Einführung
Im Folgenden finden Sie einige häufig gestellte Fragen von ISVs (Independent Software Vendors), wenn Sie die Microsoft 365-Zertifizierung starten. Wenn Sie Fragen haben, die hier nicht behandelt werden, wenden Sie sich über an AppCert@Microsoft.comdas Microsoft 365-App-Zertifizierungsteam. Dieses Dokument richtet sich an ISVs. Allgemeine Informationen zum Microsoft 365 Security and Compliance-Programm finden Sie auf der Seite Microsoft 365 App Compliance Programm.
Ich habe kein Audit für ein branchenweit anerkanntes Framework wie PCI DSS, SOC 2 oder ISO 27001 bestanden. Bedeutet dies, dass ich mich nicht für die Microsoft 365-Zertifizierung bewerben kann?
Nein, der Erwerb eines dieser branchenweit anerkannten Frameworks ist keine Voraussetzung der Microsoft 365-Zertifizierung.
Ich habe bereits ein externes Audit gegen ein branchenweit anerkanntes Framework bestanden. Kann dies auf die Microsoft 365-Zertifizierung angerechnet werden?
Die kurze Antwort lautet Ja. Derzeit akzeptiert die Microsoft 365-Zertifizierungsspezifikation Nachweise für PCI-DSS, SOC 2 und ISO27001 externen Frameworks. Im Leitfaden für Microsoft 365-Zertifizierungsübermittlungen wurde die Ausrichtung dieser vorhandenen externen Frameworks dargestellt. In einigen Fällen haben wir jedoch festgestellt, dass der vorhandene Standard bzw. das vorhandene Framework nicht angemessen ausgerichtet wurde. Aus diesem Grund führt das Microsoft 365-Zertifizierungsteam eine Überprüfung der bereitgestellten Standards/Framework-Beweise durch und kennzeichnet, welche Kontrollen innerhalb der Microsoft 365-Zertifizierung erfüllt sind.
Wie zeigen wir die Einhaltung der DSGVO, wenn wir keine externe DSGVO-Bewertung durchgeführt haben?
Microsoft erfordert keine unabhängige Überprüfung der DSGVO-Konformität für die Microsoft 365-Zertifizierung, da dies ein Entweder-Oder-Szenario ist, in dem wir Selbstbestätigungen akzeptieren, die wir unabhängig überprüfen können, wenn keine externe Überprüfung stattgefunden hat. Da dies eher eine Bewertung als eine Prüfung ist und in Bezug auf die Beweise, die wir während unserer Prozesse sammeln müssen, ist die Überprüfung der Datenschutzrichtlinien und internen Prozesse, wie wir die DSGVO-Kontrolle angegangen sind. Für die Zwecke, nach denen wir bei der DSGVO-Kontrolle suchen, umfasst es hauptsächlich die Überprüfung der Datenschutzrichtlinien, um sicherzustellen, dass sie die grundlegenden DSGVO-Anforderungen erfüllen. z. B. welche personenbezogenen Daten verarbeitet werden, wie die Rechtmäßigkeit der Verarbeitung ist, auf die Rechte betroffener Personen hinzuweisen, wie ein Antragstellerzugriffsersuchen (Subject Access Request, SAR) von einem Nutzer durchgeführt wird, wie der ISV SARs übernimmt, die ISVs-Unternehmensdetails und Datenaufbewahrungsdetails.
Wir haben uns einem Penetrationstest unterzogen; wir haben jedoch keinen "sauber"-Penetrationstest, da wir keinen Penetrationswiedentest durchgeführt haben. Müssen wir einen erneuten Test durchführen und einen sauber Bericht haben?
Ja, je nach den gefundenen Problemen ist möglicherweise ein erneuter Test erforderlich. Ihr Zertifizierungsanalyst überprüft Ihren vorhandenen Bericht und gibt Ratschläge zu den nächsten Schritten. Da Penetrationstests im Rahmen der Microsoft 365-Zertifizierung bereitgestellt werden, kann dies durch einen neuen Penetrationstest ohne Kosten für Sie behoben werden.
Einige der angeforderten Dokumente und Beweise sind vertraulich. Gibt es Geheimhaltungsvereinbarungen (Non-Disclosure Agreements, NDAs) ?
Ja, einige der von Ihnen übermittelten Informationen sind öffentliche Informationen und einige können vertrauliche Informationen sein. Wenn Sie über eine bestehende NDA bei Microsoft verfügen, gelten die Bedingungen dieser NDA für die vertraulichen Informationen, die Sie übermitteln. Wenn Sie nicht über eine NDA bei Microsoft verfügen, gelten die Vertraulichkeitsbedingungen der Herausgebervereinbarung, die Sie in Partner Center unterzeichnet haben, für diese vertraulichen Informationen.
Wie übertragen wir vertrauliche Dokumente und Beweise im Rahmen der Microsoft 365-Zertifizierungsbewertung sicher?
Derzeit empfiehlt Microsoft die Verwendung von Partner Center für die sichere Freigabe dieser Informationen. Viele ISVs nutzen Partner Center, um sicherzustellen, dass ihre Daten sicher und effizient freigegeben werden.
