Karma

Publisher Attestation: The information on this page is based on a self-assessment report provided by the app developer on the security, compliance, and data handling practices followed by this app. Microsoft makes no guarantees regarding the accuracy of the information.

Last updated by the developer on: December 16, 2019

Informazioni generali

Informazioni fornite da Sliday LTD a Microsoft:

Informazioni Risposta
Nome app Karma
ID WA104381640
Office 365 client supportati Microsoft Teams
Nome società partner Sliday LTD
URL del sito Web del partner https://karmabot.chat/ms
URL della pagina Teams informazioni sull'applicazione https://karmabot.readme.io/
URL dell'informativa sulla privacy https://karmabot.readme.io/v3.0/docs/privacy-policy-for-mic...
URL delle Condizioni per l'utilizzo https://karmabot.readme.io/docs/karma-end-user-license-agre...

Feedback

Domande o aggiornamenti su qualsiasi informazione visualizzata qui? Contattaci!

Modalità di gestione dei dati da parte dell'app

Queste informazioni sono state fornite da Sliday LTD su come questa app raccoglie e archivia i dati dell'organizzazione e il controllo che l'organizzazione avrà sui dati raccolti dall'app.

Accesso ai dati tramite Microsoft Graph

Elenca tutte le autorizzazioni Graph Microsoft richieste da questa app.

Autorizzazione Tipo di autorizzazione (Delegata/Applicazione) I dati vengono raccolti? Giustificazione per la raccolta? I dati vengono archiviati? Giustificazione per l'archiviazione? Azure AD App ID
User.Read application Nome, cognome e indirizzo di posta elettronica della società. Nome, cognome per la segnalazione dell'amministratore. Indirizzo di posta elettronica per la comunicazione in merito a Karma, scopi di fatturazione ed herarchy. Nome visualizzato del consenso dell'amministratore. Accedere e leggere il profilo utente. Descrizione del consenso dell'amministratore. Consente agli utenti di accedere all'app e consente all'app di leggere il profilo degli utenti connessi. Consente inoltre all'app di leggere le informazioni aziendali di base degli utenti connessi. User consent display nameSign you in and read your profile. Descrizione del consenso dell'utente. Consente di accedere all'app con l'account dell'organizzazione e consentire all'app di leggere il profilo. Consente inoltre all'app di leggere le informazioni di base sull'azienda. 9ff28b02-ccc5-4cac-9d17-4cf6987c371f

Non servizi Microsoft usato

Se l'app trasferisce o condivide i dati dell'organizzazione con servizi non Microsoft, elenca il servizio non Microsoft utilizzato dall'app, i dati trasferiti e include una giustificazione del motivo per cui l'app deve trasferire queste informazioni.

Non vengono servizi Microsoft non vengono utilizzati.

Accesso ai dati tramite bot

Se questa app contiene un bot o un'estensione di messaggistica, può accedere alle informazioni di identificazione dell'utente finale (EUII): l'elenco (nome, cognome, nome visualizzato, indirizzo di posta elettronica) di qualsiasi membro del team in un team o chat a cui viene aggiunta. Questa app usa questa funzionalità?

Giustificazione per l'accesso a EUII? L'EUII è archiviato nei database? Giustificazione per l'archiviazione di EUII?
Nome, cognome e indirizzo di posta elettronica della società Nome, cognome per l'amministratore che segnala l'indirizzo di posta elettronica per la comunicazione in merito a Karma. Il roster è necessario per scopi di fatturazione e per suddividere gli utenti in parti separate. Nome, cognome e indirizzo di posta elettronica della società Nome, cognome per la segnalazione dell'amministratore. Indirizzo di posta elettronica per la comunicazione in merito a Karma, scopi di fatturazione e gerarchia degli utenti di Karma.

Dati di telemetria

Le informazioni di identificazione dell'organizzazione (OII) o dell'utente finale (EUII) vengono visualizzate nei registri o nei dati di telemetria dell'applicazione? In caso affermativa, descrivere quali dati sono archiviati e quali sono i criteri di conservazione e rimozione?

L'ID tenant e l'ID utente vengono archiviati nei log. Entrambi non sono identificabili.

Controlli dell'organizzazione per i dati archiviati dal partner

Descrivere in che modo gli amministratori dell'organizzazione possono controllare le informazioni nei sistemi partner? ad esempio eliminazione, conservazione, controllo, archiviazione, criteri per gli utenti finali e così via.

