Firma Microsoft zamawia audyty i certyfikaty stron trzecich, dlatego można być pewnym, że nasze usługi są oferowane i świadczone z zastosowaniem bardzo skutecznych zabezpieczeń.
Celem firmy Microsoft jest świadczenie usług z zachowaniem bezpieczeństwa i poufności danych oraz zapewnienie klientów o skuteczności tych działań. Firma Microsoft wdrożyła i będzie utrzymywać odpowiednie zabezpieczenia techniczne i organizacyjne, wewnętrzne mechanizmy kontrolne oraz procedury ochrony informacji ukierunkowane na ochronę danych klienta przed przypadkową utratą, zniszczeniem lub modyfikacją, nieautoryzowanym ujawnieniem lub dostępem albo nielegalnym zniszczeniem. Co rok uznawani na całym świecie niezależni audytorzy przeprowadzają audyty w celu potwierdzenia, że firma Microsoft uzyskała od niezależnych firm certyfikaty zgodności z przepisami i procedurami związanymi z zabezpieczeniami, zachowaniem poufności informacji, ciągłości działalności oraz zgodności z przepisami.
| Narzędzie do wyszukiwania certyfikatów i dowodów zgodności usług MS Online | |
| Usługa Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Centra danych i fizyczna infrastruktura usług Office 365 i Microsoft Dynamics CRM Online (zapewniane przez usługi Microsoft Global Foundation Services) | |
Niniejsze informacje mają wyłącznie zastosowanie informacyjne. Mogą zostać zmienione w dowolnej chwili bez powiadomienia i nie należy ich interpretować jako zobowiązania lub gwarancji ze strony firmy Microsoft.
Standard audytu SAS 70 (Statement on Auditing Standards No.70), został ustanowiony przez organizację AICPA (American Institute of Certified Public Accountants), jest przeznaczony dla organizacji świadczących usługi. Organizacje tego typu są zazwyczaj podwykonawcami świadczącymi usługi wpływające na środowisko kontrolne klientów. Przykładem organizacji świadczących usługi są firmy przetwarzające roszczenia ubezpieczeniowe i medyczne, hostowane centra danych, dostawcy usług aplikacyjnych (ASP, Application Service Provider) oraz dostawcy zabezpieczeń zarządzanych. Obowiązujący od 15 czerwca 2011 roku standard SSAE 16 (Statement on Standards for Attestation Engagements No. 16) zastępujący standard SAS 70 jest niezależną weryfikacją zgodności z wymaganiami organizacji świadczącej usługę. Zarówno audyt SSAE 16, jak i SAS 70, umożliwiają niezależną weryfikację zgodności z wymaganiami dotyczącymi stosowania i efektywności mechanizmów kontroli zabezpieczeń.
Po zakończeniu badania usługi przeprowadzonego przez audytora SSAE 16 lub SAS 70 („audyt SAS 70/SSAE 16”) audytor formułuje opinię dotyczącą następujących zagadnień:
1. Czy opis mechanizmów kontrolnych organizacji świadczącej usługi jest zgodny ze stanem faktycznym.
2. Czy mechanizmy kontrolne organizacji świadczącej usługi są zaprojektowane efektywnie.
3. Czy mechanizmy kontrolne organizacji świadczącej usługi zostały udostępnione w podanym terminie.
4. Czy mechanizmy kontrolne organizacji świadczącej usługi funkcjonują efektywnie w określonym przedziale czasowym (tylko SAS 70 typ II/SSAE 16 SOC 1 typ II).
Audyty SAS 70/SSAE 16 w firmie Microsoft są prowadzone przez firmę zewnętrzną (jedną z czterech największych firm zajmujących się audytem finansowym).
Audyty SAS 70/SSAE 16 są przeprowadzane raz do roku. Raport z audytu zawiera opinię na temat mechanizmów kontrolnych wydaną przez firmę zewnętrzną. Więcej informacji dotyczących standardu i typów audytów można znaleźć w witrynie www.aicpa.org.
Firma Global Foundational Services (GFS) zapewnia usługi infrastruktury (centra danych i sieć) dla produktów online firmy Microsoft, takich jak Office 365, BPOS-S, BPOS-D, Dynamics CRM Online i Windows Azure. W przypadku mechanizmów kontrolnych warstwy aplikacji dla usług Office 365 i Dynamics CRM Online obecnie planowana jest ocena zgodnie ze standardem SSAE 16 SOC 1 typu I, a w przyszłości SSAE 16 SOC 1 typu II. Raport SSAE 16 dla usług Office 365 i Dynamics CRM Online będzie uzupełnieniem raportu firmy GFS, zawierającym kompletną reprezentację mechanizmów kontrolnych. Firma GFS uzyskała certyfikat SAS 70 typu II i zostanie skontrolowana pod kątem zgodności ze standardem SSAE 16 podczas następnego zaplanowanego audytu.
Zasady zabezpieczeń informacji w witrynie Microsoft Online Services są zgodne z normą ISO 27002 i wymaganiami dotyczącymi usług online. Organizacja może uzyskać certyfikat ISO 27001 dla systemów zarządzania zabezpieczeniami informacji (ISMS, Information Security Management Systems), który jest zazwyczaj oparty na standardach zabezpieczeń informacji (ISS, Information Security Standards) ISO 27002. Norma ISO jest podstawą dla witryny Microsoft Online Services i jej infrastruktury pomocniczej od 2009 roku i była certyfikowany przez Brytyjską Organizację Normalizacyjną (BSI, British Standards Institution). Klienci są zachęcani do zapoznania się z normą ISO (powszechnie dostępna).
Wszystkie procedury certyfikacji ISO są powszechnie dostępne.
Rodzina norm ISO 27000 uwzględnia wiele zagadnień, takich jak zachowanie poufności informacji, techniczne problemy związane z zabezpieczeniami oraz „powszechnie przyjęte zalecenia i ogólne zasady inicjowania, wdrażania, utrzymywania i ulepszania systemów zarządzania zabezpieczeniami informacji w organizacji”. W tym celu w normie uwzględniono kilkaset potencjalnych mechanizmów kontrolnych.
Global Foundational Services (GFS) zapewniają usługi infrastruktury (centra danych i sieć) dla produktów online firmy Microsoft, takich jak BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 i Windows Azure. Mechanizmy kontrolne warstwy aplikacji dla certyfikatów ISO stanowią uzupełnienie certyfikatów GFS, zapewniające pełną reprezentację mechanizmów kontrolnych.
Zasady obowiązujące w Unii Europejskiej są określone przez dyrektywę dotyczącą ochrony danych i są bardziej restrykcyjne niż w Stanach Zjednoczonych i w wielu innych krajach. Aby wyegzekwować te zasady, UE generalnie zabrania przekazywania danych osobowych przez granice do innych krajów, z wyjątkiem okoliczności, w których jest to dopuszczone w ramach uznanego mechanizmu, takiego jak opisana poniżej certyfikacja „Safe Harbor”.
Aby umożliwić ciągły przepływ informacji wymaganych przez firmy międzynarodowe, Komisja Europejska zawarła porozumienie z Departamentem Handlu Stanów Zjednoczonych, zgodnie z którym organizacje w Stanach Zjednoczonych mogą samodzielnie uzyskiwać certyfikaty zgodności z zasadami Safe Harbor Principles, które są swobodnie powiązane z wymaganiami określonymi w dyrektywie.
Aby legalnie przesyłać dane z Unii Europejskiej do Stanów Zjednoczonych, firma lub inna organizacja musi publicznie zagwarantować, że będzie stosować się do zasad Safe Harbor Principles zgodnych z regułami zachowania poufności informacji obowiązującymi w UE. Witryna Microsoft Online Services może przesyłać dane z UE do USA w celu przetwarzania, ponieważ firma Microsoft uzyskała certyfikat Safe Harbor.
Zachęcamy klientów do zapoznania się z zasadami certyfikacji dostępnymi pod poniższym łączem i certyfikatami firmy Microsoft w witrynie Departamentu Handlu w sieci Web: Safe Harbor Framework i Certyfikacja.
Firma Microsoft uzyskała pierwszy certyfikat w programie Safe Harbor w 2001 roku i odnawia certyfikat zgodności z zasadami Safe Harbor Principles co dwanaście miesięcy.
Oprócz krajów członkowskich UE, kraje należące do Europejskiego Obszaru Gospodarczego (Islandia, Liechtenstein i Norwegia) również uznają, że organizacje certyfikowane zgodnie z programem Safe Harbor zapewniają adekwatną ochronę poufności informacji uzasadniającą przesyłanie danych przez granice z ich krajów do Stanów Zjednoczonych. Szwajcaria zawarła prawie identyczną umowę („Swiss-U.S. Safe Harbor”) z Departamentem Handlu Stanów Zjednoczonych w celu zalegalizowania transferów ze Szwajcarii do USA, do których firma Microsoft jest również uprawniona zgodnie z uzyskanymi certyfikatami.
Niektóre inne kraje, takie jak Kanada i Argentyna, wprowadziły kompleksowe przepisy dotyczące poufności informacji, a Unia Europejska zezwoliła na przesyłanie danych z UE do tych krajów.
Ocena zgodności procedur ochrony stosowanych przez firmę Microsoft z wymaganiami klienta.
Zabezpieczenia witryny Microsoft Online Services są najwyższej jakości. Ostatecznie jednak to klient decyduje, czy jego dane są szczególnie ważne lub powinny być chronione na określonym poziomie zabezpieczeń zgodnie z przepisami obowiązującymi w danym sektorze gospodarki. W przypadku tych danych mogą obowiązywać określone wymagania dotyczące zabezpieczeń, których firma Microsoft nie zapewnia.
Na przykład w danej branży może obowiązywać standard haseł składających się z 10 znaków, podczas gdy firma Microsoft wymaga zazwyczaj haseł składających się z ośmiu znaków.
Klient jest zobowiązany do ustalenia, czy zabezpieczenia firmy Microsoft są zgodne z wymaganiami jego organizacji.
W przypadku wątpliwości dotyczących zgodności witryny Microsoft Online Services z określonym standardem zabezpieczeń lub wymaganiem, które nie zostały omówione w niniejszym dokumencie, można zapoznać się z punktem „Zasoby” lub skontaktować z Pomocą techniczną, aby uzyskać więcej informacji.
Nie. Witryna Microsoft Online Services jest oparta na strukturze ISO 27001 umożliwiającej nieustanną ocenę i ulepszanie usług oferowanych przez firmę Microsoft. Zasady ochrony informacji w witrynie Microsoft Online Services uwzględniają również dodatkowe wymagania sformułowane na podstawie najlepszych zasad ochrony i odwzorowania odpowiednich wymagań międzynarodowych, krajowych i regionalnych.
Organizacja może uzyskać certyfikat ISO 27001 dla systemów zarządzania zabezpieczeniami informacji (ISMS, Information Security Management Systems), który jest zazwyczaj oparty na standardzie zabezpieczeń informacji (ISS, Information Security Standards) ISO 27002. Certyfikaty można uzyskać od akredytowanych agencji. Firma Microsoft uzyskała certyfikat od Brytyjskiej Organizacji Normalizacyjnej (BSI, British Standards Institution). Audyty ISO 27001 zapewniają gwarancje związane z systemami ISMS. Firma Microsoft jest przekonana, że zapewniając przejrzystość, umożliwia klientom ocenę zgodności jej usług z ich wymaganiami i podejmowanie optymalnych decyzji.
