Strumento di automazione della conformità delle app per Microsoft 365
In questo articolo si apprenderà cos'è lo strumento di automazione della conformità delle app per Microsoft 365 (ACAT) e come semplifica la conformità e ottenere la certificazione Microsoft 365.
Nota
ACAT è attualmente disponibile in anteprima pubblica e supporta solo le app basate su Microsoft Azure e Amazon Web Services (AWS). Gli aggiornamenti futuri includeranno funzionalità per le app basate su altri cloud.
Nota
Per inviare commenti e suggerimenti all'anteprima pubblica di ACAT, compilare questo modulo. Il team del prodotto ACAT seguirà l'utente il prima possibile una volta ricevuti i messaggi.
Informazioni su App Compliance Automation Tool per Microsoft 365
App Compliance Automation Tool for Microsoft 365 (ACAT) è un servizio in portale di Azure che consente di semplificare il percorso di conformità per qualsiasi app che usa i dati dei clienti di Microsoft 365 e viene pubblicata tramite il Centro per i partner. Si tratta di uno strumento di automazione della conformità incentrato sull'applicazione che consente di completare la certificazione Microsoft 365 con maggiore facilità e praticità.
Con questo strumento, sarà possibile definire rapidamente il limite di conformità per le applicazioni, monitorare automaticamente i risultati di conformità e completare più facilmente il controllo di conformità. Il limite di conformità è l'infrastruttura cloud che supporta il recapito dell'app e di tutti i sistemi back-end con cui l'app comunica.
Oltre a fornire un percorso più rapido verso la certificazione Microsoft 365, ACAT può essere utile in vari scenari di conformità per le applicazioni Microsoft 365:
- Procedura dettagliata di visualizzazione e correzione per le responsabilità della certificazione Microsoft 365.
- Report giornalieri automatici delle valutazioni di conformità per mantenere le applicazioni conformi in modo continuo.
- Procedure consigliate per la sicurezza e la conformità che possono essere usate come indicazioni nella fase iniziale del ciclo di vita dell'applicazione.
Vantaggi di ACAT
Percorso di conformità incentrato sulle applicazioni.
- ACAT segnala le valutazioni di conformità per l'ambiente cloud delle applicazioni, che è possibile integrare con la strategia di conformità dell'infrastruttura cloud corrente.
- Gli sviluppatori possono richiamare ACAT anche durante la fase di sviluppo di app per identificare i potenziali rischi di conformità nella fase iniziale.
Accelera il processo di certificazione di Microsoft 365.
- ACAT automatizza completamente alcuni controlli di certificazione Microsoft 365.
- C'è un elenco di automazione in continua crescita che viene attivamente sviluppato da Microsoft.
Integrazione nativa con il flusso di lavoro Certificazione Microsoft 365.
- ACAT è completamente integrato con il Centro per i partner per lo scopo della certificazione Microsoft 365.
Mantenere l'applicazione o l'ambiente conforme in modo continuo.
- ACAT garantisce aggiornamenti giornalieri delle valutazioni di conformità, adattandoli all'impostazione dell'ora di attivazione specificata.
- ACAT consente di integrare facilmente le valutazioni di conformità in GitHub Actions o in altre pipeline CI/CD, garantendo un monitoraggio continuo.
Concetti di ACAT
Report conformità alle normative
In ACAT è possibile controllare lo stato di conformità dell'applicazione creando un report di conformità. È possibile definire il limite di conformità per l'applicazione specificando le risorse cloud che compilano l'applicazione. Creare più report per un'applicazione, in base a diversi ambienti e fasi di sviluppo.
Dopo aver creato il report, ACAT inizia a raccogliere i dati di conformità in base all'ora di attivazione predefinita e quindi genera automaticamente i risultati della conformità come report. Nel frattempo, ACAT continua a monitorare continuamente le modifiche di conformità per il report di conformità, fino a quando non si sceglie di eliminare il report.
