ovlaštenim zaposlenicima koje imaju pravo odobriti pristup podatkovnim centrima. Izvješća sadrže popise osoba koje trenutačno imaju pristup podatkovnim centrima. Ovlašteni zaposlenici pregledavaju popis i tako utvrđuju koje sve osobe imaju pristup i imaju li minimalno privilegiranu razinu pristupa potrebnu za izvođenje svoje poslovne funkcije. Ovlašteni zaposlenici moraju poslati odgovor službeniku za sigurnost tvrtke Microsoft u vezi svih promjena ili s potvrdom da nikakve promjene nisu potrebne.

Pitanje: Koje vrste pozadinskog istraživanja Microsoft izvodi nad ljudima koji dobivaju administrativna prava?

Svi Microsoftovi zaposlenici u SAD-u obavezni su uspješno položiti standardnu pozadinsku provjeru tijekom postupka zapošljavanja. Pozadinska provjera uključuje pregled informacija koje se odnose na kandidatovo obrazovanje, posao i povijest kažnjavanja.

Pored standardne pozadinske provjere koja se primjenjuje na sve nove zaposlenike tvrtke Microsoft, novi i postojeći zaposlenici koji imaju pristup klijentskim podacima ili oni koji upravljaju ključnim fizičkim i logičkim kontrolama pristupa, moraju proći provjeru popisa kontrole izvoza: (popisi kontrole izvoza uključuju Ured za kontrolu strane imovine (engl. Office of Foreign Assets Control List, OFAC), Ured popisa djelatnosti i sigurnosti (engl. Bureau of Industry and Security List, BIS) i Ured Ministarstva obrane za nadzor trgovine, Popis osoba kojima je zabranjen pristup (engl. Office of Defense Trade Controls Debarred Persons List, DDTC))

Novi zaposlenici prolaze kroz provjeru istovremeno kad traje i Microsoftova standardna provjera.
Svi zaposlenici koji imaju pristup klijentskim podacima prolaze kroz Microsoftovu pozadinsku provjeru, a redovito se provode i dodatne pozadinske provjere.

Dodatne informacije i pozadinske provjere, poput provjere državljanstva i otisaka prstiju, također se mogu primjenjivati ako je pristup potreban za pristup na federalnoj razini.

U svrhu zaštite privatnosti svojih zaposlenika Microsoft ne dijeli rezultate pozadinskih provjera sa svojim klijentima.

Dodatni resursi

Opis sigurnosne usluge Microsoft Online Services [engleski]
Vodič za mrežnu sigurnost i neprestani rad usluge Microsoft Dynamics CRM [na engleskom]
Zaštita podataka i bijeli dokument o privatnosti usluga Microsoft Online Services za 2011. [na engleskom]