Naročamo preglede in revizije pri tretjih osebah ter pridobivamo certifikate, zato nam lahko zaupate, da storitve načrtujemo in zagotavljamo ob upoštevanju strogih varnostnih ukrepov.
Naš cilj je zagotavljati storitve z varnostjo in zasebnostjo, ki jo pričakujete, in vam dati čim boljša zagotovila glede varnosti in zasebnosti. Uvedli smo ustrezne tehnične in organizacijske ukrepe, notranje kontrole in postopke za varnost informacij, namenjene zaščiti podatkov stranke pred naključno izgubo, uničenjem ali spreminjanjem, nepooblaščenim razkritjem ali dostopom ali nezakonitim uničenjem. Vsako leto naročimo preglede pri mednarodno priznanih revizorjih, da bi potrdili, da imamo neodvisno spričevalo o spoštovanju pravilnikov in postopkov za varnost, zasebnost, neokrnjenost in skladnost.
| Spletni iskalnik certifikatov in potrdil o skladnosti MS | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Podatkovni centri in fizična infrastruktura storitev Office 365 in Microsoft Dynamics CRM Online (zagotovlja Microsoft Global Foundation Services) | |
Te informacije dajemo samo v splošne namene obveščanja. Lahko se kadar koli spremenijo in si jih ni mogoče razlagati kot obveznost ali jamstvo Microsofta.
Standard SAS 70 je revizijski standard, ki ga je sprejel Ameriški inštitut potrjenih računovodskih strokovnjakov (AICPA) in je namenjen storitvenim organizacijam. To so ponavadi subjekti, ki ponujajo zunanje storitve, ki vplivajo na nadzorne mehanizme njihovih strank. Storitvene organizacije so na primer zavarovalnice in zavodi za zdravstveno zavarovanje, centri za gostovanje podatkov, ponudniki aplikacij in ponudniki varnostnih storitev. Od 15. junija 2011 standard SSAE 16 (Statement on Standards for Attestation Engagements No. 16) nadomešča SAS 70 kot standard za neodvisno preverjanje skladnosti nadzora v organizaciji. Pregleda SSAE 16 in SAS 70 sta neodvisni preverjanji skladnosti varnostnega nadzora in njegove učinkovitosti.
Ob koncu revizijskega pregleda SSAE 16 ali SAS 70 (»revizija SSAE 16/SAS 70«) izda revizor storitev mnenje o naslednjem:
1. Ali je opis kontrol ponudnika storitev pošten ali ne.
2. Ali so kontrole ponudnika storitev zasnovane učinkovito ali ne.
3. Ali so bile kontrole ponudnika storitev uvedene na določen datum ali ne.
4. Ali so kontrole ponudnika storitev učinkovito delovale v določenem časovnem obdobju (samo SAS 70 Type II/ SSAE 16 SOC 1 vrsta II).
Revizije SAS 70/ SSAE 16 pri Microsoftu izvaja nepovezana tretja oseba (ena od velikih štirih računovodskih družb).
Revizije SAS 70/ SSAE 16 se izvajajo enkrat letno. Revizijsko poročilo vsebuje mnenje tretje osebe o kontrolah. Več o standardih in vrstah revizije najdete na naslovu www.aicpa.org.
Podjetje Global Foundational Services (GFS) zagotavlja infrastrukturne storitve (podatkovne centre in omrežja) za Microsoftove spletne storitve, kot so Office 365, BPOS-S, BPOS-D, Dynamics CRM Online in Windows Azure. Kontrole na ravni aplikacij za Office 365 naj bi po načrtih najprej ocenili po standardu SSAE 16 SOC 1, vrsta I, nato pa bi sledila še ocena SSAE SOC 1, vrsta II. Poročilo SSAE 16 o storitvah Office 365 in Dynamics CRM Online bo združeno s poročilom za GFS, da bo poskrbljeno za celovito predstavitev kontrol. GFS ima danes certifikat SAS 70, vrsta II, pri naslednji redni reviziji pa bo uporabljen SSAE 16.
Microsoftov pravilnik za informacijsko varnost v internetu je skladen s standardom ISO 27002 in dopolnjen z zahtevami, specifičnimi za spletne storitve. Organizacija lahko pridobi certifikat ISO 27001 za sisteme za upravljanje informacijske varnosti (ISMS), ki ponavadi temelji na standardu informacijske varnosti ISO 27002. ISO je temeljni kamen storitev Microsoft Online Services in njihove podporne infrastrukture od leta 2009, za kar smo pridobili tudi certifikat Britanskega urada za standarde (BSI). Stranke vabimo, naj si ogledajo standard ISO (javno dostopen).
