Contrôles système et d’organisation (SOC) 1 Type 2
Vue d’ensemble de SOC 1 Type 2
Les contrôles système et d’organisation (SOC) pour les organisations de services sont des rapports de contrôle interne créés par l’American Institute of Certified Public Accountants ( AICPA). Ils sont destinés à examiner les services fournis par un service organization afin que les utilisateurs finaux puissent évaluer et traiter les risques associés à un service externalisé.
Une attestation SOC 1 de type 2 est effectuée sous :
- SSAE n° 18, Normes d’attestation : clarification et recodification, qui comprend l’article 320 de l’AT-C, Rapport sur un examen des contrôles dans une organisation de services pertinent pour le contrôle interne des entités utilisateur sur les rapports financiers (AICPA, Normes professionnelles).
- Rapport SOC 1 sur l’examen des contrôles au sein d’une organisation de service pertinente pour le contrôle interne des entités utilisateur sur les rapports financiers (Guide AICPA).
En plus de la déclaration de l’AICPA sur les normes pour les engagements d’attestation 18 (SSAE 18), l’audit Office 365 SOC 1 type 2 est effectué conformément à la Norme internationale sur les engagements d’assurance n° 3402 (ISAE 3402). L’attestation SOC 1 a remplacé SAS 70, et elle est appropriée pour la création de rapports sur les contrôles d’un service organization pertinents pour les contrôles internes des entités utilisateur sur les rapports financiers. Un rapport de Type 2 inclut l’avis de l’auditeur sur l’efficacité du contrôle pour atteindre les objectifs de contrôle associés pendant la période de surveillance spécifiée.
Plateformes cloud et services Microsoft dans l’étendue
Les services en ligne Microsoft concernés sont indiqués dans le rapport d'attestation Azure SOC 1 Type 2 :
- Azure (pour obtenir des informations détaillées, consultez Offres de conformité Microsoft Azure)
- Azure DevOps (consultez le rapport d’attestation Soc 1 Type 2 d’Azure DevOps distinct)
- Dynamics 365 (pour obtenir des informations détaillées, consultez rapport d’attestation Azure SOC 1 Type 2)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour l’identité
- Microsoft Forms Pro
- Microsoft Intune
- Bureau géré Microsoft
- Microsoft Stream
- Spécialistes des menaces Microsoft
- Portail des nominations
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government - Haut, Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Conformité des mises à niveau
Azure, Dynamics 365 et SOC 1
Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services de conformité en ligne, consultez l’offre Azure SOC 1.
Office 365 et SOC 1
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Gestionnaire de conformité, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, MyAnalytics, Office 365 Portail client, Office 365 Microservices (y compris, mais sans s’y limiter, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Service d’annotation de requête, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office Online, Office Services Infrastructure, OneDrive Entreprise, Planificateur, PowerApps, Power BI, Project Online, Chiffrement de service avec la clé client Microsoft Purview, SharePoint Online, Skype Entreprise |
GCC | Microsoft Entra ID, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream |
GCC High | Microsoft Entra ID, Exchange Online, Formulaires, Microsoft Defender pour Office 365, Microsoft Teams, module complémentaire Conformité avancée Office 365, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise |
DOD | Microsoft Entra ID, Exchange Online, Formulaires, Microsoft Defender pour Office 365, Microsoft Teams, module complémentaire Conformité avancée Office 365, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise |
Rapports d'activité Office 365
- Office 365 Core : rapport SSAE 18 SOC 1
- Voir les lettres de pont et les rapports d’audit supplémentaires
Vous devez disposer d’un abonnement ou d’un compte d’essai gratuit dans Office 365 ou Office 365 U.S. Government pour télécharger les rapports d’attestation SOC 1 et SOC 2 et les lettres de pont si nécessaire.
Questions fréquemment posées
À quelle fréquence les rapports SOC Office 365 sont-ils émis ?
Microsoft commande chaque année un examen soc 1 type 2 complet et SOC 2 type 2 de Office 365. Les rapports de l’auditeur sur ces examens (également appelés audits) sont émis dès qu’ils sont prêts après cette vérification. Le rapport SOC 3, basé sur l’examen SOC 2, est publié en même temps.
Étant donné que Microsoft ne contrôle pas l’étendue de l’enquête de l’examen ni le délai d’achèvement de l’audit, il n’existe aucun délai défini pour la publication de ces rapports. Les rapports sont généralement publiés quelques mois après la fin de la période à l’examen. Microsoft n’autorise aucun écart dans les périodes consécutives d’examen d’un examen à l’autre.
Microsoft commande également un examen SOC 1 Type 1 et SOC 2 Type 1 mi-année de Office 365 pour les nouveaux services Microsoft qui ont été émis depuis le dernier audit SOC Type 2. Les audits de type 1 ne regardent pas en arrière sur une période de performances.
En raison de la nature sophistiquée de Office 365, l’étendue du service est grande si elle est examinée dans son ensemble. Cela peut entraîner des retards d’achèvement de l’examen en raison de l’échelle. Microsoft organise tous les examens décrits précédemment en 2 catégories : Core Services et Microservices. Microsoft émet un rapport limité à chaque examen.
Les audits soc de type 2 examinent une fenêtre d’exécution de 12 mois (également appelée période d’audit ou période de performance plus formelle) avec des examens effectués annuellement pour la période du 1er octobre au 30 septembre de l’année civile suivante. L’examen commence rapidement une fois la période de performance terminée.
Microsoft émet également des lettres de pont (également appelées lettres d’écart). Il s’agit d’auto-attestations par Microsoft, et non de rapports basés sur des examens effectués par l’auditeur. Des lettres de pont sont émises pendant la période de rendement actuelle, qui n’est pas encore terminée et qui n’est pas encore prête pour l’examen de l’audit. Microsoft émet des lettres de pont à la fin de chaque trimestre pour attester de nos performances au cours de la période de trois mois précédente. En raison de la période de performance des audits soc de type 2, les lettres de pont sont généralement émises en décembre, mars, juin et septembre de la période d’exploitation actuelle.
Comment les clients peuvent-ils bénéficier de l’attestation office 365 SOC 1 de Type 2 ?
Les clients peuvent utiliser l’attestation Office 365 SOC 1 de Type 2 pour répondre à leurs propres exigences de conformité propres au secteur financier, telles que Sarbanes-Oxley (SOX), Federal Financial Institutions Examination Council (FFIEC), Gramm-Leach-Bliley Act (GLBA), etc.
Où puis-je obtenir la documentation d’audit soc Office 365, y compris les lettres de pont de Microsoft ?
Pour obtenir des liens vers la documentation d’audit, consultez la section rapport d’audit du portail d’approbation de services. Vous devez disposer d’un abonnement ou d’un compte d’essai gratuit existant dans Office 365 ou Office 365 gouvernement des États-Unis pour vous connecter. Vous pouvez ensuite télécharger des certificats d’audit, des rapports d’évaluation et d’autres documents applicables pour vous aider à respecter vos propres exigences réglementaires.
Où puis-je voir les réponses de gestion aux exceptions notées ?
La plupart des examens comportent des observations sur un ou plusieurs contrôles spécifiques examinés. Il faut s’attendre à un certain nombre d’observations. Les réponses de la direction à toutes les exceptions se trouvent vers la fin du rapport d’attestation SOC. Recherchez « Réponse de gestion » dans le document.
Où puis-je voir les responsabilités des entités utilisateur ?
Les responsabilités de l’entité utilisateur sont vos responsabilités de contrôle nécessaires si le système dans son ensemble doit respecter les normes de contrôle SOC 2. Ceux-ci se trouvent à la toute fin du rapport d’attestation SOC. Recherchez « Responsabilités de l’entité utilisateur » dans le document.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
- Rapports d’audit du portail d’approbation de services
- SSAE n° 18, Normes d’attestation : Clarification et recodification
- Rapport SOC 1 sur l’examen des contrôles au sein d’une organisation de service pertinente pour le contrôle interne des entités utilisateur sur les rapports financiers (Guide AICPA)(disponible à la vente).