Controllo della certificazione Microsoft 365
ACAT accelera la certificazione Microsoft 365 automatizzando i controlli di conformità. In base allo stato di automazione, esistono tre tipi di controlli di conformità definiti in ACAT.
- Controllo completamente automatizzato: il controllo di certificazione Microsoft è completamente automatizzato da ACAT.
- Controllo manuale automatizzato parziale: ACAT potrebbe automatizzare le responsabilità parziali del controllo della certificazione Microsoft 365. È necessario seguire le istruzioni fornite da ACAT per completare le responsabilità rimanenti.
- Controllo completamente manuale: è necessario seguire le istruzioni fornite da ACAT per completare tutte le responsabilità.
A lungo termine, ACAT migliora continuamente la copertura di automazione dei controlli di certificazione Microsoft 365.
Responsabilità del cliente
A ogni controllo è associato un set di responsabilità dei clienti che devono essere soddisfatte. Le responsabilità vengono mantenute dall'utente nelle aree seguenti: dati, endpoint, account, gestione degli accessi e così via.
Responsabilità manuale del cliente: è necessario preparare le prove di conformità e caricarle in ACAT. ACAT trasferirà quindi le prove al Centro per i partner quando si invia il report ACAT.
Responsabilità del cliente di valutazione automatizzata: ACAT può raccogliere dati per ogni responsabilità e fornire un risultato di valutazione. È necessario risolvere eventuali risorse non integre correggendole o fornendo più prove di conformità per giustificare lo stato corrente della risorsa.
Responsabilità del cliente per la raccolta automatizzata delle prove: per i report contenenti risorse supportate dalla funzionalità di raccolta automatica delle prove di ACAT, ACAT offre assistenza semplificata per la preparazione delle prove di conformità tramite un processo semplice di selezione dei pulsanti. Se l'elenco di risorse del report non dispone di risorse supportate, è comunque possibile caricare manualmente le prove di conformità.
Sia la valutazione automatizzata che le responsabilità dei clienti per la raccolta automatica delle prove forniscono azioni correttive, che sono le nostre linee guida per l'allineamento con gli standard di certificazione Microsoft 365.
Nota
Le responsabilità dei clienti di valutazione automatizzata vengono rieseguire ogni giorno in base all'ora di attivazione pianificata. Tuttavia, le responsabilità dei clienti per la raccolta automatica delle prove possono essere aggiornate solo su richiesta facendo clic sul pulsante "Raccolta automatizzata delle prove tramite ACAT".
Comprendere lo stato di conformità dei controlli di certificazione di Microsoft 365
Nel report conformità alle normative, ACAT definisce le responsabilità dei clienti per ogni controllo completamente automatizzato e il controllo manuale automatizzato parziale. Esistono due stati di conformità per la responsabilità del cliente.
- Superato: le risorse cloud applicabili per questa responsabilità del cliente sono integre.
- Non riuscita: è presente almeno una risorsa cloud non integra. È possibile seguire i passaggi di correzione per risolvere le risorse non integre.
- N/D: nessuna risorsa cloud è applicabile alla responsabilità del cliente o questa responsabilità del cliente è considerata inapplicabile in base alla configurazione dell'applicazione per questo report.
- Verifica della conformità dell'app richiesta: è necessario raccogliere manualmente le prove e caricarle nella responsabilità del cliente. Un analista effettuerà una revisione approfondita dopo aver inviato la richiesta di certificazione Microsoft 365 in Microsoft Partner Network.
Gli stati di conformità dei controlli di certificazione microsoft 365 si basano sullo stato di conformità delle responsabilità dei clienti.
- Superato: nessuna responsabilità del cliente è nello stato 'Failed' o 'App compliance review required' per questo controllo di certificazione di Microsoft 365.
- Non riuscita: almeno una responsabilità del cliente non è riuscita in relazione a questo controllo di certificazione di Microsoft 365.
- N/D: tutte le responsabilità dei clienti per questo controllo di certificazione Microsoft 365 sono nello stato "N/D".
- Verifica della conformità delle app obbligatoria: almeno una responsabilità del cliente è nello stato "Verifica conformità app richiesta". Un analista effettuerà una revisione approfondita dopo aver inviato la richiesta di certificazione Microsoft 365 in Microsoft Partner Network.
Domande frequenti
Cosa sono i controlli manuali e i controlli parzialmente automatizzati?
Ogni controllo di conformità è collegato a un set specifico di responsabilità dei clienti, con ACAT che raccoglie di conseguenza i dati di conformità. È importante notare che, ora, ACAT non copre tutti i controlli per la certificazione Microsoft 365 (anche se sono in corso sforzi per espandere la copertura). Nel caso di controlli parzialmente automatizzati, ACAT automatizza aspetti specifici delle responsabilità dei clienti. I risultati della valutazione di un controllo parzialmente automatizzato contribuiscono al controllo della certificazione Microsoft 365 e sono necessarie ulteriori azioni da parte dell'utente per soddisfare eventuali requisiti rimanenti. Tuttavia, per i controlli manuali, ACAT attualmente non automatizza le responsabilità dei clienti.
Come è possibile sapere se il controllo è completamente automatizzato?
ACAT migliora continuamente l'automazione del controllo. Ecco lo stato corrente dell'automazione dei controlli.
| Dominio di sicurezza | Famiglia di controlli | Numero di controllo | Stato di automazione ACAT | Stato di automazione ACAT per AWS |
|---|---|---|---|---|
| Sicurezza operativa | Formazione sulla sensibilizzazione | Controllo 1 | Manuale | Manuale |
| Sicurezza operativa | Protezione da malware - Antivirus | Controllo 2 | Completamente automatizzato | Parziale automatizzato |
| Sicurezza operativa | Protezione da malware - Controllo delle applicazioni | Controllo 3 | Manuale | Manuale |
| Sicurezza operativa | Gestione delle patch - Classificazione dei rischi & delle patch | Controllo 4 | Manuale | Manuale |
| Sicurezza operativa | Gestione delle patch - Classificazione dei rischi & delle patch | Controllo 5 | Parziale automatizzato | Parziale automatizzato |
| Sicurezza operativa | Analisi delle vulnerabilità | Controllo 6 | Completamente automatizzato | Parziale automatizzato |
| Sicurezza operativa | Analisi delle vulnerabilità | Controllo 7 | Completamente automatizzato | Completamente automatizzato |
| Sicurezza operativa | Controlli di sicurezza di rete (NSC) | Controllo 8 | Parziale automatizzato | Manuale |
| Sicurezza operativa | Controlli di sicurezza di rete (NSC) | Controllo 9 | Parziale automatizzato | Raccolta automatizzata di prove |
| Sicurezza operativa | Controllo delle modifiche | Controllo 10 | Manuale | Manuale |
| Sicurezza operativa | Controllo delle modifiche | Controllo 11 | Raccolta automatizzata di prove | Raccolta automatizzata di prove |
| Sicurezza operativa | Sviluppo/distribuzione di software sicuro | Controllo 12 | Manuale | Manuale |
| Sicurezza operativa | Sviluppo/distribuzione di software sicuro | Controllo 13 | Parziale automatizzato | Parziale automatizzato |
| Sicurezza operativa | Gestione account | Controllo 14 | Parziale automatizzato | Parziale automatizzato |
| Sicurezza operativa | Gestione account | Controllo 15 | Parziale automatizzato | Parziale automatizzato |
| Sicurezza operativa | Gestione account | Controllo 16 | Parziale automatizzato | Parziale automatizzato |
| Sicurezza operativa | Registrazione, revisione e avvisi degli eventi di sicurezza | Controllo 17 | Completamente automatizzato | Parziale automatizzato |
| Sicurezza operativa | Registrazione, revisione e avvisi degli eventi di sicurezza | Controllo 18 | Completamente automatizzato | Parziale automatizzato |
| Sicurezza operativa | Registrazione, revisione e avvisi degli eventi di sicurezza | Controllo 19 | Manuale | Manuale |
| Sicurezza operativa | Registrazione, revisione e avvisi degli eventi di sicurezza | Controllo 20 | Completamente automatizzato | Parziale automatizzato |
| Sicurezza operativa | Gestione dei rischi per la sicurezza delle informazioni | Controllo 21 | Manuale | Manuale |
| Sicurezza operativa | Gestione dei rischi per la sicurezza delle informazioni | Controllo 22 | Manuale | Manuale |
| Sicurezza operativa | Gestione dei rischi per la sicurezza delle informazioni | Controllo 23 | Manuale | Manuale |
| Sicurezza operativa | Gestione dei rischi per la sicurezza delle informazioni | Controllo 24 | Manuale | Manuale |
| Sicurezza operativa | Risposta agli eventi imprevisti di sicurezza | Controllo 25 | Manuale | Manuale |
| Sicurezza operativa | Risposta agli eventi imprevisti di sicurezza | Controllo 26 | Manuale | Manuale |
| Sicurezza operativa | Risposta agli eventi imprevisti di sicurezza | Controllo 27 | Manuale | Manuale |
| Sicurezza operativa | Piano di continuità aziendale (BCP) e piano di ripristino di emergenza | Controllo 28 | Raccolta automatizzata di prove | Manuale |
| Sicurezza operativa | Piano di continuità aziendale (BCP) e piano di ripristino di emergenza | Controllo 29 | Raccolta automatizzata di prove | Manuale |
| Sicurezza operativa | Piano di continuità aziendale (BCP) e piano di ripristino di emergenza | Controllo 30 | Manuale | Manuale |
| Privacy & sicurezza della gestione dei dati | Dati in transito | Controllo 1 | Completamente automatizzato | Completamente automatizzato |
| Privacy & sicurezza della gestione dei dati | Dati in transito | Controllo 2 | Completamente automatizzato | Completamente automatizzato |
| Privacy & sicurezza della gestione dei dati | Dati inattivi | Controllo 3 | Completamente automatizzato | Completamente automatizzato |
| Privacy & sicurezza della gestione dei dati | Conservazione, backup ed eliminazione dei dati | Controllo 4 | Manuale | Manuale |
| Privacy & sicurezza della gestione dei dati | Conservazione, backup ed eliminazione dei dati | Controllo 5 | Manuale | Manuale |
| Privacy & sicurezza della gestione dei dati | Conservazione, backup ed eliminazione dei dati | Controllo 6 | Raccolta automatizzata di prove | Manuale |
| Privacy & sicurezza della gestione dei dati | Conservazione, backup ed eliminazione dei dati | Controllo 7 | Parziale automatizzato | Manuale |
| Privacy & sicurezza della gestione dei dati | Gestione accesso ai dati | Controllo 8 | Raccolta automatizzata di prove | Manuale |
| Privacy & sicurezza della gestione dei dati | Gestione accesso ai dati | Controllo 9 | Manuale | Manuale |
| Privacy & sicurezza della gestione dei dati | Privacy | Controllo 10 | Manuale | Manuale |
| Privacy & sicurezza della gestione dei dati | Privacy | Controllo 11 | Raccolta automatizzata di prove | Manuale |
| Privacy & sicurezza della gestione dei dati | GDPR | Controllo 12 | Raccolta automatizzata di prove | Manuale |
| Privacy & sicurezza della gestione dei dati | GDPR | Controllo 13 | Manuale | Manuale |
| Privacy & sicurezza della gestione dei dati | HIPAA | Controllo 14 | Manuale | Manuale |
| Privacy & sicurezza della gestione dei dati | HIPAA | Controllo 15 | Manuale | Manuale |
Nota
Lo stato di automazione ACAT esprime l'extent di automazione che può essere utile per preparare l'evidenza di conformità per un controllo.
- Manuale: è necessario preparare manualmente tutte le prove di conformità per ogni responsabilità del cliente sotto questo controllo.
