Wir lassen unsere Systeme von Drittanbietern prüfen und zertifizieren, damit Sie darauf vertrauen können, dass unsere Dienste mit strengen Schutzvorrichtungen entwickelt und ausgeführt werden.
Unser Ziel ist es, bei der Bereitstellung unserer Dienste das Maß an Sicherheit und Datenschutz zu bieten, das Sie erwarten, und Ihnen die Sicherheit und den Datenschutz akkurat zusichern zu können. Wir haben geeignete technische und organisatorische Maßnahmen, interne Kontrollen und Informationssicherheitsroutinen eingeführt und halten diese aufrecht, um Kundendaten vor unbeabsichtigtem Verlust, Zerstörung oder Änderung, nicht autorisierter Weitergabe oder unberechtigtem Zugriff sowie gesetzeswidriger Zerstörung zu schützen. Jedes Jahr unterziehen wir uns Überwachungen durch Dritte, die von international anerkannten Überwachungsinstitutionen durchgeführt werden und bei denen überprüft wird, dass wir über unabhängige Bescheinigungen für die Einhaltung unserer Richtlinien und Verfahren für Sicherheit, Datenschutz, Kontinuität und Konformität verfügen.
| MS Online – Suche für Zertifizierungen und Konformität | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365 und Microsoft Dynamics CRM Online: Rechenzentren und physische Infrastruktur (Bereitgestellt durch Microsoft Global Foundation Services) | |
Diese Informationen dienen ausschließlich zu allgemeinen Informationszwecken. Die vorliegenden Informationen können jederzeit geändert werden und sollten nicht als Verpflichtung bzw. Garantie seitens Microsoft interpretiert werden.
Statement on Auditing Standards No.70 (SAS 70) ist eine Überwachungsnorm, die vom American Institute of Certified Public Accountants (AICPA) verabschiedet wurde und auf Dienstorganisationen ausgerichtet ist. Bei Dienstorganisationen handelt es sich normalerweise um Entitäten, die Outsourcingdienste im Zusammenhang mit den Kontrollumgebungen ihrer Kunden anbieten. Dienstorganisationen sind beispielsweise Unternehmen, die sich um die Verarbeitung von Versicherungs- und Krankenversicherungsansprüchen kümmern, gehostete Rechenzentren, Anwendungsanbieter (Application Service Providers, ASPs) und Managed Security-Provider. Mit Wirksamkeit ab dem 15. Juni 2011 wird die Norm SAS 70 vom Statement on Standards for Attestation Engagements No. 16 (SSAE 16) als Norm für die Gewährleistung einer unabhängigen Überwachung der Einhaltung von Kontrollen einer Dienstorganisation abgelöst. Sowohl Prüfungen gemäß SSAE 16 als auch gemäß SAS 70 stellen ein unabhängige Überwachung der Einhaltung von Sicherheitskontrollen und der Effektivität dieser Sicherheitskontrollen dar.
Als Ergebnis der Untersuchung durch einen Prüfer, den SSAE 16 oder SAS 70 Service Auditor ("SAS 70-/SSAE 16-Prüfung") gibt dieser seine Meinung zu folgenden Punkten ab:
1. Wurde die Beschreibung der Kontrollen durch die Dienstorganisation sachgemäß dargestellt?
2. Wurden die Kontrollen der Dienstorganisation effektiv entworfen?
3. Wurden die Kontrollen der Dienstorganisation zu einem angegebenen Datum in Betrieb genommen?
4. Werden die Kontrollen der Dienstorganisation effektiv über einen bestimmten Zeitraum eingesetzt? (nur SAS 70 Type II bzw. SSAE 16 SOC 1 Type II).
Die SAS 70/SSAE 16-Prüfungen bei Microsoft werden von einem externen Drittanbieter (aus der Riege der "Big Four", also der vier großen Wirtschaftsprüfungsgesellschaften) vorgenommen.
SAS 70/SSAE 16-Prüfungen finden einmal pro Jahr statt. Der dabei erstellte Prüfbericht enthält eine Beurteilung der Kontrollen, die von dem externen Drittanbieter angewendet werden. Weitere Informationen zu den Überwachungsnormen und den verschiedenen Überwachungstypen erhalten Sie unter www.aicpa.org.
