Microsoft ottiene controlli e certificazioni di terze parti per garantire che i servizi Microsoft vengano progettati e utilizzati in base a rigidi criteri.
Gli obiettivi Microsoft consistono nel garantire il funzionamento dei servizi con il livello di protezione e privacy atteso dall'utente, nonché fornirgli garanzie precise su protezione e privacy. Microsoft ha implementato e manterrà misure tecniche e organizzative, controlli interni e procedure di protezione delle informazioni appropriati per proteggere i Dati del cliente da perdita, distruzione o alterazioni accidentali, divulgazione o accessi non autorizzati o distruzione illecita. Ogni anno, Microsoft si sottopone a controlli di terzi effettuati da revisori riconosciuti a livello internazionale per convalidare la disponibilità di un'attestazione indipendente di conformità ai criteri e alle procedure Microsoft in relazione a protezione, privacy, continuità e conformità.
| Ricerca certificazione e conformità online MS | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Data center e infrastruttura fisica di Office 365 e Microsoft Dynamics CRM Online (forniti da Microsoft Global Foundation Services) | |
Queste informazioni solo a solo scopo informativo, sono soggette a modifica senza preavviso e non devono essere interpretate come impegno o garanzia da parte di Microsoft.
Statement on Auditing Standards No.70 (SAS 70) è uno standard di controllo stabilito da AICPA (American Institute of Certified Public Accountants) finalizzato alle organizzazioni del servizio. Le organizzazioni del servizio sono in genere entità che forniscono servizi di outsourcing che influenzano l'ambiente di controllo dei clienti. Esempi di organizzazioni di servizio sono unità di elaborazione di rivendicazioni assicurative e mediche, data center ospitati, ASP (Application Service Provider) e provider di servizi di protezione. A partire dal 15 giugno 2011, SSAE 16 (Statement on Standards for Attestation Engagements No. 16) sostituisce SAS 70 come standard per una verifica indipendente della conformità con i controlli dell'organizzazione dei servizi. I controlli SSAE 16 e SAS 70 sono entrambi verifiche indipendenti della conformità con i controlli di protezione e della loro efficacia.
Al termine di un esame del revisore del servizio SSAE 16 o SAS 70 ("controllo SAS 70/ SSAE 16"), questi certifica:
1. Se la descrizione dei controlli dell'organizzazione del servizio è presentata onestamente.
2. Se i controlli dell'organizzazione del servizio sono progettati in maniera efficiente.
3. Se i controlli dell'organizzazione del servizio sono utilizzabili a partire da una data specifica.
4. Se i controlli dell'organizzazione del servizio funzionano in maniera efficiente in un periodo di tempo specificato (solo SAS 70 Type II/ SSAE 16 SOC 1 Type II).
I controlli SAS 70/ SSAE 16 di Microsoft sono condotti da terze parti (una delle quattro società di contabilità "Big Four").
I controlli SAS 70/SSAE 16 vengono effettuati una volta all'anno. Il rapporto di controllo prodotto include un'opinione dei controlli espressa da terze parti esterne. Ulteriori informazioni relative a standard e tipi di controlli sono disponibili all'indirizzo www.aicpa.org.
Global Foundational Services (GFS) fornisce servizi di infrastruttura (data center e rete) a proprietà online Microsoft, ad esempio Office 365, BPOS-S, BPOS-D, Dynamics CRM Online e Windows Azure. Controlli del livello di applicazione per Office 365 e Dynamics CRM Online sono attualmente pianificati per essere valutati innanzitutto in SSAE 16 SOC 1 Type I e, a seguire, in SSAE SOC 1 Type II. Il rapporto Office 365 e Dynamics CRM Online SSAE 16 si aggiunge al rapporto GFS per fornire una rappresentazione end-to-end dei controlli. GFS è oggi certificato SAS 70 Type II e verrà valutato con SSAE 16 nel successivo controllo pianificato.
I Criteri di protezione delle informazioni dei Microsoft Online Services sono allineati agli standard ISO 27002 con l'aggiunta di requisiti specifici per i servizi online. Un'organizzazione potrebbe ottenere una certificazione ISO 27001 sugli ISMS (Information Security Management Systems), in genere basata su standard di protezione delle informazioni ISO 27002. La certificazione ISO è la base e infrastruttura di supporto dei Microsoft Online Services dal 2009 ed è stata certificata da BSI (British Standards Institution). I clienti sono invitati a consultare lo standard ISO (disponibile pubblicamente).
Tutte le certificazioni ISO sono liberamente consultabili.
La famiglia di standard ISO 27000 si applica a un ambito intenzionalmente ampio, che include problemi di privacy, riservatezza e protezione tecnica, nonché "linee guida e principi generali stabiliti per l'avvio, l'implementazione, la manutenzione e il miglioramento della gestione della protezione delle informazioni all'interno di un'organizzazione." A tale scopo, lo standard descrive centinaia di controlli potenziali e meccanismi di controllo.
GFS (Global Foundational Services) fornisce servizi di infrastruttura (data center e rete) a proprietà online Microsoft, ad esempio BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 e Windows Azure. Controlli del livello applicazione per certificazioni ISO si aggiungono al rapporto GFS per fornire una rappresentazione end-to-end dei controlli.
L'Unione Europea, tramite la Direttiva sulla protezione dei dati, dispone di regole di privacy più severe rispetto agli Stati Uniti e alla maggior parte degli altri paesi. Per imporre queste regole, generalmente l'Unione Europea vieta l'esportazione di dati personali in altri paesi tranne nei casi in cui il trasferimento sia stato legittimato da un meccanismo riconosciuto, ad esempio la certificazione "Safe Harbor" descritta di seguito.
Per consentire il flusso continuo delle informazioni richieste dalle attività internazionali, la Commissione europea ha raggiunto un accordo con il Ministero del Commercio statunitense per mezzo del quale le organizzazioni statunitensi possono autocertificarsi come conformi ai principi dell'accordo Safe Harbor, che riportano vagamente ai requisiti della Direttiva.
Affinché un'azienda possa trasferire legalmente dati dall'Unione Europea negli Stati Uniti, l'azienda o altra organizzazione statunitense deve certificare pubblicamente la sua conformità con i principi dell'accordo Safe Harbor, allineati alle regole sulla privacy dell'Unione Europea. I Microsoft Online Services possono trasferire dati dall'Unione Europea negli Stati Uniti per l'elaborazione, poiché Microsoft dispone della certificazione Safe Harbor.
I clienti sono invitati a rivedere i principi della certificazione tramite il collegamento seguente, insieme alla certificazione Microsoft sul sito Web del Ministero del Commercio: Direttive Safe Harbor e Certificazione.
Microsoft ha ottenuto la prima certificazione con il programma Safe Harbor nel 2001 e certifica nuovamente la conformità con i principi dell'accordo Safe Harbor ogni dodici mesi.
Oltre agli stati membri dell'Unione Europea, anche i membri dell'area economica europea (Islanda, Liechtenstein e Norvegia) riconoscono organizzazioni certificate con il programma Safe Harbor come in grado di fornire un'adeguata protezione della privacy per giustificare trasferimenti oltre confine dai loro paesi verso gli Stati Uniti. La Svizzera dispone di un accordo pressoché identico ("Swiss-U.S. Safe Harbor") con il Dipartimento del Commercio statunitense per rendere legali i trasferimenti dalla Svizzera agli Stati Uniti, per i quali Microsoft è certificata.
Diversi altri paesi, ad esempio Canada e Argentina, hanno promulgato leggi sulla privacy complete che sono state approvate dall'Unione Europea per il trasferimento di dati verso tali paesi.
Valutare le procedure di protezione Microsoft in relazione alle proprie esigenze.
La protezione dei Microsoft Online Services è di prim'ordine. Tuttavia, è responsabilità dell'utente valutare se dispone di dati particolarmente riservati o dati che devono essere mantenuti a un certo livello di protezione in relazione alle normative applicabili al proprio settore industriale. Questi dati potrebbero richiedere un requisito di protezione specifico che Microsoft non è in grado di fornire.
Ad esempio, è possibile che lo standard del proprio settore industriale richieda password di 10 caratteri, mentre quelle Microsoft sono in genere di 8 caratteri.
È responsabilità dell'utente determinare se la protezione Microsoft soddisfa i requisiti dell'organizzazione.
Per eventuali domande sulla capacità dei Microsoft Online Services di soddisfare standard di protezione particolari o requisiti non trattati in questo argomento, è possibile controllare la sezione Risorse o contattare il Supporto per ulteriori informazioni.
No. I Microsoft Online Services sono basati su un framework ISO 27001 per valutare e migliorare continuamente le offerte di servizi. I Criteri di protezione delle informazioni dei Microsoft Online Services incorporano anche requisiti aggiuntivi derivati da procedure di protezione di prim'ordine e mappatura di requisiti internazionali, nazionali, statali/provinciali rilevanti.
Un'organizzazione potrebbe ottenere una certificazione ISO 27001 sugli ISMS (Information Security Management Systems), in genere basata su standard di protezione delle informazioni ISO 27002. La certificazione può essere richiesta da diversi agenzie accreditate. Microsoft ha ottenuto il certificato da BSI (British Standards Institution). I controlli ISO 27001 forniscono la garanzie riguardo ISMS (Information Security Management Systems). Microsoft ritiene che la trasparenza consenta ai clienti di valutare i servizi rispetto ai requisiti e a prendere decisioni informate.
I servizi Office 365 seguenti sono certificati ISO: SharePoint Online, Lync Online, Exchange Online. Il servizio Microsoft Dynamics CRM Online dispone della certificazione ISO. Anche Global Foundation Services, il livello infrastruttura dei servizi (rete e data center), è certificato ISO 27001. I clienti dei Microsoft Online Services devono rivedere lo standard ISO (pubblicamente disponibile) per determinare se i loro requisiti di protezione sono soddisfatti.
I Microsoft Online Services forniscono diverse risorse per consentire ai clienti di determinare e ottenere una comprensione adeguata dei criteri Microsoft, inclusi i documenti seguenti:
SAS 70 è stato utilizzato principalmente negli Stati Uniti per fornire un controllo sul design e l'efficacia dei controlli e SSAE 16 verrà utilizzato in modo simile. ISO 27001 è uno standard internazionale finalizzato alle procedure di protezione di un'organizzazione. ISO 27001 è comune in Europa, Giappone e alcuni altri paesi asiatici, ma sta guadagnando popolarità negli Stati Uniti. ISO 27001 stabilisce un insieme di controlli di protezione e certifica rispetto a tali controlli; la sua copertura è molto più completa rispetto a quella di SAS 70/SSAE 16. ISO 27001 si rivolge a tutti e tre gli aspetti della protezione a cui si fa normalmente riferimento come CIA: riservatezza, integrità e disponibilità. Le organizzazioni possono essere certificate come conformi a ISO 27001 da un numero di registrar accreditati in tutto il mondo.
Microsoft Online Services non riceve in genere rapporti di controllo SAS 70 in lingue diverse dall'inglese. Tuttavia, la società di revisione SAS 70 Microsoft Online Services ha la capacità di tradurre, su richiesta, il rapporto di controllo nelle maggior parte delle lingue straniere. I costi variano in base alla lingua e vengono pagati dal cliente che ne fa richiesta. Non tutte le lingue sono disponibili. In caso di necessità, contattare il supporto clienti dei Microsoft Online Services.
Per comprendere in che modo Microsoft limita l'accesso ai dati, vedere la sezione Accesso amministrativo del Centro protezione.
No. I controlli e le certificazioni indipendenti Microsoft sono condivisi con i clienti in luogo di controlli cliente singoli. Queste certificazioni e attestati rappresentano in maniera accurata in che modo Microsoft ha ottenuto e soddisfatto gli obiettivi di protezione e conformità. Inoltre servono come meccanismo pratico per convalidare le promesse per tutti i clienti. Consentire a migliaia di clienti potenziali di controllare i servizi Microsoft non è una procedura scalabile e potrebbe compromettere la protezione.
Il monitoraggio interno dei Microsoft Online Services include il monitoraggio di conformità automatico dell'infrastruttura (ad esempio, scansioni di vulnerabilità, test di penetrazione e test di controlli di processo e persone). Il programma di convalida di terze parti dei Microsoft Online Services include controlli indipendenti che vengono eseguiti su base annuale per fornire la verifica dello stato di protezione dei Microsoft Online Services.
No. Microsoft non è in grado di accordarsi su obblighi di controllo personalizzati per un singolo cliente. I costi e i potenziali conflitti tra i vari obblighi rendono impossibile la personalizzazione dei controlli.
Per informazioni su come Microsoft risponde alle violazioni di dati, vedere il proprio contratto di assistenza.