Centar za pouzdanost: informacije o bezbednosti, privatnosti i usklađenosti za Microsoft Online Services.

Administratorski pristup

Možete da vidite da li je neko pristupao vašim glavnim podacima.

Znamo da u „oblaku“ pristup podacima predstavlja prioritetno pitanje. Pod time se podrazumeva mogućnost pristupa podacima kad god su vam potrebni i mogućnost da proverite da li im je neko drugi pristupao.

Naš stav po pitanju pristupa je sledeći:

Uvek vam omogućavamo da pristupite podacima klijenata.
Pristup podacima klijenata se strogo kontroliše i evidentira, a nadzor uzoraka vrši kako Microsoft, tako i treće strane kako bi se potvrdilo da se podacima pristupa samo u odgovarajuće poslovne svrhe.
Shvatamo da su glavni podaci naših klijenata,¹ na primer tela e-poruka u usluzi Exchange Online i sadržaji SharePoint Online lokacija tima, veoma važni. Ukoliko neko – osoblje korporacije Microsoft, partneri,² ili vaši administratori – u okviru ove usluge pristupi glavnim podacima vaših korisnika, na zahtev vam možemo poslati izveštaj o takvom pristupu. Tako ćete znati kada je došlo do pristupa podacima.

Kako pregledati administratorski pristup podacima

	Tip podataka koji se prate	Uputstva
Microsoft Online Services	Kreiranje portala za korisnike, uspostavljanje početne vrednosti lozinke	Obratite se tehničkoj podršci za Microsoft Online Services
Exchange Online	Pristup Exchange poštanskom sandučiću³	Posetite kontrolnu tablu za Exchange (veza je dostupna na stranici „Pregled za administratore“ u okviru portala Microsoft Online Services [neophodno je prijavljivanje]).
SharePoint Online	SharePoint lokacija, pristup skladištu	Obratite se tehničkoj podršci za Microsoft Online Services
Microsoft Dynamics CRM Online	Pristup glavnim podacima klijenata u usluzi CRM	Obratite se tehničkoj podršci za Microsoft Online Services

Napomene:

¹Glavni podaci predstavljaju podatke za koje klijenti očekuju da imaju povećan nivo poverljivosti i koji se, kada se usluga koristi na uobičajen način, preko Interneta prenose u šifrovanom obliku. Pod njima se naročito podrazumevaju tela e-poruka i prilozi u usluzi Exchange Online, sadržaji SharePoint Online lokacija, tela datoteka, trenutne poruke, glasovni razgovori i CRM poslovni podaci o interakcijama vaših krajnjih klijenata.

²Partneri: Izveštaji o lokalnim prodavcima (kada je klijent kupio usluge od lokalnog prodavca, koji takođe vrši naplatu), ACS VOIP partnerima i povezanim uslugama kao što je Research in Motion (za hostovanu BlackBerry® uslugu) nisu dostupni zbog vrste pristupa podacima koji ova lica imaju tokom uobičajene upotrebe usluga.

³Za poslovne klijente koji su omogućili FOPE administrativni centar, administratorski pristup pošti koja se nalazi u redu čekanja administrativnog centra ne ulazi u sastav izveštaja.

Najčešća pitanja

Pitanje: Ko ima administrativna prava na Microsoft Online Services? Da li su u pitanju stalno zaposleni ili ugovarači? Kako Microsoft administratorima ograničava pristup podacima klijenata?

Administratori baza podataka po definiciji imaju pristup svim resursima u okviru baze podataka – uključujući korisničke podatke. Međutim, Microsoft strogo zabranjuje pristup podacima klijenata ukoliko cilj pristupa nisu poslovne potrebe poput podešavanja performansi ili premeštanje klijenata iz jedne baze podataka u drugu.

Sledeća tabela sadrži podatke o različitim nivoima pristupa za različite tipove podataka:

	Podaci o korišćenju	Podaci iz adresara	Podaci klijenata (izuzev glavnih podataka klijenata^*)	Glavni podaci klijenata
Tim za operativno reagovanje (ograničeno na ključno osoblje)	Da.	Da, po potrebi.	Da, po potrebi.	Da, u izuzetnim slučajevima.
Organizacija za podršku	Da, samo ukoliko je potrebno radi odgovora na Zahtev za podršku.	Da, samo ukoliko je potrebno radi odgovora na Zahtev za podršku.	Da, samo ukoliko je potrebno radi odgovora na Zahtev za podršku.	Ne.
Inženjerski tim	Da.	Nema direktnog pristupa. Može doći do prenosa tokom Rešavanja problema.	Nema direktnog pristupa. Može doći do prenosa tokom Rešavanja problema.	Ne.
Partneri	Uz dozvolu korisnika. Pogledajte odeljak „Partner“ za više informacija.	Uz dozvolu korisnika. Pogledajte odeljak „Partner“ za više informacija.	Uz dozvolu korisnika. Pogledajte odeljak „Partner“ za više informacija.	Uz dozvolu korisnika. Pogledajte odeljak „Partner“ za više informacija.
Drugi u korporaciji Microsoft	Ne.	Ne (Odgovor je „Da“ ukoliko podacima pristupaju korisnici sistema Office 365 za mala preduzeća i koriste ih u marketinške svrhe).	Ne.	Ne.

^*U glavne podatke klijenata spadaju tela i prilozi e-poruka u usluzi Exchange Online, sadržaji SharePoint Online lokacija i tela datoteka, trenutne poruke i glasovni razgovori, kao i CRM poslovni podaci o interakcijama vaših krajnjih klijenata.

Pitanje: Na koji način Microsoft podržava pravo svojih klijenata na pristup podacima? Da li će klijent uvek moći da pristupi podacima?

Klijenti mogu da pristupaju podacima i kontrolišu ih pomoću standardnih protokola i mehanizama za pristup definisanim u okviru opisa usluge.

Na kraju korisničke pretplate ili upotrebe usluge korisnik uvek može da izveze podatke. Detaljnije informacije možete pronaći u Korisničkim pravima nad proizvodima (koja predstavljaju najrelevantniju literaturu na ovu temu), ali su, da biste se lakše snašli, odredbe koje su stupile na snagu od izdavanja sistema Office 365 navedene u nastavku:

Istek ili prekid upotrebe usluge na mreži. Po isteku ili prekidu pretplate na uslugu na mreži, morate se obratiti korporaciji Microsoft i obavestiti nas da li da:

(1) onemogućimo vaš nalog i izbrišemo korisničke podatke ili
(2) zadržimo korisničke podatke u okviru naloga sa ograničenom funkcijom u periodu od najmanje 90 dana nakon isteka ili prekida pretplate („period zadržavanja“) da biste mogli da izdvojite podatke.

Ako se opredelite za opciju (1), nećete moći da izdvojite korisničke podatke sa naloga. Ako navedete opciju (2), nadoknadićete nam sve nastale troškove. Ako ne navedete ni opciju (1) ni opciju (2), zadržaćemo korisničke podatke u skladu sa opcijom (2).
Nakon isteka perioda zadržavanja, onemogućićemo nalog i izbrisati korisničke podatke. Keširane ili rezervne kopije će biti uklonjene u roku od 30 dana nakon isteka perioda zadržavanja.

Nema odgovornosti za brisanje korisničkih podataka. Prihvatate da, osim kako je opisano u ovim uslovima, nemamo obavezu da nastavimo da čuvamo, izvezemo ili vratimo korisničke podatke. Prihvatate da, u skladu sa ovim uslovima, ne snosimo nikakvu odgovornost za brisanje korisničkih podataka.

Microsoft šalje nekoliko obaveštenja pre brisanja korisničkih podataka kako bi obavestio i podsetio klijente da će podaci biti izbrisani ukoliko ne budu reagovali u navedenom vremenskom okviru.

U meri određenoj zakonom u kojoj je klijentu potrebna pomoć prilikom popunjavanja zahteva za privatnost, klijenti se, na osnovu brojnih ugovora, mogu obratiti Microsoft korisničkoj podršci za pomoć prilikom pristupa, promene, brisanja ili blokiranja korisničkih podataka. Zahtevi koji se ne mogu popuniti pomoću standardnih alatki i procesa mogu se dodatno naplatiti.

Pitanje: Kako mogu da budem siguran da je administratorski pristup dodeljen samo ovlašćenim korisnicima kako bi mogli da obavljaju svoje dužnosti u okviru radnog mesta?

Svi članovi osoblja zaduženog za Microsoft Online Services odgovorni su za rukovanje podacima klijenata, što znači da se pristup za Microsoft Online Services odobrava samo jedinstvenim korisnicima. Drugim rečima, odgovornost se određuje pomoću grupe sistemskih kontrola, uključujući upotrebu jedinstvenih korisničkih imena, kontrolu za pristup podacima i nadgledanje. Budući da se ne koriste generička korisnička imena poput „Gost“ ili „Administrator“, već jedinstvena korisnička imena, korisničke radnje se mogu povezati sa određenom osobom (taj proces se naziva „povezivanje“), koja se zatim može pozvati na odgovornost. Da bi povezivanje bilo pouzdanije, takođe se koristi dvofaktorska potvrda identiteta, kao što je prijavljivanje pomoću pametnih kartica sa digitalnim certifikatima ili RSA tokenima.

Korisnički pristup podacima je ograničen i ulogom korisnika. Na primer, administratori sistema nemaju administratorski pristup bazama podataka.

Microsoft strogo kontroliše kojim će ulogama korisnika i korisnicima biti odobren pristup podacima klijenata. Da bi mogli da zatraže pristup, korisnici obavezno popunjavaju obrazac, kao i poslovno opravdanje. Dozvolu za pristup mora da odobri menadžer korisnika. Pored toga, nivoi pristupa se redovno pregledaju kako bi sistemima mogli da pristupe samo korisnici sa odgovarajućim poslovnim opravdanjem.

Pitanje: Kakve se kontrole primenjuju radi ograničavanja fizičkog pristupa podacima?

Svi Microsoft Online Services centri podataka imaju biometrijske kontrole pristupa, tako da se u većini centara podataka koji se koriste za Microsoft Online Services zahteva otisak dlana kako bi se omogućio fizički pristup. Fizički pristup Microsoft Online Services centrima podataka kontroliše se pomoću dvostruke potvrde identiteta u okviru koje se koriste čitači proksi kartica za pristup (potreban je privezak u vidu kartice za pristup) i biometrijski čitači geometrije ruke.

Dodatne informacije o pristupu podacima klijenata u okviru Microsoft Online Services možete pronaći u okviru Smernica za privatnost za Microsoft Online, Smernica za privatnost za razvoj proizvoda i usluga korporacije Microsoft, Opisu bezbednosnih usluga za Office 365, kao i u okviru Bele knjige vezane za Microsoft Online privatnost.

Microsoft službenik iz sektora za bezbednost šalje kvartalne izveštaje osoblju ovlašćenom za odobrenje pristupa centrima podataka. Izveštaji sadrže listu osoba koje trenutno imaju pristup centrima podataka. Ovlašćeno osoblje pregleda listu kako bi utvrdilo da li je svim osobama i dalje potreban pristup i da li svi imaju nivo pristupa sa najnižim privilegijama koje su im potrebne za obavljanje posla. Ovlašćeno osoblje mora da odgovori Microsoft službeniku iz sektora za bezbednost kako bi ga obavestilo o promenama ili potvrdilo da promene nisu potrebne.

Pitanje: Kako Microsoft proverava osobe kojima se odobravaju administrativna prava?

Svi zaposleni korporacije Microsoft koji žive u SAD obavezno popunjavaju standardni obrazac za proveru biografskih podataka u okviru procesa zapošljavanja. U proveru biografskih podataka spada provera informacija o kandidatovom obrazovanju, zaposlenju i neosuđivanosti.

Pored standardne provere biografskih podataka kojoj podležu svi novi zaposleni korporacije Microsoft, novo i postojeće osoblje koje ima pristup podacima klijenata ili koje upravlja ključnim kontrolama za fizički i logički pristup mora da prođe provere navedene na listama za kontrolu izvoza: (u liste za kontrolu izvoza spada lista Kancelarije za kontrolu stranih sredstava (Office of Foreign Assets Control – OFAC), lista Biroa za industriju i bezbednost (Bureau of Industry and Security – BIS), kao i lista osoba kojima je zabranjen uvoz i izvoz dobara Kancelarije za trgovinu odbrambenim proizvodima i uslugama (Office of Defense Trade Controls – DDTC))

Provera novih zaposlenih se vrši u isto vreme kada i Microsoft standardna provera.
Svi članovi osoblja koji imaju pristup podacima klijenata podležu Microsoft proveri biografskih podataka, a redovno se vrše i dodatne provere biografskih podataka.

Dodatne provere informacija i biografskih podataka, kao što su provera državljanstva i uzimanje otisaka prstiju, vrše se ukoliko se zahtev za pristup upućuje na saveznom nivou.

Da bi zaštitio privatnost svojih zaposlenih, Microsoft klijentima ne otkriva rezultate provera biografskih podataka.

Dodatni resursi

Opis bezbednosnih usluga za Microsoft Online Services [na engleskom]
Vodič za bezbednost i kontinuiranu upotrebu usluge Microsoft Dynamics CRM Online [na engleskom]
Bela knjiga o zaštiti podataka i privatnosti u paketu usluga Microsoft Online Services iz 2011. [na engleskom]