Microsoft 365 de conformidade

  • Artigo

A Microsoft executa com confiança e Microsoft 365 exigem funções de segurança e privacidade de classe mundial em seus produtos. A auditoria completa do Microsoft 365 garante aos clientes que as funções de segurança, as práticas de tratamento de dados, as políticas associadas e as ferramentas funcionam em harmonia para atender às necessidades dos clientes para certificações, acreditações e atestados. Microsoft 365 programa de conformidade interno da Microsoft 365 foi projetado para garantir que a segurança e a privacidade sejam consideradas em todas as fases do processo de desenvolvimento.

Cada serviço inicia o ciclo de vida de garantia com a execução de três esforços relacionados: segurança, privacidade e conformidade. A Microsoft direciona esses esforços usando avaliações. A avaliação de segurança garante que todas as ferramentas de segurança, políticas de aplicativo e funções sejam aplicadas e configuradas adequadamente. A avaliação de privacidade revisa todos os dados que um serviço coleta, transmite e armazena. Ele confirma que a manipulação estrita de dados está no local e que adere aos requisitos regionais de privacidade. Por fim, a avaliação de conformidade verifica se os serviços atendem a todos os requisitos de conformidade relevantes para os clientes que desejam atender.

Vamos aprofundar cada um desses componentes para entender sua função no processo geral.

Segurança

A avaliação de segurança pertence à equipe de segurança Microsoft 365 e foi projetada para identificar todas as soluções de segurança que as equipes de serviço precisam instalar e configurar. Microsoft 365 soluções para equipes de serviço para proteger cada serviço individual e conectá-los aos sistemas centralizados que ajudam a proteger a Microsoft como um todo. Essas soluções incluem gerenciamento de identidade e acesso, software anti-malware, log central, configuração TLS e outros. As equipes de serviço também são necessárias para criar diagramas de fluxo de dados para modelagem de ameaças para ajudar a mapear possíveis vetores de ataque. A Microsoft 365 equipe de segurança está disponível para as equipes de serviço para orientação e realizar uma revisão final e aprovação das funções de segurança do serviço.

Privacidade

A privacidade se concentra nos dados do cliente que a equipe de serviço transmite, processa e armazena. As tarefas incluem identificar tipos de dados coletados, períodos de retenção, classificação e interações de terceiros. Depois que as equipes de serviço concluem suas tarefas, um gerente de privacidade dedicado e um advogado executam uma revisão das funções de tratamento de dados. Modelos de ameaça também são usados para proteger contra vazamentos inesperados de dados. O gerenciador de privacidade deve fornecer aprovação oficial e verificação da conclusão da avaliação de privacidade.

Conformidade

Muitos clientes devem ter determinados requisitos de conformidade do setor atendidos para usar um serviço de nuvem, como Microsoft 365. O principal objetivo da avaliação de conformidade é garantir que o serviço e quaisquer dependências de downstream atendem aos requisitos de conformidade adequados para as acreditações públicas aplicáveis. Essas acreditações podem incluir o padrão de segurança de informações ISO 27001, SOC II Tipo 2, FedRAMP para clientes governamentais e outros.

A etapa final da avaliação de conformidade é a Revisão de Confiança Final conduzida pelos Arquitetos de Confiança da Microsoft. Isso fornece uma verificação abrangente da postura de segurança, privacidade e conformidade de um serviço. Ele verifica se cada serviço está protegido corretamente, segue as práticas recomendadas, atende a todos os requisitos regulatórios relevantes e todos os riscos de identificação foram abordados adequadamente. Além disso, a relação holística com todos os outros serviços e ambientes é considerada neste ponto. Equipes de serviço presentes à equipe de Arquitetos de Confiança que avaliam e testam a preparação do serviço. Quaisquer preocupações descobertas nesta revisão devem ser remediadas antes da aprovação final.

Teams desenvolver um novo serviço são incentivados a participar de uma sessão de revisão consultiva com os Arquitetos de Confiança antes de concluir as outras avaliações. As equipes de serviço recebem orientações sobre seu design, incluindo orientações sobre como evitar possíveis armadilhas e bloqueadores antes de iniciar qualquer desenvolvimento.

Depois que os esforços de segurança, privacidade, conformidade são concluídos e aprovados, um serviço pode se tornar geralmente disponível para os clientes e começar o trabalho de certificação operacional. Na maioria dos casos, a certificação e a certificação padrão do setor e regulamentar são procuradas rapidamente após a disponibilização para os clientes.