Kami memperoleh audit dan sertifikasi pihak ketiga sehingga Anda dapat mempercayai layanan kami yang dirancang dan dioperasikan dengan pengamanan ketat.
Tujuan kami adalah melaksanakan layanan dengan keamanan dan privasi yang Anda harapkan dan memberi jaminan yang akurat tentang keamanan dan privasi kami. Kami telah menerapkan dan akan tetap melakukan tindakan teknis dan organisasi, kontrol internal, serta langkah-langkah pengamanan informasi untuk melindungi data pelanggan dari kehilangan, kerusakan, atau perubahan tanpa disengaja; pengungkapan atau akses tidak sah; maupun pemusnahan yang melanggar hukum. Setiap tahun, kami menjalani audit pihak ketiga oleh auditor yang diakui secara internasional untuk memvalidasi bahwa kami memiliki pengesahan independen atas kepatuhan terkait kebijakan dan prosedur kami untuk keamanan, privasi, kontinuitas, dan kepatuhan.
| Pencari Sertifikasi dan Kepatuhan Online MS | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Pusat Data dan Infrastruktur Fisik Office 365 dan Microsoft Dynamics CRM Online (Disediakan oleh Microsoft Global Foundation Services) | |
Informasi ini ditujukan hanya untuk tujuan informasi umum. Informasi ini dapat berubah setiap saat dan tidak boleh diinterpretasikan sebagai komitmen atau jaminan dari Microsoft.
Statement on Auditing Standards No.70 (SAS 70) adalah standar audit yang ditetapkan oleh American Institute of Certified Public Accountants (AICPA) dan diarahkan untuk organisasi layanan. Organisasi layanan biasanya merupakan badan yang menyediakan layanan pengalihdayaan yang mempengaruhi lingkungan kontrol dari pelanggan mereka. Contoh organisasi layanan adalah pemroses klaim asuransi dan kesehatan, pusat data hosting, penyedia layanan aplikasi (ASP, Application Service Provider) dan penyedia keamanan yang dikelola. Berlaku mulai tanggal 15 Juni 2011, SSAE 16 (Statement on Standards for Attestation Engagements No. 16) menggantikan SAS 70 sebagai standar verifikasi independen atas kepatuhan terhadap kontrol organisasi layanan. Audit SSAE 16 dan SAS 70 adalah verifikasi independen atas kepatuhan terhadap kontrol keamanan dan efektivitas kontrol keamanan.
Di akhir pemeriksaan auditor layanan SSAE 16 atau SAS 70 ("Audit SAS 70/SSAE 16"), auditor layanan memberikan pendapat tentang:
1. Apakah penjelasan organisasi layanan tentang kontrol dipresentasikan secara wajar atau tidak.
2. Apakah kontrol organisasi layanan dirancang secara efektif atau tidak.
3. Apakah kontrol organisasi layanan mulai dioperasikan pada tanggal yang ditetapkan atau tidak.
4. Apakah kontrol organisasi layanan beroperasi secara efektif selama periode waktu yang ditetapkan atau tidak. (Hanya SAS 70 Tipe II/ SSAE 16 SOC 1 Tipe II).
Audit SAS 70/SSAE 16 Microsoft dilakukan oleh pihak ketiga eksternal (salah satu dari perusahaan akuntansi "Empat Besar").
Audit SAS 70/SSAE 16 dilakukan setahun sekali. Laporan audit yang dihasilkan mencakup pendapat dari pihak ketiga eksternal tentang kontrol. Informasi lebih lanjut tentang standar dan jenis audit dapat ditemukan di www.aicpa.org.
Global Foundational Services (GFS) menyediakan layanan infrastruktur (pusat data dan jaringan) untuk properti online Microsoft seperti Office 365, BPOS-S, BPOS-D, Dynamics CRM Online, dan Windows Azure. Kontrol lapisan aplikasi untuk Office 365 dan Dynamics CRM Online saat ini direncanakan akan dievaluasi pertama kali menggunakan SSAE 16 SOC 1 Tipe 1, kemudian diikuti dengan evaluasi menggunakan SSAE SOC 1 Tipe II. Laporan SSAE 16 Office 365 dan Dynamics CRM Online akan ditumpuk di atas laporan GFS untuk menyediakan representasi kontrol yang lengkap. GFS adalah sertifikasi SAS 70 Tipe II yang digunakan saat ini dan akan diaudit berdasarkan SSAE 16 pada jadwal audit berkala berikutnya.
Kebijakan Keamanan Informasi Microsoft Online Services sejalan dengan ISO 27002 ditambah dengan persyaratan yang khusus untuk layanan online. Suatu organisasi dapat memperoleh sertifikasi ISO 27001 untuk Sistem Manajemen Keamanan Informasi (SMKI) miliknya, yang biasanya didasarkan pada Standar Keamanan Informasi ISO 27002. ISO telah menjadi dasar dari Microsoft Online Services dan infrastruktur pendukungnya sejak tahun 2009 dan telah disertifikasi oleh British Standards Institution (BSI). Sebaiknya pelanggan mempelajari standar ISO (yang tersedia untuk umum).
