本公司會取得其設計及操作均具備嚴密保護措施之第三人稽核及憑證,讓 貴用戶可以信任本公司之服務。
本公司之目標在於以 貴用戶所預期的安全性及隱私權操作本公司之服務,並讓 貴用戶對本公司之安全性及隱私權抱持絕對的信心。本公司已實作適當的技術和組織性措施、內部控制及資訊安全性定期程序來保護客戶資料,且會持續維護該些措施,讓資料不會遭到意外遺失、損毀或更改;未經授權的揭露或存取;或不合法的損毀行為。每一年,本公司都會接受由國際認可之稽核員進行第三方稽查,驗證本公司具備獨立之證明可佐證本公司符合安全性、隱私權、持續性及規範等原則及程序。
| MS 線上憑證及規範尋找工具 | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365 及 Microsoft Dynamics CRM Online 資料中心及實體基礎結構 (由 Microsoft Global Foundation Services 提供) | |
本資訊僅供一般參考。本項資料隨時有可能變更,且不應該將此資料解釋成 Microsoft 的承諾或保證。
Statement on Auditing Standards No.70 (SAS 70) 是由美國認證會計師學會 (American Institute of Certified Public Accountants,AICPA) 所建立之稽核標準,其係針對服務組織而設計。一般而言,服務組織是可提供影響其客戶之控制環境的外包服務之實體。服務組織的範例係指保險及醫藥索賠請求處理者、裝載資料中心、應用程式服務提供者 (ASP) 及受管理之安全性提供者。SSAE 16 (Statement on Standards for Attestation Engagements No. 16) 自 2011 年 6 月 15 日起生效,其可取代 SAS 70,做為對服務組織之控制項目的遵守程度提供獨立驗證的標準。SSAE 16 和 SAS 70 稽核均可用以獨立驗證是否遵守安全性控制項目及安全性控制項目之有效性。
總結 SSAE 16 或 SAS 70 服務稽核者的檢驗 (以下稱「SAS 70/SSAE 16 稽核」),服務稽核者會針對下列項目提供選項:
1. 服務組織之控制項目描述是否公正呈現。
2. 服務組織之控制項目描述是否有效設計。
3. 服務組織之控制項目是否依指定之日期運作。
4. 服務組織之控制項目是否有效運作經過一段指定的期間。(僅限 SAS 70 類型 II/ SSAE 16 SOC 1 類型 II)。
Microsoft 的 SAS 70/SSAE 16 稽核係由外部第三人進行 (其中一個「Big Four」會計公司)。
SAS 70/SSAE 16 稽核每年執行一次。產生之稽核報告會包括一個由外部第三人進行之控制選項。有關稽核之標準和類型的詳細資訊,可以在 www.aicpa.org 上找到。
Global Foundational Services (GFS) 會提供基礎結構 (資料中心及網路) 服務予 Microsoft 線上財產,像 Office 365、BPOS-S、BPOS-D、Dynamics CRM Online 及 Windows Azure。Office 365 及 Dynamics CRM Online 的應用程式層控制項目目前規劃是先依 SSAE 16 SOC 1 類型 I 進行評估,接著再依 SSAE SOC 1 類型 II 進行評估。Office 365 及 Dynamics CRM Online SSAE 16 報告將堆疊在 GFS 報告的上面,以便提供端對端的控制項目展示。GFS 目前係指 SAS 70 類型 II 認證,其將依其下一個定期排程稽核針對 SSAE 16 進行稽核。
Microsoft Online Services 資訊安全性原則係採用 ISO 27002,其會針對特定線上服務而增加需求。組織得在其資訊安全性管理系統 (ISMS) 上取得 ISO 27001 憑證,其通常會以 ISO 27002 資訊安全性標準為基礎。ISO 自 2009 年以來便成為 Microsoft Online Services 及其支援基礎結構之基礎,且已由英國標準協會 (BSI) 進行認證。鼓勵客戶檢閱 ISO 標準- (可公開取得)。
所有 ISO 憑證均係可公開取得。
ISO 27000 標準系列的範圍很廣泛,涵蓋隱私權、機密性及技術安全性問題,及「在組織內初始、實作、維護及改善資訊安全性管理的所建立之指導方針和一般原則」。最後,標準會列出數百個可能的控制項目及控制機制。
Global Foundational Services (GFS) 會提供基礎結構 (資料中心及網路) 服務予 Microsoft 線上財產,像 BPOS-S、BPOS-D、Dynamics CRM Online、Office 365 及 Windows Azure。ISO 憑證的應用程式層控制項目會堆疊在 GFS 憑證的上面,以便提供端對端的控制項目展示。
歐洲聯盟透過歐盟資料保護指令 (EU Data Protection Directive) 擁有較之美國和大多數的其他國家/地區還更嚴格的隱私權原則。若要強制執行在此所述規則,歐盟一般會禁止個人資料跨邊界進入其他國家/地區,但若依環境其移轉已由認可之機制 (例如以下所述 "Safe Harbor" 憑證) 視為合法則不在此限。
為了讓國際企業所需要的資訊持續流動,歐盟會達成與美國商務部之協議,其中美國組織可以自我認證為符合 Safe Harbor 原則,如此對指令之需求的遵循較為寬鬆。
