Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365
Neste artigo, irá aprender o que é a Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365 (ACAT) e como simplifica a conformidade e a obtenção da Certificação do Microsoft 365.
Observação
Atualmente, o ACAT está em pré-visualização pública e só suporta aplicações criadas com base no Microsoft Azure e no Amazon Web Services (AWS). As atualizações futuras incluirão funcionalidades para aplicações criadas noutras clouds.
Observação
Se quiser fornecer comentários à pré-visualização pública do ACAT, preencha este formulário. A equipa de produtos ACAT irá contactá-lo o mais rapidamente possível assim que recebermos as suas mensagens.
O que é a Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365
A Ferramenta de Automatização de Conformidade de Aplicações para o Microsoft 365 (ACAT) é um serviço no portal do Azure que ajuda a simplificar o percurso de conformidade para qualquer aplicação que consuma dados de clientes do Microsoft 365 e é publicada através do Centro de Parceiros. É uma ferramenta de automatização de conformidade centrada na aplicação que o ajuda a concluir a Certificação do Microsoft 365 com maior facilidade e conveniência.
Com esta ferramenta, poderá definir rapidamente o limite de conformidade para as suas aplicações, monitorizar automaticamente os resultados de conformidade e concluir a auditoria de conformidade mais facilmente. O limite de conformidade é a infraestrutura de cloud que suporta a entrega da aplicação e quaisquer sistemas de back-end com os quais a aplicação comunica.
Além de fornecer um caminho mais rápido para a Certificação do Microsoft 365, o ACAT pode ajudá-lo em vários cenários de conformidade para aplicações do Microsoft 365:
- Passos detalhados de visualização e remediação das responsabilidades de Certificação do Microsoft 365.
- Relatórios diários automáticos de avaliações de compatibilidade para manter as suas aplicações em conformidade continuamente.
- Melhores práticas de segurança e conformidade que podem ser utilizadas como orientação na fase inicial do ciclo de vida da sua aplicação.
Benefícios do ACAT
Percurso de conformidade centrado na aplicação.
- O ACAT comunica avaliações de compatibilidade para o ambiente na cloud das suas aplicações, que pode integrar com a sua estratégia de conformidade de infraestrutura de cloud atual.
- Os programadores podem invocar a ACAT mesmo durante a fase de desenvolvimento de aplicações para identificar potenciais riscos de conformidade numa fase inicial.
Acelera o processo de certificação do Microsoft 365.
- O ACAT automatiza totalmente determinados controlos de Certificação do Microsoft 365.
- Existe uma lista de automatização em constante crescimento que está a ser desenvolvida ativamente pela Microsoft.
Integração nativa com o fluxo de trabalho certificação do Microsoft 365.
- O ACAT está totalmente integrado no Centro de Parceiros para fins de Certificação do Microsoft 365.
Mantenha a aplicação ou o ambiente em conformidade continuamente.
- O ACAT garante atualizações diárias de avaliações de compatibilidade, adaptando-as à definição de hora do acionador especificada.
- O ACAT permite-lhe integrar de forma totalmente integrada as avaliações de compatibilidade em GitHub Actions ou noutros pipelines de CI/CD, garantindo a monitorização contínua.
Conceitos do ACAT
Relatório de Conformidade Regulamentar
No ACAT, pode auditar o status de conformidade da aplicação ao criar um relatório de conformidade para o mesmo. Pode definir o limite de conformidade para a sua aplicação ao especificar os recursos da cloud que criam a aplicação. Crie vários relatórios para uma aplicação, com base em diferentes ambientes e fases de desenvolvimento.
Assim que o relatório é criado, o ACAT começa a recolher os dados de compatibilidade na hora predefinida do acionador e, em seguida, gera os resultados de compatibilidade como um relatório para si. Entretanto, a ACAT continua a monitorizar continuamente as alterações de conformidade do relatório de conformidade até optar por eliminar o relatório.
Controlo de Certificação do Microsoft 365
O ACAT acelera a Certificação do Microsoft 365 ao automatizar os controlos de conformidade. Com base na automatização status, existem três tipos de controlos de conformidade definidos no ACAT.
- Controlo totalmente automatizado: o controlo de certificação da Microsoft é totalmente automatizado pelo ACAT.
- Controlo manual automatizado parcial: o ACAT pode automatizar responsabilidades parciais do controlo de Certificação do Microsoft 365. Tem de seguir as instruções fornecidas pelo ACAT para completar as restantes responsabilidades.
- Controlo totalmente manual: tem de seguir as instruções fornecidas pelo ACAT para completar todas as responsabilidades.
A longo prazo, o ACAT melhora continuamente a cobertura de automatização dos controlos de Certificação do Microsoft 365.
Responsabilidade do cliente
Existe um conjunto de responsabilidades do cliente associadas a cada controlo que tem de ser cumprido. São responsabilidades mantidas por si nas seguintes áreas: dados, pontos finais, conta, gestão de acesso, etc.
Responsabilidade manual do cliente: tem de preparar as provas de conformidade e carregá-la para o ACAT. Em seguida, o ACAT irá transferir as suas provas para o Centro de Parceiros quando submeter o relatório ACAT.
Responsabilidade automatizada do cliente de avaliação: o ACAT pode recolher dados para cada responsabilidade e fornecer um resultado de avaliação. Tem de resolver quaisquer recursos em mau estado de funcionamento ao remediar os mesmos ou ao fornecer mais provas de conformidade para justificar o estado atual do recurso.
Responsabilidade automatizada do cliente de recolha de provas: para relatórios que contêm recursos suportados pela funcionalidade de recolha de provas automatizada da ACAT, o ACAT oferece assistência simplificada na preparação de provas de conformidade através de um processo simples de seleção de botões. Se a lista de recursos do relatório não tiver recursos suportados, continuará a manter a opção de carregar manualmente as provas de conformidade.
Tanto a avaliação automatizada como as responsabilidades automatizadas de recolha de provas do cliente fornecem ações de remediação, que são as nossas diretrizes para o ajudar a alinhar-se com as normas de Certificação do Microsoft 365.
Observação
As responsabilidades automatizadas do cliente de avaliação são reformuladas diariamente com base na hora do acionador agendada. No entanto, as responsabilidades automatizadas do cliente da recolha de provas só podem ser atualizadas a pedido ao clicar no botão "Recolha automatizada de provas por ACAT".
Compreender o status de conformidade dos controlos de certificação do Microsoft 365
No Relatório de Conformidade Regulamentar, o ACAT define as responsabilidades dos clientes para cada controlo totalmente automatizado e controlo manual automatizado parcial. Existem dois estados de conformidade para a responsabilidade do cliente.
- Aprovado: os recursos da cloud aplicáveis a esta responsabilidade do cliente estão em bom estado de funcionamento.
- Falha: existe pelo menos um recurso na cloud em mau estado de funcionamento. Pode seguir os passos de remediação para resolve os recursos em mau estado de funcionamento.
- N/D: nenhum recurso da cloud é aplicável à responsabilidade do cliente ou esta responsabilidade do cliente é considerada inaplicável com base na configuração da aplicação para este relatório.
- Revisão da conformidade da aplicação necessária: recolhe manualmente provas e carrega-as para esta responsabilidade do cliente. Um analista realizará uma revisão exaustiva depois de submeter o pedido de Certificação do Microsoft 365 no Microsoft Partner Network.
Os estados de conformidade dos controlos de Certificação do Microsoft 365 dependem dos estados de conformidade das responsabilidades dos clientes.
- Aprovado: nenhuma responsabilidade do cliente está na status "Falha" ou "Revisão da conformidade da aplicação necessária" para este controlo de Certificação do Microsoft 365.