Semua Sertifikasi ISO tersedia untuk umum.
Rangkaian standar ISO 27000 disengaja memiliki lingkup luas, meliputi privasi, kerahasiaan dan masalah keamanan teknis, serta "pedoman yang ditetapkan dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam suatu organisasi." Oleh karenanya, standar tersebut menguraikan ratusan kontrol dan mekanisme kontrol potensial.
Global Foundational Services (GFS) menyediakan layanan infrastruktur (pusat data dan jaringan) untuk properti online Microsoft seperti BPOS-S, BPOS-D, Dynamics CRM Online, Office 365, dan Windows Azure. Kontrol lapisan aplikasi untuk sertifikasi ISO akan ditumpuk di atas sertifikasi GFS untuk menyediakan representasi kontrol yang lengkap.
Uni Eropa, melalui Petunjuk Perlindungan Data Uni Eropa, memiliki peraturan privasi yang lebih ketat dari AS dan sebagian besar negara lain. Untuk menegakkan peraturan ini, UE secara umu melarang data pribadi untuk melintasi perbatasan ke negara lain kecuali dalam keadaan di mana transfer tersebut telah disahkan oleh suatu mekanisme yang diakui, seperti sertifikasi "Safe Harbor" yang dijelaskan di bawah ini.
Untuk memungkinkan aliran informasi kontinu yang dipersyaratkan oleh bisnis internasional, Komisi Eropa mencapai kesepakatan dengan Departemen Perdagangan AS, di mana organisasi AS dapat melakukan sertifikasi mandiri untuk kepatuhan terhadap prinsip Safe Harbor, yang memantau secara bebas menurut persyaratan Petunjuk.
Agar suatu unit bisnis dapat secara legal mentransfer data dari Uni Eropa ke AS, perusahaan atau organisasi AS lainnya harus menyatakan secara publik kepada Pemerintah AS bahwa perusahaan atau organisasi akan mematuhi prinsip Safe Harbor, yang sejalan dengan peraturan privasi Uni Eropa. Microsoft Online Services dapat mentransfer data dari Uni Eropa ke AS untuk keperluan pemrosesan karena Microsoft memiliki sertifikasi Safe Harbor.
Pelanggan dianjurkan untuk membaca prinsip sertifikasi melalui link berikut, dan juga sertifikasi Microsoft di situs Web Departemen Perdagangan: Sertifikasi dan Kerangka Kerja Safe Harbor .
Microsoft pertama kali disertifikasi dalam program Safe Harbor pada tahun 2001, dan kami melakukan sertifikasi ulang sesuai Prinsip Safe Harbor setiap dua belas bulan.
Selain negara Anggota UE, anggota Wilayah Ekonomi Eropa (Islandia, Liechtenstein, dan Norwegia) juga mengakui organisasi yang disertifikasi dalam program Safe Harbor dengan menyediakan perlindungan privasi yang memadai untuk mengesahkan transfer lintas-perbatasan dari negara mereka ke AS. Swiss memiliki perjanjian yang hampir sama ("Safe Harbor Swiss-AS") dengan Departemen Perdagangan AS untuk melegitimasi transfer dari Swiss ke AS, dan Microsoft juga telah memiliki sertifikasinya.
Beberapa negara lain, seperti Kanada dan Argentina, telah mengesahkan undang-undang privasi yang menyeluruh dan UE telah menyetujui undang-undang tersebut untuk transfer data dari Uni Eropa ke negara-negara ini.
Evaluasi prosedur keamanan kami terhadap kebutuhan Anda.
Keamanan Microsoft Online Services berkelas dunia. Namun, terserah kepada Anda untuk mengevaluasi apakah Anda memiliki data yang sangat sensitif, atau data yang harus disimpan pada tingkat keamanan tertentu sesuai peraturan yang berlaku untuk industri Anda. Data ini mungkin memerlukan persyaratan keamanan khusus yang tidak kami sediakan.
Misalnya, Anda mungkin berada di industri yang memiliki standar sandi berjumlah 10 karakter sedangkan standar sandi kami biasanya berjumlah delapan karakter.
Anda bertanggung jawab untuk menentukan apakah keamanan kami memenuhi kebutuhan organisasi Anda.
Jika Anda memiliki pertanyaan tentang apakah Microsoft Online Services memenuhi standar atau persyaratan keamanan tertentu yang tidak dibahas di sini, Anda dapat melihat bagian Sumber Info atau menghubungi bagian Dukungan dan kami akan menjawabnya.
Tidak. Microsoft Online Services didasarkan pada kerangka kerja ISO 27001 untuk terus menilai dan meningkatkan penawaran layanan kami. Kebijakan Keamanan Informasi Microsoft Online Services juga menerapkan persyaratan tambahan yang berasal dari praktik pengamanan terbaik di kelasnya dan pemetaan untuk persyaratan internasional, nasional, dan negara bagian/provinsi yang terkait.
Suatu organisasi dapat memperoleh sertifikasi ISO 27001 untuk Sistem Manajemen Keamanan Informasi (SMKI) miliknya, yang biasanya didasarkan pada Standar Keamanan Informasi ISO 27002. Sertifikasi dapat diperoleh dari sejumlah lembaga yang terakreditasi. Microsoft telah memperoleh sertifikat dari British Standards Institution (BSI). Audit ISO 27001 memberikan jaminan seputar Sistem Manajemen Keamanan Informasi. Microsoft percaya bahwa dengan memberikan transparansi kami memungkinkan pelanggan untuk mengevaluasi layanan kami terhadap kebutuhan mereka dan membuat keputusan yang andal.
Layanan Office 365 berikut ini memiliki sertifikasi ISO: SharePoint Online, Lync Online, Exchange Online. Layanan Microsoft Dynamics CRM online bersertifikasi ISO. Global Foundation Services, lapisan infrastruktur layanan (jaringan dan pusat data) juga memiliki sertifikasi ISO 27001. Pelanggan Microsoft Online Services harus membaca Standar ISO (tersedia untuk umum) untuk menentukan apakah kebutuhan keamanan mereka dapat dipenuhi.
Microsoft Online Services menyediakan sejumlah sumber info untuk membantu pelanggan dalam membuat keputusan dan memperoleh pemahaman yang memadai tentang kebijakan Microsoft, termasuk dokumen-dokumen berikut:
SAS 70 banyak digunakan di Amerika Serikat untuk memberikan audit tentang desain dan efektivitas kontrol, dan SSAE 16 akan digunakan dengan cara yang sama. ISO 27001 adalah standar internasional yang diarahkan untuk praktik keamanan suatu organisasi. ISO 27001 umum digunakan di Eropa, Jepang, dan beberapa negara Asia, namun mulai populer di Amerika Serikat. ISO 27001 menetapkan satu set kontrol keamanan dan memberikan sertifikasi terhadap kontrol tersebut; ISO 27001 jauh lebih menyeluruh dalam cakupan dibandingkan SAS 70/SSAE 16. ISO 27001 menangani ketiga aspek keamanan yang biasa disebut sebagai CIA: Confidentiality (Kerahasiaan), Integrity (Integritas), dan Availability (Ketersediaan). Organisasi dapat disertifikasi sesuai dengan ISO 27001 oleh sejumlah Registrar Terakreditasi di seluruh dunia.
Microsoft Online Services biasanya tidak menerima laporan audit SAS 70 dalam bahasa lain selain bahasa Inggris. Namun, perusahaan audit SAS 70 Microsoft Online Services memiliki kemampuan untuk menerjemahkan laporan audit ke dalam sebagian besar bahasa asing menurut permintaan. Biaya akan berbeda-beda tergantung pada bahasa yang diminta, dan akan dibayar oleh pelanggan yang meminta. Tidak semua bahasa tersedia. Hubungi dukungan pelanggan Microsoft Online Services jika Anda memerlukannya.
Lihat bagian Akses Administratif untuk memahami bagaimana Microsoft membatasi akses ke data.
Tidak. Audit dan sertifikasi independen kami tersedia bagi pelanggan sebagai pengganti audit pelanggan individual. Sertifikasi dan pengesahan ini secara akurat mewakili bagaimana kami memperoleh dan memenuhi tujuan keamanan dan kepatuhan serta berfungsi sebagai mekanisme praktis untuk memvalidasi janji kami kepada semua pelanggan. Mengizinkan sekitar ribuan pelanggan untuk mengaudit layanan kami merupakan praktik berskala besar dan dapat membahayakan keamanan.
Pemantauan internal Microsoft Online Services mencakup pemantauan kepatuhan otomatis pada infrastruktur (misalnya, pemindaian kerentanan, pengujian penetrasi, dan pengujian terhadap proses dan kontrol manusia). Program validasi pihak ketiga Microsoft Online Services mencakup audit independen yang dilakukan secara tahunan untuk memberikan verifikasi kondisi keamanan Microsoft Online Services.
Tidak. Microsoft tidak dapat menyetujui kewajiban audit khusus untuk pelanggan individual. Biaya dan potensi konflik antara berbagai kewajiban membuatnya tidak praktis untuk menyesuaikan audit.
Untuk informasi tentang bagaimana Microsoft menanggapi pelanggaran data, lihat pernyataan dalam perjanjian layanan Anda.