نحصل على عمليات تدقيق وشهادات تجريها أطراف أخرى؛ حتى تثق في خدماتنا المصممة والمشغلة باستخدام ضوابط صارمة.
أهدافنا هي تشغيل خدماتنا بمعايير الأمان والخصوصية المتوقعة، ومنحك تأكيدًا دقيقًا بشأن الأمان والخصوصية لدينا. لقد طبقنا - وسنحافظ على - إجراءات فنية وتنظيمية سليمة، وضوابط داخلية وإجراءات أمان معلومات، بهدف حماية بيانات العميل من الفقد أو التلف أو التغيير بدون قصد، أو الإفشاء أو الوصول غير المصرح به، أو الإتلاف غير القانوني. ونقوم كل عام بإجراء عمليات تدقيق يجريها طرف ثالث من المدققين المعترف بهم دوليًا للتأكيد أن لدينا إثبات مستقل بالتوافق مع سياساتنا وإجراءات الأمان والخصوصية والاستمرارية والتوافق.
| الباحث عن شهادة MS Online والتوافق | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| مراكز البيانات والبنية الأساسية المادية لـ Office 365 وMicrosoft Dynamics CRM Online (متوفر بواسطة Microsoft Global Foundation Services) | |
لا يتم استخدام هذه المعلومات سوى للأغراض المعلوماتية فقط. وتخضع هذه المعلومات للتغيير في أي وقت وينبغي عدم تفسير ذلك على أنه التزام أو ضمان من جانب Microsoft.
يُعد بيان معايير التدقيق رقم 70 (SAS 70) معيارًا للتدقيق تم إنشاؤه بواسطة المعهد الأمريكي للمحاسبين القانونيين (AICPA) وقد تم إعداده من أجل مؤسسات الخدمات. وتُعد مؤسسات الخدمات عادة كيانات تعمل على توفير خدمات استعانة بمصادر خارجية، تؤثر على بيئة التحكم في العملاء الخاصة بهم. من أمثلة المؤسسات الخدمية معالجو الدعاوى التأمينية والصحية ومراكز البيانات المستضافة وموفرو خدمة التطبيقات (ASP) وموفرو الأمان المُدارون. يحل SSAE 16 (البيان رقم 16 حول معايير ارتباطات الإثبات) - الساري بدءًا من 15 يونيو 2011 محل SAS 70 كمعيار لتقديم تحقق مستقل عن التوافق مع ضوابط مؤسسة الخدمة. ويعد التدقيقان SSAE 16 وSAS 70 كلاهما تحققًا مستقلاً للتوافق مع ضوابط الأمان وفعالية ضوابط الأمان.
في نهاية اختبار مدقق الخدمة SSAE 16 أو SAS 70 ("تدقيق SAS 70/ SSAE 16")، يقوم مدقق الخدمة بتقديم رأيه فيما يلي:
1. هل وصف مؤسسة الخدمة للضوابط مقدم بإنصاف أم لا.
2. هل ضوابط مؤسسة الخدمة مصممة بفاعلية أم لا.
3. هل وُضعت ضوابط مؤسسة الخدمة قيد التنفيذ اعتبارًا من تاريخ محدد أم لا.
4. هل تعمل ضوابط مؤسسة الخدمة بفاعلية خلال مدة زمنية محددة أم لا. (SAS 70 Type II/ SSAE 16 SOC 1 Type II فقط).
تتم إدارة عمليات تدقيق SAS 70/ SSAE 16 الخاصة بـ Microsoft بواسطة طرف ثالث خارجي (إحدى "أكبر أربع" مؤسسات محاسبية).
يتم إجراء عمليات تدقيق SAS 70/SSAE 16 مرة في العام. ويتم إجراء تقرير التدقيق وبه الرأي في الضوابط بواسطة طرف ثالث خارجي. ويمكنك العثور على مزيد من المعلومات المتعلقة بالمعيار وأنواع عمليات التدقيق على الموقع www.aicpa.org.
توفر Global Foundational Services (GFS) خدمات بنية أساسية (مراكز بيانات وشبكات اتصال) إلى ممتلكات Microsoft عبر الإنترنت، مثل Office 365 وBPOS-S وBPOS-D وDynamics CRM Online وWindows Azure. ويتم التخطيط حاليًا لتقييم ضوابط طبقة التطبيقات الخاصة بـ Office 365 وDynamics CRM Online لتكون الأولى ضمن SSAE 16 SOC 1 Type I، على أن يتبعها التقييم ضمن SSAE SOC 1 Type II. سيتم تجميع تقرير SSAE 16 لـ Office 365 وDynamics CRM Online أعلى تقرير GFS لتوفير تمثيل مباشر للضوابط. كما أن GFS حاصلة على شهادة SAS 70 Type II حاليًا، وسيتم تدقيقها وفق SSAE 16 خلال التدقيق الدوري المقرر في المرة القادمة.
تتماشى سياسة أمان المعلومات الخاصة بـ Microsoft Online Services مع معايير ISO 27002 بالإضافة إلى المتطلبات المحددة لـ Online Services. وقد تحصل إحدى المؤسسات على شهادة ISO 27001 بشأن نظم إدارة أمن المعلومات (ISMS) الخاصة بها، والتي تعتمد عادة على معايير ISO 27002 لأمان المعلومات. وقد كانت ISO مؤسس Microsoft Online Services بالإضافة إلى بنية الدعم الأساسية منذ عام 2009 وهي معتمدة بواسطة المعهد البريطاني للمعايير (BSI). وينصح العملاء بمراجعة معايير ISO - (متوفرة للجمهور).
تتوفر جميع شهادات ISO بشكل عام.
تكون مجموعة المعايير ISO 27000 واسعة النطاق بشكل مقصود، حيث تغطي مشكلات الخصوصية والسرية والأمان التقني "التوجيهات المعترف بها والمبادئ العامة لإنشاء إدارة أمن المعلومات وتطبيقها والحفاظ عليها وتحسينها داخل إحدى المؤسسات". وإلى هذا الحد، فإن المعايير توضح مئات الضوابط وآليات التحكم المحتملة.
توفر Global Foundational Services (GFS) خدمات بنية أساسية (مراكز بيانات وشبكات اتصال) إلى ممتلكات Microsoft عبر الإنترنت، مثل BPOS-S وBPOS-D وDynamics CRM Online وOffice 365 وWindows Azure. يتم تجميع ضوابط طبقة التطبيقات الخاصة بشهادات ISO أعلى شهادة GFS لتوفير تمثيل مباشر للضوابط.
يطبق الاتحاد الأوروبي، من خلال توجيه حماية البيانات بالاتحاد الأوروبي، قواعد أكثر حزمًا عن الولايات المتحدة ومعظم البلدان الأخرى. ولتنفيذ هذه القواعد، يحظر الاتحاد الأوروبي عمومًا نقل البيانات الشخصية عبر الحدود إلى بلدان أخرى إلا في حالات معينة تكون فيها عملية النقل مشروعة بواسطة آلية معترف بها، مثل شهادة "Safe Harbor" الموضحة أدناه.
للسماح بالتدفق المستمر للمعلومات المطلوب بواسطة شركات دولية، قام الاتحاد الأوروبي بإبرام اتفاقية مع وزارة التجارة الأمريكية، والتي تستطيع المؤسسات الأمريكية من خلالها الاعتماد الذاتي كما هو مطابق لمبادئ اتفاقية Safe Harbor، والتي تتبع بشكل غير دقيق متطلبات التوجيه.
إذا كانت إحدى الشركات تريد نقل بيانات من الاتحاد الأوروبي إلى الولايات المتحدة، فيجب أن تقر الشركة الأمريكية أو أي مؤسسة أخرى على نحو عام بأنها ستلتزم بمبادئ اتفاقية Safe Harbor، والتي تتماشى مع قواعد الخصوصية في الاتحاد الأوروبي. يمكن لـ Microsoft Online Services نقل بيانات من الاتحاد الأوروبي إلى الولايات المتحدة للمعالجة نظرًا لأن Microsoft معتمدة من قبل Safe Harbor.
يُنصح العملاء بمراجعة مبادئ الشهادات عبر اتباع الارتباط التالي، بالإضافة إلى موقع ويب الخاص بشهادة Microsoft مع وزارة التجارة: إطار عمل Safe Harbor والشهادة.
لقد رُخصت Microsoft بواسطة برنامج Safe Harbor لأول مرة عام 2001، كما نعيد التصديق على التوافق مع مبادئ Safe Harbor كل اثني عشر شهرًا.
علاوة على البلدان الأعضاء بالاتحاد الأوروبي، تعترف أعضاء المنطقة الاقتصادية الأوروبية (أيسلندا وليشتنشتاين والنرويج) بالمؤسسات المعتمدة ضمن برنامج Safe Harbor نظرًا لتوفيرها حماية كافية للخصوصية لتبرير عمليات النقل خارج الحدود من البلدان الخاصة بهم إلى الولايات المتحدة أو سويسرا والموقِّع بينهما اتفاقية مماثلة تقريبًا ("Safe Harbor السويسرية والأمريكية") بين وزارة التجارة الأمريكية لإجازة عمليات النقل من سويسرا إلى الولايات المتحدة، والتي تعتمدها Microsoft أيضًا.
وقد قامت عدة بلدان أخرى، مثل كندا والأرجنتين، بإقرار قوانين شاملة للخصوصية وقد سمح لهم الاتحاد الأوروبي بنقل البيانات من الاتحاد الأوروبي إلى هذه البلدان.
عليك تقييم إجراءات الأمان الخاصة بنا مقابل احتياجاتك.
يتميز الأمان الخاص بـ Microsoft Online Services على مستوى العالم. ومع ذلك، فالأمر يرجع إليك في التقييم إذا كانت لديك بيانات حساسة محددة أو بيانات يجب تناولها على مستوى محدد من الأمان بموجب اللوائح المعمول بها في المجال الخاص بك. وقد تتطلب هذه البيانات متطلبات أمان محددة لا نوفرها.
على سبيل المثال، قد تكون في مجال يتطلب معياره كلمات مرور مكونة من 10 أحرف بينما نستخدم عادة كلمات مرور مكونة من ثمانية أحرف.
وإنك مسؤول عن تحديد ما إذا كان الأمان الخاص بنا يفي بمتطلبات مؤسستك.
إذا كانت لديك أية تساؤلات حول ما إذا كانت Microsoft Online Services تفي بأحد معايير أو متطلبات الأمان المحددة التي لم تتم مناقشتها هنا، فيمكنك التحقق من بند الموارد أو الاتصال بالدعم وسنجيبك عنها.
لا، تعتمد Microsoft Online Services على إطار عمل ISO 27001 للتقييم المستمر وتحسين توفير خدماتنا. وتدمج سياسة أمان المعلومات الخاصة بـ Microsoft Online Services أيضًا بين متطلبات إضافية مشتقة من أفضل ممارسات الأمان وتعيين المتطلبات الدولية والوطنية والمتعلقة بالدولة/الإقليم ذات الصلة.
ويجوز لإحدى المؤسسات الحصول على شهادة ISO 27001 بشأن نظم إدارة أمن المعلومات (ISMS)، والتي تعتمد عادة على معيار أمان المعلومات ISO 27002. ويمكن أن تطلب الشهادة من خلال عدد من الوكلاء المعتمدين. وقد حصلت Microsoft على شهادة من المعهد البريطاني للمعايير (BSI). وتوفر عمليات تدقيق ISO 27001 تأكيدًا حول نظم إدارة أمان المعلومات. تؤمن Microsoft بأنه من خلال توفير الشفافية، فإننا نسمح لعملائنا بتقييم خدماتنا في مقابل المتطلبات الخاصة بهم واتخاذ قرارات مدروسة.
خدمات Office 365 التالية حاصلة على شهادة ISO: SharePoint Online وLync Online وExchange Online. خدمة Microsoft Dynamics CRM عبر الإنترنت أيضًا حاصلة على شهادة ISO. كما أن Global Foundation Services، وطبقة البنية الأساسية الخاصة بالخدمات (شبكات الاتصال ومراكز البيانات) حاصلة على شهادة ISO 27001. ويجب على عملاء Microsoft Online Services مراجعة معيار ISO (متوفر للجمهور) لتحديد ما إذا كانت متطلبات الأمان الخاصة بهم يتم الوفاء بها أم لا.
توفر Microsoft Online Services عددًا من الموارد لمساعدة العملاء على اتخاذ قرار وإدراك سياسات Microsoft بشكل كافٍ، بما في ذلك المستندات التالية:
يُستخدم SAS 70 في الولايات المتحدة بشكل أكبر لتوفير تدقيق على تصميم الضوابط وفعاليتها، وسيتم استخدام SSAE 16 بطريقة مشابهة. ويُعد ISO 27001 معيارًا دوليًا تم إعداده ليلائم ممارسات الأمان الخاصة بإحدى المؤسسات. كما أنه منتشر في البلدان الأوروبية واليابان وبعض البلدان الآسيوية، ولكنه يحظى بانتشار أكبر في الولايات المتحدة. ويشترط المعيار ISO 27001 مجموعة من الضوابط والشهادات المتعلقة بالأمان في مقابل هذه الضوابط، فإنه أكثر شمولاً في التغطية عن SAS 70/SSAE 16. حيث تتناول ISO 27001 المجالات الثلاثة المتعلقة بالأمان جميعها، والتي يُشار إليها عادة بثلاثي: السرية والتكامل والتوفر. وقد تكون المؤسسات معتمدة على أنها متوافقة مع المعيار ISO 27001 من خلال عدد من المسجلين المعتمدين حول العالم.
لا تتلقى Microsoft Online Services عادة تقارير تدقيق SAS 70 بلغات أخرى سوى الإنجليزية. ومع ذلك، فإن مؤسسة تدقيق SAS 70 الخاصة بـ Microsoft Online Services لديها القدرة على ترجمة تقرير التدقيق لمعظم اللغات الأجنبية حسب الطلب. وتختلف التكلفة باختلاف اللغة المطلوبة، ويدفعها العميل مقدم الطلب. ولا تتوفر جميع اللغات، الرجاء الاتصال بدعم عملاء Microsoft Online Services إذا أردت الحصول على نسخة.
راجع مقطع الوصول الإداري في "مركز التوثيق" لإدراك كيفية تقييد Microsoft للوصول إلى البيانات.
لا. يتم إطلاع العملاء على عمليات التدقيق والشهادات المستقلة الخاصة بنا بدلاً من إجراء عمليات تدقيق بواسطة كل عميل على حدة. وتوضح هذه الشهادات والأدلة بدقة كيفية تحقيق أهداف الأمان والتوافق واستيفائها وتكون بمثابة آلية عملية لتأكيد صحة تعهداتنا لجميع العملاء. حيث قد يؤدي السماح للآلاف من العملاء المحتملين بتدقيق خدماتنا إلى ممارسة قابلة للتوسع وقد يؤدي إلى تهديد الأمان.
تتضمن المراقبة الداخلية لـ Microsoft Online Services مراقبة توافق تلقائية للبنية الأساسية (مثل عمليات فحص الثغرات الأمنية واختبارات الاختراق واختبارات المعالجة واختبارات على الأشخاص). ويتضمن برنامج التأكيد الذي يجريه طرف ثالث على Microsoft Online Services عمليات تدقيق مستقلة يتم إجراؤها على أساس سنوي لتوفير تأكيد بشأن وضع أمان Microsoft Online Services.
لا. فليس بإمكان Microsoft الموافقة على تخصيص التزامات التدقيق لعميل فردي. حيث تجعل التكاليف والتعارضات المحتملة بين الالتزامات المختلفة من غير العملي إجراء عمليات التدقيق المخصصة.
للحصول على معلومات حول كيفية استجابة Microsoft إلى خروقات البيانات، الرجاء الاطلاع على اتفاقية الخدمة.