Obtemos certificações e auditorias de terceiros, a fim de que você possa confiar que nossos serviços são criados e operados com as mais rígidas diretrizes de segurança.
Nossos objetivos são operar nossos serviços com a segurança e a privacidade que você espera, bem como fornecer a você garantias precisas sobre sua segurança. Implementamos e manteremos medidas organizacionais e técnicas apropriadas, controles internos e rotinas de segurança de informações destinadas a proteger dados de clientes contra alteração, destruição ou perda acidental; acesso ou divulgação não autorizada; ou destruição ilegal. Anualmente, realizamos auditorias de terceiros por auditores internacionalmente reconhecidos, a fim de validar que temos um atestado independente de conformidade com nossas políticas e procedimentos de segurança, privacidade, continuidade e conformidade.
| Localizador de conformidade e certificação online da MS | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Infraestrutura física e data centers do Office 365 e do Microsoft Dynamics CRM Online (fornecido pelo Microsoft Global Foundation Services) | |
Estas informações são somente para fins informativos gerais. Essas informações estão sujeitas a alterações, a qualquer momento, e não devem ser interpretadas como sendo um compromisso ou uma garantia por parte da Microsoft.
O SAS 70 (Statement on Auditing Standards No.70) é um padrão de auditoria estabelecido pelo AICPA (American Institute of Certified Public Accountants) e é voltado para organizações de serviços. As organizações de serviços geralmente são entidades que fornecem serviços de terceirização, que afetam o ambiente de controle de seus clientes. Exemplos de organizações de serviços são processadores de alegações médicas e de seguros, data centers hospedados, provedores de serviços de aplicativos (ASPs, application service providers) e provedores de segurança gerenciada. Válido a partir de 15 de junho de 2011, o SSAE 16 (Statement on Standards for Attestation Engagements No. 16) substituirá o SAS 70 como a norma para fornecer uma verificação independente de cumprimento dos controles de uma organização de serviço. As auditorias da SSAE 16 e SAS 70 são verificações independentes de cumprimento dos controles de segurança e da eficácia dos controles de segurança.
Na conclusão de um exame do auditor de serviço de um SSAE 16 ou SAS 70 ("auditoria do SAS 70/ SSAE 16"), o autor do serviço gera uma opinião sobre o seguinte:
1. Se a descrição de controles da organização de serviços é apresenta ou não corretamente.
2. Se os controles da organização de serviços foram criados ou não com eficiência.
3. Se os controles da organização de serviços estão ou não vigentes a partir da data especificada.
4. Se os controles da organização de serviços estão operando ou não com eficiência por um período especificado de tempo. (Somente SAS 70 tipo II/ SSAE 16 SOC 1)
As auditorias do SAS 70/ SSAE 16 da Microsoft são realizadas por um terceiro externo (uma das "quatro grandes" empresas de contabilidade).
As auditorias do SAS 70/SSAE 16 são realizadas uma vez por ano. O relatório de auditoria produzido inclui uma opinião dos controles pelo terceiro externo. Mais informações sobre o padrão e os tipos de auditorias podem ser encontradas em www.aicpa.org.
O GFS (Global Foundational Services) fornece serviços de infraestrutura (data centers e sistema de rede) para as propriedades online da Microsoft, como Office 365, BPOS-S, BPOS-D, Dynamics CRM Online e Windows Azure. Os controles de camada de aplicativo para o Office 365 e para o Dynamics CRM Online são atualmente planejados para serem avaliados primeiro sob o SSAE 16 SOC 1 Tipo I, com avaliação sob o SSAE SOC 1 Tipo II a seguir. O relatório do SSAE 16 do Office 365 e do Dynamics CRM Online terá base no relatório do GFS, a fim de fornecer uma representação completa de controles. O SAS 70 Tipo II do GFS é certificado hoje e será auditado em relação ao SSAE 16 em sua próxima auditoria programada regularmente.
