Security Professionals - ipfw add deny all from eindgebruikers to any

Beveiliging documenten SharePoint Online

11-05-2018, 16:25 door nonisalami, 10 reacties
Laatst bijgewerkt: 11-05-2018, 16:26
Beste mede forumleden, als leek op het gebied van microsoft/sharepoint online ben ik benieuwd naar de veiligheid/privacy van je eigen documenten. Ik bedoel hier dus documenten die je zelf upload naar de sharepoint online omgeving van microsoft. Niet zozeer vanuit het perspectief dat je account gehackt zou kunnen worden (niet dat dit onbelangrijk is, maar dat is niet het punt dat ik wil aansnijden), maar vanuit microsoft perspectief: zijn je documenten privé t.o.v. microsoft zelf?
Het risico van het hacken van je account kun je natuurlijk zelf voor een groot deel mitigeren door 2-FA toe te passen en binnen je microsoft realm de zaak enigszins dicht te timmeren.

Mijn beeld is dat in principe de service provider altijd bij alle documenten kan, echter weet iemand of en zo ja hoe dit eventueel binnen privacy richtlijnen geldend voor microsoft is geregeld?
Uiteraard in een gevalletje 'nation state' is de privacy redelijk verdampt, maar ik ben wel benieuwd hoe het in het algemeen afgekaderd/beschreven is.

Meningen hierover, of linkjes naar microsoft specifieke informatie waarin beschreven staat hoe dit is geregeld zijn erg welkom.

Vast bedankt voor de antwoorden!
Reacties (10)
11-05-2018, 16:39 door karma4
Elke dienstverlener is wegens de availability eis verplicht goede de en backup/restore faciliteiten te regelen.
Op dat punt moet hij bij alle data kunnen, dat is technische beschikbaarheid.
De functionele beschikbaarheid is wat anders. Heb jij de boel gencrypt me t een sleutel die allen jij weet dan zal op iaas niveau dat niet zichtbaar zijn.
Waar blijven de sleutels als het om paas en saas gaat?
Met die laatste twee gaat steeds meer naar de dienstverlener.
Dan wordt het een juridisch verhaal van verwerkingsverantwoordelijke en verwerker.
11-05-2018, 16:46 door nonisalami
Dank voor je antwoord (meerdere zijn natuurlijk ook welkom, zeker als daar verwijzingen bij zitten naar informatie die microsoft zelf hierover verstrekt).

Je snijdt precies een heikel punt aan: zelf encrypten is mogelijk, maar dan moet je beschikken over een gecertificeerde HSM, alleen in dat geval heb je enige zekerheid over de privacy van je documenten. Waar ik mee worstel is het feit dat documenten wel versleuteld worden, maar je nooit zelf het private deel van het sleutelpaar hebt.
11-05-2018, 19:18 door Anoniem
tja het fundamentele probleem van cloud a.k.a. ´andermans computer in een ander land met andere wetten'. maargoed dat negeren we allemaal maar even want het is nu zo lekker makkelijk om toch aan die worst te ruiken he? pas als het kalf verdronken is gaan we de put dempen natuurlijk.
11-05-2018, 19:39 door Anoniem
Volgens mij worstel je met het probleem dat je wel wilt meelullen of privacy en encryptie maar niet de middelen (geld) hebt
om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.
13-05-2018, 08:20 door nonisalami
Door Anoniem: Volgens mij worstel je met het probleem dat je wel wilt meelullen of privacy en encryptie maar niet de middelen (geld) hebt
om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.

Beste Anoniem, het gaat zich mij niet zozeer over het meelullen. Als ik zou willen meelullen moet ik er ook terdege verstand van hebben, en dat kan ik niet zeggen. 1 ding waar ik mee worstel is dat ik ook niet echt kan vinden wat microsoft hierover schrijft. Natuurlijk is het zo dat gebruik maken van een cloud dienst lekker makkelijk meeliften is en worden privacy en security zaken genegeerd, helemaal waar. Echter, welke kaders gebruikt de cloud service provider?
13-05-2018, 10:33 door Tha Cleaner
Door nonisalami:
Mijn beeld is dat in principe de service provider altijd bij alle documenten kan, echter weet iemand of en zo ja hoe dit eventueel binnen privacy richtlijnen geldend voor microsoft is geregeld?
Uiteraard in een gevalletje 'nation state' is de privacy redelijk verdampt, maar ik ben wel benieuwd hoe het in het algemeen afgekaderd/beschreven is.

Meningen hierover, of linkjes naar microsoft specifieke informatie waarin beschreven staat hoe dit is geregeld zijn erg welkom.

Vast bedankt voor de antwoorden!
Verdiep je eens in ISO certificeringen zou ik als eerste zeggen.

https://products.office.com/en-us/business/office-365-trust-center-compliance-certifications
https://www.microsoft.com/en-us/microsoft-365/blog/2015/12/14/announcing-the-office-365-iso-27001-and-iso-27018-audit-assessment-report/
https://www.microsoft.com/en-us/TrustCenter/Compliance/ISO-IEC-27001
13-05-2018, 12:44 door karma4
De ISO 's zijn netjes Tha Cleanere. Helpt deze ook ? De TS zal er zich toch in moeten verdiepen met wat voor data hij zelf echt nodig heeft als verwerkingsverantwoordelijke en wat zijn bedrijfsrisico's zijn.
https://www.microsoft.com/en-us/trustcenter/privacy/where-your-data-is-located
14-05-2018, 10:30 door nonisalami
Dank allen voor de info tot dusver! Hier kan ik wel even verder mee, uiteraard zijn aanvulling en meningen altijd welkom.
14-05-2018, 11:07 door Anoniem
What Happens to Your Office 365 Data Ownership and Privacy
https://en.share-gate.com/blog/office-365-data-ownership-and-privacy

Volgens mij worstel je met het probleem dat je wel wilt meelullen of privacy en encryptie maar niet de middelen (geld) hebt om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.

Leer eens om anderen op een fatsoenlijke wijze te woord te staan. Dit soort bijdrages hebben we helemaal niets aan.
14-05-2018, 15:22 door nonisalami
Door Anoniem: What Happens to Your Office 365 Data Ownership and Privacy
https://en.share-gate.com/blog/office-365-data-ownership-and-privacy

Volgens mij worstel je met het probleem dat je wel wilt meelullen of privacy en encryptie maar niet de middelen (geld) hebt om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.

Leer eens om anderen op een fatsoenlijke wijze te woord te staan. Dit soort bijdrages hebben we helemaal niets aan.

Zoooo, duidelijke taal ;-)

Ik heb eens even naar die artikelen gekeken, waarvoor dank! waardevolle info. Op die pagina staat weer een link met waardevolle info over de beveiliging van je eigen documenten en nog belangrijker: hoe kun je dat zelf testen. Hier heb je nog eens wat aan (ook al was dit punt niet mijn belangrijkste en ging het mij er in eerste instantie om in hoeverre Microsoft eea waarborgt ten opzichte van zichzelf. Nogmaals dank!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.