Podrobný plán zabezpečení a dodržování předpisů Azure: Analýza pro PCI DSS

Přehled

Tento podrobný plán zabezpečení a dodržování předpisů Azure poskytuje pokyny k nasazení architektury analýzy dat v Azure, která pomáhá s požadavky standardů zabezpečení dat odvětví platebních karet (PCI DSS 3.2). Představuje společnou referenční architekturu a demonstruje správné zpracování dat platebních karet (včetně čísla karty, vypršení platnosti a ověřovacích dat) v zabezpečeném, vyhovujícím vícevrstvém prostředí. Tento podrobný plán ukazuje způsoby, jak zákazníci můžou splňovat specifické požadavky na zabezpečení a dodržování předpisů a slouží jako základ pro zákazníky, kteří můžou vytvářet a konfigurovat vlastní řešení pro analýzu dat v Azure.

Tato referenční architektura, průvodce implementací a model hrozeb poskytují základ pro zákazníky, kteří splňují požadavky PCI DSS 3.2. Toto řešení poskytuje směrný plán, který zákazníkům pomůže nasadit úlohy do Azure způsobem kompatibilním s PCI DSS 3.2; Toto řešení by však nemělo být použito tak, jak je v produkčním prostředí, protože je vyžadována další konfigurace.

Dosažení dodržování předpisů PCI DSS vyžaduje, aby akreditovaný kvalifikovaný posouzení zabezpečení (QSA) certifikoval produkční zákaznické řešení. Zákazníci zodpovídají za provádění vhodných posouzení zabezpečení a dodržování předpisů pro všechna řešení vytvořená pomocí této architektury, protože požadavky se můžou lišit v závislosti na specifikách implementace jednotlivých zákazníků.

Diagram architektury a komponenty

Tento podrobný plán zabezpečení a dodržování předpisů Azure poskytuje analytickou platformu, na které můžou zákazníci vytvářet vlastní analytické nástroje. Referenční architektura popisuje obecný případ použití, kdy zákazníci zadávají data buď prostřednictvím hromadného importu dat správcem SQL nebo dat, nebo prostřednictvím aktualizací provozních dat prostřednictvím provozního uživatele. Oba pracovní streamy zahrnují Azure Functions pro import dat do databáze SQL do Azure. Azure Functions musí zákazník nakonfigurovat prostřednictvím Azure-Portal pro zpracování úloh importu jedinečných pro vlastní požadavky na analýzu každého zákazníka.

Azure nabízí zákazníkům celou řadu služeb pro vytváření sestav a analýzy. Toto řešení zahrnuje Službu Azure Machine Learning ve spojení se službou SQL do Azure Database, která umožňuje rychle procházet data a poskytovat rychlejší výsledky prostřednictvím inteligentnějšího modelování. Azure Machine Learning zvyšuje rychlost dotazů tím, že zjišťuje nové relace mezi datovými sadami. Po natrénování dat pomocí několika statistických funkcí je možné synchronizovat až 7 dalších fondů dotazů (celkem 8 včetně serveru zákazníka) se stejnými tabulkovými modely za účelem rozložení úloh dotazů a zkrácení doby odezvy.

U rozšířených analýz a vytváření sestav je možné SQL do Azure databáze nakonfigurovat s indexy columnstore. Databáze Azure Machine Learning i SQL do Azure je možné vertikálně navýšit nebo vypnout nebo úplně vypnout v reakci na využití zákazníků. Veškerý provoz SQL je šifrovaný protokolem SSL prostřednictvím zahrnutí certifikátů podepsaných svým držitelem. Osvědčeným postupem je, že Azure doporučuje používat důvěryhodnou certifikační autoritu pro lepší zabezpečení.

Jakmile se data nahrají do databáze SQL do Azure a vytrénují službou Azure Machine Learning, budou data vytrénována provozním uživatelem i Správa SQL/Data pomocí Power BI. Power BI zobrazuje data intuitivně a shromažďuje informace napříč několika datovými sadami, aby bylo lepší přehled. Jeho vysoká míra přizpůsobení a snadná integrace s SQL do Azure Database zajišťuje, že zákazníci ho můžou nakonfigurovat tak, aby zvládli širokou škálu scénářů podle svých obchodních potřeb.

