Visão geral dos recursos humanos
Como a Microsoft monitora os possíveis funcionários?
A Microsoft segue requisitos rigorosos de triagem de equipe para todos os funcionários, internos e funcionários contingentes. Todos os candidatos são pré-selecionados antes do início do trabalho na Microsoft.
Verificações em segundo plano em candidatos a emprego geralmente incluem revisão dos seguintes componentes, na medida permitida por lei:
- Verificação de identidade
- Verificação educacional
- Verificação de emprego
- Revisão de registro criminal
- Revisão do Registro de ofensores de sexo
- Revisão de lista de sanções globais
Quais verificações adicionais são realizadas para funcionários que gerenciam serviços de nuvem?
Além da triagem de pré-contratação, os funcionários da Microsoft que mantêm os serviços online da Microsoft nos Estados Unidos devem passar por uma Verificação de Plano de Fundo da Nuvem da Microsoft como um pré-requisito para acesso aos sistemas de serviços online. Os requisitos de verificação em segundo plano variam de acordo com as leis aplicáveis e os modelos de entrega de serviço. Os resultados da Verificação de Plano de Fundo da Nuvem da Microsoft são armazenados em nosso banco de dados de funcionários e devem ser renovados a cada dois anos, no mínimo. Se a Verificação de Plano de Fundo da Nuvem da Microsoft expirar e o funcionário não renová-la, o acesso aos serviços online será revogado e não estará mais disponível até que a Verificação de Plano de Fundo da Nuvem da Microsoft seja concluída. Da mesma forma, quando a relação de trabalho com a Microsoft termina, todo o acesso é revogado imediatamente.
Como a Microsoft garante que os funcionários mantenham habilidades e conhecimento suficientes para executar suas responsabilidades e seguir as políticas da Microsoft?
Todos os funcionários da Microsoft são necessários para concluir o treinamento básico de reconhecimento de segurança. O treinamento inicial ocorre quando um novo funcionário começa a trabalhar na Microsoft e o treinamento de atualização anual ocorre todos os anos depois disso. O treinamento foi projetado para fornecer ao funcionário uma compreensão da abordagem fundamental da Microsoft para a segurança. O treinamento de segurança baseado em função aplicável também é necessário antes de conceder qualquer acesso específico necessário para as responsabilidades de trabalho de um indivíduo. O treinamento de segurança dos funcionários da Microsoft é atualizado anualmente e quando as alterações do sistema ou da política garantem um novo treinamento.
Além do treinamento de reconhecimento de segurança, os funcionários da Microsoft devem concluir o treinamento standards of business conduct. Esse treinamento inclui a ética empresarial, a segurança dos funcionários, a privacidade, o anti-assédio e a tolerância zero para comportamentos não-éticos. No final do curso, os funcionários devem atestar que cumprirão o código de conduta empresarial da Microsoft, que é rastreado no nível da organização. O treinamento Standards of Business Conduct é atualizado anualmente.
Como a Microsoft revoga o acesso para funcionários que saem da Microsoft?
A Microsoft usa políticas e procedimentos claramente definidos para revogar prontamente o acesso físico e lógico aos sistemas e recursos da Microsoft quando um funcionário sai da Microsoft ou é encerrado. O processo de encerramento da Microsoft garante que os ex-funcionários da Microsoft não podem acessar dados ou sistemas após o término do contrato.
Quando o emprego de um usuário de equipe de serviço é marcado como encerrado, essas informações se propagam para a ferramenta de gerenciamento de contas da Microsoft, que remove automaticamente a conta de domínio do funcionário encerrado. Quaisquer selos de acesso ou outros autenticadores físicos emitidos para o funcionário encerrado são coletados no momento da entrevista de saída ou término.
Como a Microsoft garante que os fornecedores de terceiros atendem aos mesmos requisitos de funcionários da Microsoft?
Os serviços online da Microsoft exigem que fornecedores terceirizados tenham um Contrato mestre de serviços de fornecedores (MSSA) assinado. Este contrato exige que o fornecedor cumpra as políticas e procedimentos da Microsoft, incluindo políticas e procedimentos de segurança de funcionários. A Microsoft monitora a conformidade com os requisitos de triagem para funcionários de terceiros, acompanhando diretamente o resultado da triagem. A Microsoft exige que os fornecedores enviem resultados de triagem para funcionários de terceiros diretamente para a Microsoft.
Regulamentações externas relacionadas & certificações
Os serviços online da Microsoft são regularmente auditados para conformidade com regulamentações e certificações externas. Consulte a tabela a seguir para validação de controles relacionados a recursos humanos.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001/27002 Instrução of Applicability Certificação |
A.7: Segurança de recursos humanos | 2 de dezembro de 2020 |
| ISO 27017 Instrução of Applicability Certificação |
A.7: Segurança de recursos humanos | 2 de dezembro de 2020 |
| SOC 1 | IS-4: Treinamento de segurança OA-3: Revogação de contas |
31 de março de 2021 |
| SOC 2 SOC 3 |
C5-2: Avaliação de risco de fornecedor ELC-6: Código de conduta do fornecedor IS-4: Treinamento de segurança OA-3: Revogação de contas SOC2-1: Ações de disciplina SOC2-12: Verificações em segundo plano SOC2-13: Contratos de trabalho SOC2-14: Acordos de confidencialidade e não divulgação |
31 de março de 2021 |
Office 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP | AT-2: Reconhecimento de segurança AT-3: Treinamento de segurança baseado em função AT-4: Registros de treinamento de segurança PS-3: Triagem de equipe PS-4: Rescisão de pessoal PS-5: Transferência de pessoal PS-7: Segurança de funcionários de terceiros |
24 de setembro de 2020 |
| ISO 27001/27002/27017 Instrução of Applicability Certificação |
A.7: Segurança de recursos humanos | Abril de 20, 2021 |
| SOC 1 | CA-08: Verificações em segundo plano CA-43: Revogação de contas |
24 de dezembro de 2020 |
| SOC 2 | CA-07: Standards of Business Conduct (SBC) CA-08: Verificações em segundo plano CA-43: Revogação de contas ELC-08/13/14: Contratos de trabalho |
24 de dezembro de 2020 |