Domande frequenti sulla certificazione Microsoft 365

Introduzione

Di seguito sono riportate le domande frequenti frequenti poste dagli ISV (Fornitori di software indipendenti) all'avvio della certificazione Microsoft 365. Se sono presenti query non trattate qui, contattare il team di certificazione app di Microsoft 365 tramite AppCert@Microsoft.com. Questo documento è destinato agli ISV. Le informazioni generali sul programma Microsoft 365 Security and Compliance sono disponibili nella pagina del programma Microsoft 365 App Compliance.

Non ho superato un controllo su un framework riconosciuto dal settore come PCI DSS, SOC 2 o ISO 27001. Significa che non è possibile richiedere la certificazione Microsoft 365?

No, ottenere uno di questi framework riconosciuti dal settore non è un requisito della certificazione Microsoft 365.

Ho già superato un controllo esterno su un framework riconosciuto dal settore. Può essere conteggiata per la certificazione Microsoft 365?

La risposta breve è Sì. Attualmente la specifica di certificazione Microsoft 365 accetta prove di framework esterni PCI DSS, SOC 2 e ISO27001. La Guida agli invii di certificazione di Microsoft 365 è stata mappata in base all'allineamento di questi framework esterni esistenti; tuttavia, in alcuni casi è stato rilevato che lo standard/framework esistente non è adeguatamente allineato. Per questo motivo, il team di certificazione Microsoft 365 effettuerà una revisione degli standard forniti/prove del framework, contrassegnando quali controlli all'interno della certificazione Microsoft 365 vengono soddisfatti.

Come dimostriamo la conformità al GDPR se non abbiamo avuto una valutazione esterna del GDPR?

Microsoft non richiede una revisione indipendente della conformità al GDPR per la certificazione Microsoft 365, in quanto si tratta di uno scenario in cui accetteremo l'attestazione automatica che è possibile verificare in modo indipendente quando non è stata effettuata alcuna revisione esterna. Poiché si tratta più di una valutazione che di un controllo, e per quanto riguarda le prove da raccogliere durante i nostri processi, la revisione delle politiche sulla privacy e dei processi interni è il modo in cui abbiamo affrontato il controllo del GDPR. Ai fini di ciò che stiamo cercando nel controllo GDPR, si tratta principalmente di rivedere le politiche sulla privacy per garantire che soddisfino i requisiti gdpr di base; Ad esempio, quali dati personali vengono elaborati, qual è la liceità del trattamento, indicare i diritti dell'interessato, come verrà eseguita una richiesta di accesso soggetto (SAR) da parte di un utente, come l'ISV intraprenderà le autorità di certificazione, i dettagli aziendali degli ISV e i dettagli di conservazione dei dati.

Abbiamo subito un test di penetrazione; tuttavia, non abbiamo un test di penetrazione "pulito" perché non abbiamo intrapreso una test di penetrazione. Dobbiamo intraprendere una rivisitazione e avere una relazione pulita?

La specifica della certificazione Microsoft 365 non richiede agli ISV di eseguire test di penetrazione, fornendo prove di correzione adeguate per dimostrare che i problemi identificati nel report di test di penetrazione vengono corretti.

Una parte della documentazione e delle prove richieste è sensibile, sono in vigore accordi di non divulgazione?

Sì, alcune delle informazioni inviate saranno informazioni pubbliche e altre potrebbero essere informazioni riservate. Se si dispone di una NDA esistente con Microsoft, le condizioni di tale NDA si applicano alle informazioni riservate inviate. Se non si dispone di una NDA con Microsoft, le condizioni di riservatezza del contratto di pubblicazione firmato all'interno del Centro per i partner si applicano a tali informazioni riservate.

Come trasferire in modo sicuro la documentazione e le prove sensibili nell'ambito della valutazione della certificazione Microsoft 365?

Attualmente, Microsoft non dispone di una piattaforma per condividere queste informazioni in modo sicuro. È consigliabile condividere queste informazioni tramite i meccanismi sicuri già esistenti. Molti ISV useranno OneDrive e condivideranno un collegamento autenticato al team di certificazione microsoft 365.

