Introduction
Vous trouverez ci-dessous quelques questions courantes posées par les éditeurs de logiciels indépendants (ISV) lors du démarrage de la certification Microsoft 365. Si vous avez des requêtes qui ne sont pas couvertes ici, contactez l’équipe de certification des applications Microsoft 365 via AppCert@Microsoft.com. Ce document s’adresse aux éditeurs de logiciels indépendants. Vous trouverez des informations générales sur le programme de sécurité et de conformité Microsoft 365 dans la page du programme de conformité des applications Microsoft 365.
Je n’ai pas passé d’audit sur un framework reconnu par le secteur comme PCI DSS, SOC 2 ou ISO 27001. Cela signifie-t-il que je ne parviens pas à demander la certification Microsoft 365 ?
Non, l’obtention de l’un de ces frameworks reconnus par le secteur n’est pas une exigence de la certification Microsoft 365.
J’ai déjà passé un audit externe sur un cadre reconnu par l’industrie. Cela peut-il être comptabilisé dans la certification Microsoft 365 ?
La réponse courte est Oui. Actuellement, la spécification de certification Microsoft 365 accepte des preuves de frameworks externes PCI DSS, SOC 2 et ISO27001. Le Guide des soumissions de certification Microsoft 365 a mappé l’emplacement où ces frameworks externes existants s’alignent ; Toutefois, nous avons constaté dans certains cas que la norme/l’infrastructure existante n’était pas correctement alignée. Pour cette raison, l’équipe de certification Microsoft 365 effectuera un examen des normes/preuves de l’infrastructure fournies, en indiquant quels contrôles au sein de la certification Microsoft 365 sont respectés.
Comment démontrer la conformité au RGPD si nous n’avons pas eu d’évaluation externe du RGPD ?
Microsoft n’a pas besoin d’un examen indépendant de la conformité RGPD pour la certification Microsoft 365, car il s’agit d’un scénario dans lequel nous acceptons des auto-attestations que nous pouvons vérifier indépendamment lorsqu’aucun examen externe n’a eu lieu. Comme il s’agit plus d’une évaluation qu’d’un audit, et en ce qui concerne les preuves que nous devons collecter pendant nos processus, l’examen des politiques de confidentialité et des processus internes est la façon dont nous avons abordé le contrôle RGPD. Pour les besoins de ce que nous recherchons dans le contrôle RGPD, il s’agit principalement de passer en revue les politiques de confidentialité pour s’assurer qu’elles répondent aux exigences de base du RGPD ; Par exemple, quelles données personnelles sont traitées, quelle est la licéité du traitement, en mettant en évidence les droits des personnes concernées, comment une demande d’accès du sujet (SAR) sera effectuée par un utilisateur, comment l’éditeur de logiciels indépendants entreprendra des demandes d’accès partagé, les détails de l’entreprise ISV et les détails de conservation des données.
Nous avons subi un test d’intrusion ; Toutefois, nous n’avons pas de test d’intrusion « propre », car nous n’avons pas entrepris de nouveau test d’intrusion. Devons-nous effectuer un nouveau test et avoir un rapport propre ?
Oui, selon les problèmes détectés, un nouveau test peut être nécessaire. Votre analyste de certification examinera votre rapport existant et vous fournira des conseils sur les étapes suivantes. Comme les tests d’intrusion sont fournis dans le cadre de la certification Microsoft 365, cela peut être résolu par un nouveau test d’intrusion sans frais pour vous.
Une partie de la documentation et des preuves demandées est sensible, y a-t-il des accords de non-divulgation (NDA) en place ?
Oui, certaines des informations que vous soumettez seront des informations publiques et d’autres peuvent être des informations confidentielles. Si vous disposez d’une NDA existante avec Microsoft, les conditions de cette NDA s’appliquent aux informations confidentielles que vous soumettez. Si vous n’avez pas de NDA avec Microsoft, les conditions de confidentialité du Contrat éditeur que vous avez signé dans l’Espace partenaires s’appliquent à ces informations confidentielles.
Comment transférer en toute sécurité la documentation et les preuves sensibles dans le cadre de l’évaluation de la certification Microsoft 365 ?
Actuellement, Microsoft recommande d’utiliser l’Espace partenaires pour partager ces informations en toute sécurité. De nombreux éditeurs de logiciels indépendants utilisent l’Espace partenaires pour s’assurer que leurs données sont partagées en toute sécurité et efficacement.