Vsi certifikati ISO so javno dostopni.
Družina standardov ISO 27000 ima namenoma širok obseg, saj pokriva zasebnost, zaupnost in tehnično varnost ter »uveljavljene smernice in splošna načela za zagon, izvajanje, vzdrževanje in izboljšave sistemov za upravljanje informacijske varnosti v organizacijah«. V ta namen standard navaja na stotine možnih kontrol in kontrolnih mehanizmov.
Podjetje Global Foundational Services (GFS) zagotavlja infrastrukturne storitve (podatkovne centre in omrežja) za Microsoftovo spletno lastnino, kot so BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 in Windows Azure. Kontrole na ravni aplikacij za namene certifikata ISO se ocenjujejo v povezavi s certifikatom za GFS, da bo poskrbljeno za celovito predstavitev kontrol.
Evropska unija ima z direktivo EU o varstvu podatkov strožja pravila glede zasebnosti kot ZDA in številne druge države. Pri izvajanju teh pravil EU na splošno prepoveduje prenos osebnih podatkov prek meja v druge države, razen v okoliščinah, ko je prenos dovoljen zaradi priznanega mehanizma, kot je certifikat za varni pristan, opisan v nadaljevanju.
Da bi omogočila nemoten pretok podatkov, ki ga zahteva mednarodno poslovanje, je Evropska komisija z ministrstvom za trgovino ZDA sklenila sporazum, po katerem lahko organizacije v ZDA na lastno pobudo pridobijo certifikat, v dokaz skladnosti z načeli varnega pristana, ki bolj ali manj povzemajo zahteve iz omenjene direktive.
Če želijo podjetja zakonito prenašati podatke iz EU v ZDA, mora podjetje ali druga organizacija v ZDA javno zagotoviti, da bo spoštovala načela varnega pristana, skladna s pravili EU o zasebnosti. Storitve Microsoft Online Services lahko prenašajo podatke iz EU v ZDA za namene obdelave, ker Microsoft ima certifikat varnega pristana.
Stranke vabimo, da si načela tega certifikata ogledajo prek naslednje povezave, skupaj z Microsoftovim certifikatom ministrstva za trgovino: okvir varnega pristana in certifikat.
Microsoft je certifikat za varni pristan prvič pridobil leta 2001 in skladnost z načeli varnega pristana preveri vsakih dvanajst mesecev.
Poleg držav članic EU tudi članice Evropskega gospodarskega prostora (Islandija, Lihtenštajn in Norveška) priznavajo, da organizacije, ki so pridobile certifikat v programu varnega pristana, lahko zagotovijo zadostno varovanje zasebnosti, kar upravičuje čezmejni prenos podatkov iz teh držav v ZDA. Švica je z ministrstvom ZDA za trgovino sklenila zelo podoben sporazum o varnem pristanu, ki legitimira prenose iz Švice v ZDA in za katerega je Microsoft prav tako pridobil certifikat.
Številne druge države, na primer Kanada in Argentina, so sprejele izčrpno zakonodajo o zasebnosti, zato EU dovoli prenos podatkov iz EU v te države.
Oceniti, ali vaši varnostni postopki ustrezajo vašim potrebam.
Varnost storitev Microsoft Online Services je vrhunska. Kljub temu morate sami oceniti, ali so vaši podatki posebej občutljivi ali pa morate zanje zagotoviti določeno raven varnosti v skladu s predpisi, ki veljajo za vašo industrijsko panogo. Za te podatke so morda potrebni posebni varnostni postopki, ki jih ne izvajamo.
Morda vaše podjetje pripada sektorju, kjer standardi zahtevajo gesla z 10 znaki – naša gesla ponavadi vsebujejo najmanj osem znakov.
Za ugotavljanje, ali naši varnostni ukrepi ustrezajo zahtevam vaše organizacije, ste odgovorni vi.
Če vas zanima, ali storitve Microsoft Online Services izpolnjujejo določen varnostni standard ali zahtevo, ki tu nista omenjena, si oglejte razdelek z viri ali se obrnite na podporo, ki vam bo posredovala odgovor.