Abbiamo appena implementato alcuni processi di sicurezza aggiuntivi per soddisfare alcuni dei controlli di certificazione di Microsoft 365, significa che dobbiamo attendere 12 mesi prima di poter certificare?

No, Microsoft riconosce che potrebbe essere necessario sviluppare altri processi di sicurezza per colmare le lacune tra i processi di sicurezza esistenti e quanto previsto dalla certificazione Microsoft 365. Il team di certificazione Microsoft 365 esaminerà i processi documentati appena sviluppati e verificherà la prova che il processo è stato eseguito almeno una volta. Non saranno necessarie altre prove storiche, in quanto non saranno disponibili per questi nuovi processi sviluppati. Dopo dodici mesi, un campione di prove storiche inizierà quindi a essere valutato durante la valutazione annuale.

Cosa sono responsabile di fornire?

Durante la valutazione, gli analisti di certificazione esamineranno il documento fornito e le prove per valutare la conformità ai controlli di certificazione di Microsoft 365. Come parte di questo lavoro, il team di certificazione Microsoft 365 richiederà informazioni che includeranno dettagli dell'architettura, diagrammi, dettagli di archiviazione dati, dettagli di progettazione dell'app, documenti di criteri e processi, file di configurazione e screenshot. In alcune occasioni, o se è più facile per l'utente, è possibile organizzare una sessione di screenharing per mostrare le prove degli analisti di certificazione. Se i framework di conformità esistenti devono essere usati per supportare le attività di valutazione, sarà necessaria una documentazione adeguata che dimostri ciò che il revisore esterno/valutatore ha valutato e confermato come in atto. Se la documentazione di supporto non è in grado di fornire la descrizione necessaria per dimostrare esattamente come sono stati soddisfatti i controlli all'interno del framework di sicurezza esterno, il team di certificazione di Microsoft 365 non sarà in grado di utilizzare il framework di sicurezza esterno a supporto della valutazione della certificazione di Microsoft 365.

Per ottenere la certificazione è necessario apportare modifiche all'infrastruttura corrente?

È improbabile che siano necessarie modifiche significative all'infrastruttura per soddisfare la certificazione Microsoft 365. I controlli si basano sulle procedure consigliate per la sicurezza del settore e molto probabilmente saranno già implementati. Abbiamo visto nella maggior parte dei casi; Gli ISV hanno dovuto aggiornare i processi interni per colmare le lacune tra le procedure di lavoro correnti e ciò che è necessario all'interno della certificazione Microsoft 365. In caso di problemi, Microsoft consiglia di esaminare i controlli di certificazione Microsoft 365 più recenti disponibili nella Guida agli invii di certificazione di Microsoft 365 per assicurarsi che l'ambiente e le procedure di lavoro attualmente distribuiti soddisfino i controlli definiti.

Microsoft ha raccomandazioni su componenti/infrastruttura/software specifici che devono essere usati per soddisfare i requisiti di certificazione?

Microsoft non fornisce consigli specifici sulle soluzioni per soddisfare i controlli di certificazione Microsoft 365. È possibile utilizzare qualsiasi offerta commerciale o open source, purché siano attivamente supportate e mantenute.

Quanto tempo è necessario per completare la valutazione?

In genere, il completamento di una valutazione può richiedere in media 30 giorni, ma ciò può dipendere da molte variabili. Il periodo di tempo da completare può variare a seconda delle dimensioni dell'ambiente di hosting usato per supportare l'app/componente aggiuntivo, del tipo di ambiente di hosting che supporta l'app/componente aggiuntivo e del modo in cui gli ISV della richiesta rispondono alle richieste di prova.

Quanto tempo è necessario allocare a questo processo?

La maggior parte del lavoro consiste semplicemente nel raccogliere la documentazione e le prove in modo tempestivo. Dopo di che non dovrebbe richiedere più di poche ore alla settimana completare il processo di valutazione. Alcune variabili che possono influire sul tempo necessario sono: le dimensioni dell'ambiente avranno un impatto sulla quantità di tempo necessaria per raccogliere le prove richieste e se sono presenti framework di sicurezza esterni che possono essere sfruttati per supportare la valutazione. Dove sono presenti framework di sicurezza esterni e può essere fornita una documentazione di supporto adeguata, gli analisti di certificazione possono usare queste valutazioni esterne per soddisfare un subset di controlli di Microsoft 365, senza che sia necessario fornire prove aggiuntive.

Perché è previsto un intervallo di tempo fisso di 60 giorni per la valutazione?

Abbiamo fissato un limite per il periodo di tempo per cui una valutazione può essere eseguita perché le prove già raccolte possono diventare obsolete più a lungo una valutazione richiede. Si tratta di una valutazione temporizzato e pertanto deve essere previsto un periodo appropriato per il completamento. Dopo aver inviato l'invio iniziale del documento, risponderemo con una richiesta di prova. Il periodo di 60 giorni inizia quando si riceve la richiesta di prova. La Guida agli invii di certificazione microsoft 365 deve essere letta e si dovrebbe essere certi che tutti i controlli possono essere soddisfatti prima di inviare l'invio iniziale di prove.

Cosa accade se la valutazione non viene completata entro l'intervallo di tempo di 60 giorni?

Sfortunatamente, se la valutazione non viene completata durante l'intervallo di tempo di 60 giorni, Microsoft contrassegnerà un errore rispetto alla valutazione. Questo contrassegno è solo per le statistiche interne e non verrà mai pubblicato. Sarà possibile riavviare immediatamente il processo di valutazione, tuttavia verrà richiesto di inviare di nuovo nuove prove per supportare la nuova applicazione.

Quanto mi costerà la certificazione Microsoft 365?

Attualmente, è gratuito completare la certificazione Microsoft 365.

Qual è il costo dei test di penetrazione in questo programma?

Se l'app deve essere sottoposta a test di penetrazione, dove questo non fa parte delle attività di sicurezza, i test di penetrazione possono essere completati con la certificazione Microsoft 365 ed è GRATUITO. L'ambito dei test di penetrazione è limitato all'app e all'infrastruttura di supporto nell'ambito della certificazione Microsoft 365.

Hai materiali di marketing che possono essere usati per pubblicizzare il fatto che la nostra app è stata certificata?

Al termine, gli ISV ricevono un kit di marketing digitale gratuito per promuovere la propria app come Microsoft 365 Certified.

Quale livello di prova si sta cercando quando si esegue la valutazione?

Le prove fornite durante la valutazione della certificazione Microsoft 365 devono essere in grado di fornire una garanzia sufficiente che si stanno rispettando i controlli specifici della certificazione Di Microsoft 365 valutati. Le prove possono essere sotto forma di file di configurazione, screenshot di impostazioni o prove, documentazione di criteri/procedure o sessioni di condivisione schermate per dimostrare le prove all'analista della certificazione. Di seguito sono riportati due esempi:

Attività di valutazione: "Dimostrare che il software antivirus è in esecuzione in tutti i componenti del sistema campionati". – Per questo controllo, è possibile fornire uno screenshot da ogni dispositivo nell'esempio che supporta l'antivirus che mostra il processo antivirus in esecuzione o se si dispone di una console di gestione centralizzata per l'antivirus, è possibile essere in grado di dimostrarlo da tale console di gestione.

Attività di valutazione: "Dimostrare come vengono identificate nuove vulnerabilità di sicurezza". : questo controllo proviene dalla sezione Gestione patch. Lo scopo è quello di disporre di un processo formalmente documentato per identificare le nuove vulnerabilità di sicurezza. Questo può essere all'interno del codice sorgente, ma deve anche trovarsi all'interno dell'ambiente di supporto, ad esempio vulnerabilità di Windows, vulnerabilità all'interno delle dipendenze Web (ad esempio AngularJS, JQuery e così via). È necessario disporre di un processo documentato che viene seguito per identificare le nuove vulnerabilità di sicurezza, in modo da fornire il documento del processo documentato. Oltre alla documentazione, è necessario fornire la prova che il processo viene seguito; Ad esempio, se si usa un controllo npm per verificare la presenza di vulnerabilità nelle dipendenze, la fornitura di un campione di report fornirà prove. Se si utilizzano più processi, ad esempio per componenti di sistema diversi, sarà necessario fornire la prova di tutti i processi.