Nous venons d’implémenter des processus de sécurité supplémentaires pour répondre à certains des contrôles de certification Microsoft 365. Cela signifie-t-il que nous devons attendre 12 mois avant de pouvoir certifier ?
Non, Microsoft reconnaît que vous devrez peut-être développer des processus de sécurité supplémentaires pour combler les écarts entre les processus de sécurité existants et ce qui est attendu de la certification Microsoft 365. L’équipe de certification Microsoft 365 examinera les processus documentés nouvellement développés et examinera les preuves indiquant que le processus a été effectué au moins une fois. Aucune preuve historique supplémentaire ne sera nécessaire, car elles ne seront pas disponibles pour ces nouveaux processus. Après douze mois, un échantillon de preuves historiques commencera alors à être évalué lors de l’évaluation annuelle.
Qu’est-ce que je suis responsable de fournir ?
Au cours de l’évaluation, les analystes de certification examineront le document et les preuves fournis pour évaluer votre conformité aux contrôles de certification Microsoft 365. Dans le cadre de ce travail, l’équipe de certification Microsoft 365 demandera des informations qui comprendront des détails architecturaux, des diagrammes, des détails de stockage des données, des détails de conception d’application, des documents de stratégie et de traitement, des fichiers de configuration et des captures d’écran. À certaines occasions, ou si c’est plus facile pour vous, une session de partage d’écran peut être organisée pour montrer les preuves des analystes de certification. Si les cadres de conformité existants doivent être utilisés pour soutenir les activités d’évaluation, une documentation adéquate sera nécessaire pour démontrer ce que l’auditeur externe/évaluateur a évalué et confirmé comme étant en place. Si la documentation à l’appui n’est pas en mesure de fournir la narration nécessaire pour montrer exactement comment les contrôles au sein de l’infrastructure de sécurité externe ont été respectés, l’équipe de certification Microsoft 365 ne pourra pas utiliser le framework de sécurité externe pour prendre en charge l’évaluation de la certification Microsoft 365.
L’obtention de la certification m’oblige-t-elle à apporter des modifications à mon infrastructure actuelle ?
Il est peu probable que des modifications importantes de l’infrastructure soient nécessaires pour répondre à la certification Microsoft 365. Les contrôles sont basés sur les meilleures pratiques de sécurité du secteur et seront probablement déjà implémentés. Nous avons vu dans la plupart des cas ; Les éditeurs de logiciels indépendants ont dû mettre à jour les processus internes pour combler les écarts entre les pratiques de travail actuelles et ce qui est requis dans le cadre de la certification Microsoft 365. Si c’est un problème, Microsoft vous recommande de passer en revue les derniers contrôles de certification Microsoft 365 qui se trouvent dans la Vue d’ensemble de la certification Microsoft 365 pour vous assurer que votre environnement et vos pratiques de travail actuellement déployés respectent les contrôles définis.
Microsoft a-t-il des recommandations sur les composants/infrastructures/logiciels spécifiques qui doivent être utilisés pour répondre aux exigences de certification ?
Microsoft ne fournit pas de recommandation spécifique sur les solutions pour répondre aux contrôles de certification Microsoft 365. Toutes les offres commerciales ou open source peuvent être utilisées, à condition qu’elles soient activement prises en charge et gérées.
Combien de temps faut-il pour terminer l’évaluation ?
En règle générale, une évaluation peut prendre en moyenne 60 jours, à partir du début de l’étape complète de l’examen des preuves. Toutefois, cela peut dépendre de nombreuses variables telles que : la taille de l’environnement d’hébergement utilisé pour prendre en charge l’application/complément, le type d’environnement d’hébergement prenant en charge l’application/le complément et la façon dont les éditeurs de logiciels indépendants répondent aux demandes de preuves.
Combien de temps dois-je allouer à ce processus ?
La majeure partie du travail consiste simplement à recueillir la documentation et les preuves en temps voulu. Après quoi il ne devrait pas nécessiter plus de quelques heures par semaine terminer le processus d’évaluation. Certaines variables qui peuvent avoir un impact sur le temps requis sont la taille de l’environnement et si des infrastructures de sécurité externes peuvent être exploitées pour prendre en charge l’évaluation.
