Klareringssenter: Informasjon om sikkerhet, personvern og overholdelse for Office 365 og Microsoft Dynamics CRM Online

Sikkerhet, revisjoner og sertifiseringer

Vi henter inn revisjoner og sertifiseringer fra tredjeparter, slik at du kan stole på at tjenestene våre er utformet og drives i henhold til strenge sikkerhetstiltak.

Målet vårt er enkelt: å drive tjenestene med den sikkerheten og det personvernet du forventer fra Microsoft, og å gi deg nøyaktige forsikringer når det gjelder sikkerhet og personvern. Vi har implementert og opprettholder passende tekniske og organisatoriske tiltak, interne kontroller og informasjonssikkerhetsrutiner for å beskytte kundedata mot tilfeldige tap, ødeleggelse eller endring, uautorisert formidling eller tilgang eller ulovlig ødeleggelse. Hvert år gjennomfører vi tredjepartsrevisjoner av internasjonalt anerkjente revisorer som en uavhengig attestering av at vi følger policyer og prosedyrer for sikkerhet, personvern, kontinuitet og samsvar.

Søk etter sertifisering og overholdelse for MS Online

Office 365

§  ISO 27001

§  Safe Harbor

§  SSAE16 SOC1 Type II

§  FISMA

Microsoft Dynamics CRM Online

§  ISO 27001

§  Safe Harbor

§  SSAE16 SOC1 Type II

Datasentre og fysisk infrastruktur for Office 365 og Microsoft Dynamics CRM Online (levert av Microsoft Global Foundation Services)

§  Safe Harbor

+§  ISO 27001

§  SSAE16 SOC2 FISMA

Utvidede detaljer

Sertifiseringer/akkrediteringer

Denne informasjonen er i hovedsak ment som generell informasjon. Denne informasjonen kan endres når som helst og må ikke tolkes som en kontraktmessig forpliktelse eller garanti fra Microsoft.

SSAE 16/ISAE 3402

SSAE 16 (Statement on Standards for Attestation Engagements No. 16), etterfølgeren til SAS 70 og ISAE 3402 (International Standards for Attestation Engagement No. 3402),  er revisjonsstandarder etablert av henholdsvis AICPA (American Institute of Certified Public Accountants) og International Auditing and Assurance Standards Board of the International Federation of Accountants og er rettet mot tjenesteorganisasjoner. Tjenesteorganisasjoner er vanligvis enheter som tilbyr utsettingstjenester som har innvirkning på kontrollmiljøet til kundene. Eksempler på tjenesteorganisasjoner er forsikrings- og sykekravbehandlere, vertsbaserte datasentre, leverandører av applikasjonstjenester (ASPer) og leverandører av administrert sikkerhet. Både SSAE 16- og ISAE 3402-revisjonene er uavhengige bekreftelser av samsvar med sikkerhetskontroller og effektiviteten av sikkerhetskontroller.

I konklusjonen av undersøkelsene til en SSAE 16- eller ISAE 3402-tjenesterevisor ("SAS 70-/SSAE 16-revisjon") gir tjenesterevisoren en uttalelse om følgende informasjon:

1.    Om tjenesteorganisasjonens beskrivelse av kontroller er rimelig godt presentert.

2.    Om tjenesteorganisasjonens kontroller er effektivt utformet.

3.    Om tjenesteorganisasjonens kontroller er tatt i bruk per spesifisert dato.

4.    Om tjenesteorganisasjonens kontroller drives effektivt i en angitt tidsperiode. (Bare SSAE 16 (SOC 1) Type II).

Microsofts SSAE 16-/ISAE 3402-revisjoner utføres én gang per år av en ekstern tredjepart (ett av de "fire store" revisjonsselskapene).

Revisjonsrapporten som produseres, inneholder en uttalelse om kontrollene fra den eksterne tredjeparten. Både Office 365 og Microsoft Dynamics CRM Online har gjennomgått SSAE 16 (SOC1) Type II-revisjoner. Du finner mer informasjon om revisjonsstandarden og -typene på www.aicpa.org.

GFS (Microsoft Global Foundation Services) gir infrastruktur (datasentre og nettverk) for både Microsoft (inkludert Office 365- / Microsoft Dynamics CRM Online-tjenestter) og deres kunder. GFS er SAS 70 Type II-sertifisert i dag og revideres i henhold til SSAE 16 ved neste planlagte revisjon. SSAE 16-rapportene for Office 365 og Microsoft Dynamics CRM Online utgjør programlagkontrollene for disse tjenestene. Sammen med GFS-rapport om infrastrukturlaget gir revisjonen en ende-til-ende-fremstilling av kontrollene.

ISO/IEC 27001

ISO/IEC 27001 er en standard for systemer for behandling av informasjonssikkerhet (ISMS) som er del av ISO/IEC 27000-serien med standarder som dekker personvern, konfidensialitet og tekniske sikkerhetsproblemer, og har "etablert retningslinjer og generelle prinsipper for start, implementering, vedlikehold og forbedring av behandling av informasjonssikkerhet innenfor en organisasjon." Standardene beskriver flere hundre potensielle kontroller og kontrollmekanismer. Spesielt ISO/IEC 27001 er en av de mest anerkjente sertifiseringene for en skytjeneste, og dermed en av de som er mest verdsatt av kundene våre. ISO 27001 definerer hvordan du implementerer, overvåker, vedlikeholder og kontinuerlig forbedrer ISMS. En organisasjon kan få en ISO 27001-sertifisering for ISMS, som vanligvis er basert på informasjonssikkerhetsstandardene i ISO 27002. Informasjonssikkerhetspolicyen for Microsoft Online Services er, i henhold til ISO 27002, full av krav som er spesifikke for elektroniske tjenester. ISO har vært grunnlaget for sikkerhetstilnærmingen for Office 365 / Microsoft Dynamics CRM Online og deres støttende infrastruktur siden 2009, og Office 365 / Microsoft Dynamics CRM Online er sertifisert av vår revisor, BSI (British Standards Institution). Kunder oppfordres til å lese gjennom den offentlig tilgjengelige ISO standarden, og Microsofts ISO-sertifikater som er tilgjengelige på BSI-nettstedet.

I tillegg til at BSI verifiserer at Office 365 og Microsoft Dynamics CRM Online overholder ISO/IEC 27001, har vi spurt BSI om å gjennomgå 20 andre personvernkontroller som vi har bygget inn i tjenestene for bedre å samkjøre dem med omfattende europeisk lovgivning for beskyttelse av data. Vi har valgt denne unike tilnærmingen for å hjelpe våre europeiske kunder med å forstå beskyttelsene vi har iverksatt for å tilfredsstille spesifikke krav til både europeiske borgere og europeisk lovgivning. Mange kunder anser EUs forskrifter for personvern for å være de strengeste i verden. Vårt arbeid med å justere kontrollene etter EUs forskrifter for personvern hjelper alle kundene som verdsetter databeskyttelse og personvern.

Vår ISO 27001-sertifisering og -revisjon av BSI gjør det mulig for alle våre kunder å vurdere hvordan Microsoft oppfyller eller overgår standardene og retningslinjene for implementering som vi er sertifisert for.  Fullstendig resultat av BSIs funn er inkludert i ISO/IEC 27001-revisjonsrapportene på Office 365 og Microsoft Dynamics CRM Online, oppsummeringer er tilgjengelig for Office 365- og Microsoft Dynamics CRM Online-kunder på forespørsel.

USA–EU Safe Harbor

Gjennom EU-direktivet om databeskyttelse har EU strengere regler for personvern enn USA og de fleste andre land. For å håndheve disse reglene forbyr EU vanligvis at personlige opplysninger krysser grenser til andre land, med unntak av i situasjoner der overføringen er godkjent av en definert mekanisme, for eksempel sertifiseringen for "Safe Harbor" som er beskrevet nedenfor.

For å gjøre det mulig med kontinuerlig flyt av informasjon som kreves i internasjonale bedrifter, inngikk Den europeiske kommisjonen en avtale med det amerikanske handelsdepartementet som sier at organisasjoner i USA kan sertifisere seg selv for overholdelse av Safe Harbor-prinsippene, som til en viss grad er knyttet til kravene i direktivet.

For at en bedrift på lovlig måte skal kunne overføre data fra EU til USA, må firmaet i USA eller en annen organisasjon offentlig bekrefte at de overholder Safe Harbor-prinsippene, i tilknytning til EUs regler for personvern. Office 365 og Microsoft Dynamics CRM Online kan overføre data fra EU til USA for behandling fordi Microsoft er Safe Harbor-sertifisert.

Kunder oppfordres til å lese gjennom prinsippene for sertifiseringen ved å følge denne koblingen, samt Microsofts sertifisering på nettstedet til handelsdepartementet: Rammeverk for Safe Harbor og sertifisering for Safe Harbor.