- Falha: Pelo menos uma responsabilidade do cliente falhou em relação a este controlo de Certificação do Microsoft 365.
- N/D: todas as responsabilidades do cliente para este controlo de Certificação do Microsoft 365 estão na status "N/D".
- Revisão da conformidade da aplicação necessária: pelo menos uma responsabilidade do cliente está em "Revisão da conformidade da aplicação necessária" status. Um analista realizará uma revisão exaustiva depois de submeter o pedido de Certificação do Microsoft 365 no Microsoft Partner Network.
Perguntas frequentes
O que são controlos manuais e controlos parcialmente automatizados?
Cada controlo de conformidade está associado a um conjunto específico de responsabilidades do cliente, com a ACAT a recolher dados de conformidade em conformidade. É importante ter em atenção que, agora, o ACAT não abrange todos os controlos da Certificação do Microsoft 365 (embora estejam em curso esforços para expandir a cobertura). No caso de controlos parcialmente automatizados, a ACAT automatiza aspetos específicos das responsabilidades dos clientes. Os resultados da avaliação de um controlo parcialmente automatizado contribuem para a auditoria de Certificação do Microsoft 365 e são necessárias mais ações da sua parte para cumprir quaisquer requisitos restantes. No entanto, para controlos manuais, atualmente, o ACAT não automatiza as responsabilidades dos clientes.
Como posso saber se o controlo é totalmente automatizado?
O ACAT melhora continuamente a automatização de controlo. Eis a status atual da automatização de controlo.
| Domínio de Segurança | Família de Controlo | Número de Controlo | Estado da Automatização ACAT | Estado da Automatização do ACAT para o AWS |
|---|---|---|---|---|
| Segurança Operacional | Formação de Sensibilização | Controlo 1 | Manual | Manual |
| Segurança Operacional | Proteção Contra Software Maligno - Antivírus | Controlo 2 | Totalmente Automatizado | Automatizada Parcial |
| Segurança Operacional | Proteção Contra Software Maligno - Controlo de Aplicações | Controlo 3 | Manual | Manual |
| Segurança Operacional | Gestão de Patches - Aplicação de patches & Classificação de Risco | Controlo 4 | Manual | Manual |
| Segurança Operacional | Gestão de Patches - Aplicação de patches & Classificação de Risco | Controlo 5 | Automatizada Parcial | Automatizada Parcial |
| Segurança Operacional | Verificação de vulnerabilidade | Controlo 6 | Totalmente Automatizado | Automatizada Parcial |
| Segurança Operacional | Verificação de vulnerabilidade | Controlo 7 | Totalmente Automatizado | Totalmente Automatizado |
| Segurança Operacional | Controlos de Segurança de Rede (NSC) | Controlo 8 | Automatizada Parcial | Manual |
| Segurança Operacional | Controlos de Segurança de Rede (NSC) | Controlo 9 | Automatizada Parcial | Recolha automatizada de provas |
| Segurança Operacional | Alterar Controlo | Controlo 10 | Manual | Manual |
| Segurança Operacional | Alterar Controlo | Controlo 11 | Recolha automatizada de provas | Recolha automatizada de provas |
| Segurança Operacional | Desenvolvimento/Implementação de Software Seguro | Controlo 12 | Manual | Manual |
| Segurança Operacional | Desenvolvimento/Implementação de Software Seguro | Controlo 13 | Automatizada Parcial | Automatizada Parcial |
| Segurança Operacional | Gerenciamento de contas | Controlo 14 | Automatizada Parcial | Automatizada Parcial |
| Segurança Operacional | Gerenciamento de contas | Controlo 15 | Automatizada Parcial | Automatizada Parcial |
| Segurança Operacional | Gerenciamento de contas | Controlo 16 | Automatizada Parcial | Automatizada Parcial |
| Segurança Operacional | Registo de Eventos de Segurança, Revisão e Alertas | Controlo 17 | Totalmente Automatizado | Automatizada Parcial |
