Microsoft Dynamics CRM Online 安全性和服務連續性指南

發行日期:2012 年 7 月
更新日期:2013 年 9 月

摘要

這份服務描述說明 Microsoft Dynamics CRM Online 服務供應項目的安全性、連續性及規範遵循原則和控管。本文件旨在為 Microsoft Dynamics CRM Online 客戶提供 Microsoft Dynamics CRM Online 服務如何設計來提供高度安全性、連續性及規範遵循 (衍生自 Microsoft 風險管理計畫的服務目標) 的概觀。 

適用於

  • Microsoft Dynamics CRM Online

本白皮書內容

簡介

本節介紹這份文件所提供之資訊的目的和範圍。

目的

Microsoft Dynamics CRM Online 為所有大小規模的企業提供雲端生產力的力量,協助客戶節省時間和金錢以及釋放寶貴資源。Microsoft 知道,當客戶允許外部服務提供者儲存和管理其資料時,主要考量包括安全性、資料保護、隱私權及資料擁有權。Microsoft 認真看待這些疑慮,將其多年在安全性和隱私權方面的雲端及內部部署經驗運用於 Microsoft Dynamics CRM Online 服務。

範圍

這份服務描述說明 Microsoft Dynamics CRM Online 服務供應項目的安全性、連續性及規範遵循原則和控管。本文件旨在為 Microsoft Dynamics CRM Online 客戶提供 Microsoft Dynamics CRM Online 服務如何設計來提供高度安全性、連續性及規範遵循 (衍生自 Microsoft 風險管理計畫的服務目標) 的概觀。

下載

本文件可從 Microsoft 下載中心下載:Microsoft Dynamics CRM Online 安全性和服務連續性指南

Microsoft Dynamics CRM Online 安全性架構使用了 Microsoft 可信任運算方案的重要法則來進行設計。為了確保客戶資料受到高度安全保護不受風險及威脅影響,Microsoft 透過 Microsoft 安全性計畫將一組通用安全性原則套用至 Microsoft Dynamics CRM Online 服務。Microsoft Dynamics CRM Online 服務會遵守這些安全性原則及相關業界標準來運作。Microsoft is 致力於持續改善和發展 Microsoft Dynamics CRM Online 服務,確保客戶受到高度保護,不受目前和未來威脅的影響。

本節說明 Microsoft 如何保護客戶的商務資料,以及如何提供安裝可靠地提供 Microsoft Dynamics CRM Online 服務。

Microsoft 透過套用可信任運算方法,協助全面保護 Microsoft Dynamics CRM Online 服務安全,確保 Microsoft Dynamics CRM Online 服務的安全性得到警醒的維護、定期的強化和例行的測試驗證。

note附註
如需詳細資訊,請參閱可信任運算的基礎頁面 (英文)。

可信任運算方法提供多個層級的保護:

  • 資料中心的實體層:實體控管、視訊監視和存取控制。

  • 邏輯層:資料隔離、託管應用程式安全性、基礎結構服務、網路層級、身分識別與存取管理、同盟身分識別和單一登入。

Microsoft 透過多項安全性檢查控制存取設定,確保儲存 Microsoft Dynamics CRM Online 客戶資料所在的環境安全在實體上受到保護。這些實體安全性檢查會在 Microsoft 資料中心套用於多個層級,而 Microsoft Dynamics CRM Online 服務是透過確保根據服務等級協定 (SLA) 一致傳遞的電信級資料中心來提供。

這些資料中心包含下列業界標準功能:

  • 僅限獲授權人員的安全實體存取:依職務限制存取,只讓獲得授權的必要人員來管理客戶的應用程式及服務。實體存取授權利用多重驗證和安全性程序:徽章和智慧卡、生物識別掃描器、內部部署安全性人員、連續視訊監視,以及適用於資料中心環境實體存取的雙因素驗證。

  • 備援電源供應,包括兩條進入每個資料中心的不同饋電線路、備用電池以及柴油發電機 (已簽訂替代燃油供給合約)。

  • 氣候控制,確保設備在最適溫度及濕度下運作。

  • 自然災害控制,包括視需要安裝的地震撐持機架,以及防火和滅火系統。

  • 實體監控,包括運動感應器、全天候受保護存取、視訊攝影機監視和安全性缺口警報。

  • 全球 Microsoft 資料中心據點:Microsoft Dynamics CRM Online 服務是部署在遍佈世界各地的 Microsoft 資料中心,提供具有全域可用性的地理區域代管。

  • 安全網路設計及作業:Microsoft 資料中心內的網路是為了在每個資料中心內建立多個不同網路區段而設計。這樣的分段方式有助於提供重要後端伺服器及儲存裝置與公開介面的實體分隔。

  • 優異硬體:Microsoft 資料中心使用的基礎硬體是特定為了要盡可能有效率、有效用且安全地運作而設計。硬體可幫助 Microsoft 免除非必要成本、節省電力和空間消耗,並將這些節餘轉移給 Microsoft Dynamics CRM Online 客戶運用。

Microsoft Dynamics CRM Online 的邏輯安全性就和實體安全性一樣重要。在 Microsoft Dynamics CRM Online 中,下列主要功能會提供邏輯安全性。

  • 資料隔離:資料儲存和處理在邏輯上分隔於客戶之間。多租用戶安全性架構確保儲存於共用 Microsoft Dynamics CRM Online 資料中心的客戶資料無法由任何其他組織存取,也不會洩露給他們。每個租用戶都有他們自己的已佈建資料庫,這可確保與其他客戶資料相隔離。此外,租用戶與所有其他個別租用戶隔離是根據安全性界限,而這些界限則是透過 Microsoft Dynamics CRM Online 中介層在邏輯上強制設定的。

  • 託管應用程式安全性:Microsoft 確保託管於 Microsoft 資料中心的應用程式受到控制存取之強固安全性功能及安全性措施的高度保護,如下表所述。

     

    功能 描述

    可自訂資訊安全角色

    掌管使用者存取以及他們可執行的動作。

    商務資料稽核

    可讓組織維護證明從頭到尾完整責任歸屬的稽核線索。

    欄位層級安全性

    控制在資料欄位中讀取、建立或寫入的使用者與團隊權限。

    角色型表單

    控制特定記錄類型的資料可見度。



    note附註
    如需與在 Microsoft Dynamics CRM Online 中設定這些功能相關聯的指引和最佳作法,請參閱 Microsoft Dynamics CRM Online 安全性及規範規劃指南

  • 安全性開發生命週期:Microsoft 套用安全性開發生命週期 (軟體安全性保證程序) 來設計、開發和實作 Microsoft Dynamics CRM Online 服務。安全性開發生命週期有助於確保服務的安全受到高度保護 — 即使只在基礎層級。

    透過 [確立設計需求]、[分析攻擊介面] 和 [威脅模型] 等控制項,[安全性開發生命週期] 協助 Microsoft 識別:

    • 執行服務時的潛在威脅。

    • 易受攻擊之服務暴露於風險的層面。

    如果潛在威脅是在設計、開發或實作階段識別出來,Microsoft 就可以藉由限制服務或排除非必要功能讓攻擊的可能性降至最低。排除非必要功能後,Microsoft 會藉由完整測試設計階段中的控制項,在驗證階段減少這些潛在威脅。

  • 受保護的 Microsoft Dynamics CRM Online 服務基礎結構:基礎結構層級安全性措施包括:

    • 已整合於整體 Microsoft System Center Operations Manager 監控結構的廣泛伺服器監控支援。

    • 透過 Microsoft Windows Server 遠端桌面服務的安全遠端存取。

    • 多層式管理,使用隔離管理工作和根據使用者角色及獲授權之管理存取等級來控制存取的三層管理模型。

    • 可監控弱點及錯誤設定的環境安全性掃描。

    • 可提供對 Microsoft Dynamics CRM Online 服務所有存取持續監控的入侵偵測系統。複雜的關聯性引擎會分析這個資料,立即向工作人員警示任何「可疑」連線嘗試。

