A Microsoft obtém auditorias e certificações de terceiros para que possa estar certo de que os serviços foram concebidos e são disponibilizados com protecções rigorosas.
Os objetivos da Microsoft são operar os serviços com a segurança e privacidade esperadas e fornecer garantias precisas sobre a respetiva segurança e privacidade. A Microsoft implementou e manterá medidas técnicas e organizacionais, controlos internos e rotinas de segurança das informações adequados para proteger os dados do cliente contra perda acidental, destruição ou alteração, divulgação ou acesso não autorizado, ou destruição ilegítima. Todos os anos, a Microsoft efetua auditorias de terceiros, através de auditores reconhecidos internacionalmente, para validar que dispõe de uma certificação de conformidade independente relativamente às políticas e aos procedimentos de segurança, privacidade, continuidade e conformidade.
| Localizador de Certificação e Conformidade do MS Online Services | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Centros de Dados e Infraestrutura Física do Office 365 e Microsoft Dynamics CRM Online (Fornecidos pelo Microsoft Global Foundation Services) | |
Estas informações destinam-se apenas a fins de informação geral. Estas informações estão sujeitas a alteração a qualquer altura e não devem ser interpretadas como um compromisso ou uma garantia por parte da Microsoft.
A Statement on Auditing Standards No.70 (SAS 70) é uma norma de auditoria estabelecida pelo AICPA (American Institute of Certified Public Accountants) destinada às organizações de serviços. As organizações de serviços são, normalmente, entidades que prestam serviços de outsourcing que afetam o ambiente de controlo dos respetivos clientes. Exemplos de organizações de serviços incluem processadores de reclamações médicas e de seguros, centros de dados alojados, fornecedores de serviços aplicacionais (ASPs) e fornecedores de segurança geridos. Em vigor desde 15 de junho de 2011, a SSAE 16 (Statement on Standards for Attestation Engagements No. 16) sobrepõe-se à SAS 70 como a norma para fornecer uma verificação de conformidade independente com controlos da organização de serviços. As auditorias SSAE 16 e SAS 70 são verificações de conformidade independentes com controlos de segurança e eficácia dos controlos de segurança.
Na conclusão de um exame do auditor de serviços SSAE 16 ou SAS 70 ("auditoria SAS 70/SSAE 16"), o auditor de serviços emite um parecer sobre o seguinte:
1. Se a descrição de controlos da organização de serviços é apresentada com imparcialidade.
2. Se os controlos da organização de serviços foram criados de forma eficaz.
3. Se os controlos da organização de serviços foram aplicados a partir de uma data especificada.
4. Se os controlos da organização de serviços estão a ser aplicados de forma eficaz durante um período de tempo especificado. (Apenas SAS 70 Tipo II/SSAE 16 SOC 1 Tipo II).
As auditorias SAS 70/SSAE 16 da Microsoft são efetuadas por uma entidade externa (uma das "Quatro Grandes" empresas de contabilidade).
As auditorias SAS 70/SSAE 16 são efetuadas uma vez por ano. O relatório de auditoria produzido inclui um parecer da entidade externa relativamente aos controlos. Podem ser encontradas mais informações sobre a norma e os tipos de auditoria em www.aicpa.org.
O GFS (Global Foundational Services) fornece serviços de infraestrutura (centros de dados e redes) a propriedades online da Microsoft, como o Office 365, BPOS-S, BPOS-D, Dynamics CRM Online e Windows Azure. De momento, está prevista, em primeiro lugar, a avaliação dos controlos a nível das aplicações do Office 365 e do Dynamics CRM Online ao abrigo da norma SSAE 16 SOC 1 Tipo I, seguindo-se a avaliação ao abrigo da norma SSAE SOC 1 Tipo II. O relatório da auditoria SSAE 16 do Office 365 e do Dynamics CRM Online aparecerá no início do relatório do GFS para fornecer uma representação de controlos ponto-a-ponto. O GFS tem atualmente certificação SAS 70 Tipo II e a auditoria será efetuada relativamente à norma SSAE 16 e à respetiva auditoria agendada regularmente seguinte.
A Política de Segurança das Informações do Microsoft Online Services baseia-se na norma ISO 27002, complementada com requisitos específicos para serviços online. Uma organização pode obter uma certificação ISO 27001 referente ao Sistema de Gestão da Segurança das Informações (ISMS), que se baseia, normalmente, nas Normas de Segurança das Informações ISO 27002. A norma ISO tem sido a base do Microsoft Online Services e da respectiva infra-estrutura de suporte desde 2009 e tem obtido a certificação da Instituição Britânica de Normas (BSI). Os clientes são encorajados a consultar a norma ISO (disponível publicamente).
Todas as Certificações ISO estão disponíveis publicamente.
A família de normas ISO 27000 é prepositadamente vasta em termos de âmbito, cobertura de privacidade, confidencialidade e questões de segurança técnicas e "estabelece directrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão da segurança das informações numa organização". Para esse efeito, a norma prevê centenas de potenciais controlos e mecanismos de controlo.
O GFS (Global Foundational Services) fornece serviços de infra-estrutura (centros de dados e redes) a propriedades online da Microsoft, como o BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 e Windows Azure. Os controlos aanível das aplicações para certificações ISO são apresentados no início do relatório do GFS para fornecer uma representação de controlos ponto-a-ponto.
A União Europeia, através da Diretiva de Proteção de Dados da UE, tem regras de privacidade mais rigorosas do que os EUA e a maioria dos países. Para aplicar estas regras, a UE geralmente proíbe a transferência dos dados pessoais para outros países, exceto em circunstâncias em que a transferência tenha sido legitimada por um mecanismo reconhecido, como a certificação "Safe Harbor" descrita abaixo.
Para permitir o fluxo contínuo de informações necessário para as empresas internacionais, a Comissão Europeia chegou a um acordo com o Departamento de Comércio dos EUA, que prevê que as organizações dos EUA possam obter uma certificação autónoma em conformidade com os princípios Safe Harbor, que seguem de forma lata os requisitos da Directiva.
Para uma empresa transferir dados legalmente da UE para os EUA, a empresa dos EUA ou outra organização tem de certificar publicamente que cumprirá os princípios Safe Harbor, que se encontram alinhados com as regras de privacidade da UE. O Microsoft Online Services pode transferir dados da UE para os EUA para processamento, porque a Microsoft tem certificação Safe Harbor.
Os clientes são encorajados a consultar os princípios da certificação através da hiperligação seguinte, bem como a certificação da Microsoft no Web site do Departamento de Comércio: Acordos Safe Harbor e Certificação.
A Microsoft recebeu a primeira certificação ao abrigo do programa Safe Harbor em 2001 e renova a certificação de conformidade com os Princípios Safe Harbor a cada doze meses.
Para além dos Estados-Membros da UE, os membros do Espaço Económico Europeu (Islândia, Listenstaine e Noruega) também reconhecem as organizações certificadas ao abrigo do programa Safe Harbor como fornecendo proteção de privacidade adequada para justificar as transferências transfronteiras dos respetivos países para os EUA. A Suíça tem um acordo praticamente idêntico ("Safe Harbor Suíça-EUA") em que o Departamento de Comércio dos EUA legitima as transferências da Suíça para os EUA,cuja certificação a Microsoft também possui.
Vários outros países, como o Canadá e a Argentina, aprovaram leis de privacidade abrangentes, tendo a UE autorizado a transferência de dados da UE para esses países.
Avalie os procedimentos de segurança da Microsoft em relação às suas necessidades.
A segurança do Microsoft Online Services tem qualidade de nível mundial. No entanto, cabe-lhe a si avaliar se tem dados particularmente confidenciais ou que tenham de ser colocados num determinado nível de segurança ao abrigo de regulamentos aplicáveis ao sector onde opera. Estes dados podem necessitar de um requisito de segurança específico não fornecido pela Microsoft.
Por exemplo, pode pertencer a um setor cuja norma preveja palavras-passe de 10 caracteres e as da Microsoft têm, normalmente, oito caracteres.
É responsável por determinar se os nossos níveis de segurança cumprem os requisitos da sua organização.
Se tiver dúvidas sobre se o Microsoft Online Services cumpre uma determinada norma ou requisito de segurança não abordado aqui, pode consultar a secção Recursos ou contactar o Suporte para obter informações.
