Contrôles de conformité et de sécurité

Cet article vous aide à comprendre comment votre organisation se conforme aux différentes exigences de conformité et normes de sécurité.

Conformité

Couverture de conformité

Microsoft Managed Desktop a obtenu les certifications de conformité suivantes :

• Normes ISO 27001 de gestion de la sécurité des informations (ISMS)
• Système de gestion des informations de confidentialité ISO 27701 (PIMS)
• Code de pratique pour les contrôles de sécurité des informations ISO 27017
• Code de pratique pour la protection des données personnelles dans le cloud ISO 27018
• Normes des systèmes de gestion de la qualité ISO 9001
• Gestion des services de technologie de l’information ISO 20000-1
• Norme ISO 22301 de gestion de la continuité des activités
• Attestation CSA (Cloud Security Alliance) STAR
• Certification Cloud Security Alliance (CSA) STAR
• Contrôles d’organisation de service (SOC) 1, 2, 3
• Programme IRAP (Information Security Registered Assessor Program)
• Norme de sécurité des données (DSS) d’industrie de carte de paiement (PCI)
• Loi américaine HIPAA (Health Insurance Portability and Accountability Act)
• Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

Rapports d’auditeurs et certificats de conformité

Vous trouverez des informations pertinentes, notamment les exigences techniques et de contrôle, dans le portail d’approbation de services (STP). Ce portail est le référentiel central d’informations sur les offres Microsoft Cloud Service. Vous pouvez télécharger les rapports d’auditeur, les certificats de conformité, etc. à partir de la section Rapports d’audit de STP.

Remarque

Étant donné que Microsoft Managed Desktop s’exécute sur Azure, les documents pertinents ont généralement des noms de fichiers tels que « Microsoft Azure, Dynamics 365 et d’autres services en ligne ». Dans ces documents, vous pouvez généralement trouver Microsoft Managed Desktop sous la catégorie « Microsoft Online Services » ou « Surveillance + Gestion ».

Contrôles de sécurité

Contrôle de l’appareil

Tous les employés de Microsoft Managed Desktop utilisent des appareils approuvés pour gérer le service et accéder aux locataires gérés. Ces appareils sont dédiés aux opérations de production et nécessitent une authentification multifacteur, ont leur propre identité spécialisée, leur propre surveillance et leur propre renforcement. En outre, ces appareils à usage spécial ont des contrôles pour empêcher les appareils d’être partagés par les ingénieurs.

contrôle Personnes

Microsoft Managed Desktop gère et met à jour un enregistrement de l’accès du personnel autorisé aux systèmes Microsoft contenant des données client. Tous les ingénieurs de service doivent se conformer aux stratégies et pratiques de sécurité standard de Microsoft. Il s’agit notamment d’une formation régulière obligatoire (sécurité, identité, confidentialité et conformité) et de vérifications périodiques d’arrière-plan et de sécurité.

Les ingénieurs ne conservent pas l’accès continu aux systèmes de production ou aux données client. Tout accès est limité dans le temps et doit être renouvelé par la personne, avec un examen et une approbation obligatoires de la direction. Tous les droits sont soumis à une révision d’accès trimestrielle.

Microsoft Managed Desktop a des processus avec les propriétaires attribués que nous utilisons pour accorder, modifier et annuler l’autorisation d’accès aux données et aux ressources. Par exemple, si un membre du personnel microsoft Managed Desktop quitte l’équipe, ses informations d’identification sont révoquées en temps voulu.

L’accès à l’un des comptes de service interactifs est limité au contexte d’une demande de support et est limité aux ingénieurs de service utilisant ces appareils. Les demandes et l’utilisation de ces comptes peuvent provenir uniquement d’une station de travail d’accès sécurisé Microsoft.

Contrôle de gestion des accès privilégiés

Lors de la gestion d’une demande de support, il est possible que les ingénieurs de service devront accéder à votre locataire. Pour ce faire, l’accès à un rôle d’annuaire spécifique doit être demandé. S’il est approuvé, un compte invité se voit accorder ces autorisations pendant un maximum de huit heures. Cette approche permet d’associer des utilisateurs spécifiques à toutes les actions effectuées au sein d’un locataire.

Contrôle de compte de service

Toutes les informations d’identification du compte de service Microsoft Managed Desktop sont stockées dans un Key Vault Azure sécurisé. Les informations d’identification sont générées de manière aléatoire et pivotent tous les 13 jours, ou 30 minutes si elles sont utilisées pendant la période intermédiaire. Vous pouvez demander le journal d’audit via Microsoft Managed Desktop. Toutes les utilisations « juste-à-temps » sont auditées et le journal d’audit contient les détails des demandes de service effectuées par l’équipe Microsoft Managed Desktop Service Engineering et est stocké pendant 365 jours dans Azure.

Pour plus d’informations, consultez le document Microsoft Managed Desktop – Stockage, utilisation et pratiques de sécurité des données dans le Portail d’approbation de services (STP).