我们通过第三方进行审核与认证,因此你可以相信,我们的服务是在严格的保护下进行设计和运行的。
我们的目标是以你期望的安全性和隐私性来提供服务,让你对我们的安全性和隐私性心中有数。我方已经实施并将持续实施适当的技术和组织措施、内部控制机制和信息安全条例保护客户数据,防止客户数据被意外地丢失、销毁、更改或者被未经授权者披露、访问或非法销毁。每年,我们都会请国际认可的审核员进行第三方审核,以验证我们具有独立证明来证实我们遵守我们在安全性、隐私、持续性和合规性方面制定的政策和程序。
| MS Online 认证和合规性查看链接 | |
| Office 365 | |
| Microsoft Dynamics CRM Online | |
| Office 365 和 Microsoft Dynamics CRM Online 数据中心和物理结构(由 Microsoft Global Foundation Services 提供) | |
此信息仅供参考。此信息可能会随时发生更改,且不应被解释为由 Microsoft 所作的承诺或保证。
Statement on Auditing Standards No.70 (SAS 70) 是由美国注册会计师协会 (AICPA) 针对服务组织制定的审核标准。服务组织通常是提供对其客户的控制环境产生影响的外包服务的实体。例如,保险和医疗索赔处理商、托管数据中心、应用程序服务提供商 (ASP) 和托管安全提供商都属于服务组织。SSAE 16 (Statement on Standards for Attestation Engagements No. 16) 自 2011 年 6 月 15 日开始生效,取代了 SAS 70,成为提供独立验证(针对符合服务组织的控制的情况)的标准。SSAE 16 和 SAS 70 审核都是对在安全控制方面的合规性和安全控制的有效性进行的独立验证。
SSAE 16 或 SAS 70 服务审核员检查(以下简称“SAS 70/SSAE 16 审核”)结束后,服务审核员将在以下方面提供评价:
1. 服务组织对控制的描述是否公正。
2. 服务组织的控制在设计上是否有效。
3. 服务组织的控制是否从特定日期开始生效。
4. 服务组织的控制是否在特定时间段内有效运行。(仅适用于 SAS 70 类型 II/SSAE 16 SOC 1 类型 II)。
Microsoft 的 SAS 70/SSAE 16 审核由外部第三方(“四大”会计师事务所之一)执行。
每年执行一次 SAS 70/SSAE 16 审核。生成的审核报告包含外部第三方对控制的评价。有关审核标准和审核类型的详细信息,可在 www.aicpa.org 上找到。
Global Foundational Services (GFS) 为 Microsoft 联机资产(如 Office 365、BPOS-S、BPOS-D、Dynamics CRM Online 和 Windows Azure)提供基础结构(数据中心和网络)服务。目前,计划首先根据 SSAE 16 SOC 1 类型 I 评估 Office 365 和 Dynamics CRM Online 的应用程序层控制,然后再根据 SSAE SOC 1 类型 II 进行评估。Office 365 和 Dynamics CRM Online 的 SSAE 16 报告将基于 GFS 报告生成,以提供控制的端到端表示。GFS 现已通过了 SAS 70 类型 II 认证,接下来将在安排的其下一个定期审核期根据 SSAE 16 对 GFS 进行审核。
Microsoft Online Services 信息安全政策符合 ISO 27002(增加了特定于联机服务的要求)。组织可以获得对其信息安全管理系统 (ISMS) 的 ISO 27001 认证,该认证通常基于 ISO 27002 信息安全标准。自 2009 年起,ISO 已成为 Microsoft Online Services 及其支持基础结构的基础,且已通过了英国标准协会 (BSI) 的认证。我们建议客户查看 ISO 标准(允许公众查看)。
所有 ISO 认证均可让公众查看。
这就有意扩大了 ISO 27000 标准系列的范围,它涵盖隐私、机密性和技术安全问题,以及“关于在组织内启动、实施、维护和改进信息安全管理的既定准则和一般原则。”为此,该标准概述了上百种潜在控制和控制机制。
Global Foundational Services (GFS) 为 Microsoft 联机资产(如 BPOS-S、BPOS-D、Dynamics CRM Online、Office 365 和 Windows Azure)提供基础结构(数据中心和网络)服务。ISO 认证的应用程序层控制基于 GFS 认证,以提供控制的端到端表示。
欧盟的隐私规定(通过欧盟数据保护指令)要比美国和大多数其他国家/地区的隐私规定更加严格。为了执行这些规定,欧盟通常禁止将个人数据跨境传输到其他国家/地区,但某些情况除外,在这些情况下,根据公认的机制(如下面介绍的“安全港”认证),这种传输是合法的。
为了允许连续传输开展国际业务所需的信息,欧洲委员会与美国商务部达成一致,同意美国组织可以对其遵守安全港原则(与指令的要求大致相符)的情况进行自我认证。
为了使企业能够将数据从欧盟合法地传输到美国,美国公司或其他组织必须公开证明其将遵守与欧盟隐私规定相一致的安全港原则。Microsoft Online Services 可以将数据从欧盟传输到美国进行处理,因为 Microsoft 已获得安全港认证。
