소개
다음은 Microsoft 365 인증을 시작할 때 ISV(독립 소프트웨어 공급업체)가 묻는 몇 가지 일반적인 질문입니다. 여기서 다루지 않는 쿼리가 있는 경우 를 통해 AppCert@Microsoft.comMicrosoft 365 앱 인증 팀에 문의하세요. 이 문서는 ISV를 대상으로 하며 Microsoft 365 보안 및 규정 준수 프로그램에 대한 일반적인 정보는 Microsoft 365 앱 준수 프로그램 페이지에서 찾을 수 있습니다.
PCI DSS, SOC 2 또는 ISO 27001과 같은 업계에서 인식되는 프레임워크에 대한 감사를 통과하지 못했습니다. Microsoft 365 인증을 신청할 수 없음을 의미하나요?
아니요, 이러한 업계에서 인정받는 프레임워크 중 하나를 획득하는 것은 Microsoft 365 인증의 요구 사항이 아닙니다.
이미 업계에서 인정받는 프레임워크에 대한 외부 감사를 통과했습니다. Microsoft 365 인증에 포함할 수 있나요?
짧은 대답은 예입니다. 현재 Microsoft 365 인증 사양은 PCI DSS, SOC 2 및 ISO27001 외부 프레임워크의 증거를 허용합니다. Microsoft 365 인증 제출 가이드는 이러한 기존 외부 프레임워크가 정렬되는 위치에 매핑되었습니다. 그러나 일부 인스턴스에서는 기존 표준/프레임워크가 적절하게 정렬되지 않은 것을 발견했습니다. 이러한 이유로 Microsoft 365 인증 팀은 제공된 표준/프레임워크 증거를 검토하여 Microsoft 365 인증 내에서 충족되는 컨트롤을 표시합니다.
외부 GDPR 평가가 없는 경우 GDPR 규정 준수를 어떻게 보여 주나요?
Microsoft는 Microsoft 365 인증에 대한 GDPR 준수에 대한 독립적인 검토가 필요하지 않습니다. 이는 외부 검토가 수행되지 않은 경우 독립적으로 확인할 수 있는 자체 증명을 수락하는 시나리오입니다. 이는 감사보다 평가에 더 가며 프로세스 중에 수집할 증거와 관련하여 개인 정보 보호 정책 및 내부 프로세스를 검토하는 것이 GDPR 제어에 접근하는 방법입니다. GDPR 제어에서 찾고 있는 목적을 위해 주로 개인 정보 정책을 검토하여 기본 GDPR 요구 사항을 충족하는지 확인해야 합니다. 예를 들어 처리 중인 개인 데이터, 처리의 적법성, 데이터 주체 권한 지적, 사용자가 SAR(주체 액세스 요청)을 수행하는 방법, ISV가 SAR을 수행하는 방법, ISV 회사 세부 정보 및 데이터 보존 세부 정보 등이 있습니다.
침투 테스트를 거쳤습니다. 그러나 침투 재검사를 수행하지 않았기 때문에 "클린" 침투 테스트가 없습니다. 재검사를 수행하고 클린 보고서가 있어야 합니까?
예, 발견된 문제에 따라 재시도가 필요할 수 있습니다. 인증 분석가는 기존 보고서를 검토하고 다음 단계에 대한 조언을 제공합니다. 침투 테스트는 Microsoft 365 인증의 일부로 제공되므로 새로운 침투 테스트를 통해 무료로 해결할 수 있습니다.
요청된 설명서 및 증거 중 일부는 민감하며, NDA(비밀 유지 계약)가 있습니까?
예, 제출하는 정보 중 일부는 공개 정보이며 일부는 기밀 정보일 수 있습니다. Microsoft와 함께 기존 NDA가 있는 경우 해당 NDA의 조건은 제출한 기밀 정보에 적용됩니다. Microsoft와의 NDA가 없는 경우 파트너 센터 내에서 서명한 게시자 계약의 기밀성 조건이 해당 기밀 정보에 적용됩니다.
Microsoft 365 인증 평가의 일부로 중요한 설명서 및 증거를 안전하게 전송하려면 어떻게 해야 하나요?
현재 Microsoft는 이 정보를 안전하게 공유하기 위해 파트너 센터를 사용하는 것이 좋습니다. 많은 ISV가 파트너 센터를 활용하여 데이터가 안전하고 효율적으로 공유되도록 합니다.
Microsoft 365 인증 컨트롤 중 일부를 충족하기 위해 몇 가지 추가 보안 프로세스를 구현했습니다. 인증할 수 있으려면 12개월을 기다려야 합니까?
아니요, Microsoft는 기존 보안 프로세스와 Microsoft 365 인증에서 예상되는 것 사이의 격차를 해소하기 위해 추가 보안 프로세스를 개발해야 할 수도 있음을 인정합니다. Microsoft 365 인증 팀은 새로 개발된 문서화된 프로세스를 검토하고 프로세스가 한 번 이상 수행되었다는 증거를 검토합니다. 또한 이러한 새로 개발된 프로세스에는 사용할 수 없으므로 역사적 증거가 필요하지 않습니다. 12 개월 후, 역사적인 증거의 샘플은 연례 평가 중에 평가되기 시작합니다.
제공에 대한 책임은 무엇인가요?
평가 중에 인증 분석가는 제공된 문서와 증거를 검토하여 Microsoft 365 인증 컨트롤에 대한 준수를 평가합니다. 이 작업의 일환으로 Microsoft 365 인증 팀은 아키텍처 세부 정보, 다이어그램, 데이터 스토리지 세부 정보, 앱 디자인 세부 정보, 정책 및 프로세스 문서, 구성 파일 및 스크린샷을 포함하는 정보를 요청합니다. 경우에 따라 또는 더 쉬운 경우 인증 분석가의 증거를 표시하도록 화면 공유 세션을 정렬할 수 있습니다. 기존 규정 준수 프레임워크를 사용하여 평가 활동을 지원하는 경우 외부 감사자/평가자가 현재 위치로 평가하고 확인한 내용을 설명하는 적절한 설명서가 필요합니다. 지원 설명서가 외부 보안 프레임워크 내의 제어를 충족하는 방법을 정확하게 보여 주는 데 필요한 설명을 제공할 수 없는 경우 Microsoft 365 인증 팀은 Microsoft 365 인증 평가를 지원하기 위해 외부 보안 프레임워크를 활용할 수 없습니다.
인증을 획득하려면 현재 인프라를 변경해야 합니까?
Microsoft 365 인증을 충족하려면 인프라를 크게 변경해야 할 가능성은 거의 없습니다. 컨트롤은 업계 보안 모범 사례를 기반으로 하며 이미 구현될 가능성이 큽니다. 대부분의 경우를 보았습니다. ISV는 현재 작업 관행과 Microsoft 365 인증 내에서 필요한 작업 방식 간의 격차를 해소하기 위해 내부 프로세스를 업데이트해야 했습니다. 이러한 문제가 있는 경우 Microsoft 365 인증 개요에서 찾을 수 있는 최신 Microsoft 365 인증 컨트롤을 검토하여 현재 배포된 환경 및 작업 관행이 정의된 컨트롤을 충족하는지 확인하는 것이 좋습니다.
Microsoft에는 인증 요구 사항을 충족하는 데 사용해야 하는 특정 구성 요소/인프라/소프트웨어에 대한 권장 사항이 있나요?
Microsoft는 Microsoft 365 인증 컨트롤을 충족하는 솔루션에 대한 구체적인 권장 사항을 제공하지 않습니다. 모든 상업용 또는 오픈 소스 제품을 사용할 수 있으며, 적극적으로 지원되고 유지 관리됩니다.
평가를 완료하는 데 얼마나 걸리나요?
일반적으로 평가는 전체 증거 검토 단계의 시작부터 완료하는 데 평균 60일이 걸릴 수 있습니다. 그러나 이는 앱/추가 기능을 지원하는 데 사용되는 호스팅 환경의 크기, 앱/추가 기능을 지원하는 호스팅 환경의 유형, ISV가 증거 요청에 응답하는 프롬프트와 같은 많은 변수에 따라 달라질 수 있습니다.
이 프로세스에 할당해야 하는 시간은 얼마인가요?
대부분의 작업은 단순히 적시에 설명서와 증거를 수집하는 것입니다. 그 후에는 일주일에 몇 시간 이상 평가 프로세스를 완료할 필요가 없습니다. 필요한 시간에 영향을 줄 수 있는 일부 변수는 환경의 크기와 평가를 지원하기 위해 활용할 수 있는 외부 보안 프레임워크가 있는 경우 입니다.
평가에 고정된 60일 기간이 있는 이유는 무엇인가요?
이미 수집된 증거가 평가에 걸리는 시간이 길어질 수 있으므로 평가를 수행할 수 있는 기간에 대한 제한을 설정했습니다. 이는 특정 시점 평가이므로 완료에 적합한 기간이 할당되어야 합니다. 초기 문서 제출을 제출하고 환경에 적용되는 컨트롤의 범위를 성공적으로 지정한 후에는 증거 요청으로 응답합니다. 이 단계를 전체 증거 검토라고 합니다. Microsoft 365 인증 개요를 읽어야 하며 초기 문서 제출을 제출하기 전에 모든 컨트롤을 충족할 수 있다고 확신해야 합니다.
평가가 60일 기간 내에 완료되지 않으면 어떻게 되나요?
아쉽게도 60일 기간 동안 평가가 완료되지 않으면 Microsoft는 평가에 대한 실패를 표시합니다. 이 표시는 내부 통계에만 해당하며 게시되지 않습니다. 평가 프로세스를 즉시 다시 시작할 수 있지만 새 애플리케이션을 지원하기 위해 새 증거를 다시 보내도록 요청됩니다.
Microsoft 365 인증 비용은 얼마인가요?
현재 Microsoft 365 인증을 완료하는 것은 무료입니다. 침투 테스트와 관련된 가능한 요금은 아래를 참조하세요.
이 프로그램의 침투 테스트 비용은 얼마인가요?
Microsoft 365 인증 프로그램의 일부로, 침투 테스트는 최대 12일 동안 무료이며, 2일의 재시험일은 추가 요금이 부과됩니다. 늦은 취소의 경우 요금이 적용될 수도 있습니다. 침투 테스트의 scope Microsoft 365 인증의 scope 속하는 앱 및 지원 인프라로 제한됩니다.
앱이 인증되었다는 사실을 알리는 데 사용할 수 있는 마케팅 자료가 있나요?
완료되면 ISV는 Microsoft 365 Certified로 앱을 홍보하는 무료 디지털 마케팅 키트를 받습니다.
평가를 수행할 때 어떤 수준의 증거를 찾고 있나요?
Microsoft 365 인증 평가 중에 제공된 증거는 평가 중인 특정 Microsoft 365 인증 컨트롤을 충족한다는 충분한 보증을 제공할 수 있어야 합니다. 증거는 구성 파일, 설정 또는 증거 스크린샷, 정책/절차 설명서 또는 스크린 공유 세션 형식으로 인증 분석가에게 증거를 입증할 수 있습니다. 다음은 두 가지 예입니다.
평가 활동: "바이러스 백신 소프트웨어가 샘플링된 모든 시스템 구성 요소에서 실행되고 있음을 보여 줍니다.": 이 컨트롤의 경우 실행 중인 바이러스 백신 프로세스를 보여주는 바이러스 백신을 지원하는 샘플의 모든 디바이스에서 스크린샷을 제공하거나 바이러스 백신에 대한 중앙 집중식 관리 콘솔 있는 경우 해당 관리 콘솔 시연할 수 있습니다.
평가 활동: "새 보안 취약성이 식별되는 방법을 보여 줍니다.": 이 컨트롤은 패치 관리 섹션에서 가져옵니다. 새 보안 취약성을 식별하는 방법에 대해 공식적으로 문서화된 프로세스가 있다는 의도입니다. 이는 소스 코드 내에 있을 수 있지만 지원 환경 내에 있어야 합니다(예: Windows 취약성, 웹 종속성 내의 취약성(예: AngularJS, JQuery 등). 새 보안 취약성을 식별하기 위해 따라야 하는 문서화된 프로세스가 있어야 하므로 문서화된 프로세스 문서를 제공해야 합니다. 설명서 외에도 프로세스가 수행되고 있다는 증거를 제공해야 합니다. 예를 들어 npm 감사와 같은 항목을 활용하여 취약성에 대한 종속성을 검사 경우 보고서 샘플을 제공하면 증거가 제공됩니다. 여러 프로세스(예: 다른 시스템 구성 요소)를 활용하는 경우 모든 프로세스에 대한 증거를 제공해야 합니다.