Ferramenta de Automação de Conformidade do Aplicativo para o Microsoft 365
Neste artigo, você aprenderá o que é a Ferramenta de Automação de Conformidade de Aplicativo para Microsoft 365 (ACAT) e como ela simplifica a conformidade e a obtenção da Certificação Microsoft 365.
Observação
O ACAT está atualmente em versão prévia pública e dá suporte apenas a aplicativos criados no Azure. No futuro, ele também dará suporte a aplicativos criados em outras nuvens ou mistura de nuvens diferentes.
Observação
Se você quiser fornecer comentários para a visualização pública da ACAT, conclua este formulário. A equipe de produtos do ACAT o acompanhará o mais rápido possível quando recebermos suas mensagens.
O que é a Ferramenta de Automação de Conformidade de Aplicativo para o Microsoft 365
A Ferramenta de Automação de Conformidade do Aplicativo para Microsoft 365 (ACAT) é um serviço em portal do Azure que ajuda a simplificar a jornada de conformidade para qualquer aplicativo que consome dados do cliente do Microsoft 365 e é publicado por meio do Partner Center. É uma ferramenta de automação de conformidade centrada no aplicativo que ajuda você a concluir a Certificação do Microsoft 365 com maior facilidade e conveniência. Em Visualização Pública, o ACAT está disponível para aplicativos em execução no Azure.
Com essa ferramenta, você poderá definir rapidamente o limite de conformidade para seus aplicativos, monitorar os resultados de conformidade automaticamente e concluir a auditoria de conformidade com mais facilidade. O limite de conformidade é a infraestrutura de nuvem que dá suporte à entrega do aplicativo e a todos os sistemas de back-end com os quais o aplicativo pode estar se comunicando.
Além de fornecer um controle mais rápido para a Certificação microsoft 365, o ACAT pode ajudá-lo em vários cenários de conformidade para aplicativos do Microsoft 365:
- Etapas detalhadas de exibição e correção das responsabilidades de certificação do Microsoft 365.
- Relatórios diários automáticos para ajudá-lo a obter resultados de conformidade continuamente.
- Práticas recomendadas de segurança e conformidade que podem ser usadas como diretrizes na fase inicial do ciclo de vida do aplicativo.
Benefícios do ACAT
Jornada de conformidade centrada no aplicativo.
- A ACAT relata avaliações de conformidade para o ambiente de nuvem de seus aplicativos, que você pode integrar à sua estratégia de conformidade de infraestrutura de nuvem atual.
- Os desenvolvedores podem invocar o ACAT mesmo durante a fase de desenvolvimento do aplicativo.
Acelera o processo de certificação do Microsoft 365.
- O ACAT automatiza totalmente determinados controles de Certificação do Microsoft 365.
- Há uma lista de automação em crescimento contínuo que está sendo desenvolvida ativamente pela Microsoft.
Integração nativa com o fluxo de trabalho de certificação do Microsoft 365.
- O ACAT está totalmente integrado ao Partner Center para fins de Certificação do Microsoft 365.
Mantenha seu aplicativo ou ambiente em conformidade continuamente.
- O ACAT garante atualizações diárias de avaliações de conformidade, adaptando-as à configuração de tempo de gatilho especificada.
- O ACAT permite que você integre perfeitamente as avaliações de conformidade em GitHub Actions ou em outros pipelines de CI/CD, garantindo o monitoramento contínuo.
Conceitos do ACAT
Relatório de Conformidade Regulatória
No ACAT, você pode auditar a conformidade do aplicativo status criando um relatório de conformidade para ele. Você pode definir o limite de conformidade para seu aplicativo especificando os recursos do Azure que criam o aplicativo. Crie vários relatórios para um aplicativo, com base em diferentes ambientes e estágios de desenvolvimento.
Depois que o relatório é criado, o ACAT começa a coletar os dados de conformidade no tempo de gatilho predefinido e gerar os resultados de conformidade como um relatório para você. Enquanto isso, a ACAT continua monitorando as alterações de conformidade do relatório de conformidade continuamente, até que você opte por excluir o relatório.
Controle de certificação do Microsoft 365
O ACAT agiliza a Certificação do Microsoft 365 automatizando os controles de conformidade. Com base no status de automação, há três tipos de controles de conformidade definidos no ACAT.
- Controle totalmente automatizado: o controle de certificação da Microsoft é totalmente automatizado pela ACAT.
- Controle manual automatizado parcial: o ACAT pode automatizar responsabilidades parciais do controle de Certificação do Microsoft 365. Você precisa seguir as instruções fornecidas pela ACAT para concluir as responsabilidades restantes.
