SOC (System and Organization Controls) 2 di tipo 2

Panoramica di SOC 2 di tipo 2

I SOC (System and Organization Controls) per le organizzazioni di servizi sono report di controllo interni creati dall'American Institute of Certified Public Accountants (AICPA). Hanno lo scopo di esaminare i servizi forniti da un'organizzazione di servizi in modo che gli utenti finali possano valutare e affrontare il rischio associato a un servizio in outsourcing.

L'attestazione SOC 2 di tipo 2 viene eseguita ai sensi:

• SSAE n. 18, Attestation Standards: Clarification and Recodification, che include AT-C sezione 105, Concepts Common to All Attestation Engagements e AT-C sezione 205, Examination Engagements (AICPA, Professional Standards).
• Segnalazione SOC 2 su un esame dei controlli presso un'organizzazione del servizio rilevante per la sicurezza, la disponibilità, l'integrità dell'elaborazione, la riservatezza o la privacy (Guida AICPA)
• Sezione 100 TSP, criteri dei servizi fiduciari 2017 (Trust Services Criteria) per la sicurezza, la disponibilità, l’integrità dell’elaborazione, la riservatezza e la privacy (AICPA, 2017 Trust Services Criteria).

Inoltre, il report di attestazione di Office 365 SOC 2 di tipo 2 soddisfa i requisiti definiti nella Cloud Controls Matrix (CCM) di Cloud Security Alliance (CSA) e nel Cloud Computing Compliance Criteria Catalogue (C5:2020) creato dall'Ufficio federale tedesco per la sicurezza delle informazioni (BSI).

Office 365 attestazioni SOC 2 si basano su rigorosi esami completi di terze parti (noti anche come audit) condotti da una società indipendente di AICPA accreditata CPA. Alla conclusione di un controllo SOC 2, il revisore trasmette il suo parere in un report SOC 2 di tipo 2, in cui descrive il sistema del provider di servizi cloud (cloud service provider, CSP)e valuta la correttezza della descrizione dei controlli fatta dal provider stesso. Valuta inoltre se i controlli del provider di servizi cloud sono stati progettati in modo appropriato, se erano in funzione in una determinata data e se funzionavano efficacemente in un periodo di tempo specificato. I report SOC 2 di tipo 2 di Office 365 sono rilevanti per la sicurezza, la disponibilità, l'integrità dell’elaborazione, la riservatezza e la privacy del sistema.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

I servizi online Microsoft vengono visualizzati nel report di attestazione SOC 2 di tipo 2 di Azure:

• Azure (per informazioni dettagliate, vedere Offerte di conformità di Microsoft Azure)
• Azure DevOps (vedere il report di attestazione di Azure DevOps SOC 2 di tipo 2 separato)
• Dynamics 365 (per informazioni dettagliate, vedere il report di attestazione di Azure SOC 2 di tipo 2)
• Microsoft Defender XDR
• Microsoft Defender for Cloud Apps
• Microsoft Defender per endpoint
• Microsoft Defender per identità
• Microsoft Forms Pro
• Microsoft Intune
• Microsoft Managed Desktop
• Microsoft Stream
• Microsoft Threat Experts
• Topics
• Portale di candidatura
• Office 365, Office 365 U.S. Government, Office 365 U.S. Government - High, Office 365 U.S. Government Defense
• Power Apps
• Power Automate
• Power BI
• Power Virtual Agents
• Conformità aggiornamenti

Azure, Dynamics 365 e SOC 2

Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure SOC 2.

Office 365 e SOC 2

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

• Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
• Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
• Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
• Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
• Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità	Servizi inclusi nell'ambito
Commerciale	Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Portale clienti, Office 365 microservizi (inclusi, a titolo esemplificativo, Kaizala, ObjectStore, Sway, Servizio documenti di PowerPoint Online, Servizio annotazione query, Sincronizzazione dati dell'istituto di istruzione, Siphon, Voce, StaffHub, Programma applicazioni eXtensible), Office Online, Infrastruttura di Office Services, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Crittografia dei servizi con chiave del cliente Microsoft Purview, SharePoint Online, Skype for Business
GCC	Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High	Microsoft Entra ID, Exchange Online, moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD	Microsoft Entra ID, Exchange Online, moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Report attività di Office 365

• Report Office 365 Core - SSAE 18 SOC 2
• Report Office 365 Microservices T1 - SSAE 18 SOC 2 Tipo I
• Visualizzare le lettere ponte e altri report di controllo

In conformità ai requisiti AICPA, è necessario disporre di una sottoscrizione o di un account di valutazione gratuito esistente in Office 365 o Office 365 governo degli Stati Uniti per scaricare i report di attestazione SOC 1 e SOC 2 ed eventuali lettere bridge in base alle esigenze.

Domande frequenti

Con quale frequenza vengono emessi i report SOC di Office 365?

