Service Organization Controls (SOC)Service Organization Controls (SOC)

Panoramica dei Report SOC 1, 2 e 3SOC 1, 2, and 3 Reports overview

Sempre più spesso le aziende affidano funzioni di base come l'archiviazione dei dati e l'accesso alle applicazioni a provider di servizi cloud e ad altre organizzazioni di servizi.Increasingly, businesses outsource basic functions such as data storage and access to applications to cloud service providers (CSPs) and other service organizations. In risposta, l'American Institute of Certified Public Accountants (AICPA) ha messo a punto il framework Service Organization Controls (SOC), uno standard per i controlli che proteggono la riservatezza e la privacy delle informazioni archiviate ed elaborate nel cloud.In response, the American Institute of Certified Public Accountants (AICPA) has developed the Service Organization Controls (SOC) framework, a standard for controls that safeguard the confidentiality and privacy of information stored and processed in the cloud. Questo framework è in linea con l'International Standard on Assurance Engagements (ISAE), lo standard dei report per le organizzazioni di servizi internazionali.This aligns with the International Standard on Assurance Engagements (ISAE), the reporting standard for international service organizations.

I controlli dei servizi basati sul framework SOC si suddividono in due categorie, SOC 1 e SOC 2, applicabili ai servizi cloud Microsoft inclusi.Service audits based on the SOC framework fall into two categories — SOC 1 and SOC 2 — that apply to in-scope Microsoft cloud services.

Un controllo SOC 1, destinato alle società CPA che effettuano controlli sui rendiconti finanziari, valuta l'efficacia dei controlli interni di un provider di servizi cloud che interessano i rapporti finanziari di un cliente che usa i servizi cloud del provider.A SOC 1 audit, intended for CPA firms that audit financial statements, evaluates the effectiveness of a CSP's internal controls that affect the financial reports of a customer using the provider's cloud services. Lo Statement on Standards for Attestation Engagements (SSAE 18) e l'International Standards for Assurance Engagements n.The Statement on Standards for Attestation Engagements (SSAE 18) and the International Standards for Assurance Engagements No. 3402 (ISAE 3402) sono gli standard di esecuzione del controllo e la base del report SOC 1.3402 (ISAE 3402) are the standards under which the audit is performed, and is the basis of the SOC 1 report.

Un controllo SOC 2 valuta l'efficacia del sistema di un provider di servizi cloud in base ai criteri e ai principi dei servizi attendibili AICPA.A SOC 2 audit gauges the effectiveness of a CSP's system based on the AICPA Trust Service Principles and Criteria. L'impegno alla certificazione secondo gli standard di certificazione AT Sezione 101 è la base dei report SOC 2 e SOC 3.An Attest Engagement under Attestation Standards (AT) Section 101 is the basis of SOC 2 and SOC 3 reports.

Alla conclusione di un controllo SOC 1 o SOC 2, il revisore del servizio trasmette il suo parere in un report SOC 1 Tipo 2 o SOC 2 Tipo 2, in cui descrive il sistema del provider di servizi cloud e valuta la correttezza della descrizione dei controlli fatta dal provider stesso.At the conclusion of a SOC 1 or SOC 2 audit, the service auditor renders an opinion in a SOC 1 Type 2 or SOC 2 Type 2 report, which describes the CSP's system and assesses the fairness of the CSP's description of its controls. Valuta inoltre se i controlli del provider di servizi cloud sono stati progettati in modo appropriato, se erano in funzione in una determinata data e se funzionavano efficacemente in un periodo di tempo specificato.It also evaluates whether the CSP's controls are designed appropriately, were in operation on a specified date, and were operating effectively over a specified time period.

I revisori possono inoltre creare un report SOC 3, ovvero una versione abbreviata del report di controllo SOC 2 Tipo 2, per gli utenti che desiderano la convalida dei controlli dei provider, ma non necessitano di un report SOC 2 completo.Auditors can also create a SOC 3 report — an abbreviated version of the SOC 2 Type 2 audit report — for users who want assurance about the CSP's controls but don't need a full SOC 2 report. Un report SOC 3 può essere assegnato solo se il provider di servizi cloud ha un'opinione di controllo senza riserva per SOC 2.A SOC 3 report can be conferred only if the CSP has an unqualified audit opinion for SOC 2.

Microsoft e i Report SOC 1, 2 e 3Microsoft and SOC 1, 2, and 3 Reports

I servizi cloud di Microsoft vengono sottoposti a controlli almeno annuali rispetto al framework di reporting SOC da parte di auditor di terze parti indipendenti.Microsoft covered cloud services are audited at least annually against the SOC reporting framework by independent third-party auditors. Il controllo dei servizi cloud Microsoft include controlli per la sicurezza dati, la disponibilità, l'integrità di elaborazione e la riservatezza secondo quanto applicabile ai principi di affidabilità interni all'ambito per ciascun servizio.The audit for Microsoft cloud services covers controls for data security, availability, processing integrity, and confidentiality as applicable to in-scope trust principles for each service.

Microsoft ha superato i controlli SOC 1 Type 2, SOC 2 Type 2 e SOC 3.Microsoft has achieved SOC 1 Type 2, SOC 2 Type 2, and SOC 3 reports. In generale, la disponibilità dei report SOC 1 e SOC 2 è limitata ai clienti che hanno firmato accordi di riservatezza con Microsoft, mentre il report SOC 3 è di dominio pubblico.In general, the availability of SOC 1 and SOC 2 reports is restricted to customers who have signed nondisclosure agreements with Microsoft; the SOC 3 report is publicly available.

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

Servizi coperti da SOC 1 e SOC 2Covered services for SOC 1 and SOC 2

Servizi coperti da SOC 3Covered services for SOC 3

Controlli, report e certificatiAudits, reports, and certificates

Ciclo di controlloAudit cycle

I servizi cloud Microsoft vengono controllati almeno una volta l'anno rispetto agli standard SOC 1 (SSAE18, ISAE 3402), SOC 2 (AT Section 101) e SOC 3.Microsoft cloud services are audited at least annually against SOC 1 (SSAE18, ISAE 3402), SOC 2 (AT Section 101), and SOC 3 standards.

Azure, Dynamics 365, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream e Data center MicrosoftAzure, Dynamics 365, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream, and Microsoft Datacenters

Office 365Office 365

Domande frequentiFrequently asked questions

Come posso ottenere copie dei report SOC?How can I get copies of the SOC reports?

Con i report, il revisore può confrontare i risultati dei servizi cloud Microsoft per le aziende ai requisiti normativi e legali che ti riguardano.With the reports, your auditors can compare Microsoft business cloud services results with your own legal and regulatory requirements.

  • Puoi visualizzare tutti i report SOC tramite Service Trust Platform.You can see all SOC reports through the Service Trust Platform.
  • I clienti di Azure DevOps Service che non riescono ad accedere a Service Trust Platform possono inviare messaggi di posta elettronica Azure DevOps per i report SOC 1 e SOC 2.Azure DevOps Service customers that can't access Service Trust Platform can email Azure DevOps for its SOC 1 and SOC 2 reports. Questo messaggio di posta elettronica serve a richiede solo report SOC di Azure DevOps.This email is to request Azure DevOps SOC reports only.

Con quale frequenza vengono emessi report SOC di Azure?How often are Azure SOC reports issued?

I report SOC per Azure, Microsoft Cloud app Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream e Data center Microsoft si basano su una finestra di 12 mesi (periodo di controllo) con nuovi report emessi ogni sei mesi (i fine periodo sono il 31 marzo e il 30 settembre).SOC reports for Azure, Microsoft Cloud App Security, Flow, Microsoft Graph, Intune, Power BI, PowerApps, Microsoft Stream, and Microsoft Datacenters are based on a rolling 12-month run window (audit period) with new reports issued semi-annually (period ends are March 31 and September 30). Le lettere ponte vengono emesse ogni trimestre per coprire il periodo di tre mesi precedente.Bridge letters are issued each quarter to cover the prior three month period. Ad esempio, la lettera di gennaio copre 1/10-31/12, la lettera di aprile copre 1/1-31/3, la lettera di luglio copre 1/4-30/6, e la lettera di ottobre copre 1/7-30/9.For example, the January letter covers 10/1-12/31, the April letter covers 1/1-3/31, the July letter covers 4/1-6/30, and the October letter covers 7/1-9/30. I clienti possono scaricare i report più recenti dal Service Trust Portal.Customers can download the latest reports from the Service Trust Portal.

Devo sottoporre a controlli i data center di Microsoft?Do I need to conduct my own audit of Microsoft datacenters?

No.No. Microsoft condivide le certificazioni e i report di controllo indipendenti con i clienti affinché questi ultimi possano verificare l'adeguamento di Microsoft agli impegni di sicurezza.Microsoft shares the independent audit reports and certifications with customers so that they can verify Microsoft compliance with its security commitments.

Posso usare la conformità di Microsoft nel processo di certificazione della mia organizzazione?Can I use Microsoft's compliance in my organization's certification process?

Sì.Yes. Quando esegui la migrazione delle applicazioni e dei dati ai servizi cloud Microsoft, puoi ricorrere ai controlli e alle certificazioni di Microsoft.When you migrate your applications and data to covered Microsoft cloud services, you can build on the audits and certifications that Microsoft holds. I report indipendenti attestano l'efficacia dei controlli che Microsoft ha implementato per mantenere la sicurezza e la privacy dei tuoi dati.The independent reports attest to the effectiveness of controls that Microsoft has implemented to help maintain the security and privacy of your data.

Qual è la fase iniziale del percorso di adeguamento della mia organizzazione?Where do I start with my organization's own compliance effort?

Il SOC Toolkit for Service Organizations è una risorsa utile per comprendere i processi di reporting SOC e per promuoverne l'utilizzo all'interno della tua organizzazione.The SOC Toolkit for Service Organizations is a helpful resource for understanding SOC reporting processes and promoting your organization's use of them.

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources