Panoramica della guida di prova dell'esempio di certificazione Microsoft 365

Questa guida di prova di esempio consente agli ISV di produrre le prove corrette necessarie per completare la certificazione Microsoft 365. Questo documento include la finalità di ogni controllo e tutte le parti secondarie di un controllo, i possibili modi in cui è possibile raccogliere le prove per i controlli con documenti di prova, criteri e screenshot di esempio. Inoltre, questa guida fornisce assistenza su come strutturare le prove inviate.

Tutti gli esempi condivisi in questo documento non rappresentano l'unica prova che può essere usata per dimostrare che i controlli vengono soddisfatti. Queste sono linee guida per il tipo di prova che può aiutare gli analisti di certificazione a decidere se il controllo è stato soddisfatto dall'ISV.

Nota: le interfacce, gli screenshot e la documentazione effettivi usati per soddisfare i requisiti per la certificazione variano a seconda dell'uso del prodotto, della configurazione del sistema e dei processi interni. Si noti che quando sono necessari criteri o documentazione della procedura, l'ISV deve inviare versioni complete dei documenti effettivi e non screenshot, come potrebbe essere illustrato in alcuni degli esempi.

Gli screenshot che devono essere inviati devono essere screenshot a schermo intero con qualsiasi URL, utente connesso (assicurarsi che il nome dell'utente connesso sia visibile nello screenshot) con il timestamp e la data inclusi. Per i sistemi basati su Linux, includere queste informazioni con/sull'evidenza del controllo usando il prompt dei comandi per produrle.

Tutte le prove inviate devono avere meno di 3 mesi per garantire che al termine della certificazione l'evidenza sia ancora pertinente e non obsoleta. In caso contrario, potrebbe essere richiesto di raccogliere nuove prove.

Nota anche: nessuna API beta può essere usata ai fini di questa certificazione o di qualsiasi esempio usato all'interno di questo processo.

È consigliabile seguire queste linee guida per evitare che la valutazione venga ritardata a causa di prove insufficienti.

Struttura di certificazione Microsoft 365

La certificazione è stata strutturata in tre domini di sicurezza:

• Sicurezza dell'applicazione (inclusi i controlli di connettività, se necessario)

• Sicurezza operativa

• Sicurezza dei dati e privacy

Per la certificazione è necessario un test di penetrazione che verrà esaminato nel dominio sicurezza delle applicazioni. Altri dettagli su questo requisito sono disponibili nelle sezioni 3 e 4 della struttura di invio delle prove.

Per semplificare il processo di certificazione, i domini di sicurezza vengono suddivisi in gruppi di controllo. Questi gruppi di controllo consentono ai fornitori di software indipendenti (ISV) di gestire la raccolta di evidenze in passaggi più piccoli e strutturati. Si allineano ai framework di resourcing aziendali comuni, rendendo più semplice per i team interni coordinare le attività e accelerare la raccolta di prove.

Ogni controllo è associato a una descrizione dell'attività di valutazione, direttamente derivata dagli elenchi di controllo della certificazione Microsoft 365. Ciò include la finalità del controllo di sicurezza, spiegando il motivo per cui è necessario e i rischi specifici che mira a mitigare. L'obiettivo è fornire agli ISV una chiara comprensione del ragionamento alla base di ogni controllo, consentendo loro di determinare il tipo di prove necessarie e di garantire la consapevolezza durante la preparazione dell'invio.

Per facilitare la raccolta delle prove, sono state fornite linee guida di prova di esempio. Queste linee guida offrono informazioni chiare sui tipi di prove accettabili che gli analisti di certificazione possono usare per valutare se un controllo è in atto e gestito. Questi esempi, tuttavia, non sono esaustivi e fungono da riferimento anziché da un requisito rigoroso.

La sezione Prove di esempio include screenshot e immagini di esempio che illustrano potenziali invii di prove in vari controlli all'interno del framework di certificazione microsoft 365. Ciò è particolarmente rilevante per i domini Sicurezza operativa e Sicurezza dei dati e Privacy. Tutte le immagini di esempio con frecce o caselle rosse hanno lo scopo di evidenziare dettagli importanti e garantire una migliore comprensione dei requisiti necessari per soddisfare controlli specifici.

Struttura di invio di prove

L'invio di prove a tutti i controlli applicabili verrà eseguito tramite il Centro per i partner, ad eccezione delle valutazioni a supporto della registrazione della conformità Microsoft e delle certificazioni del contact center. Questi dovranno in genere essere sottoposti a un processo manuale, ignorare questa sezione e vedere la sezione successiva relativa al completamento della certificazione se si sta registrando la conformità & contact center.

Per assicurarsi che gli analisti di certificazione possano identificare facilmente le prove fornite e esaminarle correttamente, seguire queste raccomandazioni:

1. Per ognuna delle sezioni assicurarsi che le prove siano chiaramente etichettate prima della presentazione. Se sono presenti più prove per ogni controllo, inserire l'evidenza in un singolo file di parole/pdf, incluso un commento di ciò che l'evidenza mostra. Se l'evidenza è costituita da più documenti word/pdf, ad esempio la documentazione di supporto, caricarli come singoli file. Si prega di non inserire questi in un file ZIP per il caricamento nel Centro per i partner in quanto non si accettano file ZIP a causa del rischio di malware.

2. Tutte le informazioni del framework esterno devono essere fornite in modo completo senza apportare correzioni (consentiremo solo la redazione di un nome parziale di singoli utenti da questi report in quanto rientrano nelle informazioni personali( Personal Identifiable Information) - Tutte le parti dei report devono essere incluse, ad esempio, dichiarazione di applicabilità ISO 27001 (SOA) e certificato, report SOC 2 completo di tipo 2 e/o attestazione di conformità PCI-DSS completa (AOC). Tutti i documenti sono coperti dal contratto del Centro per i partner Microsoft ai sensi della clausola 7.

La sezione 7(a) include la NDA seguente:

3. Quando richiesto, è necessario inviare un report completo dei test di penetrazione non controllati tramite il Centro per i partner. Se non viene fornito, gli analisti della certificazione non saranno in grado di completare il controllo per la certificazione Microsoft 365.

4. Test di penetrazione dell'infrastruttura interna ed esterna e dell'applicazione Web: è necessario un report di test di penetrazione per tutti gli ambienti di hosting.

   • Per Infrastruttura distribuita come servizio (IaaS) o ISV ospitata (data center privato locale) è necessario un test dell'infrastruttura interna ed esterna e dell'applicazione Web.

   • Per Platform as a Service "PaaS/Serverless" il test della penna deve provenire dall'applicazione Web e dall'infrastruttura di supporto sottostante.

Nota: test di penetrazione gratuiti: il test gratuito della penna Microsoft è limitato solo a dodici giorni. Se quando si definisce l'ambito del test della penna, l'app richiede più di 12 giorni di test, verrà richiesto di pagare per i giorni aggiuntivi, inoltre, se è necessario eseguire il test della penna fuori orario, verranno addebitati costi aggiuntivi. Il servizio di test della penna fornito è anche limitato a un test della penna (incluso un nuovo test) all'anno, ad esempio se il test di penetrazione è stato eseguito il 1° settembre 2022, non sarà possibile ottenerne un altro fino al 31 agosto 2023.

Questo è applicabile a tutti i tentativi di invio, il che significa che questo vale per il ciclo di invio corrente e se decidi di chiudere l'invio corrente e riavviare il processo più avanti entro lo stesso anno, non avrai diritto a un ulteriore test della penna perché uno è già stato eseguito per te.

5. Tutti gli ISV devono completare l'invio iniziale del documento entro 14 giorni (inclusi eventuali avanti e indietro con l'analista) dopo aver ricevuto il messaggio di posta elettronica iniziale del ticket dal team di amministrazione Microsoft. L'intervallo di tempo di 14 giorni prevede il completamento completo, la revisione e lo spostamento dell'invio alla fase di prova completa. Gli ISV devono verificare regolarmente se il loro analista ha richiesto modifiche o ha richiesto informazioni o documenti aggiuntivi. Durante il periodo di 14 giorni gli ISV possono inviare le informazioni necessarie tutte le volte necessarie, tuttavia, tenere presente che se l'invio non viene attivamente lavorato, sarà considerato non aggiornato e chiuso nel Centro per i partner e la certificazione dovrà essere riavviata. In determinate circostanze, un ISV potrebbe essere fornito fino a 30 giorni per il completamento. Se un ISV non riesce a completare l'invio iniziale del documento entro l'intervallo di tempo specificato, l'invio verrà chiuso.

Inoltre, tutti gli ISV devono completare la certificazione entro 60 giorni dal momento in cui l'invio viene spostato dalla fase iniziale di invio del documento alla fase di raccolta completa delle prove. Ciò include eventuali revisioni e feedback forniti dal valutatore/revisore durante tutto il processo. L'intervallo di tempo di 60 giorni prevede il completamento completo, la revisione e il controllo di qualità finale delle prove, il che significa che gli ISV devono inviare le prove almeno due settimane prima della data di completamento per garantire che la certificazione venga completata in tempo. Durante il periodo di 60 giorni, gli ISV possono inviare prove al Centro per i partner il numero di volte necessario. Tuttavia, tenere presente che l'invio finale, come indicato, è di almeno due settimane prima della data di completamento per dare agli analisti di certificazione il tempo di esaminare e controllare l'invio. Al termine dei 60 giorni, gli ISV dovranno riavviare il processo.

Se si verificano problemi durante il processo di certificazione, l'analista della certificazione può concedere una potenziale estensione per problemi validi. Un analista può concedere a sua discrezione un'estensione del tempo fino a un massimo di altri 30 giorni se si vede che gli ISV stanno lavorando attivamente all'invio. Si noti che se viene fornita un'estensione da 0 a 30 giorni, l'ISV dovrà assicurarsi che le prove siano disponibili per la revisione due settimane prima della data di fine dell'estensione.

Se viene concessa un'estensione, ma l'evidenza ha più di 3 mesi, potrebbe potenzialmente non riuscire il controllo di qualità in quanto tale prova potrebbe essere potenzialmente considerata obsoleta a causa del periodo di tempo tra il momento in cui è stato fornito e il controllo di qualità finale, il che significa che saranno necessarie nuove prove per tali controlli. Una volta che il tempo di estensione è scade non ci saranno altre estensioni e l'ISV dovrebbe inviare le loro prove (almeno due settimane prima della fine dell'estensione), se non inviato l'invio verrà classificato come non riuscito e verrà chiuso. Se non è stato avviato alcun lavoro attivo sull'invio in qualsiasi momento durante i 60 giorni iniziali o durante il periodo di estensione (fino a 30 giorni), l'invio verrà classificato come abbandonato e verrà chiuso.

Se l'invio è stato classificato come abbandonato, l'ISV dovrà riavviare il processo con una nuova attestazione e nuove prove in quanto le prove correnti saranno considerate non aggiornate. Si noti che gli ISV sono consentiti solo un invio in un anno. Se per qualsiasi motivo un ISV abbandona il processo una volta che è nella fase di raccolta completa delle prove e il loro invio è stato contrassegnato come abbandonato, non sarà possibile riavviare il processo fino all'anno successivo.

Struttura di invio di prove manuale: registrazione della conformità & contact center

Per garantire che gli analisti di certificazione possano identificare facilmente le prove fornite e esaminarle correttamente, seguire queste raccomandazioni per la struttura di invio delle prove se l'invio viene eseguito manualmente tramite richiesta del team di certificazione.

1. Creare un singolo documento, che può essere facilmente esaminato (ad esempio, in Word o PDF), per ogni gruppo di controllo di sicurezza (ad esempio, antivirus, gestione delle patch e così via).

2. Assegnare al singolo documento il nome del gruppo di controllo di sicurezza per indicare chiaramente il contenuto del documento.

3. Aggiungervi gli artefatti dell'evidenza, fare riferimento alla documentazione di supporto dell'organizzazione che supporta il gruppo di controllo ed eventuali note aggiuntive per l'analista della certificazione che spiegano che cos'è l'artefatto e in che modo questa prova soddisfa il controllo ( aiuterà gli analisti di certificazione se si denominano le immagini con i relativi numeri di controllo, ad esempio, Data Security and Privacy Control No.1).

Nota: tenere presente che, quando viene usato il campionamento, gli artefatti devono essere prelevati da ogni dispositivo nel set di esempi, assicurarsi che l'artefatto visualizzi anche il nome del sistema per verificare che l'artefatto provenisse dal dispositivo valutato e che nessun dato sia oscurato o redacted.

4. Tutte le informazioni del framework esterno devono essere fornite in modo completo senza operazioni di redazione (consentiremo solo la redazione del nome degli individui da questi report in quanto rientrano nell'ambito delle informazioni personali) - Tutte le parti dei report devono essere incluse, ad esempio l'Istruzione di applicabilità ISO 27001 (SOA) e il certificato, il report SOC 2 di tipo 2 completo e/o l'attestazione di conformità PCI-DSS completa (AOC) full HIPAA Report o FedRAMP. Tutti i documenti sono coperti dal contratto del Centro per i partner Microsoft nella sezione 7.