Microsoft commissiona un esame soc 1 tipo 2 e SOC 2 tipo 2 di Office 365 ogni anno. I rapporti del revisore su questi esami (noti anche come controlli) vengono rilasciati non appena sono pronti dopo tale controllo. La relazione SOC 3, basata sull'esame SOC 2, viene rilasciata contemporaneamente.

Poiché Microsoft non controlla l'ambito investigativo dell'esame né l'intervallo di tempo del completamento del revisore, non esiste un intervallo di tempo impostato quando questi report vengono rilasciati. Le relazioni vengono in genere rilasciate alcuni mesi dopo la fine del periodo in esame. Microsoft non consente alcuna lacuna nei periodi consecutivi di esame da un esame all'altro.

Microsoft commissiona anche un esame SOC 1 di tipo 1 e SOC 2 di tipo 1 di metà anno di Office 365 per i nuovi servizi Microsoft rilasciati dopo l'ultimo controllo SOC di tipo 2. I controlli di tipo 1 non guardano indietro in un periodo di prestazioni.

A causa della natura sofisticata della Office 365, l'ambito del servizio è di grandi dimensioni se esaminato nel suo complesso. Ciò può causare ritardi di completamento dell'esame semplicemente a causa della scalabilità. Microsoft organizza tutti gli esami descritti in precedenza in 2 categorie: Core Services e Microservizi. Microsoft invia un report con ambito a ogni esame.

I controlli SOC di tipo 2 esaminano una finestra di esecuzione di 12 mesi in sequenza (nota anche come periodo di controllo o più formalmente periodo di prestazioni) con esami condotti ogni anno per il periodo dal 1° ottobre al 30 settembre dell'anno civile successivo. L'esame inizia immediatamente dopo il completamento del periodo di esecuzione.

Microsoft rilascia anche lettere ponte (note anche come lettere gap). Si tratta di attestazioni da parte di Microsoft, non di report basati su esami da parte del revisore. Le lettere bridge vengono emesse durante il periodo corrente di prestazioni che non sono ancora complete e pronte per l'esame di controllo. Microsoft rilascia lettere bridge alla fine di ogni trimestre per attestare le prestazioni durante il periodo precedente di tre mesi. A causa del periodo di prestazioni per i controlli SOC di tipo 2, le lettere bridge vengono in genere emesse in dicembre, marzo, giugno e settembre del periodo operativo corrente.

Dove è possibile ottenere la documentazione di controllo del SOC di Office 365, incluse le lettere bridge?

Per i collegamenti alla documentazione di controllo, vedere la sezione report di controllo del portale di attendibilità dei servizi. Per accedere, è necessario disporre di una sottoscrizione o di un account di valutazione gratuito esistente in Office 365 o Office 365 governo degli Stati Uniti. È possibile scaricare certificati di controllo, report di valutazione e altri documenti applicabili per soddisfare i propri requisiti normativi.

Dove è possibile trovare una valutazione dell'implementazione dei controlli CCM di Cloud Security Alliance?

Microsoft commissiona un esame delle Office 365 in base all'American Institute of Certified Public Accountants (AICPA) Trust Services Principles and Criteria, tra cui sicurezza, disponibilità, riservatezza e integrità dell'elaborazione e ai criteri contenuti nella matrice di controlli cloud (CCM) di Cloud Security Alliance (CSA).

L'obiettivo è quello di valutare sia i criteri AICPA che i requisiti stabiliti nel CCM in un'ispezione efficiente. Il controllo SOC 2 di tipo 2 Office 365 incorpora la valutazione dei controlli CCM come richiesto dall'attestazione CSA STAR. Per altre informazioni, vedere il report di attestazione SOC 2 di tipo 2 di Office 365.

Dove è possibile visualizzare le risposte di gestione a eventuali eccezioni annotate?

La maggior parte degli esami presenta alcune osservazioni su uno o più controlli specifici esaminati. Questo è prevedibile. Le risposte di gestione a eventuali eccezioni si trovano verso la fine del report di attestazione SOC. Cercare "Management Response" nel documento.

Dove è possibile visualizzare le responsabilità dell'entità utente?

Le responsabilità dell'entità utente sono responsabilità di controllo necessarie se il sistema nel suo complesso deve soddisfare gli standard di controllo SOC 2. Questi si trovano alla fine del report di attestazione SOC. Cercare "Responsabilità dell'entità utente" nel documento.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse

• Report di controllo di Service Trust Portal
• AICPA SOC per le organizzazioni di servizi
• SSAE n. 18, standard di attestazione: chiarimento e codifica (standard professionali AICPA)
• Segnalazione SOC 2 su un esame dei controlli presso un'organizzazione del servizio rilevante per la sicurezza, la disponibilità, l'integrità dell'elaborazione, la riservatezza o la privacy (Guida AICPA) (disponibile per l'acquisto)