SOC (System and Organization Controls) 1 di tipo 2
Panoramica di SOC 1 di tipo 2
I SOC (System and Organization Controls) per le organizzazioni di servizi sono report di controllo interni creati dall'American Institute of Certified Public Accountants (AICPA). Hanno lo scopo di esaminare i servizi forniti da un'organizzazione di servizi in modo che gli utenti finali possano valutare e affrontare il rischio associato a un servizio in outsourcing.
L'attestazione SOC 1 di tipo 2 viene eseguita ai sensi:
- SSAE n. 18, Attestation Standards: Clarification and Recodification, che include la sezione AT-C 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reporting (AICPA, Professional Standards).
- Report SOC 1 sull'esame dei controlli in un'organizzazione di servizi rilevante per il controllo interno delle entità utente sui report finanziari (Guida AICPA).
A parte la dichiarazione AICPA sugli standard per attestazioni engagement 18 (SSAE 18), l'audit soc 1 di tipo 2 Office 365 viene condotto in conformità con lo Standard internazionale sugli impegni di garanzia n. 3402 (ISAE 3402). L'attestazione SOC 1 ha sostituito SAS 70 ed è appropriata per la creazione di report sui controlli in un'organizzazione di servizi rilevanti per i controlli interni delle entità utente rispetto alla creazione di report finanziari. Un report di tipo 2 include l'opinione del revisore sull'efficacia dei controlli per il raggiungimento degli obiettivi di controllo correlati, durante il periodo di monitoraggio specificato.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
I servizi online Microsoft vengono visualizzati nel report di attestazione SOC 1 di Tipo 2 di Azure:
- Azure (per informazioni dettagliate, vedere Offerte di conformità di Microsoft Azure)
- Azure DevOps (vedere report di attestazione di Azure DevOps SOC 1 di tipo 2 separato)
- Dynamics 365 (per informazioni dettagliate, vedere Il report di attestazione soc 1 di Azure di tipo 2)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Defender per identità
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft Managed Desktop
- Microsoft Stream
- Microsoft Threat Experts
- Portale di candidatura
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government - High, Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Conformità aggiornamenti
Azure, Dynamics 365 e SOC 1
Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure SOC 1.
Office 365 e SOC 1
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Commerciale | Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, MyAnalytics, Office 365 Customer Portal, Office 365 Microservizi (inclusi, a titolo esemplificativo, Kaizala, ObjectStore, Sway, Servizio documenti di PowerPoint Online, Servizio annotazione query, Sincronizzazione dati dell'istituto di istruzione, Siphon, Voce, StaffHub, Programma applicazioni eXtensible), Office Online, Infrastruttura di Office Services, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Crittografia dei servizi con chiave del cliente Microsoft Purview, SharePoint Online, Skype for Business |
GCC | Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
GCC High | Microsoft Entra ID, Exchange Online, moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
DoD | Microsoft Entra ID, Exchange Online, moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Report attività di Office 365
- Report Office 365 Core - SSAE 18 SOC 1
- Visualizzare le lettere ponte e altri report di controllo
Per scaricare i report di attestazione SOC 1 e SOC 2 ed eventuali lettere ponte se necessario, occorre un abbonamento o un account di valutazione gratuito esistente per Office 365 o Office 365 U.S. Government.
Domande frequenti
Con quale frequenza vengono emessi i report SOC di Office 365?
Microsoft commissiona un esame soc 1 tipo 2 e SOC 2 tipo 2 di Office 365 ogni anno. Le relazioni del revisore su questi esami (note anche come audit) vengono rilasciate non appena sono pronte dopo tale controllo. La relazione SOC 3, basata sull'esame SOC 2, viene rilasciata contemporaneamente.
Poiché Microsoft non controlla l'ambito investigativo dell'esame né l'intervallo di tempo del completamento del revisore, non esiste un intervallo di tempo impostato quando questi report vengono rilasciati. Le relazioni vengono in genere rilasciate alcuni mesi dopo la fine del periodo in esame. Microsoft non consente alcuna lacuna nei periodi consecutivi di esame da un esame all'altro.
Microsoft commissiona anche un esame SOC 1 di tipo 1 e SOC 2 di tipo 1 di metà anno di Office 365 per i nuovi servizi Microsoft rilasciati dopo l'ultimo controllo SOC di tipo 2. I controlli di tipo 1 non guardano indietro in un periodo di prestazioni.
A causa della natura sofisticata della Office 365, l'ambito del servizio è di grandi dimensioni se esaminato nel suo complesso. Ciò può causare ritardi di completamento dell'esame dovuti alla scalabilità. Microsoft organizza tutti gli esami descritti in precedenza in 2 categorie: Core Services e Microservizi. Microsoft invia un report con ambito a ogni esame.
Gli audit SOC di tipo 2 esaminano una finestra di esecuzione di 12 mesi in sequenza (nota anche come periodo di controllo o più formalmente periodo di prestazioni) con esami condotti ogni anno per il periodo compreso tra il 1° ottobre e il 30 settembre dell'anno civile successivo. L'esame inizia immediatamente dopo il completamento del periodo di esecuzione.
Microsoft rilascia anche lettere ponte (note anche come lettere gap). Si tratta di attestazioni da parte di Microsoft, non di report basati su esami da parte del revisore. Le lettere bridge vengono emesse durante il periodo corrente di prestazioni che non sono ancora complete e pronte per l'esame di controllo. Microsoft rilascia lettere bridge alla fine di ogni trimestre per attestare le prestazioni durante il periodo precedente di tre mesi. A causa del periodo di prestazioni per i controlli SOC di tipo 2, le lettere bridge vengono in genere emesse in dicembre, marzo, giugno e settembre del periodo operativo corrente.
In che modo i clienti possono trarre vantaggio dall'attestazione SOC 1 di tipo 2 di Office 365?
I clienti possono usare l'attestazione SOC 1 di tipo 2 di Office 365 per soddisfare i propri requisiti di conformità specifici del settore finanziario, ad esempio Sarbanes-Oxley (SOX), Federal Financial Institutions Examination Council (FFIEC), Gramm-Leach-Bliley Act (GLBA) e altri.
Dove è possibile ottenere la documentazione di controllo Office 365 SOC, incluse le lettere bridge di Microsoft?
Per i collegamenti alla documentazione di controllo, vedere la sezione report di controllo del portale di attendibilità dei servizi. Per accedere, è necessario disporre di una sottoscrizione o di un account di valutazione gratuito esistente in Office 365 o Office 365 governo degli Stati Uniti. È possibile scaricare certificati di controllo, report di valutazione e altri documenti applicabili per soddisfare i propri requisiti normativi.
Dove è possibile visualizzare le risposte dell'amministrazione alle eccezioni individuate?
La maggior parte degli esami presenta alcune osservazioni su uno o più controlli specifici esaminati. È prevedibile un certo numero di osservazioni. Le risposte di gestione a eventuali eccezioni si trovano verso la fine del report di attestazione SOC. Cercare "Management Response" nel documento.
Dove è possibile visualizzare le responsabilità dell'entità utente?
Le responsabilità dell'entità utente sono responsabilità di controllo necessarie se il sistema nel suo complesso deve soddisfare gli standard di controllo SOC 2. Questi si trovano alla fine del report di attestazione SOC. Cercare "Responsabilità dell'entità utente" nel documento.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.