Microsoft 365-Zertifizierungsbeispiel – Übersicht

Dieser Beispielbeweisleitfaden hilft ISVs dabei, die richtigen Nachweise zu erstellen, die zum Abschließen der Microsoft 365-Zertifizierung erforderlich sind. Dieses Dokument enthält die Absicht jedes Steuerelements und aller Unterteile eines Steuerelements sowie mögliche Möglichkeiten, wie Beweise für Steuerelemente mit Beispieldokumenten, Richtlinien und Screenshots gesammelt werden könnten. Darüber hinaus bietet dieser Leitfaden Unterstützung bei der Struktur der übermittelten Nachweise.

Alle in diesem Dokument freigegebenen Beispiele stellen nicht den einzigen Beweis dar, der verwendet werden kann, um zu beweisen, dass Steuerelemente erfüllt sind. Dies sind Richtlinien für die Art von Beweisen, die Zertifizierungsanalysten bei der Entscheidung helfen können, ob die Kontrolle vom ISV erfüllt wurde.

Hinweis: Die tatsächlichen Schnittstellen, Screenshots und Dokumentationen, die zur Erfüllung der Zertifizierungsanforderungen verwendet werden, variieren je nach Produktverwendung, Systemeinrichtung und internen Prozessen. Beachten Sie, dass der ISV, wenn Richtlinien- oder Verfahrensdokumentation erforderlich ist, vollständige Versionen der tatsächlichen Dokumente und keine Screenshots senden muss, wie in einigen beispielen gezeigt.

Alle Screenshots, die übermittelt werden sollen, müssen Vollbildscreenshots mit einer beliebigen URL mit angemeldetem Benutzer sein (stellen Sie sicher, dass der Name des angemeldeten Benutzers im Screenshot sichtbar ist) mit dem darin enthaltenen Zeit- und Datumsstempel. Fügen Sie bei Linux-basierten Systemen diese Informationen mit/auf dem Kontrollbeweis hinzu, indem Sie die Eingabeaufforderung verwenden, um sie zu erstellen.

ALLE Nachweise bei der Einreichung müssen weniger als 3 Monate alt sein, um sicherzustellen, dass der Nachweis bis zum Abschluss der Zertifizierung noch relevant und nicht veraltet ist. Wenn dies nicht befolgt wird, werden Sie möglicherweise aufgefordert, neue Beweise zu sammeln.

Bitte beachten Sie auch: Es können keine Beta-APIs für die Zwecke dieser Zertifizierung oder ein Beispiel verwendet werden, das in diesem Prozess verwendet wird.

Es wird empfohlen, diese Richtlinien zu befolgen, um zu vermeiden, dass Ihre Bewertung aufgrund unzureichender Beweise verzögert wird.

Hinweis

Wenn Sie vor dem 12. Dezember 2023 mit der Microsoft 365-Zertifizierung begonnen haben, lesen Sie den Leitfaden für Legacybeispiele.

Microsoft 365-Zertifizierungsstruktur

Die Zertifizierung ist in drei Sicherheitsdomänen gegliedert:

• Anwendungssicherheit (einschließlich Konnektivitätsprüfungen bei Bedarf)

• Betriebssicherheit

• Sicherheit und Datenschutz

Ein Penetrationstest ist für die Zertifizierung erforderlich und wird unter der Anwendungssicherheitsdomäne überprüft. Weitere Informationen finden Sie in den Abschnitten 3 und 4 der Struktur der Beweisübermittlung.

Sicherheitsdomänen werden in Kontrollgruppen unterteilt, um ISVs dabei zu helfen, die Struktur von Aufgaben zu verstehen und die Beweissammlung in kleine, verwaltbare Teile aufzuteilen. Diese Kontrollgruppen wurden an gängigen Ressourcenstrukturen des Unternehmens ausgerichtet, um interne Teams für Unterstützung zu identifizieren, während die Teams parallel arbeiten können, um den Beweissammlungsprozess zu beschleunigen.

Steuerung(en): Beschreibung der Bewertungsaktivität: Diese Steuerelemente und die zugehörige Nummer (Nein.) werden direkt aus der Prüfliste für die Microsoft 365-Zertifizierung entnommen.

Absicht: Die Absicht, warum die Sicherheitskontrolle in das Programm aufgenommen wird, und das spezifische Risiko, das sie mindern soll. Die Hoffnung besteht darin, dass diese Informationen den ISVs die Gründe für die Kontrolle liefern, um besser zu verstehen, welche Arten von Beweismitteln gesammelt werden müssen und was ISV beachten muss, und dass sie bei der Erstellung ihrer Beweise ein Bewusstsein und Verständnis dafür haben müssen.

Beispielbeweisrichtlinien: Wird angegeben, um die Aufgaben zur Beweissammlung für die Microsoft 365-Zertifizierung zu unterstützen. Dies ermöglicht es dem ISV, klare Beispiele für die Art von Beweisen zu sehen, die vom Zertifizierungsanalysten verwendet werden können, der ihn verwendet, um eine sichere Feststellung zu treffen, dass ein Steuerelement vorhanden und beibehalten wird – es ist keineswegs erschöpfend.

Beispielbeweis: Dieser Abschnitt enthält Beispielscreenshots und Bilder von potenziellen Beweisen, die für die einzelnen Kontrollen innerhalb der Microsoft 365-Zertifizierung erfasst wurden, insbesondere für die Domänen betriebs- und Datensicherheit und Datenschutzsicherheit. Bitte beachten Sie, dass alle Informationen mit roten Pfeilen und Kästchen in den Beispielen Ihnen helfen, die Anforderungen zu verstehen, die zum Erfüllen von Steuerelementen erforderlich sind.

Struktur der Beweisübermittlung

Die Übermittlung von Nachweisen für alle anwendbaren Kontrollen erfolgt über Partner Center, mit Ausnahme von Bewertungen zur Unterstützung der Microsoft Compliance-Aufzeichnung und der Contact Center-Zertifizierungen. Diese müssen in der Regel einen manuellen Prozess durchlaufen. Überspringen Sie diesen Abschnitt und lesen Sie den nächsten Abschnitt zum Abschließen der Zertifizierung, wenn Sie die Compliance-Aufzeichnung & Contact Center durchführen.

Um sicherzustellen, dass Zertifizierungsanalysten die bereitgestellten Beweise leicht identifizieren und erfolgreich überprüfen können, befolgen Sie die folgenden Empfehlungen:

1. Stellen Sie für jeden der Abschnitte sicher, dass die Beweise vor der Einreichung klar gekennzeichnet sind. Wenn mehr als ein Beweis pro Kontrolle vorhanden ist, fügen Sie den Beweis in eine einzelne Word-/PDF-Datei ein, einschließlich eines Kommentars zu dem, was die Beweise zeigen. Wenn der Beweis aus mehreren Word/PDF-Dokumenten besteht, d. h. einer unterstützenden Dokumentation, laden Sie diese bitte als einzelne Dateien hoch. Bitte fügen Sie diese nicht in eine ZIP-Datei ein, um sie in Partner Center hochzuladen, da wir zip-Dateien aufgrund des Risikos von Schadsoftware nicht akzeptieren.

2. Alle externen Framework-Informationen sollten vollständig ohne Bearbeitungen angegeben werden (wir werden nur zulassen, dass teilweise Namen von Personen aus diesen Berichten bearbeitet werden, da dies unter Personenbezogene Informationen (PII)) fallen würde) - Alle Teile der Berichte sollten eingeschlossen werden, z. B. ISO 27001 Statement of Applicability (SOA) und Certificate, full SOC 2 Type 2 report and/oder full PCI-DSS Attestation of Compliance (AOC). Alle Dokumente werden durch die Microsoft Partner Center-Vereinbarung gemäß Klausel 7 abgedeckt.

Abschnitt 7(a) enthält die folgende NDA:

3. Ein vollständiger Unredacted Penetration Test-Bericht muss auf Anfrage über Partner Center gesendet werden. BEACHTEN Sie, dass die Zertifizierungsanalysten das Audit für Ihre Microsoft 365-Zertifizierung nicht abschließen können, wenn dies nicht bereitgestellt wird.

4. Interner und externer Infrastruktur- und Webanwendungs-Penetrationstest: Für alle Hostingumgebungen ist ein Penetrationstestbericht erforderlich.

   • Für infrastructure-as-a-Service (IaaS) oder ISV gehostet (lokal, privates Rechenzentrum) ist ein interner und externer Infrastruktur- und Webanwendungstest erforderlich.

   • Für Platform-as-a-Service "PaaS/Serverless" sollte der Stifttest aus Ihrer Webanwendung und der zugrunde liegenden unterstützenden Infrastruktur stammen.

Hinweis: Kostenlose Penetrationstests – Der kostenlose Microsoft-Stifttest ist auf zwölf Tage beschränkt. Wenn ihre App mehr als 12 Tage testet, werden Sie aufgefordert, die zusätzlichen Tage zu bezahlen. Wenn Sie einen Stifttest außerhalb der Stunden benötigen, fallen auch zusätzliche Kosten an. Der bereitgestellte Stifttestdienst ist auch auf einen Stifttest (einschließlich eines erneuten Tests) pro Jahr beschränkt. Wenn Sie beispielsweise Ihren Penetrationstest am 1. September 2022 durchgeführt haben, können Sie bis zum 31. August 2023 keinen weiteren erhalten.

Dies gilt für alle Übermittlungsversuche, was bedeutet, dass dies sowohl für Ihren aktuellen Übermittlungszyklus gilt, als auch wenn Sie beschließen, Ihre aktuelle Übermittlung zu schließen und den Prozess später innerhalb desselben Jahres neu zu starten, haben Sie keinen Anspruch auf einen zusätzlichen Stifttest, da dieser bereits für Sie durchgeführt wurde.

5. Alle ISVs müssen ihre anfängliche Dokumentübermittlung innerhalb von 14 Tagen abschließen (einschließlich aller Rück- und Weiterleitungen mit Ihrem Analysten), nachdem sie die Start-E-Mail des Tickets vom Microsoft-Administratorteam erhalten haben. Der 14-tägige Zeitrahmen besteht für den vollständigen Abschluss, die Überprüfung und das Verschieben der Übermittlung in die vollständige Beweisphase. ISVs sollten regelmäßig überprüfen, ob ihr Analyst Änderungen verlangt oder zusätzliche Informationen oder Dokumente angefordert hat. Während des 14-tägigen Zeitraums können ISVs die erforderlichen Informationen so oft wie nötig einreichen. Beachten Sie jedoch, dass die Übermittlung, wenn nicht aktiv bearbeitet wird, diese als veraltet gilt und im Partner Center geschlossen wird und die Zertifizierung neu gestartet werden muss. Unter bestimmten Umständen kann ein ISV bis zu 30 Tage für die Fertigstellung bereitgestellt werden. Wenn ein ISV nicht in der Lage ist, die erste Dokumentübermittlung innerhalb des angegebenen Zeitraums abzuschließen, wird seine Übermittlung geschlossen.

Darüber hinaus müssen alle ISVs ihre Zertifizierung innerhalb von 60 Tagen abschließen, nachdem ihre Einreichung von der ersten Phase der Dokumentenübermittlung in die phase der vollständigen Beweissammlung verschoben wurde. Dies umfasst alle Revisionen und Feedbacks, die vom Bewerter/Prüfer während des gesamten Prozesses übermittelt werden. Der 60-tägige Zeitrahmen gilt für die vollständige Fertigstellung, Überprüfung und endgültige Qualitätssicherung Ihrer Nachweise. Dies bedeutet, dass ISVs ihre Nachweise mindestens zwei Wochen vor dem Abschlussdatum einreichen sollten, um sicherzustellen, dass die Zertifizierung rechtzeitig abgeschlossen wird. Während des 60-tägigen Zeitraums können ISVs so oft wie nötig Nachweise an Partner Center übermitteln. Beachten Sie jedoch, dass die endgültige Einreichung, wie angegeben, mindestens zwei Wochen vor dem Fertigstellungsdatum liegt, um Zertifizierungsanalysten Zeit für die Überprüfung und QA der Einreichung zu geben. Nach Ablauf der 60 Tage müssen ISVs den Prozess erneut starten.

Wenn während des Zertifizierungsprozesses Probleme auftreten, kann der Zertifizierungsanalyst eine potenzielle Verlängerung für gültige Bedenken gewähren. Ein Analyst kann nach eigenem Ermessen eine Fristverlängerung von maximal 30 Zusätzlichen Tagen gewähren, wenn von ISVs festgestellt wird, dass sie aktiv an Ihrer Übermittlung arbeiten. Bitte beachten Sie, dass der ISV bei einer Verlängerung von 0 bis 30 Tagen sicherstellen muss, dass die Nachweise zwei Wochen vor dem Enddatum der Verlängerung zur Überprüfung zur Verfügung stehen.

Wenn eine Verlängerung gewährt wird, der Beweis aber älter als 3 Monate ist, kann dies möglicherweise zu einem Fehler bei QA führen, da dieser Beweis möglicherweise aufgrund der Zeitspanne zwischen der Erteilung und der endgültigen Qualitätssicherung als veraltet angesehen wird, was bedeutet, dass neue Beweise für diese Kontrolle(en) erforderlich sind. Sobald die Verlängerungszeit überschritten ist, werden keine weiteren Verlängerungen mehr erfolgen, und es wird erwartet, dass der ISV seine Nachweise (mindestens zwei Wochen vor Ende der Verlängerung) vorlegen wird, wenn die Übermittlung nicht übermittelt wird, wird die Übermittlung als fehlgeschlagen klassifiziert und geschlossen. Wenn während der ersten 60 Tage oder während der Verlängerungszeit (bis zu 30 Tage) keine aktiven Arbeiten an der Übermittlung begonnen haben, wird die Übermittlung als abgebrochen klassifiziert und geschlossen.

Wenn die Übermittlung als abgebrochen klassifiziert wurde, muss der ISV den Prozess mit einem neuen Nachweis und neuen Beweisen neu starten, da die aktuellen Beweise als veraltet gelten. Bitte beachten Sie, dass ISVs nur eine Übermittlung pro Jahr erlaubt sind. Wenn ein ISV aus irgendeinem Grund den Prozess abgibt, sobald er sich in der vollständigen Beweissammlungsphase befindet und seine Übermittlung als abgebrochen markiert wurde, kann er den Prozess erst im folgenden Jahr neu starten.

Struktur der manuellen Beweisübermittlung – Compliance-Aufzeichnung & Contact Center

Um sicherzustellen, dass Zertifizierungsanalysten die bereitgestellten Nachweise leicht identifizieren und erfolgreich überprüfen können, befolgen Sie diese Empfehlungen für die Struktur der Beweisübermittlung, wenn Sie diese manuell auf Anforderung des Zertifizierungsteams übermitteln.

1. Erstellen Sie für jede Sicherheitskontrollgruppe (z. B. Virenschutz, Patchverwaltung usw.) ein einzelnes Dokument, das problemlos überprüft werden kann (z. B. in Word oder PDF).

2. Benennen Sie das einzelne Dokument nach der Sicherheitskontrollgruppe, um deutlich zu machen, was das Dokument enthält.

3. Fügen Sie Ihre Beweisartefakte hinzu, und verweisen Sie auf die unterstützende Dokumentation Ihres organization, die die Kontrollgruppe unterstützt, und alle zusätzlichen Hinweise für den Zertifizierungsanalysten, der erklärt, was das Artefakt ist und wie dieser Beweis dem Steuerelement entspricht (es hilft Ihren Zertifizierungsanalysten, wenn Sie die Bilder mit ihren Kontrollnummern benennen, d. h. Datensicherheit und Datenschutzkontrolle Nr. 1).

