Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Global Secure Access ondersteunt naleving in verschillende gereguleerde branches en wereldwijde markten. In dit artikel worden de huidige certificeringen en updates vermeld als Global Secure Access nieuwe certificeringen verkrijgt.
Ondersteunde certificeringen
Global Secure Access is opgenomen in verschillende Azure-nalevingscontroles. De ondersteunde certificeringen zijn:
| Certificering | Bijzonderheden | Overgenomen van |
|---|---|---|
| Canadese privacywetten | Canadese privacywetten zijn gericht op de bescherming van de privacy van individuen en geven hen het recht om toegang te krijgen tot informatie die over hen is verzameld. Deze privacywetten omvatten de Privacy Act, Personal Information Protection en Electronic Documents Act (PIPEDA), Alberta Personal Information Protection Act (PIPA) en British Columbia Freedom of Information and Protection of Privacy Act (BC FIPPA). Zie De privacywetgeving van Canada voor meer informatie. | ISO 27001:2013 |
| CDSA | De CDSA-standaard (Content Delivery & Security Association) Content Protection & Security (CPS) biedt richtlijnen en vereisten voor het beveiligen van mediaassets binnen een CSMS (Content Security Management System). De standaard omvat controles om intellectueel eigendom te beschermen en media-assets veilig en vertrouwelijk te houden in de gehele supply chain van digitale media. Zie CDSA voor meer informatie. | ISO 27001:2013 |
| CSA STAR | Cloud Security Alliance (CSA) STAR-certificering is gebaseerd op het bereiken van ISO 27001-certificering en het voldoen aan criteria in de Cloud Controls Matrix (CCM). Het toont aan dat een cloudserviceprovider voldoet aan iso 27001-vereisten, belangrijke problemen met cloudbeveiliging in de CCM aanpakt en wordt beoordeeld op basis van het STAR Capability Maturity Model voor het beheren van activiteiten in CCM-besturingsgebieden. Zie Cloud Security Alliance (CSA) STAR Certification voor meer informatie. | ISO 27001:2013 |
| DoD DISA SRG Level 2 | Het Defense Information Systems Agency (DISA) is een agentschap van het Amerikaanse Ministerie van Defensie (DoD) dat verantwoordelijk is voor het ontwikkelen en onderhouden van de DoD Cloud Computing Security Requirements Guide (SRG). De SRG definieert de basisbeveiligingsvereisten die door DoD worden gebruikt om de beveiligingspostuur van een cloudserviceprovider (CSP) te beoordelen, waarbij de beslissing wordt ondersteund om een DoD-voorlopige autorisatie (PA) te verlenen waarmee een CSP DoD-missies kan hosten. Het bevat, vervangt en verwijdert het eerder gepubliceerde DoD Cloud Security Model (CSM). Zie Department of Defense (DoD) Impact Level 2 (IL2) voor meer informatie. | FedRAMP High (hoog beveiligingsniveau) |
| OOR | Het Amerikaanse ministerie van Handel is verantwoordelijk voor het afdwingen van de Export Administration Regulations (EAR) via het Bureau of Industry and Security (BIS). Volgens BIS-definities is Export de overdracht van beveiligde technologie of informatie naar een buitenlandse bestemming of het vrijgeven van beveiligde technologie of informatie aan een buitenlandse persoon in de Verenigde Staten (ook wel bekend als Export). Zie Export Administration Regulations (EAR) voor meer informatie. | FedRAMP High (hoog beveiligingsniveau) |
| FedRAMP High (hoog beveiligingsniveau) | Het Us Federal Risk and Authorization Management Program (FedRAMP) is opgericht in december 2011 om een gestandaardiseerde benadering te bieden voor het beoordelen, bewaken en autoriseren van cloudserviceproviders (CSP's). Bekijk Federal Risk and Authorization Management Program (FedRAMP) voor meer informatie. | NA |