Não. O Microsoft Online Services baseia-se na norma ISO 27001 para avaliar e melhorar continuamente as nossas ofertas de serviços. A Política de Segurança das Informações do Microsoft Online Services também inclui requisitos adicionais decorrentes das melhores práticas de segurança e requisitos internacionais, nacionais e estatais/distritais relevantes.
Uma organização pode obter uma certificação ISO 27001 referente ao Sistema de Gestão da Segurança das Informações (ISMS), que se baseia normalmente na Norma de Segurança das Informações ISO 27002. A certificação pode ser obtida a partir de várias agências acreditadas. A Microsoft obteve o certificado através da Instituição Britânica de Normas (BSI). As auditorias ISO 27001 fornecem garantia relativamente aos Sistemas de Gestão da Segurança das Informações. A Microsoft acredita que, ao fornecer transparência, permitirá aos clientes avaliar os nossos serviços em relação aos respectivos requisitos e tomar decisões informadas.
Os seguintes serviços Office 365 têm certificação ISO: SharePoint Online, Lync Online e Exchange Online. O serviço Microsoft Dynamics CRM Online tem certificação ISO. Também o Global Foundation Services, a camada de infraestrutura de serviços (rede e centros de dados), tem certificação ISO 27001. Os Clientes do Microsoft Online Services deverão consultar a norma ISO (disponível publicamente) para determinar se os seus requisitos de segurança estão satisfeitos.
O Microsoft Online Services fornece vários recursos para ajudar os clientes a determinar e a obter uma compreensão suficiente das políticas da Microsoft, incluindo os seguintes documentos:
A norma SAS 70 tem sido utilizada predominantemente nos Estados Unidos para realizar uma auditoria a nível de conceção e eficácia dos controlos e a norma SSAE 16 será utilizada de forma semelhante. A norma ISO 27001 é uma norma internacional destinada às práticas de segurança de uma organização. É comum na Europa, Japão e alguns países asiáticos, mas está a ganhar popularidade nos Estados Unidos. A norma ISO 27001 estabelece um conjunto de controlos de segurança e certifica esses mesmos controlos; é muito mais abrangente que a norma SAS 70/SSAE 16. A norma ISO 27001 abrange os três aspetos de segurança normalmente referidos como CID: Confidencialidade, Integridade e Disponibilidade. As organizações podem ser certificadas como estando em conformidade com a norma ISO 27001 por várias Entidades Certificadoras Acreditadas em todo o mundo.
Normalmente, o Microsoft Online Services não recebe relatórios de auditoria SAS 70 em idiomas diferentes do inglês. No entanto, a empresa de auditoria SAS 70 do Microsoft Online Services tem a capacidade de traduzir o relatório de auditoria para a maioria dos idiomas estrangeiros mediante pedido. O custo varia consoante o idioma pedido, sendo pago pelo cliente que o solicitar. Nem todos os idiomas estão disponíveis. Contacte o suporte ao cliente do Microsoft Online Services se necessitar de uma versão traduzida.
Consulte a secção Acesso Administrativo do Centro de Fidedignidade para compreender como a Microsoft limita o acesso aos dados.
Não. As auditorias e certificações independentes da Microsoft são partilhadas com os clientes em detrimento de auditorias de clientes individuais. Estas certificações reflectem de forma precisa como a Microsoft obtém e cumpre os objectivos de segurança e conformidade e funcionam como mecanismo prático para validar as promessas feitas a todos os clientes. Permitir a realização de uma auditoria aos nossos serviços por potencialmente milhares de clientes não seria uma prática viável e poderia comprometer a segurança.
A monitorização interna do Microsoft Online Services inclui a monitorização de conformidade automatizada da infra-estrutura (por exemplo, análises de vulnerabilidade, testes de penetração e testes de processos e controlos de pessoas). O programa de validação de terceiros do Microsoft Online Services inclui auditorias independentes realizadas anualmente para verificação da conduta de segurança do Microsoft Online Services.
Não. A Microsoft não pode aceitar personalizar obrigações relativamente a auditorias para um cliente individual. Os custos e os potenciais conflitos entre as várias obrigações tornariam impraticável a personalização de auditorias.
Para obter informações sobre a forma como a Microsoft responde a violações de dados, consulte o seu contrato de serviço.