A Política de Segurança da Informação do Microsoft Online Services se alinha com o ISO 27002, com acréscimo de requisitos específicos para os serviços online. Uma organização pode obter uma certificação ISO 27001 em seu ISMS (Information Security Management Systems), que é geralmente baseada nos Padrões de Segurança da Informação do ISO 27002. O ISO tem sido a base do Microsoft Online Services e sua infraestrutura de suporte desde 2009, e tem sido certificada pela BSI (British Standards Institution). Recomendamos que os clientes revisem o padrão ISO (disponível publicamente).
Todas as Certificações ISO estão disponíveis publicamente.
A família ISO 27000 de padrões é intencionalmente ampla em escopo, cobrindo questões de privacidade, confidencialidade e segurança técnica, e "estabeleceu diretrizes e princípios gerais para iniciar, implementar, manter e melhorar o gerenciamento da segurança em uma organização". Para isso, o padrão descreve centenas de possíveis controles e mecanismos de controle.
O GFS (Global Foundational Services) fornece serviços de infraestrutura (data centers e sistema de rede) para as propriedades online da Microsoft, como Office 365, BPOS-S, BPOS-D, Dynamics CRM Online e Windows Azure. Os controles de camada de aplicativos para certificações ISO são baseados na certificação do GFS, a fim de fornecer uma representação completa de controles.
A União Europeia, através da Diretiva de Proteção de Dados da União Europeia, tem regras de privacidade mais rígidas do que os EUA e a maioria dos outros países. Para aplicar essas regras, a União Europeia geralmente proíbe que dados pessoais cruzem as fronteiras de outros países, exceto sob circunstâncias nas quais a transferência tenha sido legitimada por um mecanismo reconhecido, como a certificação "Safe Harbor" descrita a seguir.
Para permitir o fluxo contínuo de informações necessárias para negócios internacionais, a Comissão Europeia fechou um contrato com o Departamento de Comércio dos EUA, no qual as organizações dos EUA podem se autocertificar como em conformidade com os princípios do Safe Harbor, que controlam sem rigidez os requisitos da Diretiva.
Para que uma empresa transfira legalmente dados da União Europeia para os EUA, a empresa dos EUA ou outra organização deve certificar publicamente que ela cumprirá os princípios do Safe Harbor, que se alinham às regras de privacidade da União Europeia. O Microsoft Online Services pode transferir dados da União Europeia para os EUA para processamento, pois a Microsoft tem certificação Safe Harbor.
Recomendamos que os clientes revisem os princípios da certificação através do link a seguir, junto com a certificação da Microsoft no site do Departamento de Comércio: Diretrizes do Safe Harbor e Certificação.
A Microsoft foi certificada pela primeira vez sob o programa Safe Harbor em 2001, e nós certificamos a conformidade com os Princípios do Safe Harbor a cada doze meses.
Além dos Estados Membro da União Europeia, os membros da Área Econômica Europeia (Islândia, Liechtenstein e Noruega) também reconhecem organizações certificadas sob o programa Safe Harbor como fornecendo proteção de privacidade adequada, a fim de justificar transferências entre fronteiras de seus países para os EUA. A Suíça tem um acordo praticamente idêntico ("Safe Harbor suíço-americano") com o Departamento de Comércio dos EUA, a fim de legitimar transferências da Suíça para os EUA, para as quais a Microsoft também está certificada.
Vários outros países, como Canadá e Argentina, aprovaram leis de privacidade abrangentes e a União Europeia as liberaram para transferência de dados da União Europeia para esses países.
Avalie nossos procedimentos de segurança em relação às suas necessidades.
A segurança do Microsoft Online Services é de nível internacional. No entanto, fica a seu critério avaliar se você tem dados especialmente confidenciais, ou dados que devem ser mantidos em um determinado nível de segurança sob regulamentos aplicáveis ao seu setor. Esses dados podem exigir um requisito de segurança específico que não fornecemos.
Por exemplo, você pode estar em um setor em que o padrão é de senhas de 10 caracteres - as nossas são geralmente de oito caracteres.
Você é responsável por determinar se nossa segurança atende ou não aos requisitos de sua organização.
Se você tiver dúvidas sobre se o Microsoft Online Services atende a um padrão específico de segurança ou requisito não abordado aqui, você pode consultar a seção Recursos ou contatar o Suporte e nós o informaremos.
Não. O Microsoft Online Services é baseado em uma estrutura do ISO 27001, a fim de avaliar e aprimorar continuamente nossas ofertas de serviços. A Política de Segurança da Informação do Microsoft Online Services também incorpora requisitos adicionais derivados das melhores práticas de segurança da classe e mapeamento de requisitos internacionais, nacionais e estaduais/provinciais pertinentes.
Uma organização pode obter uma certificação ISO 27001 sobre seu ISMS (Information Security Management Systems), que é geralmente baseado no Padrão de Segurança da Informação ISO 27002. A certificação pode ser adquirida de várias agências acreditadas. A Microsoft obteve o certificado da BSI (British Standards Institution). As auditorias ISO 27001 fornecem garantia em relação aos Sistemas de Gerenciamento de Segurança da Informação. A Microsoft acredita que ao fornecer transparência permitimos que os clientes avaliem nossos serviços em relação a seus requisitos e tomem decisões informadas.
Os seguintes serviços do Office 365 têm certificação ISO: SharePoint Online, Lync Online, Exchange Online. Os serviços online do Microsoft Dynamics CRM têm certificação ISO. Global Foundation Services, a camada de infraestrutura dos serviços (rede e data centers) também tem certificação ISO 27001. Os Clientes do Microsoft Online Services devem revisar o padrão ISO (disponível publicamente) para determinar se seus requisitos de segurança são satisfeitos.
O Microsoft Online Services fornece vários recursos para auxiliar os clientes a fazer uma determinação e obter uma compreensão suficiente das políticas da Microsoft, incluindo os seguintes documentos:
O SAS 70 vem sendo usado predominantemente nos Estados Unidos para fornecer uma auditoria do design e da eficácia de controles, e o SSAE 16 será usado de maneira similar. O ISO 27001 é um padrão internacional voltado às práticas de segurança de uma organização. O ISO 27001 é comum na Europa, no Japão e em alguns países asiáticos, mas está ganhando popularidade nos Estados Unidos. O ISO 27001 estipula um conjunto de controles de segurança e realiza certificação em relação a esses controles; é muito mais abrangente em cobertura do que o SAS 70/SSAE 16. O ISO 27001 atende a todos os três aspectos de segurança comumente referidos como CIA (Confidentiality, Integrity and Availability, Confidencialidade, Integridade e Disponibilidade). As organizações podem ser certificadas como em conformidade com o ISO 27001 por vários registradores acreditados no mundo inteiro.
O Microsoft Online Services geralmente não recebe relatórios de auditoria do SAS 70 em idiomas que não sejam o inglês. No entanto, a empresa de auditoria do SAS 70 do Microsoft Online Services tem a capacidade de traduzir o relatório de auditoria na maioria dos idiomas estrangeiros, mediante solicitação. O custo varia, dependendo do idioma solicitado, e seria pago por um cliente solicitante. Nem todos os idiomas estão disponíveis. Contate o suporte ao cliente do Microsoft Online Services caso precise de um.
Consulte a seção Acesso Administrativo da Central de Confiabilidade para compreender como a Microsoft limita o acesso a dados.
Não. Nossas certificações e auditorias independentes são compartilhadas com clientes em vez de auditorias de clientes individuais. Essas certificações e atestados representam precisamente como obtemos e atendemos a nossos objetivos de segurança e conformidade, e atuam como um mecanismo prático para validar nossas promessas para todos os clientes. Permitir que possivelmente milhares de clientes auditem nossos serviços não seria uma prática escalonável e poderia comprometer a segurança.
O monitoramento interno do Microsoft Online Services inclui monitoramento de conformidade automatizado de infraestrutura (p. ex., varreduras de vulnerabilidade, testes de penetração e testes de processos/controles de pessoas). O programa de validação de terceiros do Microsoft Online Services inclui auditorias independentes, que são realizadas em uma base anual para fornecer verificação da postura de segurança do Microsoft Online Services.
Não. A Microsoft não pode concordar com obrigações de auditoria personalizada para um cliente individual. Os custos e possíveis conflitos entre obrigações variadas torna impraticável personalizar auditorias.
Para obter informações sobre como a Microsoft responde a violações de dados, consulte o seu contrato de serviço.