| AVG | De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet die in mei 2018 van kracht werd. Het legt nieuwe regels op voor organisaties die goederen en diensten aanbieden aan mensen in de Europese Unie (EU) of die gegevens verzamelen en analyseren die tot eu-individuen behoren. De AVG vereist dat gegevenscontrollers, zoals organisaties die Azure gebruiken, alleen gebruikmaken van gegevensverwerkers, zoals Microsoft, die voldoende garanties bieden om te voldoen aan de belangrijkste vereisten van de AVG. Zie algemene verordening gegevensbescherming voor meer informatie. | ISO 27001:2013 |
| GxP (FDA 21 CFR Part 11) | Azure kan klanten helpen om te voldoen aan hun vereisten onder Good Clinical, Laboratory, and Manufacturing Practices (GxP), evenals voorschriften die worden afgedwongen door de Amerikaanse Food and Drug Administration (FDA) onder 21 CFR Deel 11. Zie GxP (FDA 21 CFR Part 11) voor meer informatie. | ISO 27001:2013 |
| HDS (Frankrijk) | Microsoft Azure heeft de certificering Health Data Hosting (Hébergeurs de Données de Santé, HDS), die vereist is voor alle entiteiten die persoonlijke gezondheidsgegevens hosten die onder de Franse wetgeving vallen. Microsoft is de eerste grote cloudserviceprovider die voldoet aan de strikte Franse normen voor het opslaan en verwerken van gezondheidsgegevens. Zie Health Data Hosting (HDS) Frankrijk voor meer informatie. | ISO 27001:2013 |
| HIPAA BAA (VS) | HipAA (Health Insurance Portability and Accountability Act) is een Amerikaanse wet die vereisten vastlegt voor het gebruik, de openbaarmaking en de bescherming van beschermde gezondheidsinformatie (PHI). Het is van toepassing op gedekte entiteiten, artsenkantoren, ziekenhuizen, zorgverzekeraars en andere zorgmaatschappijen, met toegang tot PHI en zakelijke medewerkers, zoals cloudserviceproviders, die phi namens hen verwerken. Bekijk HIPAA (US) voor meer informatie. | NA |
| IRAP (Australië) | Het IRAP (Information Security Registered Assessor Program) biedt een uitgebreid proces voor de onafhankelijke evaluatie van de beveiliging van een systeem tegen het beleid en de richtlijnen van de Australische overheid. IRAP wordt beheerd door het Australian Cyber Security Centre (ACSC) en biedt het kader voor goedgekeurde beoordelaars om services voor cyberbeveiligingsevaluaties aan de Australische overheid te verlenen. Microsoft Azure houdt IRAP-evaluatie op het niveau VAN DE PROTECTED-classificatie. Zie IRAP (Australië) voor meer informatie. | NA |
| ISO 20000-1:2018 | ISO 20000-1:2018 is een internationale standaard voor IT-servicebeheer die vereisten definieert voor de ontwikkeling, implementatie, bewaking, onderhoud en verbetering van een IT-servicebeheersysteem. Zie ISO/IEC 20000-1:2018 voor meer informatie. | ISO 27001:2013 |
| ISO 22301:2019 | ISO 22301:2019 is de premium internationale standaard voor bedrijfscontinuïteitsbeheer dat voorziet in een formele certificering. Zie ISO 22301:2019 voor meer informatie. | ISO 27001:2013 |
| ISO 27001:2013 | De ISO 27000-serie standaarden biedt een kader voor beleid en procedures met alle juridische, fysieke en technische controles in Microsoft Azure Compliance-aanbiedingen voor informatierisicobeheer van een organisatie. ISO 27001 bevat de vereisten voor het implementeren, onderhouden, bewaken en verbeteren van een ISMS (Information Security Management System). Zie ISO 27001:2013 voor meer informatie. | NA |
| ISO 27017:2015 | De ISO 27017-code van de praktijk is ontworpen voor organisaties om te gebruiken als referentie voor het selecteren van besturingselementen voor gegevensbeveiliging van cloudservices bij het implementeren van een cloudcomputingsysteem voor informatiebeveiliging op basis van ISO 27002. Cloudserviceproviders kunnen ISO 27017 ook gebruiken als richtlijndocument voor het implementeren van veelgebruikte beveiligingscontroles. Zie ISO/IEC 27017:2015 voor meer informatie. | ISO 27001:2013 |
| ISO 27018:2019 | ISO 27018 is de eerste internationale praktijkcode voor cloudprivacy die richtlijnen biedt op basis van ISO 27002-richtlijnen en best practices voor informatiebeveiligingsbeheer. Op basis van eu-wetgeving inzake gegevensbescherming biedt het specifieke richtlijnen voor cloudserviceproviders die fungeren als verwerkers van persoonlijk identificeerbare informatie (PII) over het beoordelen van risico's en het implementeren van geavanceerde controles voor het beschermen van PII. ISO 27018 brengt cloudspecifieke controledoelstellingen en -richtlijnen vast voor PII in overeenstemming met de privacyprincipes in ISO 29100. Zie ISO/IEC 27018:2019 voor meer informatie. | ISO 27001:2013 |
| ISO 27701:2019 | ISO 27701 is gebouwd als een uitbreiding van de veelgebruikte ISO/IEC 27001-standaard voor informatiebeveiligingsbeheer, waardoor de implementatie van het privacyinformatiebeheersysteem van PIMS een nuttige nalevingsuitbreiding is voor de vele organisaties die afhankelijk zijn van ISO/IEC 27001, en een sterk integratiepunt creëren voor het afstemmen van beveiliging en privacycontroles. Zie ISO/IEC 27701:2019 voor meer informatie | ISO 27001:2013. |
| ISO 9001:2015 | ISO 9001 is een internationale norm waarmee de criteria voor een kwaliteitsbeheersysteem worden vastgesteld. Het is de enige standaard in de ISO 9000-familie die resulteert in een formele certificering. De standaard is gebaseerd op verschillende principes voor kwaliteitsbeheer, waaronder duidelijke focus op het voldoen aan klantvereisten, sterke corporate governance en leiderschapsbegeerte aan kwaliteitsdoelstellingen, procesgestuurde benadering om doelstellingen te halen en zich te richten op continue verbetering. Zie ISO 9001:2015 voor meer informatie. | ISO 27001:2013 |
| MARS-E (VS) | In 2012 publiceerde het Center for Medicare en Medicaid Services (CMS) de Minimum Acceptable Risk Standards for Exchange (MARS-E) in overeenstemming met CMS-informatiebeveiligings- en privacyprogramma's. De suite documenten, waaronder richtlijnen, vereisten en sjablonen, is ontworpen voor het aanpakken van mandaten van de ACA (Patient Protection and Affordable Care Act) en regelgeving van het Ministerie van Volksgezondheid en Human Services die van toepassing zijn op de ACA. Zie MARS-E (VS) voor meer informatie. | FedRAMP High (hoog beveiligingsniveau) |
| NERC | De North American Electric Reliability Corporation (NERC) is een non-profit regelgevende instantie waarvan de missie is om de betrouwbaarheid van het Noord-Amerikaanse bulkstroomsysteem te garanderen. NERC is onderworpen aan toezicht door de Amerikaanse Federal Energy Regulatory Commission (FERC) en overheidsinstanties in Canada. Zie North American Electric Reliability Corporation (NERC) voor meer informatie. | FedRAMP High (hoog beveiligingsniveau) |
| NIST Cybersecurity Framework | Het NIST Cybersecurity Framework (CSF) is in februari 2014 gepubliceerd als richtlijnen voor kritieke infrastructuurorganisaties om hun risico's voor cyberbeveiliging beter te begrijpen, te beheren en te verminderen. Het CSF is ontwikkeld in reactie op de presidentiële uitvoerende orde over het verbeteren van de beveiliging van kritieke infrastructuur, die in februari 2013 werd uitgegeven. Zie NIST Cybersecurity Framework (CSF) voor meer informatie. | FedRAMP High (hoog beveiligingsniveau) |
| PCI 3DS | Europay, Visa en Visa (EMV) met drie domeinen (3D Secure of 3DS) is een EMVCo Messaging-protocol waarmee kaarthouders zich kunnen verifiëren bij hun kaartverleners bij het maken van onlinetransacties met card-not-present (CNP). PCI 3DS Core Security Standard biedt een framework voor deze kritieke EMV 3DS-functies voor het implementeren van beveiligingscontroles die de integriteit en vertrouwelijkheid van 3DS-transacties ondersteunen. Zie PCI 3DS voor meer informatie. | NA |
| PCI DSS Niveau 1 | De PCI (Payment Card Industry) Data Security Standards (DSS) is een wereldwijde standaard voor informatiebeveiliging waarmee fraude wordt voorkomen door creditcardgegevens te beheren. PCI DSS-naleving is vereist voor elke organisatie die betalings- en kaartaanduidingsgegevens opslaat, verwerkt of verzendt. Bekijk PCI DSS voor meer informatie. | NA |
| SOC 1 Type 2 | Het American Institute of Certified Public Accountants (AICPA) brengt drie SOC-rapportageopties (Service Organization Controls) tot stand: SOC 1, SOC 2 en SOC 3. Met deze besturingselementen kunnen CBA's de controles van een serviceorganisatie onderzoeken en rapporteren. De SOC 1 Type 2-attestation is gebaseerd op de AICPA-verklaring over standaarden voor Attestation Engagements 18 (SSAE 18) (zie AT-C sectie 105) en de International Standard on Assurance Engagements Nr. 3402 (ISAE 3402). Zie System and Organization Controls (SOC) 1 Type 2 voor meer informatie. | NA |
| SOC 2 Type 2 | SOC 2 Type 2 is een rapport voor beperkt gebruik dat is bedoeld om te rapporteren over besturingselementen die relevant zijn voor beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacysysteemkenmerken. Zie System and Organization Controls (SOC) 2 Type 2 voor meer informatie. | NA |
| SOC 3 | Een SOC 3-rapport is een korte, openbare versie van het SOC 2 Type 2 Attestation-rapport. Het SOC 3-rapport is bedoeld voor gebruikers die zekerheid willen over de besturingselementen van de cloudserviceprovider, maar geen volledig SOC 2-rapport nodig hebben. Zie System and Organization Controls (SOC) 3 voor meer informatie. | NA |
| UK Cyber Essentials Plus | Cyber Essentials is een door de overheid van het Verenigd Koninkrijk ondersteunde regeling waarmee organisaties risico's van veelvoorkomende cyberbeveiligingsrisico's voor hun IT-systemen kunnen controleren en verminderen. Cyber Essentials is vereist voor alle britse overheidsleveranciers die persoonsgegevens verwerken. Zie UK Cyber Essentials Plus voor meer informatie. | ISO 27001:2013 |
| UK G-Cloud | Government Cloud (G-Cloud) is een initiatief van de Britse overheid om de aanschaf van clouddiensten door overheidsdiensten te vergemakkelijken en de invoering van cloudcomputing door de overheid te bevorderen. G-Cloud bestaat uit een reeks frameworkovereenkomsten met cloudservicesleveranciers (zoals Microsoft) en een lijst van hun services in een onlinewinkel, de Digital Marketplace. Met deze aanpak kunnen organisaties in de openbare sector cloudservices vergelijken en aanschaffen zonder dat ze hun eigen volledige beoordelingsproces hoeven uit te voeren. Zie UK G-Cloud voor meer informatie. | ISO 27001:2013 |
| WCAG | De WCAG (Web Content Accessibility Guidelines) bieden een framework voor het ontwikkelen van webinhoud waarmee de toegankelijkheid voor mensen met een handicap en gebruikers van apparaten met beperkte grafische mogelijkheden wordt verbeterd. Zie Toegankelijkheidsrichtlijnen voor webinhoud voor meer informatie. | ISO 27001:2013 |