Введите ссылку на веб-сайт вашей компании.
Ссылка на домашнюю страницу компании или приложения.
Введите ссылку на условия использования приложения.
Это предварительно заполненные данные из сведений службы приложений. Обновите его по мере необходимости.
Описывать основные функции приложения в 500 символах или меньше.
Это предварительно заполненные данные из сведений службы приложений. Обновите его по мере необходимости.
Выберите страну или регион, где находится штаб-квартира вашей компании.
Это необходимо, так как оно относится к методам обработки данных и нормативным требованиям для разных стран и регионов.
Есть ли в приложении страница сведений?
Сведения о приложении содержат общие сведения о том, что приложение может делать.
Введите ссылку на страницу сведений о приложении.
Ссылка на страницу с дополнительными сведениями о приложении, где пользователь может получить дополнительные сведения о приложении? Если у вас нет этой страницы, пометьте нет.
Какая среда размещения или модель службы используется для запуска приложения?
Среда размещения серверных служб или репозиториев кода будет область для сертификации Microsoft 365. Укажите тип размещения; IaaS = инфраструктура как услуга, PaaS/Бессерверная = платформа как услуга, размещенное isV = Среда размещения принадлежит и (или) управляется самостоятельно (т. е. вашими собственными центрами обработки данных или совместным размещением в стороннем центре обработки данных), Гибридная = Среда может быть составлена из нескольких типов размещения (например, is. ISV Hosted и PaaS).
Какие поставщики облачных служб размещения используются приложением?
Примеры: Microsoft Azure, Amazon AWS, Google... Это также может включать уникальные решения для вашей компании.
Обрабатывает ли приложение или базовую инфраструктуру какие-либо данные, связанные с клиентом Майкрософт или его устройством?
Если ваше приложение обрабатывает или хранит любые данные клиентов Майкрософт, например ЛЮБЫЕ данные, используемые из конечных точек ресурсов Майкрософт, таких как Microsoft Graph или клиент клиента, нажмите кнопку Да. Если нет, выберите нет.
Какие данные собираются или обрабатываются приложением?
Предоставьте определенные типы данных, обрабатываемые приложением, такие как данные профиля пользователя, данные почты пользователя и т. д.
Поддерживает ли приложение ПРОТОКОЛ TLS 1.1 или более поздней версии?
Tls 1.1 или более поздней версии — это протоколы безопасности для установки каналов шифрования через компьютерные сети. Использование TLS помогает предотвратить как перехват, так и атаки "злоумышленник в середине". Чтобы обеспечить лучшее в своем классе шифрование для наших клиентов, поддерживается ли приложение TLS 1.1 или более поздней версии?
Хранит ли приложение или базовую инфраструктуру какие-либо данные клиентов Майкрософт?
Хранится ли в приложении или базовой инфраструктуре какие-либо данные клиентов Майкрософт? |Если ваше приложение обрабатывает или хранит любые данные клиентов Майкрософт, например ЛЮБЫЕ данные, используемые из конечных точек ресурсов Майкрософт, таких как Microsoft Graph или клиент клиента, нажмите кнопку Да. Если нет, выберите нет.
Какие данные хранятся в базах данных?
Укажите определенные типы данных, которые хранятся в вашей базе данных, например данные профиля пользователя, данные почты пользователя, сведения о клиенте, такие как идентификатор клиента, идентификатор взаимодействия с пользователем и т. д.
Если базовая инфраструктура обрабатывает или хранит данные клиентов Майкрософт, где эти данные хранятся географически?
Укажите регион, в котором будут храниться данные клиента Майкрософт. Пример. Германия, Япония.
У вас есть установленный процесс аренды и удаления данных?
Когда клиент запрашивает удаление данных или отмену подписки, соблюдает ли ваша организация строгие стандарты хранения данных или удаления данных?
Как долго вы храните данные пользователей после завершения работы с учетной записью?
Ментируйте период времени для хранения сведений о клиентах после того, как клиент покинул вашу службу.
У вас есть установленный процесс управления всем доступом к данным клиента, ключам шифрования и секретам?
Шифрование — это важное средство для обеспечения безопасности, так как оно ограничивает доступ, Key Vault позволяет приложениям и пользователям хранить и использовать несколько типов секретных и ключевых данных. Все ли доступы к данным клиента, ключи шифрования и секреты обрабатываются и собираются, анализируются и управляются? Эта информация необходима, так как она относится к методам обработки данных и обеспечения безопасности.
Передает ли приложение какие-либо данные или содержимое клиента Майкрософт третьим лицам или субпроцессорам?
Данные клиента могут содержать имя пользователя или идентификатор сотрудника, расположение, сведения о человеке, конкретный IP-адрес пользователя и т. д. Если ваша организация передает какие-либо данные или содержимое клиента Майкрософт третьим лицам или субпроцессорам, нажмите кнопку Да. Если нет, выберите нет.
Есть ли у вас соглашения об обмене данными с какой-либо сторонней службой, с помощью которых вы предоставляете доступ к данным клиентов Майкрософт?
Сторонним обслуживанием может быть центр обработки вызовов, BPO, ввод данных и т. д. Если у вас есть соглашение об обмене данными клиентов Майкрософт с любой из этих сторонних служб, нажмите кнопку Да. Если нет, выберите нет.
Безопасность
Проводите ли вы ежегодное тестирование на проникновение в приложении?
Тестирование на проникновение, также называемое тестированием пера, — это практика тестирования компьютерной системы, сети или веб-приложения для поиска уязвимостей системы безопасности, которыми может воспользоваться злоумышленник.
Есть ли у службы документированные планы аварийного восстановления, включая стратегию резервного копирования и восстановления?
Если у вашей организации есть официальный документ плана аварийного восстановления (DR), содержащий подробные инструкции по реагированию на незапланированные инциденты, такие как стихийные бедствия, перебои в подаче электроэнергии, кибератаки и любые другие нарушения, нажмите кнопку Да. Если нет, выберите нет.
Использует ли ваша среда традиционную защиту от вредоносных программ или элементы управления приложениями?
Защита от вредоносных программ предлагает упреждающее решение для борьбы с новыми, более инновационными вирусами, которые антивирусная программа не оснащена для обработки. Элементы управления приложениями — это элементы управления входной, обрабатывающей и выходной функциями. Выберите соответствующий параметр
У вас есть установленный процесс для отступа и ранжирования рисков уязвимостей безопасности?
Эти сведения необходимы, так как они относятся к методам безопасности.
Есть ли у вас политика, которая регулирует ваше соглашение об уровне обслуживания (SLA) для применения исправлений?
Каждый раз, когда вы подписываетесь на антивирусную программу, брандмауэр или защиту от шпионских программ, необходимо постоянно обновлять системные файлы, чтобы выявлять изменения, улучшения или новые параметры, которые помогают компьютеру обнаруживать и избавляться от таких вирусов. Они называются исправлениями безопасности. Если у вас есть политика, которая регулирует соглашение об уровне обслуживания (SLA) для применения исправлений, нажмите кнопку Да. Если нет, выберите нет.
Может ли бот получить доступ к персональным данным (PII)?
PII — это любые данные, которые можно использовать для идентификации конкретного человека. Пример. Имя, адрес электронной почты.
Добавьте обоснование для доступа к персональным данным.
Примеры можно найти на нашей странице Документация Майкрософт, щелкнуть приложение, щелкнуть Обработку данных Вы можете увидеть примеры других оправданий в доступе к данным с помощью ботов.
Какие личные данные хранятся?
Личная идентифицируемая информация (PII) — это любые данные, которые можно использовать для идентификации конкретного человека. Пример. Имя, адрес электронной почты.
Добавьте обоснование для хранения личных данных.
Зачем нужно хранить персональные данные?
Перечисление всех идентифицируемых сведений организации (OII), собираемых приложением с помощью этих API.
OII — это любые данные, которые можно использовать для идентификации организации или клиента. Пример. Идентификатор клиента или IP-адрес, данные об использовании клиента, доменное имя клиента в адресе электронной почты (joe@contoso.com).
Какие типы OII будет использовать магазин приложений?
Органная идентифицируемая информация (OII) — это любые данные, которые можно использовать для идентификации организации или клиента. Пример. Идентификатор клиента или IP-адрес, данные об использовании клиента, доменное имя клиента в адресе электронной почты (joe@contoso.com).
Добавьте обоснование для хранения OII.
Почему необходимо хранить идентифицируемые сведения организации?
Передаете или предоставляете ли вы информацию, идентифицируемую пользователем (EUII) или OII, службам сторонних служб?
|EUII — это любые данные, которые можно использовать для идентификации данных клиентов. Пример. Имя или идентификатор сотрудника, сведения о расположении человека, конкретный IP-адрес пользователя. |
Список всех служб, не относящихся к Корпорации Майкрософт, в которые передается OII.
Пример. Google Cloud, AWS
Описывать, как администраторы организации могут управлять своей информацией в партнерских системах?
Пример. Шифрование, 2FA
Могут ли пользователи классифицировать данные в приложении?
Пример. Restricted, Confidential, Interal, Public
Многофакторная проверка подлинности
Многофакторная проверка подлинности (MFA) — это система безопасности, которая проверяет удостоверение пользователя, требуя несколько учетных данных. Вместо того, чтобы запрашивать имя пользователя и пароль, MFA требует других ( дополнительных) учетных данных, таких как код со смартфона пользователя, ответ на контрольный вопрос, отпечаток пальца или распознавание лиц.
Ограничение определенных IP-адресов?
Параметры ограничения IP-адресов используются для ограничения или предоставления доступа, к которым IP-адреса могут получать доступ к определенным ресурсам в службе. Для приложений, поддерживающих ограничение IP-адресов, администратор организации может ограничить ip-адреса, которые любой пользователь в организации может использовать для доступа к системе через пользовательский интерфейс или API.
Журналы аудита на учетную запись пользователя
Журналы аудита — это электронные записи, которые хронологически каталогиируют события или процедуры для предоставления поддержки, документации и журнала, которые используются для проверки подлинности действий по обеспечению безопасности и эксплуатации или устранения проблем. Журнал аудита пользователя будет содержать сведения о действиях пользователя, таких как попытки входа, доступ к файлам и т. д.
Администратор журналов аудита в приложении
Администратор журнал аудита будет включать действия администратора, такие как предоставление новых разрешений, изменение конфигураций, вызовы API и т. д.
Журналы аудита данных в приложении
Журнал аудита данных будет включать в действия изменений в базах данных, например, когда атрибут был в последний раз изменен, каково предыдущее значение записи, кто его изменил и т. д.
У вас есть политики паролей для приложения?
Пример. минимальная длина пароля, сочетание символов, запрет повторного использования старых паролей, запрет на использование личной информации (например, имя, адрес электронной почты и т. д.), продление пароля по истечении определенного периода времени.
Поддерживаете стандарт SAML для обмена проверкой подлинности?
Язык разметки утверждений безопасности — SAML — это открытый стандарт для обмена данными проверки подлинности и авторизации между сторонами, в частности между поставщиком удостоверений и поставщиком услуг.
Выполняете ли вы тестирование на проникновение для обнаружения и оценки уязвимостей сети для приложения и связанных с ним служб?
Тестирование на проникновение, также называемое тестированием пера, — это практика тестирования компьютерной системы, сети или веб-приложения для поиска уязвимостей системы безопасности, которыми может воспользоваться злоумышленник.
Соответствие требованиям
Соответствует ли приложение Закону о переносимости и бухгалтерском учете медицинского страхования (HIPPA)? HIPPA — это законодательство США, которое устанавливает стандарты для защиты конфиденциальности и безопасности индивидуально идентифицируемой информации о здоровье.
Это необходимо для компаний, базирующихся в США и не в США, с приложениями, которые связаны с медицинскими услугами или предоставляют услуги по helthcare.
Соответствует ли приложение требованиям Health Information Trust Alliance, Common Security Framework (HITRUST CSF)? HITRUST CSF — это набор средств управления, который согласовывает требования нормативных актов и стандартов информационной безопасности.
Это необходимо для приложений, которые связаны со службами здравоохранения или предоставляют услуги для служб helthcare.
Соответствует ли приложение элементам управления организацией служб (SOC 1)? Отчеты об элементах управления в служебной организации, которые относятся к внутреннему контролю за финансовой отчетностью сущностей пользователей.
Это необходимо для компаний, базирующихся в США и не в США, с приложениями, которые связаны с финансовыми услугами или предоставляют услуги финансовым учреждениям.
Соответствует ли приложение элементам управления организацией служб (SOC 2)?
Отчеты о нефинансовой обработке на основе одного или нескольких критериев службы доверия в отношении безопасности, конфиденциальности, доступности, конфиденциальности и целостности обработки. Подробнее
Какую сертификацию SOC 2 вы достигли?
Выберите Тип 1 или Тип 2, если вы получили оба, а затем выберите Тип 2.
Соответствует ли приложение элементам управления организацией служб (SOC 3)?
Отчеты на основе критериев службы доверия, которые могут свободно распространяться и содержать только утверждение руководства о том, что они соответствуют требованиям выбранных критериев? Подробнее
Проводите ли вы ежегодные оценки PCI DSS для этого приложения и его вспомогательной среды?
Стандарт безопасности данных индустрии платежных карт (PCI-DSS) — это глобальный стандарт по информационной безопасности, призванный предотвращать мошенничество путем усиленного контроля данных кредитных карт. Соответствие требованиям PCI DSS требуется для любой организации, которая хранит, обрабатывает или передает платежные данные и данные владельцев карт. Подробнее
Сертифицировано ли приложение Международной организации по стандартизации (ISO 27001)?
ISO 27001 — это сертификат, который предоставляется компаниям, поддерживающим международно признанные руководящие принципы и общие принципы по инициированию, внедрению и улучшению управления информационной безопасностью в организации. Подробнее
Соответствует ли приложение требованиям Международной организации по стандартизации (ISO 27018)?
ISO 27018 устанавливает стандартные элементы управления с рекомендациями по обработке и защите персональных данных в общедоступной облачной вычислительной среде? Подробнее
Соответствует ли приложение требованиям Международной организации по стандартизации (ISO 27017)?
ISO 27017 устанавливает общепринятые элементы управления и рекомендации по обработке и защите информации о пользователях в общедоступной облачной среде. Подробнее
Соответствует ли приложение требованиям Международной организации по стандартизации (ISO 27002)?
ISO 27002 устанавливает общие рекомендации по стандартам информационной безопасности организации и методам управления информационной безопасностью. Подробнее
Соответствует ли приложение Федеральной программе управления рисками и авторизацией (FedRAMP)?
FedRAMP — это программа правительства США, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и служб. Подробнее
Выберите уровень соответствия FedRAMP.
Разрешения FedRAMP предоставляются на трех уровнях влияния на основе руководящих принципов NIST: низкий, средний и высокий. Эти уровни ранжируют влияние, которое может оказать потеря конфиденциальности, целостности или доступности на организацию: низкое (ограниченный эффект), среднее (серьезное негативное воздействие) и высокое (серьезный или катастрофический эффект).
Соответствует ли приложение закону о семейных правах на образование и конфиденциальности (FERPA)?
FERPA — это федеральный закон, который защищает конфиденциальность записей об образовании учащихся. Подробнее
Соответствует ли приложение Закону о защите конфиденциальности детей в Интернете (COPPA)? COPPA определяет требования к веб-сайту и оператору веб-службы, которые предоставляют содержимое детям в возрасте до 13 лет.
Это необходимо для компаний, базирующихся в США и не в США, с приложениями, которые также могут использоваться детьми.
Соответствует ли приложение Закону о Sarbanes-Oxley (SOX)? SOX — это законодательство США, направленное на защиту акционеров и широкой общественности от ошибок бухгалтерского учета и мошенничества, а также на повышение точности раскрытия корпоративных сведений.|Это необходимо для публичных компаний, базирующихся в США, или публичных компаний, не базирующихся в США, которые торгуются на одном из фондовых рынков в США.|
Сведения о приложении содержат общие сведения о том, что приложение может делать.
Соответствует ли приложение требованиям NIST 800-171?
NIST SP 800-171 — это специальная публикация NIST, которая содержит рекомендуемые требования для защиты конфиденциальности контролируемой несекретной информации (CUI). Национальный институт стандартов и технологий США (NIST) продвигает и поддерживает стандарты измерения и руководящие принципы для защиты информации и информационных систем федеральных агентств. Подробнее
Сертифицировано ли приложение Cloud Security Alliance (CSA Star)?
CSA SSTAR занимается определением рекомендаций, которые помогут обеспечить более безопасную среду облачных вычислений, а также помочь потенциальным облачным клиентам принимать обоснованные решения при переносе своих ИТ-операций в облако. Подробнее
Выберите уровень сертификации CSA STAR.
Существует пять уровней сертификации, предлагаемых CSA STAR, непрерывный мониторинг, оценка, самостоятельная оценка, аттестация, сертификация. Выберите полученный.
Есть ли у вас gdpr или другие требования к конфиденциальности или защите данных?
Общий регламент по защите данных (GDPR) вводит новые правила для организаций, которые предлагают товары и услуги людям в Европейском союзе (ЕС) или которые собирают и анализируют данные для жителей ЕС независимо от того, где вы или ваше предприятие находятся. Подробнее
Есть ли в приложении внешнее уведомление о конфиденциальности, в котором описывается, как оно собирает, использует, предоставляет общий доступ и хранит персональные данные?
Внешнее уведомление о конфиденциальности должно содержать организационную информацию, собираемые данные, способы сбора данных, использование персональных данных, общий доступ к персональным данным, безопасность данных, хранение данных, юридические права клиента. Дополнительные сведения см. на странице GDPR.
Выполняет ли приложение автоматическое принятие решений, включая профилирование, которое может иметь юридические последствия или аналогичное воздействие?
В то время как профилирование — это процесс оценки аспектов о человеке, автоматическое принятие решений — это процесс принятия решений о человеке с использованием технологических средств и без участия человека. GDPR — права в отношении автоматизированного принятия решений и профилирования.
Предоставляется ли отдельным лицам возможность возражать против обработки?
GDPR — право на объект
Обрабатывает ли приложение персональные данные для дополнительных целей, не описанных в уведомлении о конфиденциальности (например, маркетинга, аналитики)?
GDPR — обработка данных
Обрабатываете ли вы специальные категории конфиденциальных данных (например, расовое или этническое происхождение, политические убеждения, религиозные или философские убеждения, генетические или биометрические данные, данные о здоровье) или категории данных, на которые распространяется законы об уведомлении о нарушении?
Если вы обрабатываете какие-либо данные, связанные с расовым или этническим происхождением, политическими убеждениями, религиозными или философскими убеждениями, генетическими или биометрическими данными, данными о здоровье, нажмите кнопку "Да". Если нет, выберите нет.
Собирает ли приложение или обрабатывает данные несовершеннолетних (т. е. лиц в возрасте до 16 лет)?
GDPR устанавливает общий возраст согласия в 16 лет, что означает, что вы не можете юридически обрабатывать данные субъекта данных в возрасте 15 лет или моложе.
Получено ли согласие от родителя или опекуна?
В случаях, когда вы работаете с данными детей в возрасте до 16 лет, вы можете обрабатывать данные только с разрешения их родителей или опекунов. Любая обработка без согласия взрослого с родительской ответственностью является незаконной в соответствии с законодательством ЕС.
Есть ли в приложении возможности удалять персональные данные человека по запросу?
GDPR — право на стирание
Есть ли в приложении возможности ограничить или ограничить обработку персональных данных человека по запросу?
GDPR — право на ограничение обработки
Предоставляет ли приложение пользователям возможность исправлять или обновлять свои персональные данные?
GDPR — право на исправление
Проводятся ли регулярные проверки безопасности и конфиденциальности данных для выявления рисков, связанных с обработкой персональных данных для приложения, таких как оценки влияния на защиту данных или оценки рисков конфиденциальности?
Эта информация необходима, так как она относится к политике конфиденциальности и безопасности.
Интегрируется ли приложение с платформа удостоверений Майкрософт (Microsoft Entra ID) для единого входа и доступа к API?
Дополнительные сведения о платформа удостоверений Майкрософт.Подробнее
Использует ли ваше приложение приложение Azure appId(s)?
Уникальный идентификатор приложения, назначенного приложению Microsoft Entra ID.Подробнее
приложение Azure appId
Введите приложение Azure appID.Подробнее
Каков идентификатор клиента, в котором зарегистрирован указанный выше приложение Azure appId?
Введите идентификатор клиента, который отображается ниже приложение Azure appId в консоли Регистрация приложений.
Каков идентификатор клиента, в котором зарегистрирован указанный выше приложение Azure appId?
Введите идентификатор клиента, который отображается ниже приложение Azure appId в консоли Регистрация приложений.
Используется ли этот идентификатор несколькими приложениями?
Эта информация необходима, так как она относится к методам идентификации.
Использует ли приложение разрешения Microsoft Graph?
Microsoft Entra ID назначает приложению уникальное приложение или идентификатор клиента. На портале откроется страница "Обзор" приложения. Чтобы добавить возможности в приложение, можно выбрать другие параметры конфигурации, включая фирменную символику, сертификаты и секреты, разрешения API и многое другое.
Разрешение Microsoft Graph
Ниже приведен список допустимых разрешений. Справочник по разрешениям Microsoft Graph
Каков тип разрешения?
Делегированные разрешения используются в приложениях, предусматривающих вход пользователя. Для таких приложений пользователь или администратор соглашается предоставить запрашиваемые разрешения. Приложение может действовать от имени вошедшего пользователя, вызывая Microsoft Graph. Некоторые делегированные разрешения могут предоставлять пользователи, не являющиеся администраторами. Однако для разрешений высокого уровня требуется согласие администратора. Разрешения приложений используются приложениями, не требующими входа пользователя (например, фоновыми службами и управляющими программами). Для таких разрешений согласие предоставляет только администратор. Дополнительные сведения.
Каково оправдание для использования этого разрешения Graph?
Почему вы выбрали разрешение perticular Graph?
Запрашивает ли приложение минимальные разрешения для вашего сценария?
Разрешения с наименьшими привилегиями — это минимальный набор разрешений, которые приложение должно запрашивать для предоставления клиентам предполагаемой функциональности. Для приложений, вызывающих Microsoft Graph, Обозреватель и справочная документация по API поможет определить разрешения с наименьшими привилегиями для вашего сценария.Подробнее
Вы изучили и выполнили все применимые рекомендации, описанные в контрольном списке интеграции платформа удостоверений Майкрософт?
Дополнительные сведения о контрольном списке интеграции платформа удостоверений Майкрософт см. на странице документации.
Использует ли ваше приложение последнюю версию MSAL (библиотека проверки подлинности Майкрософт) или Microsoft Identity Web для проверки подлинности?
Библиотека проверки подлинности Майкрософт (MSAL) позволяет разработчикам получать маркеры из платформа удостоверений Майкрософт для проверки подлинности пользователей и доступа к защищенным веб-API.Подробнее
Использует ли ваше приложение последнюю версию MSAL (библиотека проверки подлинности Майкрософт) или Microsoft Identity Web для проверки подлинности?
Библиотека проверки подлинности Майкрософт (MSAL) позволяет разработчикам получать маркеры из платформа удостоверений Майкрософт для проверки подлинности пользователей и доступа к защищенным веб-API.Подробнее
Поддерживает ли ваше приложение политики условного доступа?
Политики условного доступа в самых простых случаях — это операторы if-then. Если пользователь хочет получить доступ к ресурсу, он должен выполнить действие. Пример. Менеджер по заработной плате хочет получить доступ к приложению заработной платы и должен выполнить многофакторную проверку подлинности для доступа к нему. Подробнее
Список поддерживаемых типов политик.
Укажите все типы политик условного доступа, которые вы поддерживаете. Пример. Блокировать доступ по расположению, блокировать устаревшую проверку подлинности. Примеры можно найти на странице документации.
Поддерживает ли приложение непрерывную оценку доступа (CAE)
(CAE) — это возможность повысить устойчивость и уменьшить COGS для служб и рабочих нагрузок, которые используют проверку подлинности Microsoft Entra.Подробнее
Хранятся ли в вашем приложении учетные данные в коде?
Если в вашем приложении хранятся учетные данные в коде, нажмите кнопку Да. Если нет, выберите нет.
Приложения и надстройки для Microsoft 365 могут использовать дополнительные API Майкрософт за пределами Graph. Используются ли в вашем приложении или надстройке дополнительные API Майкрософт?
Если приложение или надстройка используют дополнительные API Майкрософт, нажмите кнопку Да. Если нет, выберите нет.
|Каково имя службы API?
Пример. MSAL