    • 作業系統的安全性標準,可協助保護 Microsoft Dynamics CRM Online 服務免於惡意使用者或惡意程式碼的攻擊,這些標準包括停用非必要服務、保護要求授權的檔案共用,以及實作資料執行防止 (DEP) 功能。DEP 是一組硬體及軟體技術,對記憶體執行額外檢查以協助防止惡意程式碼執行。

    • 使用 Active Directory 的系統管理及存取控制。Active Directory 會管理執行 Microsoft Dynamics CRM Online 服務的網路及元件伺服器。提供線上服務的應用程式是為了在 Active Directory 環境中有效率且有效用地運作而設計。

    • 安全性原則的中央管理。Microsoft 工作人員會從全網路控制與監控系統專用的受保護伺服器,集中管理和強制執行安全性原則。委派管理模型使得系統管理員只能有執行特定工作所需的存取權,降低錯誤的可能性,並嚴格依照視需要而定的方式來允許存取系統和功能。

    • 新的伺服器可以快速且安全原進行設定,而且以範本為基礎的伺服器強化可確保新功能在安全性措施已就緒的情況下於線上推出。

  • 網路層級安全性措施:這些措施包括與透過網際網路提供高度安全保護連線相關的功能:

    • 透過網際網路提供的客戶服務存取起源於使用者的網際網路啟用位置,並結束於 Microsoft 資料中心。這些在客戶與 Microsoft 資料中心之間建立的連線使用業界標準的傳輸層安全性 (TLS)/安全通訊端層 (SSL)進行加密,此標準有效建立高度安全的瀏覽器與伺服器連線,以協助在桌面和資料中心之間提供資料機密性及完整性。

    • 備援網路提供定義容錯移轉功能,有助於確保 99.9% 的網路可用性。

    • Microsoft 作業人員建立的所有遠端連線都必須透過遠端桌面服務和雙因素驗證來進行。

  • 身分識別與存取管理:代管 Microsoft Dynamics CRM Online 服務的系統存取是透過下列方法控管:

    • 人員層級存取控制:資料中心人員存取儲存客戶資料的 IT 系統受到嚴格控管。存取控制依循職責分立法則,並授與最低限度的權限。

    • 主動式主機安全性:Microsoft Dynamics CRM Online 安全性因主動保護主機系統而增強。

      • 停用非必要服務的伺服器強化

      • 記錄與稽核

    • 服務的限制存取:

      • 內容檢查

      • 強化的伺服器

      • 進一步受 SSL/TLS 保護的工作階段

    note附註
    行動裝置存取視無線功能或行動網路可用性而定。

  • 同盟識別身分與單一登入:系統管理員可以透過內部部署 Active Directory 使用單一登入進行 Microsoft Dynamics CRM Online 服務驗證。若要達成此目標,系統管理員可以將內部部署 Active Directory Federation Services (Windows Server 服務) 設定為與 Office 365 服務同盟閘道結成同盟。設定 Active Directory Federation Services 之後,身分識別位於同盟網域的所有 Microsoft Dynamics CRM Online 使用者都可以使用其現有公司登入,自動驗證至 Microsoft Dynamics CRM Online。

note附註
如需詳細資訊,請參閱 Office 365 身分識別服務描述,這是其中一個企業用 Office 365 服務描述.

為確保 Microsoft Dynamics CRM Online 服務可靠性,Microsoft 注重有效部署、管理及維護。

  • 作業管理與服務部署:作業是 Microsoft Dynamics CRM Online 服務的主要元件,構成整體安全性及可用性的核心部分。Microsoft Dynamics CRM Online 作業管理實務 (例如,變革管理、事件及問題管理) 是基於 Information Technology Infrastructure Library (ITIL) 的業界標準法則。Microsoft 已新增 Microsoft Operations Framework (MOF),這是 ITIL 建議的標準化實作,可提供協助組織達成其 IT 解決方案及服務可靠性的一組整合最佳作法、法則與活動。

  • Microsoft Dynamics CRM Online 維護隨時提高安全性警覺的專用安全性組織,設有遵循 MOF 定義法則的工作人員。安全性團隊全力支援 ITIL 定義的下列功能,並將這些功能套用至 Microsoft Dynamics CRM Online 服務的作業:

    • 變革管理

    • 事件管理

    • 問題管理

    此外,Microsoft Dynamics CRM Online 服務要求個別託管服務開發、部署和作業人員必須遵循職責分立法則。這包括控制存取原始程式碼、組建伺服器和生產環境。例如:

    • Microsoft Dynamics CRM Online 服務生產環境的存取權限定於作業人員。可以授與開發及測試團隊暫時存取權,以便協助疑難排解問題。

    • Microsoft Dynamics CRM Online 服務原始程式碼控制的存取限定由開發人員執行;作業人員無法變更原始程式碼。

  • 監控與風險降低:Microsoft 在開發監控 Microsoft Dynamics CRM Online 及其環境的工具與服務上進行重大投資。

    • Microsoft System Center Operations Manager:Microsoft Dynamics CRM Online 服務環境下的伺服器已設定為盡量增加對作業系統及應用程式安全性事件的通報。Microsoft Dynamics CRM Online 服務作業團隊使用最新技術和最佳化程序,在接獲資訊時加以採集、關聯和分析。System Center Operations Manager 是與平台及服務之硬體及軟體整合來提供持續健全狀況監控的端對端服務管理環境。System Center Operations Manager 管理組件提供 Microsoft Dynamics CRM Online 服務應用程式適用的內部交易監控、檢視服務閾值模型功能及 CPU 使用率分析。此外,自訂管理組件層疊在 Microsoft Dynamics CRM Online 平台之上,提供作業人員非常明確的資訊,有助於識別趨勢和預測可能需要預先主動介入的行為。

    • 整合式基礎結構與 Web 效能監控:System Center Operations Manager 資料與其他特製化工具及服務的摘要結合,以擷取、彙整和分析運作 Microsoft Dynamics CRM Online 服務的網路,以及網際網路主要網站的行為。例如,如果連線能力開始退化,工作人員可以識別問題是存在於 Microsoft Dynamics CRM Online 服務內部,還是由網際網路上可能對 Microsoft Dynamics CRM Online 客戶構成風險的狀況所造成。

    • 硬體及軟體子系統監控:主動式監控會根據可接受服務效能及可用性的確立界限,持續測量 Microsoft Dynamics CRM Online 服務平台主要子系統的效能。當達到閾值或發生不合常規的事件時,監控系統會產生警告,讓作業人員可以解決閾值或事件。

服務連續性管理著重於發生重大服務中斷時,在預先決定的期限內為 Microsoft Dynamics CRM Online 客戶恢復服務的能力。達成恢復服務需要準備、規劃、技術實作、模擬中斷的演習以及事件當時的執行。

本節說明 Microsoft Dynamics CRM Online 對服務連續性管理採取的一般方法。其中也會解釋 Microsoft Dynamics CRM Online 如何為客戶確保資料可用性及服務可靠性。本節還會說明 Microsoft 開發的服務連續性功能如何整合在 Microsoft Dynamics CRM Online 服務的設計中。

Microsoft Dynamics CRM Online 是由協助確保高等級服務的高度彈性恢復系統所提供。Microsoft Dynamics CRM Online 運用 Microsoft 在代管服務上既有的經驗,以及與 Microsoft 產品群組和支援服務的密切關連,來建立符合客戶要求之高標準的服務。

做為 Microsoft Dynamics CRM Online 系統設計的一環,服務連續性佈建可讓 Microsoft Dynamics CRM Online 快速從非預期 事件中復原,例如硬體或應用程式失敗、資料損毀或其他影響使用者的事件。這些服務連續性解決方案也會在重大中斷 (例如,自然災害或致使整個資料中心無法作業的 Microsoft 資料中心火災) 期間套用。

服務中斷可能是由 Microsoft 資料中心的硬體或軟體失敗、客戶與 Microsoft 之間的錯誤網路連線,或是重大資料中心挑戰 (例如火災、水災或地區浩劫) 所造成。大部分服務中斷事件都可以使用 Microsoft 技術和程序解決方案來處理,並在短時間內獲得解決。不過,有些事件較為嚴重,可能會導致長時間中斷。

為了分類中斷事件 (根據對客戶的影響分為輕微、重大和災害事件),Microsoft Dynamics CRM Online 會使用「服務中斷量尺」,如下圖所示:

CRM Online Service Health Dashboard

Microsoft Dynamics CRM Online 會分析每個影響服務可用性的事件以確定範圍和可能的解決方案。造成客戶工作停止的中斷可視為重大中斷。此外,根據「服務中斷量尺」分類為重大或災害事件的中斷可以宣告為嚴重損壞。

Important重要事項
嚴重損壞宣告不會自動讓客戶的備援次要網站產生容錯移轉。

使用 Microsoft 線上服務入口網站管理其 Microsoft Dynamics CRM Online 部署的客戶會經由 [服務健全狀況] 儀表板收到服務中斷通知,如下圖所示:

Service health dashboard

當中斷宣告為嚴重損壞時,系統會透過 [服務健全狀況] 儀表板提供定期客戶通知 (給透過 Microsoft 線上服務入口網站管理其 Microsoft Dynamics CRM Online 訂閱的客戶),直到找到解決方案為止。

在系統中斷期間,Microsoft 的責任包括:

  • 提供單一電子郵件群組別名及電話號碼形式的連絡資訊,讓客戶可以在事件當時接洽適當人員,以檢閱中斷目前狀態、嚴重損壞宣告準則,以及核准或反對容錯移轉至次要網站。

  • 將客戶的意見反應納入考量以決定是否容錯移轉至客戶的次要網站。

Microsoft 透過 Microsoft Dynamics CRM Online 服務下列功能的協助,確保客戶資料在需要時都能使用:

客戶的資料是儲存在提供健全備份、還原及容錯移轉功能的備援環境,以支援可用性、業務連續性和迅速復原。已實作多層級的資料備援,包括從預防本機磁碟失敗的備援磁碟,以至持續將資料完整複寫於不同地理位置的資料中心。做為額外的安全保護,Microsoft 會執行備份至異地安全位置的日常作業。

連同制定避免資料遺失的保護措施,與 Microsoft Dynamics CRM Online 服務原則一起協助維護資料效能層級。

  • 監控資料庫:定期檢視資料庫是否有封鎖的程序和長時間執行的查詢。

  • 預防性維護:維護包括重新整理索引、檢閱錯誤記錄檔以及監控儲存容量層級。

Microsoft Dynamics CRM Online 開發與作業團隊力有未逮之處,藉由專屬 Microsoft Dynamics CRM Online 支援組織的輔助來補足,這個組織扮演為客戶提供業務連續性的重要角色。支援人員具有服務及其相關應用程式的深入知識,而且直接與結構、開發及測試方面的 Microsoft 專家接觸。

支援組織密切配合作業與產品開發、協助縮短解決時間,以及提供聽取客戶吐露心聲的管道。客戶的意見反應提供規劃、開發及作業程序的輸入。

  • 線上問題追蹤:客戶需要知道他們的問題正在處理中,也必須能夠追蹤適時的解決方案。對使用 Microsoft 線上服務入口網站管理其 Microsoft Dynamics CRM Online 部署的客戶來說,這個入口網站做為取得支援的單一 Web 介面。客戶可以使用入口網站來新增和監控服務要求,並接收 Microsoft 支援團隊的意見反應。

    Warning警告
    末使用 Microsoft 線上服務入口網站的客戶可以透過用來存取支援的 [CRM 協助及訓練] 連結,追蹤並關注他們的問題。

  • 有持續人員支援做後盾的自助支援:Microsoft Dynamics CRM Online 提供範圍廣泛的各種自助資源及工具,可以協助客戶解決服務相關問題,而不需要 Microsoft 支援。客戶輸入服務要求之前,可以先存取知識庫文章與常見問題集,取得處理最常見問題的立即協助。這些資源會持續不斷地以最新資訊來更新,藉由提供已知問題的解決方案協助避免延誤。不過,當出現需要支援專業人員協助的問題時,可以透過線上通訊找到團隊成員來處理大部分情況,並透過電話解決重要任務需求。