La sezione 7(a) include la NDA seguente:

5. Quando richiesto, è necessario inviare all'analista della certificazione un report completo di test di penetrazione non richiesto. Se non viene fornito, l'analista della certificazione non sarà in grado di completare la certificazione Microsoft 365.

6. Infrastruttura interna ed esterna e applicazione Web: è necessario un report di test di penetrazione per tutti gli ambienti di hosting.

   • Per Infrastruttura distribuita come servizio (IaaS) o ISV ospitata (data center privato locale) è necessario un test dell'infrastruttura interna ed esterna e dell'applicazione Web.

   • Per Platform as a Service "PaaS/Serverless" il test della penna deve provenire dall'applicazione Web e dall'infrastruttura di supporto sottostante.

Test di penetrazione gratuiti: si noti che il test gratuito della penna Microsoft è limitato solo a dodici giorni. Se un'app richiede più di 12 giorni di test, all'ISV verrà chiesto di pagare per i giorni aggiuntivi. Inoltre, se l'ISV richiede il test della penna fuori dal normale orario di ufficio in base alla posizione del revisore, ciò comporta anche costi aggiuntivi. Il servizio di test della penna fornito è limitato a un test della penna gratuito (incluso un nuovo test) all'anno per ogni tentativo di invio.

7. Tutti gli ISV devono completare l'invio iniziale del documento entro 14 giorni (inclusi eventuali avanti e indietro con l'analista) dopo aver ricevuto il messaggio di posta elettronica iniziale del ticket dal team di amministrazione Microsoft. L'intervallo di tempo di 14 giorni prevede il completamento completo, la revisione e lo spostamento dell'invio alla fase di prova completa. Gli ISV devono verificare regolarmente se il loro analista ha richiesto modifiche o ha richiesto informazioni o documenti aggiuntivi. Durante il periodo di 14 giorni gli ISV possono inviare le informazioni necessarie tutte le volte necessarie, tuttavia, tenere presente che se l'invio non viene attivamente lavorato, sarà considerato non aggiornato e chiuso nel Centro per i partner e la certificazione dovrà essere riavviata. In determinate circostanze, un ISV potrebbe essere fornito fino a 30 giorni per il completamento. Se un ISV non riesce a completare l'invio iniziale del documento entro l'intervallo di tempo specificato, l'invio verrà chiuso.

Inoltre, tutti gli ISV devono completare la certificazione entro 60 giorni dal momento in cui l'invio viene spostato dalla fase iniziale di invio del documento alla fase di raccolta completa delle prove. Ciò include eventuali revisioni e feedback forniti dal valutatore/revisore durante tutto il processo. L'intervallo di tempo di 60 giorni prevede il completamento completo, la revisione e il controllo di qualità finale delle prove, il che significa che gli ISV devono inviare le prove almeno due settimane prima della data di completamento per garantire che la certificazione venga completata in tempo. Durante il periodo di 60 giorni, gli ISV possono inviare prove al Centro per i partner il numero di volte necessario. Tuttavia, tenere presente che l'invio finale, come indicato, è di almeno due settimane prima della data di completamento per dare agli analisti di certificazione il tempo di esaminare e controllare l'invio. Al termine dei 60 giorni, gli ISV dovranno riavviare il processo.

Se si verificano problemi durante il processo di certificazione, l'analista della certificazione può concedere una potenziale estensione per problemi validi. Un analista può concedere a sua discrezione un'estensione del tempo fino a un massimo di altri 30 giorni se si vede che gli ISV stanno lavorando attivamente all'invio. Si noti che se viene fornita un'estensione da 0 a 30 giorni, l'ISV dovrà assicurarsi che le prove siano disponibili per la revisione due settimane prima della data di fine dell'estensione.

Se viene concessa un'estensione, ma l'evidenza ha più di 3 mesi, potrebbe potenzialmente non riuscire il controllo di qualità in quanto tale prova potrebbe essere potenzialmente considerata obsoleta a causa del periodo di tempo tra il momento in cui è stato fornito e il controllo di qualità finale, il che significa che saranno necessarie nuove prove per tali controlli. Una volta che il tempo di estensione è scade non ci saranno altre estensioni e l'ISV dovrebbe inviare le loro prove (almeno due settimane prima della fine dell'estensione), se non inviato l'invio verrà classificato come non riuscito e verrà chiuso. Se non è stato avviato alcun lavoro attivo sull'invio in qualsiasi momento durante i 60 giorni iniziali o durante il periodo di estensione (fino a 30 giorni), l'invio verrà classificato come abbandonato e verrà chiuso.