Ne. Storitve Microsoft Online Services temeljijo na okviru ISO 27001, da lahko ponujene storitve nenehno ocenjujemo in izboljšujemo. Pravilnik za informacijsko varnost storitev Microsoft Online Services vsebuje tudi dodatne zahteve, ki izhajajo iz vrhunskih varnostnih praks ter preučevanja zadevnih mednarodnih, nacionalnih in državnih/pokrajinskih zahtev.
Organizacija lahko pridobi certifikat ISO 27001 za sisteme za upravljanje informacijske varnosti (ISMS), ki ponavadi temelji na standardu informacijske varnosti ISO 27002. Certifikat lahko pridobi pri eni od številnih pooblaščenih agencij. Microsoft je svojega pridobil pri Britanskem uradu za standarde (BSI). Revizije ISO 27001 so zagotovilo za delovanje sistemov za upravljanje informacijske varnosti. Microsoft je prepričan, da z zagotavljanjem preglednosti strankam omogoča, da ocenijo ustreznost njegovih storitev glede na njihove potrebe in sprejemejo odločitve na podlagi informacij.
Certifikat ISO imajo naslednje storitve Office 365: SharePoint Online, Lync Online in Exchange Online. Storitev Microsoft Dynamics CRM Online ima certifikat ISO. Global Foundation Services, ki zagotavlja infrastrukturo za te storitve (omrežja in podatkovne centre), ima prav tako certifikat ISO 27001. Strankam storitev Microsoft Online Services svetujemo, naj si ogledajo ta standard ISO (ki je javno dostopen) in se prepričajo, ali je zadoščeno njihovim varnostnim potrebam.
Storitve Microsoft Online Services ponujajo številne vire, ki so strankam v pomoč pri odločitvi in kjer se lahko dovolj dobro poučijo o Microsoftovih pravilnikih, med drugim naslednje dokumente:
SAS 70 je bil uporabljen predvsem v Združenih državah za revizije načrtov in učinkovitosti kontrol, SSAE 16 pa se bo uporabljal na podoben način. ISO 27001 je mednarodni standard, namenjen predvsem varnostnim praksam organizacij. ISO 27001 se veliko uporablja v Evropi, na Japonskem in v nekaterih drugih azijskih državah, vendar je vse bolj priljubljen tudi v ZDA. ISO 27001 opredeljuje niz varnostnih kontrol in potrjuje obstoj teh kontrol; njegov obseg je precej večji kot obseg SAS 70/SSAE 16. ISO 27001 zadeva vse tri vidike varnosti, ki jim pravimo »CIA«: zaupnost, neokrnjenost in razpoložljivost. Organizacije lahko za certifikat ISO 27001 zaprosijo pri številnih pooblaščenih izdajateljih po svetu.
Storitve Microsoft Online Services ponavadi ne prejemajo revizijskih poročil SAS 70 v drugih jezikih, vendar lahko naš revizor SAS 70 na zahtevo revizijsko poročilo prevede v tuje jezike. Stroški so odvisni od želenega jezika, pokriti pa jih mora stranka, ki prevod zahteva. Vsi jeziki niso na voljo. Če potrebujete prevod, se obrnite na podporo za stranke Microsoft Online Services.
Oglejte si razdelek Skrbniški dostop v središču zaupanja za informacije, kako Microsoft omejuje dostop do podatkov.
Ne. Strankam damo na voljo neodvisne revizije in certifikate, namesto da bi jim dovolili opravljati individualne preglede. Ti certifikati in potrdila jasno prikazujejo, kako določamo in dosegamo svoje cilje glede varnosti in skladnosti, in služijo kot praktični mehanizem za potrditev, da izpolnjujemo svoje obljube strankam. Če bi na tisoče strankam dovolili, da opravljajo individualne preglede naših storitev, to ne bi bilo obvladljivo in bi utegnilo ogroziti varnost.
Notranje spremljanje storitev Microsoft Online Services zajema avtomatizirano spremljanje skladnosti infrastrukture (npr. iskanje ranljivih točk, preizkušanje možnosti vdora ter preizkušanje kontrol za procese in ljudi). Program preverjanja storitev Microsoft Online Services, ki ga izvaja zunanji izvajalec, vsebuje neodvisne letne revizije, ki potrjujejo varnostni pristop storitev Microsoft Online Services.
Ne. Microsoft se ne more obvezati, da bo poskrbel za izvedbo individualnih revizij za stranke, saj to ni praktično zaradi stroškov in morebitnih navzkrižij med različnimi obveznostmi.
Več o tem, kako se Microsoft odziva na posege v podatke, najdete v pogodbi o storitvi.