我们建议客户通过以下链接查看认证原则,并在美国商务部网站上查看 Microsoft 认证:安全港框架和认证。
Microsoft 在 2001 年首次获得了安全港计划的认证,我们每 12 个月对遵守安全港原则的情况进行一次重新认证。
除了欧盟成员国之外,欧洲经济区的成员(冰岛、列支敦斯登和挪威)也认可获得安全港计划认证的组织能够提供足够的隐私保护,以此表明从他们所在的国家/地区向美国进行跨境传输是合法的。瑞士与美国商务部签订了一项几乎相同的协议(简称“瑞士-美国安全港”),以便使从瑞士向美国传输数据具有合法性(Microsoft 也对该协议进行了认证)。
其他几个国家(如加拿大和阿根廷)制定了全面的隐私法,欧盟已经批准从欧盟向这些国家传输数据。
根据你的需要评估我们的安全程序。
Microsoft Online Services 的安全性是一流的。但是,如果你拥有特别敏感的数据,或者拥有根据适用于你行业的法规必须按照某种安全级别来保留的数据,则还需要由你进行评估。这些数据可能需要特定的安全要求,而我们并没有相关规定。
例如,你所在行业的行业标准可能要求提供 10 个字符的密码,而我们通常只要求 8 个字符。
你有责任确定我们的安全性是否符合你组织的要求。
如果你对 Microsoft Online Services 是否符合本文未提及的特定安全标准或要求有疑问,你可以查看“资源”部分或与支持部门联系,我们会为你解答。
不会。Microsoft Online Services 基于 ISO 27001 框架来不断评估和改进我们的服务产品。Microsoft Online Services 信息安全政策还引入了源于最佳安全措施的附加要求,以及相关国际、国内和州/省要求的映射。
组织可以针对其信息安全管理系统 (ISMS) 获得 ISO 27001 认证,该认证通常基于 ISO 27002 信息安全标准。可以通过大量经过认可的机构获得认证。Microsoft 获得了英国标准协会 (BSI) 的认证。ISO 27001 审核在信息安全管理系统方面提供了保证。Microsoft 相信,通过提供透明度,我们允许客户根据他们的要求来评估我们的服务并作出明智的决定。
下面的 Office 365 服务获得了 ISO 认证:SharePoint Online、Lync Online、Exchange Online。Microsoft Dynamics CRM Online 服务获得了 ISO 认证。Global Foundation Services 是服务的基础结构层(网络和数据中心),也获得了 ISO 27001 认证。Microsoft Online Services 的客户应该查看 ISO 标准(公开提供),以确定 Microsoft Online Services 是否符合他们的安全要求。
为了帮助客户作出决定并充分了解 Microsoft 的政策,Microsoft Online Services 提供了大量资源,其中包括以下文档:
SAS 70 主要在美国使用,目的是对控制的设计和有效性进行审核,SSAE 16 的使用方法类似。ISO 27001 是国际标准,是针对组织的安全措施制定的。ISO 27001 在欧洲、日本和一些亚洲国家/地区很常用,但在美国还正处于普及阶段。ISO 27001 规定了一套安全控制,并根据这些控制进行认证;它涵盖的范围要比 SAS 70/SSAE 16 广泛得多。ISO 27001 涉及安全性的所有三个方面,这三个方面通常称为 CIA(Confidentiality、Integrity 和 Availability),即机密性、完整性和可用性。组织可以通过全球许多经过认可的注册机构进行认证,证明其符合 ISO 27001。
Microsoft Online Services 通常不接收英语以外语言的 SAS 70 审核报告。不过,Microsoft Online Services SAS 70 审核公司可以根据请求将审核报告翻译为多种其他语言。费用因请求的语言而异,且由提出请求的客户支付。并非提供所有语言版本。如果你需要某一语言版本,请与 Microsoft Online Services 客户支持部门联系。
请参阅信任中心的管理访问权限部分,以了解 Microsoft 如何限制对数据的访问。
不允许。我们的独立审核与认证可以代替单个的客户审核,并与客户共享。这些认证和证明准确地说明了我们如何达到并符合我们的安全性和合规性目标,并作为一种实际机制来验证我们对所有客户所作的承诺。客户可能会有成千上万,让这么多客户审核我们的服务不是一种可行方法,因为这可能危及安全性。
Microsoft Online Services 内部监控包括对基础结构的自动合规性监控(例如,漏洞扫描、渗透测试以及流程和人员控制测试)。Microsoft Online Services 第三方验证计划包括独立审核,这些审核每年执行一次,以便对 Microsoft Online Services 的安全状况进行验证。
不可以。Microsoft 不能同意为单个客户自定义审核义务。由于各种义务的费用不同,而且它们之间可能存在冲突,因此自定义审核不可行。
有关 Microsoft 如何回应数据泄露的信息,请参阅你的服务协议中的相关内容。