Visão geral dos recursos humanos

Como a Microsoft monitora os possíveis funcionários?

A Microsoft segue requisitos rigorosos de triagem de equipe para todos os funcionários, internos e funcionários contingentes. Todos os candidatos são pré-selecionados antes do início do trabalho na Microsoft.

Verificações em segundo plano em candidatos a emprego geralmente incluem revisão dos seguintes componentes, na medida permitida por lei:

  • Verificação de identidade
  • Verificação educacional
  • Verificação de emprego
  • Revisão de registro criminal
  • Revisão do Registro de ofensores de sexo
  • Revisão de lista de sanções globais

Quais verificações adicionais são realizadas para funcionários que gerenciam serviços de nuvem?

Além da triagem de pré-contratação, os funcionários da Microsoft que mantêm os serviços online da Microsoft nos Estados Unidos devem passar por uma Verificação de Plano de Fundo da Nuvem da Microsoft como um pré-requisito para acesso aos sistemas de serviços online. Os requisitos de verificação em segundo plano variam de acordo com as leis aplicáveis e os modelos de entrega de serviço. Os resultados da Verificação de Plano de Fundo da Nuvem da Microsoft são armazenados em nosso banco de dados de funcionários e devem ser renovados a cada dois anos, no mínimo. Se a Verificação de Plano de Fundo da Nuvem da Microsoft expirar e o funcionário não renová-la, o acesso aos serviços online será revogado e não estará mais disponível até que a Verificação de Plano de Fundo da Nuvem da Microsoft seja concluída. Da mesma forma, quando a relação de trabalho com a Microsoft termina, todo o acesso é revogado imediatamente.

Como a Microsoft garante que os funcionários mantenham habilidades e conhecimento suficientes para executar suas responsabilidades e seguir as políticas da Microsoft?

Todos os funcionários da Microsoft são necessários para concluir o treinamento básico de reconhecimento de segurança. O treinamento inicial ocorre quando um novo funcionário começa a trabalhar na Microsoft e o treinamento de atualização anual ocorre todos os anos depois disso. O treinamento foi projetado para fornecer ao funcionário uma compreensão da abordagem fundamental da Microsoft para a segurança. O treinamento de segurança baseado em função aplicável também é necessário antes de conceder qualquer acesso específico necessário para as responsabilidades de trabalho de um indivíduo. O treinamento de segurança dos funcionários da Microsoft é atualizado anualmente e quando as alterações do sistema ou da política garantem um novo treinamento.

Além do treinamento de reconhecimento de segurança, os funcionários da Microsoft devem concluir o treinamento standards of business conduct. Esse treinamento inclui a ética empresarial, a segurança dos funcionários, a privacidade, o anti-assédio e a tolerância zero para comportamentos não-éticos. No final do curso, os funcionários devem atestar que cumprirão o código de conduta empresarial da Microsoft, que é rastreado no nível da organização. O treinamento Standards of Business Conduct é atualizado anualmente.

Como a Microsoft revoga o acesso para funcionários que saem da Microsoft?

A Microsoft usa políticas e procedimentos claramente definidos para revogar prontamente o acesso físico e lógico aos sistemas e recursos da Microsoft quando um funcionário sai da Microsoft ou é encerrado. O processo de encerramento da Microsoft garante que os ex-funcionários da Microsoft não podem acessar dados ou sistemas após o término do contrato.

Quando o emprego de um usuário de equipe de serviço é marcado como encerrado, essas informações se propagam para a ferramenta de gerenciamento de contas da Microsoft, que remove automaticamente a conta de domínio do funcionário encerrado. Quaisquer selos de acesso ou outros autenticadores físicos emitidos para o funcionário encerrado são coletados no momento da entrevista de saída ou término.

Como a Microsoft garante que os fornecedores de terceiros atendem aos mesmos requisitos de funcionários da Microsoft?

Os serviços online da Microsoft exigem que fornecedores terceirizados tenham um Contrato mestre de serviços de fornecedores (MSSA) assinado. Este contrato exige que o fornecedor cumpra as políticas e procedimentos da Microsoft, incluindo políticas e procedimentos de segurança de funcionários. A Microsoft monitora a conformidade com os requisitos de triagem para funcionários de terceiros, acompanhando diretamente o resultado da triagem. A Microsoft exige que os fornecedores enviem resultados de triagem para funcionários de terceiros diretamente para a Microsoft.

Os serviços online da Microsoft são regularmente auditados para conformidade com regulamentações e certificações externas. Consulte a tabela a seguir para validação de controles relacionados a recursos humanos.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Instrução of Applicability
Certificação
A.7: Segurança de recursos humanos 2 de dezembro de 2020
ISO 27017

Instrução of Applicability
Certificação
A.7: Segurança de recursos humanos 2 de dezembro de 2020
SOC 1 IS-4: Treinamento de segurança
OA-3: Revogação de contas
31 de março de 2021
SOC 2
SOC 3
C5-2: Avaliação de risco de fornecedor
ELC-6: Código de conduta do fornecedor
IS-4: Treinamento de segurança
OA-3: Revogação de contas
SOC2-1: Ações de disciplina
SOC2-12: Verificações em segundo plano
SOC2-13: Contratos de trabalho
SOC2-14: Acordos de confidencialidade e não divulgação
31 de março de 2021

Office 365

Auditorias externas Section Data do relatório mais recente
FedRAMP AT-2: Reconhecimento de segurança
AT-3: Treinamento de segurança baseado em função
AT-4: Registros de treinamento de segurança
PS-3: Triagem de equipe
PS-4: Rescisão de pessoal
PS-5: Transferência de pessoal
PS-7: Segurança de funcionários de terceiros
24 de setembro de 2020
ISO 27001/27002/27017

Instrução of Applicability
Certificação
A.7: Segurança de recursos humanos Abril de 20, 2021
SOC 1 CA-08: Verificações em segundo plano
CA-43: Revogação de contas
24 de dezembro de 2020
SOC 2 CA-07: Standards of Business Conduct (SBC)
CA-08: Verificações em segundo plano
CA-43: Revogação de contas
ELC-08/13/14: Contratos de trabalho
24 de dezembro de 2020