Se l'invio è stato classificato come abbandonato, l'ISV dovrà riavviare il processo con una nuova attestazione e nuove prove in quanto le prove correnti saranno considerate non aggiornate. Si noti che gli ISV sono consentiti solo un invio in un anno. Se per qualsiasi motivo un ISV abbandona il processo una volta che è nella fase di raccolta completa delle prove e il loro invio è stato contrassegnato come abbandonato, non sarà possibile riavviare il processo fino all'anno successivo.

Creazione della struttura di cartelle per la registrazione della conformità & contact center

Seguire queste istruzioni per creare la struttura di cartelle necessaria all'analista per esaminare le prove fornite.

1. Completare l'invio iniziale del documento in modo che sia possibile definire l'ambito dei controlli. Specificare il maggior numero di dettagli possibile e che anche il diagramma architetturale e il diagramma del flusso di dati abbiano lo stesso livello di dettaglio.

2. Creare una cartella interna o online e aggiungervi tutti i documenti.

   • Etichettare la cartella condivisa effettiva Microsoft Certification

   • Aggiungere le informazioni di invio iniziale del documento nella cartella Microsoft Certification in una cartella denominata IDS.

   • All'interno della cartella Certificazione creare quattro cartelle con i nomi seguenti:

     • Sicurezza dell'applicazione (per le informazioni sul test della penna)

     • Conformità (per i framework esterni, ad esempio SOC 2)

     • Sicurezza operativa (sistema operativo)

     • Privacy & sicurezza dei dati (DS&P)

   • All'interno delle cartelle OS e DS&P, creare gruppi di controllo per ogni set di controlli, ad esempio Malware, Applicazione di patch e così via, in cui è possibile aggiungere documenti per ognuno dei controlli (se si vuole essere specifici, è possibile creare una cartella per ogni singolo controllo rendendo più facile tenere traccia delle prove con il nome del controllo. In questo caso, chiamare queste cartelle Control X dove X rappresenta il numero di controllo). Si noti che non sarà possibile creare la struttura di cartelle secondarie fino a quando l'ambito dei controlli non sarà stato definito.

Esempio di una struttura di cartelle Cartelle radice:

Sottocartelle all'interno della cartella "Evidence":

3. Dopo aver caricato i documenti nella condivisione, concedere l'autorizzazione alla cartella condivisa e inviare un messaggio di posta elettronica all'analista della certificazione con i dettagli. Inviare le password in un messaggio di posta elettronica separato.

4. Quando si confrontano le prove, ricordarsi di acquisire screenshot a schermo intero che mostrano qualsiasi utente, URL e data e ora registrati. Se si usa Linux, questa operazione può essere eseguita dal prompt dei comandi. Fornire qualsiasi spiegazione se necessario per ogni controllo e tenere presente che per i criteri è necessaria una copia completa dei criteri e non frammenti o screenshot.

5. Fare riferimento a questo documento per comprendere il controllo e il tipo di prova necessari.

6. Qualsiasi test della penna che potrebbe essere necessario non verrà pianificato e non riceverai la documentazione per avviare il processo fino a quando non avrai approvato il 50% dei controlli. Il test della penna sarà gratuito solo per 12 giorni, tuttavia se il test della penna viene eseguito su 12 giorni, sarà necessario pagare i giorni aggiuntivi in anticipo prima dell'inizio del test.

7. Dopo aver ricevuto una copia dei controlli con ambito per raccogliere prove sui controlli, verrà avviato il ticker: si riceverà un messaggio di posta elettronica a tale scopo e saranno disponibili 60 giorni per completare l'intero processo di certificazione, incluso il test della penna.

8. Provare a inviare la prima iterazione dei controlli entro 30 giorni per consentire l'identificazione di eventuali problemi e le revisioni richieste prima del termine dei 60 giorni.

Ulteriori informazioni

• Sicurezza dell'applicazione (inclusi i controlli di connettività, se necessario)
• Prova di esempio: sicurezza operativa
• Prove di esempio: sicurezza e privacy dei dati