Lehetővé tesszük annak felderítését, hogy hozzáfértek-e alapvető adataihoz.
Tudjuk, hogy a felhőben az adatelérés a legfontosabb kérdések közé tartozik. Az adatoknak szükség esetén elérhetőnek kell lenniük, és felderíthetőnek kell lennie, ha az adatokhoz mások is hozzáfértek.
Az adateléréssel kapcsolatos álláspontunk a következő:
| A nyomon követett adatok típusa | Utasítások | |
| Microsoft Online Services | Felhasználók létrehozása a portálon, jelszavak alaphelyzetbe állítása | Lépjen kapcsolatba a Microsoft Online Services technikai támogató szolgálatával |
| Exchange Online | Hozzáférés az Exchange-postaládákhoz3 | Nyissa meg az Exchange-vezérlőpultot (a hivatkozás a Microsoft Online Services portál Rendszergazdai áttekintés oldalán érhető el [Bejelentkezést igényel]). |
| SharePoint Online | SharePoint-webhely, tároló elérése | Lépjen kapcsolatba a Microsoft Online Services technikai támogató szolgálatával |
| Microsoft Dynamics CRM Online | CRM Core – hozzáférés alapvető ügyféladatokhoz | Lépjen kapcsolatba a Microsoft Online Services technikai támogató szolgálatával |
Megjegyzések:
1Az alapvető adatok olyan adatok, amelyek titkosságával kapcsolatban az ügyfelek fokozott elvárásokat támasztanak, és amelyek átvitele a hálózaton a szolgáltatás általános használata során titkosított formában történik. Ezek közé tartoznak az Exchange Online-üzenetek törzsei, a levélmellékletek, a SharePoint Online-webhelyek tartalma, a fájlok tartalma, a csevegőüzenetek, a beszélgetések hanganyaga, valamint a CRM üzleti adatok a végfelhasználói interakciókról.
2Partnerek: a viszonteladók (abban az esetben, ha a szolgáltatást az ügyfél viszonteladótól vásárolta, és a számlázás is viszonteladón keresztül történik), az ACS VOIP-partnerek és a társított szolgáltatások (mint a Research in Motion és a Hosted BlackBerry® szolgáltatás esetén) tevékenységéről a szolgáltatások normál üzeme során felmerülő adathozzáférések jellegéből fakadóan nem készíthetők jelentések.
3A FOPE felügyeleti központot engedélyező vállalati felhasználók esetén a felügyeleti központ várólistáján szereplő e-mailek rendszergazdai eléréséről nem készíthető jelentés.
Az adatbázis-rendszergazdák – munkájuk természeténél fogva – hozzáférnek az adatbázis minden erőforrásához, beleértve az ügyfelek adatait is. A Microsoft azonban szigorúan tiltja a hozzáférést az ügyfelek adataihoz, ha az nem az üzleti igények teljesítése, például az adatbázisok teljesítményhangolása vagy a felhasználók adatbázisok közötti áttelepítése érdekében történik.
A következő táblázat részletezi a különféle adattípusokhoz tartozó különféle hozzáférési szinteket:
| Használati adatok | Címjegyzékadatok | Ügyféladatok (kivéve az alapvető ügyféladatokat*) | Alapvető ügyféladatok | |
| Üzemzavar-elhárító csoport (csak a kulcsszemélyek) | Igen. | Igen, szükség esetén. | Igen, szükség esetén. | Igen, kivételes esetben. |
| Támogató szervezet | Igen, csak ha a támogatási kérdésre adott válaszhoz szükséges. | Igen, csak ha a támogatási kérdésre adott válaszhoz szükséges. | Igen, csak ha a támogatási kérdésre adott válaszhoz szükséges. | Nem. |
| Tervezés | Igen. | Nincs közvetlen hozzáférés. A hibaelhárítás során átadható. | Nincs közvetlen hozzáférés. A hibaelhárítás során átadható. | Nem. |
| Partnerek | Az ügyfél engedélyével. További információkért lásd: Partner. | Az ügyfél engedélyével. További információkért lásd: Partner. | Az ügyfél engedélyével. További információkért lásd: Partner. | Az ügyfél engedélyével. További információkért lásd: Partner. |
| Mások a Microsofton belül | Nem. | Nem (az Office 365 kisvállalatoknak ügyfelei esetében marketingcélokra igen). | Nem. | Nem. |
*Az alapvető ügyféladatok közé tartoznak az Exchange Online-üzenetek törzsei, a levélmellékletek, a SharePoint Online-webhelyek tartalma, a fájlok tartalma, a csevegőüzenetek, a beszélgetések hanganyaga, valamint a CRM üzleti adatok a végfelhasználói interakciókról.
Az ügyfelek a szolgáltatás leírásában meghatározott szabványos protokollok és hozzáférési mechanizmusok használatával érhetik el és ellenőrizhetik adataikat.
Előfizetésük lejártakor, illetve a szolgáltatás használatának befejezésekor az ügyfelek mindig exportálhatják adataikat. Az ezzel kapcsolatos részleteket a termékhasználati jogosítvány tartalmazza (amely a témakörrel kapcsolatos információk mérvadó forrása), kényelmi szempontból azonban az Office 365 kiadásának időpontjában érvényes előírásokat az alábbiakban ismertetjük:
Online szolgáltatás lejárata vagy megszűnése. Az online szolgáltatás előfizetésének lejáratakor vagy megszűnésekor kapcsolatba kell lépnie a Microsofttal, és tájékoztatnia kell arról, hogy:
Az ügyféladatok törléséért nem vállalunk felelősséget. Ön beleegyezik abba, hogy az itt ismertetett feltételekben szereplő kötelezettségeken kívül nem vállalunk kötelezettséget az ügyféladatok megtartásáért, exportálásért, illetve visszaszolgáltatásáért. Beleegyezik továbbá, hogy ezen feltételek értelmében nem vállalunk semmilyen felelősséget az ügyféladatok törléséért.
A Microsoft több figyelmeztetést is küld az ügyféladatok törlése előtt, amelyekben tájékoztatja és figyelmezteti az ügyfeleket arról, hogy az adatok törlésre kerülnek, ha a szerződésben meghatározott időn belül nem teszik meg a szükséges lépéseket.
Az ügyfelek számos szerződés keretében fordulhatnak segítségért a Microsoft ügyfélszolgálatához ügyféladataik eléréséhez, módosításához, törléséhez vagy blokkolásához olyan mértékben, amelyre a törvényben előírt adatvédelmi kérések teljesítéséhez szükségük van. A szabványos eszközökkel és folyamatokkal nem teljesíthető kérések többletköltséggel járhatnak.
A Microsoft Online Services teljes személyzete felelősségre vonható az ügyféladatok tekintetében. Ez azt jelenti, hogy a Microsoft Online Services rendszerében szereplő adatokhoz olyan módon lehet csak hozzáférni, amely biztosítja a visszakövethetőséget az egyedi felhasználóra. Más szóval a felelősségre vonhatóságot rendszervezérlők használatával biztosítjuk, ide értve az egyedi felhasználónevek, adathozzáférés-vezérlés és naplózás használatát. Az általános felhasználónevek (például „Vendég” vagy „Rendszergazda”) helyett egyedi felhasználónevek használatával biztosítjuk a felelősségre vonhatóságot, mivel így a felhasználói műveletek adott személyhez kapcsolhatók („kötés”). A kötés erősítéséhez kétfaktoros hitelesítést, például intelligens kártyát és digitális aláírásokat vagy RSA-jogkivonatokat használó bejelentkezést is használunk.
A felhasználók hozzáférését az adatokhoz a felhasználói szerep is korlátozza: a rendszergazdák például nem rendelkeznek adatbázis-rendszergazdai szereppel.
A Microsoft szigorú szabályok szerint vezérli, hogy mely felhasználók és felhasználói szerepek férhetnek hozzá az ügyféladatokhoz. A felhasználóknak ki kell tölteniük egy űrlapot és üzletileg is alá kell támasztaniuk igényüket ahhoz, hogy hozzáférhessenek az adatokhoz. Ezt a hozzáférés megadása előtt a felhasználó felettesének is jóvá kell hagynia. A hozzáférési szinteket ezen kívül rendszeresen felülvizsgáljuk annak biztosítása érdekében, hogy csak a megfelelő üzleti alátámasztással rendelkező felhasználók férhessenek hozzá a rendszerekhez.
A Microsoft Online Services összes adatközpontja rendelkezik biometrikus hozzáférés-vezérléssel: a Microsoft Online Services szolgáltatás biztosításához használt legtöbb adatközpontban tenyérlenyomat-ellenőrzés szükséges a belépéshez. A fizikai hozzáférést a Microsoft Online Services adatközpontjaihoz olyan kétrétegű hitelesítés vezérli, amely belépőkártya-olvasókat (belépőkártya szükséges) és kézgeometria-olvasókat is tartalmaz.
A Microsoft Online Services ügyféladatokkal kapcsolatos állásfoglalásáról további információkat a következő dokumentumokban talál: Microsoft online adatvédelmi szabályzat, A Microsoft adatvédelmi irányelvei termékek és szolgáltatások fejlesztéséhez, Office 365 biztonsági szolgáltatásleírás és Microsoft online adatvédelmi tanulmány.
A Microsoft biztonsági tisztviselője negyedévente jelentést küld az adatközpontok hozzáférésének jóváhagyására jogosult személyeknek. A jelentésekben szerepel az adatközpontokhoz jelenleg hozzáférő személyek listája. A jogosult személyek ellenőrzik a listát, és meggyőződnek arról, hogy az azon szereplő személyeknek továbbra is szüksége van a hozzáférésre, valamint arról, hogy a munkájuk elvégzéséhez szükséges legalacsonyabb hozzáférési szinttel rendelkeznek. A jogosult személyeknek választ kell küldeniük a Microsoft biztonsági tisztviselőjének az esetleges módosításokról vagy a módosítások szükségtelenségéről.
A munkába álláshoz a Microsoft Amerikai Egyesült Államok területén dolgozó minden alkalmazottjának sikeresen át kell mennie a szabványos háttérellenőrzésen. A háttérellenőrzés magában foglalja a jelentkező képzettségére, korábbi munkahelyeire és bűnügyi múltjára vonatkozó információk áttekintését.
Az újonnan felvett Microsoft-alkalmazottak esetén folytatott szabványos háttérvizsgálaton kívül, az ügyféladatokhoz hozzáféréssel rendelkező, illetve a kulcsfontosságú fizikai és logikai hozzáférést kezelő meglévő és új alkalmazottakat az exportfelügyeleti listák alapján is ellenőrizzük: (Az exportfelügyeleti listák között szerepel az OFAC-lista (Office of Foreign Assets Control List), a BIS-lista (Bureau of Industry and Security List), valamint a DDTC-lista (Office of Defense Trade Controls Debarred Persons List))
Amennyiben a hozzáférési kérelem a szövetségi környezettel kapcsolatos, további információs és háttérellenőrzésekre, például az állampolgárság ellenőrzésére vagy ujjlenyomat-ellenőrzésre is sor kerülhet.
Alkalmazottai védelmében a Microsoft nem osztja meg a háttérellenőrzések eredményét ügyfeleivel.