- Controle totalmente manual: você precisa seguir as instruções fornecidas pela ACAT para concluir todas as responsabilidades.
A longo prazo, o ACAT melhora continuamente a cobertura de automação dos controles de certificação do Microsoft 365.
Responsabilidade do cliente
Há um conjunto de responsabilidades do cliente associadas a cada controle que precisa ser atendido. São responsabilidades retidas por você nas seguintes áreas: dados, pontos de extremidade, conta, gerenciamento de acesso etc.
A ACAT coleta dados para cada responsabilidade do cliente e retorna um resultado de avaliação para ele. Ele também fornece uma ação de correção, que é nossa diretriz que ajuda você a se alinhar com os padrões de certificação do Microsoft 365.
Entender o status de conformidade dos controles de certificação do Microsoft 365
No Relatório de Conformidade Regulatória, a ACAT define as responsabilidades do cliente para cada controle totalmente automatizado e controle manual automatizado parcial. Há dois status de conformidade para a responsabilidade do cliente.
- Passado: os recursos de nuvem aplicáveis a essa responsabilidade do cliente são íntegros.
- Falha: há pelo menos um recurso de nuvem não íntegro. Você pode seguir as etapas de correção para resolve os recursos não íntegros.
- N/A: nenhum recurso de nuvem é aplicável à responsabilidade do cliente ou essa responsabilidade do cliente é considerada inaplicável com base na configuração do aplicativo para este relatório.
- Revisão de conformidade do aplicativo necessária: você coleta evidências manualmente e carrega-as para essa responsabilidade do cliente. Um analista realizará uma revisão completa depois que você enviar a solicitação de Certificação do Microsoft 365 na Microsoft Partner Network.
Os status de conformidade dos controles de certificação do Microsoft 365 dependem dos status de conformidade das responsabilidades do cliente.
- Passado: nenhuma responsabilidade do cliente está no status 'Falha' ou 'Revisão de conformidade de aplicativo necessária' para este controle de Certificação do Microsoft 365.
- Falha: pelo menos uma responsabilidade do cliente falhou em relação a este controle de certificação do Microsoft 365.
- N/A: Todas as responsabilidades do cliente por esse controle de certificação do Microsoft 365 estão no status 'N/A'.
- Revisão de conformidade do aplicativo necessária: pelo menos uma responsabilidade do cliente está no status 'Revisão de conformidade do aplicativo necessária'. Um analista realizará uma revisão completa depois que você enviar a solicitação de Certificação do Microsoft 365 na Microsoft Partner Network.
Perguntas frequentes
O que são controles manuais e controles parcialmente automatizados?
Cada controle de conformidade está vinculado a um conjunto específico de responsabilidades do cliente, com a ACAT coletando dados de conformidade de acordo. É importante observar que, agora, a ACAT não abrange todos os controles para a Certificação microsoft 365 (embora os esforços estejam em andamento para expandir a cobertura). No caso de controles parcialmente automatizados, a ACAT automatiza aspectos específicos das responsabilidades do cliente. Os resultados da avaliação de um controle parcialmente automatizado contribuem para a auditoria de Certificação do Microsoft 365 e outras ações são necessárias de sua parte para atender a todos os requisitos restantes. No entanto, para controles manuais, a ACAT atualmente não automatiza nenhuma responsabilidade do cliente.
Como posso saber se o controle é totalmente automatizado?
O ACAT aprimora continuamente a automação de controle. Aqui está o status atual da automação de controle.
| Domínio de segurança | Família control | Número de controle | Status da Automação ACAT |
|---|---|---|---|
| Segurança Operacional | Treinamento de Conscientização | Controle 1 | Manual |
| Segurança Operacional | Proteção contra Malware – Antivírus | Controle 2 | Totalmente automatizado |
| Segurança Operacional | Proteção contra Malware – Controle de Aplicativos | Controle 3 | Manual |
| Segurança Operacional | Gerenciamento de patchs – Patching & Classificação de Risco | Controle 4 | Manual |
| Segurança Operacional | Gerenciamento de patchs – Patching & Classificação de Risco | Controle 5 | Manual |
| Segurança Operacional | Verificação de vulnerabilidade | Controle 6 | Totalmente automatizado |
| Segurança Operacional | Verificação de vulnerabilidade | Controle 7 | Totalmente automatizado |
| Segurança Operacional | NSC (Controles de Segurança de Rede) | Controle 8 | Automatizado Parcial |
| Segurança Operacional | NSC (Controles de Segurança de Rede) | Controle 9 | Automatizado Parcial |
| Segurança Operacional | Alterar controle | Controle 10 | Manual |
| Segurança Operacional | Alterar controle | Controle 11 | Manual |
| Segurança Operacional | Desenvolvimento/implantação de software seguro | Controle 12 | Manual |
| Segurança Operacional | Desenvolvimento/implantação de software seguro | Controle 13 | Manual |
| Segurança Operacional | Gerenciamento de contas | Controle 14 | Automatizado Parcial |
| Segurança Operacional | Gerenciamento de contas | Controle 15 | Manual |
| Segurança Operacional | Gerenciamento de contas | Controle 16 | Manual |
| Segurança Operacional | Log de eventos de segurança, revisão e alertas | Controle 17 | Automatizado Parcial |
| Segurança Operacional | Log de eventos de segurança, revisão e alertas | Controle 18 | Totalmente automatizado |
| Segurança Operacional | Log de eventos de segurança, revisão e alertas | Controle 19 | Manual |
| Segurança Operacional | Log de eventos de segurança, revisão e alertas | Controle 20 | Manual |
| Segurança Operacional | Gerenciamento de Riscos de Segurança de Informações | Controle 21 | Manual |
| Segurança Operacional | Gerenciamento de Riscos de Segurança de Informações | Controle 22 | Manual |
| Segurança Operacional | Gerenciamento de Riscos de Segurança de Informações | Controle 23 | Manual |
| Segurança Operacional | Gerenciamento de Riscos de Segurança de Informações | Controle 24 | Manual |
| Segurança Operacional | Resposta a incidentes de segurança | Controle 25 | Manual |
| Segurança Operacional | Resposta a incidentes de segurança | Controle 26 | Manual |
| Segurança Operacional | Resposta a incidentes de segurança | Controle 27 | Manual |
| Segurança Operacional | Plano de Continuidade de Negócios (BCP) e Plano de Recuperação de Desastres | Controle 28 | Manual |
| Segurança Operacional | Plano de Continuidade de Negócios (BCP) e Plano de Recuperação de Desastres | Controle 29 | Manual |
| Segurança Operacional | Plano de Continuidade de Negócios (BCP) e Plano de Recuperação de Desastres | Controle 30 | Manual |
| Privacidade & de segurança de tratamento de dados | Dados em Trânsito | Controle 1 | Totalmente automatizado |
| Privacidade & de segurança de tratamento de dados | Dados em Trânsito | Controle 2 | Manual |
| Privacidade & de segurança de tratamento de dados | Dados em repouso | Controle 3 | Totalmente automatizado |
| Privacidade & de segurança de tratamento de dados | Retenção, backup e eliminação de dados | Controle 4 | Manual |
| Privacidade & de segurança de tratamento de dados | Retenção, backup e eliminação de dados | Controle 5 | Manual |
| Privacidade & de segurança de tratamento de dados | Retenção, backup e eliminação de dados | Controle 6 | Manual |
| Privacidade & de segurança de tratamento de dados | Retenção, backup e eliminação de dados | Controle 7 | Manual |
| Privacidade & de segurança de tratamento de dados | Gerenciamento de Acesso de Dados | Controle 8 | Manual |
| Privacidade & de segurança de tratamento de dados | Gerenciamento de Acesso de Dados | Controle 9 | Manual |
| Privacidade & de segurança de tratamento de dados | Privacidade | Controle 10 | Manual |
| Privacidade & de segurança de tratamento de dados | Privacidade | Controle 11 | Manual |
| Privacidade & de segurança de tratamento de dados | RGPD | Controle 12 | Manual |
| Privacidade & de segurança de tratamento de dados | RGPD | Controle 13 | Manual |
| Privacidade & de segurança de tratamento de dados | HIPAA | Controle 14 | Manual |
| Privacidade & de segurança de tratamento de dados | HIPAA | Controle 15 | Manual |
Eu fiz a base de alterações sugeridas na sugestão de correção, mas o controle ainda está falhando
Depois de tomar medidas corretivas para resolver a falha, permita tempo do ACAT para recuperar os resultados de avaliação atualizados para status de controle. As avaliações são realizadas a cada 24 horas, de acordo com o tempo de gatilho predeterminado.
Como o relatório de conformidade é usado no processo de certificação?
O ACAT é integrado perfeitamente ao Partner Center para concluir sua jornada de Certificação do Microsoft 365. Saiba mais sobre como usar o relatório de conformidade para acelerar a Certificação do Microsoft 365