Hinweis: Denken Sie daran, dass bei Verwendung der Stichprobenentnahme Artefakte von jedem Gerät im Beispielsatz entnommen werden müssen. Stellen Sie sicher, dass das Artefakt auch den Systemnamen anzeigt, um zu überprüfen, ob das Artefakt vom bewerteten Gerät stammt und dass keine Daten verdeckt oder bearbeitet werden.

4. Alle externen Frameworkinformationen sollten vollständig ohne Bearbeitungen angegeben werden (wir erlauben nur, dass Namen von Personen aus diesen Berichten bearbeitet werden, da diese unter PII fallen) - Alle Teile der Berichte sollten enthalten sein, z. B. ISO 27001 Statement of Applicability (SOA) and Certificate, full SOC 2 Type 2 report and/oder Full PCI-DSS Attestation of Compliance (AOC) Full HIPAA Report oder FedRAMP. Alle Dokumente werden durch die Microsoft Partner Center-Vereinbarung gemäß Abschnitt 7 abgedeckt.

Abschnitt 7(a) enthält die folgende NDA:

5. Ein vollständiger Unredacted Penetration Test-Bericht muss auf Anfrage an den Zertifizierungsanalysten gesendet werden. HINWEIS: Wenn dies nicht angegeben wird, kann der Zertifizierungsanalyst Ihre Microsoft 365-Zertifizierung nicht abschließen.

6. Interne und externe Infrastruktur und Webanwendung: Für alle Hostingumgebungen ist ein Penetrationstestbericht erforderlich.

   • Für infrastructure-as-a-Service (IaaS) oder ISV gehostet (lokal, privates Rechenzentrum) ist ein interner und externer Infrastruktur- und Webanwendungstest erforderlich.

   • Für Platform-as-a-Service "PaaS/Serverless" sollte der Stifttest aus Ihrer Webanwendung und der zugrunde liegenden unterstützenden Infrastruktur stammen.

Kostenlose Penetrationstests: Bitte beachten Sie, dass der kostenlose Microsoft-Stifttest auf nur zwölf Tage beschränkt ist. Wenn eine App mehr als 12 Tage testet, wird der ISV aufgefordert, die zusätzlichen Tage zu bezahlen. Wenn der ISV zusätzlich einen Stifttest außerhalb der normalen Geschäftszeiten erfordert, basierend auf dem Standort des Prüfers, fallen auch zusätzliche Kosten an. Der bereitgestellte Stifttestdienst ist auf einen kostenlosen Stifttest (einschließlich eines erneuten Tests) pro Jahr und Übermittlungsversuch beschränkt.

7. Alle ISVs müssen ihre anfängliche Dokumentübermittlung innerhalb von 14 Tagen abschließen (einschließlich aller Rück- und Weiterleitungen mit Ihrem Analysten), nachdem sie die Start-E-Mail des Tickets vom Microsoft-Administratorteam erhalten haben. Der 14-tägige Zeitrahmen besteht für den vollständigen Abschluss, die Überprüfung und das Verschieben der Übermittlung in die vollständige Beweisphase. ISVs sollten regelmäßig überprüfen, ob ihr Analyst Änderungen verlangt oder zusätzliche Informationen oder Dokumente angefordert hat. Während des 14-tägigen Zeitraums können ISVs die erforderlichen Informationen so oft wie nötig einreichen. Beachten Sie jedoch, dass die Übermittlung, wenn nicht aktiv bearbeitet wird, diese als veraltet gilt und im Partner Center geschlossen wird und die Zertifizierung neu gestartet werden muss. Unter bestimmten Umständen kann ein ISV bis zu 30 Tage für die Fertigstellung bereitgestellt werden. Wenn ein ISV nicht in der Lage ist, die erste Dokumentübermittlung innerhalb des angegebenen Zeitraums abzuschließen, wird seine Übermittlung geschlossen.

Darüber hinaus müssen alle ISVs ihre Zertifizierung innerhalb von 60 Tagen abschließen, nachdem ihre Einreichung von der ersten Phase der Dokumentenübermittlung in die phase der vollständigen Beweissammlung verschoben wurde. Dies umfasst alle Revisionen und Feedbacks, die vom Bewerter/Prüfer während des gesamten Prozesses übermittelt werden. Der 60-tägige Zeitrahmen gilt für die vollständige Fertigstellung, Überprüfung und endgültige Qualitätssicherung Ihrer Nachweise. Dies bedeutet, dass ISVs ihre Nachweise mindestens zwei Wochen vor dem Abschlussdatum einreichen sollten, um sicherzustellen, dass die Zertifizierung rechtzeitig abgeschlossen wird. Während des 60-tägigen Zeitraums können ISVs so oft wie nötig Nachweise an Partner Center übermitteln. Beachten Sie jedoch, dass die endgültige Einreichung, wie angegeben, mindestens zwei Wochen vor dem Fertigstellungsdatum liegt, um Zertifizierungsanalysten Zeit für die Überprüfung und QA der Einreichung zu geben. Nach Ablauf der 60 Tage müssen ISVs den Prozess erneut starten.

Wenn während des Zertifizierungsprozesses Probleme auftreten, kann der Zertifizierungsanalyst eine potenzielle Verlängerung für gültige Bedenken gewähren. Ein Analyst kann nach eigenem Ermessen eine Fristverlängerung von maximal 30 Zusätzlichen Tagen gewähren, wenn von ISVs festgestellt wird, dass sie aktiv an Ihrer Übermittlung arbeiten. Bitte beachten Sie, dass der ISV bei einer Verlängerung von 0 bis 30 Tagen sicherstellen muss, dass die Nachweise zwei Wochen vor dem Enddatum der Verlängerung zur Überprüfung zur Verfügung stehen.

Wenn eine Verlängerung gewährt wird, der Beweis aber älter als 3 Monate ist, kann dies möglicherweise zu einem Fehler bei QA führen, da dieser Beweis möglicherweise aufgrund der Zeitspanne zwischen der Erteilung und der endgültigen Qualitätssicherung als veraltet angesehen wird, was bedeutet, dass neue Beweise für diese Kontrolle(en) erforderlich sind. Sobald die Verlängerungszeit überschritten ist, werden keine weiteren Verlängerungen mehr erfolgen, und es wird erwartet, dass der ISV seine Nachweise (mindestens zwei Wochen vor Ende der Verlängerung) vorlegen wird, wenn die Übermittlung nicht übermittelt wird, wird die Übermittlung als fehlgeschlagen klassifiziert und geschlossen. Wenn während der ersten 60 Tage oder während der Verlängerungszeit (bis zu 30 Tage) keine aktiven Arbeiten an der Übermittlung begonnen haben, wird die Übermittlung als abgebrochen klassifiziert und geschlossen.

Wenn die Übermittlung als abgebrochen klassifiziert wurde, muss der ISV den Prozess mit einem neuen Nachweis und neuen Beweisen neu starten, da die aktuellen Beweise als veraltet gelten. Bitte beachten Sie, dass ISVs nur eine Übermittlung pro Jahr erlaubt sind. Wenn ein ISV aus irgendeinem Grund den Prozess abgibt, sobald er sich in der vollständigen Beweissammlungsphase befindet und seine Übermittlung als abgebrochen markiert wurde, kann er den Prozess erst im folgenden Jahr neu starten.

Erstellen der Ordnerstruktur für die Konformitätsaufzeichnung & Contact Center

Befolgen Sie diese Anweisungen, um die Ordnerstruktur zu erstellen, die der Analyst benötigt, um die bereitgestellten Beweise zu überprüfen.

1. Schließen Sie die anfängliche Dokumentübermittlung ab, damit der Bereich der Steuerelemente festgelegt werden kann. Geben Sie so viele Details wie möglich an, und dass auch das Architekturdiagramm und das Datenflussdiagramm denselben Detailgrad aufweisen.

2. Erstellen Sie entweder einen internen oder Onlineordner, und fügen Sie alle Ihre Dokumente hinzu.

   • Bezeichnen sie den tatsächlichen freigegebenen Ordner Microsoft Certification

   • Fügen Sie die Informationen zur Anfänglichen Dokumentübermittlung in den Ordner Microsoft Certification in einem Ordner namens IDS hinzu.

   • Erstellen Sie im Ordner Zertifizierung vier Ordner mit den folgenden Namen:

     • Anwendungssicherheit (dies ist für Ihre Stifttestinformationen)

     • Compliance (für Ihre externen Frameworks wie SOC 2)

     • Betriebssicherheit (Os)

     • Datensicherheit & Datenschutz (DS&P)

   • Erstellen Sie in den Betriebssystem- und DS-&P-Ordnern Kontrollgruppen für jeden Satz von Steuerelementen, z. B. Schadsoftware, Patchen usw., in denen Sie Dokumente für jedes der Steuerelemente hinzufügen können (wenn Sie genau sein möchten, können Sie einen Ordner für jedes einzelne Steuerelement erstellen, sodass Es einfacher ist, Beweise anhand des Steuerelementnamens nachzuverfolgen. In diesem Fall nennen Sie diese Ordner Control X, wobei X für die Kontrollnummer steht). Beachten Sie, dass Sie die struktur des sekundären Ordners erst erstellen können, nachdem ihre Steuerelemente bereichsweit festgelegt wurden.

Beispiel für eine Ordnerstruktur Stammordner:

Unterordner im Ordner "Evidence":

3. Nachdem Sie Dokumente in die Freigabe hochgeladen haben, erteilen Sie dem freigegebenen Ordner die Berechtigung, und senden Sie dem Zertifizierungsanalysten eine E-Mail mit den Details. Bitte senden Sie alle Kennwörter in einer separaten E-Mail.

4. Denken Sie beim Sortieren von Beweisen daran, Screenshots im Vollbildmodus mit angemeldeten Benutzern, URL und Datums- und Zeitstempel zu erstellen. Bei Verwendung von Linux kann dies über die Eingabeaufforderung erfolgen. Geben Sie ggf. eine Erklärung für jedes Steuerelement an, und denken Sie daran, dass für Richtlinien eine vollständige Kopie der Richtlinie und keine Codeausschnitte oder Screenshots erforderlich sind.

5. Lesen Sie dieses Dokument, um das Steuerelement und die Art der benötigten Beweise zu verstehen.

6. Alle erforderlichen Stifttests werden nicht geplant, und Sie erhalten keine Dokumentation zum Starten des Prozesses, bis Sie 50 % Ihrer Steuerelemente genehmigt haben. Der Stifttest ist nur für 12 Tage kostenlos. Wenn Ihr Stifttest jedoch über 12 Tage ausgeführt wird, müssen Sie die zusätzlichen Tage im Voraus bezahlen, bevor der Test beginnt.

7. Sobald Sie eine Kopie Ihrer bereichsbezogenen Steuerelemente erhalten haben, um Beweise für die Steuerelemente zu sammeln, wird Ihr Ticker gestartet. Sie erhalten eine entsprechende E-Mail, und Sie haben 60 Tage Zeit, um den gesamten Zertifizierungsprozess einschließlich des Stifttests abzuschließen.

8. Versuchen Sie, die erste Iteration der Steuerelemente innerhalb von 30 Tagen zu übermitteln, damit Probleme identifiziert und Revisionen angefordert werden können, bevor die 60 Tage ablaufen.

Weitere Informationen

• Anwendungssicherheit (einschließlich Konnektivitätsprüfungen bei Bedarf)
• Beispielbeweis: Betriebssicherheit
• Beispielbeweis: Datensicherheit und Datenschutz