針對從歐盟合法移轉資料至美國之企業,美國公司或其他組織必須公開進行認證,其係遵循符合歐盟隱私權規則之 Safe Harbor 原則。因為 Microsoft 是經認證的 Safe Harbor,Microsoft Online Services 可以將資料從歐盟移轉至美國進行處理。
鼓勵客戶透過下列連結檢閱憑證原則,以及在商務部網站上之 Microsoft 的憑證:Safe Harbor 架構及憑證。
Microsoft 首先於 2001 年依 Safe Harbor 計劃通過認證,而且本公司每十二個月會重新認證是否遵守 Safe Harbor 原則。
除了歐盟會員國外,歐洲經濟區域 (冰島、列支敦士登及挪威) 亦認可組織依 Safe Harbor 計劃進行認證,因為其可提供適當的隱私權保護來證明從其國家/地區跨國移轉至美國之合法性。瑞士也與美國商務部訂定幾近相同的合約 (以下稱「瑞士-美國Safe Harbor」),將從瑞士移轉至美國經 Microsoft 認證者視為合法。
有很多其他國家/地區 (例如加拿大和阿根廷) 已通過完整的隱私權法律,而且歐盟已認可該等法律可進行從歐盟對該些國家/地區之資料移轉。
請就 貴用戶之需求評估本公司之安全性程序。
Microsoft Online Services 的安全性是世界級的。不過,主要係由 貴用戶自行評估 貴用戶是否擁有特別敏感的資料,或資料是否依照 貴用戶之業界所適用之法規提升至特定的安全性等級。本資料可能需要本公司未提供之特定安全性需求。
例如, 貴用戶可能所在之業界的業界標準是使用 10 個字元的密碼,而本公司通常設定八個字元。
貴用戶有責任判斷本公司的安全性是否符合 貴用戶組織之需求。
若 貴用戶對 Microsoft Online Services 是否符合在此未討論之特別的安全性標準或需求有相關的問題, 貴用戶可以檢查「資源」小節或連絡支援人員,本公司便會讓 貴用戶了解。
不會。Microsoft Online Services 是以 ISO 27001 架構為基礎,本公司會持續進行評估及改善本公司之服務項目。Microsoft Online Services 資訊安全性原則也會將衍生自領先業界之安全性作法的其他需求納入,及相關的國際、國內及州/省的需求之對應。
組織得在其資訊安全性管理系統 (ISMS) 上取得 ISO 27001 憑證,其通常會以 ISO 27002 資訊安全性標準為基礎。有很多公認的單位可提供憑證。Microsoft 已取得英國標準協會 (BSI) 的憑證。ISO 27001 稽核會針對資訊安全性管理系統提供保證。Microsoft 相信提供透明化,便可讓客戶就自己的需求評估本公司之服務,再根據資訊進行決策。
下列 Office 365 服務係經 ISO 認證:SharePoint Online、Lync Online、Exchange Online。Microsoft Dynamics CRM Online 服務係經 ISO 認證。做為服務層的基礎結構 (網路和資料中心) 之 Global Foundation Services 也是經 ISO 27001 認證的。Microsoft Online Services 的客戶應該檢閱 ISO 標準 (可公開取得) 以判斷其是否能滿足自己的安全性需求。
Microsoft Online Services 會提供很多資源以協助客戶判斷及確實了解 Microsoft 之原則,包括下列文件:
在美國最多業者已使用 SAS 70 來提供控制項目之設計及有效性的稽核,而 SSAE 16 的使用方式類似。ISO 27001 是一套國際標準,係針對組織的安全性作法而設計。ISO 27001 在歐洲、日本和部分亞洲國家/地區很常用,但是在美國是逐漸在普及。ISO 27001 規定一系列的安全性控制項目並針對該些控制項目進行認證;其涵蓋範圍比 SAS 70/SSAE 16 還廣泛。ISO 27001 處理的所有三個安全性面向均最常提到 CIA:機密性 (Confidentiality)、完整性 (Integrity) 和可用性 (Availability)。只要透過一些全球認可的註冊機構,便可以認證組織是否符合 ISO 27001。
Microsoft Online Services 通常不會收到英文以外之版本的 SAS 70 稽核報告。不過,Microsoft Online Services SAS 70 稽核公司有能力可以依要求將稽核報告翻譯為最常用的外國語言。成本會根據所要求之語言而有所不同,而且由提出要求之客戶付費。不是每個語言都可以取得。若 貴用戶有需要的話,請連絡 Microsoft Online Services 客戶支援。
請參閱信任中心的系統管理存取區段以了解 Microsoft 如何限制資料之存取。
不會,本公司的獨立稽核和憑證會與客戶共享,藉此替代個別客戶的稽核。這些憑證及證明會精確顯示本公司如何取得及達成本公司之安全性和規範目標,並提供實用的機制可驗證本公司對所有客戶之承諾。讓可能數千個客戶稽核本公司之服務並不是可以達成的作法,而且可能會危害到安全性。
Microsoft Online Services 內部監控包括基礎結構之自動化規範監控 (例如,安全性弱點掃描、滲透測試及流程和人員控制的測試)。Microsoft Online Services 第三方驗證計劃包括獨立的稽核,其係每年進行,可提供 Microsoft Online Services 對安全性之態度的驗證。
不行。Microsoft 無法同意為個別的客戶自訂稽核義務。不同的義務所造成的成本和可能的衝突,使用自訂稽核變得並不實用。
如需有關 Microsoft 如何回應資料違反行為,請參閱 貴用戶語言版之服務合約。