Mes gauname trečiųjų šalių audito ir sertifikavimo paslaugas, todėl užtikriname, kad mūsų paslaugų struktūra ir naudojimas yra ypač saugus.
Siekiame teikti savo paslaugas taip saugiai, kaip iš mūsų tikitės, ir visiškai užtikrinti jūsų saugą ir privatumą. Mes įdiegėme atitinkamų techninių ir organizacinių priemonių, vidinės kontrolės elementų ir informacijos saugos procedūrų ir jų laikysimės, kad apsaugotume kliento duomenis ir jie nebūtų netyčia prarasti, sunaikinti ar pakeisti, neteisėtai atskleisti ar pasiekti arba neteisėtai sunaikinti. Pasaulyje pripažinti auditoriai kasmet atliks auditą ir kaip nepriklausoma trečioji šalis patikrins, ar mūsų veikla atitinka mūsų saugos, privatumo, tęstinumo ir atitikties strategijas ir procedūras.
| MS internetinis sertifikavimo ir atitikties ieškiklis | |
| „Office 365“ | |
| „Microsoft Dynamics CRM Online“ |
|
| „Office 365“ ir „Microsoft Dynamics CRM Online“ duomenų centrai ir fizinė infrastruktūra (teikia „Microsoft Global Foundation Services“) | |
Ši informacija yra tik bendroji informacija. Ji gali būti bet kada pakeista ir negali būti laikoma „Microsoft“ įsipareigojimu arba garantija.
„Statement on Auditing Standards No.70“ (SAS 70) yra audito standartas, nustatytas „American Institute of Certified Public Accountants“ (AICPA) ir skirtas paslaugas teikiančioms organizacijoms. Paslaugas teikiančios organizacijos paprastai būna įmonės, teikiančios nepriklausomo teikėjo paslaugas, kurios daro įtaką klientų valdymo aplinkai. Paslaugas teikiančių organizacijų pavyzdžiai galėtų būti draudimo ir medicinos paraiškų tyrimo įstaigos, nuomojamų išteklių duomenų centrai, taikomųjų programų tarnybų nuomos paslaugų teikėjai (ASP) ir valdomosios saugos paslaugų teikėjai. Įsigaliojęs nuo 2011 m. birželio 15 d. SSAE 16 („Statement on Standards for Attestation Engagements No. 16“) iškelia SAS 70 kaip standartą teikiant nepriklausomą atitikties paslaugos organizavimo valdymo reikalavimams patikrinimą. Ir SSAE 16, ir SAS 70 auditai yra nepriklausomi atitikties saugos valdymo reikalavimams ir saugos valdymo efektyvumo patikrinimas.
SSAE 16 arba SAS 70 paslaugų auditoriui atlikus tyrimą (toliau – SAS 70 / SSAE 16 auditas) paslaugų auditorius pateiks nuomonę apie šiuos dalykus:
1. Ar paslaugas teikiančios organizacijos valdymo priemonių aprašas teisingas.
2. Ar paslaugas teikiančios organizacijos valdymo priemonės efektyvios.
3. Ar paslaugas teikiančios organizacijos valdymo priemonės pradėjo veikti nurodytą dieną.
4. Ar paslaugas teikiančios organizacijos valdymo priemonės efektyviai veikė nurodytą laikotarpį (tik SAS 70 II tipas / SSAE 16 SOC1 II tipas).
„Microsoft“ SAS 70 / SSAE 16 auditus atlieka išorinė trečioji šalis (viena iš „Big Four“ apskaitos įmonių).
SAS 70 / SSAE 16 auditai atliekami kartą per metus. Pateiktoje audito ataskaitoje yra išorinės trečiosios šalies nuomonė apie valdymo priemones. Daugiau informacijos apie standartą ir audito tipus pateikiama www.aicpa.org.
„Global Foundational Services“ (GFS) teikia infrastruktūros (duomenų centrų ir tinklo) paslaugas „Microsoft“ internetinėms programoms, pvz., „Office 365“, BPOS-S, BPOS-D, „Dynamics CRM Online“ ir „Windows Azure“. Planuojama, kad taikomųjų programų lygmens valdymo priemonės, skirtos „Office 365“ ir „Dynamics CRM Online“, bus įvertintos pirmiausia pagal SSAE 16 SOC 1 I tipo standartus, o vėliau pagal SSAE SOC 1 II tipo standartus. „Office 365“ ir „Dynamics CRM Online“ SSAE 16 ataskaita papildys GFS ataskaitą, kad būtų sudaryta galutinė valdymo priemonių ataskaita. GFS šiuo metu yra sertifikuota pagal SAS 70 II tipo standartus, o atliekant kitą suplanuotą periodinį auditą bus tikrinama pagal SSAE 16 standartus.
„Microsoft Online Services“ informacijos saugos strategija atitinka ISO 27002 reikalavimus, papildytus internetinėms paslaugoms skirtais reikalavimais. Organizacija gali gauti savo informacijos saugos valdymo sistemų (ISMS) ISO 27001 sertifikatą, kuris paprastai grindžiamas ISO 27002 informacijos saugos standartais. Nuo 2009 m. ISO yra „Microsoft Online Services“ ir ją palaikančios infrastruktūros pagrindas. Sertifikatą išdavė „British Standards Institution“ (BSI). Klientai gali pasiskaityti apie ISO standartą (prieinama viešai).
Visi ISO sertifikatai yra prieinami viešai.
ISO 27000 standartų grupė apima daug sričių, pvz., privatumo, konfidencialumo ir technines saugos problemas ir organizacijos informacijos saugos valdymo inicijavimo, diegimo, palaikymo ir tobulinimo nustatytas rekomendacijas ir bendruosius principus. Taigi standartas apima šimtus galimų valdymo priemonių ir mechanizmų.
„Global Foundational Services“ (GFS) teikia infrastruktūros (duomenų centrų ir tinklo) paslaugas „Microsoft“ internetinėms programoms, pvz., BPOS-S, BPOS-D, „Dynamics CRM Online“, „Office 365“ ir „Windows Azure“. Taikomųjų programų lygmens valdymo priemonės, skirtos ISO sertifikavimui, papildys GFC sertifikavimą, kad būtų sudaryta galutinė valdymo priemonių ataskaita.
Europos Sąjungos duomenų apsaugos direktyvoje išdėstytos griežtesnės privatumo taisyklės negu JAV ir daugumoje kitų šalių. Norėdama užtikrinti šių taisyklių vykdymą, ES apskritai draudžia perduoti asmeninius duomenis į kitas šalis, išskyrus atvejus, kai perdavimą įteisina pripažintas mechanizmas, pvz., toliau aprašytas „Safe Harbor“ sertifikatas.
Norėdama užtikrinti nepertraukiamą tarptautinėms įmonėms reikalingos informacijos srautą, Europos Komisija sudarė sutartį su JAV komercijos departamentu, kuri leidžia JAV organizacijoms savarankiškai įgyti atitikties „Safe Harbor“ principams sertifikatus, todėl nutolstama nuo Direktyvos reikalavimų.
Kad įmonė galėtų teisėtai perduoti duomenis iš ES į JAV, JAV įmonė arba kita organizacija turi viešai patvirtinti, kad laikysis „Safe Harbor“ principų, atitinkančių ES privatumo taisykles. „Microsoft Online Services“ gali perduoti apdorotinus duomenis iš ES į JAV, nes „Microsoft“ laikosi „Safe Harbor“ principų.
Klientai gali susipažinti su sertifikavimo principais ir „Microsoft“ sertifikavimu naudodami šį komercijos departamento žiniatinklio svetainės saitą: „Safe Harbor“ principai ir Sertifikavimas.
2001 m. „Microsoft“ gavo pirmąjį sertifikatą pagal „Safe Harbor“ programą, o mes pakartotinai sertifikuojame atitiktį „Safe Harbor“ principams kas dvylika mėnesių.
Be to, ES valstybės narės, Europos ekonominės erdvės narės (Islandija, Lichtenšteinas ir Norvegija) taip pat pripažįsta organizacijas, sertifikuotas pagal „Safe Harbor“ programą, kaip tinkamai apsaugančias privatumą, kad galėtų perduoti duomenis iš šių šalių į JAV. Šveicarija sudarė analogišką sutartį (toliau – Šveicarijos ir JAV sutartis dėl „Safe Harbor“) su JAV komercijos departamentu, kad įteisintų duomenų perdavimą iš Šveicarijos į JAV („Microsoft“ turi atitinkamą sertifikatą).
Kelios kitos šalys, pvz., Kanada ir Argentina, išleido išsamius privatumo įstatymus ir ES sutinka, kad jie reglamentuotų duomenų perdavimą iš ES į minėtas šalis.
Įvertinkite, ar saugos procedūros atitinka jūsų poreikius.
„Microsoft Online Services“ sauga yra pasaulinio lygio. Tačiau jūs turite nustatyti, ar turite ypač slaptų duomenų arba duomenų, kuriems turi būti taikomas atitinkamas saugos lygis pagal jūsų pramonės šakai taikomus įstatymus. Šiems duomenims gali būti taikomi konkretūs saugos reikalavimai, kurių mes negalime įvykdyti.
Pvz., gali būti, kad jūsų pramonės šakoje taikomas 10 simbolių slaptažodžio pramonės standartas, o mūsų slaptažodžiai paprastai būna aštuonių simbolių.
Ar mūsų teikiama sauga atitinka jūsų organizacijos reikalavimus, turite nustatyti patys.
Jei norite sužinoti, ar „Microsoft Online Services“ atitinka čia neįvardytą konkretų saugos standartą arba reikalavimą, skaitykite išteklių skyrių arba susisiekite su palaikymo tarnyba, kuri atsakys į jūsų klausimus.