Řešení používá účty Azure Storage, které můžou zákazníci nakonfigurovat tak, aby používali šifrování služby Storage k zachování důvěrnosti neaktivních uložených dat. Azure ukládá tři kopie dat ve vybraném datacentru zákazníka pro zajištění odolnosti. Geograficky redundantní úložiště zajišťuje, že se data budou replikovat do sekundárního datacentra stovky kilometrů daleko a znovu se uloží jako tři kopie v rámci tohoto datacentra, což brání nežádoucí události v primárním datovém centru zákazníka, aby došlo ke ztrátě dat.

Kvůli lepšímu zabezpečení se všechny prostředky v tomto řešení spravují jako skupina prostředků prostřednictvím Azure Resource Manager. Řízení přístupu na základě role v Azure Active Directory slouží k řízení přístupu k nasazeným prostředkům, včetně jejich klíčů v Azure 密钥保管库. Stav systému se monitoruje prostřednictvím Azure Security Center a Azure Monitoru. Zákazníci nakonfigurují monitorovací služby tak, aby zaznamenávaly protokoly a zobrazovaly stav systému na jednom snadnovigovatelném řídicím panelu.

SQL do Azure Databáze se běžně spravuje prostřednictvím služby SQL Server Management Studio (SSMS), která běží z místního počítače nakonfigurovaného pro přístup k SQL do Azure Databázi prostřednictvím zabezpečeného připojení VPN nebo ExpressRoute. Microsoft doporučuje nakonfigurovat připojení VPN nebo ExpressRoute pro správu a import dat do referenční skupiny prostředků architektury.

Analýza referenčního diagramu architektury PCI DSS

Toto řešení používá následující služby Azure. Podrobnosti o architektuře nasazení najdete v části Architektura nasazení .

  • Application Insights
  • Azure Active Directory
  • Azure Data Catalog
  • Azure Disk Encryption
  • Azure Event Grid
  • Azure Functions
  • Azure Key Vault
  • Azure Machine Learning
  • Azure Monitor
  • Azure Security Center
  • Azure SQL Database
  • Azure Storage
  • Azure Virtual Network
    • (1) /16 Síť
    • (2) /24 Sítě
    • (2) Skupiny zabezpečení sítě
  • Řídicí panel Power BI

Architektura nasazení

Následující část podrobně popisuje prvky nasazení a implementace.

Azure Event Grid: Azure Event Grid umožňuje zákazníkům snadno vytvářet aplikace s architekturami založenými na událostech. Uživatelé vyberou prostředek Azure, ke kterým se chtějí přihlásit, a předají obslužné rutině události nebo webhooku koncový bod pro odeslání události. Zákazníci můžou zabezpečit koncové body webhooku přidáním parametrů dotazu do adresy URL webhooku při vytváření odběru událostí. Azure Event Grid podporuje pouze koncové body webhooku HTTPS. Azure Event Grid umožňuje zákazníkům řídit úroveň přístupu udělenou různým uživatelům, aby mohli provádět různé operace správy, jako jsou výpis odběry událostí, vytváření nových a generování klíčů. Event Grid využívá řízení přístupu na základě role v Azure.

Azure Functions: Azure Functions je výpočetní služba bez serveru, která uživatelům umožňuje spouštět kód na vyžádání, aniž by museli explicitně zřizovat nebo spravovat infrastrukturu. Azure Functions můžete použít ke spuštění skriptu nebo kusu kódu jako reakci na různé události.

Azure Machine Learning: Azure Machine Learning je technika datových věd, která umožňuje počítačům používat existující data k předpovídání budoucích chování, výsledků a trendů.

Azure katalog podataka: katalog podataka umožňuje snadno zjistitelné a srozumitelné zdroje dat uživatelům, kteří data spravují. Běžné zdroje dat je možné zaregistrovat, označit a vyhledat finanční data. Data zůstanou ve svém stávajícím umístění, ale do katalog podataka se přidá kopie metadat spolu s odkazem na umístění zdroje dat. Tato metadata jsou také indexována, aby byl každý zdroj dat snadno objevitelný prostřednictvím vyhledávání a aby byl srozumitelný uživatelům, kteří ho objevili.

Virtuální síť

Architektura definuje privátní virtuální síť s adresní prostorem 10.200.0.0/16.