| Segurança Operacional | Registo de Eventos de Segurança, Revisão e Alertas | Controlo 18 | Totalmente Automatizado | Automatizada Parcial |
| Segurança Operacional | Registo de Eventos de Segurança, Revisão e Alertas | Controlo 19 | Manual | Manual |
| Segurança Operacional | Registo de Eventos de Segurança, Revisão e Alertas | Controlo 20 | Totalmente Automatizado | Automatizada Parcial |
| Segurança Operacional | Gestão de Riscos de Segurança de Informações | Controlo 21 | Manual | Manual |
| Segurança Operacional | Gestão de Riscos de Segurança de Informações | Controlo 22 | Manual | Manual |
| Segurança Operacional | Gestão de Riscos de Segurança de Informações | Controlo 23 | Manual | Manual |
| Segurança Operacional | Gestão de Riscos de Segurança de Informações | Controlo 24 | Manual | Manual |
| Segurança Operacional | Resposta a Incidentes de Segurança | Controlo 25 | Manual | Manual |
| Segurança Operacional | Resposta a Incidentes de Segurança | Controlo 26 | Manual | Manual |
| Segurança Operacional | Resposta a Incidentes de Segurança | Controlo 27 | Manual | Manual |
| Segurança Operacional | Plano de Continuidade de Negócio (BCP) e Plano de Recuperação Após Desastre | Controlo 28 | Recolha automatizada de provas | Manual |
| Segurança Operacional | Plano de Continuidade de Negócio (BCP) e Plano de Recuperação Após Desastre | Controlo 29 | Recolha automatizada de provas | Manual |
| Segurança Operacional | Plano de Continuidade de Negócio (BCP) e Plano de Recuperação Após Desastre | Controlo 30 | Manual | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Dados em Trânsito | Controlo 1 | Totalmente Automatizado | Totalmente Automatizado |
| Privacidade do & de Segurança do Processamento de Dados | Dados em Trânsito | Controlo 2 | Totalmente Automatizado | Totalmente Automatizado |
| Privacidade do & de Segurança do Processamento de Dados | Dados Inativos | Controlo 3 | Totalmente Automatizado | Totalmente Automatizado |
| Privacidade do & de Segurança do Processamento de Dados | Retenção, Cópia de Segurança e Eliminação de Dados | Controlo 4 | Manual | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Retenção, Cópia de Segurança e Eliminação de Dados | Controlo 5 | Manual | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Retenção, Cópia de Segurança e Eliminação de Dados | Controlo 6 | Recolha automatizada de provas | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Retenção, Cópia de Segurança e Eliminação de Dados | Controlo 7 | Automatizada Parcial | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Gestão de Acesso a Dados | Controlo 8 | Recolha automatizada de provas | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Gestão de Acesso a Dados | Controlo 9 | Manual | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Privacidade | Controlo 10 | Manual | Manual |
| Privacidade do & de Segurança do Processamento de Dados | Privacidade | Controlo 11 | Recolha automatizada de provas | Manual |
| Privacidade do & de Segurança do Processamento de Dados | RGPD | Controlo 12 | Recolha automatizada de provas | Manual |
| Privacidade do & de Segurança do Processamento de Dados | RGPD | Controlo 13 | Manual | Manual |
| Privacidade do & de Segurança do Processamento de Dados | HIPAA | Controlo 14 | Manual | Manual |
| Privacidade do & de Segurança do Processamento de Dados | HIPAA | Controlo 15 | Manual | Manual |
Observação
O Estado da Automatização ACAT expressa que extensão de automatização pode a ACAT ajudá-lo a preparar as provas de conformidade para um controlo.
- Manual: tem de preparar manualmente todas as provas de conformidade para cada responsabilidade do cliente sob este controlo.