Ne. „Microsoft Online Services“ pagrįstos ISO 27001 sistema, leidžiančia nuolat vertinti ir tobulinti siūlomas paslaugas. „Microsoft Online Services“ informacijos saugos strategija taip pat apima papildomus reikalavimus, kilusius iš geriausios saugos praktikos ir atitinkamų tarptautinių, nacionalinių ir valstijos / regiono reikalavimų susiejimo.
Organizacija gali sertifikuoti savo informacijos saugos valdymo sistemas (ISMS) pagal ISO 27001 standartą, kuris pagrįstas ISO 27002 informacijos saugos standartu. Sertifikavimą gali atlikti akredituotos agentūros. „Microsoft“ gavo sertifikatą iš „British Standards Institution“ (BSI). ISO 27001 auditas patikrina informacijos saugos valdymo sistemų tinkamumą. „Microsoft“ įsitikinusi, kad skaidrumas leidžia klientams įvertinti, ar įmonės teikiamos paslaugos atitinka jų reikalavimus, ir priimti pagrįstus sprendimus.
Šios „Office 365“ paslaugos turi ISO sertifikatus: „SharePoint Online“, „Lync Online“, „Exchange Online“. „Microsoft Dynamics CRM Online“ paslauga turi ISO sertifikatą. „Global Foundation Services“, paslaugų infrastruktūros lygmuo (tinklas ir duomenų centrai), taip pat sertifikuotos pagal ISO 27001. „Microsoft Online Services“ klientai turėtų susipažinti su ISO standartu (prieinamas viešai), kad galėtų nustatyti, ar įvykdomi jų saugos reikalavimai.
„Microsoft Online Services“ teikia įvairių išteklių, padedančių klientams apsispręsti ir gana gerai suprasti „Microsoft“ strategijas, įskaitant šiuos dokumentus:
SAS 70 daugiausia buvo naudojamas JAV atliekant valdymo priemonių struktūros ir efektyvumo auditą, o SSAE 16 bus naudojamas panašiai. ISO 27001 yra tarptautinis standartas, skirtas organizacijų saugos praktikoms. ISO 27001 naudojamas Europoje, Japonijoje ir kai kuriose Azijos šalyse, tačiau populiarėja ir JAV. ISO 27001 nustato saugos valdymo priemonių rinkinį ir sertifikuoja pagal šių valdymo priemonių atitikimą. Šis standartas apima daugiau sričių negu SAS 70 / SSAE 16. ISO 27001 reglamentuoja tris saugos aspektus, bendrai vadinamus KVP: konfidencialumą, vientisumą ir prieinamumą. Pasaulyje yra akredituoti registratoriai, kurie gali sertifikuoti organizacijas kaip atitinkančias ISO 27001.
„Microsoft Online Services“ paprastai negauna SAS 70 audito ataskaitų ne anglų kalba. Tačiau „Microsoft Online Services“ SAS 70 audito įmonė prireikus gali išversti audito ataskaitą į daugumą užsienio kalbų. Kaina priklauso nuo kalbos, už vertimą moka klientas. Galimi vertimai ne į visas kalbas. Jei reikia vertimo, kreipkitės į „Microsoft Online Services“ klientų palaikymo tarnybą.
Žr. patikimumo centro skyrių Administravimo prieiga, kad suprastumėte, kaip „Microsoft“ riboja prieigą prie duomenų.
Ne. Mūsų nepriklausomo audito ir sertifikavimo ataskaitos pateikiamos klientams vietoj jų atliekamo audito. Šios sertifikavimo ir atestavimo procedūros tiksliai parodo, kaip mes nustatome saugos ir atitikties tikslus ir jų siekiame, tai praktiškas mechanizmas, leidžiantis įvertinti mūsų pažadus visiems klientams. Jei leistume tūkstančiams klientų atlikti mūsų paslaugų auditą, tokią praktiką būtų sunku įvertinti ir ji galėtų pažeisti saugą.
„Microsoft Online Services“ vidinis stebėjimas apima automatizuotą infrastruktūros atitikties stebėjimą (pvz., nuskaitymas dėl pažeidžiamumo, įsiskverbimo testavimas ir procesų bei žmonių valdymo priemonių testavimas). „Microsoft Online Services“ trečiųjų šalių tikrinimo programa apima kasmet atliekamą nepriklausomą auditą, kurio metu patikrinama „Microsoft Online Services“ saugos būsena.
Ne. „Microsoft“ negali tinkinti audito pagal atskiro kliento reikalavimus. Išlaidos dėl skirtingų reikalavimų ir galimas jų nesuderinamumas neleidžia tinkinti audito.
Informacija, kaip „Microsoft“ reaguoja į duomenų saugos pažeidimus, pateikta jūsų paslaugos teikimo sutartyje.