Skupiny zabezpečení sítě: Skupiny zabezpečení sítě obsahují seznamy řízení přístupu, které povolují nebo zakazují provoz ve virtuální síti. Skupiny zabezpečení sítě je možné použít k zabezpečení provozu na úrovni podsítě nebo jednotlivých virtuálních počítačů. Existují následující skupiny zabezpečení sítě:

  • Skupina zabezpečení sítě pro Službu Active Directory
  • Skupina zabezpečení sítě pro úlohu

Každá skupina zabezpečení sítě má otevřené konkrétní porty a protokoly, aby řešení mohlo bezpečně a správně fungovat. Pro každou skupinu zabezpečení sítě jsou navíc povoleny následující konfigurace:

Podsítě: Každá podsíť je přidružená ke své odpovídající skupině zabezpečení sítě.

Přenášená data

Azure ve výchozím nastavení šifruje veškerou komunikaci s datacentry Azure a z datových center Azure. Všechny transakce do služby Azure Storage prostřednictvím Azure-Portal probíhají prostřednictvím protokolu HTTPS.

Neaktivní uložená data

Architektura chrání neaktivní uložená data prostřednictvím šifrování, auditování databáze a dalších měr.

Azure Storage: Aby bylo splněno požadavky na šifrovaná neaktivní uložená data, používá všechna služba Azure Storagešifrování služby Storage. To pomáhá chránit a chránit data držitelů karet při podpoře závazků v oblasti zabezpečení organizace a požadavků na dodržování předpisů definovaných pcI DSS 3.2.

Azure Disk Encryption: Azure Disk Encryption využívá funkci BitLockeru systému Windows k zajištění šifrování svazků pro datové disky. Řešení se integruje s Azure 密钥保管库, které pomáhá řídit a spravovat šifrovací klíče disku.

SQL do Azure Databáze: Instance databáze SQL do Azure používá následující bezpečnostní opatření databáze:

  • Ověřování a autorizace služby Active Directory umožňuje správu identit uživatelů databáze a dalších služeb Microsoftu v jednom centrálním umístění.
  • Auditování databáze SQL sleduje události databáze a zapisuje je do protokolu auditu v účtu úložiště Azure.
  • SQL do Azure Databáze je nakonfigurovaná tak, aby používala transparentní šifrování dat, které provádí šifrování a dešifrování databáze v reálném čase, přidružené zálohy a soubory transakčních protokolů k ochraně neaktivních uložených informací. Transparentní šifrování dat zajišťuje, že uložená data nejsou předmětem neoprávněného přístupu.
  • Pravidla brány firewall brání všem přístup k databázovým serverům, dokud nebudou udělena správná oprávnění. Brána firewall uděluje přístup k databázím v závislosti na zdrojové IP adrese každého požadavku.
  • Detekce hrozeb SQL umožňuje detekci a reakci na potenciální hrozby při jejich výskytu tím, že poskytuje výstrahy zabezpečení pro podezřelé databázové aktivity, potenciální ohrožení zabezpečení, útoky prostřednictvím injektáže SQL a neobvyklé vzory přístupu k databázím.
  • Šifrované sloupce zajišťují, že citlivá data se v databázovém systému nikdy nezobrazí jako prostý text. Po povolení šifrování dat mají přístup k datům prostého textu jenom klientské aplikace nebo aplikační servery s přístupem k klíčům.
  • Rozšířené vlastnosti lze použít k ukončení zpracování subjektů údajů, protože umožňuje uživatelům přidávat vlastní vlastnosti do databázových objektů a označit data jako "Ukončeno", aby podporovala logiku aplikace, aby se zabránilo zpracování přidružených finančních dat.
  • Zabezpečení na úrovni řádků umožňuje uživatelům definovat zásady, které omezují přístup k datům, aby ukončili zpracování.
  • SQL Database dynamické maskování dat omezuje ohrožení citlivých dat maskováním dat před neprivilegovanými uživateli nebo aplikacemi. Dynamické maskování dat může automaticky zjišťovat potenciálně citlivá data a navrhovat vhodné masky, které se mají použít. To pomáhá identifikovat a omezit přístup k datům tak, aby databáze neodejde prostřednictvím neoprávněného přístupu. Zákazníci zodpovídají za úpravu nastavení dynamické maskování dat tak, aby dodržovali schéma databáze.

Správa identit

Následující technologie poskytují možnosti pro správu přístupu k datům v prostředí Azure:

  • Azure Active Directory je cloudová služba a adresářová služba pro správu identit microsoftu s více tenanty. Všichni uživatelé pro toto řešení se vytvářejí v Azure Active Directory, včetně uživatelů, kteří přistupují k databázi SQL do Azure.
  • Ověřování k aplikaci se provádí pomocí Azure Active Directory. Další informace najdete v tématu Integrace aplikací se službou Azure Active Directory. Kromě toho šifrování sloupců databáze používá Azure Active Directory k ověření aplikace pro SQL do Azure Database. Další informace najdete v tématu ochrana citlivých dat v databázi SQL do Azure.
  • Řízení přístupu na základě role Azure umožňuje správcům definovat jemně odstupňovaná přístupová oprávnění k udělení pouze množství přístupu, které uživatelé potřebují k provádění svých úloh. Místo udělení neomezeného oprávnění pro prostředky Azure můžou správci povolit přístup k datům jenom určitým akcím. Přístup k předplatnému je omezený na správce předplatného.
  • Azure Active Directory Privileged Identity Management umožňuje zákazníkům minimalizovat počet uživatelů, kteří mají přístup k určitým informacím. Správci můžou pomocí Azure Active Directory Privileged Identity Management zjišťovat, omezovat a monitorovat privilegované identity a jejich přístup k prostředkům. Tato funkce se dá použít také k vynucení přístupu správce za běhu na vyžádání v případě potřeby.
  • Azure Active Directory Identity Protection detekuje potenciální ohrožení zabezpečení ovlivňující identity organizace, konfiguruje automatizované odpovědi na zjištěné podezřelé akce související s identitami organizace a prošetřuje podezřelé incidenty, aby bylo možné je vyřešit.

Zabezpečení

Správa tajných kódů: Řešení používá azure 密钥保管库 ke správě klíčů a tajných kódů. Azure Key Vault pomáhá chránit kryptografické klíče a tajné klíče používané cloudovými aplikacemi a službami. Následující možnosti azure 密钥保管库 pomáhají zákazníkům chránit a přistupovat k těmto datům:

  • Pokročilé zásady přístupu se konfigurují podle potřeby.
  • 密钥保管库 zásady přístupu jsou definovány s minimálními požadovanými oprávněními pro klíče a tajné kódy.
  • Všechny klíče a tajné kódy v 密钥保管库 mají data vypršení platnosti.
  • Všechny klíče v 密钥保管库 jsou chráněné specializovanými moduly hardwarového zabezpečení. Typ klíče je 2048bitový klíč RSA chráněný HSM.
  • Všem uživatelům a identitám se udělí minimální požadovaná oprávnění pomocí řízení přístupu na základě role.
  • Diagnostické protokoly pro 密钥保管库 jsou povolené s dobou uchovávání nejméně 365 dnů.
  • Povolené kryptografické operace pro klíče jsou omezené na požadované kryptografické operace.

Azure Security Center: Díky Azure Security Center můžou zákazníci centrálně používat a spravovat zásady zabezpečení napříč úlohami, omezit vystavení hrozbám a zjišťovat útoky a reagovat na ně. Kromě toho Azure Security Center přistupuje ke stávajícím konfiguracím služeb Azure za účelem poskytování doporučení ke konfiguraci a službám, které pomáhají zlepšit stav zabezpečení a chránit data.

Azure Security Center využívá celou řadu možností detekce k upozorňování zákazníků na potenciální útoky zaměřené na jejich prostředí. Tyto výstrahy obsahují cenné informace o tom, co výstrahu aktivovalo, o prostředcích na které cílí, a o zdroji útoku. Azure Security Center obsahuje sadu předdefinovaných výstrah zabezpečení, které se aktivují při hrozbě nebo podezřelé aktivitě. Vlastní pravidla upozornění v Azure Security Center umožňují zákazníkům definovat nová upozornění zabezpečení na základě dat, která už se shromažďují z jejich prostředí.

Azure Security Center poskytuje prioritní výstrahy zabezpečení a incidenty, což zákazníkům usnadňuje zjišťování a řešení potenciálních problémů se zabezpečením. Sestava analýzy hrozeb se generuje pro každou zjištěnou hrozbu, která pomáhá týmům reakce na incidenty při vyšetřování a nápravě hrozeb.

Protokolování a auditování

Služby Azure výrazně protokoluje systém a aktivitu uživatelů a také stav systému:

  • Protokoly aktivit: Protokoly aktivit poskytují přehled o operacích prováděných s prostředky v předplatném. Protokoly aktivit můžou pomoct určit iniciátor operace, čas výskytu a stav.
  • Diagnostické protokoly: Diagnostické protokoly zahrnují všechny protokoly generované všemi prostředky. Mezi tyto protokoly patří protokoly systému událostí Windows, protokoly služby Azure Storage, 密钥保管库 protokoly auditu a Application Gateway přístup a protokoly brány firewall. Všechny diagnostické protokoly se zapisují do centralizovaného a šifrovaného účtu úložiště Azure pro archivaci. Uchovávání je konfigurovatelné uživatelem až 730 dnů, aby splňovalo požadavky na uchovávání specifické pro organizaci.

Protokoly služby Azure Monitor: Tyto protokoly jsou sloučené v protokolech služby Azure Monitor pro zpracování, ukládání a vytváření sestav řídicích panelů. Po shromáždění jsou data uspořádaná do samostatných tabulek pro každý datový typ v rámci pracovních prostorů Služby Log Analytics, která umožňuje analyzovat všechna data společně bez ohledu na původní zdroj. Kromě toho se Azure Security Center integruje s protokoly služby Azure Monitor, které zákazníkům umožňují používat dotazy Kusto pro přístup k datům událostí zabezpečení a jejich kombinování s daty z jiných služeb.

Součástí této architektury jsou následující řešení pro monitorování Azure:

  • Posouzení služby Active Directory: Řešení pro kontrolu stavu služby Active Directory vyhodnocuje riziko a stav serverových prostředí v pravidelných intervalech a poskytuje seznam doporučení specifických pro nasazenou serverovou infrastrukturu.
  • SQL Assessment: Řešení SQL Health Check posuzuje riziko a stav serverových prostředí v pravidelných intervalech a poskytuje zákazníkům seznam doporučení specifických pro nasazenou serverovou infrastrukturu.
  • Stav agenta: Řešení Agent Health hlásí, kolik agentů se nasadí a jejich geografické distribuce, a také počet agentů, kteří nereagují, a počet agentů, kteří odesílají provozní data.
  • Log Analytics aktivit: Řešení Log Analytics aktivit pomáhá s analýzou protokolů aktivit Azure napříč všemi předplatnými Azure pro zákazníka.

Azure 自動化: Azure 自動化 obchody, spuštění a správa runbooků. V tomto řešení pomáhají runbooky shromažďovat protokoly z SQL do Azure Database. Řešení Automation Change Tracking umožňuje zákazníkům snadno identifikovat změny v prostředí.

Azure Monitor: Azure Monitor pomáhá uživatelům sledovat výkon, udržovat zabezpečení a identifikovat trendy tím, že organizacím umožňuje auditovat, vytvářet výstrahy a archivovat data, včetně sledování volání rozhraní API ve svých prostředcích Azure.

Application Insights: Application Insights je rozšiřitelná služba APM (Application Performance Management) pro webové vývojáře na více platformách. Detekuje anomálie výkonu a zahrnuje výkonné analytické nástroje, které pomáhají diagnostikovat problémy a pochopit, co uživatelé skutečně s aplikací dělají. Je navržený tak, aby uživatelům pomohl průběžně zlepšovat výkon a použitelnost.

Model hrozeb

Diagram toku dat pro tuto referenční architekturu je k dispozici ke stažení nebo ho najdete níže. Tento model může zákazníkům pomoct pochopit body potenciálního rizika v systémové infrastruktuře při úpravách.

Analýza referenční architektury PCI DSS – Analýza diagramu architektury

Dokumentace k dodržování předpisů

Podrobný plán zabezpečení a dodržování předpisů Azure – PCI DSS Customer Responsibility Matrix uvádí odpovědnost za všechny požadavky PCI DSS 3.2.

Podrobný plán zabezpečení a dodržování předpisů Azure – Implementační matice pro analýzu dat PCI DSS poskytuje informace o požadavcích PCI DSS 3.2, které řeší architektura analýzy dat, včetně podrobných popisů toho, jak implementace splňuje požadavky jednotlivých zahrnutých kontrol.

