Podstupujeme audity a certifikace třetími stranami, a vy se tak můžete s důvěrou spolehnout na to, že naše služby jsou navrženy a provozovány se zajištěním nejpřísnější ochrany.
Naším cílem je provozovat služby s takovou úrovní zabezpečení a ochrany osobních údajů, jakou očekáváte, a přesně vás o těchto skutečnostech informovat. Zavedli jsme a budeme nadále uplatňovat vhodná technická a organizační opatření, interní kontrolní mechanismy a postupy zabezpečení informací, jejichž cílem je zajistit ochranu dat zákaznicků před náhodnou ztrátou, zničením nebo poškozením, před nepovoleným sdílením nebo přístupem a před nezákonným zničením. Každý rok zadáváme třetím stranám – mezinárodně uznávaným auditorům – audit, abychom získali nezávislé potvrzení o dodržování zásad a postupů v oblasti zabezpečení, ochrany osobních údajů, kontinuity a dodržování předpisů.
| Vyhledávání certifikace a dodržování předpisů služeb MS Online | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Datová centra a fyzická infrastruktura služeb Office 365 a aplikace Microsoft Dynamics CRM Online (poskytováno službami Microsoft Global Foundation Services) | |
Tyto informace slouží pouze k obecným informačním účelům. Tyto informace mohou být kdykoli změněny a neměly by být vykládány jako závazek či záruka ze strany společnosti Microsoft.
Statement on Auditing Standards No. 70 (SAS 70) je auditní standard vytvořený institutem American Institute of Certified Public Accountants (AICPA) a je zaměřen na organizace poskytující služby. Organizace poskytující služby jsou obvykle subjekty, které poskytují služby outsourcingu, které mají dopad na řídicí prostředí zákazníků. Jako příklad organizací poskytujících služby lze uvést společnosti zpracovávající nároky vyplývající z pojištění a zdravotního pojištění, hostovaná datová centra, poskytovatele aplikačních služeb (ASP) a poskytovatele spravovaného zabezpečení. Od 15. června 2011 bude standard SAS 70 nahrazen standardem SSAE 16 (Statement on Standards for Attestation Engagements No. 16), který bude sloužit pro účely poskytování nezávislého ověření souladu se zásadami řízení v organizacích poskytujících služby. Audit podle standardu SSAE 16 i SAS 70 umožňují nezávislé ověření souladu se zásadami prvků zabezpečení a jejich účinnosti.
Na závěr prověřování podle standardu SSAE 16 nebo SAS 70 vyjádří příslušný servisní auditor své stanovisko k následujícím skutečnostem:
1. Zda je popis řídících prvků organizace poskytující služby prezentován poctivě, či nikoli.
2. Zda jsou řídící prvky organizace poskytující služby navrženy efektivně, či nikoli.
3. Zda jsou řídící prvky organizace poskytující služby ke stanovenému datu uvedeny do provozu, či nikoli.
4. Zda během stanoveného časového období efektivně fungují řídicí prvky organizace poskytující služby, či nikoli (pouze SAS 70 typ II / SSAE 16 SOC 1 typ II).
Audity SAS 70 / SSAE 16 společnosti Microsoft provádí externí třetí strana (jedna z hlavních čtyř auditorských firem).
Audity SAS 70 / SSAE 16 se provádí jednou za rok. Výsledná auditní zpráva vyjadřuje stanovisko externí třetí strany ohledně řídicích prvků. Další informace týkající se standardu a typů auditů naleznete na adrese www.aicpa.org.
Služby Global Foundational Services (GFS) zajišťují služby infrastruktury (datová centra a sítě) pro online produkty společnosti Microsoft, jako jsou služby Office 365, sada BPOS-S, BPOS-D, Dynamics CRM Online či platforma Windows Azure. U řídicích prvků na úrovni aplikací pro služby Office 365 a aplikaci Dynamics CRM Online je momentálně plánováno nejprve hodnocení podle standardu SSAE 16 SOC 1 typu I a následně hodnocení podle standardu SSAE SOC 1 typu II. Zpráva SSAE 16 pro služby Office 365 a aplikaci Dynamics CRM Online bude přidána ke zprávě pro služby GFS a bude zahrnovat informace o všech řídicích prvcích. Služby GFS jsou momentálně certifikovány podle standardu SAS 70 typu II a při příštím pravidelném plánovaném auditu budou prověřovány podle standardu SSAE 16.
Zásady zabezpečení informací služeb Microsoft Online Services mají těsnou vazbu na standard ISO 27002 rozšířený o požadavky specifické pro online služby. Organizace může získat certifikaci ISO 27001 pro svůj systém řízení zabezpečení informací (ISMS), který obvykle vychází ze standardu zabezpečení informací ISO 27002. Standard ISO je od roku 2009 základem služeb Microsoft Online Services a jejich podpůrné infrastruktury a byl certifikován Britským institutem pro standardizaci (BSI). Doporučujeme zákazníkům, aby se seznámili se standardem ISO (veřejně dostupný).
Všechny certifikace ISO jsou veřejně dostupné.
Rozsah působnosti řady standardů ISO 27000 je záměrně široký a pokrývá ochranu osobních údajů, důvěrnost, záležitosti technického zabezpečení a „zavedené pokyny a obecné principy pro zahájení, realizaci, udržování a zlepšování řízení zabezpečení informací v rámci organizace.“ Za tímto účelem tento standard popisuje stovky potenciálních řídících prvků a mechanismů.
Služby Global Foundational Services (GFS) poskytují služby infrastruktury (datová centra a sítě) online vlastnostem společnosti Microsoft, jako je sada BPOS-S, BPOS-D, Dynamics CRM Online, služby Office 365 či platforma Windows Azure. Kontrolní prvky na úrovni aplikace pro certifikace ISO budou přidány k certifikaci GFS a poskytnou koncové znázornění řídících prvků.
Evropská unie má díky směrnici EU o ochraně údajů přísnější pravidla ochrany osobních údajů než USA a většina ostatních zemí. Podle těchto pravidel je v EU zakázán přenos osobních údajů přes hranice do jiných zemí s výjimkou případů, kdy je tento převod legitimní na základě uznávaného mechanismu, jako je například certifikace na základě smluvně zakotvených zásad ochrany osobních údajů (Safe Harbor) popsaných v následující části.
S cílem umožnit kontinuální tok informací vyžadovaný mezinárodním obchodem dospěla Evropská komise k dohodě s Ministerstvem obchodu USA, podle níž se mohou organizace v USA samy certifikovat, a potvrdit tak, že splňují zásady Safe Harbor, které volně sledují požadavky Směrnice.
Pokud chce nějaká americká společnost či jiná organizace legálně přenášet data z EU do USA, musí se veřejně zaručit, že bude dodržovat smluvně zakotvené zásady ochrany osobních údajů (Safe Harbor), které jsou v souladu s pravidly ochrany osobních údajů platnými v EU. Společnost Microsoft má certifikaci Safe Harbor a může tedy v rámci služeb Microsoft Online Services přenášet data z EU ke zpracování v USA.
Doporučujeme zákazníkům, aby se prostřednictvím následujícího odkazu seznámili s principy certifikace, a dále s certifikací společnosti Microsoft na webových stránkách Ministerstva obchodu: rámcová pravidla Safe Harbor a certifikace.
Společnost Microsoft získala certifikaci v rámci programu Safe Harbor poprvé v roce 2001 a certifikaci souladu se smluvně zakotvenými zásadami ochrany osobních údajů obnovuje každých dvanáct měsíců.
Organizace certifikované v rámci programu Safe Harbor jsou jako organizace poskytující odpovídající úroveň ochrany osobních údajů, která umožňuje přenos přes hranice z příslušných zemí do USA, kromě členských států EU uznávány také členskými státy Evropského hospodářského prostoru (Island, Lichtenštejnsko a Norsko). Švýcarsko s ministerstvem obchodu USA uzavřelo velmi podobnou dohodu („švýcarská dohoda Safe Harbor“), která legalizuje přenos dat ze Švýcarska do USA a podle níž je společnost Microsoft také certifikována.
Některé další země, jako například Kanada a Argentina, přijaly vyčerpávající zákony na ochranu osobních údajů a byly EU schváleny pro přenos dat z EU do těchto zemí.
Vyhodnotit naše postupy zabezpečení a porovnat je s vašimi potřebami.
Zabezpečení služeb Microsoft Online Services patří k nejlepším na světě. Je však na vás, abyste vyhodnotili, zda jsou vaše data obzvláště citlivá, nebo zda na základě předpisů upravujících vaše odvětví vyžadují určitou úroveň zabezpečení. Taková data mohou vyžadovat zvláštní požadavky zabezpečení, které neposkytujeme.
V některých odvětvích například standardní hesla obsahují 10 znaků – naše hesla mají obvykle 8 znaků.
Za rozhodnutí, zda naše zabezpečení splňuje požadavky vaší společnosti, zodpovídáte vy.
Máte-li nějaké dotazy týkající se toho, zda služby Microsoft Online Services splňují určitý standard či požadavek zabezpečení, který zde není zmíněn, seznamte se s částí Zdroje nebo se obraťte na Podporu, a my vám dáme vědět.
Ne. Služby Microsoft Online Services vycházejí z rámce ISO 27001, a to s cílem trvale vyhodnocovat a zlepšovat naši nabídku služeb. Zásady zabezpečení informací služeb Microsoft Online Services rovněž zahrnují další požadavky odvozené z postupů zabezpečení patřících k nejlepším ve své třídě a z mapování relevantních mezinárodních, národních a státních/místních požadavků.
Organizace může získat certifikaci ISO 27001 pro svůj systém řízení zabezpečení informací (ISMS), který obvykle vychází ze standardu zabezpečení informací ISO 27002. Certifikaci lze získat od několika akreditovaných agentur. Společnost Microsoft získala certifikát od Britského institutu pro standardizaci (BSI). Audity ISO 27001 poskytují záruku v oblasti systémů řízení zabezpečení informací. Společnost Microsoft věří, že zajištěním transparentnosti umožňujeme zákazníkům vyhodnotit naše služby v porovnání s jejich požadavky a činit informovaná rozhodnutí.
Následující služby Office 365 jsou certifikovány podle standardu ISO: SharePoint Online, Lync Online, Exchange Online. Aplikace Microsoft Dynamics CRM Online je certifikována podle standardu ISO. Služby Global Foundation Services, infrastrukturní vrstva služeb (síť a datová centra), jsou také certifikovány podle standardu ISO 27001. Zákazníci využívající služeb Microsoft Online Services by se měli seznámit se standardem ISO (veřejně dostupné), aby mohli určit, zda jsou jejich požadavky na zabezpečení splněny.
Služby Microsoft Online Services poskytují řadu zdrojů, které zákazníkům pomáhají dostatečně porozumět zásadám společnosti Microsoft a činit rozhodnutí. Patří sem například následující dokumenty:
Standard SAS 70 se používá převážně ve Spojených státech pro audity systémů a účinnosti řídicích prvků. Standard SSAE 16 se bude používat podobným způsobem. Norma ISO 27001 je mezinárodní standard zaměřený na postupy zabezpečení organizací. Norma ISO 27001 se běžně používá v Evropě, Japonsku a některých dalších asijských zemích a stále častěji také ve Spojených státech. Norma ISO 27001 stanovuje soubor řídicích prvků zabezpečení a tyto prvky používá jako podmínku pro certifikaci. Je výrazně komplexnější než standardy SAS 70 a SSAE 16. Norma ISO 27001 se týká všech tří aspektů zabezpečení, které se obecně označují jako „CIA“: důvěrnost (Confidentiality), integrita (Integrity) a dostupnost (Availability). Certifikaci podle normy ISO 27001 mohou organizace získat prostřednictvím řady akreditovaných registrátorů po celém světě.
Služby Microsoft Online Services obvykle neobdrží auditní zprávy SAS 70 v jiných jazycích než v angličtině. Auditorská firma SAS 70 služeb Microsoft Online Services však může auditní zprávu na požádání přeložit do většiny cizích jazyků. Cena se liší v závislosti na požadovaném jazyce a hradí ji žadatel. Ne všechny jazyky jsou k dispozici. Potřebujete-li překlad, obraťte se na zákaznickou podporu služeb Microsoft Online Services.
Podrobnosti o tom, jak společnost Microsoft omezuje přístup k datům, naleznete v Centru zabezpečení v části s informacemi o přístupu pro správu.
Ne. Zákazníkům poskytujeme své nezávislé audity a certifikace, které nahrazují jednotlivé zákaznické audity. Tyto certifikace a atesty věrně reprezentují způsob, jímž odvozujeme a plníme své cíle v oblasti zabezpečení a dodržování předpisů, a slouží jako praktický mechanismus k ověření našich slibů vůči všem zákazníkům. Umožnit potenciálně tisícům zákazníků provádět audit našich služeb by nebylo v praxi proveditelné a mohlo by to ohrozit bezpečnost.
Interní sledování služeb Microsoft Online Services zahrnuje automatické sledování dodržování předpisů u infrastruktury (např. kontroly zranitelnosti, testování průniku a testování řídících prvků procesů a osob). Program ověření služeb Microsoft Online Services třetí stranou zahrnuje nezávislé audity, které jsou prováděny jednou za rok a poskytují ověření pozice služeb Microsoft Online Services v oblasti zabezpečení.
Ne. Společnost Microsoft nemůže u jednotlivého zákazníka sjednat přizpůsobené povinnosti auditu. Přizpůsobení auditů není proveditelné z důvodu nákladů a potenciálních konfliktů mezi různými povinnostmi.
Informace týkající se způsobu, jímž společnost Microsoft reaguje na narušení dat, naleznete ve znění své servisní smlouvy.