Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Panoramica di SOC 1 di tipo 2
I SOC (System and Organization Controls) per le organizzazioni di servizi sono report di controllo interni creati dall'American Institute of Certified Public Accountants (AICPA). Hanno lo scopo di esaminare i servizi forniti da un'organizzazione di servizi in modo che gli utenti finali possano valutare e affrontare il rischio associato a un servizio in outsourcing.
L'attestazione SOC 1 di tipo 2 viene eseguita ai sensi:
- SSAE n. 18, Attestation Standards: Clarification and Recodification, che include la sezione AT-C 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting (AICPA, Professional Standards).
- Report SOC 1 sull'esame dei controlli in un'organizzazione di servizi rilevante per il controllo interno delle entità utente sui report finanziari (Guida AICPA).
A parte la dichiarazione AICPA sugli standard per attestazioni engagement 18 (SSAE 18), l'audit di Microsoft 365 SOC 1 di tipo 2 viene condotto in conformità con l'International Standard on Assurance Engagements n. 3402 (ISAE 3402). L'attestazione SOC 1 ha sostituito SAS 70 ed è appropriata per la creazione di report sui controlli in un'organizzazione di servizi rilevanti per i controlli interni delle entità utente rispetto alla creazione di report finanziari. Un report di tipo 2 include l'opinione del revisore sull'efficacia dei controlli per il raggiungimento degli obiettivi di controllo correlati, durante il periodo di monitoraggio specificato.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
I servizi online Microsoft vengono visualizzati nel report di attestazione SOC 1 di Tipo 2 di Azure:
- Azure (per informazioni dettagliate, vedere Offerte di conformità di Microsoft Azure)
- Azure DevOps (vedere report di attestazione di Azure DevOps SOC 1 di tipo 2 separato)
- Dynamics 365 (per informazioni dettagliate, vedere Il report di attestazione soc 1 di Azure di tipo 2)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Defender per identità
- Microsoft Intune
- Microsoft Managed Desktop
- Microsoft Stream
- Microsoft Threat Experts
- Portale di candidatura
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Conformità aggiornamenti
Microsoft Servizi online nell'ambito del report di attestazione SOC 1 Type 2 di Microsoft 365 sono indicati di seguito.
Azure, Dynamics 365 e SOC 1
Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure SOC 1.
Microsoft 365 e SOC 1
Ambienti Microsoft 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Microsoft 365 e servizi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e la sottoscrizione di Microsoft 365:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Bing Teams (inclusi ObjectStore, Enterprise News - One Service e Semantic Fabric), Customer Lockbox, Educational Services (inclusi Insights, Gateway Microsoft LMS, OneDrive LTI, Stato di lettura/assegnazioni, Sincronizzazione dati dell'istituto di istruzione, Riconoscimento matematico/Risolutore e Assistente alla ricerca), Exchange Online, Exchange Online Protection, Servizio runtime di personalizzazione IDEAs, Report sull'utilizzo di Loki, M365, Microsoft Defender for Cloud Apps (Governance delle app), Microsoft Defender per Office 365 (inclusi Ricerca avanzata, Simulazione e training degli attacchi e One Cyber Endpoint Protection), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (inclusi controllo, conformità alle comunicazioni, Compliance Manager, gestione del ciclo di vita dei dati, Gestione record, Prevenzione della perdita dei dati, eDiscovery, Information Protection, Unified Feedback Platform, Insider Risk Management, Data Classification Services, Exact Data Match e ML Inference), Microsoft Sway, Microsoft Teams, Office Collaboration, Office per il Web (in precedenza denominato "Office Online"), OneNote Services, Outlook Web Application, PowerPoint Online Document Service, Crittografia del servizio con chiave cliente, Servizio annotazione query, Canale in tempo reale, Assistenza remota, Search Content Service, SharePoint Online (inclusi OneDrive, Backup di Microsoft 365, Project Online, Viva Topics e Viva Connections), Tasks Business Scenario Service, Viva Glint, Viva Goals, Viva Insights (inclusi Personal Insights, Manager e Leader Insights e Advance Insights), Viva Learning, Viva Pulse, Whiteboard e Windows 365 |
| GCC | Bing Teams (incluso ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, Servizio runtime di personalizzazione IDEAs, Loki, Report sull'utilizzo di M365, Microsoft Defender for Cloud Apps (Governance app), Microsoft Defender per Office 365 (inclusi ricerca avanzata, simulazione e training degli attacchi e protezione degli endpoint One Cyber), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (tra cui controllo, conformità delle comunicazioni, compliance manager, gestione del ciclo di vita dei dati, gestione dei record, prevenzione della perdita dei dati, eDiscovery, Information Protection, piattaforma di feedback unificata, gestione dei rischi Insider, Servizi di classificazione dei dati, Corrispondenza dati esatta e Inferenza ml), Microsoft Teams, Collaborazione di Office, Office per il Web (in precedenza denominato "Office Online"), OneNote Services, Outlook Web Applicazione, Servizio documenti di PowerPoint Online, Crittografia del servizio con chiave cliente, Servizio annotazione query, Canale in tempo reale, Assistenza remota, Servizio contenuto di ricerca, SharePoint Online (inclusi OneDrive, Backup di Microsoft 365, Project Online, Viva Topics e Viva Connections), Tasks Business Scenario Service, Viva Insights (inclusi Personal Insights), Whiteboard e Windows 365 |
| GCC High | Bing Teams (incluso ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, Loki, Report sull'utilizzo M365, Microsoft Defender for Cloud Apps (Governance delle app), Microsoft Defender per Office 365 (inclusi ricerca avanzata, simulazione e training degli attacchi e protezione degli endpoint One Cyber), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (tra cui controllo, conformità delle comunicazioni, compliance manager, gestione del ciclo di vita dei dati, gestione dei record, prevenzione della perdita dei dati, eDiscovery, Information Protection, piattaforma di feedback unificata, gestione dei rischi Insider, Servizi di classificazione dei dati, Corrispondenza dati esatta e Inferenza ml), Microsoft Teams, Collaborazione di Office, Office per il Web (in precedenza denominato "Office Online"), OneNote Services, Outlook Web Applicazione, servizio documenti di PowerPoint Online, crittografia del servizio con chiave del cliente, servizio di annotazione query, canale in tempo reale, SharePoint Online (inclusi OneDrive, Backup di Microsoft 365, Project Online, Viva Topics e Viva Connections), Servizio scenario aziendale attività, Viva Insights (incluse informazioni personali), Whiteboard e Windows 365 |
| DoD | Bing Teams (incluso ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, Loki, Report sull'utilizzo M365, Microsoft Defender for Cloud Apps (Governance delle app), Microsoft Defender per Office 365 (inclusi ricerca avanzata, simulazione e training degli attacchi e protezione degli endpoint One Cyber), Microsoft Forms, Microsoft Planner, Microsoft Priva, Microsoft Purview (tra cui controllo, conformità delle comunicazioni, compliance manager, gestione del ciclo di vita dei dati, gestione dei record, prevenzione della perdita dei dati, eDiscovery, Information Protection, piattaforma di feedback unificata, gestione dei rischi Insider, Servizi di classificazione dei dati, Corrispondenza dati esatta e Inferenza ml), Microsoft Teams, Collaborazione di Office, Office per il Web (in precedenza denominato "Office Online"), OneNote Services, Outlook Web Applicazione, servizio documenti di PowerPoint Online, crittografia del servizio con chiave del cliente, servizio di annotazione query, canale in tempo reale, SharePoint Online (inclusi OneDrive, Backup di Microsoft 365, Project Online, Viva Topics e Viva Connections), Servizio scenario aziendale attività, Viva Insights (incluse informazioni personali) e Whiteboard |
Report di controllo di Microsoft 365
- I report di Microsoft 365 SOC 1 di tipo 2 per central e microservizi sono disponibili per il download da parte dei clienti tramite service trust portal.
- Le lettere bridge e i report di controllo aggiuntivi sono disponibili anche nel portale di attendibilità del servizio.
È necessario disporre di una sottoscrizione o di un account di valutazione gratuito esistente in Microsoft 365 o Microsoft 365 U.S. Government per scaricare i report di attestazione SOC 1 e SOC 2 ed eventuali lettere bridge in base alle esigenze.
Domande frequenti
Con quale frequenza vengono pubblicati report SOC di Microsoft 365?
Microsoft commissiona un esame soc 1 tipo 2 e SOC 2 tipo 2 di Office 365 ogni anno. Le relazioni del revisore su questi esami (note anche come audit) vengono rilasciate non appena sono pronte dopo tale controllo. La relazione SOC 3, basata sull'esame SOC 2, viene rilasciata contemporaneamente.
Poiché Microsoft non controlla l'ambito investigativo dell'esame né l'intervallo di tempo del completamento del revisore, non esiste un intervallo di tempo impostato quando questi report vengono rilasciati. Le relazioni vengono in genere rilasciate alcuni mesi dopo la fine del periodo in esame. Microsoft non consente alcuna lacuna nei periodi consecutivi di esame da un esame all'altro.
Microsoft commissiona anche un esame SOC 1 di tipo 1 e SOC 2 type 1 di Microsoft 365 a metà anno per i nuovi servizi Microsoft rilasciati dopo l'ultimo controllo SOC di tipo 2. I controlli di tipo 1 non guardano indietro in un periodo di prestazioni.
A causa della natura sofisticata della Office 365, l'ambito del servizio è di grandi dimensioni se esaminato nel suo complesso. Ciò può causare ritardi di completamento dell'esame dovuti alla scalabilità. Microsoft organizza tutti gli esami descritti in precedenza in due categorie: Core Services e Microservizi. Microsoft invia un report con ambito a ogni esame.
Gli audit SOC di tipo 2 esaminano una finestra di esecuzione di 12 mesi in sequenza (nota anche come periodo di controllo o più formalmente periodo di prestazioni) con esami condotti ogni anno per il periodo compreso tra il 1° ottobre e il 30 settembre dell'anno civile successivo. L'esame inizia immediatamente dopo il completamento del periodo di esecuzione.
Microsoft rilascia anche lettere ponte (note anche come lettere gap). Si tratta di attestazioni da parte di Microsoft, non di report basati su esami da parte del revisore. Le lettere bridge vengono emesse durante il periodo corrente di prestazioni che non sono ancora complete e pronte per l'esame di controllo. Microsoft rilascia lettere bridge alla fine di ogni trimestre per attestare le prestazioni durante il periodo precedente di tre mesi. A causa del periodo di prestazioni per i controlli SOC di tipo 2, le lettere bridge vengono in genere emesse in dicembre, marzo, giugno e settembre del periodo operativo corrente.
In che modo i clienti possono trarre vantaggio dall'attestazione SOC 1 Di tipo 2 di Microsoft 365?
I clienti possono usare l'attestazione SOC 1 Di tipo 2 di Microsoft 365 quando perseguono i propri requisiti di conformità specifici del settore finanziario, ad esempio Sarbanes-Oxley (SOX), Federal Financial Institutions Examination Council (FFIEC), Gramm-Leach-Bliley Act (GLBA) e altri.
Dove è possibile ottenere la documentazione di controllo SOC di Microsoft 365, incluse le lettere bridge di Microsoft?
Per i collegamenti alla documentazione di controllo, vedere la sezione report di controllo del portale di attendibilità dei servizi. Per accedere, è necessario disporre di un abbonamento o di un account di valutazione gratuito esistente in Microsoft 365 o Microsoft 365 U.S. Government. È possibile scaricare certificati di controllo, report di valutazione e altri documenti applicabili per soddisfare i propri requisiti normativi.
Dove è possibile visualizzare le risposte dell'amministrazione alle eccezioni individuate?
La maggior parte degli esami presenta alcune osservazioni su uno o più controlli specifici esaminati. È prevedibile un certo numero di osservazioni. Le risposte di gestione a eventuali eccezioni si trovano verso la fine del report di attestazione SOC. Cercare "Management Response" nel documento.
Dove è possibile visualizzare le responsabilità dell'entità utente?
Le responsabilità dell'entità utente sono responsabilità di controllo necessarie se il sistema nel suo complesso deve soddisfare gli standard di controllo SOC 2. Questi si trovano alla fine del report di attestazione SOC. Cercare "Responsabilità dell'entità utente" nel documento.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del portale di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.