Condividi tramite


Standard Multi-Tier Cloud Security (MTCS) per Singapore

Panoramica sul MTCS

Lo standard Multi-Tier Cloud Security (MTCS) per Singapore è stato preparato sotto la direzione dell'Information Technology Standards Committee (ITSC) dell'Infocomm Development Authority of Singapore (IDA). ITSC promuove e facilita i programmi nazionali per la standardizzazione di IT e comunicazione e per la partecipazione di Singapore nelle attività di standardizzazione internazionali.

Lo scopo di MTCS è fornire:

  • Uno standard comune che i provider di servizi cloud (CSP) possono applicare per risolvere problematiche riguardanti la sicurezza e la riservatezza dei dati nel cloud e l'impatto sul business che ha l'uso dei servizi cloud.
  • Trasparenza operativa verificabile e visibilità sui rischi del cliente quando utilizza i servizi cloud.

MTCS si basa su standard internazionali riconosciuti quale ISO/IEC 27001 e copre aree quali conservazione dei dati, sovranità sui dati, portabilità dei dati, responsabilità, disponibilità, continuità aziendale, ripristino di emergenza e gestione degli incidenti. Include anche un meccanismo mediante cui i clienti possono effettuare benchmark e classificare le funzionalità dei provider dei servizi cloud in base a un set di requisiti minimi di livello di sicurezza base.

MTCS è il primo standard di sicurezza cloud con livelli diversi di sicurezza, per cui i provider di servizi cloud certificati possono specificare quali livelli offrono. MTCS include un totale di 535 controlli, che coprono la sicurezza di base al livello 1, controlli di governance e tenancy più rigidi al livello 2 e affidabilità e resilienza per sistemi di informazioni ad alto impatto al livello 3.

Microsoft e MTCS

Dopo valutazioni rigorose condotte dall'organo di certificazione di MTCS, i servizi cloud Microsoft hanno ricevuto la certificazione MTCS 584:2013 su tutte e tre le classificazioni dei servizi: Infrastruttura distribuita come servizio (IaaS), Piattaforma distribuita come servizio (PaaS) e Software come un servizio (SaaS). Microsoft è stato il primo provider di servizi cloud globale a ottenere questa certificazione per tutte e tre le classificazioni.

Le certificazione rilasciate sono di livello 3 per i servizi Microsoft Azure (IaaS e PaaS), Microsoft Dynamics 365 Services (SaaS) e Microsoft Office 365 Services (SaaS). Una certificazione di livello 3 indica che i servizi cloud Microsoft interni all'ambito possono ospitare dati ad alto impatto per le organizzazioni regolamentate con i requisiti di sicurezza più rigidi. È richiesta per determinate implementazioni di soluzioni cloud del governo di Singapore.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure
  • Servizi online Dynamics 365 (Business Central, Commerce, Customer Service, Field Service, Finance, Fraud Protection, Marketing, Sales, Supply Chain Management)
  • Genomica
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Office 365
  • Mapping dei servizi OMS
  • PowerApps
  • Power BI

Office 365 e MTCS

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Delve, Exchange Online, Exchange Online Protection Loki, Microsoft Teams, Portale per i clienti di Office 365, Office Online, Infrastruttura dei servizi di Office, SharePoint Online, Skype for Business

Controlli, report e certificati

La certificazione è valida per tre anni, con l'obbligo di un controllo di sorveglianza annuale.

Certificazione MTCS di Microsoft

Diffusione del provider di servizi cloud di Microsoft MTCS

Domande frequenti

A chi si applica lo standard?

Si applica alle aziende di Singapore che acquistano servizi cloud che richiedono l'adeguamento allo standard MTCS.

Quali sono le differenze tra i livelli di sicurezza MTCS?

MTCS ha un totale di 535 controlli che coprono tre livelli di sicurezza:

  • Il livello 1 ha costo contenuto con un numero minimo di controlli di livello di sicurezza base richiesti. È adatto per l'hosting di siti Web, per lavoro di test e sviluppo, per simulazioni e per applicazioni aziendali non critiche.
  • Il livello 2 soddisfa le esigenze della maggior parte delle organizzazioni che si preoccupano della sicurezza dei dati con un set di controlli più rigidi rivolti ai rischi per la sicurezza e per i dati. Il livello 2 è applicabile alla maggior parte degli utilizzi del cloud, incluse applicazioni aziendali mission-critical.
  • Il livello 3 è previsto per le organizzazioni regolamentate con requisiti specifici nonché alle organizzazioni disposte a sostenere un costo maggiore per requisiti di sicurezza più rigidi. Il livello 3 aggiunge un set di controlli di sicurezza che integra quelli già presenti nei livelli 1 e 2. Tali controlli sono rivolti ai rischi per la sicurezza e alle minacce presenti in sistemi informatici ad alto impatto che utilizzano servizi cloud, ad esempio l'hosting di applicazioni con informazioni riservate in sistemi regolamentati.

Qual è la fase iniziale del percorso di adeguamento della mia organizzazione?

Lo Schema di certificazione MTCS fornisce una guida sui controlli e sui requisiti di sicurezza.

Posso usare la conformità di Microsoft nel processo di certificazione della mia organizzazione?

Sì. Se hai l'esigenza di certificare i tuoi servizi basati su questi servizi cloud Microsoft, puoi utilizzare la certificazione MTCS per ridurre l'impatto del controllo sulla tua infrastruttura IT se controllo viene affidato a essi. Tuttavia, hai la responsabilità di affidare l'incarico a un valutatore affinché valuti la tua implementazione in termini di adeguamento e per i controlli e i processi all'interno dell'organizzazione.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse