Herramienta de automatización de cumplimiento de aplicaciones para Microsoft 365
En este artículo, aprenderá cuál es la herramienta de automatización de cumplimiento de aplicaciones para Microsoft 365 (ACAT) y cómo simplifica el cumplimiento y obtiene la certificación de Microsoft 365.
Nota:
ACAT está actualmente en versión preliminar pública y solo admite aplicaciones creadas en Microsoft Azure y Amazon Web Services (AWS). Las actualizaciones futuras incluirán la funcionalidad de las aplicaciones creadas en otras nubes.
Nota:
Si desea proporcionar comentarios a la versión preliminar pública de ACAT, complete este formulario. El equipo de producto de ACAT le seguirá lo antes posible una vez que recibamos sus mensajes.
¿Qué es la herramienta de automatización de cumplimiento de aplicaciones para Microsoft 365?
App Compliance Automation Tool for Microsoft 365 (ACAT) es un servicio en Azure Portal que ayuda a simplificar el recorrido de cumplimiento de cualquier aplicación que consuma datos de clientes de Microsoft 365 y se publique a través del Centro de partners. Es una herramienta de automatización del cumplimiento centrada en la aplicación que le ayuda a completar la certificación de Microsoft 365 con mayor facilidad y comodidad.
Con esta herramienta, podrá definir rápidamente el límite de cumplimiento de las aplicaciones, supervisar los resultados de cumplimiento automáticamente y completar la auditoría de cumplimiento más fácilmente. El límite de cumplimiento es la infraestructura en la nube que admite la entrega de la aplicación y los sistemas back-end con los que se comunica la aplicación.
Además de proporcionar un seguimiento más rápido para la certificación de Microsoft 365, ACAT puede ayudarle en varios escenarios de cumplimiento para aplicaciones de Microsoft 365:
- Pasos detallados para ver y corregir las responsabilidades de certificación de Microsoft 365.
- Informes diarios automáticos de evaluaciones de cumplimiento para mantener las aplicaciones conformes continuamente.
- Procedimientos recomendados de seguridad y cumplimiento que se pueden usar como guía en la primera fase del ciclo de vida de la aplicación.
Ventajas de ACAT
Recorrido de cumplimiento centrado en la aplicación.
- ACAT informa de las evaluaciones de cumplimiento del entorno en la nube de las aplicaciones, que puede integrar con la estrategia de cumplimiento de la infraestructura en la nube actual.
- Los desarrolladores pueden invocar ACAT incluso durante la fase de desarrollo de aplicaciones para identificar posibles riesgos de cumplimiento en una fase temprana.
Acelera el proceso de certificación de Microsoft 365.
- ACAT automatiza completamente ciertos controles de certificación de Microsoft 365.
- Microsoft está desarrollando activamente una lista de automatización que crece continuamente.
Integración nativa con el flujo de trabajo de certificación de Microsoft 365.
- ACAT está totalmente integrado con el Centro de partners para fines de certificación de Microsoft 365.
Mantenga la aplicación o el entorno conformes continuamente.
- ACAT garantiza actualizaciones diarias de las evaluaciones de cumplimiento, adaptándolas a la configuración de tiempo de desencadenador especificada.
- ACAT le permite integrar sin problemas las evaluaciones de cumplimiento en Acciones de GitHub u otras canalizaciones de CI/CD, lo que garantiza una supervisión continua.
Conceptos de ACAT
Informe de cumplimiento normativo
En ACAT, puede auditar el estado de cumplimiento de la aplicación mediante la creación de un informe de cumplimiento para ella. Puede definir el límite de cumplimiento de la aplicación especificando los recursos en la nube que compilan la aplicación. Cree varios informes para una aplicación, en función de diferentes entornos de desarrollo y fases.
Una vez creado el informe, ACAT comienza a recopilar los datos de cumplimiento en el tiempo de desencadenador predefinido y, a continuación, genera los resultados de cumplimiento como informe automáticamente. Mientras tanto, ACAT sigue supervisando los cambios de cumplimiento del informe de cumplimiento continuamente, hasta que decide eliminar el informe.
Control de certificación de Microsoft 365
ACAT acelera la certificación de Microsoft 365 mediante la automatización de los controles de cumplimiento. En función del estado de automatización, hay tres tipos de controles de cumplimiento definidos en ACAT.
- Control totalmente automatizado: ACAT automatiza totalmente el control de certificación de Microsoft.
- Control manual parcial automatizado: ACAT podría automatizar las responsabilidades parciales del control de certificación de Microsoft 365. Debe seguir las instrucciones proporcionadas por ACAT para completar las responsabilidades restantes.
- Control totalmente manual: debe seguir las instrucciones proporcionadas por ACAT para completar todas las responsabilidades.
