Vi erhåller granskningar och certifiering av tredje part så du kan lita på att våra tjänster är utformade och används med strikt säkerhetsskydd.
Våra mål är att driva våra tjänster med den säkerhet och sekretess som du förväntar dig och ge dig korrekt försäkran om vår säkerhet och sekretess. Vi har implementerat såväl tekniska som organisatoriska åtgärder, interna kontroller samt säkerhetsrutiner för information för att skydda kunddata mot oavsiktlig förlust, destruktion eller ändring, obehörig röjning eller åtkomst, eller olaglig destruktion. Varje år går vi igenom en granskning av tredje part av internationellt erkända revisorer för att validera att vi har ett oberoende intyg på efterlevnad av våra policier och procedurer för säkerhet, kontinuitet och efterlevnad.
| MS Online-certifiering och Compliance Finder | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Datacentra och den fysiska infrastrukturen för Office 365 och Microsoft Dynamics CRM Online (tillhandahålls av Microsoft Global Foundation Services) | |
Innehållet är endast avsett som allmän information. Denna information kan komma ändras när som helst och ska inte ses som ett ansvar eller en garanti från Microsoft.
Statement on Auditing Standards No.70 (SAS 70) är en granskningsstandard som upprättats av American Institute of Certified Public Accountants (AICPA) och riktar sig mot tjänsteorganisationer. Tjänsteorganisationer är normalt enheter som tillhandahåller outsourcingtjänster vilka påverkar kontrollmiljön hos deras kunder. Exempel på tjänsteorganisationer är behandlare av försäkrings- och medicinska krav, värddatacentran, leverantörer av tillhörande tjänster och leverantörer av hanterad säkerhet. SSAE 16 (Statement on Standards for Attestation Engagements No. 16), som gäller från den 15 juni 2011, ersätter SAS 70 som standarden för tillhandahållandet av oberoende efterlevnadsgranskning av tjänsteorganisationers kontroller. Både SSAE 16 och SAS 70 är oberoende granskningsstandarder för verifiering av efterlevnad av säkerhetskontroller och säkerhetskontrollernas effektivitet.
Mot slutet av en SSAE 16- eller SAS 70-granskning av en tjänsterevisor ("SAS 70-/SSAE 16-granskning") ger tjänsterevisorn sin åsikt om följande:
1. Om tjänsteorganisationens beskrivning av kontroller beskrivs på ett rättvist sätt.
2. Om tjänsteorganisationens beskrivning av kontroller är utformade på ett effektivt sätt.
3. Om tjänsteorganisationens beskrivning av kontroller har implementerats och används vid det angivna datumet.
4. Om tjänsteorganisationens beskrivning av kontroller används effektivt över en angiven tidsperiod. (Endast SAS 70 Typ II/SSAE 16 SOC 1 Typ II.)
Microsofts SAS 70-/SSAE 16-granskningar utförs av en extern tredje part (en av de "fyra stora" revisionsbyråerna).
SAS 70-/SSAE 16-granskningar utförs en gång per år. Den granskningsrapport som produceras innehåller en åsikt om kontrollerna från den externa tredje parten. Mer information om standarden och granskningstyper hittar du på www.aicpa.org.
Global Foundational Services (GFS) tillhandahåller infrastruktur- (datacentran och nätverk) tjänster till Microsofts online-funktioner t.ex. Office 365, BPOS-S, BPOS-D, Dynamics CRM Online och Windows Azure. Applikationslagerkontroller för Office 365 och Dynamics CRM Online har för närvarande planerats att utvärderas först enligt SSAE 16 SOC 1 Typ I, med utvärdering enligt SSAE SOC 1 Typ II därefter. Office 365 och Dynamics CRM Online SSAE 16-rapporten kommer att läggas ovanpå GFS-rapporten för att tillhandahålla en "från slutpunkt till slutpunkt" presentation av kontroller. GFS är SAS 70 Typ II-certifierad idag, och kommer att granskas mot SSAE 16 vid nästa schemalagda granskning.
Microsoft Online Services informationssäkerhetspolicy följer ISO 27002 utökat med krav som är specifika för onlinetjänster. En organisation kan erhålla en ISO 27001-certifiering i sitt informationssäkerhetshanteringssystem (ISMS), vilket vanligtvis är baserat på ISO 27002 informationssäkerhetsstandarder. ISO utgör grunden för Microsoft Online Services och dess stödjande infrastruktur sedan 2009 och har certifierats av British Standards Institution (BSI). Kunder uppmuntras att läsa ISO-standard- (allmänt tillgänglig).
Alla ISO-certifieringar är allmänt tillgängliga.
ISO 27000-familjen för standarder är avsiktligt bred i sin omfattning, den täcker sekretess, konfidentialitet och tekniska säkerhetsfrågor samt "etablerade riktlinjer och allmänna principer för att initiera, implementera, underhålla och förbättra hanteringen av informationssäkerhet inom en organisation." För detta ändamål sammanfattar standarden hundratals möjliga kontroller och kontrollmekanismer.
Global Foundational Services (GFS) tillhandahåller infrastruktur- (datacentran och nätverk) tjänster till Microsofts online-funktioner t.ex. BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 och Windows Azure. Applikationslagerkontroller för ISO-certifiering ovanpå GFS-certifieringen för att tillhandahålla en uppsättning kontroller från slutpunkt till slutpunkt (end-to-end).
Europeiska Unionen har, genom EU:s dataskyddsdirektiv, strängare sekretessregler än U.S.A. och de flesta andra länder. För att verkställa dess regler, förbjuder EU generellt att personlig data korsar gränser till andra länder förutom under omständigheter när överföringen har godkänts av en erkänd mekanism, t.ex. "Safe Harbor" certifieringen som beskrivs nedan.
För att tillåta det fortsatta flödet av information som krävs av internationella företag, har den Europeiska kommissionen kommit överens med U.S.A:s Handelsdepartement, där amerikanska företag kan själv-certifieras i enlighet med Safe Harbor-principerna, vilka spåras löst i enlighet med kraven i direktivet.
För att ett företag lagligen ska kunna överföra data från EU till U.S.A., måste det amerikanska företaget eller en annan organisation intyga offentligt att de avser att följa Safe Harbor-principerna, vilket stämmer överens med EU:s sekretessregler. Microsoft Online Services kan överföra data från EU till U.S.A. för behandling eftersom Microsoft är Safe Harbor-certifierad.
Kunderna uppmuntras att läsa principerna för certifiering via följande länk tillsammans med Microsofts certifiering på Handelsdepartementets webbplats: Safe Harbor-ramverket och Certifiering.
Microsoft certifierades enligt Safe Harbor-programmet första gången 2001 och vi certifierar efterlevnaden av Safe Harbor-principerna var 12:e månad.
Förutom EU:s medlemsländer, erkänner också medlemmar i det Europeiska ekonomiska samarbetsområdet (Island, Liechtenstein och Norge) organisationer som har certifierats enligt Safe Harbor-programmet som tillhandahåller tillräckligt sekretessskydd för att rättfärdiga överföringar över gränserna från sina länder till U.S.A. Schweiz har ett nästan identiskt avtal ("Swiss-U.S. Safe Harbor") med U.S.A:s Handelsdepartement för att legitimera överföringar från Schweiz till U.S.A., vilket Microsoft också är certifierat i.
Flera andra länder, t.ex. Kanada och Argentina, har infört omfattande sekretesslagar och EU har godkänt dem för dataöverföring från EU till dessa länder.
Utvärdera våra säkerhetsrutiner mot dina behov.
Säkerheten hos Microsoft Online Services är i världsklass. Men det är upp till dig att utvärdera om du har särskilt känsliga data eller data som måste lagras enligt en särskild säkerhetsnivå enligt regleringar som stämmer för din bransch. Dessa data kanske kräver ett särskilt säkerhetskrav som vi inte tillhandahåller.
Till exempel kanske du är verksam i en bransch där branschstandarden innefattar lösenord på 10 tecken - våra är normalt på åtta tecken.
Det är upp till dig att bestämma om vår säkerhet motsvarar din organisations krav.
Om du har frågor om huruvida Microsoft Online Services följer en särskild säkerhetsstandard eller krav tas detta inte upp här. Du kan titta i avsnittet Resurser eller kontakta Support för information.
Nej. Microsoft Online Services är baserat på ett ISO 27001-ramverk för att fortlöpande utvärdera och förbättra de tjänster vi erbjuder. Microsoft Online Services informationssäkerhetspolicy innehåller också ytterligare krav som härrör från de bästa säkerhetsrutinerna och kartläggning av relevant internationella, nationella och regionala krav.
En organisation kan erhålla en ISO 27001-certifiering i sitt informationssäkerhetshanteringssystem (ISMS), vilket vanligtvis är baserat på ISO 27002 informationssäkerhetsstandarden. Certifiering kan sökas från ett antal ackrediterade organ. Microsoft har erhållit certifikatet från British Standards Institution (BSI). ISO 27001- granskningar ger försäkran angående hanteringssystem för informationssäkerhet. Microsoft anser att genom att tillhandahålla transparens låter vi kunderna utvärdera våra tjänster mot sina egna behov och fattar välgrundade beslut.
Följande Office 365-tjänster är ISO-certifierade: SharePoint Online, Lync Online, Exchange Online. Microsoft Dynamics CRM Online-tjänsten är ISO-certifierad. Global Foundation Services, infrastrukturlagret på tjänsterna (nätverk och datacentran) är också ISO 27001-certifierade. Microsoft Online Services kunder bör läsa ISO-standarden (allmänt tillgänglig) för att avgöra om säkerhetskraven är tillfredsställande.
Microsoft Online Services tillhandahåller ett antal resurser för att stödja kunderna i sitt beslut och få tillräcklig förståelse för Microsofts policier, inklusive följande dokument:
SAS 70 har framförallt använts i U.S.A. för att tillhandahålla granskning av utformningen och effektivitetet i kontrollerna, och SSAE 16 kommer att användas på ett liknande sätt. ISO 27001 är en internationell standard inriktad på säkerhetsrutiner i en organisation. ISO 27001 är vanligt i Europa, Japan och några asiatiska länder, men blir alltmer populärt i U.S.A.. ISO 27001 föreskriver en uppsättning av säkerhetskontroller och certifierar mot dessa kontroller; det är mycket mer omfattande i vad det täcker än SAS 70/SSAE 16. ISO 27001 fokuserar på alla tre aspekter i säkerheten, vanligtvis benämnt CIA: Confidentiality (konfidentialitet), Integrity (integritet) och Availability (tillgänglighet). Organisationer kan cerifieras i enlighet med ISO 27001 av ett antal ackrediterade ombud över hela världen.
Microsoft Online Services får vanligtvis inte SAS 70 granskningsrapporter på något annat språk än engelska. Men granskningsfirman för Microsoft Online Services SAS 70 har möjlighet att översätta granskningsrapporten till de flesta främmande språk på begäran. Kostnaden kan variera beroende på vilket språk som efterfrågas och ska betalas av den kund som framför begäran. Alla språk är inte tillgängliga. Kontakta Microsoft Online Services support om du behöver en sådan.
Detta är en vanligt förekommande och förståelig fråga från kunder och Microsoft tar allvarligt på detta. Se avsnittet Administrativ åtkomst i säkerhetscentret om du vill förstå hur Microsoft begränsar åtkomsten till data.
Nej. Våra oberoende granskningar och certifieringar delas med kunderna i stället för individuella kundgranskningar. Dessa certifieringar och intyg visar på ett korrekt sätt hur vi erhåller och uppfyller våra säkerhets- och efterlevnadsmål och är en praktisk mekanism för att validera vårt löfte till alla kunder. Att tillåta kanske tusentals kunder att granska våra tjänster skulle inte vara en skalbar lösning och kan komma att äventyra säkerheten.
Microsoft Online Services interna övervakning omfattar automatiserad efterlevnad genom övervakning av infrastrukturen (t.ex., sårbarhetsskanningar, penetrationstester och tester av processer och människor). The Microsoft Online Services tredje parts valideringsprogram omfattar oberoende granskningar som utförs på en årlig basis för att tillhandahålla verifiering av Microsoft Online Services säkerhetstillstånd.
Nej. Microsoft har inte möjlighet att komma överens vad gäller kundgranskningsskyldigheter för en enskild kund. Kostnader och potentiella konflikter mellan olika skyldigheter gör det opraktiskt att tillåta kundgranskningar.
För information om hur Microsoft hanterar dataintrång, se ditt tjänsteavtal.