Hur OneDrive skyddar dina data
Microsofts tekniker administrerar OneDrive med hjälp av en Windows PowerShell-konsol som kräver tvåfaktorsautentisering. Vi utför dagliga uppgifter genom att köra arbetsflöden så att vi snabbt kan reagera på nya situationer. Ingen ingen ingenjör har stående åtkomst till tjänsten. När ingenjörer behöver åtkomst måste de begära det. Behörigheten kontrolleras, och om ingenjörstillgång godkänns är det bara för en begränsad tid.
Och OneDrive och Office 365 investerar kraftigt i system, processer och personal för att minska sannolikheten för personuppgiftsintrång och för att snabbt upptäcka och mildra konsekvenserna av ett intrång om det inträffar. Några av våra investeringar på detta område är:
System för åtkomstkontroll: OneDrive och Office 365 har en policy för ”noll stående åtkomst”, vilket innebär att ingenjörer inte har tillgång till tjänsten om den inte uttryckligen beviljas som svar på en specifik incident som kräver ökad åtkomst. När åtkomst beviljas sker det enligt principen om minsta möjliga privilegier: tillstånd som beviljas för en specifik begäran tillåter endast en minimal uppsättning åtgärder som krävs för att hantera denna begäran. För att göra detta upprätthåller OneDrive och Office 365 en strikt åtskillnad mellan ”höjningsroller”, där varje roll endast tillåter att vissa fördefinierade åtgärder vidtas. Rollen ”Tillgång till kunddata” skiljer sig från andra roller som vanligen används för att administrera tjänsten och granskas hårdast innan den godkänns. Sammantaget minskar dessa investeringar i åtkomstkontroll kraftigt sannolikheten för att en ingenjör i OneDrive eller Office 365 på ett olämpligt sätt får tillgång till kunddata.
Säkerhetsövervakningssystem och automatisering: OneDrive och Office 365 har robusta säkerhetsövervakningssystem i realtid. Bland annat ger dessa system larm om försök att olovligen få tillgång till kunduppgifter eller om försök att olovligen överföra uppgifter från vår tjänst. Med anknytning till de punkter om åtkomstkontroll som nämns ovan upprätthåller våra säkerhetsövervakningssystem detaljerade register över begärda höjningar och de åtgärder som vidtagits för en viss begäran om höjning. OneDrive och Office 365 upprätthåller också investeringar för automatisk lösning som automatiskt agerar för att minska hoten som svar på problem som vi upptäcker, och särskilda team för att svara på varningar som inte kan lösas automatiskt. För att validera våra säkerhetsövervakningssystem genomför OneDrive och Office 365 regelbundet red-team-övningar där ett internt penetrationstestteam simulerar angriparbeteende mot den levande miljön. Dessa övningar leder till regelbundna förbättringar av våra säkerhetsövervaknings- och svarsfunktioner.
Personal och processer: Utöver den automatisering som beskrivs ovan har OneDrive och Office 365 processer och team som ansvarar både för att utbilda den bredare organisationen om sekretess och incidenthanteringsprocesser och för att utföra dessa processer vid ett intrång. Till exempel upprätthålls en detaljerad Standard Operating Procedure (SOP) för integritetsintrång och delas med team i hela organisationen. Denna SOP beskriver i detalj roller och ansvarsområden både för enskilda team inom OneDrive och Office 365 och för centraliserade team för hantering av säkerhetsincidenter. Dessa omfattar både vad teamen behöver göra för att förbättra sin egen säkerhetsställning (genomföra säkerhetsgranskningar, integrera med centrala säkerhetsövervakningssystem och andra bästa metoder) och vad teamen skulle behöva göra i händelse av ett faktiskt intrång (snabb eskalering till incidenthantering, upprätthålla och tillhandahålla specifika datakällor som kommer att användas för att påskynda responsprocessen). Teamen utbildas också regelbundet i dataklassificering och korrekt hantering och lagring av personuppgifter.
Den viktigaste slutsatsen är att OneDrive och Office 365, för både konsument- och företagsplaner, investerar starkt i att minska sannolikheten för och konsekvenserna av att våra kunder drabbas av personuppgiftsincidenter. Om ett personuppgiftsbrott inträffar är vi fast beslutna att snabbt meddela våra kunder när brottet är bekräftat.