Introducción a la guía de pruebas de ejemplo de certificación de Microsoft 365

Esta guía de pruebas de ejemplo ayuda a los ISV a generar las pruebas correctas necesarias para completar la certificación de Microsoft 365. Este documento incluye la intención de cada control y todas las subpartes de un control, posibles formas en las que se podrían recopilar pruebas para los controles con documentos de evidencia de ejemplo, directivas y capturas de pantalla. Además, esta guía proporciona asistencia sobre cómo estructurar las pruebas enviadas.

Los ejemplos compartidos en este documento no representan la única evidencia que se puede usar para demostrar que se cumplen los controles. Estas son directrices para el tipo de evidencia que puede ayudar a los analistas de certificación a decidir si el ISV ha cumplido el control.

Nota: Las interfaces, capturas de pantalla y documentación reales que se usan para satisfacer los requisitos de certificación variarán en función del uso del producto, la configuración del sistema y los procesos internos. Tenga en cuenta que cuando se requiere documentación de directivas o procedimientos, el ISV debe enviar versiones completas de los documentos reales y no capturas de pantalla como se muestra en algunos de los ejemplos.

Las capturas de pantalla que se van a enviar deben ser capturas de pantalla completa con cualquier dirección URL, usuario que haya iniciado sesión (asegúrese de que el nombre del usuario que ha iniciado sesión esté visible en la captura de pantalla) con la marca de fecha y hora incluida. En el caso de los sistemas basados en Linux, incluya esta información con o en la evidencia de control mediante el símbolo del sistema para generarla.

Todas las pruebas cuando se envían deben tener menos de 3 meses de antigüedad para asegurarse de que, en el momento en que complete la certificación, las pruebas seguirán siendo pertinentes y no obsoletas. Si esto no se sigue, es posible que se le pida que recopile nuevas pruebas.

Tenga en cuenta también que no se puede usar ninguna API beta para los fines de esta certificación o cualquier ejemplo usado dentro de este proceso.

Se recomienda seguir estas directrices para evitar que la evaluación se retrase debido a pruebas insuficientes.

Nota:

Si inició la certificación de Microsoft 365 antes del 12 de diciembre de 2023, consulte la guía de pruebas de ejemplo heredada.

Estructura de certificación de Microsoft 365

La certificación se ha estructurado en torno a tres dominios de seguridad:

• Seguridad de la aplicación (incluidas las comprobaciones de conectividad cuando sea necesario)

• Seguridad operativa

• Seguridad y privacidad de datos

Se requiere una prueba de penetración para la certificación y se revisará en el dominio de seguridad de la aplicación. Consulte las secciones 3 y 4 de la estructura de envío de pruebas para obtener más información.

Los dominios de seguridad se dividen en grupos de control para ayudar a los ISV a comprender la estructura de las tareas y a dividir la colección de evidencias en pequeñas partes administrables. Estos grupos de control se han alineado con las estructuras comunes de recursos empresariales para ayudar a identificar los equipos internos para obtener soporte técnico, a la vez que permiten que los equipos trabajen en paralelo para acelerar el proceso de recopilación de pruebas.

Control(s): Descripción de la actividad de evaluación: estos controles y el número asociado (No) se toman directamente de la lista de comprobación de certificación de Microsoft 365.

Intención: la intención de por qué se incluye el control de seguridad dentro del programa y el riesgo específico que se pretende mitigar. La esperanza es que esta información proporcione a los ISV el razonamiento detrás del control para comprender mejor los tipos de pruebas que se deben recopilar y a qué ISV debe prestar atención y tener conocimiento y comprensión en la elaboración de sus pruebas.

Directrices de evidencia de ejemplo: se proporcionan para ayudar a guiar las tareas de recopilación de pruebas en la certificación de Microsoft 365. Esto permite a los ISV ver claramente ejemplos del tipo de evidencia que puede usar el analista de certificación que lo usará para tomar una determinación segura de que un control está en su lugar y se mantiene; no es de ninguna manera exhaustiva en la naturaleza.

Evidencia de ejemplo: en esta sección se proporcionan capturas de pantalla de ejemplo e imágenes de posibles evidencias capturadas en cada uno de los controles dentro de la certificación de Microsoft 365, específicamente para los dominios de seguridad operativa y seguridad de datos y privacidad. Tenga en cuenta que cualquier información con flechas rojas y cuadros dentro de los ejemplos es para ayudar a comprender aún más los requisitos necesarios para cumplir con cualquier control.

Estructura de envío de pruebas

El envío de pruebas contra todos los controles aplicables se realizará a través del Centro de partners, excepto para las evaluaciones en apoyo de las certificaciones de registro de cumplimiento de Microsoft y centro de contacto. Normalmente, estos tendrán que pasar por un proceso manual, omita esta sección y vea la sección siguiente sobre cómo completar la certificación si está registrando el cumplimiento & centro de contactos.

Para garantizar que los analistas de certificación puedan identificar fácilmente la evidencia proporcionada y revisarla correctamente, siga estas recomendaciones:

1. Para cada una de las secciones, asegúrese de que las pruebas se etiqueten claramente antes de su envío. Si hay más de un elemento de evidencia por control, por favor coloque la evidencia en un único archivo word/pdf, incluyendo un comentario de lo que la evidencia está mostrando. Si la evidencia consta de varios documentos word/pdf, es decir, documentación complementaria, cárguelos como archivos individuales. Por favor, no los coloque en un archivo ZIP para cargarlos en el Centro de partners, ya que no aceptamos archivos ZIP debido al riesgo de malware.

2. Toda la información del marco externo debe proporcionarse en su totalidad sin censuras (solo permitiremos que el nombre parcial de las personas se redacte de estos informes, ya que esto se incluiría en Información de identificación personal (PII)): todas las partes de los informes deben incluirse, por ejemplo, declaración de aplicabilidad ISO 27001 (SOA) y certificado, informe completo soc 2 tipo 2 o atestación completa de cumplimiento (AOC) PCI-DSS. Todos los documentos están cubiertos por el contrato del Centro de partners de Microsoft en virtud de la cláusula 7.

La sección 7(a) incluye el siguiente NDA:

3. Se debe enviar un informe completo de pruebas de penetración sin aplicar a través del Centro de partners cuando se solicite: TENGA en cuenta que si no se proporciona esto, los analistas de certificación no podrán completar la auditoría de la certificación de Microsoft 365.

4. Prueba de penetración de aplicaciones web e infraestructura interna y externa: se requiere un informe de prueba de penetración para todos los entornos de hospedaje.

   • Para infraestructura como servicio (IaaS) o ISV hospedado (local, centro de datos privado) se requiere una prueba interna y externa de la infraestructura y la aplicación web.

   • Para Plataforma como servicio "PaaS/Sin servidor", la prueba del lápiz debe ser de la aplicación web y de la infraestructura auxiliar subyacente.

Nota: Pruebas de penetración gratuitas: la prueba gratuita de lápiz de Microsoft solo está limitada a doce días. Si cuando limitamos el ámbito de la prueba de lápiz, la aplicación requiere más de 12 días de pruebas, se le pedirá que pague los días adicionales, además, si necesita pruebas de lápiz fuera de horas, esto también incurrirá en costos adicionales. El servicio de prueba de lápiz proporcionado también se limita a una prueba de lápiz (incluida una nueva prueba) al año, por ejemplo, si la prueba de penetración se realizó el 1 de septiembre de 2022, no podrá obtener otra hasta el 31 de agosto de 2023.

Esto es aplicable a todos los intentos de envío, lo que significa que esto se aplica a su ciclo de envío actual, así como si decide cerrar el envío actual y reiniciar el proceso más adelante en el mismo año, no tendrá derecho a una prueba de lápiz adicional, ya que ya se le había realizado.

5. Todos los ISV deben completar su envío inicial de documentos en un plazo de 14 días (esto incluye cualquier retroceso y reenvío con el analista) después de recibir el correo electrónico de inicio de la incidencia del equipo de administración de Microsoft. El plazo de 14 días es para completar, revisar y mover el envío a la fase de pruebas completa. Los ISV deben comprobar periódicamente si su analista ha requerido alguna modificación o ha solicitado información o documentos adicionales. Durante el período de 14 días, los ISV pueden enviar la información necesaria tantas veces como sea necesario, sin embargo, tenga en cuenta que si el envío no se está trabajando activamente, se considerará obsoleto y cerrado en el Centro de partners y deberá reiniciarse la certificación. En determinadas circunstancias, un ISV puede proporcionarse hasta 30 días para su finalización. Si un ISV no puede completar el envío inicial de documentos dentro del período de tiempo especificado, su envío se cerrará.

Además, todos los ISV deben completar su certificación en un plazo de 60 días a partir de que su envío se traslade de la fase de envío de documentos inicial a la fase de recopilación completa de pruebas. Esto incluye las revisiones y comentarios proporcionados por el evaluador o auditor a lo largo del proceso. El período de tiempo de 60 días es para la finalización completa, revisión y control de calidad final de las pruebas, lo que significa que los ISV deben enviar sus pruebas al menos dos semanas antes de la fecha de finalización para asegurarse de que la certificación se completa a tiempo. Durante el período de 60 días, los ISV pueden enviar pruebas al Centro de partners tantas veces como sea necesario. Sin embargo, tenga en cuenta que el envío final como se indica es al menos dos semanas antes de la fecha de finalización para dar a los analistas de certificación tiempo para revisar y qa el envío. Una vez transcurridos los 60 días, los ISV deberán iniciar el proceso de nuevo.

Si surgen problemas durante el proceso de certificación, el analista de certificación puede conceder una posible extensión para problemas válidos. Un analista puede conceder a su discreción una extensión de tiempo hasta un máximo de 30 días adicionales si se ve que los ISV están trabajando activamente en su envío. Tenga en cuenta que si se le da una extensión de 0 a 30 días, el ISV deberá asegurarse de que la evidencia esté disponible para su revisión dos semanas antes de la fecha de finalización de la extensión.

Si se le concede una extensión, pero la evidencia tiene más de 3 meses de antigüedad, podría fallar el control de calidad, ya que esa evidencia podría considerarse obsoleta debido al período de tiempo transcurrido entre el momento en que se proporcionó y el control final de calidad, lo que significará que se requerirán nuevas pruebas para esos controles. Una vez transcurrido el tiempo de extensión, no habrá más extensiones y se espera que el ISV envíe sus pruebas (al menos dos semanas antes del final de la extensión), si no se envía el envío se considerará erróneo y se cerrará. Si no se ha iniciado ningún trabajo activo en el envío en ningún momento durante los 60 días iniciales o durante el tiempo de extensión (hasta 30 días), el envío se clasificará como abandonado y se cerrará.

Si el envío se ha clasificado como abandonado, el ISV deberá reiniciar el proceso con una nueva atestación y pruebas nuevas, ya que las pruebas actuales se considerarán obsoletas. Tenga en cuenta que los ISV solo pueden enviar un envío en un año. Si por algún motivo un ISV abandona el proceso una vez que se encuentra en la fase de recopilación de pruebas completa y su envío se ha marcado como abandonado, no podrá reiniciar el proceso hasta el año siguiente.

Estructura de envío manual de pruebas: registro de cumplimiento & centro de contactos

Para ayudar a garantizar que los analistas de certificación puedan identificar fácilmente la evidencia proporcionada y revisarla correctamente, siga estas recomendaciones para la estructura de envío de pruebas si se envía manualmente por solicitud del equipo de certificación.

1. Cree un único documento, que se puede revisar fácilmente (es decir, en Word o PDF), para cada grupo de control de seguridad (por ejemplo, antivirus, administración de revisiones, etc.).

2. Asigne un nombre al documento único después del grupo de control de seguridad para que se aclare lo que contiene el documento.

3. Agréguele los artefactos de evidencia, haga referencia a la documentación auxiliar de su organización que admita el grupo de control y cualquier otra nota adicional para el analista de certificación que explique cuál es el artefacto y cómo cumple esta evidencia con el control (ayudará a los analistas de certificación si asigna a las imágenes el nombre con sus números de control, es decir, Control de privacidad y seguridad de datos No.1).

Nota: Recuerde que, cuando se usa el muestreo, los artefactos deben tomarse de cada dispositivo del conjunto de ejemplo, asegúrese de que el artefacto también muestre el nombre del sistema para validar que el artefacto procede del dispositivo que se está evaluando y de que no hay datos ocultos ni censurados.

4. Toda la información del marco externo debe proporcionarse en su totalidad sin censuras (solo permitiremos que el nombre de las personas se redacte de estos informes, ya que estos están incluidos en PII): todas las partes de los informes deben incluirse, por ejemplo, la declaración de aplicabilidad ISO 27001 (SOA) y el certificado, el informe SOC 2 tipo 2 completo o la atestación completa de cumplimiento pci-DSS (AOC) informe HIPAA completo o FedRAMP. Todos los documentos están cubiertos por el contrato del Centro de partners de Microsoft en la sección 7.

La sección 7(a) incluye el siguiente NDA:

5. Se debe enviar al analista de certificación un informe completo de pruebas de penetración sin aplicar cuando se le solicite: TENGA en cuenta que si no se proporciona esto, el analista de certificación no podrá completar la certificación de Microsoft 365.

6. Infraestructura interna y externa y aplicación web: se requiere un informe de prueba de penetración para todos los entornos de hospedaje.

   • Para infraestructura como servicio (IaaS) o ISV hospedado (local, centro de datos privado) se requiere una prueba interna y externa de la infraestructura y la aplicación web.

   • Para Plataforma como servicio "PaaS/Sin servidor", la prueba del lápiz debe ser de la aplicación web y de la infraestructura auxiliar subyacente.

Pruebas de penetración gratuitas: tenga en cuenta que la prueba gratuita de lápiz de Microsoft solo está limitada a doce días. Si una aplicación requiere más de 12 días de pruebas, se le pedirá al ISV que pague los días adicionales. Además, si el ISV requiere pruebas de lápiz fuera del horario comercial normal en función de la ubicación del auditor, esto también incurrirá en costos adicionales. El servicio de prueba de lápiz proporcionado está limitado a una prueba de lápiz gratuita (incluida una nueva prueba) por año por intento de envío.

7. Todos los ISV deben completar su envío inicial de documentos en un plazo de 14 días (esto incluye cualquier retroceso y reenvío con el analista) después de recibir el correo electrónico de inicio de la incidencia del equipo de administración de Microsoft. El plazo de 14 días es para completar, revisar y mover el envío a la fase de pruebas completa. Los ISV deben comprobar periódicamente si su analista ha requerido alguna modificación o ha solicitado información o documentos adicionales. Durante el período de 14 días, los ISV pueden enviar la información necesaria tantas veces como sea necesario, sin embargo, tenga en cuenta que si el envío no se está trabajando activamente, se considerará obsoleto y cerrado en el Centro de partners y deberá reiniciarse la certificación. En determinadas circunstancias, un ISV puede proporcionarse hasta 30 días para su finalización. Si un ISV no puede completar el envío inicial de documentos dentro del período de tiempo especificado, su envío se cerrará.

Además, todos los ISV deben completar su certificación en un plazo de 60 días a partir de que su envío se traslade de la fase de envío de documentos inicial a la fase de recopilación completa de pruebas. Esto incluye las revisiones y comentarios proporcionados por el evaluador o auditor a lo largo del proceso. El período de tiempo de 60 días es para la finalización completa, revisión y control de calidad final de las pruebas, lo que significa que los ISV deben enviar sus pruebas al menos dos semanas antes de la fecha de finalización para asegurarse de que la certificación se completa a tiempo. Durante el período de 60 días, los ISV pueden enviar pruebas al Centro de partners tantas veces como sea necesario. Sin embargo, tenga en cuenta que el envío final como se indica es al menos dos semanas antes de la fecha de finalización para dar a los analistas de certificación tiempo para revisar y qa el envío. Una vez transcurridos los 60 días, los ISV deberán iniciar el proceso de nuevo.

Si surgen problemas durante el proceso de certificación, el analista de certificación puede conceder una posible extensión para problemas válidos. Un analista puede conceder a su discreción una extensión de tiempo hasta un máximo de 30 días adicionales si se ve que los ISV están trabajando activamente en su envío. Tenga en cuenta que si se le da una extensión de 0 a 30 días, el ISV deberá asegurarse de que la evidencia esté disponible para su revisión dos semanas antes de la fecha de finalización de la extensión.

Si se le concede una extensión, pero la evidencia tiene más de 3 meses de antigüedad, podría fallar el control de calidad, ya que esa evidencia podría considerarse obsoleta debido al período de tiempo transcurrido entre el momento en que se proporcionó y el control final de calidad, lo que significará que se requerirán nuevas pruebas para esos controles. Una vez transcurrido el tiempo de extensión, no habrá más extensiones y se espera que el ISV envíe sus pruebas (al menos dos semanas antes del final de la extensión), si no se envía el envío se considerará erróneo y se cerrará. Si no se ha iniciado ningún trabajo activo en el envío en ningún momento durante los 60 días iniciales o durante el tiempo de extensión (hasta 30 días), el envío se clasificará como abandonado y se cerrará.

Si el envío se ha clasificado como abandonado, el ISV deberá reiniciar el proceso con una nueva atestación y pruebas nuevas, ya que las pruebas actuales se considerarán obsoletas. Tenga en cuenta que los ISV solo pueden enviar un envío en un año. Si por algún motivo un ISV abandona el proceso una vez que se encuentra en la fase de recopilación de pruebas completa y su envío se ha marcado como abandonado, no podrá reiniciar el proceso hasta el año siguiente.

Creación de la estructura de carpetas para la grabación de cumplimiento & centro de contactos

Siga estas instrucciones para crear la estructura de carpetas necesaria para que el analista revise las pruebas proporcionadas.

1. Complete el envío inicial del documento para que los controles se puedan limitar. Proporcione tantos detalles como sea posible y que el diagrama de arquitectura y el diagrama de flujo de datos también tengan el mismo nivel de detalle.

2. Cree una carpeta interna o en línea y agréguele todos los documentos.

   • Etiquetar la carpeta compartida real Microsoft Certification

   • Agregue la información de envío de documentos iniciales a la carpeta Microsoft Certification en una carpeta denominada IDS.

   • Dentro de la carpeta Certification cree cuatro carpetas con los nombres siguientes:

     • Seguridad de la aplicación (esto es para la información de prueba del lápiz)

     • Cumplimiento (para marcos externos como SOC 2)

     • Seguridad operativa (SO)

     • Privacidad de & de seguridad de datos (DS&P)

   • Dentro de las carpetas del sistema operativo y DS&P, cree grupos de control para cada conjunto de controles, es decir, malware, aplicación de revisiones, etc., donde puede agregar documentos para cada uno de los controles (si desea ser específico, puede crear una carpeta para cada control individual, lo que facilita el seguimiento de la evidencia por el nombre del control; en este caso, llame a estas carpetas Control X donde X representa el número de control). Tenga en cuenta que no podrá crear la estructura de carpetas secundaria hasta que se haya limitado el ámbito de los controles.

Ejemplo de una estructura de carpetas Carpetas raíz:

Subcarpetas dentro de la carpeta "Evidence":

3. Después de cargar documentos en el recurso compartido, conceda permiso a la carpeta compartida y envíe un correo electrónico al analista de certificación con los detalles. Envíe las contraseñas en un correo electrónico independiente.

4. Al intercalar pruebas, recuerde tomar capturas de pantalla completa que muestren cualquier marca de fecha y hora, dirección URL y usuario que haya iniciado sesión. Si usa Linux, puede realizarse desde el símbolo del sistema. Proporcione cualquier explicación cuando sea necesario para cada control y recuerde que para las directivas se requiere una copia completa de la directiva y no fragmentos de código o capturas de pantalla.

5. Haga referencia a este documento para ayudar a comprender el control y el tipo de evidencia que necesitamos.

6. Cualquier prueba de lápiz que pueda ser necesaria no se programará y no recibirá documentación para comenzar el proceso hasta que haya aprobado el 50 % de los controles. La prueba del lápiz solo será gratuita durante 12 días, pero si la prueba del lápiz se ejecuta durante 12 días, tendrá que pagar los días adicionales por adelantado antes de que comience la prueba.

7. Una vez que reciba una copia de los controles con ámbito para recopilar pruebas sobre los controles, se iniciará el ticker: recibirá un correo electrónico en ese sentido y tendrá 60 días para completar todo el proceso de certificación, incluida la prueba del lápiz.

8. Intente enviar la primera iteración de los controles en un plazo de 30 días para permitir que se identifiquen los problemas y se soliciten revisiones antes de que se agoten los 60 días.

Más información

• Seguridad de la aplicación (incluidas las comprobaciones de conectividad cuando sea necesario)
• Evidencia de ejemplo: seguridad operativa
• Evidencia de ejemplo: seguridad y privacidad de los datos