Visão geral do gerenciamento de pessoal
Como é que a Microsoft filtra potenciais funcionários?
A Microsoft segue rigorosos requisitos de rastreio de pessoal para todos os candidatos, incluindo funcionários a tempo inteiro, a tempo parcial e estagiários. Todos os candidatos são selecionados antes do início do emprego na Microsoft.
Geralmente, as verificações em segundo plano sobre os candidatos a emprego incluem a revisão dos seguintes componentes, na medida do permitido por lei:
- Marcar de identidade
- Verificação de educação
- Verificação de emprego
- Revisão dos registos criminais
- Revisão do registo de agressores sexuais
- Revisão da lista de sanções globais
Que verificações adicionais são efetuadas para os funcionários que gerem os serviços cloud?
Para além do rastreio de pré-emprego, os colaboradores da Microsoft que mantêm o Microsoft serviços online no Estados Unidos têm de ser submetidos a uma Verificação de Fundo do Microsoft Cloud como pré-requisito de acesso a sistemas serviços online. Os requisitos das marcar em segundo plano variam de acordo com as leis aplicáveis e os modelos de entrega de serviços. As provas da Verificação de Fundo do Microsoft Cloud são armazenadas na nossa base de dados de colaboradores e têm de ser renovadas de dois em dois anos, no mínimo. Se a Verificação de Fundo do Microsoft Cloud expirar e o funcionário não a renovar, as elegibilidades de acesso serão revogadas até que a Verificação de Fundo do Microsoft Cloud esteja concluída. Da mesma forma, quando a relação de emprego com a Microsoft termina, todo o acesso é imediatamente revogado.
Como é que a Microsoft garante que os colaboradores mantêm competências e conhecimentos suficientes para desempenhar as suas responsabilidades e seguir as políticas da Microsoft?
Todos os funcionários da Microsoft são obrigados a concluir a formação de sensibilização sobre segurança e privacidade fundamentais. O treinamento inicial ocorre quando um novo funcionário começa a trabalhar na Microsoft e o treinamento de atualização anual ocorre todos os anos depois disso. A formação foi concebida para fornecer ao colaborador uma compreensão da abordagem fundamental da Microsoft em relação à segurança e privacidade. A preparação baseada em funções aplicável também é necessária antes de conceder qualquer acesso específico necessário para as responsabilidades de trabalho de um indivíduo. A formação de segurança dos funcionários da Microsoft é atualizada anualmente e quando as alterações ao sistema ou à política justificam uma nova formação.
Para além da formação de sensibilização para a segurança e privacidade, os funcionários da Microsoft têm de concluir a formação padrões de conduta empresarial. Esta formação inclui ética empresarial, segurança dos colaboradores, anti-assédio e tolerância zero para comportamentos não éticos. No final do curso, os colaboradores têm de atestar que irão respeitar o código de conduta empresarial da Microsoft, que é controlado ao nível da organização. A formação Padrões de Conduta Empresarial é atualizada anualmente.
Como é que a Microsoft revoga o acesso dos funcionários que saem da Microsoft?
A Microsoft utiliza políticas e procedimentos claramente definidos para revogar prontamente o acesso físico e lógico aos sistemas e recursos da Microsoft quando um funcionário sai da Microsoft ou é terminado. O processo de cessação da Microsoft garante que os antigos funcionários da Microsoft não podem aceder a dados ou sistemas após o fim do seu emprego.
Quando o emprego de um membro da equipa de serviço é marcado como terminado, estas informações são propagadas para a ferramenta de gestão de contas Microsoft, que remove automaticamente a conta de domínio do funcionário terminado. Todos os distintivos de acesso ou outros autenticadores físicos emitidos ao funcionário terminado são recolhidos no momento da entrevista ou cessação de saída.
Como é que a Microsoft garante que os fornecedores de terceiros cumprem os mesmos requisitos de pessoal que os funcionários da Microsoft?
A Microsoft serviços online exigir que fornecedores terceiros tenham um Contrato de Serviços de FornecedorEs Principais (MSSA) assinado. Este contrato exige que o fornecedor cumpra as políticas e procedimentos da Microsoft, incluindo políticas e procedimentos de segurança de pessoal. A Microsoft monitoriza a conformidade com os requisitos de filtragem para o pessoal de terceiros ao controlar o resultado da filtragem diretamente. A Microsoft exige que os fornecedores realizem ecrãs de fundo para todas as pessoas que precisam de acesso às instalações e/ou rede da Microsoft. Para funções específicas, um Fornecedor pode ser obrigado a fornecer atestado como prova de que a pessoa concluiu os requisitos de ecrã de fundo da cloud.
Para obter mais informações especificamente sobre fornecedores, leia Descrição geral da gestão de fornecedores
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com recursos humanos.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
|
ISO 27001 Declaração de Aplicabilidade Certificado |
A.7: Segurança de recursos humanos | 8 de abril de 2024 |
|
ISO 27017 Declaração de Aplicabilidade Certificado |
A.7: Segurança de recursos humanos | 8 de abril de 2024 |
| SOC 1 | IS-4: Formação de segurança OA-3: Revogação da conta |
16 de agosto de 2024 |
|
SOC 2 SOC 3 |
C5-2: Avaliação do risco do fornecedor ELC-6: Código de conduta do fornecedor IS-4: Formação de segurança OA-3: Revogação da conta SOC2-1: Ações disciplinares SOC2-12: Verificações em segundo plano SOC2-13: Contratos de trabalho SOC2-14: Acordos de confidencialidade e não divulgação |
20 de maio de 2024 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP | AT-2: Deteção de segurança AT-3: Formação de segurança baseada em funções AT-4: Registos de formação de segurança PS-3: Rastreio de pessoal PS-4: Cessação de pessoal PS-5: Transferência de pessoal PS-7: Segurança de pessoal de terceiros |
21 de agosto de 2024 |
|
ISO 27001/27017 Declaração de Aplicabilidade Certificação (27001) Certificação (27017) |
A.7: Segurança de recursos humanos | Março de 2024 |
| SOC 1 | CA-08: Verificações em segundo plano CA-43: Revogação da conta |
1 de agosto de 2024 |
| SOC 2 | CA-07: Normas de Conduta Comercial (SBC) CA-08: Verificações em segundo plano CA-43: Revogação da conta ELC-08/13/14: Contratos de trabalho |
23 de janeiro de 2024 |