Тестирование приложений
Microsoft Defender for Cloud Apps позволяет аттестировать приложение, чтобы убедиться, что сведения о соответствии требованиям и безопасности, которые мы используем для проверки вашего приложения в нашем каталоге облачных приложений, актуальны.
Независимо от того, указано ли ваше приложение в каталоге облачных приложений или оно новое, отправьте анкету для самостоятельной аттестации. Дополнительные сведения о процессе самостоятельной аттестации см. в casfeedback@microsoft.com.
Следуйте описанным ниже атрибутам службы, чтобы успешно завершить отправку анкеты:
| Поле | Категория сведений | Тип | Допустимые значения | Описание |
|---|---|---|---|---|
| Название приложения | Общие | String | Бесплатный текст | Имя приложения, которое должно отображаться в каталоге облачных приложений. |
| Описание | Общие | String | Бесплатный текст | Краткое описание того, что приложение позволяет пользователям делать или достигать. |
| Категория | Общие | String | Закрыть список — указано в анкете | Классификация приложения в соответствии с полем, с которым оно связано. |
| Headquarters | Общие | код страны, | Закрыть список — указано в анкете | Страна или регион штаб-квартиры поставщика. |
| Центр обработки данных | Общие | Массив кодов страны* | Закрыть список — предоставляется в анкете (множественный выбор) | Страна или регион, в котором находится центр обработки данных (может быть несколько расположений). |
| Хостинговая компания | Общие | String | Бесплатный текст | Название компании, которая предоставляет размещение сервера для приложения. |
| Основанный | Общие | Integer | ГГГГ (не позднее 2019 г.) | Год, в котором был основан поставщик. |
| Владение | Общие | String | Частный, общедоступный | Отображает, является ли поставщик государственной или частной компанией. |
| Домен приложения | Общие | Массив URL-адресов* | Бесплатный текст | Список определенных доменов, используемых для взаимодействия со службой. Например, "teams.microsoft.com" для Microsoft Teams, а не универсальный домен "microsoft.com". |
| Условия предоставления услуг | Общие | URL-адрес | Бесплатный текст | Предоставляет ли это приложение набор правил, которые пользователи должны согласиться соблюдать, чтобы использовать приложение? |
| Политика конфиденциальности | Общие | URL-адрес | Бесплатный текст | Ссылка на юридически обязательный документ, связанный с тем, как этот поставщик обрабатывает сведения о клиентах, клиентах или сотрудниках, собранных в рамках приложения. |
| URL-адрес входа | Общие | Массив URL-адресов* | Бесплатный текст | URL-адрес, по которому пользователи входят в приложение. |
| Поставщик | Общие | String | Бесплатный текст | Имя поставщика, предоставляющего это приложение. |
| Типы данных | Общие | String | Закрыть список — указано в анкете | Какие типы данных могут быть отправлены пользователем в приложение? |
| Домашняя страница | Общие | URL-адрес | Бесплатный текст | URL-адрес домашней страницы поставщика. |
| План аварийного восстановления | Общие | Логический | True, False | Есть ли в этом приложении план аварийного восстановления, включающий стратегию резервного копирования и восстановления? |
| Последнее нарушение | Безопасность | Date | МММ-дд-ГГГГ | Последний инцидент, в котором конфиденциальные, защищенные или конфиденциальные данные, принадлежащие приложению, просматривались, украдены или использовались лицом, несанкционированным для этого. |
| Метод шифрования неактивных данных | Безопасность | String | Закрыть список — указано в анкете | Тип шифрования неактивных данных, выполняемых в приложении. |
| Многофакторная проверка подлинности | Безопасность | Логический | True, False | Поддерживает ли это приложение решения многофакторной проверки подлинности? |
| Ограничение IP-адресов | Безопасность | Логический | True, False | Поддерживает ли это приложение ограничение определенных IP-адресов приложением? |
| Журнал аудита пользователя | Безопасность | Логический | True, False | Поддерживает ли это приложение доступность журнала аудита для каждой учетной записи пользователя? |
| журнал аудита Администратор | Безопасность | Логический | True, False | Поддерживает ли это приложение доступность журнала аудита администратора в приложении? |
| Журнал аудита данных | Безопасность | Логический | True, False | Поддерживает ли это приложение доступность журнала аудита данных в приложении? |
