Einführung
Im Folgenden finden Sie häufig gestellte Fragen (FAQs), die von ISVs (Independent Software Vendors) beim Starten der Microsoft 365-Zertifizierung gestellt werden. Wenn Sie Fragen haben, die hier nicht behandelt werden, wenden Sie sich über an AppCert@Microsoft.comdas Microsoft 365-App-Zertifizierungsteam. Dieses Dokument richtet sich an ISVs. Allgemeine Informationen zum Microsoft 365 Security and Compliance-Programm finden Sie auf der Seite Microsoft 365 App Compliance Programm.
Ich habe kein Audit für ein branchenweit anerkanntes Framework wie PCI DSS, SOC 2 oder ISO 27001 bestanden. Bedeutet dies, dass ich mich nicht für die Microsoft 365-Zertifizierung bewerben kann?
Nein, der Erwerb eines dieser branchenweit anerkannten Frameworks ist keine Voraussetzung der Microsoft 365-Zertifizierung.
Ich habe bereits ein externes Audit gegen ein branchenweit anerkanntes Framework bestanden. Kann dies auf die Microsoft 365-Zertifizierung angerechnet werden?
Die kurze Antwort lautet Ja. Derzeit akzeptiert die Microsoft 365-Zertifizierungsspezifikation Nachweise für PCI-DSS, SOC 2 und ISO27001 externen Frameworks. Im Leitfaden für Microsoft 365-Zertifizierungsübermittlungen wurde die Ausrichtung dieser vorhandenen externen Frameworks dargestellt. In einigen Fällen haben wir jedoch festgestellt, dass der vorhandene Standard bzw. das vorhandene Framework nicht angemessen ausgerichtet wurde. Aus diesem Grund führt das Microsoft 365-Zertifizierungsteam eine Überprüfung der bereitgestellten Standards/Framework-Beweise durch und kennzeichnet, welche Kontrollen innerhalb der Microsoft 365-Zertifizierung erfüllt sind.
Wie zeigen wir die Einhaltung der DSGVO, wenn wir keine externe DSGVO-Bewertung durchgeführt haben?
Microsoft erfordert keine unabhängige Überprüfung der DSGVO-Konformität für die Microsoft 365-Zertifizierung, da dies ein Entweder-Oder-Szenario ist, in dem wir Selbstnachweise akzeptieren, die wir unabhängig überprüfen können, wenn keine externe Überprüfung stattgefunden hat. Da dies eher eine Bewertung als eine Prüfung ist und in Bezug auf die Beweise, die wir während unserer Prozesse sammeln müssen, ist die Überprüfung der Datenschutzrichtlinien und internen Prozesse, wie wir die DSGVO-Kontrolle angegangen sind. Für die Zwecke, nach denen wir bei der DSGVO-Kontrolle suchen, umfasst es hauptsächlich die Überprüfung der Datenschutzrichtlinien, um sicherzustellen, dass sie die grundlegenden DSGVO-Anforderungen erfüllen. z. B. welche personenbezogenen Daten verarbeitet werden, wie die Rechtmäßigkeit der Verarbeitung ist, auf die Rechte betroffener Personen hinzuweisen, wie ein Antragstellerzugriffsersuchen (Subject Access Request, SAR) von einem Nutzer durchgeführt wird, wie der ISV SARs übernimmt, die ISVs-Unternehmensdetails und Datenaufbewahrungsdetails.
Wir haben uns einem Penetrationstest unterzogen; wir haben jedoch keinen "sauber"-Penetrationstest, da wir keinen Penetrationswiedentest durchgeführt haben. Müssen wir einen erneuten Test durchführen und einen sauber Bericht haben?
Die Microsoft 365-Zertifizierungsspezifikation verlangt von ISVs keine Wiederholungstests für Penetrationstests, sodass angemessene Korrekturnachweise bereitgestellt werden können, um zu zeigen, dass probleme, die im Penetrationstestbericht identifiziert wurden, behoben werden.
Einige der angeforderten Dokumente und Beweise sind vertraulich. Gibt es Geheimhaltungsvereinbarungen (Non-Disclosure Agreements, NDAs) ?
Ja, einige der von Ihnen übermittelten Informationen sind öffentliche Informationen und einige können vertrauliche Informationen sein. Wenn Sie über eine bestehende NDA bei Microsoft verfügen, gelten die Bedingungen dieser NDA für die vertraulichen Informationen, die Sie übermitteln. Wenn Sie nicht über eine NDA bei Microsoft verfügen, gelten die Vertraulichkeitsbedingungen der Herausgebervereinbarung, die Sie in Partner Center unterzeichnet haben, für diese vertraulichen Informationen.
Wie übertragen wir vertrauliche Dokumente und Beweise im Rahmen der Microsoft 365-Zertifizierungsbewertung sicher?
Derzeit verfügt Microsoft nicht über eine Plattform zum sicheren Teilen dieser Informationen. Es wird empfohlen, dass Sie diese Informationen über alle sicheren Mechanismen freigeben, die Sie bereits eingerichtet haben. Viele ISVs nutzen OneDrive und geben einen authentifizierten Link für das Microsoft 365-Zertifizierungsteam weiter.
Wir haben gerade einige zusätzliche Sicherheitsprozesse implementiert, um einige der Microsoft 365-Zertifizierungskontrollen zu erfüllen. Bedeutet dies, dass wir 12 Monate warten müssen, bevor wir in der Lage sind zu zertifizieren?
Nein, Microsoft erkennt an, dass Sie möglicherweise zusätzliche Sicherheitsprozesse entwickeln müssen, um Lücken zwischen vorhandenen Sicherheitsprozessen und dem zu schließen, was von der Microsoft 365-Zertifizierung erwartet wird. Das Microsoft 365-Zertifizierungsteam überprüft neu entwickelte dokumentierte Prozesse und überprüft den Nachweis, dass der Prozess mindestens einmal durchgeführt wurde. Darüber hinaus sind keine historischen Nachweise erforderlich, da diese für diese neu entwickelten Prozesse nicht verfügbar sein werden. Nach zwölf Monaten wird dann eine Stichprobe historischer Beweise während der jährlichen Bewertung bewertet.
Was muss ich bereitstellen?
Während der Bewertung überprüfen Zertifizierungsanalysten die bereitgestellten Dokumente und Nachweise, um Ihre Konformität mit den Microsoft 365-Zertifizierungskontrollen zu bewerten. Im Rahmen dieser Arbeit fordert das Microsoft 365-Zertifizierungsteam Informationen an, die Architekturdetails, Diagramme, Datenspeicherdetails, App-Designdetails, Richtlinien- und Prozessdokumente, Konfigurationsdateien und Screenshots umfassen. In einigen Fällen oder wenn es für Sie einfacher ist, kann eine Screensharing-Sitzung organisiert werden, um den Zertifizierungsanalysten Beweise zu zeigen. Wenn vorhandene Compliance-Frameworks zur Unterstützung der Bewertungsaktivitäten verwendet werden sollen, ist eine angemessene Dokumentation erforderlich, in der nachgewiesen wird, was der externe Prüfer/Bewerter als vorhanden bewertet und bestätigt hat. Wenn die unterstützende Dokumentation nicht die erforderliche Beschreibung liefern kann, um genau zu veranschaulichen, wie die Kontrollen innerhalb des externen Sicherheitsframeworks erfüllt wurden, kann das Microsoft 365-Zertifizierungsteam das externe Sicherheitsframework nicht zur Unterstützung der Microsoft 365-Zertifizierungsbewertung verwenden.
Muss ich für die Zertifizierung Änderungen an meiner aktuellen Infrastruktur vornehmen?
Es ist unwahrscheinlich, dass erhebliche Änderungen an der Infrastruktur erforderlich sind, um die Microsoft 365-Zertifizierung zu erfüllen. Die Kontrollen basieren auf bewährten Sicherheitsmethoden der Branche und werden höchstwahrscheinlich bereits implementiert sein. Wir haben in den meisten Fällen gesehen; ISVs mussten interne Prozesse aktualisieren, um Lücken zwischen den aktuellen Arbeitsmethoden und den Anforderungen der Microsoft 365-Zertifizierung zu schließen. Wenn dies ein Problem ist, empfiehlt Microsoft, die neuesten Microsoft 365-Zertifizierungskontrollen zu überprüfen, die im Leitfaden zur Übermittlung von Microsoft 365-Zertifizierungen zu finden sind, um sicherzustellen, dass Ihre derzeit bereitgestellte Umgebung und Ihre Arbeitsmethoden den definierten Kontrollen entsprechen.
Hat Microsoft Empfehlungen zu bestimmten Komponenten,Infrastruktur/Software, die verwendet werden sollten, um die Zertifizierungsanforderungen zu erfüllen?
Microsoft bietet keine spezifischen Empfehlungen für Lösungen, um die Microsoft 365-Zertifizierungskontrollen zu erfüllen. Alle kommerziellen oder Open Source Angebote können verwendet werden, sofern sie aktiv unterstützt und gewartet werden.
Wie lange dauert es, bis die Bewertung abgeschlossen ist?
In der Regel kann es durchschnittlich 30 Tage dauern, bis eine Bewertung abgeschlossen ist. Dies kann jedoch von vielen Variablen abhängen. Die Dauer des Abschlusses kann variieren, je nachdem, wie groß die Hostingumgebung ist, die zur Unterstützung der App/Add-In verwendet wird, vom Typ der Hostingumgebung, die die App/Add-In unterstützt, und davon, wie schnell ISVs auf Beweisanforderungen reagieren.
Wie viel Zeit muss ich für diesen Prozess aufteilen?
Der Großteil der Arbeit besteht darin, die Dokumentationen und Beweise rechtzeitig zu sammeln. Danach sollte es nicht mehr als ein paar Stunden pro Woche dauern, um den Bewertungsprozess abzuschließen. Einige Variablen, die sich auf die erforderliche Zeit auswirken können, sind: Die Größe der Umgebung wirkt sich auf die Zeit aus, die zum Sammeln angeforderter Beweise erforderlich ist, und ob externe Sicherheitsframeworks vorhanden sind, die zur Unterstützung der Bewertung genutzt werden können. Wenn externe Sicherheitsframeworks vorhanden sind und geeignete unterstützende Dokumentationen bereitgestellt werden können, können Zertifizierungsanalysten diese externen Bewertungen verwenden, um eine Teilmenge der Microsoft 365-Kontrollen zu erfüllen, ohne dass Sie zusätzliche Beweise angeben müssen.
Warum gibt es einen festen 60-Tage-Zeitrahmen für die Bewertung?
Wir haben eine Begrenzung der Dauer festgelegt, für die eine Bewertung durchgeführt werden kann, da bereits gesammelte Beweise veralten können, je länger eine Bewertung dauert. Dies ist eine Zeitpunktbewertung, und daher muss ein geeigneter Zeitraum für den Abschluss zugewiesen werden. Nachdem Sie Ihre erste Dokumentübermittlung eingereicht haben, werden wir mit einer Beweisanforderung antworten. Der Zeitraum von 60 Tagen beginnt mit dem Erhalt der Beweisanforderung. Der Leitfaden zur Microsoft 365-Zertifizierungsübermittlung sollte gelesen werden, und Sie sollten sicher sein, dass alle Kontrollen erfüllt werden können, bevor Sie Ihre anfängliche Beweisübermittlung übermitteln.
Was geschieht, wenn die Bewertung nicht innerhalb des 60-Tage-Zeitrahmens abgeschlossen ist?
