Mēs saņemam trešo personu auditu un sertifikāciju, lai jūs varētu uzticēties, ka mūsu pakalpojumi ir izstrādāti un darbojas ar stingru aizsardzību.
Mūsu mērķis ir piedāvāt pakalpojumus ar tādu drošību un konfidencialitāti, kādu jūs vēlaties, un precīzi apliecināt mūsu pakalpojumu drošību un konfidencialitātes ievērošanu. Mēs esam ieviesuši un turpinām uzturēt atbilstošus tehniskus un organizatoriskus līdzekļus, iekšēju kontroli un informācijas drošības rutīnas, kas paredzētas klienta datu aizsardzībai pret nejaušu zaudēšanu, iznīcināšanu vai sagrozīšanu, nesankcionētu izpaušanu vai piekļuvi tiem, vai nelikumīgu iznīcināšanu. Katru gadu mūsu uzņēmumā starptautiski atzīti trešo personu auditori veic auditu, lai pārbaudītu, vai mēs varam saņemt neatkarīgu atbilstības apliecinājumu saistībā ar mūsu drošības, konfidencialitātes, nepārtrauktības un atbilstības politiku un procedūrām.
| MS Online sertifikācijas un atbilstības meklētājs | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365 un Microsoft Dynamics CRM Online datu centri un fiziskā infrastruktūra (nodrošina Microsoft Global Foundation Services) | |
Šī informācija ir paredzēta tikai vispārīgiem informatīviem nolūkiem. Šī informācija jebkurā brīdī var tikt mainīta un nav jāuzskata par Microsoft apņemšanos vai garantiju.
Auditēšanas standartu noteikumi nr. 70 (Statement on Auditing Standards No.70 — SAS 70) ir audita standarts, ko izveidojis Amerikas sertificēto publisko grāmatvežu institūts (American Institute of Certified Public Accountants — AICPA) un kas ir domāts pakalpojumu sniegšanas organizācijām. Pakalpojumu sniegšanas organizācijas parasti ir uzņēmumi, kas nodrošina ārpakalpojumus, kuri ietekmē to klientu kontroles vidi. Pakalpojumu sniegšanas organizāciju piemēri ir apdrošināšanas un ārstniecisko izdevumu pieteikumu apstrādātāji, viesoti datu centri, lietojumprogrammu pakalpojumu sniedzēji (application service provider — ASP) un pārvaldītas drošības nodrošinātāji. SSAE 16 (Attestācijas saistību standartu noteikumi nr. 16), kas stājās spēkā 2011. gada 15. jūnijā, aizstāj SAS 70 kā standartu neatkarīgai drošības kontrolei un tās efektivitātes atbilstības pārbaudei ar pakalpojuma sniegšanas organizācijas vadības rīkiem. Gan SSAE 16, gan SAS 70 ir neatkarīgas atbilstības pārbaudes ar drošības vadīklām un drošības efektivitātes vadīklām.
SSAE 16 vai SAS 70 pakalpojumu auditora pārbaudes (SAS 70/SSAE 16 audits) slēdzienā pakalpojumu auditors izsaka viedokli par šādām tēmām:
1. Vai pakalpojumu sniegšanas organizācijas kontroles līdzekļu apraksts ir precīzs.
2. Vai pakalpojumu sniegšanas organizācijas kontroles līdzekļi ir efektīvi.
3. Vai pakalpojumu sniegšanas organizācijas kontroles līdzekļi norādītajā datumā darbojas.
4. Vai pakalpojumu sniegšanas organizācijas kontroles līdzekļi norādītajā laika periodā darbojas efektīvi (tikai SAS 70 tipam II/SSAE 16 SOC 1 tipam II).
Microsoft SAS 70/SSAE 16 auditu veic ārēja trešā persona (viena no "lielā četrinieka" grāmatvedības firmām).
SAS 70/SSAE 16 audits tiek veikts reizi gadā. Izveidotajā audita atskaitē tiek iekļauts ārējās trešās personas viedoklis par kontroli. Papildinformāciju par šo standartu un audita veidiem meklējiet vietnē www.aicpa.org.
Global Foundational Services (GFS) nodrošina infrastruktūras (datu centrus un tīklošanu) pakalpojumus Microsoft tiešsaistes īpašumiem, piemēram, Office 365, BPOS-S, BPOS-D, Dynamics CRM Online un Windows Azure. Office 365 un Dynamics CRM Online lietojumprogrammu slāņa kontroles novērtēšana šobrīd tiek plānota saskaņā ar SSAE 16 SOC 1 tipu I un sekojošu SSAE SOC 1 tipa II novērtējumu. Office 365 un Dynamics CRM Online SSAE 16 atskaite tiks pievienota GFS atskaitei, lai nodrošinātu visaptverošu kontroles attēlojumu. GFS pašlaik ir sertificēti saskaņā ar SAS 70 tipu II un tiks auditēti pēc SSAE 16 nākamajā ieplānotajā auditā.