A largo plazo, ACAT mejora la cobertura de automatización de los controles de certificación de Microsoft 365 continuamente.
Responsabilidades del cliente
Hay un conjunto de responsabilidades del cliente asociadas a cada control que se deben cumplir. Son responsabilidades que usted retiene en las siguientes áreas: datos, puntos de conexión, cuenta, administración de acceso, etc.
Responsabilidad manual del cliente: debe preparar las pruebas de cumplimiento y cargarlas en ACAT. ACAT transferirá su evidencia al Centro de partners cuando envíe su informe de ACAT.
Responsabilidad del cliente de evaluación automatizada: ACAT puede recopilar datos para cada responsabilidad y proporcionar un resultado de evaluación. Debe abordar los recursos incorrectos si los corrige o proporciona más pruebas de cumplimiento para justificar el estado actual del recurso.
Responsabilidad del cliente de recopilación automatizada de evidencias: para los informes que contienen recursos compatibles con la característica de recopilación automatizada de evidencias de ACAT, ACAT ofrece asistencia simplificada para preparar pruebas de cumplimiento mediante un sencillo proceso de selección de botones. Si la lista de recursos del informe carece de recursos admitidos, sigue conservando la opción de cargar manualmente las pruebas de cumplimiento.
Tanto la evaluación automatizada como las responsabilidades automatizadas de los clientes de la recopilación de evidencias le proporcionan acciones correctivas, que son nuestras directrices para ayudarle a alinearse con los estándares de certificación de Microsoft 365.
Nota:
Las responsabilidades de los clientes de evaluación automatizada se rechazan diariamente en función del tiempo de desencadenador programado. Sin embargo, las responsabilidades de los clientes de la recopilación automatizada de evidencias solo se pueden actualizar a petición haciendo clic en el botón "Automated evidence collection by ACAT" (Recopilación automatizada de evidencias por ACAT).
Descripción del estado de cumplimiento de los controles de certificación de Microsoft 365
En el informe de cumplimiento normativo, ACAT define las responsabilidades del cliente para cada control totalmente automatizado y control manual parcial automatizado. Hay dos estados de cumplimiento para la responsabilidad del cliente.
- Pasado: los recursos en la nube aplicables a esta responsabilidad del cliente son correctos.
- Error: hay al menos un recurso en la nube incorrecto. Puede seguir los pasos de corrección para resolver los recursos incorrectos.
- N/A: No hay recursos en la nube aplicables a la responsabilidad del cliente o esta responsabilidad del cliente se considera inaplicable en función de la configuración de la aplicación para este informe.
- Revisión de cumplimiento de la aplicación requerida: se recopilan manualmente las pruebas y se cargan a esta responsabilidad del cliente. Un analista realizará una revisión exhaustiva después de enviar la solicitud de certificación de Microsoft 365 en Microsoft Partner Network.
Los estados de cumplimiento de los controles de certificación de Microsoft 365 se basan en los estados de cumplimiento de las responsabilidades del cliente.
- Pasado: no hay responsabilidad del cliente en el estado "Error" o "Revisión de cumplimiento de aplicaciones requerida" para este control de certificación de Microsoft 365.
- Error: se produjo un error en al menos una responsabilidad del cliente en relación con este control de certificación de Microsoft 365.
- N/A: todas las responsabilidades del cliente de este control de certificación de Microsoft 365 se encuentran en el estado "N/A".
- Revisión de cumplimiento de la aplicación requerida: al menos una responsabilidad del cliente está en el estado "Revisión de cumplimiento de la aplicación requerida". Un analista realizará una revisión exhaustiva después de enviar la solicitud de certificación de Microsoft 365 en Microsoft Partner Network.
Preguntas más frecuentes
¿Qué son los controles manuales y los controles parcialmente automatizados?
Cada control de cumplimiento está vinculado a un conjunto específico de responsabilidades del cliente, con ACAT recopilando los datos de cumplimiento en consecuencia. Es importante tener en cuenta que, ahora, ACAT no cubre todos los controles para la certificación de Microsoft 365 (aunque se están realizando esfuerzos para expandir la cobertura). En el caso de los controles parcialmente automatizados, ACAT automatiza aspectos específicos de las responsabilidades del cliente. Los resultados de la evaluación de un control parcialmente automatizado contribuyen a la auditoría de certificación de Microsoft 365 y se necesitan más acciones por su parte para cumplir los requisitos restantes. Sin embargo, en el caso de los controles manuales, ACAT actualmente no automatiza ninguna responsabilidad del cliente.
¿Cómo puedo saber si el control está totalmente automatizado?
