Korraldame ja hangime kolmandate osapoolte auditeid ja sertifikaate, et võiksite olla kindel, et meie teenuste kujundamisel ja käitamisel järgitakse rangeid kaitsemeetmeid.
Meie eesmärk on käitada oma teenuseid nii heal turbe- ja privaatsustasemel, kui te eeldate, ja tagada seeläbi ka teie turvalisus ja privaatsus. Oleme rakendanud ja kasutame sobivaid tehnilisi ja organisatsioonilisi meetmeid, sisemisi kontrollimeetmeid ja rutiinseid teabeturbetoiminguid, mis on mõeldud kliendiandmete kaitseks soovimatu kaotsimineku, hävitamise või muutmise, volitamata avaldamise või juurdepääsu või ebaseadusliku hävitamise eest. Igal aastal teevad rahvusvaheliselt tunnustatud kolmandate osapoolte audiitorid auditeid, et kontrollida meie sõltumatud tõendusmaterjalid vastavad kehtivatele turbe-, privaatsus-, järjepidevus- ja vastavuspõhimõtetele ja -eeskirjadele.
| MS Online: sertifikaatide ja vastavusteabe otsing | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365 ja Microsoft Dynamics CRM Online'i andmekeskused ja füüsiline infrastruktuur (pakkuja: Microsoft Global Foundation Services) | |
See teave on mõeldud ainult üldiseks teavitamiseks. Seda teavet võidakse igal ajal muuta ja seda ei tohiks tõlgendada Microsofti antava tagatise ega garantiina.
SAS 70 (Statement on Auditing Standards No.70) on AICPA (American Institute of Certified Public Accountants) loodud teenindusettevõtete jaoks mõeldud auditeerimisstandard. Teenindusettevõtted on tavaliselt juriidilised isikud, kes pakuvad sisseostetavaid teenuseid, mis mõjutavad nende klientide juhtimiskeskkonda. Teenindusettevõtted on näiteks kindlustus- ja meditsiininõuete töötlejad, majutatavad andmekeskused, rakendusteenuste pakkujad (ASP-d) ja hallatavate turbeteenuste pakkujad. Standard SSAE 16 (Statement on Standards for Attestation Engagements No. 16), mis jõustus 15. juunil 2011, asendab standardi SAS 70 teenindusettevõtete meetmete vastavuse sõltumatuks kontrolliks. SSAE 16 ja SAS 70 auditid on mõlemad turbemeetmete vastavuse ja tõhususe sõltumatud kontrollid.
SSAE 16 või SAS 70 teenindusauditi ("SAS 70/SSAE 16 audit") tulemusena annab teenindusaudiitor hinnangu järgmistele aspektidele.
1. Teenindusettevõtte meetmete kirjelduse vastavus tegelikkusele.
2. Teenindusettevõtte meetmete kavandamise tõhusus.
3. Teenindusettevõtte meetmete määratud kuupäevast rakendamise paikapidavus.
4. Teenindusettevõtte meetmete tõhusus määratud ajaperioodi jooksul (ainult SAS 70 Type II/SSAE 16 SOC 1 Type II).
Microsofti SAS 70/SSAE 16 auditeid teeb väline kolmas osapool (üks neljast suurimast raamatupidamisteenuseid pakkuvast ettevõttest).
SAS 70/SSAE 16 auditeid tehakse kord aastas. Koostatav auditiaruanne sisaldab välise kolmanda osapoole arvamust rakendatud meetmete kohta. Selle standardi ja audititüüpide kohta leiate lisateavet veebisaidilt www.aicpa.org.
Global Foundational Services (GFS) pakub infrastruktuuriteenuseid (andmekeskusi ja võrgundusteenuseid) Microsofti veebitoodetele ja -teenustele (nt Office 365, BPOS-S, BPOS-D, Dynamics CRM Online ja Windows Azure). Office 365 ja Dynamics CRM Online'i rakenduskihi meetmeid plaanitakse hinnata esmalt auditeerimisstandardi SSAE 16 SOC 1 Type I põhjal ja seejärel standardi SSAE SOC 1 Type II põhjal. Kõigi meetmete täieliku esituse tagamiseks koostatakse lisaks GFS-i aruandele ka Office 365 ja Dynamics CRM Online'i SSAE 16 aruanne. GFS-il on praegu standardile SAS 70 Type II vastav sertifikaat ja järgmise plaanitud regulaarse auditi käigus kasutatakse standardit SSAE 16.
Teenusepaketi Microsoft Online Services teabeturbepoliitika vastab standardile ISO 27002, mida on täiendatud veebiteenusekohaste nõuetega. Ettevõte saab hankida ISO 27001 sertifikaadi oma teabeturbehaldussüsteemist (ISMS), mis põhineb tavaliselt ISO 27002 teabeturbestandarditel. ISO on alates 2009. aastast olnud teenusepaketi Microsoft Online Services ja neid toetava infrastruktuuri aluseks ja sellel on Briti standardimisasutuse (BSI) sertifikaat. Klientidel on soovitatav tutvuda ISO standardiga (avalikult saadaval).
Kõik ISO sertifikaadid on avalikult kättesaadavad.
ISO 27000 standardipere on taotluslikult laiaulatuslik, hõlmates privaatsuse, konfidentsiaalsuse ja tehnilise turbega seotud valdkondi ja väljatöötatud juhiseid ning üldpõhimõtteid ettevõttes teabeturbehalduse algatamiseks, juurutamiseks, haldamiseks ja täiustamiseks. Standard pakub selleks otstarbeks sadu võimalikke meetmeid ja kontrollimehhanisme.
Global Foundational Services (GFS) pakub infrastruktuuriteenuseid (andmekeskusi ja võrgundusteenuseid) Microsofti veebitoodetele ja -teenustele (nt Office 365, BPOS-S, BPOS-D, Dynamics CRM Online ja Windows Azure). Kõigi meetmete täieliku esituse tagamiseks lisanduvad GFS-i sertifikaatidele ka ISO sertifikaatidest lähtuvad rakenduskihi meetmed.
Euroopa Liidus kehtivad andmekaitsedirektiivi tõttu rangemad privaatsuseeskirjad kui USA-s ja enamikus teistes riikides. Nende eeskirjade jõustamiseks keelab EL tavaliselt isikuandmete edastamise väljapoole EL-i piire, välja arvatud juhtudel, kui ülekanne on mõne tunnustatud mehhanismi (nt allpool kirjeldatud programmi Safe Harbor sertifikaadi) abil seadustatud.
Rahvusvaheliste ettevõtete pidevate teabevoogude lubamiseks sõlmis Euroopa Komisjon USA Kaubandusministeeriumiga lepingu, mille kohaselt saavad USA ettevõtted väljastada endale ise sertifikaadi, mis kinnitab nende tegevuse vastavust programmi Safe Harbor põhimõtetele. Need põhimõtted järgivad üldjoontes direktiivi nõudeid.
USA ettevõte või muu organisatsioon, kes soovib seaduslikult andmeid EL-ist USA-sse üle kanda, peab avalikult kinnitama, et tema tegevus vastab EL-i privaatsuseeskirjadest lähtuvatele programmi Safe Harbor põhimõtetele. Teenusepakett Microsoft Online Services saab andmeid EL-ist USA-sse töötlemiseks üle kanda, kuna Microsoftil on programmi Safe Harbor sertifikaat.
Klientidel on soovitatav tutvuda järgmise lingi kaudu sertimispõhimõtete ja Microsofti sertifikaatidega Kaubandusministeeriumi veebisaidil: Programmi Safe Harbor põhimõtted ja Sertifikaadid.
Microsoft sai programmi Safe Harbor sertifikaadi 2001. aastal ning uuendame sertifikaadi vastavust programmi Safe Harbor põhimõtetele iga 12 kuu järel.
Lisaks EL-i liikmesriikidele tunnustavad ka Euroopa Majanduspiirkonna liikmed (Island, Liechtenstein ja Norra) programmi Safe Harbor sertifikaadiga ettevõtteid piisavat privaatsuskaitset pakkuvate ettevõtetena nendest riikidest USA-sse piirülesel andmeedastusel. Šveitsil on USA Kaubandusministeeriumiga sõlmitud peaaegu identne leping ("Šveitsi–USA Safe Harbor"), et seadustada andmeedastus Šveitsist USA-sse – Microsoftil on ka sellele lepingule vastav sertifikaat.
Paljud muud riigid (nt Kanada ja Argentina) on võtnud vastu üldised privaatsust käsitlevad seadused ja EL lubab nendesse riikidesse EL-ist andmeid edastada.
Analüüsige meie turbetoiminguid oma vajadustest lähtuvalt.
Teenusepaketi Microsoft Online Services turve on maailmatasemel. Kui teil on eriti tundlikke andmeid või andmeid, mille käsitlemine peab valdkondlike eeskirjade kohaselt vastama kindlale turbetasemele, peate siiski ise otsustama. Selliste andmete puhul võidakse esitada kindlaid turbenõudeid, millele meie pakutav turbetase ei pruugi vastata.
Võimalik, et tegutsete näiteks valdkonnas, kus kehtib 10-kohalist parooli nõudev tööstusstandard – meie paroolid on tavaliselt kaheksakohalised.
Olete ise kohustatud määratlema, kas meie pakutav turve vastab teie ettevõtte vajadustele.
Kui teil on küsimusi selle kohta, kas teenusepaketi Microsoft Online Services teenused vastavad mõnele siin käsitlemata turbestandardile või -nõudele, võite otsida teavet jaotisest "Ressursid" või pöörduda tugiteenuste töötaja poole ja te saate oma küsimustele vastused.
Ei. Teenusepakett Microsoft Online Services põhineb ISO 27001 raamistikul, et saaksime oma teenusepakkumisi pidevalt analüüsida ja täiustada. Teenusepaketi Microsoft Online Services teabeturbepoliitika hõlmab ka tippklassi turbelahendustest ja asjakohaste rahvusvaheliste, riiklike ja piirkondlike nõuete võrdlemise järel lisatud täiendavaid nõudeid.
Ettevõte võib hankida oma teabeturbehaldussüsteemide (ISMS) jaoks ISO 27001 sertifikaadi, mis põhineb tavaliselt teabeturbestandardil ISO 27002. Sertimisvõimalust pakuvad mitmesugused akrediteeritud asutused. Microsoft hankis vastava sertifikaadi Briti standardimisasutusest (BSI). ISO 27001 auditid tagavad teabeturbehaldussüsteemide turvalisuse ja töökindluse. Microsoft usub, et läbipaistvuse tagamisega võimaldame klientidel analüüsida meie teenuseid lähtuvalt oma vajadustest ja teha teadlikke otsuseid.
ISO-sertifikaat on järgmistel Office 365 teenustel: SharePoint Online, Lync Online, Exchange Online. Veebiteenusel Microsoft Dynamics CRM on ISO-sertifikaat. Teenusel Global Foundation Services, nende teenuste taristukihil, (võrk ja andmekeskused) on samuti ISO 27001 sertifikaadiga. Teenusepaketi Microsoft Online Services kliendid peaksid oma turbenõuete vastavuse määratlemiseks tutvuma (avalikult kättesaadava) ISO standardiga.
Teenusepakett Microsoft Online Services pakub mitmesuguseid ressursse, mille abil kliendid saavad otsuseid teha ja lähemalt tundma õppida Microsofti poliitikaid, sealhulgas järgmisi dokumente:
Turbestandardit SAS 70 on kasutatud peamiselt USA-s kontrollimeetmete ülesehituse ja tõhususe auditeerimiseks ning standardit SSAE 16 hakatakse kasutama samal viisil. ISO 27001 on rahvusvaheline standard, mis on suunatud ettevõtete turbelahendustele. ISO 27001 on levinud Euroopas, Jaapanis ja mõnes Aasia riigis, kuid kogub üha enam populaarsust ka USA-s. ISO 27001 määrab turbemeetmete kogumi ja loob aluse nende sertimiseks; see on palju laiaulatuslikum kui SAS 70/SSAE 16. ISO 27001 käsitleb kõiki kolme turbeaspekti, mida koos nimetatakse ka CIA-ks: konfidentsiaalsus (Confidentiality), terviklus (Integrity) ja kättesaadavus (Availability). Standardile ISO 27001 vastavuse sertifikaate väljastavad ettevõtetele selleks volitatud registripidajad kogu maailmas.
Teenusepakett Microsoft Online Services saab SAS 70 auditiaruandeid tavaliselt ainult inglise keeles. Teenusepaketi Microsoft Online Services SAS 70 auditeerimisettevõte saab siiski vastava taotluse alusel tõlkida auditiaruande enamikku võõrkeeltesse. Selle teenuse hind sõltub taotletud keelest ja teenuse eest maksab taotluse esitanud klient. Kõik keeled pole saadaval. Pöörduge vastava taotlusega teenusepaketi Microsoft Online Services klienditoe poole.
Microsofti andmepääsupiirangute kohta leiate teavet usalduskeskuse jaotisest Administratiivne juurdepääs.
Ei. Üksikute kliendiauditite asemel jagame klientidega oma sõltumatute auditite ja sertimiste tulemusi. Need sertimised ja atesteerimised kajastavad täpselt meie turbe- ja vastavuseesmärkide püstitamise ja järgimise protsessi ja on praktiliseks mehhanismiks meie klientidele antud lubaduste kontrollimiseks. Potentsiaalselt tuhandetele klientidele meie teenuste auditeerimise võimaldamine oleks väga ulatuslik ettevõtmine ja võiks ohustada turvalisust.
Teenusepaketi Microsoft Online Services sisemine jälgimine hõlmab automaatset infrastruktuuri vastavuse jälgimist (nt haavatavuste otsimine, sisenemistestid ja protsesside ning isikute kontrollifunktsioonide testimine). Teenusepaketi Microsoft Online Services kolmanda osapoole kontrolliprogramm hõlmab kord aastas läbi viidavaid sõltumatuid auditeid, mille käigus kontrollitakse teenusepaketi Microsoft Online Services teenuste turvalisust.
Ei. Microsoft ei saa võtta endale auditite kohandamise kohustust üksikute klientide jaoks. Erinevate vajadustega seotud kulud ja võimalikud vastuolud muudavad auditite kohandamise teostamatuks.
Teavet Microsofti reageerimise kohta andmetega seotud rikkumiste korral leiate oma teenuselepingust.