  1. È disponibile una soluzione DLP? Cosa è implementato per evitare perdite di dati?

SÌ, i dati vengono crittografati sia in transito che in pausa.

  1. Quali tipi di meccanismi vengono implementati per garantire che l'integrità dei dati sia protetta da errori, danneggiamenti o uso improprio e la frequenza con cui vengono controllati

Tutti i server eseguono RAID hardware con livelli RAID diversi, ma in ogni caso sono necessari più errori di unità contemporaneamente per eventuali perdite di dati. Microsoft è molto sicura e dispone di backup sia automatici che manuali. Il backup dei database viene eseguito automaticamente ogni giorno e archiviato per sette giorni. Il backup delle macchine virtuali viene eseguito automaticamente ogni settimana e archiviato per 1 mese.

Gli snapshot e i backup vengono archiviati in una rete interna non visibile pubblicamente.

  1. Descrivere come assicurarsi che i dati del cliente siano separati correttamente da altri clienti nelle soluzioni multi-tenant e come controllare che i dati di produzione non vengano replicati o utilizzati in ambienti non di produzione

Archiviati in database diversi.

  1. Che tipo di crittografia si propone (algoritmi, protocolli, lunghezze delle chiavi) per i dati in transito e i dati in pausa

Tutti i dati in transito sono crittografati da TLS o SSL. HTTP è crittografato da TLS 1.2 o TLS 1.3 Traffico del database crittografato da SSL.

I dati vengono archiviati in Digital ocean cloud center nei data center statunitensi.

  1. Descrivere come gestire le chiavi di crittografia univoche (processo, archiviazione, utilizzo, RACI, SOD) per uso personale e per ognuno dei tenant

Gestito da Digital Ocean.

  1. Descrivere il processo di gestione degli accessi in atto al termine del provider indicando come garantire la rimozione in tempo reale degli accessi non più necessari e come controllare l'inadeguatezza dei privilegi per il ruolo del processo. Descrivere inoltre i processi di riconvalida e la frequenza di esecuzione

Usiamo l'autenticazione a due fattori per accedere al pannello di controllo. Solo 3 persone hanno accesso a questo tipo di accesso, cambiano le password ogni mese, mantengono controllati i log di accesso e ci assicuriamo che gli account degli utenti che non lavorano più con noi siano stati rimossi dalla piattaforma.

  1. Fornire la procedura implementata al termine per gestire gli ID condivisi (ad esempio root, Sys, System e così via), gli ID di gruppo (account generici utilizzati da più persone appartenenti allo stesso team, ad esempio) e gli account locali. Descrivere come limitare, registrare e monitorare l'utilizzo e l'accesso degli account con privilegi ai dispositivi di sicurezza (ad esempio, hypervisor, firewall, scanner di vulnerabilità, sniffer di rete, API e così via), come si garantisce che gli utenti che cambiano team o lasciano non possano più accedere all'ID gruppo e qual è il livello di tracciabilità di tali ID

Usiamo 1Password per condividere l'ID condivisibile’s, abbiamo un feed attività separato ogni volta che si accede alla risorsa condivisa da un deposito di password condiviso. A meno che non sia assolutamente necessario, non usiamo account condivisi e usiamo invece singoli account. Non è possibile accedere alle informazioni nel database Karma tramite un account di accesso condiviso. 2FA viene utilizzato per accedere a 1Password per recuperare un singolo account di accesso.

  1. Descrivere il processo per garantire e monitorare il rispetto della separazione dei compiti e la frequenza con cui viene controllato

Abbiamo eseguito riunioni mensili che riguardano la separazione dei doveri, l'importanza dell'uso dedicato dell'accesso e 2FA ogni accesso possibile.

Il nostro SIEM contiene: registri del firewall, log del server Web e registri delle applicazioni. SIEM viene analizzato ogni giorno e al momento della ricezione. I log vengono conservati per 1 mese e rimossi in modo sicuro dopo di che.

Revisione umana delle informazioni organizzative

Gli utenti sono coinvolti nella revisione o nell'analisi di dati OII (Organizational Identifiable Information) raccolti o archiviati da questa app?

Feedback

Domande o aggiornamenti su qualsiasi informazione visualizzata qui? Contattaci!

Le informazioni del Microsoft Cloud App Security vengono visualizzate di seguito.

Visualizzazione in una nuova scheda

Feedback

Domande o aggiornamenti su qualsiasi informazione visualizzata qui? Contattaci!