ACAT mejora continuamente la automatización del control. Este es el estado actual de la automatización de controles.
| Dominio de seguridad | Familia de control | Número de control | Estado de automatización de ACAT | Estado de automatización de ACAT para AWS |
|---|---|---|---|---|
| Seguridad operativa | Formación en concienciación | Control 1 | Manual | Manual |
| Seguridad operativa | Protección contra malware: antivirus | Control 2 | Totalmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Protección contra malware: control de aplicaciones | Control 3 | Manual | Manual |
| Seguridad operativa | Administración de revisiones: clasificación de riesgos de & de aplicación de revisiones | Control 4 | Manual | Manual |
| Seguridad operativa | Administración de revisiones: clasificación de riesgos de & de aplicación de revisiones | Control 5 | Parcialmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Detección de vulnerabilidades | Control 6 | Totalmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Detección de vulnerabilidades | Control 7 | Totalmente automatizado | Totalmente automatizado |
| Seguridad operativa | Controles de seguridad de red (NSC) | Control 8 | Parcialmente automatizado | Manual |
| Seguridad operativa | Controles de seguridad de red (NSC) | Control 9 | Parcialmente automatizado | Colección de evidencia automatizada |
| Seguridad operativa | Cambiar control | Control 10 | Manual | Manual |
| Seguridad operativa | Cambiar control | Control 11 | Colección de evidencia automatizada | Colección de evidencia automatizada |
| Seguridad operativa | Protección del desarrollo o la implementación de software | Control 12 | Manual | Manual |
| Seguridad operativa | Protección del desarrollo o la implementación de software | Control 13 | Parcialmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Administración de cuentas | Control 14 | Parcialmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Administración de cuentas | Control 15 | Parcialmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Administración de cuentas | Control 16 | Parcialmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Registro, revisión y alertas de eventos de seguridad | Control 17 | Totalmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Registro, revisión y alertas de eventos de seguridad | Control 18 | Totalmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Registro, revisión y alertas de eventos de seguridad | Control 19 | Manual | Manual |
| Seguridad operativa | Registro, revisión y alertas de eventos de seguridad | Control 20 | Totalmente automatizado | Parcialmente automatizado |
| Seguridad operativa | Administración de riesgos de seguridad de la información | Control 21 | Manual | Manual |
| Seguridad operativa | Administración de riesgos de seguridad de la información | Control 22 | Manual | Manual |
| Seguridad operativa | Administración de riesgos de seguridad de la información | Control 23 | Manual | Manual |
| Seguridad operativa | Administración de riesgos de seguridad de la información | Control 24 | Manual | Manual |
| Seguridad operativa | Respuesta a incidentes de seguridad | Control 25 | Manual | Manual |
| Seguridad operativa | Respuesta a incidentes de seguridad | Control 26 | Manual | Manual |
| Seguridad operativa | Respuesta a incidentes de seguridad | Control 27 | Manual | Manual |
| Seguridad operativa | Plan de continuidad empresarial (BCP) y plan de recuperación ante desastres | Control 28 | Colección de evidencia automatizada | Manual |
| Seguridad operativa | Plan de continuidad empresarial (BCP) y plan de recuperación ante desastres | Control 29 | Colección de evidencia automatizada | Manual |
| Seguridad operativa | Plan de continuidad empresarial (BCP) y plan de recuperación ante desastres | Control 30 | Manual | Manual |
| Control de datos seguridad & privacidad | Datos en tránsito | Control 1 | Totalmente automatizado | Totalmente automatizado |
| Control de datos seguridad & privacidad | Datos en tránsito | Control 2 | Totalmente automatizado | Totalmente automatizado |
| Control de datos seguridad & privacidad | Datos en reposo | Control 3 | Totalmente automatizado | Totalmente automatizado |
| Control de datos seguridad & privacidad | Retención, copia de seguridad y eliminación de datos | Control 4 | Manual | Manual |
| Control de datos seguridad & privacidad | Retención, copia de seguridad y eliminación de datos | Control 5 | Manual | Manual |
| Control de datos seguridad & privacidad | Retención, copia de seguridad y eliminación de datos | Control 6 | Colección de evidencia automatizada | Manual |
| Control de datos seguridad & privacidad | Retención, copia de seguridad y eliminación de datos | Control 7 | Parcialmente automatizado | Manual |
| Control de datos seguridad & privacidad | Administración del acceso a datos | Control 8 | Colección de evidencia automatizada | Manual |
| Control de datos seguridad & privacidad | Administración del acceso a datos | Control 9 | Manual | Manual |
| Control de datos seguridad & privacidad | Privacidad | Control 10 | Manual | Manual |
| Control de datos seguridad & privacidad | Privacidad | Control 11 | Colección de evidencia automatizada | Manual |
| Control de datos seguridad & privacidad | RGPD | Control 12 | Colección de evidencia automatizada | Manual |
| Control de datos seguridad & privacidad | RGPD | Control 13 | Manual | Manual |
| Control de datos seguridad & privacidad | HIPAA | Control 14 | Manual | Manual |
| Control de datos seguridad & privacidad | HIPAA | Control 15 | Manual | Manual |
Nota:
El estado de automatización de ACAT expresa qué extensión de automatización puede ayudarle ACAT a preparar las pruebas de cumplimiento para un control.
