Od tretích strán získavame audity a certifikácie. Zákazníci tak získajú istotu, že naše služby sú navrhnuté a prevádzkované na základe najprísnejších ochranných prvkov.
Našim cieľom je prevádzkovať naše služby s očakávanou úrovňou bezpečnosti a ochrany osobných údajov a poskytnúť vám konkrétne záruky týkajúce sa bezpečnosti a ochrany osobných údajov našou spoločnosťou. Implementovali sme a budeme uchovávať príslušné technické a organizačné opatrenia, interné kontrolné mechanizmy a postupy na zaistenie informačnej bezpečnosti, ktorých účelom je chrániť údaje zákazníka pred náhodnou stratou, zničením alebo zmenou, neoprávneným zverejnením alebo prístupom, prípadne nezákonným zničením. Každý rok podstupujeme audity tretích strán od medzinárodne uznávaných audítorov, ktorých cieľom je schváliť našu nezávislú atestáciu dodržiavania súladu s našimi zásadami a postupmi, týkajúcimi sa zabezpečenia, ochrany osobných údajov, kontinuity a dodržiavania súladu.
| Vyhľadávanie certifikácie a dodržiavania súladu služieb MS Online | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Údajové centrá a fyzická infraštruktúra riešenia Office 365 a Microsoft Dynamics CRM Online (poskytované službou Microsoft Global Foundation Services) | |
Tieto informácie sa poskytujú iba na všeobecné informačné účely. Tieto informácie sa môžu zmeniť a nemali by sa interpretovať ako záväzok alebo záruka zo strany spoločnosti Microsoft.
Statement on Auditing Standards No. 70 (SAS 70) predstavuje audítorskú normu vytvorenú Americkou agentúrou certifikovaných verejných účtovníkov (AICPA), ktorá sa vzťahuje na organizácie poskytujúce služby. Organizácie poskytujúce služby sú spravidla inštitúcie poskytujúce služby odosielania externým dodávateľom, ktoré majú vplyv na prostredie riadenia ich zákazníkov. Ako príklad organizácií poskytujúcich služby je možné uviesť spracovateľov poistných reklamácií a reklamácií z oblasti zdravotných služieb, hosťované údajové centrá, poskytovateľov aplikačných služieb (ASP) a poskytovateľov riadeného zabezpečenia. S účinnosťou od 15. júna 2011 nahradzuje norma SSAE 16 (Statement on Standards for Attestation Engagements No. 16) normu SAS 70 ako štandard poskytovania nezávislého overenia súladu s regulačnými mechanizmami spoločnosti poskytujúcej služby. Audity SAS 16 a SAS 70 predstavujú nezávislé overenie dodržiavania súladu s mechanizmami zabezpečenia a efektívnosti mechanizmov zabezpečenia.
Na základe záverov služby audítorského preskúmania SSAE 16 alebo SAS 70 (ďalej len „audit SAS 70 / SSAE 16“) poskytuje audítor služieb svoje vyjadrenie (názor) na nasledujúce oblasti:
1. Správnosť prezentovania popisu kontrolných mechanizmov organizácie poskytujúcej služby.
2. Efektívnosť návrhu kontrolných mechanizmov organizácie poskytujúcej služby.
3. Používanie kontrolných mechanizmov organizácie poskytujúcej služby k špecifickému dátumu.
4. Efektívne používanie kontrolných mechanizmov organizácie poskytujúcej služby v priebehu stanoveného časového obdobia (platí iba pre SAS 70, typ II / SSAE 16 SOC 1, typ II).
Audity SAS 70 / SSAE 16 spoločnosti Microsoft vykonáva externá tretia strana (jedna zo spoločností „veľkej štvorky“).
Audity SAS 70 / SSAE 16 sa vykonávajú raz ročne. Vytvorená audítorská správa obsahuje názor externej tretej strany na kontrolné mechanizmy. ďalšie informácie týkajúce sa uvedenej normy a typov auditu nájdete na stránke www.aicpa.org.
Modul Global Foundational Services (GFS) poskytuje služby infraštruktúry (údajové centrá a siete) pre online vlastnosti spoločnosti Microsoft, ako napríklad Office 365, BPOS-S, BPOS-D, Dynamics CRM Online a Windows Azure. V súčasnosti sa plánuje, že kontrolné mechanizmy aplikačnej vrstvy pre riešenie Office 365 a Dynamics CRM Online sa budú najskôr hodnotiť podľa normy SSAE 16 SOC 1, typ I, pričom hodnotenie podľa normy SSAE SOC 1, typ II bude nasledovať. Správa SSAE 16 o riešení Office 365 a Dynamics CRM Online bude predstavovať najvýznamnejšiu súčasť správy GFS a bude predstavovať komplexné znázornenie kontrolných mechanizmov. GFS momentálne disponuje certifikáciou SAS 70, typ II a počas najbližšieho plánovaného auditu budú preverované požiadavky na získanie certifikácie SSAE 16.
Zásady zabezpečenia informácií služieb Microsoft Online Services vychádzajú z normy ISO 27002 „zosilnenej“ prostredníctvom požiadaviek, ktoré sú špecifické pre služby online. Organizácia môže získať certifikáciu podľa normy ISO 27001, ktorá sa vzťahuje na systémy riadenia zabezpečenia informácií (ISMS) a ktorá je spravidla založená na štandardoch zabezpečenia informácií ISO 27002. Norma ISO predstavuje základ služieb Microsoft Online Services a jej podpornej infraštruktúry už od roku 2009 a tieto služby boli certifikované organizáciou British Standards Institution (BSI). Prečítajte si dokument Norma ISO (verejne dostupný materiál).
Všetky certifikácie podľa normy ISO sú verejne dostupné.
Skupina noriem ISO 27000 je zámerne rozsiahla a pokrýva ochranu osobných údajov, zachovanie dôvernosti, oblasti technického zabezpečenia a vytvorené pokyny a všeobecné zásady inicializácia, implementácie, uchovávania a zlepšovania správy zabezpečenia informácií v rámci organizácie. Z tohto hľadiska táto norma zahŕňa stovky možných kontrolných mechanizmov.
Modul Global Foundational Services (GFS) poskytuje služby infraštruktúry (údajové centrá a siete) pre online vlastnosti spoločnosti Microsoft, ako napríklad BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 a Windows Azure. Kontrolné mechanizmy aplikačnej vrstvy pre certifikácie ISO tvoria súčasť certifikácie GFS a predstavujú koncové znázornenie kontrolných mechanizmov.
Európska únia prostredníctvom smernice o ochrane údajov EÚ zaviedla prísnejšie pravidlá ochrany osobných údajov než USA a väčšina ostatných krajín. S cieľom uplatňovať tieto pravidlá EÚ všeobecne zakazuje prenášať osobné údaje do iných krajín s výnimkou okolností, kedy je takýto prenos legitímne povoleným prostredníctvom medzinárodne uznávaného mechanizmu (napríklad certifikáciou programu Safe Harbor).
S cieľom umožniť tok informácií vyžadovaný medzinárodnými obchodnými činnosťami uzavrela EK zmluvu s Ministerstvom obchodu USA, podľa ktorej sa môžu americké organizácie samočinne certifikovať ako organizácie spĺňajúce princípy programu Safe Harbor, ktoré spĺňajú požiadavky uvedenej smernice.
Aby bolo možné legálne prenášať údaje z EÚ do USA, spoločnosť z USA alebo iná organizácia musí verejne potvrdiť, že sa riadi ustanoveniami programu Safe Harbor, ktoré korešpondujú s pravidlami ochrany osobných údajov EÚ. Služby Microsoft Online Services môžu prenášať údaje z EÚ do USA na spracovanie z toho dôvodu, že spoločnosť Microsoft je certifikovaná podľa programu Safe Harbor.