Global Foundational Services (GFS) bietet Infrastrukturdienste (Rechenzentren und Netzwerke) für Onlineprodukte von Microsoft, wie Office 365, BPOS-S, BPOS-D, Dynamics CRM Online und Windows Azure, an. Momentan ist eine Auswertung der Kontrollen auf Anwendungsebene für Office 365 und Dynamics CRM Online geplant, zunächst gemäß SSAE 16 SOC 1 Type I und anschließend gemäß SSAE SOC 1 Type II. Der SSAE 16-Bericht für Office 365 und Dynamics CRM Online folgt noch auf den GFS-Bericht und ermöglicht somit eine End-to-End-Repräsentation der Kontrollen. GFS wurde heute gemäß SAS 70 Type II zertifiziert und wird bei der nächsten planmäßigen Prüfung gemäß SSAE 16 geprüft.
Die Microsoft Online Services-Informationssicherheitsrichtlinie entspricht ISO 27002 und ist noch durch speziell auf Onlinedienste ausgerichtete Anforderungen erweitert. Eine Organisation kann eine ISO 27001-Zertifizierung für ein Managementsystem für Informationssicherheit (Information Security Management Systems, ISMS) erhalten, das normalerweise auf den Informationssicherheitsstandards gemäß ISO 27002 basiert. Microsoft Online Services basiert schon immer auf ISO, und die seit 2009 bestehende unterstützende Infrastruktur wurde von der British Standards Institution (BSI) zertifiziert. Wir empfehlen unseren Kunden, die Informationen zur ISO-Norm (öffentlich verfügbar) zu lesen.
Alle ISO-Zertifizierungen sind öffentlich verfügbar.
Die Familie der ISO 27000-Normen ist bewusst sehr umfassend angelegt. Sie deckt die Aspekte Datenschutz, Vertraulichkeit und technische Sicherheit ab und hat Richtlinien und allgemeine Prinzipien für die Initiierung, Implementierung, Beibehaltung und Verbesserung des Sicherheitsmanagements innerhalb einer Organisation eingerichtet ("established guidelines and general principles for initiating, implementing, maintaining, and improving information security management within an organization.") Zu diesem Zweck werden in der Norm hunderte von potenziellen Kontrollen und Kontrollmechanismen ausgeführt.
Global Foundational Services (GFS) bietet Infrastrukturdienste (Rechenzentren und Netzwerke) für Onlineprodukte von Microsoft, wie BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 und Windows Azure, an. Kontrollen auf Anwendungsebene im Hinblick auf ISO-Zertifizierungen folgen noch auf die GFS-Zertifizierung und ermöglichen somit eine End-to-End-Repräsentation der Kontrollen.
In der Europäischen Union gelten aufgrund der EU-Datenschutzrichtlinie strengere Datenschutzregeln als in den Vereinigten Staaten und den meisten anderen Ländern. Damit diese Regeln durchgesetzt werden, untersagt die EU grundsätzlich, dass personenbezogene Daten über Landesgrenzen hinweg in andere Länder übermittelt werden, sofern diese Übermittlung nicht durch einen anerkannten Mechanismus, beispielsweise die im Folgenden beschriebene "Safe Harbor"-Zertifizierung (sicherer Hafen), legitimiert ist.
Um den für internationale Geschäftstätigkeiten erforderlichen ununterbrochenen Informationsfluss zu gewährleisten, hat die Europäische Kommission eine Vereinbarung mit dem US-Handelsministerium getroffen, gemäß der US-Organisationen zertifizieren, dass sie den Safe Harbor-Grundsätze entsprechen, die in etwa den Anforderungen der Direktive entsprechen.
Damit ein Unternehmen auf legale Weise Daten aus der EU in die USA übertragen kann, muss das Unternehmen bzw. die Organisation öffentlich zertifizieren, dass es die Safe Harbor-Grundsätze einhält, die wiederum den Datenschutzbestimmungen der EU entsprechen. Microsoft Online Services darf Daten zu Verarbeitungszwecken von der EU in die USA übertragen, da Microsoft eine Safe Harbor-Zertifizierung aufweist.
Wir empfehlen unseren Kunden, die der Zertifizierung zugrunde liegenden Grundsätze und die Zertifizierung von Microsoft unter den folgenden Links auf der Website des US-Handelsministerium einzusehen: Safe Harbor-Richtlinien und Zertifizierung.
Microsoft wurde erstmalig im Jahr 2001 im Rahmen des Safe Harbor-Programms zertifiziert, und die Zertifizierung der Einhaltung der Safe Harbor-Grundsätze wird alle zwölf Monate erneuert.
Neben den EU-Mitgliedsstaaten erkennen auch die Staaten des Europäischen Wirtschaftsraums (Island, Liechtenstein und Norwegen) Organisationen mit einer Zertifizierung für das Safe Harbor-Programm als Organisationen an, die einen angemessenen Datenschutz bieten, um grenzüberschreitende Datenübertragungen aus ihren Ländern zu rechtfertigen, da auch die Schweiz ein nahezu identisches Abkommen mit dem US-Handelsministerium getroffen hat ("Swiss-U.S. Safe Harbor"), durch das Übertragungen von der Schweiz in die USA legitimiert werden und für das Microsoft ebenfalls zertifiziert ist.
Einige andere Länder, beispielsweise Kanada und Argentinien, haben entsprechende Datenschutzgesetze erlassen, sodass die EU auch derartige Datenübertragungen aus der EU in diese Länder zulässt.
Bewerten Sie unsere Sicherheitsverfahren anhand Ihrer Bedürfnisse.
Microsoft Online Services bietet Sicherheit auf höchster Ebene. Es liegt jedoch bei Ihnen zu bewerten, ob Sie besonders sensible Daten haben oder Daten, für die eine bestimmte Sicherheitsstufe eingehalten werden muss, die für Ihre Branche gilt. Möglicherweise benötigen Sie für diese Daten bestimmte Sicherheitsanforderungen, die wir nicht anbieten.
So kann es sein, dass in Ihrer Branche standardmäßig Kennwörter mit 10 Zeichen erforderlich sind – unsere Kennwörter müssen in der Regel 8 Zeichen enthalten.
Es liegt in Ihrer Verantwortung, zu bestimmen, ob unsere Sicherheit den Anforderungen Ihrer Organisation genügt.
Wenn Sie wissen möchten, ob Microsoft Online Services einen bestimmten Sicherheitsstandard bzw. eine Sicherheitsanforderung erfüllt, und diese Frage hier nicht behandelt wird, ziehen Sie den Abschnitt "Ressourcen" zurate, oder wenden Sie sich an den Support, der Ihnen gerne weiterhilft.
Nein. Microsoft Online Services basiert auf den ISO 27001-Regeln, sodass unsere Dienstangebote laufend bewertet und verbessert werden können. Die Microsoft Online Services-Informationssicherheitsrichtlinie schließt zudem noch weitere Anforderungen ein, die von branchenweit besten Sicherheitspraktiken abgeleitet und auf geltende regionale, nationale und internationale Anforderungen abgestimmt werden.
Eine Organisation kann eine ISO 27001-Zertifizierung für ein Managementsystem für Informationssicherheit (Information Security Management Systems, ISMS) erhalten, das normalerweise auf dem Informationssicherheitsstandard gemäß ISO 27002 basiert. Die Zertifizierung kann einigen anerkannten Agenturen erteilt werden. Microsoft hat seine Zertifizierung von der British Standards Institution (BSI) erhalten. ISO 27001-Prüfungen gewährleisten die Sicherheit im Bereich der Managementsysteme für Informationssicherheit. Microsoft ist der Ansicht, dass den Kunden durch eine hohe Transparenz eine Bewertung unserer Dienste im Hinblick auf ihre eigenen Anforderungen ermöglicht wird, auf Grundlage derer sie fundierte Entscheidungen treffen können.
Die folgenden Office 365-Dienste sind ISO-zertifiziert: SharePoint Online, Lync Online, Exchange Online. Auch der Microsoft Dynamics CRM Online-Dienst ist ISO-zertifiziert. Global Foundation Services, und die Infrastrukturebene der Dienste (Netzwerk und Rechenzentren) ist ebenfalls ISO 27001-zertifiziert. Wir empfehlen den Kunden von Microsoft Online Services, die Informationen zur ISO-Norm (öffentlich verfügbar) zu lesen, um festzustellen, ob ihre Sicherheitsanforderungen erfüllt werden.
Microsoft Online Services bietet eine Vielzahl an Ressourcen, die unseren Kunden bei der Entscheidungsfindung helfen und mit deren Hilfe sich unsere Kunden ausführlich über die Richtlinien von Microsoft informieren können. Siehe folgende Dokumente:
SAS 70 wurde vorwiegend in den Vereinigten Staaten verwendet, um das Design und die Effektivität von Kontrollen zu überprüfen, und SSAE 16 wird in ähnlicher Weise verwendet werden. ISO 27001 ist eine internationale Norm, die auf die Sicherheitspraktiken einer Organisation ausgerichtet ist. ISO 27001 ist die gebräuchliche Norm in Europa, Japan und einigen anderen asiatischen Ländern und wird auch in den Vereinigten Staaten immer häufiger verwendet. ISO 27001 legt eine Reihe bestimmter Sicherheitskontrollen fest und nimmt die Zertifizierung anhand dieser Kontrollen vor. Somit deckt diese Norm ein viel breiteres Feld ab als SAS 70/SSAE 16. ISO 27001 zielt auf alle drei Sicherheitsaspekte ab, die im Allgemeinen als CIA-Werte bezeichnet werden: Confidentiality, Integrity and Availability (Vertraulichkeit, Integrität und Verfügbarkeit). Organisationen können ihre SO 27001-Zertifizierung bei einer bestimmten Anzahl an anerkannten Registrierungsstellen weltweit erhalten.
Microsoft Online Services erhält normalerweise die SAS 70-Prüfungsberichte normalerweise nur in englischer Sprache. Das Unternehmen, das die SAS 70-Prüfung für Microsoft Online Services durchführt, hat jedoch die Möglichkeit, die Prüfungsberichte auf Anfrage in nahezu alle Sprachen zu übersetzen. Die Kosten sind von der angeforderten Sprache abhängig und müssen von dem Kunden übernommen werden, der den Auftrag erteilt. Es ist nicht jede Sprache verfügbar. Wenden Sie sich im Bedarfsfall an den Microsoft Online Services-Kundensupport.
Im Abschnitt für den Administratorzugriff des Vertrauensstellungscenters erhalten Sie Informationen darüber, wie Microsoft den Zugriff auf Daten beschränkt.
Nein. Unsere unabhängigen Überwachungen und Zertifizierungen werden anstelle von Überwachungen durch einzelne Kunden für unsere Kunden freigegeben. Diese Zertifizierungen und Bescheinigungen spiegeln exakt wieder, wie wir unsere Sicherheits- und Konformitätsziele einhalten, und dienen als praktischer Mechanismus zur Bestätigung unserer Zusicherungen für alle Kunden. Wenn wir zuließen, dass Tausende von Kunden unsere Dienste überprüfen, wäre das in der Praxis nicht durchführbar und würde möglicherweise die Sicherheit gefährden.
Die interne Überwachung bei Microsoft Online Services schließt eine automatische Konformitätsüberwachung der Infrastruktur ein (z. B. Schwachstellenscans, Penetrationtests und Tests der Prozess- und Personenkontrollen). Das für Microsoft Online Services vorgesehene Validierungsprogramm durch Drittanbieter beinhaltet unabhängige Überwachungen, die jährlich durchgeführt werden, um die Sicherheitsaufstellung von Microsoft Online Services zu verifizieren.
Nein. Microsoft kann keine benutzerdefinierten Überwachungspflichten für einzelne Kunden genehmigen. Aufgrund der Kosten und potenziellen Konflikte zwischen unterschiedlichen Auflagen sind benutzerdefinierte Überwachungen nicht durchführbar.
Informationen dazu, wie Microsoft auf Verletzungen der Datensicherheit reagiert, finden Sie in Ihrem Servicevertrag.