- Parziale automatizzato: questo controllo include una combinazione di responsabilità dei clienti, tra cui valutazioni automatizzate, raccolta automatizzata delle prove e responsabilità manuali dei clienti. È necessario correggere eventuali responsabilità dei clienti non riuscite e sfruttare la funzionalità di raccolta automatica delle prove per la raccolta delle prove. Per le responsabilità manuali, assicurarsi di fornire le prove di conformità necessarie e caricarle nell'ACAT.
- Completamente automatizzato: tutte le responsabilità dei clienti sotto questo controllo sono responsabilità dei clienti di valutazione automatizzata o responsabilità dei clienti per la raccolta automatica delle prove.
Perché la responsabilità del cliente non è riuscita?
Esistono diversi motivi potenziali per cui la responsabilità del cliente non è riuscita:
- È consigliabile completare prima le impostazioni di configurazione dell'applicazione, perché ACAT regola lo stato predefinito di determinati controlli in base alla configurazione.
- Per i casi di responsabilità manuale del cliente, lo stato predefinito è impostato su "non riuscito" come promemoria per seguire la guida di prova di esempio per raccogliere e caricare le prove manualmente.
- Per i casi di responsabilità dei clienti per la raccolta automatica delle prove, è possibile adottare la soluzione ACAT in
Remidiation stepsper ogni responsabilità del cliente e quindi attivare ACAT per raccogliere le prove automaticamente. In alternativa, è possibile seguire la guida alle prove di esempio per raccogliere e caricare manualmente le prove per la propria soluzione. - Per i casi di responsabilità dei clienti di valutazione automatizzata, è possibile seguire le soluzioni ACAT in
Remidiation stepsper ogni responsabilità del cliente o seguire la guida alle prove di esempio per raccogliere e caricare manualmente le prove per la propria soluzione.
Consiglio
La risoluzione di tutti gli errori in ACAT non è obbligatoria. È possibile scegliere di mantenere lo stato "non riuscito" in ACAT e caricare invece le proprie prove nel Centro per i partner dopo aver avviato una revisione della certificazione. In questo modo potrai prima discutere eventuali problemi o domande per un controllo specifico con il tuo revisore.
Perché ACAT visualizza un messaggio di avviso che chiede di confermare le modifiche alle impostazioni di configurazione dell'applicazione?
L'impostazione application configuration è importante perché ACAT modifica lo stato predefinito di determinati controlli in base alla configurazione, ad esempio alcuni controlli vengono modificati in stato "N/D" per impostazione predefinita.
Quando si modificano le application configuration impostazioni, ACAT le verifica in base alle risorse cloud selezionate e visualizza un messaggio di avviso se la configurazione potrebbe non essere corretta. Il revisore della certificazione esamina anche queste impostazioni durante la Initial Document Submission fase di certificazione di Microsoft 365.
Sono state apportate le modifiche suggerite in base al suggerimento di correzione, ma il controllo continua a non riuscire
Dopo aver eseguita un'azione correttiva per risolvere l'errore, attendere il tempo ACAT per recuperare i risultati aggiornati della valutazione per lo stato del controllo. Le valutazioni vengono condotte ogni 24 ore, in base al tempo di attivazione predeterminato.
Le prove sono archiviate in ACAT?
Prima di caricare le prove in ACAT manualmente o consentire ad ACAT di raccogliere le prove automaticamente, viene richiesto di configurare il proprio account di archiviazione come repository di prove tramite l'impostazione Evidence Repository . Tutte le prove vengono archiviate nell'account di archiviazione designato. Dopo aver inviato la verifica della certificazione Microsoft 365 nel Centro per i partner, selezionando un report ACAT specifico, ACAT consente di inviare automaticamente il report di conformità ACAT, raccogliere automaticamente le prove e caricare manualmente le prove al revisore della certificazione.
Come viene usato il report di conformità nel processo di certificazione?
ACAT è perfettamente integrato con il Centro per i partner per completare il percorso di certificazione Microsoft 365. Altre informazioni su come usare il report di conformità per accelerare la certificazione di Microsoft 365