Pusat Kepercayaan: Keamanan, Privasi, dan Informasi Tentang Kepatuhan untuk Microsoft Online Services.

Akses Administratif

Kami membantu Anda mengetahui apakah seseorang telah mengakses data utama Anda.

Kami memahami bahwa di Internet, akses data merupakan hal penting. Artinya mengetahui bahwa Anda akan dapat mengakses data bila perlu dan mengetahui apakah seseorang telah mengaksesnya.

Posisi kami pada akses adalah sebagai berikut:

Kami selalu memberikan akses ke data pelanggan.
Akses ke data pelanggan dikontrol dan didata dengan ketat serta audit sampel dilakukan oleh Microsoft dan pihak ketiga untuk memastikan bahwa akses tersebut hanya untuk tujuan bisnis yang sesuai.
Kami memahami pentingnya data utama pelanggan¹, misalnya badan e-mail Exchange Online dan konten situs tim SharePoint Online. Jika seseorang, misalnya staf Microsoft, mitra², atau administrator Anda sendiri, mengakses data utama pengguna di layanan, kami dapat memberikan laporan tentang akses tersebut jika diminta. Dengan demikian, Anda akan mengetahui waktu data diakses.

Cara Melihat Akses Admin ke Data

	Jenis Data yang Dilacak	Petunjuk
Microsoft Online Services	Pembuatan Portal Pengguna, Pembuatan Ulang Sandi	Hubungi Dukungan Teknis Fitur Keamanan Microsoft Online Services
Exchange Online	Akses Kotak Pesan Exchange³	Buka Exchange Control Panel (link tersedia dari halaman Ikhtisar Admin di Portal Microsoft Online Services [Harus masuk]).
SharePoint Online	Situs SharePoint, Akses Penyimpanan	Hubungi Dukungan Teknis Fitur Keamanan Microsoft Online Services
Microsoft Dynamics CRM Online	Akses Data Pelanggan Utama CRM	Hubungi Dukungan Teknis Fitur Keamanan Microsoft Online Services

Catatan:

¹Data utama adalah data yang sangat diharapkan pelanggan untuk dirahasiakan dan yang ditransfer terenkripsi melalui Internet bila layanan digunakan seperti biasa. Data ini mencakup badan dan lampiran e-mail Exchange Online, konten situs dan badan file SharePoint Online, serta olahpesan cepat dan percakapan suara, serta data bisnis CRM tentang interaksi pengguna akhir.

²Mitra: Laporan tentang Penjual (yakni, pelanggan membeli layanan dari, dan dibebankan tagihan oleh, penjual), mitra VOIP ACS, dan layanan terkait, misalnya Research in Motion (untuk layanan BlackBerry® yang di-host) tidak tersedia karena sifat akses ke data yang dimiliki pihak ini dalam penggunaan layanan seperti biasa.

³Untuk pelanggan perusahaan yang telah mengaktifkan pusat administrasi FOPE, akses administratif e-mail dalam antrean di pusat administrasi tidak dapat dilaporkan.

Tanya Jawab

Pertanyaan: Siapa yang memiliki hak administratif pada Microsoft Online Services? Apakah pihak tersebut adalah karyawan purnawaktu Microsoft atau kontraktor? Bagaimana cara Microsoft mencegah administrator mengakses data pelanggan?

Administrator database, berdasarkan definisinya, memiliki akses ke semua sumber info di database, termasuk data pelanggan. Namun, Microsoft melarang keras akses ke data pelanggan untuk tujuan selain kebutuhan bisnis, misalnya penyempurnaan performa database atau migrasi pelanggan dari satu database ke database lain.

Tabel berikut menjelaskan beragam tingkat akses untuk berbagai jenis data:

	Data Penggunaan	Data Buku Alamat	Data Pelanggan (tidak termasuk Data Pelanggan Utama^*)	Data Pelanggan Utama
Tim Respons Operasi (hanya terbatas pada staf khusus)	Ya.	Ya, bila perlu.	Ya, bila perlu.	Ya, dengan pengecualian.
Organisasi Pendukung	Ya, hanya bila diperlukan untuk merespons Permintaan Dukungan.	Ya, hanya bila diperlukan untuk merespons Permintaan Dukungan.	Ya, hanya bila diperlukan untuk merespons Permintaan Dukungan.	Tidak.
Perekayasaan	Ya.	Tidak Ada Akses Langsung. Dapat Ditransfer Selama Mengatasi Masalah.	Tidak Ada Akses Langsung. Dapat Ditransfer Selama Mengatasi Masalah.	Tidak.
Mitra	Dengan izin pelanggan. Untuk informasi lebih lanjut, lihat Mitra.	Dengan izin pelanggan. Untuk informasi lebih lanjut, lihat Mitra.	Dengan izin pelanggan. Untuk informasi lebih lanjut, lihat Mitra.	Dengan izin pelanggan. Untuk informasi lebih lanjut, lihat Mitra.
Lainnya di Microsoft	Tidak.	Tidak (Ya untuk Office 365 bagi Pelanggan usaha kecil untuk tujuan pemasaran).	Tidak.	Tidak.

^*Data Pelanggan Utama mencakup badan dan lampiran e-mail Exchange Online, konten situs dan badan file SharePoint Online, serta olahpesan cepat dan percakapan suara, serta data bisnis CRM tentang interaksi pengguna akhir.

Pertanyaan: Apakah yang dilakukan Microsoft untuk mendukung hak pelanggannya dalam mengakses data mereka? Apakah pelanggan akan memiliki akses ke data setiap saat?

Pelanggan dapat mengakses dan mengontrol data mereka melalui protokol dan mekanisme akses standar yang dinyatakan dalam keterangan layanan.

Di akhir masa langganan pelanggan atau penggunaan layanan, pelanggan dapat selalu mengekspor datanya. Rincian lengkap terdapat dalam Hak Penggunaan Produk (yang merupakan sumber otoritatif pada topik ini), namun demi kemudahan, ketentuan saat ini sejak versi Office 365 tercakup di bawah ini:

Penghentian atau Berakhirnya Layanan Online. Setelah langganan layanan online dihentikan atau berakhir, Anda harus menghubungi Microsoft dan memberitahukan kami apakah akan:

(1) menonaktifkan account, lalu menghapus data pelanggan; atau
(2) menyimpan data pelanggan di account dengan fungsi terbatas selama minimal 90 hari setelah langganan dihentikan atau berakhir ("masa penyimpanan") sehingga Anda dapat mengekstrak data.

Jika memilih (1), Anda tidak akan dapat mengekstrak data pelanggan dari account. Jika memilih (2), Anda dapat meminta penggantian kepada kami atas biaya apapun yang ditimbulkan. Jika tidak memilih (1) atau (2), kami akan menyimpan data pelanggan sesuai dengan (2).
Setelah masa penyimpanan berakhir, kami akan menonaktifkan account Anda, lalu menghapus data pelanggan. Salinan dalam cache atau cadangan akan dihapus dalam waktu 30 hari sejak berakhirnya masa penyimpanan.

Tidak Ada Kewajiban untuk Penghapusan Data Pelanggan. Anda setuju bahwa, selain yang dijelaskan dalam persyaratan ini, kami tidak memiliki kewajiban untuk tetap menyimpan, mengekspor, atau mengembalikan data pelanggan. Anda setuju bahwa kami tidak memiliki kewajiban apapun atas penghapusan data pelanggan berdasarkan persyaratan ini.

Microsoft akan mengirim beberapa pemberitahuan sebelum penghapusan data pelanggan, sehingga pelanggan mengetahui dan mengingat penghapusan data yang akan tiba jika pelanggan tidak melakukan tindakan dalam kerangka waktu yang telah ditentukan.

Selama pelanggan memerlukan bantuan dalam memenuhi permintaan privasi sebagaimana diwajibkan oleh undang-undang, berdasarkan sebagian besar perjanjian, pelanggan dapat menghubungi Dukungan Pelanggan Microsoft untuk memperoleh bantuan dalam mengakses, mengubah, menghapus, atau memblokir data pelanggan. Permintaan yang tidak dapat dipenuhi melalui alat bantu dan proses standar dapat dikenakan biaya tambahan.

Pertanyaan: Bagaimana cara memastikan bahwa hanya pengguna sah yang mendapatkan akses administratif untuk memenuhi tanggung jawab tugas mereka?

Semua staf Microsoft Online Services dapat diandalkan dalam menangani data pelanggan yang berarti akses ke data Microsoft Online Services diberikan dengan cara yang dapat dilacak ke pengguna unik. Dengan kata lain, keandalan diwujudkan melalui serangkaian kontrol sistem, termasuk penggunaan nama pengguna unik, kontrol akses data, dan audit. Tidak seperti nama pengguna biasa, misalnya "Tamu" atau "Administrator", nama pengguna unik digunakan untuk mewujudkan keandalan dengan mengidentifikasi tindakan pengguna pada pengguna tertentu (disebut sebagai "pengikatan"). Otentikasi dua faktor, misalnya proses masuk kartu pintar menggunakan sertifikat digital atau token RSA, juga digunakan untuk lebih memperkuat pengikatan ini.

Akses Pengguna ke data juga dibatasi oleh peran pengguna, misalnya administrator sistem tidak mendapatkan akses administratif database.

Microsoft menerapkan kontrol ketat terhadap pemberian akses ke data pelanggan kepada peran pengguna dan pengguna. Pengguna diwajibkan melengkapi formulir beserta pengesahan bisnis untuk meminta akses. Permintaan tersebut harus disetujui oleh manajer pengguna sebelum memperoleh akses. Tingkat akses juga akan diperiksa secara berkala untuk memastikan bahwa hanya pengguna yang memiliki pengesahan bisnis yang sesuai memiliki akses ke sistem.

Pertanyaan: Kontrol apa yang dilakukan untuk membatasi akses fisik ke data saya?

Semua pusat data Microsoft Online Services memiliki kontrol akses biometrik, dengan sebagian besar pusat data yang digunakan untuk menyediakan Microsoft Online Services memerlukan sidik telapak tangan agar dapat memperoleh akses fisik ke pusat data. Akses fisik ke pusat data Microsoft Online Services dikontrol melalui otentikasi dua tingkat, termasuk pembaca akses kartu proxy (memerlukan badge kartu akses) dan pembaca biometrik geometri tangan.

Untuk informasi tambahan tentang pendekatan Microsoft Online Services ke data pelanggan, lihat Kebijakan Privasi Microsoft Online, Panduan Privasi Microsoft untuk Mengembangkan Produk dan Layanan, Keterangan Layanan Keamanan Office 365, serta Buku Putih Privasi Microsoft Online.

Setiap triwulan, Staf Keamanan Microsoft akan mengirim laporan ke staf berwenang untuk menyetujui akses pusat data. Laporan berisi daftar pengguna yang saat ini memiliki akses ke pusat data. Staf berwenang akan mengaudit daftar untuk memastikan semua pengguna masih memerlukan akses dan memiliki tingkat akses istimewa minimal yang diperlukan dalam menjalankan fungsi tugasnya. Staf berwenang harus mengirim balasan kepada Staf Keamanan Microsoft berisi perubahan atau konfirmasi bahwa perubahan tidak perlu dilakukan.

Pertanyaan: Jenis pemeriksaan latar belakang apa yang dilakukan Microsoft terhadap pengguna yang mendapatkan hak administratif?

Semua karyawan Microsoft yang berbasis di AS diwajibkan untuk menyelesaikan pemeriksaan latar belakang standar sebagai bagian dari proses perekrutan. Pemeriksaan latar belakang mencakup pemeriksaan informasi yang terkait dengan pendidikan, riwayat pekerjaan, dan catatan kriminal.

Selain pemeriksaan latar belakang standar yang berlaku untuk semua staf Microsoft, staf baru dan lama yang memiliki akses ke data pelanggan, atau yang mengelola kontrol akses fisik dan logika, harus menjalani pemeriksaan terhadap daftar kontrol ekspor: (Daftar kontrol ekspor mencakup Daftar OFAC (Kantor Kontrol Aset Luar Negeri), Daftar BIS (Biro Industri dan Keamanan), serta Daftar DDTC (Kantor Kontrol Perdagangan Senjata dan Daftar Cekal))

Karyawan baru menjalani pemeriksaan pada saat bersamaan dengan pemeriksaan standar Microsoft.
Semua staf yang memiliki akses ke data pelanggan menjalani pemeriksaan Latar Belakang Microsoft dan pemeriksaan latar belakang tambahan dilakukan secara rutin.

Informasi dan pemeriksaan latar belakang tambahan, misalnya pemeriksaan kewarganegaraan dan sidik jari, juga dapat berlaku jika permintaan akses terkait dengan lingkungan federal.

Untuk melindungi privasi karyawannya, Microsoft tidak akan mengungkapkan hasil pemeriksaan latar belakang kepada pelanggan.

Sumber Info Tambahan

Keterangan Layanan Keamanan Microsoft Online Services [bahasa Inggris]
Panduan Kontinuitas Layanan dan Keamanan Microsoft Dynamics CRM Online [bahasa Inggris]
Perlindungan Data Microsoft Online Services dan White Paper Privasi 2011 [bahasa Inggris]