输入指向公司网站的链接。
指向公司或应用程序的主页的链接。
输入应用使用条款的链接。
这是应用服务信息中的预填充数据。 请根据需要更新它。
以 500 个字符或更少字符描述应用的核心功能。
这是应用服务信息中的预填充数据。 请根据需要更新它。
选择公司总部所在的国家或地区。
这是必需的,因为它与不同国家/地区的数据处理做法和法规相关。
应用是否具有信息页?
应用信息概述了应用程序可以执行的操作。
输入应用信息页的链接。
指向一个页面的链接,其中概述了有关应用程序的详细信息,用户可在其中了解有关应用程序的详细信息? 如果没有此页面,请标记“否”。
用于运行应用的托管环境或服务模型是什么?
后端服务或代码存储库的托管环境将在 Microsoft 365 认证范围内。 请确定托管类型;IaaS = 基础结构即服务,PaaS/无服务器 = 平台即服务,ISV 托管 = 托管环境由自己拥有和/或由自己 (运营,即你自己的数据中心或位于第三方数据中心) ,混合 = 环境可以由多种托管类型组成, (即 ISV 托管和 PaaS) 。
应用使用哪些托管云提供商?
示例包括:Microsoft Azure、Amazon AWS、Google...这也可能包括公司的独特解决方案。
应用或底层基础结构是否处理与 Microsoft 客户或其设备相关的任何数据?
如果你的应用处理或存储任何 Microsoft 客户数据,例如从 Microsoft 资源终结点(如 Microsoft Graph 或客户租户)使用的任何数据,请选择“是”。 如果没有,请选择“否”。
应用收集或处理哪些数据?
提供由应用处理的特定类型的数据,例如用户配置文件数据、用户邮件数据等。
应用是否支持 TLS 1.1 或更高版本?
传输层安全性 (TLS) 1.1 或更高版本是用于通过计算机网络建立加密通道的安全协议。 使用 TLS 有助于防止窃听和中间人攻击。 为了为客户提供一流的加密,你的应用是否支持 TLS 1.1 或更高版本?
应用或底层基础结构是否存储任何 Microsoft 客户数据?
应用或底层基础结构是否存储任何 Microsoft 客户数据?|如果你的应用处理或存储任何 Microsoft 客户数据,例如从 Microsoft 资源终结点(如 Microsoft Graph 或客户租户)使用的任何数据,请选择“是”。 如果没有,请选择“否”。
数据库中存储哪些数据?
提供存储在数据库中的特定类型的数据,例如用户配置文件数据、用户邮件数据、租户信息(如租户 ID、用户通信 ID 等)。
如果底层基础结构处理或存储 Microsoft 客户数据,则这些数据在地理上存储在哪里?
指定要存储 Microsoft 客户数据的区域。 例如, 德国、日本。
你有建立的数据租用和处置流程吗?
当客户请求删除数据或取消订阅时,你的组织是否遵循严格的数据存储或删除数据标准?
帐户终止后,用户数据需要保留多长时间?
管理客户离开服务后存储客户信息的时间段。
你是否制定了管理对客户数据、加密密钥/机密的所有访问的既定流程?
加密是一种重要的安全工具,因为它限制访问,密钥保管库使应用程序和用户能够存储和使用多种类型的机密/密钥数据。 是否处理、收集、分析和管理对客户数据、加密密钥/机密的所有访问? 需要此信息,因为它与数据处理和安全做法相关。
应用是否会将任何 Microsoft 客户数据或客户内容传输给第三方或子处理方?
客户数据可以是员工用户名或 ID、位置、人员信息、用户特定的 IP 地址等。如果你的组织将任何 Microsoft 客户数据或客户内容转让给第三方或子处理者,请选择“是”。 如果没有,请选择“否”。
你是否与与之共享 Microsoft 客户数据的任何第三方服务签订了数据共享协议?
第三方服务可以是呼叫中心、BPO、数据输入等。如果你已同意与任何第三方服务共享 Microsoft 客户数据,请选择“是”。 如果没有,请选择“否”。
安全性
是否对应用执行年度渗透测试?
渗透测试也称为笔测试,是测试计算机系统、网络或 Web 应用程序以查找攻击者可能利用的安全漏洞的做法。
该服务是否具有记录的灾难恢复计划,包括备份和还原策略?
如果你的组织有灾难恢复 (DR) 计划的正式文档,其中包含有关如何响应计划外事件(如自然灾害、停电、网络攻击和任何其他中断事件)的详细说明,请选择“是”。 如果没有,请选择“否”。
你的环境是否使用传统的反恶意软件保护或应用程序控制?
反恶意软件提供主动解决方案,可应对防病毒软件无法处理的较新、更具创新性的病毒。 应用程序控件是控制输入、处理和输出函数。 选择适当的选项
是否有针对安全漏洞进行标识和风险排名的既定流程?
需要此信息,因为它与安全实践相关。
你是否有一个策略来管理用于应用修补程序的服务级别协议 (SLA) ?
每当订阅防病毒、防火墙或反间谍软件保护时,都需要持续更新系统文件,以识别帮助计算机检测和消除此类病毒的更改、改进或新参数。 这些修补程序称为安全修补程序。 如果你有一个策略来管理服务级别协议 (SLA) 以应用修补程序,请选择“是”。 如果没有,请选择“否”。
机器人是否可以 (PII) 访问个人身份信息?
PII 是可用于标识特定人员的任何数据。 例如, 姓名、电子邮件地址。
添加访问 PII 的理由。
可以在“Microsoft Docs”页上找到示例,单击应用,单击“数据处理”,即可查看通过机器人访问数据的其他理由示例。
正在存储哪些 PII?
个人身份信息 (PII) 是可用于识别特定人员的任何数据。 例如, 姓名、电子邮件地址。
添加存储 PII 的理由。
为什么需要存储个人身份信息?
列出应用通过这些 API 收集的任何组织身份信息 (OII) 。
OII 是可用于标识组织/租户的任何数据。 例如, 租户 ID 或 IP 地址、租户使用情况数据、电子邮件地址中的租户域名 (joe@contoso.com) 。
应用商店将使用哪些类型的 OII?
OII) (组织身份信息是可用于标识组织/租户的任何数据。 例如, 租户 ID 或 IP 地址、租户使用情况数据、电子邮件地址中的租户域名 (joe@contoso.com) 。
添加存储 OII 的理由。
为什么需要存储组织身份信息?
是否通过非 Microsoft 服务 (EUII) 或 OII 传输或共享最终用户身份信息?
|EUII 是可用于标识客户数据的任何数据。 例如, 员工用户名或 ID、人员的位置信息、用户特定的 IP 地址。 |
列出将 OII 传输到的所有非 Microsoft 服务。
例如, Google Cloud、AWS
描述组织的管理员如何在合作伙伴系统中控制其信息?
例如, 加密,2FA
用户是否可以对应用中的数据进行分类?
例如, 受限、机密、互用、公共
多重身份验证
多重身份验证 (MFA) 是一种通过要求多个凭据来验证用户身份的安全系统。 MFA 不仅需要用户名和密码,还需要其他凭据,例如用户智能手机中的代码、安全问题的答案、指纹或面部识别。
限制特定 IP 地址?
IP 限制设置用于限制或授予对哪些 IP 可以访问服务中的特定资源的访问权限。 对于支持 IP 限制的应用,组织管理员可以限制组织中的用户可通过用户界面或 API 访问系统的 IP 地址。
每个用户帐户的审核跟踪
审核跟踪是按时间顺序编录事件或过程以提供支持、文档和历史记录的电子记录,用于对安全和操作操作进行身份验证或缓解挑战。 用户审核跟踪将包括有关用户活动的信息,例如登录尝试、访问文件等。
在应用中管理员审核跟踪
管理员审核跟踪将包括管理员活动,例如授予新权限、更改配置、API 调用等。
应用中的数据审核跟踪
数据审核跟踪将包括在数据库中的更改活动中,例如上次修改属性的时间、记录的上一个值以及修改者等。
你的应用是否具有密码策略?
例如, 最小密码长度、字符组合、禁止重复使用旧密码、禁止使用姓名、电子邮件等个人信息 () ,在一定时间段后进行密码续订。
是否支持安全断言标记语言 (SAML) 交换身份验证的标准?
安全断言标记语言 - SAML - 是一种开放标准,用于在各方之间交换身份验证和授权数据,特别是在标识提供者和服务提供商之间。
是否执行渗透测试来检测和评估应用及其关联服务的网络漏洞?
渗透测试也称为笔测试,是测试计算机系统、网络或 Web 应用程序以查找攻击者可能利用的安全漏洞的做法。
合规性
该应用是否符合 HIPPA) (健康保险可移植性和会计法案? HIPPA 是美国立法,为保护个人可识别健康信息的机密性和安全性设定了标准。
对于拥有与医疗保健服务相关的应用或为 helthcare 服务提供服务的美国和非美国公司,这都是必需的。
应用是否符合 Health Information Trust Alliance、Common Security Framework (HITRUST CSF) ?HITRUST CSF 是一组控制措施,可协调信息安全法规和标准的要求。
对于与医疗保健服务相关的应用或向 helthcare 服务提供服务的应用,这是必需的。
应用是否符合 SOC 1) (服务组织控制? 报告与用户实体对财务报告的内部控制相关的服务组织中的控制。
对于拥有与金融服务相关的应用或向金融机构提供服务的美国和非美国公司,这都是必需的
应用是否符合服务组织控制 (SOC 2) ?
根据一个或多个信任服务标准(安全性、隐私性、可处理性、机密性和处理完整性)报告非财务处理。了解更多信息
你获得了哪个 SOC 2 认证?
选择“类型 1”或“类型 2”,如果同时获取了两者,请选择“类型 2”
应用是否符合服务组织控制 (SOC 3) ?
基于信任服务条件的报告,可以自由分发,并且仅包含管理层的断言,即它们已满足所选条件的要求? 了解更多
是否对此应用及其支持环境执行年度 PCI DSS 评估?
支付卡行业 (PCI) 数据安全标准 (DSS) 是一种全球信息安全标准,旨在通过增强对信用卡数据的控制来预防欺诈。 存储、处理或传输付款和持卡人数据的任何组织都需要符合 PCI DSS。了解更多信息
应用国际标准化组织 (ISO 27001 是否) 认证?
ISO 27001 是颁发给坚持国际公认的准则和一般原则的公司颁发的证书,用于在组织内启动、实施和改进信息安全管理。了解更多信息
该应用是否符合国际标准化组织 (ISO 27018) ?
ISO 27018 为在公共云计算环境中处理和保护个人身份信息 (PII) 建立了普遍接受的控制措施?了解更多信息
该应用是否符合国际标准化组织 (ISO 27017) ?
ISO 27017 为在公共云计算环境中处理和保护用户信息建立了普遍接受的控制措施和准则。了解更多信息
该应用是否符合国际标准化组织 (ISO 27002) ?
ISO 27002 为组织信息安全标准和信息安全管理做法建立了共同准则。了解更多信息
联邦风险和授权管理计划 (FedRAMP 的应用是否) 合规?
FedRAMP 是美国政府计划,为云产品和服务提供安全评估、授权和持续监视的标准化方法。了解更多信息
选择 FedRAMP 符合性级别。
FedRAMP 授权根据 NIST 指南在三个影响级别授予 -- 低、中和高。 这些级别对丢失机密性、完整性或可用性可能对组织造成的影响进行排名:低 (有限影响) 、中等 (严重不利影响) ,以及) (严重或灾难性影响。
该应用是否符合 FERPA) (家庭教育权利和隐私法?
FERPA 是保护学生教育记录隐私的联邦法律。了解更多信息
该应用是否符合 COPPA) (儿童在线隐私保护法?COPPA 定义了网站和联机服务运营商向 13 岁以下儿童提供内容的要求。
对于拥有可供儿童使用的应用的美国和非美国公司来说,这都是必需的。
该应用是否符合 SOX) (Sarbanes-Oxley 法案? SOX 是美国立法,旨在保护股东和公众免受会计错误和欺诈,并提高公司披露的准确性。这是在美国某一证券交易所市场交易的美国上市公司或非美国上市公司所必需的。
应用信息概述了应用程序可以执行的操作。
应用是否符合 NIST 800-171?
NIST SP 800-171 是 NIST 特别出版物,它为保护 CUI) (受控未分类信息的机密性提供了建议要求。 美国国家标准与技术研究院 (NIST) 促进和维护测量标准和准则,以帮助保护联邦机构的信息和信息系统。了解更多信息
该应用是否已获得云安全联盟 (CSA Star) 认证?
CSA SSTAR 致力于定义最佳做法,以帮助确保更安全的云计算环境,并帮助潜在云客户在将其 IT 运营过渡到云时做出明智的决策。了解更多信息
选择 CSA STAR 认证级别。
CSA STAR 提供五个认证级别:持续监视、评估、自我评估、证明、认证。 选择已获取的。
你是否有 GDPR 或其他隐私或数据保护要求或义务?
GDPR (一般数据保护条例) 为向欧盟 (欧盟) 人员提供商品和服务的组织,或者无论你或你的企业位于何处,都收集和分析欧盟居民的数据的组织引入了新规则。了解更多信息
应用是否具有面向外部的隐私声明,用于描述它如何收集、使用、共享和存储个人数据?
面向外部的隐私声明必须包含组织信息、收集的数据、收集的数据方式、个人数据的使用方式、个人数据的共享方式、数据安全、数据保留、客户法律权利,有关详细信息,请访问 GDPR 页面
应用是否执行自动决策,包括可能具有法律效力或类似影响的分析?
虽然分析是评估一个人各方面的过程,但自动化决策是使用技术手段做出有关个人的决策的过程,而无需人工参与。 GDPR - 与自动决策和分析相关的权利。
个人是否提供了反对处理的选项?
GDPR - 对象权限
应用是否出于隐私声明 ((即营销、分析) )中所述的次要目的处理个人数据?
GDPR - 数据处理
是否处理 (特殊类别的敏感数据,即种族或民族血统、政治观点、宗教或哲学信仰、遗传或生物识别数据、健康数据) 或受违反通知法约束的数据类别?
如果处理与种族或民族血统、政治观点、宗教或哲学信仰、遗传或生物识别数据、健康数据相关的任何数据,请选择“是”。 如果没有,请选择“否”。
应用是否收集或处理未成年人 ((即 16) 以下个人)的数据?
GDPR 将一般同意年龄设置为 16 岁,这意味着你不能合法处理 15 岁或 15 岁以下的数据主体的数据。
是否获得家长或法定监护人的同意?
如果您处理 16 岁以下儿童的数据,则只能在其家长或监护人的许可下处理数据。 根据欧盟法律,未经父母责任的成年人同意的任何处理都是非法的。
应用是否具有根据请求删除个人个人数据的功能?
GDPR - 擦除权
应用是否能够根据请求限制对个人个人数据的处理?
GDPR - 限制处理的权利
应用是否为个人提供更正或更新其个人数据的功能?
GDPR - 纠正权
是否定期执行数据安全和隐私评审来识别与处理应用个人数据相关的风险,例如数据保护影响评估或隐私风险评估?
需要此信息,因为它与隐私和安全做法相关。
应用程序是否与 Microsoft 标识平台 (Microsoft Entra ID) 集成,以便进行单一登录和 API 访问?
详细了解Microsoft 标识平台。了解更多信息
你的应用是否使用 Azure 应用程序 appId () ?
Microsoft Entra ID 分配给应用程序的应用程序的唯一标识符。了解详细信息
Azure 应用程序 appId
输入Azure 应用程序 appID。了解更多信息
注册上述Azure 应用程序 appId 的租户的 ID 是什么?
输入显示在 应用注册 控制台上的 appId 下方的租户 ID Azure 应用程序。
注册上述Azure 应用程序 appId 的租户的 ID 是什么?
输入显示在 应用注册 控制台上的 appId 下方的租户 ID Azure 应用程序。
此 ID 是否由多个应用程序使用?
需要此信息,因为它与标识做法相关。
应用是否使用 Microsoft Graph 权限?
Microsoft Entra ID 为应用分配唯一的应用程序或客户端 ID。 门户将打开应用程序的“概述”页。 若要向应用程序添加功能,可以选择其他配置选项,包括品牌、证书和机密、API 权限等。
Microsoft Graph 权限
下面是可接受的权限列表。 Microsoft Graph 权限参考
什么是权限类型?
具有已登录用户的应用使用委派权限。 对于这些应用,用户或管理员同意应用请求的权限,并且应用可在调用 Microsoft Graph 时充当已登录的用户。 一些委派权限可由非管理用户同意,但一些特权级别更高的权限需要管理员同意。 应用程序权限由无需用户登录即可运行的应用使用;例如,作为后台服务或守护程序运行的应用。 应用程序权限只能由管理员同意。 了解详细信息。
使用此 Graph 权限的理由是什么?
为什么选择该垂直图权限?
你的应用是否为方案请求最低特权权限?
最低特权权限是应用需要请求的最小权限集,以便为客户提供其预期功能。 对于调用 Microsoft Graph 的应用,Graph 资源管理器和 API 参考文档可以帮助你确定方案的最低特权权限。了解更多信息
你是否已查看并遵守了Microsoft 标识平台集成清单中列出的所有适用的最佳做法?
在我们的文档页上详细了解Microsoft 标识平台集成清单
你的应用是否使用最新版本的 MSAL (Microsoft 身份验证库) 或 Microsoft Identity Web 进行身份验证?
Microsoft 身份验证库 (MSAL) 使开发人员能够从Microsoft 标识平台获取令牌,以便对用户进行身份验证并访问受保护的 Web API。了解更多信息
你的应用是否使用最新版本的 MSAL (Microsoft 身份验证库) 或 Microsoft Identity Web 进行身份验证?
Microsoft 身份验证库 (MSAL) 使开发人员能够从Microsoft 标识平台获取令牌,以便对用户进行身份验证并访问受保护的 Web API。了解更多信息
你的应用是否支持条件访问策略?
条件访问策略最简单的是 if-then 语句,如果用户想要访问资源,则必须完成操作。 示例:工资单经理想要访问工资单应用程序,并且需要执行多重身份验证才能访问该应用程序。了解更多信息
列出支持的策略类型。
提及你支持的所有类型的条件访问策略。 例如, 按位置阻止访问,阻止旧式身份验证。 可以在我们的文档页面上找到示例
你的应用是否支持持续访问评估 (CAE)
(CAE) 是提高复原能力并减少依赖于Microsoft Entra身份验证的服务/工作负载的 COGS 的功能。了解更多信息
你的应用是否在代码中存储任何凭据?
如果应用在代码中存储任何凭据,请选择“是”。 如果没有,请选择“否”。
Microsoft 365 的应用和加载项可能会在 Graph 之外使用其他 Microsoft API。 你的应用或外接程序是否使用其他 Microsoft API?
如果你的应用或外接程序使用其他 Microsoft API,请选择“是”。 如果没有,请选择“否”。
|API 的服务名称是什么?
例如, MSAL