Controles de conformidade e segurança
Este artigo ajuda você a entender como sua organização está em conformidade com os vários requisitos de conformidade e padrões de segurança.
Conformidade
Cobertura de conformidade
A Área de Trabalho Gerenciada da Microsoft alcançou as seguintes certificações de conformidade:
- Padrões de Gerenciamento de Segurança da Informação (ISMS) ISO 27001
- Sistema de Gerenciamento de Informações de Privacidade ISO 27701 (PIMS)
- Código de Prática ISO 27017 para Controles de Segurança da Informação
- Código de Prática ISO 27018 para Proteção de Dados Pessoais na Nuvem
- Padrões de Sistemas de Gerenciamento de Qualidade ISO 9001
- Gerenciamento de Serviços de Tecnologia da Informação ISO 20000-1
- Padrão de Gerenciamento de Continuidade de Negócios ISO 22301
- Atestado STAR do Cloud Security Alliance (CSA)
- Certificação STAR do Cloud Security Alliance (CSA)
- Controles da Organização de Serviços (SOC) 1, 2, 3
- Programa de Avaliadores Registrados de Segurança da Informação (IRAP)
- Padrão de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI)
- Lei Americana HIPAA (Health Insurance Portability Accountability Act)
- CSF (Estrutura de Segurança Comum) da HITRUST (Health Information Trust Alliance)
Relatórios de auditoria e certificados de conformidade
Você pode localizar informações relevantes, incluindo requisitos técnicos e de controle, no STP (Portal de Confiança do Serviço). Este portal é o repositório central para obter informações sobre as ofertas do Serviço de Nuvem da Microsoft. Você pode baixar relatórios de auditor, certificados de conformidade e muito mais na seção Relatórios de Auditoria do STP.
Observação
Como o Microsoft Managed Desktop é executado no Azure, os documentos relevantes geralmente têm nomes de arquivo como "Microsoft Azure, Dynamics 365 e outros Online Services". Nesses documentos, geralmente você encontra o Microsoft Managed Desktop na categoria "Microsoft Online Services" ou "Monitoramento + Gerenciamento".
Controles de segurança
Controle de dispositivo
Todos os funcionários da Área de Trabalho Gerenciada da Microsoft usam dispositivos aprovados para gerenciar o serviço e acessar locatários gerenciados. Esses dispositivos são dedicados a operações de produção e exigem autenticação multifator, têm sua própria identidade especializada, monitoramento e endurecimento. Além disso, esses dispositivos de uso especial têm controles para impedir que os dispositivos sejam compartilhados pelos engenheiros.
Pessoas controle
A Área de Trabalho Gerenciada da Microsoft mantém e atualiza um registro de acesso autorizado de pessoal aos sistemas da Microsoft que contêm dados do cliente. Todos os engenheiros de serviço devem estar em conformidade com as políticas e práticas padrão de segurança da Microsoft. Estes incluem treinamento obrigatório regular (segurança, identidade, privacidade e conformidade) e verificações recorrentes de antecedentes e segurança.
Os engenheiros não mantêm o acesso contínuo aos sistemas de produção ou aos dados do cliente. Todo o acesso é limitado por tempo e deve ser renovado pelo indivíduo, com revisão e aprovação de gerenciamento obrigatórios. Todos os direitos estão sujeitos a uma revisão trimestral de acesso.
A Área de Trabalho Gerenciada da Microsoft tem processos com os proprietários atribuídos que usamos para conceder, alterar e cancelar a autorização de acesso a dados e recursos. Por exemplo, se um membro da equipe da Área de Trabalho Gerenciada da Microsoft deixar a equipe, suas credenciais serão revogadas em tempo hábil.
O acesso a qualquer uma das contas de serviço interativas é restrito ao contexto de uma solicitação de suporte e é limitado a engenheiros de serviço usando esses dispositivos. As solicitações e o uso dessas contas só podem se originar de uma estação de trabalho de acesso seguro da Microsoft.
Controle de gerenciamento de acesso privilegiado
Ao lidar com uma solicitação de suporte, é possível que os engenheiros de serviço precisem acessar seu locatário. Para fazer isso, o acesso a uma função de diretório específica deve ser solicitado. Se aprovada, uma conta de convidado receberá essas permissões por no máximo oito horas. Essa abordagem permite a associação de usuários específicos com todas as ações realizadas em um locatário.
Controle da conta de serviço
Todas as credenciais da conta de serviço da Área de Trabalho Gerenciada da Microsoft são armazenadas em uma Key Vault protegida do Azure. As credenciais são geradas aleatoriamente e giram a cada 13 dias ou 30 minutos, se usadas no período provisório. Você pode solicitar o log de auditoria por meio da Área de Trabalho Gerenciada da Microsoft. Todo o uso de "Just-In-Time" é auditado e o log de auditoria contém os detalhes das solicitações de serviço pela equipe de Engenharia de Serviço de Área de Trabalho Gerenciada da Microsoft e é armazenado por 365 dias no Azure.
Para obter mais informações, consulte o documento Área de Trabalho Gerenciada da Microsoft – armazenamento de dados, uso e práticas de segurança no Portal de Confiança do Serviço (STP).