Panoramica della guida di prova dell'esempio di certificazione Microsoft 365

Questa guida di prova di esempio consente agli ISV di produrre le prove corrette necessarie per completare la certificazione Microsoft 365. Questo documento include la finalità di ogni controllo e tutte le parti secondarie di un controllo, i possibili modi in cui è possibile raccogliere le prove per i controlli con documenti di prova, criteri e screenshot di esempio. Inoltre, questa guida fornisce assistenza su come strutturare le prove inviate.

Tutti gli esempi condivisi in questo documento non rappresentano l'unica prova che può essere usata per dimostrare che i controlli vengono soddisfatti. Queste sono linee guida per il tipo di prova che può aiutare gli analisti di certificazione a decidere se il controllo è stato soddisfatto dall'ISV.

Nota: le interfacce, gli screenshot e la documentazione effettivi usati per soddisfare i requisiti per la certificazione variano a seconda dell'uso del prodotto, della configurazione del sistema e dei processi interni. Si noti che quando sono necessari criteri o documentazione della procedura, l'ISV deve inviare versioni complete dei documenti effettivi e non screenshot, come potrebbe essere illustrato in alcuni degli esempi.

Gli screenshot che devono essere inviati devono essere screenshot a schermo intero con qualsiasi URL, utente connesso (assicurarsi che il nome dell'utente connesso sia visibile nello screenshot) con il timestamp e la data inclusi. Per i sistemi basati su Linux, includere queste informazioni con/sull'evidenza del controllo usando il prompt dei comandi per produrle.

Tutte le prove inviate devono avere meno di 3 mesi per garantire che al termine della certificazione l'evidenza sia ancora pertinente e non obsoleta. In caso contrario, potrebbe essere richiesto di raccogliere nuove prove.

Nota anche: nessuna API beta può essere usata ai fini di questa certificazione o di qualsiasi esempio usato all'interno di questo processo.

È consigliabile seguire queste linee guida per evitare che la valutazione venga ritardata a causa di prove insufficienti.

Nota

Se è stata avviata la certificazione Microsoft 365 prima del 12 dicembre 2023, vedere la guida alle prove di esempio legacy.

Struttura di certificazione Microsoft 365

La certificazione è stata strutturata in tre domini di sicurezza:

• Sicurezza dell'applicazione (inclusi i controlli di connettività, se necessario)

• Sicurezza operativa

• Sicurezza dei dati e privacy

Un test di penetrazione è necessario per la certificazione e verrà esaminato nel dominio di sicurezza dell'applicazione. Per altre informazioni, vedere le sezioni 3 e 4 della struttura di invio delle prove.

I domini di sicurezza vengono suddivisi in gruppi di controllo per consentire agli ISV di comprendere la struttura delle attività e suddividere la raccolta di evidenze in parti piccole e gestibili. Questi gruppi di controllo sono stati allineati alle strutture di resourcing aziendali comuni per identificare i team interni per il supporto, consentendo al tempo stesso ai team di lavorare in parallelo per accelerare il processo di raccolta delle prove.

Controlli: descrizione dell'attività di valutazione: questi controlli e il numero associato (No)) sono tratti direttamente dall'elenco di controllo della certificazione microsoft 365.

Finalità: finalità del motivo per cui il controllo di sicurezza è incluso nel programma e il rischio specifico che è destinato a mitigare. La speranza è che queste informazioni forniscano agli ISV il ragionamento alla base del controllo per comprendere meglio i tipi di prove che devono essere raccolti e a quali ISV devono prestare attenzione e avere consapevolezza e comprensione nella produzione delle loro prove.

Linee guida per l'evidenza di esempio: fornite per guidare le attività di raccolta delle prove sulla certificazione Microsoft 365. Ciò consente agli ISV di visualizzare chiaramente esempi del tipo di prova che può essere usato dall'analista di certificazione che lo userà per stabilire con certezza che un controllo è in atto e gestito, non è affatto esaustivo.

Prova di esempio: questa sezione fornisce screenshot di esempio e immagini di potenziali prove acquisite su ognuno dei controlli all'interno della certificazione Microsoft 365, in particolare per i domini di sicurezza operativa e sicurezza dei dati e privacy. Si prega di notare che qualsiasi informazione con frecce rosse e caselle all'interno degli esempi è per facilitare ulteriormente la comprensione dei requisiti necessari per soddisfare qualsiasi controllo.

Struttura di invio di prove

L'invio di prove a tutti i controlli applicabili verrà eseguito tramite il Centro per i partner, ad eccezione delle valutazioni a supporto della registrazione della conformità Microsoft e delle certificazioni del contact center. Questi dovranno in genere essere sottoposti a un processo manuale, ignorare questa sezione e vedere la sezione successiva relativa al completamento della certificazione se si sta registrando la conformità & contact center.

Per assicurarsi che gli analisti di certificazione possano identificare facilmente le prove fornite e esaminarle correttamente, seguire queste raccomandazioni:

1. Per ognuna delle sezioni assicurarsi che le prove siano chiaramente etichettate prima della presentazione. Se sono presenti più prove per ogni controllo, inserire l'evidenza in un singolo file di parole/pdf, incluso un commento di ciò che l'evidenza mostra. Se l'evidenza è costituita da più documenti word/pdf, ad esempio la documentazione di supporto, caricarli come singoli file. Si prega di non inserire questi in un file ZIP per il caricamento nel Centro per i partner in quanto non si accettano file ZIP a causa del rischio di malware.

2. Tutte le informazioni del framework esterno devono essere fornite in modo completo senza apportare correzioni (consentiremo solo la redazione di un nome parziale di singoli utenti da questi report in quanto rientrano nelle informazioni personali( Personal Identifiable Information) - Tutte le parti dei report devono essere incluse, ad esempio, dichiarazione di applicabilità ISO 27001 (SOA) e certificato, report SOC 2 completo di tipo 2 e/o attestazione di conformità PCI-DSS completa (AOC). Tutti i documenti sono coperti dal contratto del Centro per i partner Microsoft ai sensi della clausola 7.

La sezione 7(a) include la NDA seguente:

3. Quando richiesto, è necessario inviare un report completo dei test di penetrazione non controllati tramite il Centro per i partner. Se non viene fornito, gli analisti della certificazione non saranno in grado di completare il controllo per la certificazione Microsoft 365.

4. Test di penetrazione dell'infrastruttura interna ed esterna e dell'applicazione Web: è necessario un report di test di penetrazione per tutti gli ambienti di hosting.

   • Per Infrastruttura distribuita come servizio (IaaS) o ISV ospitata (data center privato locale) è necessario un test dell'infrastruttura interna ed esterna e dell'applicazione Web.

   • Per Platform as a Service "PaaS/Serverless" il test della penna deve provenire dall'applicazione Web e dall'infrastruttura di supporto sottostante.

Nota: test di penetrazione gratuiti: il test gratuito della penna Microsoft è limitato solo a dodici giorni. Se quando si definisce l'ambito del test della penna, l'app richiede più di 12 giorni di test, verrà richiesto di pagare per i giorni aggiuntivi, inoltre, se è necessario eseguire il test della penna fuori orario, verranno addebitati costi aggiuntivi. Il servizio di test della penna fornito è anche limitato a un test della penna (incluso un nuovo test) all'anno, ad esempio se il test di penetrazione è stato eseguito il 1° settembre 2022, non sarà possibile ottenerne un altro fino al 31 agosto 2023.

Questo è applicabile a tutti i tentativi di invio, il che significa che questo vale per il ciclo di invio corrente e se decidi di chiudere l'invio corrente e riavviare il processo più avanti entro lo stesso anno, non avrai diritto a un ulteriore test della penna perché uno è già stato eseguito per te.

5. Tutti gli ISV devono completare l'invio iniziale del documento entro 14 giorni (inclusi eventuali avanti e indietro con l'analista) dopo aver ricevuto il messaggio di posta elettronica iniziale del ticket dal team di amministrazione Microsoft. L'intervallo di tempo di 14 giorni prevede il completamento completo, la revisione e lo spostamento dell'invio alla fase di prova completa. Gli ISV devono verificare regolarmente se il loro analista ha richiesto modifiche o ha richiesto informazioni o documenti aggiuntivi. Durante il periodo di 14 giorni gli ISV possono inviare le informazioni necessarie tutte le volte necessarie, tuttavia, tenere presente che se l'invio non viene attivamente lavorato, sarà considerato non aggiornato e chiuso nel Centro per i partner e la certificazione dovrà essere riavviata. In determinate circostanze, un ISV potrebbe essere fornito fino a 30 giorni per il completamento. Se un ISV non riesce a completare l'invio iniziale del documento entro l'intervallo di tempo specificato, l'invio verrà chiuso.

Inoltre, tutti gli ISV devono completare la certificazione entro 60 giorni dal momento in cui l'invio viene spostato dalla fase iniziale di invio del documento alla fase di raccolta completa delle prove. Ciò include eventuali revisioni e feedback forniti dal valutatore/revisore durante tutto il processo. L'intervallo di tempo di 60 giorni prevede il completamento completo, la revisione e il controllo di qualità finale delle prove, il che significa che gli ISV devono inviare le prove almeno due settimane prima della data di completamento per garantire che la certificazione venga completata in tempo. Durante il periodo di 60 giorni, gli ISV possono inviare prove al Centro per i partner il numero di volte necessario. Tuttavia, tenere presente che l'invio finale, come indicato, è di almeno due settimane prima della data di completamento per dare agli analisti di certificazione il tempo di esaminare e controllare l'invio. Al termine dei 60 giorni, gli ISV dovranno riavviare il processo.

Se si verificano problemi durante il processo di certificazione, l'analista della certificazione può concedere una potenziale estensione per problemi validi. Un analista può concedere a sua discrezione un'estensione del tempo fino a un massimo di altri 30 giorni se si vede che gli ISV stanno lavorando attivamente all'invio. Si noti che se viene fornita un'estensione da 0 a 30 giorni, l'ISV dovrà assicurarsi che le prove siano disponibili per la revisione due settimane prima della data di fine dell'estensione.

Se viene concessa un'estensione, ma l'evidenza ha più di 3 mesi, potrebbe potenzialmente non riuscire il controllo di qualità in quanto tale prova potrebbe essere potenzialmente considerata obsoleta a causa del periodo di tempo tra il momento in cui è stato fornito e il controllo di qualità finale, il che significa che saranno necessarie nuove prove per tali controlli. Una volta che il tempo di estensione è scade non ci saranno altre estensioni e l'ISV dovrebbe inviare le loro prove (almeno due settimane prima della fine dell'estensione), se non inviato l'invio verrà classificato come non riuscito e verrà chiuso. Se non è stato avviato alcun lavoro attivo sull'invio in qualsiasi momento durante i 60 giorni iniziali o durante il periodo di estensione (fino a 30 giorni), l'invio verrà classificato come abbandonato e verrà chiuso.

Se l'invio è stato classificato come abbandonato, l'ISV dovrà riavviare il processo con una nuova attestazione e nuove prove in quanto le prove correnti saranno considerate non aggiornate. Si noti che gli ISV sono consentiti solo un invio in un anno. Se per qualsiasi motivo un ISV abbandona il processo una volta che è nella fase di raccolta completa delle prove e il loro invio è stato contrassegnato come abbandonato, non sarà possibile riavviare il processo fino all'anno successivo.

Struttura di invio di prove manuale: registrazione della conformità & contact center

Per garantire che gli analisti di certificazione possano identificare facilmente le prove fornite e esaminarle correttamente, seguire queste raccomandazioni per la struttura di invio delle prove se l'invio viene eseguito manualmente tramite richiesta del team di certificazione.

1. Creare un singolo documento, che può essere facilmente esaminato (ad esempio, in Word o PDF), per ogni gruppo di controllo di sicurezza (ad esempio, antivirus, gestione delle patch e così via).

2. Assegnare al singolo documento il nome del gruppo di controllo di sicurezza per indicare chiaramente il contenuto del documento.

3. Aggiungervi gli artefatti dell'evidenza, fare riferimento alla documentazione di supporto dell'organizzazione che supporta il gruppo di controllo ed eventuali note aggiuntive per l'analista della certificazione che spiegano che cos'è l'artefatto e in che modo questa prova soddisfa il controllo ( aiuterà gli analisti di certificazione se si denominano le immagini con i relativi numeri di controllo, ad esempio, Data Security and Privacy Control No.1).

Nota: tenere presente che, quando viene usato il campionamento, gli artefatti devono essere prelevati da ogni dispositivo nel set di esempi, assicurarsi che l'artefatto visualizzi anche il nome del sistema per verificare che l'artefatto provenisse dal dispositivo valutato e che nessun dato sia oscurato o redacted.

4. Tutte le informazioni del framework esterno devono essere fornite in modo completo senza operazioni di redazione (consentiremo solo la redazione del nome degli individui da questi report in quanto rientrano nell'ambito delle informazioni personali) - Tutte le parti dei report devono essere incluse, ad esempio l'Istruzione di applicabilità ISO 27001 (SOA) e il certificato, il report SOC 2 di tipo 2 completo e/o l'attestazione di conformità PCI-DSS completa (AOC) full HIPAA Report o FedRAMP. Tutti i documenti sono coperti dal contratto del Centro per i partner Microsoft nella sezione 7.

La sezione 7(a) include la NDA seguente:

5. Quando richiesto, è necessario inviare all'analista della certificazione un report completo di test di penetrazione non richiesto. Se non viene fornito, l'analista della certificazione non sarà in grado di completare la certificazione Microsoft 365.

6. Infrastruttura interna ed esterna e applicazione Web: è necessario un report di test di penetrazione per tutti gli ambienti di hosting.

   • Per Infrastruttura distribuita come servizio (IaaS) o ISV ospitata (data center privato locale) è necessario un test dell'infrastruttura interna ed esterna e dell'applicazione Web.

   • Per Platform as a Service "PaaS/Serverless" il test della penna deve provenire dall'applicazione Web e dall'infrastruttura di supporto sottostante.

Test di penetrazione gratuiti: si noti che il test gratuito della penna Microsoft è limitato solo a dodici giorni. Se un'app richiede più di 12 giorni di test, all'ISV verrà chiesto di pagare per i giorni aggiuntivi. Inoltre, se l'ISV richiede il test della penna fuori dal normale orario di ufficio in base alla posizione del revisore, ciò comporta anche costi aggiuntivi. Il servizio di test della penna fornito è limitato a un test della penna gratuito (incluso un nuovo test) all'anno per ogni tentativo di invio.

7. Tutti gli ISV devono completare l'invio iniziale del documento entro 14 giorni (inclusi eventuali avanti e indietro con l'analista) dopo aver ricevuto il messaggio di posta elettronica iniziale del ticket dal team di amministrazione Microsoft. L'intervallo di tempo di 14 giorni prevede il completamento completo, la revisione e lo spostamento dell'invio alla fase di prova completa. Gli ISV devono verificare regolarmente se il loro analista ha richiesto modifiche o ha richiesto informazioni o documenti aggiuntivi. Durante il periodo di 14 giorni gli ISV possono inviare le informazioni necessarie tutte le volte necessarie, tuttavia, tenere presente che se l'invio non viene attivamente lavorato, sarà considerato non aggiornato e chiuso nel Centro per i partner e la certificazione dovrà essere riavviata. In determinate circostanze, un ISV potrebbe essere fornito fino a 30 giorni per il completamento. Se un ISV non riesce a completare l'invio iniziale del documento entro l'intervallo di tempo specificato, l'invio verrà chiuso.

Inoltre, tutti gli ISV devono completare la certificazione entro 60 giorni dal momento in cui l'invio viene spostato dalla fase iniziale di invio del documento alla fase di raccolta completa delle prove. Ciò include eventuali revisioni e feedback forniti dal valutatore/revisore durante tutto il processo. L'intervallo di tempo di 60 giorni prevede il completamento completo, la revisione e il controllo di qualità finale delle prove, il che significa che gli ISV devono inviare le prove almeno due settimane prima della data di completamento per garantire che la certificazione venga completata in tempo. Durante il periodo di 60 giorni, gli ISV possono inviare prove al Centro per i partner il numero di volte necessario. Tuttavia, tenere presente che l'invio finale, come indicato, è di almeno due settimane prima della data di completamento per dare agli analisti di certificazione il tempo di esaminare e controllare l'invio. Al termine dei 60 giorni, gli ISV dovranno riavviare il processo.

Se si verificano problemi durante il processo di certificazione, l'analista della certificazione può concedere una potenziale estensione per problemi validi. Un analista può concedere a sua discrezione un'estensione del tempo fino a un massimo di altri 30 giorni se si vede che gli ISV stanno lavorando attivamente all'invio. Si noti che se viene fornita un'estensione da 0 a 30 giorni, l'ISV dovrà assicurarsi che le prove siano disponibili per la revisione due settimane prima della data di fine dell'estensione.

Se viene concessa un'estensione, ma l'evidenza ha più di 3 mesi, potrebbe potenzialmente non riuscire il controllo di qualità in quanto tale prova potrebbe essere potenzialmente considerata obsoleta a causa del periodo di tempo tra il momento in cui è stato fornito e il controllo di qualità finale, il che significa che saranno necessarie nuove prove per tali controlli. Una volta che il tempo di estensione è scade non ci saranno altre estensioni e l'ISV dovrebbe inviare le loro prove (almeno due settimane prima della fine dell'estensione), se non inviato l'invio verrà classificato come non riuscito e verrà chiuso. Se non è stato avviato alcun lavoro attivo sull'invio in qualsiasi momento durante i 60 giorni iniziali o durante il periodo di estensione (fino a 30 giorni), l'invio verrà classificato come abbandonato e verrà chiuso.

Se l'invio è stato classificato come abbandonato, l'ISV dovrà riavviare il processo con una nuova attestazione e nuove prove in quanto le prove correnti saranno considerate non aggiornate. Si noti che gli ISV sono consentiti solo un invio in un anno. Se per qualsiasi motivo un ISV abbandona il processo una volta che è nella fase di raccolta completa delle prove e il loro invio è stato contrassegnato come abbandonato, non sarà possibile riavviare il processo fino all'anno successivo.

Creazione della struttura di cartelle per la registrazione della conformità & contact center

Seguire queste istruzioni per creare la struttura di cartelle necessaria all'analista per esaminare le prove fornite.

1. Completare l'invio iniziale del documento in modo che sia possibile definire l'ambito dei controlli. Specificare il maggior numero di dettagli possibile e che anche il diagramma architetturale e il diagramma del flusso di dati abbiano lo stesso livello di dettaglio.

2. Creare una cartella interna o online e aggiungervi tutti i documenti.

   • Etichettare la cartella condivisa effettiva Microsoft Certification

   • Aggiungere le informazioni di invio iniziale del documento nella cartella Microsoft Certification in una cartella denominata IDS.

   • All'interno della cartella Certificazione creare quattro cartelle con i nomi seguenti:

     • Sicurezza dell'applicazione (per le informazioni sul test della penna)

     • Conformità (per i framework esterni, ad esempio SOC 2)

     • Sicurezza operativa (sistema operativo)

     • Privacy & sicurezza dei dati (DS&P)

   • All'interno delle cartelle OS e DS&P, creare gruppi di controllo per ogni set di controlli, ad esempio Malware, Applicazione di patch e così via, in cui è possibile aggiungere documenti per ognuno dei controlli (se si vuole essere specifici, è possibile creare una cartella per ogni singolo controllo rendendo più facile tenere traccia delle prove con il nome del controllo. In questo caso, chiamare queste cartelle Control X dove X rappresenta il numero di controllo). Si noti che non sarà possibile creare la struttura di cartelle secondarie fino a quando l'ambito dei controlli non sarà stato definito.

Esempio di una struttura di cartelle Cartelle radice:

Sottocartelle all'interno della cartella "Evidence":

3. Dopo aver caricato i documenti nella condivisione, concedere l'autorizzazione alla cartella condivisa e inviare un messaggio di posta elettronica all'analista della certificazione con i dettagli. Inviare le password in un messaggio di posta elettronica separato.

4. Quando si confrontano le prove, ricordarsi di acquisire screenshot a schermo intero che mostrano qualsiasi utente, URL e data e ora registrati. Se si usa Linux, questa operazione può essere eseguita dal prompt dei comandi. Fornire qualsiasi spiegazione se necessario per ogni controllo e tenere presente che per i criteri è necessaria una copia completa dei criteri e non frammenti o screenshot.

5. Fare riferimento a questo documento per comprendere il controllo e il tipo di prova necessari.

6. Qualsiasi test della penna che potrebbe essere necessario non verrà pianificato e non riceverai la documentazione per avviare il processo fino a quando non avrai approvato il 50% dei controlli. Il test della penna sarà gratuito solo per 12 giorni, tuttavia se il test della penna viene eseguito su 12 giorni, sarà necessario pagare i giorni aggiuntivi in anticipo prima dell'inizio del test.

7. Dopo aver ricevuto una copia dei controlli con ambito per raccogliere prove sui controlli, verrà avviato il ticker: si riceverà un messaggio di posta elettronica a tale scopo e saranno disponibili 60 giorni per completare l'intero processo di certificazione, incluso il test della penna.

8. Provare a inviare la prima iterazione dei controlli entro 30 giorni per consentire l'identificazione di eventuali problemi e le revisioni richieste prima del termine dei 60 giorni.

Ulteriori informazioni

• Sicurezza dell'applicazione (inclusi i controlli di connettività, se necessario)
• Prova di esempio: sicurezza operativa
• Prove di esempio: sicurezza e privacy dei dati