Microsoft 以業界的高標準為主軸來設計 Microsoft Dynamics CRM Online 服務的安全性、資料保護、可靠性及隱私權。Microsoft Dynamics CRM Online 及其賴以建立的基礎結構 (Microsoft Global Foundation Services) 會部署以國際標準組織 (ISO/IEC 27001:2005) 標準系列為基礎的安全性架構,而且已獲得獨立稽核人員的 ISO 27001 認證。我們的 ISO 27001 認證可供客戶核對 Microsoft 經認證的項目來評估我們符合或超越標準及實作指引的情形。

BSI 稽核專家會謹守職業道德,提供第三方公正無偏見的 Microsoft Dynamics CRM Online 規範遵循分析。為了進行這項評估,他們會觀察例行作業、面詢相關人員,並檢閱「適用性聲明」(SOA) 所涵蓋各個領域的文件記錄。ISO 27001 定義如何實作、監控、維護,以及持續不斷改善資訊安全性管理系統 (ISMS)。此外,服務和基礎結構也都要接受會產生 SOC 1 類型 II 報表 (SSAE16) 的一年一度稽核。

Microsoft 線上服務資訊安全性原則 (適用於 Microsoft Dynamics CRM Online) 與因應線上服務特有需求而擴增規範的國際標準組織 ISO 27002 保持一致。Microsoft 取得的 ISO 27001 認證由 ISO 27002 做為補充,以提供一組建議的適當控制措施。

Microsoft Dynamics CRM Online 客戶可以檢閱 ISO 標準和發行的 Microsoft 服務文件,判斷是否滿足其安全性需求。Microsoft Dynamics CRM Online 功能針對大部分的資料類型和司法管轄範圍採用增強型安全性。

note附註
如需詳細資訊,請參閱白皮書對資訊要求的標準回覆 – 安全性與隱私權

不過,客戶必須評估敏感性資料或依特定安全性等級或適用法規必須保留的資料,才能透過服務供應項目來使用。在某些情況下,資料可能必須滿足 Microsoft 未提供的特定安全性需求。

請注意,Microsoft Dynamics CRM Online ISO 27001 認證的安全性架構 (「安全性架構」) 無法擴充至或涵蓋 Microsoft 或其他與 Microsoft Dynamics CRM Online 連線之第三方所提供的線上服務或軟體。在不超出您直接控制範圍的前提下,Microsoft Dynamics CRM Online 會連線至其他 Microsoft 軟體或服務以及隱私權及安全性作法不同於 Microsoft Dynamics CRM Online 的第三方服務。這些額外服務及軟體包括但不限於受支援裝置 (即平板電腦和智慧型手機) 適用的 Microsoft Dynamics CRM Online、Microsoft Dynamics CRM 電子郵件路由器 Microsoft Dynamics CRM 資源中心、Microsoft Office、Office365、Yammer Enterprise、Bing 地圖服務、Skype、Outlook.com、Microsoft Dynamics CRM 活動摘要/Mobile Express、Marketing Pilot 和 Microsoft Dynamics Marketing。將 Microsoft Dynamics CRM Online 連線至這些線上服務會讓特定資料與安全性架構範圍外部共用。不同的使用及隱私權原則會套用至這些軟體及線上服務共用和接收的資料。我們鼓勵您檢閱這些其他使用及隱私權原則。

Microsoft 最初在 2001 年取得 Safe Harbor 認證,而 LCA 法規事務團隊每 12 個月重新認證「安全港原則」(Safe Harbor Principles) 的遵循。

除了歐盟成員國之外,歐洲經濟區成員 (冰島、挪威和列支敦斯登) 也會將 Safe Harbor 會員視為有提供充分隱私權保護,足證他們從其國家/地區到美國的跨境傳輸為合法行為。瑞士也與美國商務部簽訂了幾乎一模一樣的協定 (Swiss-U.S.Safe Harbor),讓瑞士與美國之間進行的傳輸得到法律保障,而 Microsoft 同樣取得這項認證。

許多其他國家/地區 (例如加拿大和阿根廷) 已通過完整的隱私權法律,而歐盟則是清除了障礙,讓從歐盟到這些國家/地區的資料傳輸暢通無阻。

  • 歐盟示範條款*.除了 EU Safe Harbor 之外,Microsoft Dynamics CRM Online 也願意簽署歐盟建立的標準契約條款 (稱為「歐盟示範條款」),這會解決國際資料傳輸問題。歐盟示範條款是歐洲委員會核准的標準化契約條文,允許將個人資料傳輸到歐盟境外。這些條文包含服務為了支援客戶而願意以契約形式承諾的其他安全性及通知需求。將服務合約與資料處理者一併納入後,「示範條款」向客戶保證已採取適當步驟協助保護個人資料,即使資料是儲存在位於歐洲經濟區境外的雲端服務中心。對於依據「示範條款」運作的承諾會產生對 Microsoft 的額外作業需求,亦即保證 Microsoft 已透過制定藉以符合這些需求的嚴格程序來兌現該承諾。

  • HIPAA/HITECH-業務夥伴合約*:Microsoft Dynamics CRM Online 也願意與所有客戶簽署 1996 年健康保險可攜性與可責性法案 (Health Insurance Portability and Accountability Act of 1996,HIPPA)/經濟與臨床健康資訊科技法案 (Health Information Technology for Economic and Clinical Health Act,HITECH) 業務夥伴合約的要求。HIPAA/HITECH 是管轄以電子方式儲存或處理之個人身分識別健康資訊的美國安全性及隱私權法律。這個資訊稱為電子保護的健康資訊 (ePHI)。HIPAA 是指以適用實體身分使用或處理 ePHI 的醫療保健提供者、支付人和清算中心。依據 HIPAA/HITECH,適用實體必須實作規定的實際、技術及管理性防護措施來保護 ePHI。代表適用實體儲存或處理 ePHI 的特定服務提供者即稱為業務夥伴。適用實體必須確保其業務夥伴實作類似的安全性及隱私權保護措施。在大部分情況下,對使用可儲存或處理 ePHI 之服務 (例如 Microsoft Dynamics CRM Online) 的適用醫療保健公司來說,服務提供者將會是業務夥伴,而且必須以書面同意實作 HIPAA/HITECH 中規定的必要保護措施。這份書面協議即所謂的「業務夥伴合約」(Business Associate Agreement,BAA)。

  • 資料處理合約*。歐盟資料保護指令 (EU Data Protection Directive,歐洲議會的指令 95/46/EC) 的第 17 條要求資料控制者 (通常是將資料載入線上服務的客戶) 與資料處理者簽訂協議,讓資料處理者負有義務遵照資料控制者指示進行處理,並提供充分的安全性措施來保護處理中的資料。這些協議即稱為「資料處理合約 (Data Processing Agreements,DPA)。有些歐盟成員國會要求在 DPA 中加入超過「歐盟資料保護指令」基準需求的其他條文。Microsoft 為客戶提供完整的標準「資料處理合約」,說明客戶資料的隱私權、安全性及處理。我們的標準「資料處理合約」可讓客戶符合其當地隱私權法規需求。

* 適用於透過 Microsoft 線上服務環境管理其線上服務的 Microsoft Dynamics CRM Online 客戶。

Important重要事項
如需 Microsoft Dynamics CRM Online 支援領導業界認證的詳細資訊,請參閱 Microsoft Dynamics CRM Online Service 信任中心

「金融服務業現代化法案」(Gramm Leach Bliley Act,GLBA) 為美國的金融機構規定最低限度的安全性和隱私權需求。軟體/服務無法聲明「符合 GLBA 標準」,因為 GLBA 法規遵循也必須有程序和原則。GLBA 下的兩個影響 Microsoft Dynamics CRM Online 服務的主要條例是:

  1. 財務隱私權規則:規管金融機構對客戶個人財務資訊的收集與披露。

  2. 安全保護規則:要求所有金融機構必須設計、實作和維護保護措施來保護客戶資訊,不論是自行收集此等資訊還是從其他金融機構接收該資訊。

處理信用卡資料的 Microsoft Dynamics CRM Online 訂購、帳務及支付系統符合第 1 級支付卡產業 (Payment Card Industry,PCI) 標準,客戶可以放心使用信用卡支付服務款項。獨立第三方會稽核並判斷支援 Microsoft Dynamics CRM Online 的商務平台是否已滿意符合「支付卡產業資料安全性標準」(Payment Card Industry Data Security Standard,PCI DSS) 1.2 版本。

Microsoft Dynamics CRM Online 服務不適合處理、傳輸或儲存 PCI 管轄的資料。PCI-DSS 是設計要在整個資料生命週期傳輸與儲存期間保護和維護敏感性資料的業界標準。透過信用卡及轉帳卡支援交易的組織至少必須對 PCI 標準要有一定程度的規範遵循。

服務商場中出現有關 PCI DSS 所造成之影響的混淆;許多客戶表示其組織內的所有資料都要求 PCI 認證和規範遵循,而且線上服務也必須證明已遵循規範。雖然 Microsoft 不需要為了其所處理的信用卡卡號 (Primary Account Number,PAN) 資料而遵循該標準,而我們卻也這麼遵循著,但客戶還是不可以使用 Microsoft Dynamics CRM Online 服務傳輸或儲存 PAN 資料作自己的用途。

note附註
PCI 規範遵循只有當信用卡卡號 (PAN) 是在線上環境中傳輸或儲存時才適用。若要符合該標準,就必須在傳輸和儲存期間加密 PAN 資料。此外,還必須出示報告,證明這項加密成功保護了 PAN 資料。因此,服務並非適用於 PAN 資料的儲存媒體,而公司應套用客戶端原則來防止將 PAN 資料傳輸至線上環境。若要整合交易資訊,客戶可以選擇使用 PCI 驗證的付款閘道服務,這會儲存和處理 PAN 資料。

Important重要事項
經過 Microsoft Dynamics CRM 2012 年 12 月服務更新之後,Microsoft Dynamics CRM Online 服務現在是以符合 FIPS 140-2 標準的方式來運作。

負有管理職責的系統管理員和使用者通常使用 Microsoft Dynamics CRM Web 應用程式的 [設定] 區域來管理 Microsoft Dynamics CRM。系統管理員通常會使用滑鼠和鍵盤裝置來與該應用程式互動。

不使用滑鼠的使用者可以使用鍵盤來瀏覽使用者介面並完成操作。因為瀏覽器提供鍵盤互動支援,才能透過這種方式使用鍵盤。

如需詳細資訊,請參閱下列 Microsoft Dynamics CRM Web 應用程式協助工具主題:

擁有 Microsoft Dynamics CRM 2013 內部部署管理職責的系統管理員和使用者,也可以使用 Microsoft Management Console (MMC) 應用程式「Microsoft Dynamics CRM 部署管理員」來管理 Microsoft Dynamics CRM Server 2013 內部部署。

如需詳細資訊,請參閱下列 Microsoft Management Console (MMC)協助工具主題:

瀏覽器的協助工具功能

 

瀏覽器 文件

Internet Explorer

Microsoft 協助工具

語言支援和協助工具功能

Mozilla Firefox

Firefox 的協助工具功能

Apple Safari

Safari

Google Chrome

協助工具技術文件

note附註
如需詳細資訊,請參閱 Microsoft 協助工具資源中心

我們非常感激您的寶貴意見。若要傳送您的意見反應,請按一下以下的連結,並在訊息方塊中輸入您的意見。

note附註
主旨行中的資訊用於傳遞您的意見反應。如果移除或修改主旨行,我們可能將無法處理您的意見反應。

傳送意見反應

 

Send comments about this article to Microsoft.

© 2015 Microsoft. All rights reserved.

Community Content

顯示: