Vores tjenester er underlagt revisioner og certificeringer fra tredjepart, så du kan have tillid til, at de opfylder strenge krav til sikkerheden både mht. design og administration.
Det er vores mål at drive vores tjenester med den sikkerhed og beskyttelse af personlige oplysninger, du forventer, og give dig præcise forsikringer om vores sikkerhed og beskyttelse af personlige oplysninger. Vi har implementeret relevante tekniske og organisatoriske forholdsregler, interne kontrolforanstaltninger og databeskyttelsesrutiner for at beskytte kundedata mod utilsigtet tab, destruktion eller ændring, uautoriseret videregivelse eller adgang samt ulovlig destruktion. Vi undergår hvert år revisioner fra tredjepart, som udføres af anerkendte revisionsfirmaer, for at sikre, at vi har uafhængig dokumentation for, at vi overholder vores politikker og procedurer for sikkerhed, beskyttelse af personlige oplysninger, uafbrudt drift og kompatibilitet.
| MS Online – søgevindue for certificering og kompatibilitet | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365 og Microsoft Dynamics CRM Online – datacentre og fysisk infrastruktur (leveres af Microsoft Global Foundation Services) | |
Disse oplysninger er udelukkende til generel information. Oplysningerne kan til enhver tid ændres uden forudgående varsel og skal ikke opfattes som en forpligtelse eller garanti fra Microsofts side.
SAS 70 (Statement on Auditing Standards No. 70) er en revisionsstandard, som er udarbejdet af AICPA (American Institute of Certified Public Accountants), og som er rettet mod serviceorganisationer. Serviceorganisationer er typisk enheder, som leverer outsourcingtjenester, der påvirker kundernes kontrolmiljø. Eksempler på sådanne serviceorganisationer er skadebehandlingsinstanser inden for forsikrings- og medicinalbranchen, værtsbaserede datacentre, programtjenesteudbydere og leverandører af administreret sikkerhed. Fra og med den 15. juni 2011 erstatter SSAE 16 (Statement on Standards for Attestation Engagements No. 16) SAS 70 som standarden for en uafhængig bekræftelse af en serviceorganisations kontrolforanstaltninger. Både SSAE 16- og SAS 70-revisioner er uafhængige bekræftelser på overensstemmelse med sikkerhedskontrollernes kompatibilitet og effektivitet.
Ved afslutningen af revisorens SSAE 16- eller SAS 70-undersøgelse ("SAS 70/SSAE 16-revision") præsenterer revisoren sin vurdering af følgende:
1. Hvorvidt serviceorganisationens beskrivelse af de anvendte kontrolforanstaltninger er retvisende.
2. Hvorvidt serviceorganisationens kontrolforanstaltninger er effektive.
3. Hvorvidt serviceorganisationens kontrolforanstaltninger er taget i drift på en angivet dato.
4. Hvorvidt serviceorganisationens kontrolforanstaltninger fungerer effektivt i løbet af en angivet periode (gælder kun SAS 70 Type II/SSAE 16 SOC 1 Type II).
Microsofts SAS 70/SSAE 16--revisioner udføres af en ekstern tredjepart (et af de fire store revisionsfirmaer ("Big Four")).
SAS 70/SSAE 16-revisioner udføres en gang om året. Revisionsrapporten indeholder den eksterne tredjeparts vurdering af de anvendte kontrolforanstaltninger. Du kan finde flere oplysninger om revisionsstandarder og -typer på www.aicpa.org.
GFS (Global Foundational Services) leverer infrastrukturtjenester (datacentre og netværk) til Microsofts onlineprodukter, f.eks. Office 365, BPOS-S, BPOS-D, Dynamics CRM Online og Windows Azure. Kontrolforanstaltningerne på programniveau i Office 365 og Dynamics CRM Online er i øjeblikket planlagt til at blive vurderet først i henhold til SSAE 16 SOC 1 Type I og derefter i henhold til SSAE SOC 1 Type II. Office 365 og Dynamics CRM Online SSAE 16-rapporten udgør et lag oven på GFS-rapporten, så der opnås et komplet sæt af kontrolforanstaltninger. GFS er i dag certificeret i henhold til SAS 70 Type II og vil blive revideret i henhold til SSAE 16 i forbindelse med den næste regelmæssigt planlagte revision.
Sikkerhedspolitikken for Microsoft Online Services Information overholder ISO 27002, herunder særlige udvidede krav til onlinetjenester. En virksomhed kan opnå ISO 27001-certificering af virksomhedens ISMS (Information Security Management Systems), som typisk er baseret på ISO 27002-standarder for datasikkerhed. ISO har været grundlaget for Microsoft Online Services og den understøttende infrastruktur siden 2009 og er certificeret af BSI (British Standards Institution). Kunder kan finde flere oplysninger under offentligt tilgængelige ISO-standarder.
Alle ISO-certificeringerne er offentligt tilgængelige.
Standarderne i ISO 27000-serien har et tilsigtet bredt omfang, som omfatter beskyttelse af personlige oplysninger, fortrolighed og tekniske sikkerhedsforanstaltninger samt "etablerede retningslinjer og generelle principper for start, implementering, vedligeholdelse og forbedret administration af virksomhedens datasikkerhed". Standarden indeholder en beskrivelse af hundredvis af potentielle kontrolforanstaltninger og kontrolmekanismer, som understøtter dette.
GFS (Global Foundational Services) leverer infrastrukturtjenester (datacentre og netværk) til Microsofts onlineprodukter, f.eks. BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 og Windows Azure. Kontrolforanstaltninger på programniveau til ISO-certificeringer udgør et lag oven på GFS-certificeringen, så der opnås et komplet sæt af kontrolforanstaltninger.
EU har i kraft af EU's databeskyttelsesdirektiv strengere regler for beskyttelse af personlige oplysninger end USA og de fleste andre lande. EU har f.eks. vedtaget en regel, som generelt forbyder overførsel af personlige data til andre lande med undtagelse af særlige tilfælde, hvor en sådan overførsel er blevet godkendt af en anerkendt mekanisme, f.eks. "Safe Harbor"-certificeringen som beskrevet nedenfor.
Europa-Kommissionen har i den forbindelse indgået en aftale med det amerikanske handelsministerium, som gør det muligt for amerikanske virksomheder selv at certificere, at de overholder Safe Harbor-principperne i relation til kravene i EU's direktiv om databeskyttelse, så internationale virksomheder er sikret en uafbrudt strøm af data.
En virksomhed kan lovligt overføre data fra EU til USA, hvis den amerikanske virksomhed eller en anden organisation offentligt bekræfter, at den vil overholde principperne i Safe Harbor i relation til EU's regler om beskyttelse af personlige oplysninger. Microsoft Online Services er Safe Harbor-certificeret og kan derfor overføre data fra EU til behandling i USA.
Kunder opfordres til at gennemse certificeringsprincipperne, som er tilgængelige via følgende link, samt Microsofts certificering på det amerikanske handelsministeriums websted: Safe Harbor-grundlaget og Certificering.
Microsoft blev første gang certificeret i henhold til Safe Harbor-programmet i 2001, og vi fornyr certificeringen en gang om året og bekræfter, at Microsoft overholder principperne i Safe Harbor.
Ud over EU's medlemsstater anerkender også medlemmerne af det Europæiske Økonomiske Samarbejdsområde (Island, Liechtenstein og Norge), at virksomheder, som er certificeret i henhold til Safe Harbor-programmet, opfylder de nødvendige krav om beskyttelse af personlige oplysninger og dermed er berettiget til at overføre data fra deres respektive lande til USA. Schweiz har indgået en næsten identisk aftale ("den schweiziske Safe Harbor") med det amerikanske handelsministerium, som godkender dataoverførsler fra Schweiz til USA. Microsoft er også certificeret i henhold til denne standard.
Forskellige andre lande, f.eks. Canada og Argentina, har vedtaget omfattende love om beskyttelse af personlige oplysninger, og EU har godkendt, at der overføres data fra EU til disse lande.
Vurder dine sikkerhedsprocedurer i forhold til dit behov.
Microsoft Online Services tilbyder sikkerhed i verdensklasse. Det er dog op til dig at vurdere, om du har særlig følsomme data, eller data, som er omfattet af branchespecifikke regler om sikker opbevaring. Sådanne data stiller muligvis særlige krav til sikkerheden, som vi ikke kan opfylde.
Din branche kan f.eks. stille krav om, at adgangskoder skal indeholde ti tegn. Vores adgangskoder indeholder normalt kun otte tegn.
Du er ansvarlig for at vurdere, om den sikkerhed, vi tilbyder, opfylder organisationens behov.
Hvis du har spørgsmål om, hvorvidt Microsoft Online Services overholder en bestemt sikkerhedsstandard eller et bestemt sikkerhedskrav, som ikke er beskrevet her, kan du finde flere oplysninger i afsnittet med ressourcer eller kontakte support, så vi kan undersøge det for dig.