Prečítajte si zásady certifikácie (kliknite na nasledujúce prepojenie) spolu s certifikačnými dokumentmi spoločnosti Microsoft na webovej lokalite Ministerstva obchodu: Rámec programu Safe Harbor a Certifikácia.
Spoločnosť Microsoft bola prvý raz certifikovaná podľa programu Safe Harbor v roku 2001 a platnosť certifikácie podľa zásad programu Safe Harbor obnovujeme každých dvanásť mesiacov.
Okrem členských štátov EÚ existujú aj ďalšie štáty – členovia EHP (Island, Lichtenštajnsko a Nórsko), ktoré uznávajú organizácie certifikované podľa programu Safe Harbor ako organizácie poskytujúce adekvátnu ochranu osobných údajov na cezhraničný prenos údajov z uvedených krajín do USA. Švajčiarsko taktiež uzavrelo takmer identickú zmluvu (ďalej len „program Safe Harbor medzi Švajčiarskom a USA“) s americkým Ministerstvom obchodu na účely legitimizovania prenosov zo Švajčiarska do USA (spoločnosť Microsoft je certifikovaná aj podľa tejto zmluvy).
Niekoľko ďalších krajín, ako napríklad Kanada a Argentína, prijalo komplexné zákony o ochrane osobných údajov a EÚ ich schválila na prenos údajov z EÚ do týchto krajín.
Zhodnoťte postupy zabezpečenia vzhľadom na svoje potreby.
Zabezpečenie služieb Microsoft Online Services má špičkovú úroveň. Je však na vás, aby ste určili, či disponujete špecificky citlivými údajmi alebo údajmi, na ktoré sa musí vzťahovať určitá úroveň zabezpečenia podľa nariadení, ktoré sa používajú vo vašej priemyselnej oblasti. Takéto údaje môžu vyžadovať špecifické požiadavky na zabezpečenie, ktoré neposkytujeme.
Môžete napríklad pôsobiť v priemyselnom odvetví, v ktorom sa štandardne používajú 10-znakové heslá – my bežne používame 8-znakové heslá.
Nesiete zodpovednosť za určenie toho, či naša úroveň zabezpečenia spĺňa požiadavky vašej organizácie.
Ak máte otázky o tom, či služby Microsoft Online Services spĺňajú ustanovenia konkrétneho štandardu zabezpečenia, ktorý tu nie je uvedený, prečítajte si časť Zdroje alebo sa obráťte na oddelenie technickej podpory.
Nie. Služby Microsoft Online Services sú založené na norme ISO 27001 s cieľom trvalo hodnotiť a zlepšovať naše ponuky služieb. Zásady zabezpečenia informácií služieb Microsoft Online Services obsahujú aj ďalšie požiadavky, odvodené od najlepších overených postupov a mapovanie medzinárodných, národných a štátnych/oblastných požiadaviek.
Organizácia môže získať certifikáciu podľa normy ISO 27001, ktorá sa vzťahuje na systémy riadenia zabezpečenia informácií (ISMS) a ktorá je spravidla založená na štandardoch zabezpečenia informácií ISO 27002. Certifikát je možné získať od mnohých akreditovaných agentúr. Spoločnosť Microsoft získala certifikát od spoločnosti British Standards Institution (BSI). Audity podľa normy ISO 27001 potvrdzujú správnosť a funkčnosť systémov správy zabezpečenia informácií. Spoločnosť Microsoft je presvedčená o tom, že transparentnosť jej krokov a riešení umožňuje zákazníkom zhodnotiť naše služby vzhľadom na ich potreby a prijímať informované rozhodnutia.
Nasledujúce služby riešenia Office 365 sú certifikované podľa normy ISO: SharePoint Online, Lync Online, Exchange Online. Služba Microsoft Dynamics CRM Online disponuje certifikáciou ISO. Modul Global Foundation Services (vrstva infraštruktúry služieb (sieť a údajové centrá)) je tiež certifikovaný podľa normy ISO 27001. Ak chcete zistiť plnenie vašich požiadaviek na zabezpečenie v rámci služieb Microsoft Online Services, prečítajte si normu ISO (verejne dostupný materiál).
Služby Microsoft Online Services poskytujú množstvo prostriedkov, ktoré pomáhajú zákazníkom pri určovaní a dostatočnom oboznamovaní sa so zásadami spoločnosti Microsoft vrátane nasledujúcich dokumentov:
Norma SAS 70 sa používa prevažne v USA a je zameraná na audit návrhu a účinnosti kontrolných mechanizmov a SSAE 16 sa bude používať podobne. Norma ISO 27001 je medzinárodná norma zameraná na postupy zabezpečenia v organizácii. Norma ISO 27001 sa používa najmä v Európe, Japonsku a niektorých Ázijských krajinách. Táto norma však získava svoju popularitu v USA. Norma ISO 27001 ustanovuje súbor kontrolných mechanizmov zabezpečenia a pri certifikácii sa zameriava na tieto kontrolné mechanizmy; jej pokrytie je omnoho rozsiahlejšie než záber normy SAS 70 / SSAE 16. Norma ISO 27001 sa vzťahuje na všetky tri aspekty zabezpečenia, ktoré sa spoločne označujú ako CIA: zachovanie dôvernosti (Confidentiality), integrita (Integrity) a dostupnosť (Availability). Organizácie môžu získať certifikát podľa normy ISO 27001 od mnohých registrovaných entít na celom svete.
Služby Microsoft Online Services spravidla nedostávajú audítorské správy SAS 70 v inom než anglickom jazyku. Na základe požiadavky však firma realizujúca audit služieb Microsoft Online Services podľa normy SAS 70 môže zabezpečiť preklad audítorskej správy do väčšiny cudzích jazykov. Náklady na preklad sa odlišujú v závislosti od požadovaného jazyka a znáša ich zákazník, ktorý takúto verziu požaduje. K dispozícii však nie sú všetky jazyky. Podľa potreby sa obráťte na oddelenie technickej podpory služieb Microsoft Online Services.
Prečítajte si časť Správcovský prístup, v ktorej nájdete informácie o tom, ako spoločnosť Microsoft obmedzuje prístup k údajom.
Nie. Naše nezávislé audity a certifikácie sú zdieľané so zákazníkmi namiesto auditov jednotlivých zákazníkov. Tieto certifikácie a atesty presne odrážajú spôsob, akým získavame a plníme naše ciele z oblasti zabezpečenia a dodržiavania súladu, a slúžia ako praktický mechanizmus na overenie našich sľubov predkladaným našim zákazníkom. Možné tisíce zákazníkov a ich individuálne audity by predstavovali takmer nerealizovateľnú požiadavku a mohli by narušiť zabezpečenie.
Vnútorné monitorovanie služieb Microsoft Online Services zahŕňa automatizované monitorovanie dodržiavania súladu v oblasti infraštruktúry (napr. skenovanie zraniteľných miest, testovanie prienikov, testovanie procesov a kontrola ľudí). Program schválenia tretej strany, ktorý sa týka služieb Microsoft Online Services, zahŕňa nezávislé audity, ktoré sa vykonávajú ročne a ktoré overujú stav zabezpečenia služieb Microsoft Online Services.
Nie. Spoločnosť Microsoft nemôže súhlasiť s vlastnými záväzkami auditu pre jednotlivých zákazníkov. Náklady a možné konflikty medzi rôznymi záväzkami by prispôsobovanie auditov zmenili na nerealizovateľnú činnosť.
Informácie o spôsobe reakcie spoločnosti Microsoft na porušenie údajov nájdete v časti Jazyk vo vašej zmluve o poskytovaní služieb.