Microsoft ble første gang sertifisert i henhold til Safe Harbor-programmet i 2001, og at vi overholder Safe Harbor-prinsippene, sertifiseres på nytt hver tolvte måned.

I tillegg til EU-medlemslandene anerkjenner også medlemmene av EØS (Island, Liechtenstein og Norge) at organisasjoner som er sertifisert i henhold til programmet for Safe Harbor, leverer tilstrekkelig personvernbeskyttelse til å forsvare overføringer over grenser fra deres land til USA. Sveits har en nesten identisk avtale ("Safe Harbor for Sveits-USA") med handelsdepartementet i USA for å godkjenne overføringer fra Sveits til USA, som Microsoft også er sertifisert for.

Flere andre land, for eksempel Canada og Argentina, har vedtatt omfattende personvernlover og EU har godkjent dataoverføring fra EU til disse landene.

Vanlige spørsmål

Hva er det viktigste jeg må gjøre for å sikre at dataene mine er trygge?

Vurder sikkerhetsprosedyrene våre i forhold til dine behov.

Sikkerheten til Office 365 og Microsoft Dynamics CRM Online er førsteklasses. Du er imidlertid ansvarlig for å avgjøre om vårt sikkerhetsnivå er tilstrekkelig for å dekke organisasjonens behov. Det er opp til deg å vurdere om du har særlig sensitive data, eller data som må holdes på et bestemt sikkerhetsnivå i henhold til regler som gjelder for bransjen din. Disse dataene må kanskje ha et spesifikt sikkerhetskrav som vi ikke tilbyr.

Du kan for eksempel være i en bransje der bransjestandarden er passord på 10 tegn – Microsofts standard er normalt et passord på åtte tegn.

 

Hvis du har spørsmål i tilknytning til om Office 365 eller Microsoft Dynamics CRM Online oppfyller en bestemt sikkerhetsstandard eller et bestemt krav som ikke er drøftet her, kan du se under Ressurser eller kontakte Kundestøtte, så gir vi deg nødvendig informasjon.

Vil Office 365 og Microsoft Dynamics CRM Online overholde bedriftens sikkerhetspolitikk?

Som flerleietakertjenester kan verken Office 365 eller Microsoft Dynamics CRM Online godta eller overholde en bestemt bedrifts sikkerhetspolitikk. Våre kunder i ulike bransjer og land opplever at tjenestene våre oppfyller deres sikkerhetsbehov. Office 365 / Microsoft Dynamics CRM Online er basert på et ISO 27001-rammeverk for å kontinuerlig vurdere og forbedre sikkerheten til våre tjenestetilbud.

Informasjonssikkerhetspolicyen for Microsoft Online Services dekker også tilleggskrav som er utledet fra de beste sikkerhetsprosedyrene som finnes, og tilknytning til relevante internasjonale, nasjonale og delstatlige/provinsielle krav.

En organisasjon kan få en ISO 27001-sertifisering for ISMS (systemene for håndtering av informasjonssikkerhet), som vanligvis er basert på informasjonssikkerhetsstandarden i ISO 27002. Sertifisering kan innhentes fra flere akkrediterte byråer. Microsoft har fått sertifikatet fra BSI (British Standards Institution). ISO 27001-revisjoner gir forsikringer i forhold til systemene for behandling av informasjonssikkerhet. Microsoft mener at åpenhet gjør det mulig for kundene å vurdere tjenestene våre opp mot egne krav, slik at de kan fatte informerte beslutninger.

Følgende Office 365-tjenester er ISO-sertifiserte: SharePoint Online, Lync Online og Exchange Online. Tjenesten Microsoft Dynamics CRM Online er ISO-sertifisert. Global Foundation Services, infrastrukturlaget i tjenestene (nettverk og datasentre) er også ISO 27001-sertifisert. Office 365- og Microsoft Dynamics CRM Online-kunder bør lese gjennom ISO-standarden (offentlig tilgjengelig) for å finne ut om sikkerhetskravene er oppfylt.

Hvilke andre ressurser kan Office 365 og Microsoft Dynamics CRM Online tilby for å hjelpe meg med å få en tilstrekkelig forståelse for praksis for sikkerhet og personvern for å finne ut om Office 365- / Microsoft Dynamics CRM Online-policyen oppfyller mine krav?

Office 365 og Microsoft Dynamics CRM Online tilbyr flere ressurser som hjelper kundene å fatte en beslutning og få tilstrekkelig kunnskap om Microsofts policyer, inkludert følgende dokumenter:

§  Tjenestebeskrivelser: Office 365

§  Tjenestebeskrivelser: Microsoft Dynamics CRM Online

§  ISO-sertifiseringer

§  Personvernerklæring: Office 365

§  Personvernerklæring: Microsoft Dynamics CRM

§  Gjeldende kunder kan klikke her for flere støttedokumenter[engelsk]

Spørsmål: Hvordan er SSAE 16 forskjellige fra ISO 27001?

SSAE 16 er etterfølgeren til SAS 70, som har vært hovedsakelig brukt i USA til å gi en standard for revisjon av kontrollenes design og effektivitet.

ISO 27001 er en internasjonal standard rettet mot sikkerhet i en organisasjon. ISO 27001 er vanlig i Europa, Japan og enkelte andre asiatiske land, men øker i popularitet i USA. ISO 27001 stiller opp et sett av sikkerhetskontroller og sertifiserer mot disse kontrollene, det er mye mer omfattende dekning enn SSAE 16. ISO 27001 dekker alle tre aspekter ved sikkerhet som ofte kalles CIA: Confidentiality, Integrity and Availability (konfidensialitet, integritet og tilgjengelighet). Organisasjoner kan være sertifisert som kompatibel med ISO 27001 av et antall akkrediterte registratorer over hele verden.

Jeg ønsker en versjon av Microsofts SSAE 16-revisjonsrapport som ikke er på engelsk. Kan Microsoft tilby dette?

Avhengig av språket kan Microsoft være i stand til å levere en oversettelse av rapporten på kundens regning, ettersom Office 365- og Microsoft Dynamics CRM Online ikke mottar SSAE 16-revisjonsrapporter på andre språk enn engelsk.

SSASE 16-revisjonsfirmaet for Office 365 and Dynamics CRM Online har imidlertid muligheten til å oversette revisjonsrapporten til de fleste andre språk ved forespørsel. Kostnadene varierer avhengig av hvilket språk det gjelder, og må betales av kunden som kommer med forespørselen. Ikke alle språk er tilgjengelige. Kontakt Office 365 eller Microsoft Dynamics CRM Online kundestøtte ved behov.

Hvem har administrative rettigheter til Office 365 og Microsoft Dynamics CRM Online? Er de heltidsansatte eller entreprenører? Hvordan forhindrer Microsoft at administratorene får tilgang til kundedata?

Svar: Se delen Administrativ tilgang i klareringssenteret for å finne ut hvordan Microsoft begrenser tilgangen til data.

Gir Microsoft kundene tilgang til å revidere Office 365- eller Microsoft Dynamics CRM Online-kontroller eller -infrastruktur?

Office 365 og Microsoft Dynamics CRM Online deler sammendrag av våre uavhengige revisjonsrapporter og sertifiseringer med kunder.

Disse sertifiseringene og attestene gir en nøyaktig representasjon av hvordan vi oppnår og oppfyller målene for sikkerhet og overholdelse, og de fungerer som en praktisk metode for validering av løftene for alle kunder. Hvis vi skulle tillate at potensielt flere tusen kunder skulle revidere tjenestene våre, ville det bli en gigantisk operasjon som kunne sette sikkerheten i fare.

Intern overvåking i Office 365 og Microsoft Dynamics CRM Online omfatter automatisk overholdelsesovervåking i infrastrukturen (for eksempel søk etter sårbarheter, test mot inntrengere og test av prosesser og personkontroller). Valideringsprogrammet for Office 365 og Microsoft Dynamics CRM Online fra en tredjepart omfatter uavhengige revisjoner som utføres årlig for å bekrefte sikkerhetsnivået i Office 365 og Dynamics CRM Online.

Kan Microsoft tilpasse revisjonen for meg?

Nei. Microsoft kan ikke godta egendefinerte revisjonsforpliktelser overfor en individuell kunde. Kostnadene og de potensielle konfliktene mellom ulike forpliktelser gjør det upraktisk å tilpasse revisjoner.

Varsler Microsoft meg etter et brudd på datasikkerheten?

Hvis du vil ha informasjon om hvordan Microsoft svarer på brudd på datasikkerheten, kan du se tjenesteavtalen.

Tilleggsressurser

§  Informasjon om Security Development Lifecycle

§  Veiledning for Microsoft Dynamics CRM Online Security og tjenestekontinuitet

§  Veiledning for sikkerhet og overholdelse

§  CRM Customer Center

§  CRM Developer Center

§  CRM IT Pro Center