We verwerven controles en certificeringen van derde partijen, zodat u erop kunt vertrouwen dat onze services zijn ontworpen en worden beheerd onder strenge beveiligingen.
Wij stellen ons ten doel onze services te beheren met de beveiliging en privacy die u verwacht, en u nauwkeurige verzekeringen te geven over onze beveiliging en privacy. Wij hebben gepaste technische en organisatorische maatregelen, interne controles en routines voor gegevensbeveiliging geïmplementeerd en zullen deze blijven onderhouden, met als doel het beschermen van klantgegevens tegen onopzettelijk verlies, onopzettelijke vernietiging of wijziging, niet-geautoriseerde openbaring of toegang, of onrechtmatige vernietiging. Elk jaar ondergaan wij controles door derde partijen, door internationaal erkende accountants, om te bevestigen dat wij onafhankelijk bewijs hebben van onze naleving van ons beleid en onze procedures voor beveiliging, privacy, continuïteit en naleving.
| Certificeringen en naleving zoeken MS Online | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365- en Microsoft Dynamics CRM Online-gegevenscentrums en fysieke infrastructuur (geleverd door Microsoft Global Foundation Services) | |
Deze informatie is alleen bedoeld ter algemene inlichting. Deze informatie is aan verandering onderhevig op enig moment en dient niet geïnterpreteerd te worden als een toezegging of garantie van de zijde van Microsoft.
Statement on Auditing Standards No.70 (SAS 70) is een door het American Institute of Certified Public Accountants (AICPA) ingestelde controlestandaard en is ingesteld op service-organisaties. Service-organisaties zijn gewoonlijk entiteiten die outsourcingservices bieden die invloed hebben op de controle-omgeving van hun klanten. Voorbeelden van service-organisaties zijn verwerkers van verzekerings- en medische claim, gehoste datacentrums, applicatieserviceproviders (ASPs) en beheerde beveiligingsproviders. De per 15 juni 2011 in werking tredende SSAE 16 (Statement on Standards for Attestation Engagements No. 16) vervangt SAS 70 als de norm voor onafhankelijke verificatie van de naleving van de beveiligingscontroles van een service. SSAE 16- en SAS 70-controles bieden beide een onafhankelijke verificatie van de naleving van beveiligingscontroles en de effectiviteit van beveiligingscontroles.
Aan het eind van een onderzoek door een SSAE 16- of SAS 70-service-accountant ('SAS 70-/SSAE 16-controle'), geeft de service-accountant een mening weer over het volgende:
1. Of de omschrijving van de controles van de service-organisatie wel of niet eerlijk wordt gepresenteerd.
2. Of de controles van de service-organisatie wel of niet effectief zijn ontworpen.
3. Of de controles van de service-organisatie wel of niet vanaf een gespecificeerde datum in werking zijn gesteld.
4. Of de controles van de service-organisatie wel of niet effectief werken over een gespecificeerde tijdsperiode (alleen SAS 70 Type II/SSAE 16 SOC 1 Type II).
De SAS 70-/SSAE 16-controles van Microsoft worden uitgevoerd door een externe derde partij (een van de 'Grote Vier' boekhoudfirma's).
SAS 70-/SSAE 16-controles worden eenmaal per jaar uitgevoerd. Het controlerapport omvat een oordeel over de controles door een externe derde partij. U kunt meer informatie aangaande de standaard en controletypes vinden op www.aicpa.org.
Global Foundational Services (GFS) levert infrastructuurdiensten (datacentrums en netwerken) aan online-eigendommen van Microsoft als Office 365, BPOS-S, BPOS-D, Dynamics CRM Online en Windows Azure. Toepassingslaagcontroles voor Office 365 en Dynamics CRM Online staan momenteel gepland voor evaluatie, in eerste instantie onder SSAE 16 SOC 1 Type I, waarna evaluatie onder SSAE 16 SOC 1 Type II zal volgen. Het SSAE 16-rapport van Office 365 zal bovenop het GFS-rapport komen, om een end-to-endverklaring van controles te leveren. GFS is momenteel SAS 70 Type II-gecertificeerd en wordt bij de volgende volgens het schema geplande controle gecontroleerd aan de hand van SSAE 16.
Het Microsoft Online Services-informatiebeveiligingsbeleid stemt overeen met ISO 27002 uitgebreid met vereisten specifiek voor online diensten. Een organisatie kan een ISO 27001-certificering verkrijgen op haar Information Security Management Systems (ISMS), die gewoonlijk is gebaseerd op de ISO 27002 Information Security Standards. ISO staat aan de basis van de Microsoft Online Services en zijn ondersteunende infrastructuur sinds 2009, en is gecertificeerd door de British Standards Institution (BSI). Klanten worden aangemoedigd de ISO standaard- (openbaar beschikbaar) te raadplegen.
Alle ISO-certificeringen zijn openbaar beschikbaar.
De ISO 27000-familie van standaarden is opzettelijk breed in bereik en omvat privacy, vertrouwelijkheid en technische beveiligingsproblemen en gevestigde richtlijnen en algemene principes voor het in werking stellen, implementeren, onderhouden en verbeteren van informatiebeveiligingsbeheer binnen een organisatie. Om dat doel te bereiken geeft de standaard honderden potentiële controles en controlemechanismen weer.
Global Foundational Services (GFS) levert infrastructuurdiensten (datacentrums en netwerken) aan online-eigendommen van Microsoft als BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 en Windows Azure. Toepassingslaagcontroles voor ISO-certificeringen komen bovenop de GFS-certificering, om een end-to-endverklaring van controles te leveren.
De Europese Unie heeft met de EU-richtlijn voor de bescherming van persoonsgegevens stengere privacyregels dan de VS en de meeste andere landen. Teneinde op de naleving van deze regels toe te zien, verbiedt de EU over het algemeen dat persoonlijke gegevens de grenzen overschrijden naar andere landen, behalve onder omstandigheden waarin de overdracht is gewettigd door een erkend mechanisme, zoals de 'Safe Harbor'-certificering die hieronder wordt beschreven.
Teneinde rekening te houden met de continue stroom van gegevens door de internationale zakenwereld, heeft de Europese Commissie overeenstemming bereikt met het Amerikaanse ministerie van economische zaken, waarbij organisaties in de VS zichzelf kunnen certificeren als de Safe Harbor-principes nalevend, die min of meer de vereisten van de Richtlijn volgen.
Als een firma wettig gegevens wil overbrengen van de EU naar VS, moet het bedrijf of de organisatie uit de VS publiekelijk verklaren dat het de Safe Harbor-principes zal naleven, die overeenstemmen met de privacyregels van de EU. Microsoft Online Services kan gegevens van de EU naar de VS overbrengen omdat Microsoft Safe Harbor-gecertificeerd is.
Klanten worden aangemoedigd de principes van de certificering te raadplegen via de volgende link, evenals de certificering van Microsoft op de website van het ministerie van Handel van de Verenigde Staten: Safe Harbor-framework en certificering.
Microsoft werd voor het eerst gecertificeerd onder het Safe Harbor-programma in 2001, en wij leggen elke twaalf maanden opnieuw een officiële verklaring af van naleving van de Safe Harbor-principes.
Behalve de EU-lidstaten erkennen ook leden van het Europees Economisch Gebied (IJsland, Liechtenstein en Noorwegen) organisaties die onder het Safe Harbor-programma zijn gecertificeerd als organisaties die voldoende privacybescherming leveren om grensoverschrijdende overdracht te rechtvaardigen van hun land naar de VS. Zwitserland heeft een bijna identieke overeenkomst ('Zwitserland-VS Safe Harbor') met het Amerikaanse ministerie van economische zaken om overdrachten van Zwitserland naar de VS te legitimeren, waaraan Microsoft zich ook heeft gecertificeerd.
Verscheidene andere landen, zoals Canada en Argentinië, hebben uitgebreide privacywetten, en de EU heeft toestemming gegeven voor gegevensoverdracht van de EU naar die landen.
Vergelijk onze beveiligingsprocedures met uw behoeften.
De beveiliging van Microsoft Online Services is van wereldklasse. Het is echter aan u om te beoordelen of u bijzonder gevoelige gegevens hebt, of gegevens die aan een bepaald beveiligingsniveau moeten worden gehouden onder richtlijnen die op uw branche van toepassing zijn. Deze gegevens kunnen een specifieke beveiligingseis vergen die wij niet bieden.
U kunt bijvoorbeeld in een branche zitten waar de standaard voor wachtwoorden 10 tekens is, terwijl de onze gewoonlijk acht tekens is.
U bent ervoor verantwoordelijk voor te bepalen of onze beveiliging voldoet aan de vereisten van uw organisatie.
Als u zich afvraagt of Microsoft Online Services voldoet aan een bepaalde beveiligingsstandaard die hier niet is besproken, kunt u de sectie Bronnen nakijken of contact opnemen met Ondersteuning, dan laten wij het u weten.
Nee. Microsoft Online Services is gebaseerd op een ISO 27001-framework om continu ons service-aanbod te beoordelen en te verbeteren. Het Microsoft Online Services-informatiebeveiligingsbeleid integreert extra vereisten die zijn afgeleid van beveiligingspraktijken die de beste in hun soort zijn en het in kaart brengen van relevante internationale, nationale en staats- of provincievereisten.
Een organisatie kan een ISO 27001-certificering verkrijgen op haar Information Security Management Systems (ISMS), welke gewoonlijk is gebaseerd op de ISO 27002 Information Security Standard. Certificering kan verzocht worden via een aantal geaccrediteerde instanties. Microsoft heeft het certificaat verkregen van de the British Standards Institution (BSI). ISO 27001-controles leveren zekerheid omtrent de Information Security Management Systems. Microsoft gelooft dat we, door transparantie te bieden, klanten in staat kunnen stellen onze services te beoordelen en te vergelijken met hun vereisten, om geïnformeerde besluiten te nemen.
De volgende Office 365-services zijn ISO-gecertificeerd: SharePoint Online, Lync Online, Exchange Online. De Microsoft Dynamics CRM Online-service is ISO-gecertificeerd. Global Foundation Services, de infrastructuurlaag van de services (netwerk en datacentrums) is ook ISO 27001-gecertificeerd. Klanten van Microsoft Online Services dienen de ISO-standaard te raadplegen (openbaar beschikbaar) om te bepalen of hun aan hun beveiligingsvereisten wordt voldaan.
Microsoft Online Services biedt een aantal bronnen aan om klanten te helpen een oordeel te vormen en een voldoende begrip te verkrijgen van het beleid van Microsoft, waaronder de volgende documenten:
SAS 70 is hoofdzakelijk in de Verenigde Staten gebruikt om een controle te bieden van het ontwerp en de effectiviteit van controlemiddelen, en SSAE 16 gaat op soortgelijke wijze gebruikt worden. ISO 27001 is een internationale standaard die is ingesteld op beveiligingspraktijken van een organisatie. ISO 27001 is veel voorkomend in Europa, Japan en sommige Aziatische landen, maar het wint aan populariteit in de Verenigde Staten. ISO 27001 stelt een set beveiligingscontroles vast en certificeert tegen die controles; het is veel uitgebreider in dekking dan SAS 70/SSAE 16. ISO 27001 richt zich tot alle drie de aspecten van beveiliging die gewoonlijk worden aangeduid als CIA: Confidentiality, Integrity, Availability (vertrouwelijkheid, integriteit en beschikbaarheid). Organisaties kunnen worden gecertificeerd als ISO 27001 nalevend door een aantal geaccrediteerde registrars over de hele wereld.
Microsoft Online Services ontvangt gewoonlijk geen SAS 70-controlerapporten in andere talen dan Engels. De Microsoft Online Services SAS 70-controlefirma heeft echter de mogelijkheid om op verzoek het controlerapport te vertalen naar de meeste vreemde talen. Kosten variëren afhankelijk van de gevraagde taal, en zouden moeten worden betaald door de verzoekende klant. Niet elke taal is beschikbaar. Neem contact op met de Microsoft Online Services-klantondersteuning als u er een nodig hebt.
Raadpleeg de sectie Beheerderstoegang van het Vertrouwenscentrum om te begrijpen hoe Microsoft toegang tot gegevens beperkt.
Nee. Onze onafhankelijke controles en certificeringen worden gedeeld met klanten ter vervanging van individuele klantcontroles. Deze certificeringen en attesten vertegenwoordigen nauwgezet hoe wij onze beveiligings- en nalevingsdoelstellingen verkrijgen en daaraan tegemoetkomen, en dienen als praktisch mechanisme om onze beloften voor alle klanten te valideren. Mogelijk duizenden klanten toe te staan onze services te controleren zou niet haalbaar zijn en zou inbreuk kunnen maken op beveiliging.
De interne controle van Microsoft Online Services omvat geautomatiseerde nalevingscontrole van infrastructuur (bijvoorbeeld kwetsbaarheidsscans, indringingstesten en het testen van controles op processen en mensen). Het derde-partijvalidatieprogramma van Microsoft Online Services omvat onafhankelijke controles die op jaarbasis worden uitgevoerd om verificatie te bieden van het beveiligingsstandpunt van Microsoft Online Services.
Nee. Microsoft is niet in staat akkoord te gaan met aangepaste controleverplichtingen voor een individuele klant. De kosten en mogelijke conflicten tussen verschillende verplichtingen maken het onuitvoerbaar om controles aan te passen.
Raadpleeg voor informatie over hoe Microsoft reageert op inbreuken op gegevens uw service-overeenkomst.