Introdução
Seguem-se algumas perguntas comuns colocadas pelos ISVs (Fabricantes Independentes de Software) ao iniciar a Certificação do Microsoft 365. Se existirem consultas que não estejam abrangidas aqui, contacte a equipa de Certificação de Aplicações do Microsoft 365 através do AppCert@Microsoft.com. Este documento destina-se a ISVs, pode encontrar informações gerais sobre o programa de Conformidade e Segurança do Microsoft 365 na página programa de Conformidade de Aplicações do Microsoft 365.
Não aprovei uma auditoria relativamente a um quadro reconhecido pela indústria, como o PCI DSS, o SOC 2 ou o ISO 27001. Isto significa que não consigo candidatar-me à Certificação do Microsoft 365?
Não, a obtenção de uma destas arquiteturas reconhecidas pelo setor não é um requisito da Certificação do Microsoft 365.
Já aprovei uma auditoria externa contra um quadro reconhecido pela indústria. Pode contar para a Certificação do Microsoft 365?
A resposta curta é Sim. Atualmente, a especificação de Certificação do Microsoft 365 aceita provas de arquiteturas externas PCI DSS, SOC 2 e ISO27001. O Guia de Submissões de Certificação do Microsoft 365 mapeou onde se alinham estas arquiteturas externas existentes; No entanto, detetámos, em alguns casos, que o padrão/arquitetura existente não está devidamente alinhado. Por este motivo, a equipa de Certificação do Microsoft 365 realizará uma revisão das normas/provas de arquitetura fornecidas, marcando os controlos dentro da Certificação do Microsoft 365 que são cumpridos.
Como demonstramos a conformidade com o RGPD se não tivermos feito uma avaliação externa do RGPD?
A Microsoft não necessita de uma revisão independente da conformidade com o RGPD para a Certificação do Microsoft 365, uma vez que se trata de um ou outro cenário em que aceitaremos auto-atestados que podemos verificar de forma independente quando não tiver ocorrido qualquer revisão externa. Uma vez que se trata mais de uma avaliação do que de uma auditoria, e no que diz respeito às provas que temos de recolher durante os nossos processos - rever as políticas de privacidade e os processos internos é a forma como abordámos o controlo do RGPD. Para efeitos daquilo que procuramos no controlo do RGPD, envolve principalmente a revisão das políticas de privacidade para garantir que cumprem os requisitos básicos do RGPD; Por exemplo, que dados pessoais estão a ser processados, qual é a legalidade do processamento, apontar os direitos dos titulares dos dados, como um pedido de acesso do requerente (SAR) será executado por um utilizador, como o ISV irá realizar SARs, os detalhes da empresa ISVs e os detalhes de retenção de dados.
Fomos submetidos a um teste de penetração; no entanto, não temos um teste de penetração "limpo", uma vez que não realizamos um teste de penetração. Temos de proceder a um teste e ter um relatório limpo?
Sim, dependendo dos problemas encontrados, poderá ser necessário um teste. O seu analista de certificação irá rever o seu relatório existente e fornecer conselhos sobre os próximos passos. Uma vez que os testes de penetração são fornecidos como parte da Certificação do Microsoft 365, isto pode ser resolvido por um novo teste de penetração sem encargos para si.
Algumas das provas e documentação pedidas são sensíveis. Existem acordos de não divulgação (NDAs) implementados?
Sim, algumas das informações que submeter serão informações públicas e algumas poderão ser informações confidenciais. Se tiver uma NDA existente implementada com a Microsoft, os termos dessa NDA serão aplicados às informações confidenciais que submeter. Se não tiver uma NDA com a Microsoft, os termos de confidencialidade do Contrato de Publicador que assinou no Centro de Parceiros serão aplicáveis a essas informações confidenciais.
Como transferimos de forma segura documentação e provas confidenciais como parte da avaliação da Certificação do Microsoft 365?
Atualmente, a Microsoft recomenda a utilização do Centro de Parceiros para partilhar estas informações de forma segura. Muitos ISVs utilizarão o Centro de Parceiros para garantir que os respetivos dados são partilhados de forma segura e eficiente.
