Protección de la privacidad de los datos del cliente

La Protección de fraudes es una tarea en la que se requieren grandes conocimientos. Microsoft Dynamics 365 Fraud Protection procesa datos sobre transacciones de pago, actividades de cuentas en línea y dispositivos que interactúan con las propiedades de comercio electrónico de los clientes de Fraud Protection para ayudar a:

• Evitar e identificar las transacciones fraudulentas de pagos.
• Discernir las transacciones legítimas para controlar los "falsos positivos".
• Mejorar la experiencia de compra en línea de los clientes.

Diseñado con las características de cumplimiento, seguridad, confidencialidad, y privacidad en mente, Fraud Protection usa el aprendizaje automático, inteligencia artificial, y técnicas de desidentificación de los datos para evaluar transacciones de pago, determinadas actividades de cuenta y otros eventos para determinar el riesgo y proporciona a los clientes información acerca del estado de sus operaciones comerciales.

¿Qué datos procesa Fraud Protection?

Fraud Protection procesa tres tipos de datos de clientes para proporcionar el servicio:

• Datos de transacciones de pago. Se trata de información acerca de las transacciones de pago en línea de nuestro cliente (pasado y presente). Los datos de la transacción de pago pueden incluir:

  • El importe de la transacción y la información sobre las mercancías incluidas en el pedido.
  • El nombre, dirección de correo, dirección de envío y otra información de ubicación geográfica asociada con una transacción de pago.
  • El resultado de una transacción de pago, como un contracargo.
  • Información sobre el instrumento de pago. Tenga en cuenta que Fraud Protection no recopila los detalles completos de instrumento de pago, como el número de tarjeta de crédito completo.

• Datos del dispositivo. Se trata de información asociada a las actividades de la cuenta de los usuarios finales del cliente (pasadas y presentes), como solicitudes para crear una nueva cuenta de cliente o actualizaciones a una cuenta de un cliente existente. Los datos de la actividad de la cuenta pueden incluir:

  • Atributos del dispositivo, como complementos instalados, clase de procesador, etc.
  • Atributos del sistema operativo, como la información del sistema operativo.
  • Atributos relacionados con el explorador, si corresponde, como el idioma del navegador, la fuente, etc.
  • Atributos de red, como la dirección IP, el hash de firma, etc.

• Datos de la actividad de la cuenta. Se trata de información sobre los dispositivos que visitan las propiedades de comercio electrónico de nuestro cliente, como por ejemplo:

  • El nombre de la cuenta y la dirección de correo electrónico.
  • Información sobre cuándo se creó la cuenta.
  • Información sobre eventos asociados a la cuenta, como cuándo cambia la dirección de envío o el correo electrónico asociado a la cuenta.

Los clientes proporcionan a Fraud Protection los datos de transacciones de pago y los datos de la actividad de la cuenta de estas dos maneras:

• Los clientes usan la API de Fraud Protection para transmitir datos asociados con transacciones de pago o actividades de cuentas en tiempo real.
• Los clientes cargan datos sobre actividades de transacciones de pago anteriores y actividades de cuentas al servicio.

Los datos del dispositivo se recopilan y transmiten a Fraud Protection cuando un cliente instala un script de huellas digitales de dispositivos en sus propiedades de comercio electrónico. Esto indica a Fraud Protection que recopile datos en su nombre de los dispositivos que visitan las propiedades de comercio electrónico del cliente.

¿Cómo procesa Fraud Protection los datos del cliente?

Fraud Protection procesa los datos del cliente descritos anteriormente con el único propósito de proporcionar el servicio de acuerdo con las instrucciones proporcionadas en los Términos de Microsoft Online Services y los configurados por el cliente en su administración del servicio. Para proporcionar el servicio, Microsoft utiliza los datos del cliente para proteger y mejorar el servicio y solucionar los problemas que surjan, así como para generar información sobre fraudes a partir de datos hash (ver a continuación) de todos los clientes de Fraud Protection dentro de la red de protección contra fraudes (la "red de fraudes").

Fraud Protection enriquece y normaliza los datos de los clientes.

Los datos de transacciones de pago, los datos de la actividad de la cuenta y los datos de dispositivos se enriquecen y se normalizan para ayudar a la aplicación de servicio de aprendizaje del equipo y de inteligencia artificial. Por ejemplo:

• El importe de transacciones se convertirá a dólares estadounidenses con el tipo de cambio actual.
• Las direcciones, como la dirección de facturación o de envío asociada a una transacción, se convierten a un formato canónico. Por ejemplo, "One Microsoft Wy" puede convertirse en "1 Microsoft Way".
• Los datos del dispositivo obtenidos de un solo dispositivo se convierten en un identificador borroso.

Fraud Protection aplica un algoritmo hash a determinados datos de cliente para procesarlos en la red de fraudes.

Fraud Protection aplica un algoritmo hash a los datos de clientes que incluyen datos personales que pueden identificar a un interesado antes de transmitirlos a la red de fraudes, donde se procesan para generar información sobre fraudes. La técnica de hash utilizada por Fraud Protection convierte estos datos del cliente en tokens (o cadenas de caracteres) únicos. Por ejemplo, la dirección de correo electrónico "JohnDoe@outlook.com" siempre se asignará a la misma cadena de caracteres (por ejemplo, "TK239732"). Esta técnica sirve para los siguientes propósitos.

