Security Professionals
- ipfw add deny all from eindgebruikers to any
Beveiliging documenten SharePoint Online
Beste mede forumleden, als leek op het gebied van microsoft/sharepoint online ben ik benieuwd naar de veiligheid/privacy van je eigen documenten. Ik bedoel hier dus documenten die je zelf upload naar de sharepoint online omgeving van microsoft. Niet zozeer vanuit het perspectief dat je account gehackt zou kunnen worden (niet dat dit onbelangrijk is, maar dat is niet het punt dat ik wil aansnijden), maar vanuit microsoft perspectief: zijn je documenten privé t.o.v. microsoft zelf?
Het risico van het hacken van je account kun je natuurlijk zelf voor een groot deel mitigeren door 2-FA toe te passen en binnen je microsoft realm de zaak enigszins dicht te timmeren.
Mijn beeld is dat in principe de service provider altijd bij alle documenten kan, echter weet iemand of en zo ja hoe dit eventueel binnen privacy richtlijnen geldend voor microsoft is geregeld?
Uiteraard in een gevalletje 'nation state' is de privacy redelijk verdampt, maar ik ben wel benieuwd hoe het in het algemeen afgekaderd/beschreven is.
Meningen hierover, of linkjes naar microsoft specifieke informatie waarin beschreven staat hoe dit is geregeld zijn erg welkom.
Vast bedankt voor de antwoorden!
Het risico van het hacken van je account kun je natuurlijk zelf voor een groot deel mitigeren door 2-FA toe te passen en binnen je microsoft realm de zaak enigszins dicht te timmeren.
Mijn beeld is dat in principe de service provider altijd bij alle documenten kan, echter weet iemand of en zo ja hoe dit eventueel binnen privacy richtlijnen geldend voor microsoft is geregeld?
Uiteraard in een gevalletje 'nation state' is de privacy redelijk verdampt, maar ik ben wel benieuwd hoe het in het algemeen afgekaderd/beschreven is.
Meningen hierover, of linkjes naar microsoft specifieke informatie waarin beschreven staat hoe dit is geregeld zijn erg welkom.
Vast bedankt voor de antwoorden!
Reacties (10)
11-05-2018, 16:39 door
karma4
Elke dienstverlener is wegens de availability eis verplicht goede de en backup/restore faciliteiten te regelen.
Op dat punt moet hij bij alle data kunnen, dat is technische beschikbaarheid.
De functionele beschikbaarheid is wat anders. Heb jij de boel gencrypt me t een sleutel die allen jij weet dan zal op iaas niveau dat niet zichtbaar zijn.
Waar blijven de sleutels als het om paas en saas gaat?
Met die laatste twee gaat steeds meer naar de dienstverlener.
Dan wordt het een juridisch verhaal van verwerkingsverantwoordelijke en verwerker.
Op dat punt moet hij bij alle data kunnen, dat is technische beschikbaarheid.
De functionele beschikbaarheid is wat anders. Heb jij de boel gencrypt me t een sleutel die allen jij weet dan zal op iaas niveau dat niet zichtbaar zijn.
Waar blijven de sleutels als het om paas en saas gaat?
Met die laatste twee gaat steeds meer naar de dienstverlener.
Dan wordt het een juridisch verhaal van verwerkingsverantwoordelijke en verwerker.
11-05-2018, 16:46 door
nonisalami
Dank voor je antwoord (meerdere zijn natuurlijk ook welkom, zeker als daar verwijzingen bij zitten naar informatie die microsoft zelf hierover verstrekt).
Je snijdt precies een heikel punt aan: zelf encrypten is mogelijk, maar dan moet je beschikken over een gecertificeerde HSM, alleen in dat geval heb je enige zekerheid over de privacy van je documenten. Waar ik mee worstel is het feit dat documenten wel versleuteld worden, maar je nooit zelf het private deel van het sleutelpaar hebt.
Je snijdt precies een heikel punt aan: zelf encrypten is mogelijk, maar dan moet je beschikken over een gecertificeerde HSM, alleen in dat geval heb je enige zekerheid over de privacy van je documenten. Waar ik mee worstel is het feit dat documenten wel versleuteld worden, maar je nooit zelf het private deel van het sleutelpaar hebt.
tja het fundamentele probleem van cloud a.k.a. ´andermans computer in een ander land met andere wetten'. maargoed dat negeren we allemaal maar even want het is nu zo lekker makkelijk om toch aan die worst te ruiken he? pas als het kalf verdronken is gaan we de put dempen natuurlijk.
Volgens mij worstel je met het probleem dat je wel wilt meelullen of privacy en encryptie maar niet de middelen (geld) hebt
om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.
om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.
13-05-2018, 08:20 door
nonisalami
Door Anoniem: Volgens mij worstel je met het probleem dat je wel wilt meelullen of privacy en encryptie maar niet de middelen (geld) hebt
om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.
om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.