Microsoft Online Services informācijas drošības politika atbilst standartam ISO 27002, pievienojot tiešsaistes pakalpojumiem specifiskas prasības. Organizācijas ISO 27001 sertifikātu var iegūt savām informācijas drošības pārvaldības sistēmām (Information Security Management Systems — ISMS), kuru pamatā parasti ir ISO 27002 informācijas drošības standarti. ISO ir pakalpojumu Microsoft Online Services un to atbalstošās infrastruktūras pamatā kopš 2009. gada, un sertificēšanu veica Britu standartizācijas institūcija (British Standards Institution — BSI). Klienti tiek aicināti pārskatīt šo ISO standartu (publiski pieejams).
Visi ISO sertifikāti ir publiski pieejami.
ISO 27000 standartu saime ar nolūku ir ar plašu tvērumu, aptverot privātuma, konfidencialitātes un tehniskās drošības jautājumus, kā arī izveidotos norādījumus un vispārīgos principus attiecībā uz informācijas drošības pārvaldības ierosināšanu, ieviešanu, uzturēšanu un uzlabošanu organizācijā. Līdz šai pakāpei standarts nosaka simtiem iespējamo vadības un kontroles mehānismu.
Global Foundational Services (GFS) nodrošina infrastruktūras (datu centrus un tīklošanu) pakalpojumus Microsoft tiešsaistes īpašumiem, piemēram, BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 un Windows Azure. ISO sertifikācijas lietojumprogrammu slāņa kontrole ir apvienota ar GFS sertifikāciju, lai sniegtu visaptverošu kontroles attēlojumu.
Eiropas Savienība ar ES datu aizsardzības direktīvu ir izveidojusi stingrākus konfidencialitātes noteikumus, nekā ir ASV un vairākumā citu valstu. Lai pildītu šos noteikumus, ES parasti aizliedz personas datiem šķērsot valstu robežas, izņemot gadījumus, kad šāda pārsūtīšana ir likumīgi atļauta, izmantojot atzītu mehānismu, piemēram, tālāk aprakstīto "drošā patvēruma" sertifikāciju.
Lai atļautu starptautiskajam biznesa nepieciešamo nepārtraukto informācijas plūsmu, Eiropas Komisija ir panākusi vienošanos ar ASV Tirdzniecības departamentu par to, ka ASV organizācijas var veikt pašsertifikāciju par atbilstību drošā patvēruma principiem, kas aptuveni ievēro šīs direktīvas prasības.
Lai uzņēmums likumīgi varētu pārsūtīt datus no ES uz ASV, ASV uzņēmumam vai citai organizācijai ir publiski jāapliecina, ka tā ievēros drošā patvēruma principus, kas atbilst ES konfidencialitātes noteikumiem. Microsoft Online Services var pārsūtīt datus no ES uz ASV to apstrādei, jo Microsoft ir sertificēta atbilstoši drošā patvēruma principiem.
Klienti tiek aicināti pārskatīt sertifikācijas principus, izmantojot norādīto saiti, kopā ar Microsoft sertifikāciju Tirdzniecības departamenta vietnē: Drošā patvēruma struktūra un Sertifikācija.
Korporācija Microsoft bija pirmā, kas 2001. gadā tika sertificēta saskaņā ar drošā patvēruma programmu, un mēs atkārtoti sertificējam atbilstību drošā patvēruma principiem.
Ne tikai ES dalībvalstis, bet arī Eiropas Ekonomikas zonas dalībnieki (Īslande, Lihtenšteina un Norvēģija) atzīst organizācijas, kas sertificētas saskaņā ar droša patvēruma programmu, kā tādas, kas nodrošina atbilstošu konfidencialitātes aizsardzību, lai attaisnotu datu pārrobežu pārsūtīšanu no savām valstīm uz ASV. Šveicei ir gandrīz identiska vienošanās ("Šveices–ASV drošais patvērums") ar ASV Tirdzniecības departamentu, lai datu pārsūtīšanu no Šveices uz ASV atzītu par likumīgu, ko Microsoft arī ir sertificējusi.
Vairākas citas valstis, piemēram, Kanāda un Argentīna, ir pieņēmušas visaptverošus konfidencialitātes likumus, un ES ir atļāvusi tām pārsūtīt datus no ES uz šīm valstīm.
Novērtējiet mūsu drošības procedūru atbilstību jūsu vajadzībām.
Microsoft Online Services drošība ir pasaules klases drošība. Tomēr jums pašiem jānovērtē, vai jūsu rīcībā ir īpaši sensitīvi dati vai tādi dati, kam saskaņā ar nozares noteikumiem nepieciešams konkrēts drošības līmenis. Iespējams, ka uz šiem datiem attiecas īpašas drošības prasības, ko mēs nenodrošinām.
Piemēram, jūsu nozares standarts, iespējams, paredz 10 rakstzīmju paroļu izmantošanu — mūsu paroles parasti ir astoņu rakstzīmju paroles.
Jūs atbildat par to, lai noteiktu, vai mūsu drošības principi atbilst jūsu organizācijas prasībām.
Ja rodas jautājumi par to, vai Microsoft Online Services atbilst šeit neminētam noteiktam drošības standartam vai prasībai, varat izmantot resursu sadaļu vai sazināties ar atbalsta dienestu, un mēs jums sniegsim atbildi.
Nē. Microsoft Online Services pamatā ir ISO 27001 struktūra, kas ļauj nepārtraukti novērtēt un uzlabot mūsu pakalpojumu piedāvājumus. Microsoft Online Services informācijas drošības politika ietver arī papildu prasības, kas atvasinātas no savā klasē labākās drošības prakses un atbilst saistītajām starptautiskajām, nacionālajām un štata/provinces prasībām.
Organizācijas var iegūt ISO 27001 sertifikātu par savām informācijas drošības pārvaldības sistēmām (Information Security Management Systems — ISMS), kura pamatā parasti ir ISO 27002 informācijas drošības standarts. Sertifikāciju var veikt vairākas akreditētas aģentūras. Microsoft sertifikātu ir saņēmusi no Britu standartizācijas institūcijas (British Standards Institution — BSI). ISO 27001 audits nodrošina pārliecību par informācijas drošības pārvaldības sistēmām. Microsoft uzskata, ka, nodrošinot caurspīdīgumu, klientiem tiek ļauts novērtēt tās pakalpojumus attiecībā uz to prasībām un pieņemt informētus lēmumus.
ISO sertifikāts ir šādiem Office 365 pakalpojumiem: SharePoint Online, Lync Online, Exchange Online. Microsoft Dynamics CRM Online Service ir ISO sertificēts pakalpojums. ISO 27001 sertifikāts ir arī pakalpojumiem Global Foundation Services, kas ir šo pakalpojumu infrastruktūras slānis (tīkls un datu centrs). Microsoft Online Services klientiem ir jāpārskata šis ISO standarts (pieejams publiski), lai noteiktu, vai tiek apmierinātas to drošības prasības.
Microsoft Online Services nodrošina dažādus resursus, kas klientiem palīdz noteikt un pietiekami izprast Microsoft politikas, ieskaitot šādus dokumentus:
SAS 70 galvenokārt tiek izmantots ASV, lai nodrošinātu kontroles izveides un efektivitātes auditu, un SSAE 16 tiks izmantots līdzīgā veidā. ISO 27001 ir starptautisks standarts, kas paredzēts organizācijas drošības prakses izveidei. ISO 27001 pamatā tiek izmantots Eiropā, Japānā un dažās Āzijas valstīs, bet kļūst arvien populārāks arī ASV. ISO 27001 nosaka drošības kontroles pasākumu kopu un sertificē šo kontroli; tas ir ievērojami plašāks par SAS 70/SSAE 16. ISO 27001 pievēršas visiem trim drošības aspektiem, kas tiek saukti par CIA: konfidencialitāte, integritāte un pieejamība (Confidentiality, Integrity, Availability). Organizācijas kā standartam ISO 27001 atbilstošas var sertificēt vairāki akreditētie reģistrētāji visā pasaulē.
Microsoft Online Services parasti nesaņem SAS 70 audita atskaites valodās, kas nav angļu valoda. Tomēr Microsoft Online Services SAS 70 auditorfirma pēc pieprasījuma var iztulkot audita atskaiti vairākumā svešvalodu. Izmaksas ir atkarīgas no pieprasītās valodas, un tās sedz klients, kas tulkojumu pieprasa. Visas valodas nav pieejamas. Ja nepieciešams dokuments kādā citā valodā, lūdzu, sazinieties ar Microsoft Online Services klientu atbalsta dienestu.
Lai izprastu, kā Microsoft ierobežo piekļuvi datiem, skatiet drošības kontroles centra sadaļu Administratīvā piekļuve.
Nē. Atsevišķu klientu veikto auditu vietā klientiem ir pieejami mūsu neatkarīgo auditu rezultāti un sertifikāti. Šie sertifikāti un apliecinājumi precīzi norāda, kā mēs iegūstam un panākam savus drošības un atbilstības mērķus, un kalpo kā mūsu klientiem doto solījumu praktisks pārbaudes mehānisms. Ļaut tūkstošiem klientu auditēt mūsu pakalpojumus nav samērojama prakse, un tas var apdraudēt drošību.
Microsoft Online Services iekšējā pārraudzība ietver automatizētu infrastruktūras atbilstības pārraudzību (piemēram, ievainojamību meklēšanu, iekļūšanas iespēju pārbaudi un procesu un personu kontroles pārbaudi). Microsoft Online Services trešās personas pārbaudes programmā ir iekļauti neatkarīgi auditi, ko reizi gadā veic, lai pārbaudītu Microsoft Online Services drošības situāciju.
Nē. Microsoft nevar piekrist atsevišķa klienta pielāgota audita prasībām. Izmaksas un iespējamie dažādu prasību konflikti auditu pielāgošanu padara par nepraktisku.
Informāciju par to, kā Microsoft reaģē uz datu izmantošanas pārkāpumiem, lūdzu, skatiet savā pakalpojumu līgumā.