Wenn die Bewertung innerhalb des 60-tägigen Zeitraums nicht abgeschlossen wird, markiert Microsoft leider einen Fehler bei der Bewertung. Diese Markierung gilt nur für interne Statistiken und wird nie veröffentlicht. Sie können den Bewertungsprozess sofort neu starten. Sie werden jedoch aufgefordert, neue Beweise erneut zu senden, um die neue Anwendung zu unterstützen.
Wie viel kostet mich die Microsoft 365-Zertifizierung?
Derzeit ist es kostenlos, die Microsoft 365-Zertifizierung abzuschließen.
Was kostet Penetrationstests im Rahmen dieses Programms?
Wenn Ihre App Penetrationstests durchlaufen muss, bei denen dies nicht Teil Ihrer Sicherheitsaktivitäten ist, können Penetrationstests unter der Microsoft 365-Zertifizierung durchgeführt werden und sind KOSTENLOS. Der Umfang der Penetrationstests ist auf die App und die unterstützende Infrastruktur beschränkt, die im Rahmen der Microsoft 365-Zertifizierung liegt.
Verfügen Sie über Marketingmaterialien, mit denen Sie werben können, dass unsere App zertifiziert wurde?
Nach Abschluss erhalten ISVs ein kostenloses digitales Marketing-Kit, um ihre App als Microsoft 365 Certified zu bewerben.
Nach welcher Beweisebene suchen Sie bei der Durchführung der Bewertung?
Nachweise, die während der Microsoft 365-Zertifizierungsbewertung bereitgestellt werden, müssen in der Lage sein, genügend Sicherheit zu bieten, dass Sie die spezifischen Microsoft 365-Zertifizierungskontrollen erfüllen, die bewertet werden. Der Beweis kann in Form von Konfigurationsdateien, Screenshots von Einstellungen oder Beweisen, Richtlinien-/Verfahrensdokumentationen oder Bildschirmfreigabesitzungen erfolgen, um dem Zertifizierungsanalysten beweise zu zeigen. Im Folgenden finden Sie zwei Beispiele:
Bewertungsaktivität: "Zeigen Sie, dass Antivirensoftware in allen systembezogenen Komponenten der Stichprobe ausgeführt wird." – Für dieses Steuerelement können Sie einen Screenshot von jedem Gerät im Beispiel bereitstellen, das den Virenschutz unterstützt, der zeigt, dass der Antivirenprozess ausgeführt wird, oder wenn Sie über einen zentralisierten Verwaltungskonsole für Virenschutz verfügen, können Sie dies möglicherweise von diesem Verwaltungskonsole zeigen.
Bewertungsaktivität: "Veranschaulichen, wie neue Sicherheitsrisiken identifiziert werden." – Dieses Steuerelement stammt aus dem Abschnitt Patchverwaltung. Die Absicht ist, dass Sie über einen formal dokumentierten Prozess verfügen, um neue Sicherheitsrisiken zu identifizieren. Dies kann innerhalb Ihres Quellcodes, aber auch innerhalb der Supportumgebung sein, z. B. Windows-Sicherheitsrisiken, Sicherheitsrisiken in Webabhängigkeiten (z. B. AngularJS, JQuery usw.). Sie sollten über einen dokumentierten Prozess verfügen, den Sie befolgen, um neue Sicherheitsrisiken zu identifizieren. Daher sollte das dokumentierte Prozessdokument bereitgestellt werden. Zusätzlich zur Dokumentation müssen Sie nachweisen, dass der Prozess befolgt wird. Wenn Sie beispielsweise npm audit verwenden, um Abhängigkeiten auf Sicherheitsrisiken zu überprüfen, liefert die Bereitstellung eines Beispiels von Berichten Beweise. Wenn Sie mehrere Prozesse verwenden, d. h. für verschiedene Systemkomponenten, müssen Nachweise für alle Prozesse bereitgestellt werden.