- Manual: debe preparar manualmente todas las pruebas de cumplimiento para cada responsabilidad del cliente bajo este control.
- Parcialmente automatizado: este control tiene una combinación de responsabilidades del cliente, incluidas las evaluaciones automatizadas, la recopilación automatizada de pruebas y las responsabilidades manuales del cliente. Debe corregir las responsabilidades de los clientes con errores y aprovechar la característica de recopilación automatizada de evidencias para la recopilación de pruebas. Para las responsabilidades manuales, asegúrese de proporcionar las pruebas de cumplimiento necesarias y cargarlas en el ACAT.
- Totalmente automatizado: todas las responsabilidades del cliente bajo este control son responsabilidades automatizadas de los clientes de evaluación o responsabilidades automatizadas de los clientes de recopilación de evidencias.
¿Por qué se ha producido un error en la responsabilidad del cliente?
Hay varias posibles razones de la responsabilidad del cliente errónea:
- Se recomienda encarecidamente completar primero los valores de configuración de la aplicación, ya que ACAT ajusta el estado predeterminado de determinados controles en función de la configuración.
- En los casos manuales de responsabilidad del cliente, el estado predeterminado se establece en "error" como recordatorio para seguir la guía de pruebas de ejemplo para recopilar y cargar pruebas manualmente.
- En el caso de los casos automatizados de responsabilidad del cliente de recopilación de evidencias, puede adoptar una solución de ACAT en
Remidiation stepspara cada responsabilidad del cliente y, a continuación, desencadenar ACAT para recopilar evidencia automáticamente. Como alternativa, puede seguir la guía de pruebas de ejemplo para recopilar y cargar pruebas manualmente para su propia solución. - Para casos de responsabilidad de clientes de evaluación automatizada, puede seguir las soluciones de ACAT en
Remidiation stepspara cada responsabilidad del cliente o seguir la guía de evidencia de ejemplo para recopilar y cargar pruebas manualmente para su propia solución.
Sugerencia
La resolución de todos los errores en ACAT no es obligatoria. Puede optar por conservar el estado de "error" en ACAT y, en su lugar, cargar sus propias pruebas en el Centro de partners después de iniciar una revisión de certificación. Esto le permitirá analizar primero cualquier problema o pregunta para un control específico con su auditor.
¿Por qué ACAT muestra un mensaje de advertencia que me pide que confirme los cambios en la configuración de la aplicación?
La application configuration configuración es importante porque ACAT ajusta el estado predeterminado de determinados controles en función de la configuración, por ejemplo, algunos controles se cambian al estado "N/A" de forma predeterminada.
Al cambiar la application configuration configuración, ACAT las comprueba con los recursos en la nube que seleccionó y muestra un mensaje de advertencia si la configuración puede ser incorrecta. El revisor de certificación también revisa esta configuración durante la Initial Document Submission fase de certificación de Microsoft 365.
Hice los cambios sugeridos en base a la sugerencia de corrección, pero el control sigue fallando
Después de realizar una acción correctiva para solucionar el error, espere tiempo a ACAT para recuperar los resultados de la evaluación actualizados para el estado del control. Las evaluaciones se realizan cada 24 horas, según el tiempo predeterminado del desencadenador.
¿Se almacenan las pruebas en ACAT?
Antes de cargar la evidencia en ACAT manualmente o de permitir que ACAT recopile pruebas automáticamente, se le pedirá que configure su propia cuenta de almacenamiento como repositorio de pruebas a través de la Evidence Repository configuración. Todas las pruebas se almacenan en la cuenta de almacenamiento designada. Una vez que envíe la revisión de certificación de Microsoft 365 en el Centro de partners, seleccionando un informe de ACAT específico, ACAT ayuda a enviar el informe de cumplimiento de ACAT, recopila automáticamente pruebas y carga manual de pruebas al revisor de certificación automáticamente.
¿Cómo se usa el informe de cumplimiento en el proceso de certificación?
ACAT se integra perfectamente con el Centro de partners para completar el recorrido de certificación de Microsoft 365. Más información sobre cómo usar el informe de cumplimiento para acelerar la certificación de Microsoft 365