- Automatizado Parcial: este controlo tem uma combinação de responsabilidades do cliente, incluindo avaliações automatizadas, recolha automatizada de provas e responsabilidades manuais do cliente. Tem de remediar quaisquer responsabilidades falhadas do cliente e tirar partido da funcionalidade de recolha automatizada de provas para a recolha de provas. Para responsabilidades manuais, certifique-se de que fornece as provas de conformidade necessárias e carrega-as para o ACAT.
- Totalmente Automatizado: todas as responsabilidades do cliente sob este controlo são responsabilidades automatizadas do cliente de avaliação ou responsabilidades automatizadas do cliente de recolha de provas.
Porque é que a responsabilidade do cliente falhou?
Existem vários motivos potenciais para a falha da responsabilidade do cliente:
- Recomenda-se vivamente que conclua primeiro as definições de configuração da aplicação, uma vez que o ACAT ajusta as status predefinidas de determinados controlos com base na configuração.
- Para casos manuais de responsabilidade do cliente, a status predefinida está definida como "falhada" como um lembrete para seguir o guia de provas de exemplo para recolher e carregar provas manualmente.
- Para casos automatizados de responsabilidade do cliente de recolha de provas, pode adotar uma solução ACAT em para cada responsabilidade do cliente e, em
Remidiation stepsseguida, acionar a ACAT para recolher provas automaticamente. Em alternativa, pode seguir o guia de provas de exemplo para recolher e carregar provas manualmente para a sua própria solução. - Para casos automatizados de responsabilidade do cliente de avaliação, pode seguir as soluções ACAT em
Remidiation stepspara cada responsabilidade do cliente ou seguir o guia de provas de exemplo para recolher e carregar provas manualmente para a sua própria solução.
Dica
A resolução de todas as falhas no ACAT não é obrigatória. Pode optar por manter o status "com falhas" no ACAT e, em vez disso, carregar as suas próprias provas no Centro de Parceiros depois de iniciar uma revisão de certificação. Isto permite-lhe discutir primeiro quaisquer questões ou questões de controlo específico com o seu auditor.
Porque é que o ACAT apresenta uma mensagem de aviso a pedir-me para confirmar as alterações às definições de configuração da aplicação?
A application configuration definição é importante porque o ACAT ajusta status predefinidos de determinados controlos com base na configuração, por exemplo, alguns controlos são alterados para "N/D" status por predefinição.
Quando altera as definições, o application configuration ACAT verifica-as relativamente aos recursos da cloud que selecionou e apresenta uma mensagem de aviso se a configuração estiver incorreta. O revisor de certificação também revê estas definições durante a Initial Document Submission fase da Certificação do Microsoft 365.
Fiz as alterações sugeridas com base na sugestão de remediação, mas o controlo continua a falhar
Depois de tomar medidas corretivas para resolver a falha, aguarde tempo do ACAT para obter os resultados de avaliação atualizados para status de controlo. As avaliações são realizadas a cada 24 horas, de acordo com a hora do acionador predeterminada.
As provas estão armazenadas no ACAT?
Antes de carregar as provas para o ACAT manualmente ou permitir que o ACAT recolha provas automaticamente, é-lhe pedido que configure a sua própria conta de armazenamento como o repositório de provas através da Evidence Repository definição. Todas as provas são armazenadas na sua conta de armazenamento designada. Depois de submeter a revisão de Certificação do Microsoft 365 no Centro de Parceiros, ao selecionar um relatório ACAT específico, o ACAT ajuda a submeter o relatório de conformidade do ACAT, a recolher provas automaticamente e a carregar manualmente provas para o revisor de certificação automaticamente.
Como é utilizado o relatório de conformidade no processo de certificação?
O ACAT está totalmente integrado no Centro de Parceiros para concluir o seu percurso de Certificação do Microsoft 365. Saiba mais sobre como utilizar o relatório de conformidade para acelerar a Certificação do Microsoft 365