Herramienta de automatización de cumplimiento de aplicaciones para Microsoft 365
En este artículo, aprenderá cuál es la herramienta de automatización de cumplimiento de aplicaciones para Microsoft 365 (ACAT) y cómo simplifica el cumplimiento y obtiene la certificación de Microsoft 365.
Nota:
ACAT está actualmente en versión preliminar pública y solo admite aplicaciones compiladas en Azure. En el futuro, también admitirá aplicaciones basadas en otras nubes o la combinación de nubes diferentes.
Nota:
Si desea proporcionar comentarios a la versión preliminar pública de ACAT, complete este formulario. El equipo de producto de ACAT le seguirá lo antes posible una vez que recibamos sus mensajes.
¿Qué es la herramienta de automatización de cumplimiento de aplicaciones para Microsoft 365?
App Compliance Automation Tool for Microsoft 365 (ACAT) es un servicio en Azure Portal que ayuda a simplificar el recorrido de cumplimiento de cualquier aplicación que consuma datos de clientes de Microsoft 365 y se publique a través del Centro de partners. Es una herramienta de automatización del cumplimiento centrada en la aplicación que le ayuda a completar la certificación de Microsoft 365 con mayor facilidad y comodidad. En versión preliminar pública, ACAT está disponible para las aplicaciones que se ejecutan en Azure.
Con esta herramienta, podrá definir rápidamente el límite de cumplimiento de las aplicaciones, supervisar los resultados de cumplimiento automáticamente y completar la auditoría de cumplimiento más fácilmente. El límite de cumplimiento es la infraestructura en la nube que admite la entrega de la aplicación y cualquier sistema back-end con el que la aplicación pueda comunicarse.
Además de proporcionar un seguimiento más rápido para la certificación de Microsoft 365, ACAT puede ayudarle en varios escenarios de cumplimiento para aplicaciones de Microsoft 365:
- Pasos detallados para ver y corregir las responsabilidades de certificación de Microsoft 365.
- Informes diarios automáticos para ayudarle a obtener resultados de cumplimiento continuamente.
- Procedimientos recomendados de seguridad y cumplimiento que se pueden usar como guía en la primera fase del ciclo de vida de la aplicación.
Ventajas de ACAT
Recorrido de cumplimiento centrado en la aplicación.
- ACAT informa de las evaluaciones de cumplimiento del entorno en la nube de las aplicaciones, que puede integrar con la estrategia de cumplimiento de la infraestructura en la nube actual.
- Los desarrolladores pueden invocar ACAT incluso durante la fase de desarrollo de aplicaciones.
Acelera el proceso de certificación de Microsoft 365.
- ACAT automatiza completamente ciertos controles de certificación de Microsoft 365.
- Microsoft está desarrollando activamente una lista de automatización que crece continuamente.
Integración nativa con el flujo de trabajo de certificación de Microsoft 365.
- ACAT está totalmente integrado con el Centro de partners para fines de certificación de Microsoft 365.
Mantenga la aplicación o el entorno conformes continuamente.
- ACAT garantiza actualizaciones diarias de las evaluaciones de cumplimiento, adaptándolas a la configuración de tiempo de desencadenador especificada.
- ACAT le permite integrar sin problemas las evaluaciones de cumplimiento en Acciones de GitHub u otras canalizaciones de CI/CD, lo que garantiza una supervisión continua.
Conceptos de ACAT
Informe de cumplimiento normativo
En ACAT, puede auditar el estado de cumplimiento de la aplicación mediante la creación de un informe de cumplimiento para ella. Puede definir el límite de cumplimiento de la aplicación especificando los recursos de Azure que compilan la aplicación. Cree varios informes para una aplicación, en función de diferentes entornos de desarrollo y fases.
Una vez creado el informe, ACAT comienza a recopilar los datos de cumplimiento en el tiempo de desencadenador predefinido y, a continuación, a generar los resultados de cumplimiento como informe automáticamente. Mientras tanto, ACAT sigue supervisando los cambios de cumplimiento del informe de cumplimiento continuamente, hasta que decide eliminar el informe.
Control de certificación de Microsoft 365
ACAT acelera la certificación de Microsoft 365 mediante la automatización de los controles de cumplimiento. En función del estado de automatización, hay tres tipos de controles de cumplimiento definidos en ACAT.
- Control totalmente automatizado: ACAT automatiza totalmente el control de certificación de Microsoft.
- Control manual parcial automatizado: ACAT podría automatizar las responsabilidades parciales del control de certificación de Microsoft 365. Debe seguir las instrucciones proporcionadas por ACAT para completar las responsabilidades restantes.
- Control totalmente manual: debe seguir las instrucciones proporcionadas por ACAT para completar todas las responsabilidades.
A largo plazo, ACAT mejora la cobertura de automatización de los controles de certificación de Microsoft 365 continuamente.
Responsabilidades del cliente
Hay un conjunto de responsabilidades del cliente asociadas a cada control que se deben cumplir. Son responsabilidades que usted retiene en las siguientes áreas: datos, puntos de conexión, cuenta, administración de acceso, etc.
ACAT recopila datos para cada responsabilidad del cliente y devuelve un resultado de evaluación para él. También le proporciona una acción de corrección, que es nuestra guía que le ayuda a alinearse con los estándares de certificación de Microsoft 365.
Descripción del estado de cumplimiento de los controles de certificación de Microsoft 365
En el informe de cumplimiento normativo, ACAT define las responsabilidades del cliente para cada control totalmente automatizado y control manual parcial automatizado. Hay dos estados de cumplimiento para la responsabilidad del cliente.
- Pasado: los recursos en la nube aplicables a esta responsabilidad del cliente son correctos.
- Error: hay al menos un recurso en la nube incorrecto. Puede seguir los pasos de corrección para resolver los recursos incorrectos.
- N/A: No hay recursos en la nube aplicables a la responsabilidad del cliente o esta responsabilidad del cliente se considera inaplicable en función de la configuración de la aplicación para este informe.
- Revisión de cumplimiento de la aplicación requerida: se recopilan manualmente las pruebas y se cargan a esta responsabilidad del cliente. Un analista realizará una revisión exhaustiva después de enviar la solicitud de certificación de Microsoft 365 en Microsoft Partner Network.
Los estados de cumplimiento de los controles de certificación de Microsoft 365 se basan en los estados de cumplimiento de las responsabilidades del cliente.
- Pasado: no hay responsabilidad del cliente en el estado "Error" o "Revisión de cumplimiento de aplicaciones requerida" para este control de certificación de Microsoft 365.
- Error: se produjo un error en al menos una responsabilidad del cliente en relación con este control de certificación de Microsoft 365.
- N/A: todas las responsabilidades del cliente de este control de certificación de Microsoft 365 se encuentran en el estado "N/A".
- Revisión de cumplimiento de la aplicación requerida: al menos una responsabilidad del cliente está en el estado "Revisión de cumplimiento de la aplicación requerida". Un analista realizará una revisión exhaustiva después de enviar la solicitud de certificación de Microsoft 365 en Microsoft Partner Network.
preguntas más frecuentes
¿Qué son los controles manuales y los controles parcialmente automatizados?
Cada control de cumplimiento está vinculado a un conjunto específico de responsabilidades del cliente, con ACAT recopilando los datos de cumplimiento en consecuencia. Es importante tener en cuenta que, ahora, ACAT no cubre todos los controles para la certificación de Microsoft 365 (aunque se están realizando esfuerzos para expandir la cobertura). En el caso de los controles parcialmente automatizados, ACAT automatiza aspectos específicos de las responsabilidades del cliente. Los resultados de la evaluación de un control parcialmente automatizado contribuyen a la auditoría de certificación de Microsoft 365 y se necesitan más acciones por su parte para cumplir los requisitos restantes. Sin embargo, en el caso de los controles manuales, ACAT actualmente no automatiza ninguna responsabilidad del cliente.
¿Cómo puedo saber si el control está totalmente automatizado?
ACAT mejora continuamente la automatización del control. Este es el estado actual de la automatización de controles.
| Dominio de seguridad | Familia de control | Número de control | Estado de automatización de ACAT |
|---|---|---|---|
| Seguridad operativa | Formación en concienciación | Control 1 | Manual |
| Seguridad operativa | Protección contra malware: antivirus | Control 2 | Totalmente automatizado |
| Seguridad operativa | Protección contra malware: control de aplicaciones | Control 3 | Manual |
| Seguridad operativa | Administración de revisiones: clasificación de riesgos de & de aplicación de revisiones | Control 4 | Manual |
| Seguridad operativa | Administración de revisiones: clasificación de riesgos de & de aplicación de revisiones | Control 5 | Manual |
| Seguridad operativa | Detección de vulnerabilidades | Control 6 | Totalmente automatizado |
| Seguridad operativa | Detección de vulnerabilidades | Control 7 | Totalmente automatizado |
| Seguridad operativa | Controles de seguridad de red (NSC) | Control 8 | Parcialmente automatizado |
| Seguridad operativa | Controles de seguridad de red (NSC) | Control 9 | Parcialmente automatizado |
| Seguridad operativa | Cambiar control | Control 10 | Manual |
| Seguridad operativa | Cambiar control | Control 11 | Manual |
| Seguridad operativa | Protección del desarrollo o la implementación de software | Control 12 | Manual |
| Seguridad operativa | Protección del desarrollo o la implementación de software | Control 13 | Manual |
| Seguridad operativa | Administración de cuentas | Control 14 | Parcialmente automatizado |
| Seguridad operativa | Administración de cuentas | Control 15 | Manual |
| Seguridad operativa | Administración de cuentas | Control 16 | Manual |
| Seguridad operativa | Registro, revisión y alertas de eventos de seguridad | Control 17 | Parcialmente automatizado |
| Seguridad operativa | Registro, revisión y alertas de eventos de seguridad | Control 18 | Totalmente automatizado |
| Seguridad operativa | Registro, revisión y alertas de eventos de seguridad | Control 19 | Manual |
| Seguridad operativa | Registro, revisión y alertas de eventos de seguridad | Control 20 | Manual |
| Seguridad operativa | Administración de riesgos de seguridad de la información | Control 21 | Manual |
| Seguridad operativa | Administración de riesgos de seguridad de la información | Control 22 | Manual |
| Seguridad operativa | Administración de riesgos de seguridad de la información | Control 23 | Manual |
| Seguridad operativa | Administración de riesgos de seguridad de la información | Control 24 | Manual |
| Seguridad operativa | Respuesta a incidentes de seguridad | Control 25 | Manual |
| Seguridad operativa | Respuesta a incidentes de seguridad | Control 26 | Manual |
| Seguridad operativa | Respuesta a incidentes de seguridad | Control 27 | Manual |
| Seguridad operativa | Plan de continuidad empresarial (BCP) y plan de recuperación ante desastres | Control 28 | Manual |
| Seguridad operativa | Plan de continuidad empresarial (BCP) y plan de recuperación ante desastres | Control 29 | Manual |
| Seguridad operativa | Plan de continuidad empresarial (BCP) y plan de recuperación ante desastres | Control 30 | Manual |
| Control de datos seguridad & privacidad | Datos en tránsito | Control 1 | Totalmente automatizado |
| Control de datos seguridad & privacidad | Datos en tránsito | Control 2 | Manual |
| Control de datos seguridad & privacidad | Datos en reposo | Control 3 | Totalmente automatizado |
| Control de datos seguridad & privacidad | Retención, copia de seguridad y eliminación de datos | Control 4 | Manual |
| Control de datos seguridad & privacidad | Retención, copia de seguridad y eliminación de datos | Control 5 | Manual |
| Control de datos seguridad & privacidad | Retención, copia de seguridad y eliminación de datos | Control 6 | Manual |
| Control de datos seguridad & privacidad | Retención, copia de seguridad y eliminación de datos | Control 7 | Manual |
| Control de datos seguridad & privacidad | Administración del acceso a datos | Control 8 | Manual |
| Control de datos seguridad & privacidad | Administración del acceso a datos | Control 9 | Manual |
| Control de datos seguridad & privacidad | Privacidad | Control 10 | Manual |
| Control de datos seguridad & privacidad | Privacidad | Control 11 | Manual |
| Control de datos seguridad & privacidad | RGPD | Control 12 | Manual |
| Control de datos seguridad & privacidad | RGPD | Control 13 | Manual |
| Control de datos seguridad & privacidad | HIPAA | Control 14 | Manual |
| Control de datos seguridad & privacidad | HIPAA | Control 15 | Manual |
Hice los cambios sugeridos en base a la sugerencia de corrección, pero el control sigue fallando
Después de realizar una acción correctiva para solucionar el error, espere tiempo a ACAT para recuperar los resultados de la evaluación actualizados para el estado del control. Las evaluaciones se realizan cada 24 horas, según el tiempo predeterminado del desencadenador.
¿Cómo se usa el informe de cumplimiento en el proceso de certificación?
ACAT se integra perfectamente con el Centro de partners para completar el recorrido de certificación de Microsoft 365. Más información sobre cómo usar el informe de cumplimiento para acelerar la certificación de Microsoft 365