Obținem auditări și certificări de la terți, pentru ca dvs. să vă asigurați că serviciile noastre sunt proiectate și operate cu măsuri de protecție riguroase.
Obiectivele noastre sunt să ne operăm serviciile cu siguranța și confidențialitatea la care vă așteptați și să vă oferim asigurări exacte în privința securității și confidențialității. Am implementat și vom aplica măsuri tehnice și organizatorice potrivite, controale interne și rutine pentru siguranța informațiilor menite să protejeze datele client împotriva pierderii, distrugerii sau alterării; dezvăluirii sau accesului neautorizat; distrugerii ilegale. În fiecare an derulăm auditări terțe, realizate de auditori recunoscuți pe plan internațional, pentru a valida faptul că deținem o atestare independentă de conformitate cu politicile și procedurile noastre pentru securitate, confidențialitate, continuitate și conformitate.
| Motorul de căutare pentru certificare și conformitate MS Online | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Centrele de date și infrastructura fizică Office 365 și Microsoft Dynamics CRM Online (furnizate de Microsoft Global Foundation Services) | |
Aceste informații au caracter strict informativ. Aceste informații se pot modifica oricând și nu trebuie considerate drept un angajament sau o garanție din partea Microsoft.
Statement on Auditing Standards No.70 (SAS 70) este un standard de auditare stabilit de Institutul American al Contabililor Publici Certificați (AICPA) și este orientat către organizațiile prestatoare de servicii. Organizațiile prestatoare de servicii sunt de obicei entități care furnizează servicii de externalizare, care au impact asupra mediului de control al clienților lor. Printre organizațiile prestatoare de servicii se numără cele de asigurări și medicale, centrele de date găzduite, furnizori de servicii de aplicații (ASP) și furnizori de securitate gestionată. Cu începere de la 15 iunie 2011, Statement on Standards for Attestation Engagements No. 16 (SSAE 16) înlocuiește SAS 70 ca standard pentru furnizarea unei verificări independente a conformității cu controalele de service ale unei organizații. Auditurile SSAE 16 și SAS 70 sunt verificări independente ale conformității cu controalele de securitate și eficacitatea controalelor de securitate.
La încheierea examinării serviciului SSAE 16 sau SAS 70 de către auditor ("SAS 70/SSAE 16 audit"), auditorul serviciului exprimă o opinie despre următoarele:
1. Dacă descrierea controalelor organizației prestatoare de servicii este prezentată sau nu corect.
2. Dacă controalele organizației prestatoare de servicii sunt proiectate sau nu eficient.
3. Dacă controalele organizației prestatoare de servicii sunt puse sau nu în funcțiune la o dată specificată.
4. Dacă controalele organizației prestatoare de servicii funcționează sau nu eficient într-o perioadă de timp specificată. (doar SAS 70 Tip II/SSAE 16 SOC 1 Tip II ).
Auditările SAS 70/SSAE 16 ale Microsoft sunt conduse de un terț extern (una dintre firmele de contabilitate care face parte dintre „cei patru”).
Auditările SAS 70/SSAE 16 sunt efectuate o dată pe an. Raportul de audit rezultat include o opinie privind controalele, exprimată de un terț extern. Mai multe informații privind standardul și tipurile de auditări sunt disponibile la www.aicpa.org.
Global Foundational Services (GFS) furnizează servicii de infrastructură (centre de date și rețele) pentru proprietățile Microsoft online precum Office 365, BPOS-S, BPOS-D, Dynamics CRM Online și Windows Azure. Controalele nivelurilor de aplicație pentru Office 365 și Dynamics CRM Online sunt planificate momentan pentru a fi evaluate întâi sub SSAE 16 SOC 1 Tip I, urmând și evaluare sub SSAE 16 SOC 1 Tip II. Raportul SSAE 16 pentru Office 365 și Dynamics CRM Online se află deasupra raportului GFS pentru a furniza o reprezentare atotcuprinzătoare a controalelor. GFS este certificat cu SAS 70 Tip II astăzi și va fi auditat cu SSAE 16 la următorul audit programat regulat.