Pokyny a doporučení

VPN a ExpressRoute

Zabezpečený tunel VPN nebo ExpressRoute je potřeba nakonfigurovat tak, aby bezpečně navazoval připojení k prostředkům nasazeným v rámci této referenční architektury analýzy dat. Při vhodném nastavení sítě VPN nebo ExpressRoute můžou zákazníci přidat vrstvu ochrany pro přenášená data.

Implementací zabezpečeného tunelu VPN s Azure je možné vytvořit virtuální privátní připojení mezi místní sítí a azure Virtual Network. Toto připojení probíhá přes internet a umožňuje zákazníkům bezpečně "tunelovat" informace uvnitř šifrovaného propojení mezi sítí zákazníka a Azure. Site-to-Site VPN je zabezpečená vyspělá technologie, která byla nasazena podniky všech velikostí po desetiletí. Režim tunelu IPsec se v této možnosti používá jako šifrovací mechanismus.

Vzhledem k tomu, že provoz v tunelu VPN prochází internet pomocí sítě VPN typu site-to-site, Microsoft nabízí další, ještě bezpečnější možnost připojení. Azure ExpressRoute je vyhrazené propojení WAN mezi Azure a místním umístěním nebo poskytovatelem hostingu Exchange. Vzhledem k tomu, že připojení ExpressRoute nepřecházejí přes internet, nabízejí tato připojení větší spolehlivost, rychlejší rychlost, nižší latenci a vyšší zabezpečení než typická připojení přes internet. Vzhledem k tomu, že se jedná o přímé připojení poskytovatele telekomunikačních služeb zákazníka, data nepřejíždí přes internet, a proto nejsou vystavena.

Osvědčené postupy pro implementaci zabezpečené hybridní sítě, která rozšiřuje místní síť do Azure, jsou k dispozici.

Proces extrakce transformace a načítání

PolyBase může načíst data do SQL do Azure Databáze bez nutnosti samostatného extrahování, transformace, načítání nebo importu nástroje. PolyBase umožňuje přístup k datům prostřednictvím dotazů T-SQL. Sada business intelligence a analýzy Microsoftu, stejně jako nástroje třetích stran kompatibilní s SQL Server, je možné použít s PolyBase.

Nastavení Azure Active Directory

Azure Active Directory je nezbytné ke správě nasazení a zřizování přístupu k pracovníkům, kteří pracují s prostředím. Existující Windows Server Active Directory je možné integrovat se službou Azure Active Directory čtyřmi kliknutími. Zákazníci můžou také svázat nasazenou infrastrukturu služby Active Directory (řadiče domény) s existující službou Azure Active Directory tím, že nasadí infrastrukturu Active Directory jako subdoménu doménové struktury Azure Active Directory.

Disclaimer

  • This document is for informational purposes only. SPOLEČNOST MICROSOFT NEPOSKYTUJE ŽÁDNÉ ZÁRUKY, VÝSLOVNÉ, PŘEDPOKLÁDANÉ NEBO ZÁKONNÉ, POKUD JDE O INFORMACE V TOMTO DOKUMENTU. Tento dokument je k dispozici tak, jak je. Informace a zobrazení vyjádřená v tomto dokumentu, včetně adres URL a dalších odkazů na internetové webové stránky, se mohou změnit bez předchozího upozornění. Zákazníci, kteří si tento dokument čtou, nesou riziko jeho používání.
  • Tento dokument neposkytuje zákazníkům žádná právní práva k žádnému duševnímu vlastnictví v žádném produktu nebo řešení společnosti Microsoft.
  • Zákazníci můžou tento dokument kopírovat a používat pro interní referenční účely.
  • Určitá doporučení v tomto dokumentu můžou vést ke zvýšení využití dat, sítě nebo výpočetních prostředků v Azure a ke zvýšení nákladů na licenci nebo předplatné předplatného zákazníka.
  • Tato architektura je určená jako základ pro zákazníky, aby se přizpůsobili jejich konkrétním požadavkům a neměli by se používat tak, jak je v produkčním prostředí.
  • Tento dokument je vyvinut jako odkaz a neměl by být použit k definování všech prostředků, kterými zákazník může splňovat specifické požadavky na dodržování předpisů a předpisy. Zákazníci by měli vyhledat právní podporu od své organizace při schválených implementacích zákazníků.