| Пользователь может отправлять данные | Безопасность | Логический | True, False | Поддерживает ли это приложение отправленные пользователем данные? |
| Классификация данных | Безопасность | Логический | True, False | Включает ли это приложение возможность классификации данных, отправленных в приложение? |
| Запомнить пароль | Безопасность | Логический | True, False | Включает ли это приложение возможность запоминания и сохранения паролей пользователей в приложении? |
| Поддержка ролей пользователей | Безопасность | Логический | True, False | Поддерживает ли это приложение распределение пользователей по ролям и уровням разрешений? |
| Общий доступ к файлам | Безопасность | Логический | True, False | Включает ли это приложение функции, разрешающие общий доступ к файлам между пользователями? |
| Поддерживает SAML | Безопасность | Логический | True, False | Поддерживает ли это приложение стандарт SAML для обмена данными проверки подлинности и авторизации? |
| Защита от утопления | Безопасность | Логический | True, False | Защищены ли серверы приложений от атак DROWN? |
| Тестирование на проникновение | Безопасность | Логический | True, False | Выполняет ли это приложение тестирование на проникновение для обнаружения и оценки уязвимостей сети? |
| Требуется проверка подлинности пользователя | Безопасность | Логический | True, False | Требуется ли для этого приложения проверка подлинности и запрещено ли анонимное использование? |
| Политика паролей: ограничение длины пароля | Безопасность | Логический | True, False | Применяет ли это приложение ограничение длины при создании пароля? |
| Политика паролей: сочетание символов | Безопасность | Логический | True, False | Применяет ли это приложение сочетание символов при создании пароля? |
| Политика паролей: изменение срока действия пароля | Безопасность | Логический | True, False | Требует ли это приложение от пользователей периодического сброса пароля? |
| Политика паролей: журнал паролей и повторное использование | Безопасность | Логический | True, False | Запрещает ли это приложение повторное использование старых паролей? |
| Политика паролей: использование личных данных | Безопасность | Логический | True, False | Запрещает ли это приложение использование персональных данных в паролях? |
| Политика паролей | Безопасность | Логический | True, False | Применяет ли это приложение политику паролей, которая соответствует рекомендациям? |
| FINRA | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение finra, стандарту, установленному для некоммерческих организаций, санкционированных Конгрессом, который регулирует и обеспечивает повышение гарантий инвесторов и целостности рынка? |
| FISMA; | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение требованиям FISMA, законодательства США, которое определяет комплексную структуру для защиты информации, операций и активов правительства от угроз? |
| GAAP | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение GAAP, набору часто соблюдаемых правил бухгалтерского учета и стандартов для финансовой отчетности? |
| HIPAA | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение требованиям HIPAA, законодательства США, которое устанавливает стандарты для защиты конфиденциальности и безопасности индивидуально идентифицируемой информации о здоровье? |
| ISAE 3402 | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение глобальному стандарту ISAE 3402, обеспечивающему гарантии того, что организация-служба имеет соответствующие средства управления? |
| ISO 27001 | Соответствие требованиям | Логический | True, False | Сертифицировано ли это приложение iso 27001, сертификат, предоставленный компаниям, поддерживающим международно признанные руководящие принципы и общие принципы для инициирования, реализации, обслуживания и улучшения управления информационной безопасностью в организации? |
| ITAR | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение требованиям ITAR, нормативным актам, контролирующим экспорт и импорт предметов и услуг, связанных с обороной, в списке боеприпасов США? |
| SOC 1; | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение требованиям SOC 1, сообщая об элементах управления в служебной организации, которые имеют отношение к внутреннему контролю сущностей-пользователей над финансовой отчетностью? |
| SOC 2; | Соответствие требованиям | Логический | True, False | Соответствует ли это приложение требованиям SOC 2, сообщая о нефинансовой обработке на основе одного или нескольких критериев службы доверия в отношении безопасности, конфиденциальности, доступности, конфиденциальности и целостности обработки? |
| SOC 3 | Соответствие требованиям | Логический | True, False | Соответствует ли это приложение SOC 3, отчеты на основе критериев службы доверия, которые могут распространяться свободно и содержат только утверждение руководства о том, что они соответствуют требованиям выбранных критериев? |
| SOX | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение требованиям SOX, законодательства США, направленного на защиту акционеров и широкой общественности от ошибок бухгалтерского учета и мошенничества, а также на повышение точности раскрытия корпоративных сведений? |
| SP 800-53 | Соответствие требованиям | Логический | True, False | Соответствует ли это приложение SP80053, рекомендованным элементам управления безопасностью для федеральных информационных систем и организаций? |
| SSAE 16 | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение стандарту SSAE 16 для аудита внутренних средств контроля соответствия требованиям и процессов отчетности в служебной организации? |
| Версия PCI DSS | Соответствие требованиям | String | 1, 2, 3, 3.1, 3.2, Н/Д | Версия протокола PCI-DSS, поддерживаемая этим приложением. |
| ISO 27018 | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение стандарту ISO 27018, который устанавливает общепринятые элементы управления и рекомендации по обработке и защите персональных данных в общедоступной облачной вычислительной среде? |
| GLBA | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение закону Gramm-Leach-Bliley (GLBA), который требует, чтобы финансовые учреждения устанавливали стандарты для защиты безопасности и конфиденциальности личной информации клиентов? |
| Уровень FedRAMP | Соответствие требованиям | String | Высокий, Средний, Низкий, Li-SaaS | Уровень решения, соответствующего FedRAMP, предоставляемого этим приложением. |
| Уровень CSA STAR | Соответствие требованиям | String | Самостоятельная оценка, сертификация, аттестация, оценка C-STAR, непрерывный мониторинг | Уровень программы CSA STAR, по которой приложение сертифицировано |
| Privacy Shield | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение платформе PRIVACY Shield между ЕС и США, которая накладывает более строгие обязательства на американские компании по защите персональных данных европейцев? |
| ISO 27017 | Соответствие требованиям | Логический | True, False | Соответствует ли это приложение стандарту ISO 27017, который устанавливает общепринятые элементы управления и рекомендации по обработке и защите пользовательской информации в общедоступной облачной среде? |
| COBIT | Соответствие требованиям | Логический | True, False | Соответствует ли это приложение требованиям COBIT, который задает рекомендации по управлению информационными системами и технологиями и управления ими, а также согласовывает ИТ-технологии с бизнес-принципами? |
| COPPA | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение требованиям COPPA, который определяет требования на веб-сайте и веб-службы операторов, которые предоставляют содержимое детям в возрасте до 13 лет? |
| FERPA | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение требованиям федерального закона FERPA, который защищает конфиденциальность записей об образовании учащихся? |
| GAPP | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение GAPP, набору часто используемых правил, которые устраняют риски конфиденциальности в организации? |
| HITRUST CSF | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение требованиям HITRUST CSF, набору элементов управления, которые согласуются с требованиями правил и стандартов информационной безопасности? |
| Иерихонский форум заповеди | Соответствие требованиям | Логический | True, False | Соответствует ли это приложение заповедям Форума Jericho, набору принципов, которые следует соблюдать при разработке систем для безопасной работы в де-периметризованных средах? |
| ISO 27002 | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение стандарту ISO 27002, который устанавливает общие рекомендации по стандартам информационной безопасности организации и методам управления информационной безопасностью? |
| FFIEC | Соответствие требованиям | Логический | True, False, N/A | Соответствует ли это приложение рекомендациям Федерального совета по проверке финансовых учреждений в отношении средств управления рисками, необходимых для проверки подлинности служб в среде интернет-банка? |
| Владение данными | Юридические аспекты | Логический | True, False | Полностью ли это приложение сохраняет права пользователя на отправленные данные? |
| DMCA | Юридические аспекты | Логический | True, False | Соответствует ли это приложение Закону об авторских правах в цифровом тысячелетии (DMCA), который криминализирует любые попытки незаконного доступа к материалам, защищенным авторским правом? |
| Политика хранения данных | Юридические аспекты | Логический | True, False | Какова политика приложения для хранения данных пользователей после завершения работы учетной записи? |
| Заявление о готовности GDPR | Юридические аспекты | URL-адрес | Бесплатный текст | Ссылка на ваш веб-сайт, когда это необходимо, связанная с тем, как этот поставщик планирует обеспечить соответствие GDPR. |
| GDPR — право на стирание | Юридические аспекты | Логический | True, False, N/A | Прекращает ли это приложение обработку и удаление персональных данных человека по запросу? |
| GDPR — отчет о нарушениях данных | Юридические аспекты | Логический | True, False, N/A | Сообщает ли это приложение о нарушениях данных надзорным органам и лицам, пострадавшим от нарушения, в течение 72 часов после обнаружения нарушения? |
| GDPR — оценка влияния | Юридические аспекты | Логический | True, False, N/A | Проводит ли это приложение оценку влияния на защиту данных для выявления рисков для отдельных пользователей? |
| GDPR — безопасный трансграничный контроль данных | Юридические аспекты | Логический | True, False, N/A | Безопасно ли это приложение передает данные через границы? |
| GDPR — сотрудник по защите данных | Юридические аспекты | Логический | True, False, N/A | Назначает ли это приложение сотрудника по защите данных для контроля стратегии безопасности данных и соответствия ТРЕБОВАНИЯМ GDPR? |
| GDPR — право на объект | Юридические аспекты | Логический | True, False, N/A | Предоставляет ли это приложение пользователям возможность возражать против обработки своих персональных данных при определенных обстоятельствах? |
| GDPR — право на доступ | Юридические аспекты | Логический | True, False, N/A | Предоставляет ли это приложение пользователям возможность знать по запросу, какие персональные данные использует компания и как они используются? |
| GDPR — право на переносимость данных | Юридические аспекты | Логический | True, False, N/A | Предоставляет ли это приложение пользователям возможность получать и повторно использовать свои персональные данные в своих целях в разных службах по запросу? |
| GDPR — право на информирование | Юридические аспекты | Логический | True, False, N/A | Информирует ли это приложение лиц о соответствующих мерах безопасности, которые оно принимает при передаче персональных данных в страну или регион, не включаемую в ЕС, или в международную организацию? |
| GDPR — право на ограничение обработки | Юридические аспекты | Логический | True, False, N/A | Предоставляет ли это приложение пользователям возможность блокировать или подавлять обработку персональных данных? |
| GDPR — права, связанные с автоматизированным принятием решений | Юридические аспекты | Логический | True, False, N/A | Предоставляет ли это приложение пользователям возможность отказаться от принятия решения, основанного исключительно на автоматизированной обработке? Сюда входит профилирование, которое может иметь юридические последствия. |
| GDPR — законное основание для обработки | Юридические аспекты | Логический | True, False, N/A | Обрабатывает ли это приложение персональные данные на законных основаниях в соответствии с согласием, контрактом, юридическими обязательствами, жизненно важными интересами, законными интересами, специальной категорией, данными и данными об уголовных преступлениях? |
| GDPR — право на исправление | Юридические аспекты | Логический | True, False, N/A | Предоставляет ли это приложение пользователям возможность исправлять свои персональные данные? Контроллер должен отвечать на все запросы от субъектов данных в течение одного месяца. |
* Поля типа Array должны быть разделены точкой с запятой (;).
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.