Klareringssenter: informasjon om sikkerhet, personvern og overholdelse for Microsoft Online Services.

Administrativ tilgang

Vi gjør det mulig for deg å finne ut om andre har åpnet dine viktige data.

Vi vet at datatilgang er en stor bekymring i skyen. Dette gjelder både mulighetene for å få tilgang til egne data når du trenger det, og å finne ut om andre har fått tilgang til dem.

Vår holdning til tilgang er følgende:

Vi gir deg alltid tilgang til kundedataene dine.
Tilgang til kundedata er strengt kontrollert og logges. Både Microsoft og tredjeparter tar stikkprøver for å bekrefte at tilgangen bare gjelder egnede forretningsformål.
Vi forstår at viktige kundedata¹ er av stor betydning, for eksempel brødtekst i e-postmeldinger på Exchange Online og innhold på gruppeområdet for SharePoint Online. Hvis noen (Microsoft-personell, partnere² eller dine egne administratorer) får tilgang til viktige brukerdata i tjenesten, kan vi gi deg en rapport om denne tilgangen, ved forespørsel. På den måten vet du når dataene er åpnet.

Slik viser du administratortilgang til data

	Datatypen som spores	Instruksjoner
Microsoft Online Services	Portaloppretting av brukere, tilbakestilling av passord	Kontakt kundestøtte for Microsoft Online Services
Exchange Online	Tilgang til Exchange-postboksen³	Gå til kontrollpanelet for Exchange (kobling tilgjengelig på Administrasjonsoversikt-siden på Microsoft Online Services-portalen [pålogging kreves]).
SharePoint Online	SharePoint-område, lagertilgang	Kontakt kundestøtte for Microsoft Online Services
Microsoft Dynamics CRM Online	Tilgang til kundedata for CRM Core	Kontakt teknisk kundestøtte for Microsoft Online Services

Notater:

¹Viktige data er data kundene kan ha større forventning om konfidensialitet for, og som, når tjenesten brukes på vanlig måte, overføres kryptert over Internett. De inkluderer spesifikt brødtekst i og vedlegg til e-postmeldinger på Exchange Online, innhold og filtekst på SharePoint Online-området, direktemeldinger, stemmesamtaler og CRM-bedriftsdata om deg og dine kundesamhandlinger.

²Partnere: Rapporter om forhandlere (som kunden har kjøpt tjenestene fra, og som faktureres av forhandleren), ACS VOIP-partnere og tilknyttede tjenester, for eksempel Research in Motion (for Hosted BlackBerry®-tjenester), er ikke tilgjengelige fordi tilgangen til dataene som disse partene har, foregår gjennom vanlig bruk av tjenestene.

³For foretakskunder som har aktivert FOPE-administrasjonssenteret, kan ikke administrativ tilgang til e-post som ligger i kø i administrasjonssenteret, rapporteres.

Vanlige spørsmål

Spørsmål: Hvem har administrative rettigheter til Microsoft Online Services? Er de heltidsansatte eller entreprenører? Hvordan forhindrer Microsoft at administratorene får tilgang til kundedata?

Databaseadministratorer har per definisjon tilgang til alle ressursene i en database, inkludert kundedata. Microsoft har imidlertid strengt forbud mot å åpne kundedataene for andre formål enn forretningsbehov, for eksempel ved justering av databaser eller overføring av kunder fra én database til en annen.

Tabellen nedenfor beskriver de ulike tilgangsnivåene for ulike datatyper.

	Bruksdata	Adressebokdata	Kundedata (med unntak av viktige kundedata^*)	Viktige kundedata
Responsgruppe for operasjoner (begrenset til bare nøkkelpersonell)	Ja.	Ja, ved behov.	Ja, ved behov.	Ja, ved unntak.
Kundestøtteorganisasjon	Ja, bare ved behov som svar på kundestøtteforespørsel.	Ja, bare ved behov som svar på kundestøtteforespørsel.	Ja, bare ved behov som svar på kundestøtteforespørsel.	Nei.
Ingeniørarbeid	Ja.	Ingen direkte tilgang. Kan overføres ved feilsøking.	Ingen direkte tilgang. Kan overføres ved feilsøking.	Nei.
Partnere	Med kundens tillatelse. Se Partner for mer informasjon.	Med kundens tillatelse. Se Partner for mer informasjon.	Med kundens tillatelse. Se Partner for mer informasjon.	Med kundens tillatelse. Se Partner for mer informasjon.
Andre i Microsoft	Nei.	Nei (Ja for kunder med Office 365 for småbedrifter, for markedsføringsformål).	Nei.	Nei.

^*Viktige kundedata omfatter brødtekst i og vedlegg til e-postmeldinger på Exchange Online, innhold og filtekst på SharePoint Online-området, direktemeldinger, stemmesamtaler og CRM-bedriftsdata om deg og dine kundesamhandlinger.

Spørsmål: Hva gjør Microsoft for å støtte opp om kundenes rettigheter for tilgang til dataene? Har kunden alltid tilgang til dataene sine?

Kunder kan få tilgang til og styre dataene ved hjelp av standardprotokollene og tilgangsmekanismene som er definert i tjenestebeskrivelsene.

Ved avslutning av en kundes abonnement eller bruk av tjenesten, kan kunden alltid eksportere dataene sine. Du finner fullstendige detaljer i produktbrukerrettighetene (som er den overordnede kilden for dette emnet). For enkelthets skyld er imidlertid bestemmelsene ved lanseringen av Office 365 inkludert nedenfor.

Utløp eller avslutning av Online Service. Når abonnementet på Online Services utløper eller avsluttes, må du kontakte Microsoft og fortelle oss om vi skal:

(1) deaktivere kontoen din og deretter slette kundedataene, eller
(2) beholde kundedataene dine i en konto med begrenset funksjon i minst 90 dager etter utløp eller avslutning av abonnementet ("oppbevaringsperioden"), slik at du kan trekke ut dataene.

Hvis du velger (1), kan du ikke trekke ut kundedataene fra kontoen din. Hvis du velger (2), må du betale for eventuelle påløpte kostnader. Hvis du ikke velger mellom (1) og (2), oppbevarer vi kundedataene i henhold til (2).
Når oppbevaringsperioden er over, deaktiverer vi kontoen din og sletter kundedataene. Bufrede kopier eller sikkerhetskopier blir tømt innen 30 dager fra utgangen på oppbevaringsperioden.

Ikke ansvar for sletting av kundedata. Du sier deg enig i at vi, med unntak av det som er beskrevet i disse betingelsene, ikke har noen forpliktelse til å oppbevare, eksportere eller returnere kundedataene. Du sier deg enig i at vi ikke har noe som helst ansvar for sletting av kundedataene i henhold til disse betingelsene.

Microsoft gir flere varsler før sletting av kundedata, slik at kundene er informert og har fått påminnelser om den kommende slettingen av dataene hvis de ikke foretar seg noe i løpet av den angitte tidsperioden.

Hvis en kunde trenger hjelp med å oppfylle personvernforespørsler som kreves i henhold til loven, kan kundene ifølge mange avtaler kontakte Microsoft Kundestøtte for å få hjelp med tilgang til, endring, sletting eller blokkering av kundedataene. Forespørsler som ikke kan oppfylles ved hjelp av standardverktøy og -prosesser, kan være underlagt ekstra kostnader.

Spørsmål: Hvordan kan jeg være sikker på at bare autoriserte brukere har fått administrativ tilgang for å utføre jobben sin?

Alt Microsoft Online Services-personell har ansvaret for håndtering av kundedata, det vil si at tilgang til Microsoft Online Services-data er gitt på en måte som kan spores til en unik bruker. Ansvaret håndheves med andre ord ved hjelp av et sett med systemkontroller, inkludert bruk av unike brukernavn, datatilgangskontroller og revisjoner. I motsetning til standard brukernavn som Gjest eller Administrator, brukes unike brukernavn til å håndheve ansvaret ved å identifisere brukerhandlinger for en bestemt person (noe som kalles "binding"). Godkjenning med to faktorer, for eksempel pålogginger med smartkort ved hjelp av digitale sertifikater eller RSA-symboler, brukes også for å forsterke denne bindingen.

Brukertilgang til data er også begrenset etter brukerrolle. Systemansvarlige har for eksempel ikke administrativ tilgang i databasen.

Microsoft bruker strenge kontroller for hvilke brukerroller og brukere som får tilgang til kundedata. Brukerne må fylle ut et skjema og en forretningsbegrunnelse for å få tilgang. Dette må godkjennes av brukerens overordnede før tilgang blir gitt. I tillegg vurderes tilgangsnivåene jevnlig for å sikre at bare brukere som har passende forretningsbegrunnelser, har tilgang til systemene.

Spørsmål: Hvilke kontroller finnes for å begrense fysisk tilgang til mine data?

Alle Microsoft Online Services-datasentre har biometriske tilgangskontroller, og de fleste datasentrene som brukes til å tilby Microsoft Online Services, krever håndflateavtrykk for å få fysisk tilgang til datasentrene. Fysisk tilgang til Microsoft Online Services-datasentrene styres av godkjenning med to nivåer, inkludert tilgangslesere for proxy-kort (korttilgangsskilt kreves) og biometriske lesere for håndavtrykk.

Hvis du vil ha mer informasjon om Microsoft Online Services' tilnærmingsmåte for kundedata, kan du se personvernerklæringen for Microsoft Online, Microsofts retningslinjer for personvern ved utvikling av produkter og tjenester, sikkerhetstjenestebeskrivelsen for Office 365 og hvitboken for personvern for Microsoft Online.

Hvert kvartal sender Microsofts sikkerhetsrepresentant rapporter til godkjent personell med myndighet til å godkjenne datasentertilgang. Rapportene inneholder oversikten over personer som for øyeblikket har tilgang til datasentrene. Godkjent personell går gjennom listen for å kontrollere at alle personer fortsatt har behov for tilgang, og at de har det laveste privilegerte tilgangsnivået som kreves for å gjøre jobben. Godkjent personell må svare Microsofts sikkerhetsrepresentant med eventuelle endringer eller bekreftelse på at ingen endringer kreves.

Spørsmål: Hvilken type bakgrunnsundersøkelser utfører Microsoft på personer som får tildelt administrative rettigheter?

Alle USA-baserte Microsoft-ansatte må bestå en standard bakgrunnskontroll som en del av ansettelsesprosessen. Bakgrunnskontrollene omfatter en gjennomgang av informasjon i tilknytning til kandidatens utdannelse, ansettelser og rulleblad.

I tillegg til standardbakgrunnskontrollen som brukes på alle nye Microsoft-ansatte, må nye og eksisterende ansatte som har tilgang til kundedata, eller som håndterer viktige fysiske og logiske tilgangskontroller, gjennomgå kontroller mot eksportkontrollister. (Eksportkontrollister omfatter OFAC-listen (Office of Foreign Assets), BIS-listen (Bureau of Industry and Security) og DDTC-listen (Office of Defense Trade Controls Debarred Persons).)

Nye ansatte gjennomgår screening i tillegg til standardkontrollen til Microsoft.
Alle ansatte som har tilgang til kundedata, gjennomgår Microsofts bakgrunnskontroll, og ytterligere bakgrunnskontroller utføres jevnlig.

Tilleggsinformasjon og bakgrunnskontroller, for eksempel kontroll av statsborgerskap og fingeravtrykk, kan også bli benyttet hvis forespørselen om tilgang er tilknyttet til føderale myndigheter.

Microsoft beskytter de ansattes personvern og deler aldri resultatene av bakgrunnskontrollene med kunder.