Politica de securitate a informațiilor a Microsoft Online Services este conformă cu ISO 27002 la care se adaugă cerințele specifice serviciilor online. O organizație poate obține o certificare ISO 27001 pentru Sistemele de Gestionare a Securității Informațiilor (ISMS), care se bazează de obicei pe Standardele de Securitate a Informațiilor ISO 27002. Din 2009, ISO stă la baza Microsoft Online Services și a infrastructurii sale de asistență și este certificat de Institutul Britanic pentru Standarde (BSI). Clienții sunt încurajați să examineze standardul ISO (disponibil public).
Toate Certificările ISO sunt disponibile pentru public.
Familia de standarde ISO 27000 cuprinde un domeniu foarte larg, acoperind aspecte privind confidențialitatea și securitatea tehnică și "stabilește ghiduri și principii generale pentru inițierea, implementarea, menținerea și îmbunătățirea gestionării securității informațiilor în cadrul unei organizații". În acest scop, standardul conturează sute de controale și mecanisme de control potențiale.
Global Foundational Services (GFS) furnizează servicii de infrastructură (centre de date și rețele) pentru proprietățile Microsoft online precum BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 și Windows Azure. Controalele nivelurilor de aplicație pentru certificările ISO se află în vârful certificării GFS pentru a furniza o reprezentare end-to-end a controalelor.
Uniunea Europeană, prin Directiva UE pentru Protecția Datelor, are reguli de confidențialitate mai stricte decât SUA și majoritatea celorlalte țări. Pentru a aplica aceste reguli, UE interzice în general trecerea datelor peste granițele altor țări, cu excepția situațiilor în care transferul este legitimat de către un mecanism recunoscut, cum ar fi certificarea „Safe Harbor” descrisă mai jos.
Pentru a permite fluxul continuu de informații solicitat de afacerile internaționale, Comisia Europeană a ajuns la un acord cu Departamentul pentru Comerț al SUA, prin care organizațiile din SUA se pot certifica automat drept conforme cu principiile Safe Harbor, care se apropie de cererile Directivei.
Pentru ca o afacere să transfere legal date din UE în SUA, compania americană sau altă organizație trebuie să se certifice public că va respecta principiile Safe Harbor, care se aliniază regulilor de confidențialitate ale UE. Microsoft Online Services poate transfera date pentru procesare din UE în SUA, deoarece Microsoft este certificat cu Safe Harbor.
Clienții sunt încurajați să examineze principiile certificării la următorul link, alături de certificarea Microsoft pe site-ul Web al Departamentului pentru Comerț: Safe Harbor Framework și Certification.
Microsoft a fost certificat prima dată sub programul Safe Harbor în 2001, iar noi recertificăm conformitatea cu principiile Safe Harbor o dată la doisprezece luni.
Alături de statele membre ale UE, membrii Zonei Economice Europene (Islanda, Liechtenstein și Norvegia) recunosc la rândul lor organizațiile certificate sub programul Safe Harbor ca furnizând protecție adecvată a confidențialității pentru a justifica transferul peste graniță din țările lor în SUA. Elveția are un acord aproape identic („Swiss-U.S. Safe Harbor”) cu Departamentul pentru Comerț al SUA, pentru a legitima transferurile din Elveția în SUA, la care Microsoft este, de asemenea, certificat.
Mai multe țări, printre care Canada și Argentina, au aprobat legi de confidențialitate extinse, iar UE le-a dat cale liberă pentru transferul de date din UE în acele țări.
Evaluați procedurile noastre de securitate în funcție de nevoile dvs.
Securitatea Microsoft Online Services este de talie mondială. Însă depinde de dvs. să evaluați dacă aveți date foarte sensibile sau date care trebuie menținute la un anumit nivel de securitate sub reglementări aplicabile industriei dvs. Aceste date pot necesita anumite cerințe de securitate pe care noi nu le furnizăm.
De exemplu, dacă lucrați într-un domeniu în care standardul necesită parole de 10 caractere - parolele noastre sunt de obicei de opt caractere.
Dvs. sunteți responsabil pentru a determina dacă securitatea oferită de noi întrunește cerințele organizației dvs.
Dacă aveți întrebări pentru a afla dacă Microsoft Online Services întrunește un anumit standard sau cerință de securitate pe care nu le-am discutat aici, verificați secțiunea Resurse sau contactați departamentul de Asistență și vă vom explica.