Acabamos de implementar alguns processos de segurança adicionais para cumprir alguns dos controlos de Certificação do Microsoft 365. Isto significa que temos de aguardar 12 meses antes de podermos certificar?
Não, a Microsoft reconhece que poderá ter de desenvolver processos de segurança adicionais para colmatar lacunas entre os processos de segurança existentes e o que é esperado da Certificação do Microsoft 365. A equipa de Certificação do Microsoft 365 analisará os processos documentados recentemente desenvolvidos e analisará as provas de que o processo foi realizado pelo menos uma vez. Não serão necessárias provas históricas adicionais, uma vez que não estarão disponíveis para estes processos recentemente desenvolvidos. Após doze meses, uma amostra de provas históricas começará então a ser avaliada durante a avaliação anual.
O que sou responsável por fornecer?
Durante a avaliação, os analistas de certificação irão rever o documento fornecido e as provas para avaliar a sua conformidade com os controlos de Certificação do Microsoft 365. Como parte deste trabalho, a equipa de Certificação do Microsoft 365 irá pedir informações que irão incluir detalhes de arquitetura, diagramas, detalhes de armazenamento de dados, Detalhes da estrutura da aplicação, documentos de políticas e processos, ficheiros de configuração e capturas de ecrã. Em algumas ocasiões, ou se for mais fácil para si, pode ser organizada uma sessão de partilha de ecrã para mostrar as provas dos analistas de certificação. Se as estruturas de conformidade existentes forem utilizadas para apoiar as atividades de avaliação, será necessária documentação adequada que demonstre o que o auditor/avaliador externo avaliou e confirmou como estando em vigor. Quando a documentação de suporte não conseguir fornecer a narrativa necessária para demonstrar exatamente como os controlos dentro da estrutura de segurança externa foram cumpridos, a equipa de Certificação do Microsoft 365 não poderá utilizar a estrutura de segurança externa em suporte à avaliação da Certificação do Microsoft 365.
A obtenção da certificação exigirá que faça alterações à minha infraestrutura atual?
É pouco provável que sejam necessárias alterações significativas à infraestrutura para cumprir a Certificação do Microsoft 365. Os controlos baseiam-se nas melhores práticas de segurança do setor e, muito provavelmente, já serão implementados. Temos visto na maioria dos casos; Os ISVs tiveram de atualizar os processos internos para colmatar lacunas entre as práticas de trabalho atuais e o que é necessário na Certificação do Microsoft 365. Se for uma preocupação, a Microsoft recomenda que reveja os mais recentes controlos de Certificação do Microsoft 365 que podem ser encontrados na Descrição Geral da Certificação do Microsoft 365 para garantir que o ambiente e as práticas de trabalho atualmente implementados cumprem os controlos definidos.
A Microsoft tem recomendações sobre componentes/infraestrutura/software específicos que devem ser utilizados para satisfazer os requisitos de certificação?
A Microsoft não fornece recomendações específicas sobre soluções para cumprir os controlos de Certificação do Microsoft 365. Todas as ofertas comerciais ou código aberto podem ser utilizadas, desde que sejam ativamente suportadas e mantidas.
Quanto tempo demora a concluir a avaliação?
Normalmente, uma avaliação pode demorar, em média, 60 dias a ser concluída, desde o início da fase de revisão completa de provas. No entanto, isto pode depender de muitas variáveis, tais como: o tamanho do ambiente de alojamento utilizado para suportar a aplicação/suplemento, o tipo de ambiente de alojamento que suporta a aplicação/suplemento e a forma como os ISVs de pedidos estão a responder a pedidos de provas.
Quanto tempo terei de alocar a este processo?
A maior parte do trabalho é simplesmente reunir a documentação e as provas em tempo útil. Após o qual não deve exigir mais do que algumas horas por semana, conclua o processo de avaliação. Algumas variáveis que podem afetar o tempo necessário são o tamanho do ambiente e se existem estruturas de segurança externas que possam ser aproveitadas para suportar a avaliação.
Por que motivo existe um prazo fixo de 60 dias para a avaliação?
Estabelecemos um limite para o período de tempo durante o quais uma avaliação pode ser realizada, uma vez que os elementos de prova já recolhidos podem tornar-se obsoletos quanto mais tempo demorar uma avaliação. Trata-se de uma avaliação para um ponto anterior no tempo e, por conseguinte, tem de haver um período adequado para a conclusão. Depois de submeter a submissão inicial do documento e de termos definido com êxito os controlos aplicáveis ao seu ambiente, responderemos com um pedido de prova. Esta fase chama-se revisão completa de provas. A Descrição Geral da Certificação do Microsoft 365 deve ser lida e deve ter a certeza de que todos os controlos podem ser cumpridos antes de submeter a submissão inicial do documento.
O que acontece se a avaliação não estiver concluída dentro do período de 60 dias?
Infelizmente, se a avaliação não for concluída durante o período de 60 dias, a Microsoft marcará uma falha na avaliação. Esta marca destina-se apenas a estatísticas internas e nunca será publicada. Poderá reiniciar imediatamente o processo de avaliação. No entanto, ser-lhe-á pedido para reenviar novas provas para suportar a nova aplicação.
Quanto me custará a Certificação do Microsoft 365?
Atualmente, é GRATUITO concluir a Certificação do Microsoft 365. Veja abaixo possíveis encargos relacionados com testes de penetração.
Qual é o custo dos Testes de Penetração neste programa?
Como parte do Programa de Certificação do Microsoft 365, os testes de penetração são gratuitos até 12 dias e 2 dias de teste, quaisquer dias adicionais podem ser cobrados. Tenha também em atenção que os custos podem aplicar-se em casos de cancelamento tardio. O âmbito dos testes de penetração está limitado à aplicação e à infraestrutura de suporte que se enquadra no âmbito da Certificação do Microsoft 365.
Tem materiais de marketing que podem ser utilizados para anunciar o facto de a nossa aplicação ter sido certificada?
Após a conclusão, os ISVs recebem um kit de marketing digital gratuito para promover a sua aplicação como Microsoft 365 Certified.
Que nível de provas procura ao realizar a avaliação?
As provas fornecidas durante a avaliação da Certificação do Microsoft 365 têm de ser capazes de fornecer garantias suficientes de que está a cumprir os controlos específicos de Certificação do Microsoft 365 que estão a ser avaliados. As provas podem estar sob a forma de ficheiros de configuração, capturas de ecrã de definições ou provas, documentação de política/procedimento ou sessões de partilha de ecrã para demonstrar provas ao analista de certificação. Seguem-se dois exemplos:
Atividade de Avaliação: "Demonstre que o software antivírus está em execução em todos os componentes do sistema de amostra.": Para este controlo, pode fornecer uma captura de ecrã de todos os dispositivos na amostra que suportam o antivírus que mostra o processo antivírus em execução ou, se tiver um console de gerenciamento centralizado para antivírus, poderá conseguir demonstra-lo a partir daí console de gerenciamento.
Atividade de Avaliação: "Demonstrar como são identificadas novas vulnerabilidades de segurança.": Este controlo pertence à secção Gestão de Patches. A intenção é que tenha um processo formalmente documentado para identificar novas vulnerabilidades de segurança. Isto pode estar no código fonte, mas também tem de estar dentro do ambiente de suporte, por exemplo, vulnerabilidades do Windows, vulnerabilidades dentro de dependências Web (por exemplo, AngularJS, JQuery, etc.). Deve ter um processo documentado que siga para identificar novas vulnerabilidades de segurança, pelo que deve fornecer o documento do processo documentado. Além da documentação, teria de fornecer provas de que o processo está a ser seguido; por exemplo, se estiver a utilizar algo como auditoria npm para marcar dependências de vulnerabilidades, fornecer uma amostra de relatórios fornecerá provas. Se estiver a utilizar vários processos, ou seja, para diferentes componentes do sistema, terá de fornecer provas de todos os processos.