SoC (controlli di sistema e dell'organizzazione) 3

Panoramica di SOC 3

I controlli di sistema e dell'organizzazione (SOC) per le organizzazioni dei servizi sono report di controllo interni creati dall'American Institute of Certified Public Accountants (AICPA). Hanno lo scopo di esaminare i servizi forniti da un'organizzazione di servizi in modo che gli utenti finali possano valutare e affrontare il rischio associato a un servizio in outsourcing.

SOC 3 for Service Organizations: Trust Services Criteria for General Use Report è un breve riepilogo pubblico del report di attestazione SOC 2 di tipo 2 per gli utenti che necessitano di garanzie sui controlli dell'organizzazione del servizio, ma non hanno bisogno di un report SOC 2 completo o non sono idonei in SOC 2 per riceverne uno. Poiché i report SOC 3 sono report di uso generale, possono essere distribuiti liberamente.

Un report SOC 3 contiene un'asserzione scritta da parte della gestione dell'organizzazione del servizio relativa all'efficacia del controllo per raggiungere gli impegni in base ai criteri dei servizi di trust applicabili e il parere del revisore del servizio sul fatto che l'asserzione della gestione sia dichiarata in modo equo.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

I servizi Microsoft nell'ambito vengono visualizzati nel report di attestazione SOC 2 di Tipo 2 di Azure.

  • Azure (per informazioni dettagliate, vedere Microsoft Azure le offerte di conformità o il report di attestazione di Azure SOC 2 Di tipo 2)
  • Dynamics 365 (per informazioni dettagliate, vedere il report di attestazione di Azure SOC 2 Di tipo 2)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender per endpoint
  • Microsoft Defender per identità
  • Microsoft Forms Pro
  • Microsoft Intune
  • Microsoft Managed Desktop
  • Microsoft Stream
  • Microsoft Threat Experts
  • Portale di candidatura
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government - High, Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power Virtual Agents
  • Conformità aggiornamenti

Azure, Dynamics 365 e SOC 3

Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure SOC 3.

Office 365 e SOC 3

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, MyAnalytics, Office 365 Customer Portal, Office 365 Microservizi (inclusi, a titolo esemplificativo, Kaizala, ObjectStore, Sway, Servizio documenti di PowerPoint Online, Servizio annotazione query, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office Online, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Crittografia dei servizi con la chiave del cliente Microsoft Purview, SharePoint Online, Skype for Business
GCC Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business Stream
GCC High Microsoft Entra ID, Exchange Online, Flow, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Microsoft Entra ID, Exchange Online, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Sicurezza & Conformità Centro, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power Automate, Power BI, SharePoint Online, Skype for Business

Report attività di Office 365

Per scaricare i report di attestazione SOC 1 e SOC 2 ed eventuali lettere ponte se necessario, occorre un abbonamento o un account di valutazione gratuito esistente per Office 365 o Office 365 U.S. Government.

Domande frequenti

Con quale frequenza vengono emessi i report SOC di Office 365?

Microsoft commissiona un esame soc 1 tipo 2 e SOC 2 tipo 2 di Office 365 ogni anno. I rapporti del revisore su questi esami (noti anche come controlli) vengono rilasciati non appena sono pronti dopo tale controllo. La relazione SOC 3, basata sull'esame SOC 2, viene rilasciata contemporaneamente.

Poiché Microsoft non controlla l'ambito investigativo dell'esame né l'intervallo di tempo del completamento del revisore, non esiste un intervallo di tempo impostato quando questi report vengono rilasciati. Le relazioni vengono in genere rilasciate alcuni mesi dopo la fine del periodo in esame. Microsoft non consente alcuna lacuna nei periodi consecutivi di esame da un esame all'altro.

Microsoft commissiona anche un esame SOC 1 di tipo 1 e SOC 2 di tipo 1 di metà anno di Office 365 per i nuovi servizi Microsoft rilasciati dopo l'ultimo controllo SOC di tipo 2. I controlli di tipo 1 non guardano indietro in un periodo di prestazioni.

A causa della natura sofisticata della Office 365, l'ambito del servizio è di grandi dimensioni se esaminato nel suo complesso. Ciò può causare ritardi di completamento dell'esame dovuti alla scalabilità. Microsoft organizza tutti gli esami descritti in precedenza in 2 categorie: Core Services e Microservizi. Microsoft rilascia report con ambito per ogni esame.

I controlli SOC di tipo 2 esaminano una finestra di esecuzione di 12 mesi in sequenza (nota anche come periodo di controllo o più formalmente periodo di prestazioni) con esami condotti ogni anno per il periodo dal 1° ottobre al 30 settembre dell'anno civile successivo. L'esame inizia immediatamente dopo il completamento del periodo di esecuzione.

Microsoft rilascia anche lettere ponte (note anche come lettere gap). Si tratta di attestazioni da parte di Microsoft, non di report basati su esami da parte del revisore. Le lettere bridge vengono emesse durante il periodo corrente di prestazioni che non sono ancora complete e pronte per l'esame di controllo. Microsoft rilascia lettere bridge alla fine di ogni trimestre per attestare le prestazioni durante il periodo precedente di tre mesi. A causa del periodo di prestazioni per i controlli SOC di tipo 2, le lettere bridge vengono in genere emesse in dicembre, marzo, giugno e settembre del periodo operativo corrente.

Dove è possibile ottenere la documentazione di controllo Office 365 SOC, incluse le lettere bridge di Microsoft?

Per i collegamenti alla documentazione di controllo, vedere la sezione report di controllo del portale di attendibilità dei servizi. Per accedere, è necessario disporre di un abbonamento o di un account di valutazione gratuito esistente in Office 365 o in Office 365 U.S. Government. È possibile scaricare certificati di controllo, report di valutazione e altri documenti applicabili per soddisfare i propri requisiti normativi.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse