Contrôles système et d’organisation (SOC) 3
Vue d’ensemble de SOC 3
Les contrôles système et d’organisation (SOC) pour les organisations de services sont des rapports de contrôle interne créés par l’American Institute of Certified Public Accountants ( AICPA). Ils sont destinés à examiner les services fournis par un service organization afin que les utilisateurs finaux puissent évaluer et traiter les risques associés à un service externalisé.
SOC 3 for Service Organizations : Trust Services Criteria for General Use Report est un résumé court et accessible au public du rapport d’attestation SOC 2 Type 2 pour les utilisateurs qui ont besoin d’assurance sur les contrôles du service organization, mais qui n’ont pas besoin d’un rapport SOC 2 complet ou qui ne sont pas éligibles sous SOC 2 pour en recevoir un. Étant donné que les rapports SOC 3 sont des rapports d’utilisation générale, ils peuvent être distribués librement.
Un rapport SOC 3 contient une assertion écrite par la direction des organization de service concernant l’efficacité du contrôle pour atteindre les engagements en fonction des critères applicables des services de confiance, et l’opinion de l’auditeur de service sur la question de savoir si l’assertion de la direction est exprimée équitablement.
Plateformes cloud et services Microsoft dans l’étendue
Les services Microsoft dans l’étendue sont affichés dans le rapport d’attestation Azure SOC 2 Type 2.
- Azure (pour obtenir des informations détaillées, consultez le rapport d’attestation Offres de conformité Microsoft Azure ou Azure SOC 2 De type 2)
- Dynamics 365 (pour obtenir des informations détaillées, consultez le rapport d’attestation de type 2 d’Azure SOC 2)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour l’identité
- Microsoft Forms Pro
- Microsoft Intune
- Bureau géré Microsoft
- Microsoft Stream
- Spécialistes des menaces Microsoft
- Portail des nominations
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government - Haut, Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Conformité des mises à niveau
Azure, Dynamics 365 et SOC 3
Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services de conformité en ligne, consultez l’offre Azure SOC 3.
Office 365 et SOC 3
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Gestionnaire de conformité, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, MyAnalytics, Office 365 Portail client, Office 365 Microservices (y compris, mais sans s’y limiter, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Service d’annotation de requête, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office Online, Office Services Infrastructure, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, Project Online, Chiffrement de service avec la clé client Microsoft Purview, SharePoint Online, Skype Entreprise |
| GCC | ID Microsoft Entra, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream |
| GCC High | ID Microsoft Entra, Exchange Online, Flow, Microsoft Defender pour Office 365, Microsoft Teams, module complémentaire Conformité avancée Office 365, Office 365 Sécurité & Conformité Centre, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise |
| DOD | ID Microsoft Entra, Exchange Online, Microsoft Defender pour Office 365, Microsoft Teams, module complémentaire Conformité avancée Office 365, centre de conformité Office 365 sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power Automate, Power BI, SharePoint Online, Skype Entreprise |
Rapports d’audit Office 365
Vous devez disposer d’un abonnement ou d’un compte d’essai gratuit dans Office 365 ou Office 365 U.S. Government pour télécharger les rapports d’attestation SOC 1 et SOC 2 et les lettres de pont si nécessaire.
Questions fréquemment posées
À quelle fréquence les rapports SOC Office 365 sont-ils émis ?
Microsoft commande chaque année un examen soc 1 type 2 complet et SOC 2 type 2 de Office 365. Les rapports de l’auditeur sur ces examens (également appelés audits) sont émis dès qu’ils sont prêts après cet audit. Le rapport SOC 3, basé sur l’examen SOC 2, est publié en même temps.
Étant donné que Microsoft ne contrôle pas l’étendue de l’enquête de l’examen ni le délai d’achèvement de l’audit, il n’existe aucun délai défini pour la publication de ces rapports. Les rapports sont généralement publiés quelques mois après la fin de la période à l’examen. Microsoft n’autorise aucun écart dans les périodes consécutives d’examen d’un examen à l’autre.
Microsoft commande également un examen SOC 1 Type 1 et SOC 2 Type 1 mi-année de Office 365 pour les nouveaux services Microsoft qui ont été émis depuis le dernier audit SOC Type 2. Les audits de type 1 ne regardent pas en arrière sur une période de performances.
En raison de la nature sophistiquée de Office 365, l’étendue du service est grande si elle est examinée dans son ensemble. Cela peut entraîner des retards d’achèvement de l’examen en raison de l’échelle. Microsoft organise tous les examens décrits ci-dessus en 2 catégories : Services de base et Microservices. Microsoft émet des rapports limités à chaque examen.
Les audits soc de type 2 examinent une fenêtre d’exécution de 12 mois (également appelée période d’audit ou période de rendement plus formelle) avec des examens effectués annuellement pour la période du 1er octobre au 30 septembre de l’année civile suivante. L’examen commence rapidement une fois la période de performance terminée.
Microsoft émet également des lettres de pont (également appelées lettres d’écart). Il s’agit d’auto-attestations par Microsoft, et non de rapports basés sur des examens effectués par l’auditeur. Des lettres de pont sont émises pendant la période de rendement actuelle, qui n’est pas encore terminée et qui n’est pas encore prête pour l’examen de l’audit. Microsoft émet des lettres de pont à la fin de chaque trimestre pour attester de nos performances au cours de la période de trois mois précédente. En raison de la période de performance des audits soc de type 2, les lettres de pont sont généralement émises en décembre, mars, juin et septembre de la période d’exploitation actuelle.
Où puis-je obtenir la documentation d’audit soc Office 365, y compris les lettres de pont de Microsoft ?
Pour obtenir des liens vers la documentation d’audit, consultez la section rapport d’audit du portail d’approbation de services. Vous devez disposer d’un abonnement ou d’un compte d’essai gratuit existant dans Office 365 ou Office 365 U.S. Government pour vous connecter. Vous pouvez ensuite télécharger des certificats d’audit, des rapports d’évaluation et d’autres documents applicables pour vous aider à respecter vos propres exigences réglementaires.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
- Rapports d’audit du portail d’approbation de services
- SOC AICPA pour les organisations de service
- SSAE n° 18, Normes d’attestation : Clarification et recodification (normes professionnelles AICPA)
- Rapport SOC 2 sur l’examen des contrôles au sein d’une organisation de service relative à la sécurité, à la disponibilité, à l’intégrité du traitement, à la confidentialité ou à la vie privée (Guide AICPA) (disponible à l’achat)
- TSP section 100 (AICPA, 2017 Trust Services Criteria)
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour