Introducción
A continuación, se muestran las preguntas más frecuentes (preguntas frecuentes) que hacen los ISV (proveedores de software independientes) al iniciar la certificación de Microsoft 365. Si hay consultas que no se tratan aquí, póngase en contacto con el equipo de certificación de aplicaciones de Microsoft 365 a través de AppCert@Microsoft.com. Este documento está dirigido a isv, la información general sobre el programa de seguridad y cumplimiento de Microsoft 365 se puede encontrar en la página del programa de cumplimiento de aplicaciones de Microsoft 365.
No he aprobado una auditoría en un marco reconocido por el sector como PCI DSS, SOC 2 o ISO 27001. ¿Esto significa que no puedo solicitar la certificación de Microsoft 365?
No, la obtención de uno de estos marcos reconocidos por el sector no es un requisito de la certificación de Microsoft 365.
Ya he aprobado una auditoría externa en un marco reconocido por el sector. ¿Se puede contar para la certificación de Microsoft 365?
La respuesta corta es Sí. Actualmente, la especificación de certificación de Microsoft 365 acepta pruebas de PCI DSS, SOC 2 y ISO27001 marcos externos. La Guía de envíos de certificación de Microsoft 365 ha asignado dónde se alinean estos marcos externos existentes; sin embargo, hemos detectado en algunos casos que el estándar o marco existente no se ha alineado adecuadamente. Por este motivo, el equipo de certificación de Microsoft 365 realizará una revisión de las pruebas de estándares o marcos proporcionadas, marcando qué controles dentro de la certificación de Microsoft 365 se cumplen.
¿Cómo demostramos el cumplimiento del RGPD si no hemos tenido una evaluación externa del RGPD?
Microsoft no requiere una revisión independiente del cumplimiento del RGPD para la certificación de Microsoft 365, ya que se trata de un escenario o en el que aceptaremos la autoatestación que podemos comprobar de forma independiente cuando no se haya realizado ninguna revisión externa. Como esto es más una evaluación que una auditoría, y con respecto a las pruebas que debemos recopilar durante nuestros procesos, revisar las directivas de privacidad y los procesos internos es la forma en que nos hemos acercado al control del RGPD. Para los fines de lo que estamos buscando en el control rgpd, en su mayoría implica revisar las directivas de privacidad para asegurarse de que cumplen los requisitos básicos del RGPD; Por ejemplo, qué datos personales se están procesando, cuál es la legalidad del procesamiento, señalando los derechos del interesado, cómo un usuario realizará una solicitud de acceso al interesado (SAR), cómo realizará el ISV los SAR, los detalles de la empresa de los ISV y los detalles de retención de datos.
Hemos sido sometidos a una prueba de penetración; sin embargo, no tenemos una prueba de penetración "limpia", ya que no hemos realizado una nueva prueba de penetración. ¿Es necesario realizar una nueva prueba y tener un informe limpio?
La especificación de certificación de Microsoft 365 no requiere que los ISV realicen pruebas de penetración y se pueden proporcionar pruebas de corrección adecuadas para demostrar que se corrigen los problemas identificados en el informe de pruebas de penetración.
Parte de la documentación y las pruebas solicitadas son confidenciales, ¿existen acuerdos de no divulgación (NDA)?
Sí, parte de la información que envíe será información pública y otras pueden ser información confidencial. Si tiene un NDA existente en vigor con Microsoft, los términos de ese NDA se aplicarán a la información confidencial que envíe. Si no tiene un NDA con Microsoft, los términos de confidencialidad del Contrato de publicador que firmó en el Centro de partners se aplicarán a esa información confidencial.
¿Cómo se transfiere de forma segura documentación confidencial y pruebas como parte de la evaluación de certificación de Microsoft 365?
Actualmente, Microsoft no tiene una plataforma para compartir esta información de forma segura. La recomendación es que comparta esta información a través de los mecanismos seguros que ya haya implementado. Muchos ISV usarán OneDrive y compartirán un vínculo autenticado con el equipo de certificación de Microsoft 365.
Acabamos de implementar algunos procesos de seguridad adicionales para cumplir algunos de los controles de certificación de Microsoft 365, ¿significa esto que tenemos que esperar 12 meses antes de poder certificar?
No, Microsoft reconoce que es posible que tenga que desarrollar procesos de seguridad adicionales para salvar las brechas entre los procesos de seguridad existentes y lo que se espera de la certificación de Microsoft 365. El equipo de certificación de Microsoft 365 revisará los procesos documentados recién desarrollados y revisará las pruebas de que el proceso se ha llevado a cabo al menos una vez. Además, no se requerirán pruebas históricas, ya que no estarán disponibles para estos procesos recién desarrollados. Después de doce meses, comenzará a evaluarse una muestra de evidencia histórica durante la evaluación anual.
¿Qué soy responsable de proporcionar?
Durante la evaluación, los analistas de certificación revisarán el documento y las pruebas proporcionados para evaluar su conformidad con los controles de certificación de Microsoft 365. Como parte de este trabajo, el equipo de certificación de Microsoft 365 solicitará información que incluirá detalles de arquitectura, diagramas, detalles de almacenamiento de datos, detalles de diseño de aplicaciones, documentos de directivas y procesos, archivos de configuración y capturas de pantalla. En algunas ocasiones, o si es más fácil para usted, se puede organizar una sesión de screensharing para mostrar las pruebas de los analistas de certificación. Si se van a usar marcos de cumplimiento existentes para respaldar las actividades de evaluación, se requerirá documentación adecuada que demuestre lo que el auditor o evaluador externo ha evaluado y confirmado como en vigor. Cuando la documentación auxiliar no puede proporcionar la narrativa necesaria para demostrar exactamente cómo se han cumplido los controles dentro del marco de seguridad externo, el equipo de certificación de Microsoft 365 no podrá usar el marco de seguridad externo en apoyo de la evaluación de la certificación de Microsoft 365.
¿Será necesario que realice cambios en la infraestructura actual para lograr la certificación?
Es poco probable que se requieran cambios significativos en la infraestructura para cumplir con la certificación de Microsoft 365. Los controles se basan en los procedimientos recomendados de seguridad del sector y lo más probable es que ya se implementen. Hemos visto en la mayoría de los casos; Los ISV han tenido que actualizar los procesos internos para salvar las brechas entre las prácticas de trabajo actuales y lo que se requiere en la certificación de Microsoft 365. Si esto es un problema, Microsoft recomienda revisar los controles de certificación de Microsoft 365 más recientes que se pueden encontrar en la Guía de envíos de certificación de Microsoft 365 para asegurarse de que el entorno y las prácticas de trabajo implementados actualmente cumplen los controles definidos.
¿Microsoft tiene recomendaciones sobre componentes específicos, infraestructura o software que se deben usar para satisfacer los requisitos de certificación?
Microsoft no proporciona recomendaciones específicas sobre soluciones para cumplir los controles de certificación de Microsoft 365. Se pueden usar ofertas comerciales o código abierto, siempre que se admitan y mantengan activamente.
¿Cuánto tiempo se tarda en completar la evaluación?
Normalmente, una evaluación puede tardar un promedio de 30 días en completarse, pero esto puede depender de muchas variables. El período de tiempo que se debe completar puede variar en función del tamaño del entorno de hospedaje que se usa para admitir la aplicación o el complemento, el tipo de entorno de hospedaje que admite la aplicación o el complemento y el modo en que los ISV de aviso responden a las solicitudes de evidencia.
¿Cuánto tiempo tendré que asignar a este proceso?
La mayor parte del trabajo consiste simplemente en recopilar la documentación y la evidencia de forma oportuna. Después de lo cual no debe requerir más de unas horas a la semana completar el proceso de evaluación. Algunas variables que pueden afectar al tiempo necesario son: el tamaño del entorno tendrá un impacto en la cantidad de tiempo necesario para recopilar las pruebas solicitadas y si hay marcos de seguridad externos que se pueden aprovechar para admitir la evaluación. Cuando existen marcos de seguridad externos y se puede proporcionar documentación complementaria adecuada, los analistas de certificación pueden usar estas evaluaciones externas para satisfacer un subconjunto de controles de Microsoft 365, sin necesidad de proporcionar pruebas adicionales.
¿Por qué hay un período fijo de 60 días para la evaluación?
Hemos establecido un límite en el período de tiempo durante el que se puede llevar a cabo una evaluación, ya que las pruebas ya recopiladas pueden quedar obsoletas cuanto más tiempo tarde una evaluación. Se trata de una evaluación puntual y, por lo tanto, debe haber un período adecuado asignado para su finalización. Después de enviar el documento inicial, responderemos con una solicitud de evidencia. El período de 60 días comienza cuando recibe la solicitud de pruebas. La Guía de envíos de certificación de Microsoft 365 debe leerse y debe estar seguro de que se pueden cumplir todos los controles antes de enviar el envío de pruebas iniciales.
¿Qué ocurre si la evaluación no se completa en el plazo de 60 días?
Desafortunadamente, si la evaluación no se completa durante el período de tiempo de 60 días, Microsoft marcará un error en la evaluación. Esta marca es solo para estadísticas internas y nunca se publicará. Podrá reiniciar inmediatamente el proceso de evaluación, pero se le pedirá que vuelva a enviar nuevas pruebas para admitir la nueva aplicación.
¿Cuánto me costará la certificación de Microsoft 365?
Actualmente, es GRATIS completar la certificación de Microsoft 365.
¿Cuál es el costo de las pruebas de penetración en este programa?
Si la aplicación debe someterse a pruebas de penetración, donde esto no forma parte de las actividades de seguridad, las pruebas de penetración se pueden completar con la certificación de Microsoft 365 y es GRATIS. El ámbito de las pruebas de penetración se limita a la aplicación y a la infraestructura auxiliar que está en el ámbito de la certificación de Microsoft 365.
¿Tiene materiales de marketing que se pueden usar para anunciar el hecho de que nuestra aplicación ha sido certificada?
Al finalizar, los ISV reciben un kit de marketing digital gratuito para promocionar su aplicación como Microsoft 365 Certified.
¿Qué nivel de evidencia está buscando al realizar la evaluación?
Las pruebas proporcionadas durante la evaluación de la certificación de Microsoft 365 deben ser capaces de proporcionar la garantía suficiente de que cumple los controles de certificación específicos de Microsoft 365 que se están evaluando. La evidencia puede estar en forma de archivos de configuración, capturas de pantalla de valores o pruebas, documentación de directivas o procedimientos o sesiones de screenharing para demostrar pruebas al analista de certificación. A continuación se muestran dos ejemplos:
Actividad de evaluación: "Demostrar que el software antivirus se ejecuta en todos los componentes del sistema muestreados". – Para este control, puede proporcionar una captura de pantalla de todos los dispositivos de la muestra que admite antivirus que muestra el proceso antivirus en ejecución, o si tiene una consola de administración centralizada para antivirus, es posible que pueda demostrarlo desde esa consola de administración.
Actividad de evaluación: "Demostrar cómo se identifican las nuevas vulnerabilidades de seguridad". – Este control se encuentra en la sección Administración de revisiones. La intención es que tenga un proceso documentado formalmente para identificar nuevas vulnerabilidades de seguridad. Esto puede estar dentro del código fuente, pero también debe estar dentro del entorno de soporte técnico, por ejemplo, vulnerabilidades de Windows, vulnerabilidades dentro de dependencias web (por ejemplo, AngularJS, JQuery, etc.). Debe tener un proceso documentado que siga para identificar nuevas vulnerabilidades de seguridad, por lo que debe proporcionar el documento de proceso documentado. Además de la documentación, deberá proporcionar pruebas de que se está siguiendo el proceso; por ejemplo, si usa algo como la auditoría npm para comprobar si hay vulnerabilidades en las dependencias, el suministro de un ejemplo de informes proporcionará pruebas. Si usa varios procesos, es decir, para distintos componentes del sistema, deberá proporcionar pruebas de todos los procesos.