Domande frequenti sulla certificazione Microsoft 365

Introduzione

Di seguito, sono riportate le domande frequenti frequenti poste dagli ISV (Independent Software Vendor) all'avvio della certificazione Microsoft 365. Se sono presenti query non trattate qui, contattare il team di certificazione app di Microsoft 365 tramite AppCert@Microsoft.com. Questo documento è destinato agli ISV, le informazioni generali sul programma Sicurezza e conformità di Microsoft 365 sono disponibili nella pagina del programma Conformità app Microsoft 365.

Domanda Definizione espansa
Non ho superato un controllo su un framework riconosciuto dal settore come PCI DSS, SOC 2 o ISO 27001. Questo significa che non sono in grado di richiedere la certificazione Microsoft 365? No, ottenere uno di questi framework riconosciuti dal settore non è un requisito della certificazione Microsoft 365.
Ho già superato un controllo esterno rispetto a un framework riconosciuto dal settore. Questo può contare sulla certificazione Microsoft 365? La risposta breve è Sì. Attualmente la specifica di certificazione Microsoft 365 accetta prove di framework esterni PCI DSS, SOC 2 e ISO27001. La Guida per gli invii di certificazioni di Microsoft 365 ha mappato il punto in cui si allineano questi framework esterni esistenti; tuttavia, in alcuni casi abbiamo riscontrato che lo standard/framework esistente non è stato allineato in modo adeguato. Per questo motivo, il team di certificazione Microsoft 365 eseguirà una revisione delle prove standard/framework fornite, contrassegnando quali controlli all'interno della certificazione Microsoft 365 sono soddisfatti.
Come possiamo dimostrare la conformità al GDPR se non abbiamo avuto una valutazione GDPR esterna? Microsoft non richiede una revisione indipendente della conformità al GDPR per la certificazione Microsoft 365, poiché si tratta di uno scenario in cui accetteremo l'auto-attestazione che possiamo verificare in modo indipendente quando non è stata eseguita alcuna revisione esterna. Dato che si tratta più di una valutazione che di un controllo e delle prove da raccogliere durante i processi, la revisione dei criteri di privacy e dei processi interni è il modo in cui ci siamo avvicinati al controllo GDPR. Ai fini di ciò che stiamo cercando nel controllo del GDPR, si tratta principalmente di rivedere le politiche sulla privacy per garantire che soddisfino i requisiti di base del GDPR; Ad esempio, quali dati personali vengono elaborati, qual è la lecita del trattamento, indicando i diritti dell'oggetto dei dati, le modalità di esecuzione di una richiesta di accesso soggetto (SAR) da parte di un utente, il modo in cui l'ISV intraprenderà le richieste di accesso ai dati, i dettagli della società ISV e i dettagli sulla conservazione dei dati.
Abbiamo subito un test di penetrazione; Tuttavia, non abbiamo un test di penetrazione "pulito" perché non abbiamo effettuato un nuovo test di penetrazione. È necessario eseguire un nuovo test e disporre di un report pulito? La specifica di certificazione Microsoft 365 non richiede che gli ISV eseguino test di penetrazione, fornendo prove adeguate di correzione per dimostrare che i problemi identificati nel report di test di penetrazione vengono corretti.
Parte della documentazione e delle prove richieste è sensibile, esistono accordi di non divulgazione (NDA) in atto? Sì, alcune delle informazioni inviate saranno informazioni pubbliche e altre informazioni riservate. Se si dispone di una NDA esistente con Microsoft, le condizioni di tale NDA verranno applicate alle informazioni riservate inviate. Se non si dispone di una NDA con Microsoft, le condizioni di riservatezza del Contratto per gli editori sottoscritte nel Centro per i partner verranno applicate a queste informazioni riservate.
Come trasferire in modo sicuro documentazione e prove riservate nell'ambito della valutazione della certificazione Microsoft 365? Attualmente, Microsoft non dispone di una piattaforma per la condivisione sicura di queste informazioni. È consigliabile condividere queste informazioni tramite tutti i meccanismi di sicurezza già in atto. Molti ISV utilizzeranno OneDrive e condivideranno un collegamento autenticato al team di certificazione Di Microsoft 365.
Abbiamo appena implementato alcuni processi di sicurezza aggiuntivi per soddisfare alcuni dei controlli di certificazione Microsoft 365, significa che dobbiamo attendere 12 mesi prima di poter certificare? No, Microsoft riconosce che potrebbe essere necessario sviluppare ulteriori processi di sicurezza per colmare le lacune tra i processi di sicurezza esistenti e le previsioni della certificazione Microsoft 365. Il team di certificazione Microsoft 365 esamini i processi documentati appena sviluppati e esamini le prove che il processo è stato eseguito almeno una volta. Non saranno necessarie ulteriori evidenze storiche perché non saranno disponibili per questi processi appena sviluppati. Dopo dodici mesi, un campione di prove storiche inizierà a essere valutato durante la valutazione annuale.
Quali sono i responsabili della fornitura? Durante la valutazione, gli analisti della certificazione esaminino i documenti e le prove forniti per valutare la conformità ai controlli di certificazione Microsoft 365. Come parte di questo lavoro, il team di certificazione Microsoft 365 richiederà informazioni che includeranno dettagli dell'architettura, diagrammi, dettagli di archiviazione dei dati, dettagli di progettazione dell'app, documenti di criteri e processi, file di configurazione e screenshot. In alcune occasioni, o se è più facile per te, è possibile organizzare una sessione di screenharing per mostrare le prove degli analisti di certificazione. Se i framework di conformità esistenti devono essere utilizzati per supportare le attività di valutazione, sarà necessaria una documentazione adeguata per dimostrare ciò che il revisore/valutatore esterno ha valutato e confermato come in atto. Se la documentazione di supporto non è in grado di fornire la narrativa necessaria per dimostrare esattamente come sono stati soddisfatti i controlli all'interno del framework di sicurezza esterno, il team di certificazione Microsoft 365 non sarà in grado di utilizzare il framework di sicurezza esterno a supporto della valutazione della certificazione Microsoft 365.
Per ottenere la certificazione è necessario apportare modifiche all'infrastruttura corrente? È improbabile che siano necessarie modifiche significative all'infrastruttura per soddisfare la certificazione Microsoft 365. I controlli si basano sulle procedure consigliate per la sicurezza del settore e molto probabilmente saranno già implementati. Abbiamo visto nella maggior parte dei casi; Gli ISV hanno dovuto aggiornare i processi interni per colmare le lacune tra le procedure di lavoro correnti e ciò che è necessario all'interno della certificazione Microsoft 365. Se si tratta di un problema, Microsoft consiglia di esaminare i controlli di certificazione Microsoft 365 più recenti disponibili nella Guida agli invii di certificazione Microsoft 365 per garantire che l'ambiente e le procedure di lavoro attualmente distribuiti soddisfino i controlli definiti.
Microsoft ha suggerimenti su componenti/infrastrutture/software specifici che devono essere utilizzati per soddisfare i requisiti di certificazione? Microsoft non fornisce consigli specifici sulle soluzioni per soddisfare i controlli di certificazione Microsoft 365. È possibile utilizzare qualsiasi offerta commerciale o open source, a meno che siano attivamente supportate e gestite.
Quanto tempo è necessario per completare la valutazione? In genere, il completamento di una valutazione può richiedere in media 30 giorni, ma ciò può dipendere da molte variabili. Il periodo di tempo per il completamento può variare in base alle dimensioni dell'ambiente di hosting usato per supportare l'app/componente aggiuntivo, al tipo di ambiente di hosting che supporta l'app/componente aggiuntivo e al modo in cui gli ISV prompt rispondono alle richieste di prova.
Quanto tempo è necessario allocare a questo processo? La maggior parte del lavoro è semplicemente raccogliere la documentazione e le prove in modo appropriato. Dopo di che non dovrebbero essere necessarie più di alcune ore a settimana completare il processo di valutazione. Alcune variabili che possono influire sul tempo necessario sono: le dimensioni dell'ambiente avranno un impatto sulla quantità di tempo necessaria per raccogliere le prove richieste e se sono presenti framework di sicurezza esterni che possono essere sfruttati per supportare la valutazione. Laddove sono presenti framework di sicurezza esterni e può essere fornita una documentazione di supporto adeguata, gli analisti della certificazione possono utilizzare queste valutazioni esterne per soddisfare un sottoinsieme di controlli di Microsoft 365, senza dover fornire prove aggiuntive.