Nej. Microsoft Online Services er baseret på ISO 27001-standarder med henblik på løbende vurdering og forbedring af de tjenester, vi tilbyder. Sikkerhedspolitikken for Microsoft Online Services-data indeholder yderligere krav, som er baseret på klassens bedste praksis for sikkerhed og tilknytning af relevante internationale, nationale og lokale krav.
En virksomhed kan opnå ISO 27001-certificering af organisationens ISMS (Information Security Management Systems), som typisk er baseret på ISO 27002-standarder for datasikkerhed. Det er muligt at opnå certificering gennem et udvalg af akkrediterede organer. Microsoft har opnået sin certificering gennem BSI (British Standards Institution). ISO 27001-revisioner garanterer sikkerheden i forbindelse med vores ISMS-systemer til administration af datasikkerhed. Microsoft giver kunderne den nødvendige gennemsigtighed, så de kan vurdere vores tjenester i forhold til deres behov og træffe kvalificerede beslutninger.
Følgende Office 365-tjenester er ISO-certificerede: SharePoint Online, Lync Online og Exchange Online. Microsoft Dynamics CRM-onlinetjenesten er ISO-certificeret. Global Foundation Services, som er tjenesternes infrastrukturlag (netværk og datacentre), er også ISO 27001-certificeret. Vi anbefaler, at Microsoft Online Services-kunder gennemser ISO-standarden, som er offentlig tilgængelig, for at vurdere, om deres krav til sikkerhed er opfyldt.
Microsoft Online Services stiller forskellige ressourcer til rådighed, som kan hjælpe kunderne med at vurdere og opnå tilstrækkelige indsigt i Microsofts politikker, herunder følgende dokumenter:
SAS 70 er fortrinsvis blevet brugt i USA til vurdering af kontrolforanstaltningers design og effektivitet, og SSAE 16 anvendes på samme måde. ISO 27001 er en international standard, som er rettet mod en organisations sikkerhedsforanstaltninger. ISO 27001 bruges fortrinsvis i Europa, Japan og visse asiatiske lande, men bliver stadig mere udbredt i USA. ISO 27001 angiver et sæt sikkerhedskontrolforanstaltninger, som skal være på plads for at opnå certificeringen. Den omfatter langt flere elementer end SAS 70/SSAE 16. ISO 27001 vurderer de tre sikkerhedsaspekter, fortrolighed, integritet og tilgængelighed, også kaldet CIA (Confidentiality, Integrity and Availability). Organisationer kan opnå certificering i henhold til ISO 27001 gennem et antal akkrediterede registratorer verden over.
SAS 70-revisionsrapporter for Microsoft Online Services findes typisk kun på engelsk. Microsoft Online Services SAS 70-revisionsfirmaerne har dog efter anmodning mulighed for at oversætte revisionsrapporten til de fleste fremmedsprog. Omkostningerne varierer afhængigt af sproget og skal afholdes af den kunde, der anmoder om oversættelsen. Kontakt Microsoft Online Services-kundesupport, hvis du har brug for en oversættelse.
Se afsnittet Administratoradgang i Center for sikkerhed og rettighedsadministration for at få mere at vide om, hvordan Microsoft begrænser adgangen til data.
Nej. Vi deler vores uafhængige revisioner og certificeringer med kunderne i stedet for at tillade individuelle kunderevisioner. Disse certificeringer og attestationer giver et præcist billede af, hvordan vi identificerer og opfylder vores målsætninger om sikkerhed og kompatibilitet, og fungerer som en praktisk mekanisme for alle vores kunder til at vurdere, om vi holder, hvad vi lover. Det ville ikke være praktisk muligt for os at give tusindvis af kunder tilladelse til at udføre individuelle revisioner af vores tjenester, og det ville i værste fald kunne udgøre en trussel mod sikkerheden.
Den indbyggede overvågning i Microsoft Online Services omfatter automatisk overvågning af infrastrukturens kompatibilitet, f.eks. scanning af sikkerhedsrisici, test af indtrængning og test af kontrolprocesser og manuelle kontrolelementer. Det uafhængige valideringsprogram for Microsoft Online Services omfatter årlige uafhængige revisioner til bekræftelse af, at Microsoft Online Services lever op til målsætningerne for sikkerhed.
Nej. Microsoft kan ikke udføre brugerdefinerede revisioner for individuelle kunder. Brugerdefinerede revisioner er både dyre og forbundet med potentielle konflikter mellem forskellige forpligtelser, som gør dem praktisk umuligt at håndtere.
Du kan finde oplysninger om, hvordan Microsoft håndterer brud på datasikkerheden, i din individuelle serviceaftale.