Następujące usługi Office 365 uzyskały certyfikat ISO: SharePoint Online, Lync Online i Exchange Online. Usługa Microsoft Dynamics CRM Online ma certyfikat ISO. Warstwa infrastruktury Global Foundation Services (sieć i centra danych) dla tych usług również uzyskała certyfikat ISO 27001. Klienci korzystający z witryny Microsoft Online Services powinni zapoznać się z normą ISO (powszechnie dostępną) w celu ustalenia, czy ich wymagania dotyczące zabezpieczeń zostały spełnione.
Witryna Microsoft Online Services oferuje zasoby ułatwiające klientom podjęcie decyzji i zrozumienie zasad firmy Microsoft, między innymi następujące dokumenty:
Standard SAS 70 jest stosowany przede wszystkim w Stanach Zjednoczonych i umożliwia audyt projektu i efektywności mechanizmów kontrolnych, a standard SSAE 16 będzie używany w podobny sposób. ISO 27001 jest międzynarodową normą dotyczącą zabezpieczeń w organizacji. Norma ISO 27001 jest stosowana powszechnie w Europie, Japonii i niektórych krajach Azji, jednak jest coraz bardziej popularna w Stanach Zjednoczonych. W normie ISO 27001 uwzględniono zestaw mechanizmów kontroli zabezpieczeń i certyfikaty dla tych mechanizmów. Jest ona znacznie bardziej wszechstronna niż standard SAS 70/SSAE 16. Norma ISO 27001 uwzględnia wszystkie trzy aspekty zabezpieczeń zazwyczaj określane jako poufność, integralność i dostępność (CIA, Confidentiality, Integrity, Availability). Organizacje mogą uzyskać certyfikat ISO 27001 od akredytowanych rejestratorów w różnych krajach.
Witryna Microsoft Online Services zazwyczaj nie otrzymuje raportów z audyt SAS 70 w wersjach językowych innych niż angielska. Firma dokonująca audytu SAS 70 w witrynie Microsoft Online Services może jednak na żądanie przetłumaczyć raport z inspekcji na większość innych języków. Koszt, zależny wersji językowej, ponosi klient zgłaszający żądanie. Niektóre wersje językowe są niedostępne. Aby otrzymać określoną wersję językową, należy skontaktować się z działem obsługi klientów w witrynie Microsoft Online Services.
Zobacz sekcję Dostęp administracyjny w Centrum zaufania, aby zapoznać się z metodami ograniczania dostępu do danych przez firmę Microsoft.
Nie. Wyniki naszych niezależnych audytów i certyfikacji są udostępniane klientom oraz zastępują indywidualne audyty dokonywane przez klientów. Te certyfikaty i atesty dokładnie informują o tym, jak firma Microsoft realizuje cele związane z zabezpieczeniami i zgodnością, oraz stanowią praktyczny mechanizm umożliwiający weryfikację naszych zapewnień kierowanych do wszystkich klientów. Umożliwienie potencjalnym tysiącom klientów na audyt naszych usług nie byłoby rozważnym ani bezpiecznym rozwiązaniem.
Wewnętrzne monitorowanie usługi Microsoft Online Services obejmuje automatyczne sprawdzanie zgodności infrastruktury (np. skanowanie w poszukiwaniu luk w zabezpieczeniach, testowanie penetracji oraz mechanizmów kontroli procesów i osób). Program sprawdzania witryny Microsoft Online Services przez strony trzecie uwzględnia niezależne inspekcje przeprowadzane co rok w celu weryfikacji stanu zabezpieczeń witryny Microsoft Online Services.
Nie. Firma Microsoft nie może zaakceptować niestandardowych audytów dla indywidualnego klienta. Koszty i potencjalne konflikty różnych zobowiązań powodują, że niestandardowe audyty są niewykonalne.
Aby uzyskać informacje dotyczące reagowania firmy Microsoft na wypadki naruszenia zabezpieczeń danych, należy przeczytać zawartą umowę dotyczącą usługi.