Külső ellenőrzéseket és tanúsításokat igénylünk, hogy megbízzon szolgáltatásainkban, melyeket a legszigorúbb védelemre terveztünk, és a szerint működtetünk.
Célunk, hogy szolgáltatásainkat a vásárlóink által várt biztonsági és adatvédelmi keretek és szabályok között üzemeltessük, és egyértelmű biztosítékokat szolgáltassunk vásárlóink adataik védelméről és biztonságáról. Megfelelő műszaki és szervezeti intézkedéseket, belső ellenőrzéseket és információbiztonsági gyakorlatokat vezettünk be és fogunk fenntartani, hogy megakadályozzuk az ügyféladatok véletlenszerű elvesztését, megsemmisülését vagy módosítását; azok jogosulatlan közzétételét, vagy az ügyféladatokhoz történő jogosulatlan hozzáférést; vagy azok törvénytelen megsemmisítését. Minden évben külső fél általi ellenőrzéseken veszünk részt, melyeket nemzetközi szinten elismert auditorok végeznek, akik független tanúsítványukkal hitelesítik, hogy a biztonsági, adatvédelmi, üzemfolytonossági és megfelelőségi előírásaink és eljárásaink megfelelőek.
| MS Online Tanúsítvány- és megfelelési kereső | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365 és Microsoft Dynamics CRM Online Adatközpontok és fizikai infrastruktúra (szolgáltató: Microsoft Global Foundation Services) | |
Az itt található információk csak általános tájékoztatási célokat szolgálnak. Az információk bármikor változhatnak, és a Microsoft részéről nem tekinthetők kötelezettségvállalásnak, illetve garanciának.
A Statement on Auditing Standards No.70 (SAS 70) az amerikai egyesült államokbeli American Institute of Certified Public Accountants (AICPA) nevű könyvvizsgálói testület által kidolgozott, szolgáltatói szervezetekkel foglalkozó szabvány. A szolgáltató szervezetek jellemzően olyan jogi személyek, akik ügyfeleik szabályozási környezetét befolyásoló kihelyezési szolgáltatásokat nyújtanak. A szolgáltató szervezetek példái a biztosítási és orvosi igények feldolgozói, az adatközpont-szolgáltatók, az alkalmazásszolgáltatók (ASP-k) és a felügyelt biztonsági szolgáltatók. 2011. június 15-től az SSAE 16 (Statement on Standards for Attestation Engagements No. 16) jelű szabvány váltja az SAS 70 szabványt a szolgáltató szervezetek szabályozási környezetének megfelelőségére kidolgozott független értékelések területén. Az SSAE 16- és a SAS 70-audit a biztonsági ellenőrzések és a biztonsági ellenőrzések hatékonyságának független megfelelőségi igazolása.
Az SSAE 16 és az SAS 70 szolgáltatásauditori vizsgálat végén („SAS 70/SSAE 16 audit”) a szolgáltatásauditor az alábbi tényezőket véleményezi:
1. A szolgáltató szervezet ellenőrzéseinek leírása áttekinthető-e.
2. A szolgáltató szervezet ellenőrzéseinek tervezése hatékony-e.
3. A szolgáltató szervezet ellenőrzéseit adott dátumtól kezdve működtetik-e.
4. A szolgáltató szervezet ellenőrzései egy bizonyos időtartam alatt hatékonyan működnek-e (csak SAS 70 Type II/SSAE 16 SOC 1 Type II).
A Microsoft SAS 70/SSAE 16 szerinti auditálását harmadik fél végzi (a „Big Four” könyvvizsgáló vállalatok egyike).
Az SAS 70/SSAE 16 auditokat évente egyszer végzik. Az elkészült auditjelentés a külső fél ellenőrzésről szóló véleményét tartalmazza. Az auditok szabványáról és típusairól szóló bővebb információ a www.aicpa.org webhelyen található.
A Global Foundational Services (GFS) infrastrukturális (adatközpontokat érintő és hálózati) szolgáltatásokat nyújt a Microsoft online termékei, például az Office 365, BPOS-S, BPOS-D, Dynamics CRM Online és a Windows Azure számára. Az Office 365 és a Dynamics CRM Online alkalmazásiréteg-ellenőrzések tekintetében jelenleg először az SSAE 16 SOC 1 Type I értékelést tervezzük, majd az SSAE SOC 1 Type II értékelést. Az ellenőrzések teljes körűségének biztosítása érdekében az Office 365 és a Dynamics CRM Online SSAE 16 jelentése a GFS jelentések kiegészítésévé válik. A GFS jelenleg SAS 70 Type II tanúsítvánnyal rendelkezik, és a következő éves audit során az SSAE 16 szerint lesz auditálva.
A Microsoft Online Services információbiztonsági házirendje az ISO 27002 szabványhoz igazodik, melyet kifejezetten az online szolgáltatások követelményeivel bővítettek ki. Egy szervezet ISO 27001 tanúsítványt szerezhet az Információbiztonsági Irányítási Rendszereiről (IBIR), amely jellemzően az ISO 27002 Információbiztonsági szabványokon alapul. Az ISO 2009 óta a Microsoft Online Services és támogató infrastruktúrái alapját képezi, és azt a British Standards Institution (BSI) tanúsította. Ügyfeleink számára javasoljuk, hogy tekintsék meg az ISO-szabványt (nyilvánosan elérhető).
Valamennyi ISO-tanúsítvány nyilvánosan elérhető.
Az ISO 27000 egy szándékoltan széles területet átfogó szabványcsalád, amely adatvédelmi, titkossági és műszaki biztonsági kérdéseket érint, továbbá „a szervezeten belüli információbiztonsági irányítás kezdeményezésének, bevezetésének, fenntartásának és fejlesztésének létrehozott iránymutatásait és általános elveit tartalmazza”. Ezért a szabvány több száz lehetséges ellenőrzést és ellenőrzési mechanizmust vázol fel.
A Global Foundational Services (GFS) infrastrukturális (adatközpontokat érintő és hálózati) szolgáltatásokat nyújt a Microsoft online termékei, például a BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 és a Windows Azure számára. Az ellenőrzések végpontok közötti bemutatása érdekében az ISO tanúsítvány alkalmazásiréteg-ellenőrzései a GFS-tanúsítvány csúcsán állnak.
Az Európai Unió az EU Adatvédelmi irányelvén keresztül az USA-énál és a legtöbb országénál szigorúbb adatvédelmi szabályokkal rendelkezik. A szabályok érvényesítése érdekében az EU alapvetően tiltja, hogy a személyes adatok más országok határait átlépjék, kivéve olyan körülmények esetén, amikor az adatok továbbítását olyan elismert mechanizmus, mint az alábbiakban ismertetett „Safe Harbor” tanúsítvány, törvényesíti.
A nemzetközi üzletmenet által megkövetelt folyamatos információáramlás érdekében az Európai Bizottság megállapodást kötött az Amerikai Egyesült Államok Kereskedelmi Minisztériumával, amely szerint az USA-beli szervezetek a Safe Harbor elveinek való megfelelést önmaguk tanúsíthatják, és ez megközelítőleg az Irányelv elvárásait követi.
Egy vállalkozás, ha törvényesen szeretne az EU-ból az USA-ba adatokat továbbítani, akkor az USA-beli társaságnak vagy egyéb szervezetnek nyilvánosan tanúsítania kell, hogy az EU adatbiztonsági szabályaihoz igazodó Safe Harbor elveit betartja. A Microsoft Online Services feldolgozás céljából továbbíthat az EU-ból az USA-ba adatokat, mivel rendelkezik Safe Harbor tanúsítással.
Ügyfeleink számára javasoljuk, hogy ellenőrizzék az alábbi hivatkozáson a tanúsítvány alapelveit, továbbá a Kereskedelmi Minisztérium webhelyén a Microsoft tanúsítványát: Safe Harbor keretegyezmény és Tanúsítvány.
A Microsoft első Safe Harbor program keretében való tanúsítása 2001-ben történt, és azóta 12 havonta újratanúsítjuk a Safe Harbor alapelveinek való megfelelést.
Az EU-tagállamokon kívül az Európai Gazdasági Térség tagjai (Izland, Liechtenstein és Norvégia) a Safe Harbor program keretében tanúsított szervezeteket megfelelő adatvédelmet biztosító szervezetekként ismerik el, akik országaikból az Amerikai Egyesült Államokba történő, határokon átnyúló adatátvitelt igazolják. A Svájcból az USA-ba történő adatátvitelek törvényesítése érdekében Svájc szinte azonos megállapodást kötött az Amerikai Egyesült Államok Kereskedelmi Minisztériumával („Svájc - Amerikai Egyesült Államok Safe Harbor”), melynek tanúsítását szintén elvégezte a Microsoft.
Számos további ország – pl. Kanada és Argentína – átfogó adatvédelmi törvényeket iktatott be, és az EU ezeket az EU-ból az említett országokba történő adattovábbításként engedélyezte.
Értékelje biztonsági eljárásainkat szükségletei szerint.
A Microsoft Online Services biztonsága világszínvonalú. Azonban az Ön értékelésétől függ, hogy kifejezetten érzékeny adatokkal rendelkezik-e, vagy olyan adatokkal, melyeket az iparágában alkalmazandó jogszabályok szerint bizonyos biztonsági szint szerint kell tárolni. Az ilyen adatok esetében olyan sajátos biztonsági követelményre lehet szükség, melyet mi nem szolgáltatunk.
Például elképzelhető, hogy az Ön iparágában a 10 karaktert tartalmazó jelszavak képviselik az iparági szabványt, azonban a mi jelszavaink rendszerint nyolc karakteresek.
Ön felelős annak megállapításáért, hogy az általunk nyújtott biztonság a szervezete által támasztott követelményeknek megfelel-e.
Ha kérdése merül fel azzal kapcsolatban, hogy a Microsoft Online Services megfelel-e bizonyos – itt nem tárgyalt – biztonsági szabványnak vagy elvárásnak, ellenőrizheti az Erőforrások szakaszban, illetve felveheti a kapcsolatot a Támogatási szolgálattal, és tájékoztatjuk Önt.
Nem. Annak érdekében, hogy folyamatosan értékelni és fejleszteni tudjuk szolgáltatáskínálatunkat, a Microsoft Online Services az ISO 27001 keretrendszeren alapul. A Microsoft Online Services információbiztonsági házirendje további, a fellelhető legjobb biztonsági gyakorlatok követelményeit és a megfelelő nemzetközi, nemzeti, állami/tartományi követelmények leképezését is magában foglalja.
Egy szervezet az Információbiztonsági Irányítási Rendszereiről (IBIR) ISO 27001 tanúsítványt szerezhet, amely jellemzően az ISO 27002 Információbiztonsági szabványokon alapul. A tanúsítást számos akkreditált szervtől lehet igényelni. A Microsoft tanúsítványát a British Standards Institution (BSI) állította ki. Az ISO 27001 auditok biztosítékot nyújtanak az Információbiztonsági Irányítási Rendszerek körül. A Microsoft úgy véli, hogy az átláthatóság biztosításával lehetővé teszi ügyfelei számára szolgáltatásainak az adott ügyfél követelményei szerinti értékelését és a megalapozott döntéseket meghozatalát.
Az alábbi Office 365 szolgáltatások ISO-tanúsítással rendelkeznek: SharePoint Online, Lync Online, Exchange Online. A Microsoft Dynamics CRM online szolgáltatása ugyancsak ISO-tanúsítást szerzett. A Global Foundation Services, a szolgáltatások infrastrukturális háttere (hálózat és adatközpont) szintén ISO 27001 tanúsítással rendelkezik. A Microsoft Online Services ügyfelei számára javasoljuk, hogy a biztonsági követelményeik teljesülésének meghatározása érdekében ellenőrizzék az ISO-szabványt (nyilvánosan elérhető).
A Microsoft Online Services számos erőforrást biztosít az ügyfelek segítésére, hogy meghatározhassák, és kellő mértékben megérthessék a Microsoft előírásait. Többek között az alábbi dokumentumokat:
Az SAS 70 tanúsítványt túlnyomórészt az Amerikai Egyesült Államokban, az ellenőrzések tervezésének és hatékonyságának auditálására használják. Az SSAE 16 használata ehhez hasonló. Az ISO 27001 egy nemzetközi standard, amely a szervezet biztonsági gyakorlatához igazodik. Az ISO 27001 Európában, Japánban és bizonyos ázsiai országokban terjedt el, azonban az Amerikai Egyesült Államokban is növekvő népszerűségnek örvend. Az ISO 27001 a biztonsági ellenőrzések összességét határozza meg, és a tanúsítást azok szerint végzi. Terjedelmében sokkal átfogóbb, mint az SAS 70/SSAE 16. Az ISO 27001 a biztonság három területével foglalkozik, melyeket közösen CIA-nak neveznek (Confidentiality, Integrity, Availability – bizalmasság, sértetlenség, rendelkezésre állás). A szervezeteket világszerte számos akkreditált regisztrátor tanúsítja az ISO 27001 szerint.
A Microsoft Online Services jellemzően nem kapja meg a SAS 70 auditjelentést az angoltól eltérő nyelven. Azonban a Microsoft Online Services SAS 70 auditáló vállalata kérésre a legtöbb idegen nyelvre le tudja fordíttatni az auditjelentést. Ennek költsége a kért nyelvtől függ, és azt az igénylő ügyfél viseli. Nem érhető el minden nyelven. Ha szüksége van rá, kérjük, lépjen kapcsolatba a Microsoft Online Services ügyfélszolgálatával.
Kérjük, tekintse meg a Felügyeleti hozzáférés szakaszt az Adatvédelmi központban, hogy megértse, a Microsoft miként korlátozza az adatokhoz való hozzáférést.
Nem. Az egyéni ügyfélauditok helyett független auditálásainkat és tanúsítványainkat osztjuk meg ügyfeleinkkel. Ezek a tanúsítványok és hitelesítések pontosan mutatják, hogyan hozzuk létre és teljesítjük a biztonsági és megfelelőségi céljainkat, továbbá valamennyi ügyfelünknek tett ígéretünk érvényesítéséhez gyakorlati mechanizmusként szolgálnak. Szolgáltatásaink auditálását potenciálisan több ezer ügyfél számára lehetővé tenni nem lenne skálázható, és veszélyeztethetné a biztonságot is.
A Microsoft Online Services belső ellenőrzése kiterjed az infrastruktúra automatizált megfelelőségi ellenőrzésére (pl. biztonsági rések vizsgálata, behatolásipont-vizsgálat, valamint folyamat- és dolgozói ellenőrzések). A Microsoft Online Services külső fél által történő ellenőrzési programja független auditokat tartalmaz, melyeket a Microsoft Online Services biztonsági helyzetének felülvizsgálata érdekében éves szinten végeznek.
Nem. A Microsoft nem járulhat hozzá egyéni ügyfelek egyedi auditkötelezettségeihez. Az eltérő kötelezettségekből eredő költségek és lehetséges konfliktusok a gyakorlatban nem teszik lehetővé az auditok testre szabását.
A Microsoft adatszivárgásra adott reakciójáról szóló bővebb tájékoztatásért, kérjük, tekintse meg a szolgáltatói szerződést.