Perché esiste un intervallo di tempo fisso di 60 giorni per la valutazione? È stato impostato un limite per il periodo di tempo per cui è possibile eseguire una valutazione, poiché le prove già raccolte possono diventare obsolethe più a lungo una valutazione richiede. Si tratta di un punto di valutazione del tempo e pertanto deve essere assegnato un periodo adeguato per il completamento. Dopo aver inviato l'invio del documento iniziale, risponderemo con una richiesta di prova. Il periodo di 60 giorni inizia quando si riceve la richiesta di prova. La Guida agli invii di certificazione Microsoft 365 deve essere letta e si deve essere certi che tutti i controlli possano essere soddisfatti prima di inviare l'invio di prove iniziali.
Cosa succede se la valutazione non viene completata entro l'intervallo di tempo di 60 giorni? Purtroppo, se la valutazione non viene completata durante l'intervallo di tempo di 60 giorni, Microsoft contrassegnerà un errore rispetto alla valutazione. Questo contrassegno è solo per le statistiche interne e non verrà mai pubblicato. Sarà possibile riavviare immediatamente il processo di valutazione, tuttavia verrà richiesto di inviare di nuovo nuove prove per supportare la nuova applicazione.
Quanto mi costerà la certificazione Microsoft 365? Attualmente, è GRATUITO completare la certificazione Microsoft 365.
Qual è il costo del test di penetrazione in questo programma? Se l'app deve essere sottoposta a test di penetrazione, se non fa parte delle attività di sicurezza, i test di penetrazione possono essere completati con la certificazione Microsoft 365 ed è GRATUITO. L'ambito dei test di penetrazione è limitato all'app e all'infrastruttura di supporto nell'ambito della certificazione Microsoft 365.
Hai materiali di marketing che possono essere usati per annunciare il fatto che la nostra app è stata certificata? Attualmente non offriamo materiali promozionali o di marketing. Anche se ti invitiamo a indicare ai clienti che la tua app ha ricevuto una certificazione Microsoft 365, tuttavia l'unica grafica disponibile sarà quella visualizzata nella presentazione delle app all'interno di AppSource e nelle pagine documenti Microsoft. Questo documento verrà aggiornato se il materiale di marketing diventa disponibile.
Quale livello di prova è necessario cercare durante l'esecuzione della valutazione? Le prove fornite durante la valutazione della certificazione Microsoft 365 devono essere in grado di fornire una sufficiente garanzia che l'utente sia in grado di soddisfare i controlli specifici della certificazione Microsoft 365 in fase di valutazione. Le prove possono essere sotto forma di file di configurazione, screenshot di impostazioni o prove, documentazione di criteri/procedure o sessioni di condivisione dello screenharing per dimostrare la prova all'analista di certificazione. Di seguito sono riportati due esempi:
Attività di valutazione: "Dimostrare che il software antivirus è in esecuzione in tutti i componenti di sistema campionati". – Per questo controllo, è possibile fornire uno screenshot da ogni dispositivo dell'esempio che supporta l'antivirus che mostra il processo antivirus in esecuzione o se si dispone di una console di gestione centralizzata per l'antivirus, è possibile dimostrarlo da tale console di gestione.
Attività di valutazione: "Dimostrare come vengono identificate le nuove vulnerabilità della sicurezza". - Questo controllo viene dalla sezione Gestione patch. L'intento è di disporre di un processo formalmente documentato per l'identificazione delle nuove vulnerabilità della sicurezza. Questo può essere all'interno del codice sorgente, ma deve anche essere all'interno dell'ambiente di supporto, ad esempio vulnerabilità di Windows, vulnerabilità all'interno delle dipendenze Web (ad esempio, AngularJS, JQuery e così via). È consigliabile disporre di un processo documentato da seguire per identificare nuove vulnerabilità della sicurezza, in modo da fornire il documento di processo documentato. Oltre alla documentazione, è necessario fornire la prova che il processo viene seguito; Ad esempio, se si utilizza un controllo npm per controllare le dipendenze per le vulnerabilità, fornire un esempio di report fornirà prove. Se si utilizzano più processi, ad esempio per componenti di sistema diversi, sarà necessario verificare tutti i processi.

Altre informazioni