Nu. Microsoft Online Services se bazează pe un cadru de lucru ISO 27001 pentru a evalua și îmbunătăți permanent ofertele noastre de servicii. Politica privind Securitatea Informațiilor a Microsoft Online Services include, de asemenea, cerințe suplimentare derivate din cele mai bune practici de securitate și din maparea cerințelor internaționale, naționale și regionale relevante.
O organizație poate obține o certificare ISO 27001 pentru Sistemele de Gestionare a Securității Informațiilor (ISMS), care se bazează de obicei pe Standardele de Securitate a Informațiilor ISO 27002. Certificarea se poate obține de la mai multe agenții acreditate. Microsoft a obținut certificatul de la Institutul Britanic pentru Standarde (BSI). Auditările ISO 27001 furnizează asigurare pentru Sistemele de Gestionare a Securității Informațiilor. Microsoft consideră că transparența le permite clienților noștri să evalueze serviciile noastre și să ia decizii informate.
Serviciile Office 365 următoare sunt, de asemenea, certificate ISO : SharePoint Online, Lync Online, Exchange Online. Serviciul online Microsoft Dynamics CRM este certificat ISO. Global Foundation Services, nivelul de infrastructură al serviciilor (rețele și centre de date) este, la rândul său, certificat cu ISO 27001. Clienții Microsoft Online Services trebuie să examineze standardul ISO (disponibil public) pentru a determina dacă cerințele lor de securitate sunt îndeplinite.
Microsoft Online Services furnizează o serie de resurse pentru a ajuta clienții în a lua o decizie și a obține informații suficiente legate de politicile Microsoft, inclusiv documentele următoare:
SAS 70 a fost utilizat în principal în Statele Unite, pentru a furniza un audit al proiectării și eficienței controalelor, iar SSAE 16 va fi utilizat în mod asemănător. ISO 27001 este un standard internațional îndreptat către practicile de securitate ale unei organizații. ISO 27001 se utilizează mai ales în Europa, în Japonia și în câteva țări asiatice, însă începe să câștige popularitate și în Statele Unite. ISO 27001 stipulează un set de controale de securitate și asigură certificate pentru aceste controale; are o acoperire mai largă decât SAS 70/SSAE 16. ISO 27001 se adresează tuturor celor trei aspecte de securitate numite CIA: confidențialitate, integritate și disponibilitate. Organizațiile pot primi certificate care să ateste că sunt conforme cu ISO 27001, de la o serie de înregistratori acreditați din întreaga lume.
Microsoft Online Services nu primește de obicei rapoarte de audit SAS 70 în alte limbi decât engleza. Totuși, firma de audit SAS 70 Microsoft Online Services are abilitatea de a traduce raportul de audit în majoritatea limbilor străine la cerere. Costurile variază în funcție de limbajul solicitat și ar fi achitate de clientul care solicită acest lucru. Nu este disponibilă orice limbă. Contactați asistența pentru clienți Microsoft Online Services dacă aveți nevoie de una.
Consultați secțiunea Acces administrativ a Centrului de autorizare pentru a înțelege modul în care Microsoft limitează accesul la date.
Nu. Auditările și certificările noastre independente sunt partajate cu clienții în locul auditărilor individuale ale clienților. Aceste certificări și atestări reprezintă în mod adecvat modul în care obținem și îndeplinim obiectivele de securitate și conformitate și servesc drept un mecanism practic pentru a ne îndeplini promisiunile făcute tuturor clienților. A permite ca practic mii de clienți să ne auditeze serviciile nu ar fi o practică accesibilă și poate compromite securitatea.
Monitorizarea internă Microsoft Online Services include o monitorizare de conformitate automată a infrastructurii (de exemplu, scanări ale vulnerabilității, testarea acceselor și testarea proceselor și a controalelor pentru persoane). Programul de validare terț Microsoft Online Services include auditări independente care sunt conduse anual pentru a furniza o verificare a stării de securitate Microsoft Online Services.
Nu. Microsoft nu poate asigura obligații de auditare particularizare pentru un client individual. Costurile și conflictele potențiale între diverse obligații fac imposibilă particularizarea auditărilor.
Pentru informații despre modul în care Microsoft răspunde la accesarea neautorizată a datelor, consultați termenii din acordul de furnizare a serviciilor.