La técnica produce la misma salida para una entrada (se puede reproducir). La técnica de desidentificación, que usa un específico para sal específica en la red de fraudes y sales únicas para cada cliente, garantiza que el mismo valor de entrada se asigna siempre al mismo token de salida. Por ejemplo, la dirección de correo electrónico “JohnDoe@outlook.com” se asignará siempre a “TK239732” (por ejemplo) cuando la sal específica de la red de fraudes se usa, sea cual sea el cliente que proporcione la entrada y en qué momento. Esta propiedad permite a Fraud Protection identificar patrones de fraudes y crear conexiones entre los tokens en todos los clientes de Fraud Protection dentro de la red de fraudes. Al procesar datos de clientes con una sal única asignada solo a un cliente, Fraud Protection también puede proporcionar a los clientes información sobre sus propios patrones de fraudes, ya que Fraud Protection puede crear conexiones entre los tokens de un solo cliente. En este contexto, la "sal" es un valor aleatorio agregado a una técnica de hash unidireccional que hace que la salida sea todavía más aleatoria.

La técnica genera (prácticamente) una asignación unívoca. Aunque, técnicamente, el método de aplicación de algoritmo hash no es una asignación unívoca para cualquier sal dada, la probabilidad de que dos valores distintos de entrada den lugar al mismo valor de salida desidentificado (denominado una "colisión de hash") es prácticamente cero. Esto significa que, con fines prácticos, puede confiar en las conexiones creadas entre los tokens, incluso mientras éstos se desidentifican.

La técnica es irreversible prácticamente. Este proceso hace que sea prácticamente imposible utilizar técnicas de ingeniería inversa en un token para obtener la entrada original, identificar un interesado a partir de los tokens o "rehidratar" de cualquier otro modo los datos de clientes sin acceso a la función hash y la sal. Aplicar técnicas de ingeniería inversa para rehidratar los datos, y hacerlos identificables, requeriría un altamente avanzado ataque con fuerza bruta.

La técnica ofrece a los clientes mayor seguridad de que los datos de sus clientes no se compartirán con otros clientes de Fraud Protection. Los tokens de la red de fraudes no se pueden vincular a un cliente de Fraud Protection específico sin tener acceso a la función hash, a la sal y a datos sin formato en el espacio comercial del cliente.

Fraud Protection aplica la inteligencia artificial a los tokens en la red de fraudes para generar información sobre los fraudes para clientes de Fraud Protection.

Fraud Protection utiliza la inteligencia artificial para comprender patrones de fraude que permiten que el servicio genere información sobre los fraudes para las nuevas transacciones de pago y las actividades de cuenta para los clientes en tiempo real. Estas informaciones sobre fraudes incluyen una puntuación de riesgo del evento en tiempo real y los códigos de causa para la puntuación. Por ejemplo, dentro de la red de fraudes, Fraud Protection puede detectar grandes cantidades de transacciones de pago sospechosas, dentro de un corto período de tiempo asociado a un token determinado (que podría representar una dirección de facturación o una dirección IP). Si Fraud Protection detecta el token en transacciones de pago nuevas, en tiempo real, puede proporcionar al cliente una puntuación de un riesgo más alto y un código de causa que indica que Fraud Protection ha detectado un volumen sospechoso de grandes cantidades de transacciones para un atributo de datos asociado a la transacción.

Fraud Protection procesa datos del cliente de acuerdo con las reglas de negocio establecidas por el cliente.

Los clientes pueden establecer reglas de negocio en Fraud Protection para automatizar su propio análisis de una transacción o un evento de cuenta en tiempo real, teniendo en cuenta la puntuación de riesgos y los códigos de causa. Por ejemplo, además de la información sobre fraudes proporcionada por Fraud Protection, los clientes aplican sus propias reglas de negocio para aprobar una transacción de pago basada en cualquier número de factores, incluido el importe de las transacciones, el instrumento de pago usado, o el contenido del pedido. Las reglas de negocio de cada cliente se tratan como información confidencial de cliente y datos del cliente. Fraud Protection procesará estos datos en nombre del cliente, de acuerdo con las reglas de negocio establecidas, para hacer una recomendación sobre aceptar o rechazar la transacción o el evento.

Fraud Protection permite a los clientes compartir conocimiento de confianza de transacciones con los bancos participantes.

Los clientes pueden optar por usar el impulsor de aceptación de transacciones optando por la característica. Esta característica permite que los clientes indiquen a Microsoft que comparta algunos datos de clientes, denominados conocimiento de confianza de las transacciones, con los bancos participantes cuando se inicia una transacción con un instrumento de pago emitido por el banco que participa. El conocimiento de confianza de transacciones es una pequeña carga útil de datos del cliente que incluye la evaluación de Fraud Protection de la transacción, la ubicación y el identificador del dispositivo junto con detalles específicos de la transacción, incluido el número de tarjeta recortado y el importe que ayuda a los bancos a comparar la transacción de compra correcta.

Optando por esta característica, un cliente indica a Fraud Protection que transmita conocimiento de confianza de transacciones en su nombre a un banco participante cuando una transacción de pago se inicia en la propiedad de comercio electrónico del cliente con una tarjeta de pago de dicho banco. Para cualquier transacción dada de pago, el conocimiento de confianza de transacciones de un cliente se comparte sólo con el banco que participa cuando una tarjeta de pago del banco se usa para iniciar la transacción de pago.

Fraud Protection procesa datos de clientes para proveer herramientas, como informes gráficos, para resaltar inteligencia empresarial relacionada con fraudes.

Fraud Protection usa datos de los clientes para proporcionar herramientas que ayudan a los clientes a entender el impacto que está teniendo el fraude en su negocio comercial electrónico. Tales herramientas incluyen la funcionalidad de informes, las pantallas gráficas, y características de servicios de soporte técnico.