Beste Anoniem, het gaat zich mij niet zozeer over het meelullen. Als ik zou willen meelullen moet ik er ook terdege verstand van hebben, en dat kan ik niet zeggen. 1 ding waar ik mee worstel is dat ik ook niet echt kan vinden wat microsoft hierover schrijft. Natuurlijk is het zo dat gebruik maken van een cloud dienst lekker makkelijk meeliften is en worden privacy en security zaken genegeerd, helemaal waar. Echter, welke kaders gebruikt de cloud service provider?
13-05-2018, 10:33 door
Tha Cleaner
Door nonisalami:
Mijn beeld is dat in principe de service provider altijd bij alle documenten kan, echter weet iemand of en zo ja hoe dit eventueel binnen privacy richtlijnen geldend voor microsoft is geregeld?
Uiteraard in een gevalletje 'nation state' is de privacy redelijk verdampt, maar ik ben wel benieuwd hoe het in het algemeen afgekaderd/beschreven is.
Meningen hierover, of linkjes naar microsoft specifieke informatie waarin beschreven staat hoe dit is geregeld zijn erg welkom.
Vast bedankt voor de antwoorden!
Verdiep je eens in ISO certificeringen zou ik als eerste zeggen.Mijn beeld is dat in principe de service provider altijd bij alle documenten kan, echter weet iemand of en zo ja hoe dit eventueel binnen privacy richtlijnen geldend voor microsoft is geregeld?
Uiteraard in een gevalletje 'nation state' is de privacy redelijk verdampt, maar ik ben wel benieuwd hoe het in het algemeen afgekaderd/beschreven is.
Meningen hierover, of linkjes naar microsoft specifieke informatie waarin beschreven staat hoe dit is geregeld zijn erg welkom.
Vast bedankt voor de antwoorden!
https://products.office.com/en-us/business/office-365-trust-center-compliance-certifications
https://www.microsoft.com/en-us/microsoft-365/blog/2015/12/14/announcing-the-office-365-iso-27001-and-iso-27018-audit-assessment-report/
https://www.microsoft.com/en-us/TrustCenter/Compliance/ISO-IEC-27001
13-05-2018, 12:44 door
karma4
De ISO 's zijn netjes Tha Cleanere. Helpt deze ook ? De TS zal er zich toch in moeten verdiepen met wat voor data hij zelf echt nodig heeft als verwerkingsverantwoordelijke en wat zijn bedrijfsrisico's zijn.
https://www.microsoft.com/en-us/trustcenter/privacy/where-your-data-is-located
https://www.microsoft.com/en-us/trustcenter/privacy/where-your-data-is-located
14-05-2018, 10:30 door
nonisalami
Dank allen voor de info tot dusver! Hier kan ik wel even verder mee, uiteraard zijn aanvulling en meningen altijd welkom.
What Happens to Your Office 365 Data Ownership and Privacy
https://en.share-gate.com/blog/office-365-data-ownership-and-privacy
Leer eens om anderen op een fatsoenlijke wijze te woord te staan. Dit soort bijdrages hebben we helemaal niets aan.
https://en.share-gate.com/blog/office-365-data-ownership-and-privacy
Volgens mij worstel je met het probleem dat je wel wilt meelullen of privacy en encryptie maar niet de middelen (geld) hebt om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.
Leer eens om anderen op een fatsoenlijke wijze te woord te staan. Dit soort bijdrages hebben we helemaal niets aan.
14-05-2018, 15:22 door
nonisalami
Door Anoniem: What Happens to Your Office 365 Data Ownership and Privacy
https://en.share-gate.com/blog/office-365-data-ownership-and-privacy
Leer eens om anderen op een fatsoenlijke wijze te woord te staan. Dit soort bijdrages hebben we helemaal niets aan.
https://en.share-gate.com/blog/office-365-data-ownership-and-privacy
Volgens mij worstel je met het probleem dat je wel wilt meelullen of privacy en encryptie maar niet de middelen (geld) hebt om ook echt iets te gaan doen. Dan kun je beter stoppen met worstelen want daar kom je toch niet uit.
Leer eens om anderen op een fatsoenlijke wijze te woord te staan. Dit soort bijdrages hebben we helemaal niets aan.
Zoooo, duidelijke taal ;-)
Ik heb eens even naar die artikelen gekeken, waarvoor dank! waardevolle info. Op die pagina staat weer een link met waardevolle info over de beveiliging van je eigen documenten en nog belangrijker: hoe kun je dat zelf testen. Hier heb je nog eens wat aan (ook al was dit punt niet mijn belangrijkste en ging het mij er in eerste instantie om in hoeverre Microsoft eea waarborgt ten opzichte van zichzelf. Nogmaals dank!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.