Certificação do Microsoft 365 – Guia inicial de envio de documentos
O envio inicial do documento faz parte da fase de pré-avaliação da certificação. As informações fornecidas fornecerão aos analistas de certificação o plano de fundo necessário para identificar quais controles e componentes do sistema estarão no escopo de sua avaliação. Este documento destina-se a servir apenas como um exemplo do que é esperado do envio inicial do documento. A documentação fornecida varia dependendo de como sua solução é arquiteta, implementada e gerenciada.
Qual é o ambiente de hospedagem ou o modelo de serviço usado para executar seu aplicativo?
- A IaaS (Infraestrutura como serviço) é um modelo de serviço de nuvem em que seu provedor de serviços de nuvem hospeda seus componentes de infraestrutura, mas os ISVs ainda são responsáveis por implantar e gerenciar os componentes individualmente, como Máquinas Virtuais/Sistemas Operacionais, Armazenamentos de Dados e Componentes de Rede. Exemplos disso são a Máquina Virtual do Azure e o Armazenamento de Disco do Azure.
- O PaaS (Platform as a Service) é um modelo de serviço de nuvem em que os componentes de infraestrutura são gerenciados pelo provedor de serviços de nuvem. Os ISVs são responsáveis apenas pela implantação de seus próprios aplicativos e serviços. Exemplos disso são Azure App Services, Azure Functions e CDN do Azure.
- O ISV hospedado nesse contexto significa que nenhum provedor de serviços de nuvem é usado. O ISV gerencia fisicamente seus próprios Servidores, Discos, Rede independentemente no local.
- Híbrido nesse contexto significa que um dos modelos acima são usados. Por exemplo, alguns ISVs podem optar por usar uma mistura de serviços IaaS e PaaS para dar suporte ao aplicativo ou podem ter alguns componentes hospedados do ISV local e terceirizar outros para um provedor de serviços de nuvem. Se você usar mais um modelo de serviço, selecione híbrido.
Relatório de Teste de Penetração
Inclua o relatório de teste de penetração completo com datas evidenciando que ele foi concluído nos últimos 12 meses.
- Este relatório deve ser produzido a partir de testes manuais de penetração, não pode ser a saída de uma ferramenta automatizada de verificação/teste.
- Este relatório deve incluir o ambiente que dá suporte à implantação do aplicativo/adicionar junto com qualquer ambiente adicional que dê suporte à operação do aplicativo/suplementos.
Inventário de Componentes do Sistema
Um inventário atualizado de todos os componentes do sistema usados pela infraestrutura de suporte. Isso será usado para ajudar na amostragem ao executar a fase de avaliação. Se o ambiente incluir o PaaS, será útil se você puder fornecer detalhes de todos os serviços de PaaS consumidos.
Nota: IaaS/PaaS não teria nenhum hardware que estivesse sob o controle ISVs. Nesse caso, forneça uma lista ou captura de tela de todos os recursos visuais.
Exemplo:
| Nome do ativo | Tipo de Ativo | Descrição | Fabricante | Modelo |
|---|---|---|---|---|
| D212 | Windows Machine | Máquina Virtual | N/D | N/D |
| LT101 | Laptop | Estação de trabalho | Microsoft | Surface 3 |
| C2938 | Parâmetro | Parâmetro | N/D | N/D |
| LXM2 | Máquina Linux | Computador de Teste | N/D | N/D |
Inventário de software
Um inventário atualizado de todos os ativos de software, incluindo todos os softwares usados no ambiente no escopo, juntamente com as versões.
Exemplo:
| Software | Publisher | Versão | Objetivo |
|---|---|---|---|
| Windows Server | Microsoft 2016 | Build 14393 | Sistema operacional do servidor para o ambiente de produção |
| Linux Ubuntu | N/D | 16.04 (Xenial) | Sistema operacional do servidor em uso no DMZ. |
| Esxi | Vmware | 6.5.0 (build 13004031) | Usado para dar suporte aos servidores virtuais. |
| Mysql (Windows) | N/D | 8.0.2.1 | Servidor de banco de dados para armazenar o histórico do chat. |
| Tomcat | Apache | 7.0.92 | Portal do cliente. |
| IIS | Microsoft | 10.0 | Dá suporte às APIs. |
Dependências de terceiros
Documentação que lista todas as dependências usadas pelo aplicativo/suplemento com as versões em execução atuais.
Exemplo:
| Dependências da Web | Versão atual em uso |
|---|---|
| Jquery | 3.5.1 |
| Reagir | 16.13.1 |
| Bootstrap | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
Endereços IP públicos
Detalhando todos os endereços IP públicos e URLs usados pela infraestrutura de suporte. Isso deve incluir o intervalo de IP roteável completo alocado para o ambiente, a menos que a segmentação adequada tenha sido implementada para dividir o intervalo em uso (serão necessárias evidências adequadas de segmentação).
Exemplo:
| URLs | Endereço IP |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| N/A (Servidor de Salto) | 40.113.200.200 |
Pontos de extremidade de recursos
Endereço https://customerapi.contoso.com do ponto de extremidade do nome da API contoso Serviço de Bot https://bot.contoso.com API de Arquivos contosohttps://filesapi.contoso.com
Uma listagem completa de todos os pontos de extremidade de API usados pelo aplicativo, incluindo pontos de extremidade de recursos externos e desenvolvidos internamente. Para ajudar a entender o escopo do ambiente, forneça locais de ponto de extremidade da API em seu ambiente.
Exemplo:
| Nome da API | Endereço do ponto de extremidade |
|---|---|
| API do Cliente contoso | https://customerapi.contoso.com |
| Contoso Serviço de Bot | https://bot.contoso.com |
| API de Arquivos contoso | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
Diagrama arquitetônico
Um diagrama de arquitetura lógica que representa uma visão geral de alto nível da infraestrutura de suporte do seu aplicativo/suplemento. Isso deve incluir todos os ambientes de hospedagem e a infraestrutura de suporte que dá suporte ao aplicativo/suplemento. Este diagrama DEVE retratar todos os diferentes componentes do sistema de suporte no ambiente para ajudar os analistas de certificação a entender sistemas no escopo e ajudar a determinar a amostragem. Também indique qual tipo de ambiente de hospedagem é usado; ISV hospedado, IaaS, PaaS ou Híbrido. Onde o PaaS é usado, indique os vários serviços de PaaS que são usados para fornecer os serviços de suporte no ambiente.
Diagrama de Fluxo de Dados
Diagramas de fluxo detalhando o seguinte:
- Os dados fluem de e para o Aplicativo/Suplemento (incluindo dados do cliente).
- Os dados fluem dentro da infraestrutura de suporte (quando aplicável)
- Diagramas destacando onde e quais dados são armazenados, como os dados são passados para terceiros externos (incluindo detalhes de quais terceiros) e como os dados são protegidos em trânsito por redes abertas/públicas e em repouso.
Certificações externas (SOC2, PCI DSS, ISO27001) – OPCIONAL
Se você já tiver obtido uma certificação SOC2, PCI DSS ou ISO27001 e tiver um relatório emitido nos últimos 12 meses que inclua o escopo completo do aplicativo que está sendo certificado, bem como o ambiente de suporte, você poderá enviá-lo durante o envio do documento inicial. Tentaremos usá-lo para atender a um subconjunto de controles e agilizar sua avaliação. No entanto, isso não é necessário para obter uma Certificação do Microsoft 365.