Pourquoi existe-t-il un délai fixe de 60 jours pour l’évaluation ?
Nous avons fixé une limite à la durée pendant laquelle une évaluation peut être effectuée, car les éléments de preuve déjà recueillis peuvent devenir obsolètes plus l’évaluation prend de temps. Il s’agit d’un point d’évaluation du temps et, par conséquent, une période appropriée doit être allouée pour l’achèvement. Une fois que vous avez soumis votre soumission initiale de document et que nous avons correctement étendu les contrôles applicables à votre environnement, nous répondrons avec une demande de preuve. Cette étape est appelée examen complet des preuves. La vue d’ensemble de la certification Microsoft 365 doit être lue et vous devez être certain que tous les contrôles peuvent être respectés avant d’envoyer votre document initial.
Que se passe-t-il si l’évaluation n’est pas terminée dans le délai de 60 jours ?
Malheureusement, si l’évaluation n’est pas terminée pendant la période de 60 jours, Microsoft marquera un échec par rapport à l’évaluation. Cette marque concerne uniquement les statistiques internes et ne sera jamais publiée. Vous serez en mesure de redémarrer immédiatement le processus d’évaluation, mais vous serez invité à renvoyer une nouvelle preuve pour prendre en charge la nouvelle application.
Combien me coûte la certification Microsoft 365 ?
Actuellement, vous pouvez effectuer la certification Microsoft 365 gratuitement. Consultez la section ci-dessous pour connaître les frais éventuels liés aux tests d’intrusion.
Quel est le coût des tests d’intrusion dans le cadre de ce programme ?
Dans le cadre du programme de certification Microsoft 365, les tests d’intrusion sont gratuits pendant 12 jours et 2 jours de retest, tous les jours supplémentaires vous sont facturés. Notez également que des frais peuvent s’appliquer en cas d’annulation tardive. L’étendue des tests d’intrusion est limitée à l’application et à l’infrastructure de prise en charge qui entre dans le cadre de la certification Microsoft 365.
Avez-vous des documents marketing qui peuvent être utilisés pour annoncer que notre application a été certifiée ?
Une fois l’opération terminée, les éditeurs de logiciels indépendants reçoivent un kit de marketing numérique gratuit pour promouvoir leur application comme certifiée Microsoft 365.
Quel niveau de preuve recherchez-vous lors de l’évaluation ?
Les preuves fournies lors de l’évaluation de la certification Microsoft 365 doivent être en mesure de fournir suffisamment d’assurance que vous respectez les contrôles de certification Microsoft 365 spécifiques en cours d’évaluation. Les preuves peuvent prendre la forme de fichiers de configuration, de captures d’écran de paramètres ou de preuves, de documentation sur les stratégies/procédures ou de sessions de partage d’écran pour montrer les preuves à l’analyste de certification. Voici deux exemples :
Activité d’évaluation : « Démontrer que le logiciel antivirus est en cours d’exécution sur tous les composants système échantillonnés . » : Pour ce contrôle, vous pouvez fournir une capture d’écran de chaque appareil de l’exemple qui prend en charge l’antivirus qui montre le processus antivirus en cours d’exécution, ou si vous disposez d’une console de gestion centralisée pour l’antivirus, vous pouvez être en mesure de la démontrer à partir de cette console de gestion.
Activité d’évaluation : « Montrer comment les nouvelles vulnérabilités de sécurité sont identifiées . » : ce contrôle provient de la section Gestion des correctifs. L’objectif est que vous ayez un processus formellement documenté pour identifier les nouvelles vulnérabilités de sécurité. Il peut s’agir de votre code source, mais également de l’environnement de prise en charge, par exemple, des vulnérabilités Windows, des vulnérabilités au sein des dépendances web (par exemple AngularJS, JQuery, etc.). Vous devez avoir un processus documenté que vous devez suivre pour identifier les nouvelles failles de sécurité. Vous devez donc fournir le document de processus documenté. En plus de la documentation, vous devez fournir la preuve que le processus est suivi ; Par exemple, si vous utilisez quelque chose comme l’audit npm pour case activée dépendances pour les vulnérabilités, la fourniture d’un exemple de rapports fournit des preuves. Si vous utilisez plusieurs processus, c’est-à-dire pour différents composants système, une preuve de tous les processus doit être fournie.