Wir haben gerade einige zusätzliche Sicherheitsprozesse implementiert, um einige der Microsoft 365-Zertifizierungskontrollen zu erfüllen. Bedeutet dies, dass wir 12 Monate warten müssen, bevor wir in der Lage sind zu zertifizieren?
Nein, Microsoft erkennt an, dass Sie möglicherweise zusätzliche Sicherheitsprozesse entwickeln müssen, um Lücken zwischen vorhandenen Sicherheitsprozessen und dem zu schließen, was von der Microsoft 365-Zertifizierung erwartet wird. Das Microsoft 365-Zertifizierungsteam überprüft neu entwickelte dokumentierte Prozesse und überprüft den Nachweis, dass der Prozess mindestens einmal durchgeführt wurde. Darüber hinaus sind keine historischen Nachweise erforderlich, da diese für diese neu entwickelten Prozesse nicht verfügbar sein werden. Nach zwölf Monaten wird dann eine Stichprobe historischer Beweise während der jährlichen Bewertung bewertet.
Was muss ich bereitstellen?
Während der Bewertung überprüfen Zertifizierungsanalysten die bereitgestellten Dokumente und Nachweise, um Ihre Konformität mit den Microsoft 365-Zertifizierungskontrollen zu bewerten. Im Rahmen dieser Arbeit fordert das Microsoft 365-Zertifizierungsteam Informationen an, die Architekturdetails, Diagramme, Datenspeicherdetails, App-Designdetails, Richtlinien- und Prozessdokumente, Konfigurationsdateien und Screenshots umfassen. In einigen Fällen oder wenn es für Sie einfacher ist, kann eine Screensharing-Sitzung organisiert werden, um den Zertifizierungsanalysten Beweise zu zeigen. Wenn vorhandene Compliance-Frameworks zur Unterstützung der Bewertungsaktivitäten verwendet werden sollen, ist eine angemessene Dokumentation erforderlich, in der nachgewiesen wird, was der externe Prüfer/Bewerter als vorhanden bewertet und bestätigt hat. Wenn die unterstützende Dokumentation nicht die erforderliche Beschreibung liefern kann, um genau zu veranschaulichen, wie die Kontrollen innerhalb des externen Sicherheitsframeworks erfüllt wurden, kann das Microsoft 365-Zertifizierungsteam das externe Sicherheitsframework nicht zur Unterstützung der Microsoft 365-Zertifizierungsbewertung verwenden.
Muss ich für die Zertifizierung Änderungen an meiner aktuellen Infrastruktur vornehmen?
Es ist unwahrscheinlich, dass erhebliche Änderungen an der Infrastruktur erforderlich sind, um die Microsoft 365-Zertifizierung zu erfüllen. Die Kontrollen basieren auf bewährten Sicherheitsmethoden der Branche und werden höchstwahrscheinlich bereits implementiert sein. Wir haben in den meisten Fällen gesehen; ISVs mussten interne Prozesse aktualisieren, um Lücken zwischen den aktuellen Arbeitsmethoden und den Anforderungen der Microsoft 365-Zertifizierung zu schließen. Wenn dies ein Problem ist, empfiehlt Microsoft, die neuesten Microsoft 365-Zertifizierungskontrollen zu überprüfen, die in der Microsoft 365-Zertifizierungsübersicht zu finden sind, um sicherzustellen, dass Ihre derzeit bereitgestellte Umgebung und Ihre Arbeitsmethoden den definierten Kontrollen entsprechen.
Hat Microsoft Empfehlungen zu bestimmten Komponenten,Infrastruktur/Software, die verwendet werden sollten, um die Zertifizierungsanforderungen zu erfüllen?
Microsoft bietet keine spezifischen Empfehlungen für Lösungen, um die Microsoft 365-Zertifizierungskontrollen zu erfüllen. Alle kommerziellen oder Open Source Angebote können verwendet werden, sofern sie aktiv unterstützt und gewartet werden.
Wie lange dauert es, bis die Bewertung abgeschlossen ist?
In der Regel kann es durchschnittlich 60 Tage dauern, bis eine Bewertung abgeschlossen ist, beginnend mit dem Beginn der vollständigen Beweisüberprüfungsphase. Dies kann jedoch von vielen Variablen abhängen, z. B. von der Größe der Hostingumgebung, die zur Unterstützung der App/des Add-Ins verwendet wird, dem Typ der Hostingumgebung, die die App/Das Add-In unterstützt, und davon, wie schnell ISVs auf Beweisanforderungen reagieren.
Wie viel Zeit muss ich für diesen Prozess aufteilen?
Der Großteil der Arbeit besteht darin, die Dokumentationen und Beweise rechtzeitig zu sammeln. Danach sollte es nicht mehr als ein paar Stunden pro Woche dauern, um den Bewertungsprozess abzuschließen. Einige Variablen, die sich auf die erforderliche Zeit auswirken können, sind die Größe der Umgebung und wenn externe Sicherheitsframeworks vorhanden sind, die zur Unterstützung der Bewertung genutzt werden können.
Warum gibt es einen festen 60-Tage-Zeitrahmen für die Bewertung?
Wir haben eine Begrenzung der Dauer festgelegt, für die eine Bewertung durchgeführt werden kann, da bereits gesammelte Beweise veralten können, je länger eine Bewertung dauert. Dies ist eine Zeitpunktbewertung, und daher muss ein geeigneter Zeitraum für den Abschluss zugewiesen werden. Nachdem Sie Ihre erste Dokumentübermittlung übermittelt haben und wir die für Ihre Umgebung geltenden Kontrollen erfolgreich festgelegt haben, antworten wir mit einer Beweisanforderung. Diese Phase wird als vollständige Beweisüberprüfung bezeichnet. Die Microsoft 365-Zertifizierungsübersicht sollte gelesen werden, und Sie sollten sicher sein, dass alle Kontrollen erfüllt werden können, bevor Sie Ihre erste Dokumentübermittlung übermitteln.
Was geschieht, wenn die Bewertung nicht innerhalb des 60-Tage-Zeitrahmens abgeschlossen ist?
Wenn die Bewertung innerhalb des 60-tägigen Zeitraums nicht abgeschlossen wird, markiert Microsoft leider einen Fehler bei der Bewertung. Diese Markierung gilt nur für interne Statistiken und wird nie veröffentlicht. Sie können den Bewertungsprozess sofort neu starten. Sie werden jedoch aufgefordert, neue Beweise erneut zu senden, um die neue Anwendung zu unterstützen.
Wie viel kostet mich die Microsoft 365-Zertifizierung?
Derzeit ist es kostenlos, die Microsoft 365-Zertifizierung abzuschließen. Mögliche Gebühren im Zusammenhang mit Penetrationstests finden Sie unten.
Was kostet Penetrationstests im Rahmen dieses Programms?
Im Rahmen des Microsoft 365-Zertifizierungsprogramms sind Penetrationstests für bis zu 12 Tage und 2 Tage für erneute Tests kostenlos. Alle zusätzlichen Tage sind für Sie kostenpflichtig. Bitte beachten Sie auch, dass bei verspäteter Stornierung Gebühren anfallen können. Der Umfang der Penetrationstests ist auf die App und die unterstützende Infrastruktur beschränkt, die in den Geltungsbereich der Microsoft 365-Zertifizierung fällt.
Verfügen Sie über Marketingmaterialien, mit denen Sie werben können, dass unsere App zertifiziert wurde?
Nach Abschluss erhalten ISVs ein kostenloses digitales Marketing-Kit, um ihre App als Microsoft 365 Certified zu bewerben.
Nach welcher Beweisebene suchen Sie bei der Durchführung der Bewertung?
Nachweise, die während der Microsoft 365-Zertifizierungsbewertung bereitgestellt werden, müssen in der Lage sein, genügend Sicherheit zu bieten, dass Sie die spezifischen Microsoft 365-Zertifizierungskontrollen erfüllen, die bewertet werden. Der Beweis kann in Form von Konfigurationsdateien, Screenshots von Einstellungen oder Beweisen, Richtlinien-/Verfahrensdokumentationen oder Bildschirmfreigabesitzungen erfolgen, um dem Zertifizierungsanalysten beweise zu zeigen. Im Folgenden finden Sie zwei Beispiele:
Bewertungsaktivität: "Veranschaulichen, dass Antivirensoftware in allen abgetasteten Systemkomponenten ausgeführt wird.": Für dieses Steuerelement können Sie einen Screenshot von jedem Gerät im Beispiel bereitstellen, das den Virenschutz unterstützt, der den Ausgeführten Antivirenprozess zeigt. Wenn Sie über eine zentralisierte Verwaltungskonsole für Virenschutz verfügen, können Sie dies möglicherweise von diesem Verwaltungskonsole aus demonstrieren.
Bewertungsaktivität: "Veranschaulichen, wie neue Sicherheitsrisiken identifiziert werden.": Diese Kontrolle stammt aus dem Abschnitt Patchverwaltung. Die Absicht ist, dass Sie über einen formal dokumentierten Prozess verfügen, um neue Sicherheitsrisiken zu identifizieren. Dies kann innerhalb Ihres Quellcodes, aber auch innerhalb der Supportumgebung sein, z. B. Windows-Sicherheitsrisiken, Sicherheitsrisiken in Webabhängigkeiten (z. B. AngularJS, JQuery usw.). Sie sollten über einen dokumentierten Prozess verfügen, den Sie befolgen, um neue Sicherheitsrisiken zu identifizieren. Daher sollte das dokumentierte Prozessdokument bereitgestellt werden. Zusätzlich zur Dokumentation müssen Sie nachweisen, dass der Prozess befolgt wird. Wenn Sie beispielsweise npm audit verwenden, um Abhängigkeiten auf Sicherheitsrisiken zu überprüfen, liefert die Bereitstellung eines Beispiels von Berichten Beweise. Wenn Sie mehrere Prozesse verwenden, d. h. für verschiedene Systemkomponenten, müssen Nachweise für alle Prozesse bereitgestellt werden.